En 2011 en S21sec detectamos 7.000 vulnerabilidades

Presentamos el primer ‘Informe de Vulnerabilidades’ elaborado por el equipo de Ecrime donde se recogen los datos de las vulnerabilidades detectadas por S21sec en la última década. Este informe, pretende constituir una radiografía de las principales amenazas que afectan en la actualidad tanto a empresas e instituciones como a usuarios.

2011 ha sido un año marcado por la aparición de un elevado número de vulnerabilidades de alto riesgo y el número de vulnerabilidades se mantuvo relativamente constante entre un mes y otro, a excepción de marzo. El tercer mes del año registró un elevado número de vulnerabilidades sobre software de Apple que afectaron a un gran número de sus productos tales como iTunes, Safari, Apple IOS, Mac OSX, iPhones IOS, entre otros.

Se puede decir que hemos detectado un aumento de las vulnerabilidades, con un aumento de las explotaciones remotas de vulnerabilidades y una sofisticación de los troyanos orientados a la industria como ha sido el caso de Stuxnet o Duqu. Asímismo se puede observar una tendencia cambiante en los navegadores donde se refleja un cambio en la explotación de vulnerabilidades de Firefox a Chrome ya que este último está siendo el que mayor cota de mercado está alcanzando.

Este año seguiremos viendo un incremento de vulnerabilidades a dispositivos móviles gobernados por sistemas operativos como Android o iPhone OS. Actualmente existen unos 5.600 millones de móviles en funcionamiento (alrededor de un 77% de la población mundial dispone de uno), de los cuales unos 468 millones son smartphones y se estima que la cifra crecerá hasta 631 millones en 2015, por lo que, lógicamente, a más usuarios y más dispositivos se incrementará también el riesgo de vulnerabilidades.

El ‘Informe de Vulnerabilidades 2011’, elaborado por la unidad Ecrime de S21sec puede descargarse aquí.

S21sec

Campaña de spam simulando ser la Agencia Tributaria

Se tiene conocimiento de una campaña de fraude en la que los defraudadores se están haciendo pasar por la Agencia Tributaria española. El método de comunicación de esta campaña fraudulenta es mediante correos de spam.

En estos correos de spam, los delincuentes se identifican como la Agencia Tributaria, falseando el remitente del correo, y se nos informa de un supuesto reembolso que quieren hacernos efectivo, pero para el cual necesitan que les facilitemos primero ciertos datos..

Correo de spam, simulando ser la Agencia Tributaria

En el correo viene adjunto un fichero html, el cual nos invitan a descargar y abrir en nuestro navegador, para entonces rellenar los "datos necesarios", entre los que están los datos de la tarjeta de crédito.

Formulario fraudulento

Como es obvio, el formulario es falso y envía los datos a un servidor localizado en EEUU:

Servidor que recoge los datos robados

Un rápido vistazo al correo nos da una idea de que estamos ante un fraude, porque en la gran mayoría de los casos hay faltas de ortografía evidentes, o expresiones que resultan extrañas:

"..usted es elegible.."
"Descargue el formulario de devolución de impuestos unida a este mensaje.."
"Un reembolso se puede retrasar para una variedad de razones. Por ejemplo, la presentación registros inválidos o la aplicación después de la fecha límite."


Como conclusión, unas breves consideraciones:

- No facilitar los datos de la tarjeta (incluido el código de seguridad CVV), salvo en sitios web de confianza.
- La AEAT dispone a priori de todos nuestros datos.
- Dados los tiempos que corren resulta sospechoso que la Agencia Tributaria se ponga en contacto con nosotros por correo para devolvernos cualquier cantidad de dinero, ¿verdad?


Como siempre, el sentido común es el mejor aliado contra este tipo de fraudes.

Saludos.
Rubén Piñero
S21sec ecrime

Citadel, nuevo branch de ZeuS

Google Chrome es a día de hoy el segundo navegador más usado, por lo que era evidente que los troyanos bancarios más populares debían comenzar a soportarlo, pero este paso ha tardado más de la cuenta.

Citadel es una nueva ramificación de ZeuS, basada en el código fuente de la versión 2.0.8.9 filtrada un año atrás, y que ha formado un círculo social en el que los usuarios pueden solicitar nuevas funcionalidades y votar por las que más gusten. Como curiosidad, y como detalle de la profesionalización, vemos que tienen “horario laboral”, y los fines de semana no se responderá a los mensajes enviados. Podemos ver más detalles sobre esto en dos post de Brian Krebs (1 y 2).

Por supuesto, vista la orientación tomada por sus creadores, dos cambios muy importantes que ya están implementados son un cambio de cifrado y la afectación a Google Chrome.

Dentro de la afectación, vemos un detalle curioso, y es que algunos de los hooks establecidos no son detectados por las comprobaciones habituales, y es que estos hooks no están establecidos en funciones exportadas, sino que se establecen en funciones no exportadas de la librería chrome.dll. Estas funciones son:

• SSLClientSocketNSS::Connect
• SSLClientSocketNSS::Disconnect
• SSLClientSocketNSS::Read
• SSLClientSocketNSS::Write
• TCPClientSocketWin::Connect
• TCPClientSocketWin::Disconnect
• TCPClientSocketWin::Read
• TCPClientSocketWin::Write
  

En las siguientes dos imágenes se puede observar el hook establecido en "Connect".

Connect normal

Connect hookeado

Respecto al cifrado, comentar que en la última muestra analizada, el fichero de configuración se cifra con AES, tanto el descargado desde la web como el almacenado en el registro, pero el tráfico enviado al panel, como puede ser la petición de dicho fichero, que en este caso incluye una pequeña autenticación, sigue estando cifrada con RC4 + VisualEncrypt (xor).

Realmente son unos cambios muy interesantes y, al estar en pleno proceso de desarrollo, es de esperar que vayan surgiendo nuevas versiones con más funcionalidades y con mayor frecuencia que otras familias ya clásicas como pueden ser ZeuS y SpyEye.

Jozsef Gegeny & Mikel Gastesi

S21sec ecrime

Uno de febrero, día de cambiar contraseñas

Desde Gizmodo se está promocionando ayer, el día 1 de febrero, como día de referencia para el cambio de contraseñas. Es una iniciativa interesante ya que marca un día destacado al año para recordar que es necesario el cambio de contraseñas. Cabe destacar que, en muchos casos, la contraseña es el único factor de autenticación para acceder a servicios como el de e-mail, redes sociales, etc.

Por ello, es fundamental que las contraseñas que se utilicen sean lo más seguras posibles.

Para poder decidir si la contraseña es segura es necesario conocer qué métodos usan los delincuentes informáticos de forma habitual, con la intención de (para) dificultar su tarea...

Los principales métodos de ataque para obtener las contraseñas son:

• Ataques de diccionario: Se comprueba si la contraseña coincide con una lista de palabras anteriormente confeccionada. Esta listas, llamadas diccionarios, pueden ser de distinta temática, idioma, etc."
• Ataques de fuerza bruta: Un ataque de fuerza bruta consiste en ir probando todas las combinaciones posibles de un conjunto de letras, símbolos y números previamente seleccionados, hasta dar con la contraseña.
  
• Ataques de ingeniería social: Los ataques de ingeniería Social consisten en manipular y engañar al usuario para que de manera voluntaria, exponga su contraseña (o datos sensibles para forzar su recuperación).

Una vez expuestos los principales métodos para obtener contraseñas hay que desgranar los puntos para neutralizar estas amenazas de la manera más efectiva posible.

Una buena contraseña no debe ser una palabra que exista. Es la mejor manera de asegurarse de que la palabra elegida no está en los diccionarios del atacante. Cuanto más larga sea la contraseña más tiempo costará extraerla mediante fuerza bruta.

Además, si se utilizan mayúsculas, minúsculas, números y caracteres especiales, se provocará que el proceso sea más lento todavía, ya que hay que comprobar muchos más posibles valores, volviendo la contraseña más segura.

Es importante también no revelar bajo ningún concepto nuestras contraseñas a nadie.

Tampoco es conveniente utilizar una misma contraseña para servicios diferentes ya que si se compromete la contraseña todos los servicios que la compartan serán vulnerables (además de que en este caso habrá que cambiar muchas contraseñas para corregir el compromiso mientras que con el método de la contraseña única para cada servicio, con cambiar la del servicio afectado sería suficiente.)

Este último punto plantea la dificultad de recordar muchas contraseñas diferentes. Para solucionarlo, hay métodos que pueden facilitar el proceso:

• El primer método es utilizar un programa de gestión de contraseñas como puede ser KeePass. KeePass es un programa gratuito open source que permite gestionar multitud de contraseñas de una manera muy cómoda. Sólo será necesario recordar una contraseña maestra que nos permitirá acceder a nuestro "llavero" de claves. Muy cómodo, con funciones muy bien pensadas y muy sencillo de utilizar. Se puede obtener aquí.

• El otro método es la generación de contraseñas mediante un patrón.

1. Vamos a escoger un par de versos de una canción. Para este ejemplo se utilizarán dos estrofas de una canción de Rick Astley.

Las estrofas dicen así:

"Never gonna give you up

Never gonna let you down"

2. Vamos a seleccionar la primera letra de cada palabra. Quedará así:

NggyuNglyd

3. Ahora sustituiremos alguna letra por un carácter numérico. En éste se van a sustituir la letra g por 8. Nos queda así:

N88yuN8lyd

4. Como siguiente paso, añadiremos algún símbolo para que la contraseña sea todavía más segura:

@N88yuN8lyd!

5. Por último, añadiremos al principio o al final las 3 o 4 primeras letras del servicio para el que estamos creando la contraseña. De ésta manera aunque la base de la contraseña sea la misma, cambia para cada servicio diferente.

Es importante recalcar que en casos en los que se busque una mayos seguridad habría que hacer alguna operación sobre las letras que añadimos para identificar el servicio, para que el método resulte menos llamativo, como por ejemplo sustituir las letras que vamos a añadir por las siguientes en el alfabeto (o cualquier permutación que dificulte la identificación del patrón utilizado) aunque es un paso que se va a omitir en este tutorial.

Un par de ejemplos de cómo quedaría la contraseña según el servicio.

En una cuenta de google: @N88yuN8lyd!goog

En una cuenta de S21sec: @N88yuN8lyd!S21s

De ésta manera, se obtendrá una contraseña segura para cada servicio.

Es muy habitual que muchos servicios ofrezcan un servicio de recuperación de contraseñas mediante preguntas y respuestas (que decidimos al registrar el servicio). Una costumbre muy recomendable es que la respuesta que se dé a esas preguntas, no tenga ninguna relación con la pregunta ya que es relativamente fácil ( y hoy en día más aún con el auge de las redes sociales) obtener respuestas a preguntas típicas como el apellido de soltera de nuestra madre, colegio en el que estudiamos... etc.

Si se cumplen todos estos consejos, obtendremos una contraseña robusta que permitirá incrementar nuestra seguridad.

Resumiendo: Hay que cambiar periódicamente todas las contraseñas sobre las que se quiera mantener una mínima seguridad. Recordemos cambiarlas por lo menos una vez al año. El uno de febrero no es mala fecha para ello!

Mario González

S21sec ecrime

Se acabo el Pass-the-hash

Tradicionalmente se ha considerado que Windows no almacenaba las credenciales de sistema en claro en ningún momento. Ni siquiera en memoria, para evitar que pudiesen ser recuperadas de un equipo comprometido. La propia documentación de Microsoft inducia a ello.

Es por esto que se han popularizado en el mundo del pentesting las técnicas de Pass-the-hash para poder obtener acceso a otros equipos de la red desde un sistema comprometido sin tener acceso a las credenciales en claro (aprovechando las características de la autenticación NTLM de Windows).

Pero un investigador francés apodado "Gentil Kiwi" ha desvelado que esto no es del todo cierto. Veamos porque:

Dentro del sistema LSA (Local Security Authority) de Windows existen una serie de proveedores de autenticación activos por defecto, que podemos listar accediendo a su configuración en el registro: HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages

A primera vista muchos de estos nombres no revelan su utilidad. El más importante es MSV1_0 que es el utilizado para los procesos de logon en local si no existe un proceso de autenticación personalizado. Cuando un usuario accede al equipo el servicio de LSA llama a MSV1_0 para que procese los datos recibidos por GINA (Graphical Identification and Authentication) desde el proceso Winlogon.

Además este proveedor almacena las contraseñas en memoria en forma de hashes, como estaba previsto, de manera que es relativamente seguro. Pero de la lista que hemos visto antes; ¿harán todos lo mismo?

Pues parece ser que al menos 2 de ellos no lo hacen así: tspkg y wdigest

• Tspkg es un proveedor de servicios de seguridad para conexiones SSO (Single-sign-on) con Terminal Server. Está disponible por defecto en los sistemas Windows Vista y posteriores. 

• Wdigest es un proveedor de servicios de seguridad para conexiones HTTP que requieran autenticación de tipo Digest. Está disponible por defecto en los sistemas Windows XP y posteriores. 

Ambos almacenan en memoria las credenciales de los usuarios que hayan accedido al sistema en local o mediante escritorio remoto codificadas de forma reversible. Es decir, la contraseña puede ser obtenida en claro sin necesidad de un proceso de cracking.

Aunque no conectemos nunca con servidores que requieran autenticación de tipo Digest o no utilicemos nunca conexiones de escritorio remoto con SSO, tendremos alguno de estos 2 módulos habilitados por defecto y nuestras contraseñas estarán accesibles en memoria.

Para recuperar las credenciales en claro solo es necesario contar con privilegios de Debug sobre el proceso LSASS. Privilegios normalmente disponibles para los usuarios del grupo de administradores.

Podemos comprobarlo con la herramienta que el propio "Gentil Kiwi" nos proporciona: mimikatz
 

Esta demostración esta realizada en un sistema Windows 7, pero cualquier Windows XP o posterior sería vulnerable por defecto.

Solo nos queda preguntarnos porque este hecho ha tardado tanto tiempo en salir a la luz. ¿Se ha ocultado intencionadamente esta información por parte de Microsoft? ¿Los investigadores punteros en materia de seguridad tenían guardado este as en la manga? ¿O tal vez nadie se había dado cuenta antes?

Ramón Pinuaga
Dep. Auditoría S21SEC

Sexo, Exploit Kits y Ransomware

Para gustos los colores. Cada uno tiene gustos diferentes y más si hablamos de artistas y actrices. A algunos les gusta Carlos Latre o Dani Martinez, a otros Lady Gaga o Camela y otros se decantan por Laura Lion o Nacho Vidal. No pasa nada con esto, a no ser que el hecho de visualizar algunos vídeos de estos profesionales pueda llevar a que tu equipo se infecte y no puedas volver a usarlo a no ser que pagues por ello. Esto es lo que le pasó a un conocido debido a su amor por la mencionada Laura Lion.

El caso es que el sistema no se podía utilizar, ya que nada más arrancar, y pasados unos segundos de que apareciera el Escritorio, sólo se podía ver una pantalla con un aviso, supuestamente enviado por el “Cuerpo Nacional de Policía”, alertando de que el equipo se había usado para realizar acciones ilegales tales como pornografía infantil, temas relacionados con terrorismo, violencia sobre menores, etc. : "Fue detectado un caso de actividad ilegal. El sistema operativo fue bloqueado por violación de las leyes de España!". Realmente es un aviso impactante para un usuario normal y puede llegar a preocupar bastante, por lo que se puede decir que la ingeniería social en este caso ha superado con creces su propósito de engañar. Sin embargo, el aviso también menciona que si se quiere quitar el bloqueo del ordenador se debe pagar una multa de 100€ mediante los sistemas de pago Ukash o Paysafecard, dato del que se puede desconfiar con facilidad y hace que se llame casi de inmediato al teléfono de la policía. Una vez que esta pantalla aparecía no se podía ejecutar el Administrador de Tareas, volver al Escritorio ni realizar ninguna otra acción.

Después de analizar el sistema infectado en Modo Seguro y sabiendo cuándo se utilizó correctamente por última vez se puede realizar una búsqueda de archivos creados ese día, estableciendo una línea temporal, y así conocer cómo se llegó a infectar el equipo. Gracias a esto se puede encontrar el ejecutable en cuestión y otros archivos interesantes, como unos *.idx con las peticiones HTTP realizadas a un dominio malicioso y un .jar. Las URLs encontradas fueron las siguientes:

http://car.xxxx.info/content/v1.jar

http://car.xxxx.info/w.php?f=23&e=0

Los paths de estas URLs son bastante familiares y pertenecen a un Exploit Kit, más concretamente BlackHole, como se puede ver si se realiza una búsqueda rápida. En este caso la vulnerabilidad que se explotó de forma satisfactoria fue la CVE-2011-3544 de Java, llevando a la descarga de la segunda URL y la ejecución del código malicioso.

El malware encontrado forma parte de la familia de los Ransomware, que, como se ha visto, bloquean el sistema o cifran los archivos pidiendo cierta cantidad de dinero a cambio de desbloquearlo. Normalmente se pide una especie de rescate (del inglés ransom) para liberar el sistema, pero en este caso se hace uso de ingeniería social para engañar al usuario y obtener el dinero. Las acciones más relevantes que realiza son las siguientes:

• Asegura su inicio creando un acceso directo en \Documents and Settings\$USUARIO\Menú Inicio\Programas\Inicio para ejecutar rundll32.exe con la DLL descargada.

• Deshabilita la seguridad de las zonas de Internet Explorer.

• Deshabilita el atajo de teclado para el Administrador de Tareas (Ctrl+Alt+Supr).

• Muestra el citado aviso, que no es más que una ventana de Internet Explorer con el contenido de la siguiente URL (todavía activa):

http://xxx.yyy.73.43/

• De la misma forma, intenta descargar un módulo para el robo de credenciales de FTP, VPN, Mensajería instantánea, Navegadores y aplicaciones de Poker de la siguiente URL:

http://xxx.yyy.73.43/images.rar

Para saltarse el bloqueo del código malicioso es posible lanzar una nueva ventana de Internet Explorer con Ctrl+N. Esto es así porque la pantalla que se ve no es más que una ventana de Internet Explorer maximizada, por lo que es posible lanzar una nueva ventana, y, una vez abierta, podemos usar el ratón para hacer click en Archivo/Abrir y lanzar el explorer.exe que nos devolverá el control del sistema.

La forma de eliminarlo sin usar la técnica anterior sería entrar en el Modo Seguro de Windows y ejecutar alguna solución Anti-Spyware / Anti-Malware, o, de forma manual, localizar el acceso directo en \Documents and Settings\$USUARIO\Menú Inicio\Programas\Inicio y la DLL comentada, y eliminarlos. Para esta infección los archivos se llamaban 0.1998781520909214.exe.lnk y 0.1998781520909214.exe, aunque estos nombres podrían variar. También se podría hacer uso de un Live-CD para realizar la misma tarea.

Este incidente se ha repetido en diferentes puntos de España (y anteriormente en el extranjero) y es una campaña todavía en uso, por lo que es recomendable el uso de protección al visitar ciertos sitios. No sólo hablo de un antivirus actualizado, que en este caso lo estaba, sino de estar al día con las actualizaciones de aplicaciones de terceros y del propio sistema operativo. Como comentaba, cada uno tiene sus gustos y aficiones, pero os recomendaría tener cuidado con ellos cuando se relacionan con las tecnologías, ya que la seguridad debe estar presente siempre ;)


Jose Miguel Esparza
S21sec e-crime
(Blog / Twitter)

Un Año de Fraude (1ª Parte)

Una vez concluido el año llega el momento de realizar un pequeño resumen sobre todo lo que hemos visto en 2011. Los datos que vamos a presentar hoy son relativos a los incidentes de fraude cerrados por el SOC/CERT de S21sec.

En total hemos actuado en 4.759 incidentes de fraude que afectaban directamente a nuestros clientes, un número ligeramente inferior a los registrados en el año anterior. Se puede observar la distribución de estos incidentes en la siguiente gráfica.

Una vez más el número de incidentes relacionados con phishings es muy superior a los relacionados con código malicioso. Esto se debe principalmente a nuestros clientes de Latinoamérica donde las incidencias de código malicioso son mínimas.

En la siguiente gráfica apilada se muestra la distribución mensual de todos los incidentes.

<!--[endif]-->

Se puede observar muy claramente que existen dos picos en la cantidad de incidentes registrados, este incremento de incidentes se repite año tras año. Normalmente suceden en fechas coincidentes con los periodos vacacionales, donde generalmente los usuarios están más relajados y menos concienciados con la seguridad.

A modo de reflexión personal de 2011 debo decir que han pasado los meses y aún continúo expectante de novedades, que finalmente no han llegado a producirse. El año 2010 fue un año muy interesante, donde pudimos observar tanto nuevas formas de ataques (MiTB, MitMo) como nuevas familias de código malicioso (Tatanga, SpyEye…)

¿Qué ha pasado en 2011?

Ahora que podemos analizar 2011 con una vista completa podemos considerarlo un año de transición, donde hemos observado cómo los ciberdelincuentes han mejorados los métodos y herramientas utilizados en el fraude, pero sin introducir ninguna novedad notoria.

¿Se debe este estancamiento a la crisis económica mundial?

Es difícil relacionar los cambios en la tipología del fraude con la realidad económica, pero es indudable que hay ciertos aspectos que han influido en los últimos meses.

Los ataques de ingeniería social, realizados generalmente por individuos no organizados, han aumentado considerablemente. Esto es debido principalmente a que los costes asociados a los mismos son mínimos, lo que ha provocado que entren en escena numerosos nuevos individuos que intentan obtener resultados rápidos con una mínima inversión. Este dato es muy interesante sobre todo en Latinoamérica, único lugar del mundo donde hemos observado un incremento de incidentes respecto a años anteriores.

En el lado opuesto tenemos a los ataques relacionados con código malicioso, mucho más complejos y costosos. Estos generalmente están realizados por mafias con abundantes recursos y muy bien organizadas. En este año esperábamos el despegue de SpyEye ya que ZeuS, su principal rival, abandonó su desarrollo a finales del año 2010 y su código fuente fue publicado. Sin embargo este hecho no se ha producido, probablemente debido a su alto precio. Hemos visto además cómo algunas “bandas” han aprovechado el código de ZeuS para desarrollar nuevas familias de malware sin tener que asumir un coste asociado.

David Ávila

S21sec ecrime