Mostrando entradas con la etiqueta Malware. Mostrar todas las entradas
Mostrando entradas con la etiqueta Malware. Mostrar todas las entradas

martes, 16 de mayo de 2017

Microsoft Windows Server2016 Protection WannaCry

Microsoft dispone de varias tecnologías para combatir la ejecución de software y proteger la propagación de malware en los entornos empresariales. Además de instalar la actualización de seguridad MS17-010 para prevenir la vulnerabilidad que aprovecha este malware.

Esta recomendado deshabilitar SMBv1 como se recomienda aquí (desde el 16 de Septiembre del 2016), existen varios comandos disponibles:
  • Set-SmbServerConfiguration –AuditSmb1Access $true
  • Remove-WindowsFeature -Name FS-SMB1
  • Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol
En algunos entornos se puede bloquear el tráfico SMB al puerto 445 utilizando el Firewall. Windows Defender ahora detecta Ransom: Win32/WannaCrypt desde la actualización 1.243.297.0.

En los entornos empresariales se puede desplegar Device Guard, que permite proteger los equipos con Seguridad basada en la virtualización a nivel de kernel y solo permite la ejecución de aplicaciones de confianza.

Windows Defender Advanced Threat Protection monitoriza la red detectando actividades sospechosas y resulta muy eficaz para prevenir o minimizar los efectos de malware desconocido.

Estas tecnologías y algunas otras como Control Flow Guard, o la prevención de ejecución de software mediante AppLocker y GPOs, se detallan y explican en nuestro Curso Online (Profesional) Hardening de Sistemas Windows que te permitirá aprender a securizar servidores y equipos clientes para desplegar en tu organización entornos seguros basados en Microsoft.



 
Seguridad a lo Jabalí para Todos!!
Publicado por en 21:28 0 comentarios
Etiquetas: , , , , , , , ,

sábado, 13 de mayo de 2017

Microsoft Informa del Ransomware WannaCrypt

Microsoft informo del Ransomware WannaCrypt y su propagación ayer en el siguiente artículo publicado https://blogs.technet.microsoft.com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems

El día de ayer estuvo dedicado a la agresiva propagación a nivel mundial de un Ransomware que utilizaba una vulnerabilidad conocida en el protocolo SMB versión 1 de los Sistemas operativos Windows, denominada EternalBlue con CVE-2017-0145 y publicada en el boletín MS17-010 del 14 de Marzo del 2017.

Como se explica en la propia pagina de Microsoft el malware trata de contactar con un dominio, si el domino existe, entonces no infecta el equipo.

"The threat arrives as a dropper Trojan that has the following two components:
  • A component that tries to exploit the SMB EternalBlue vulnerability in other computers.
  • Ransomware known as WannaCrypt. 
  • The dropper tries to connect the following domain using the API InternetOpenUrlA(): 
  • hxxp://www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
If connection is successful, the threat does not infect the system further with ransomware or try to exploit other systems to spread; it simply stops execution. However, if the connection fails, the dropper proceeds to drop the ransomware and creates a service on the system."




A pesar de la repercusión mediática del malware, especialmente en España (caso telefónica) el efecto de este malware no ha tenido una gran incidencia, tampoco en Telefónica como muy bien explica Chema Alonso en su blog El Lado del Mal.

Bernardo Quintero también publicaba en Twitter la información:
"Aquí el código del "bicho", intenta un HTTP GET a esa dirección, si falla continúa, pero sí existe abandona la rutina de infección" @bquintero



Customer Guidance for WannaCrypt attacks 
Catálogo de Microsoft Update (incluidos S.O anteriores)
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

Seguridad a lo Jabalí para Todos!!
Publicado por en 11:46 0 comentarios
Etiquetas: , , , , ,

viernes, 7 de abril de 2017

Bank of America Alert

Los ataques de suplantación de identidad de diversas organizaciones, especialmente bancos, son habituales, y es necesario aumentar las precauciones para evitar sorpresas desagradables, robos de dinero o credenciales.

En la actualidad la tecnología esta cada vez más integrada con métodos de pago y los "ciberdelincuentes" lo saben muy bien, es imprescindible no bajar la guardia y desconfiar de los correos que recibimos referentes a temas de dinero.

En Seguridad Jabalí publicamos el caso de este correo que acabamos de recibir de "Bank of America", especialmente peligroso porque llega a la bandeja de entrada (no a la de spam), la sintaxis es bastante correcta y es fácil llevarse a engaño.


Click en la imagen para ampliar.

Traducción del Mail fraudulento.
"Este correo electrónico confirma que es el destinatario deseado de este mensaje seguro. [tu_correo]
Si este no es tu correo electrónico de contacto, por favor, no lo tengas en cuenta.
Para evitar el mal uso de la cuenta y el fraude en línea, estamos trabajando continuamente para proteger a nuestros clientes.
El software de seguridad de Bank of America ha detectado información no válida en su cuenta y Ha bloqueado automáticamente el acceso a futuros fondos.
Simplemente confirme su información bancaria y podrá utilizar su cuenta como de costumbre.
No confirmar su información hoy puede resultar en suspensión de cuenta permanente."
 

Además de la extraña url: https://www10 y que luego te dirige a monster-high-ru.ru donde seguro te van a "hacer ru ru" es posible identificar a simple vista el engaño, pero lo apremiante del mensaje, asociado a una cuanta de correo de Microsoft, donde puede estar asociada una fuente de pago, hace viable el ataque.

Así que ante la duda con los mail que hablan de dinero: ¡Desconfía!

 Seguridad a lo Jabalí para Todos!!
Publicado por Seguridad informatica Jabalí Contribuciones en 14:00 0 comentarios
Etiquetas: , , , ,

miércoles, 14 de diciembre de 2016

Nuevo Servicio Antiransomware en INCIBE

INCIBE ofrece un nuevo servicio AntiRansomware disponible para ciudadanos y empresas que permite contactar con expertos para solucionar el problema e intentar ayudar en la recuperación de los datos.

El Ransomware o secuestro de los datos de un equipo informático mediante el cifrado de los mismos, es uno de los riesgos más habituales hoy en día, multitud de usuarios particulares y empresas de todos los tamaños sufren los efectos de este tipo de acciones delictivas donde el pago del rescate esta totalmente desaconsejado y en muchos casos se pierden los datos con todas las repercusiones asociadas.

El procedimiento para contactar con el servicio Anti Ransomware de INCIBE se muestra en la siguiente imagen:

 Click en la Imagen para Aumentar

En el Servicio de Antiransomware esta publicada información muy interesante que ayuda a prevenir y detectar este tipo de malware, ¿Cómo evitarlo? ¿Cómo detectarlo? ¿Cómo actuar si me afecta? ¿Cómo recupero mi actividad y mis datos? o el apartado de Casos y ejemplos, son algunas de las secciones de este servicio de INCIBE.

Click en la Imagen para Aumentar

Una aplaudida iniciativa que se suma al excelente trabajo realizado por el Instituto Nacional de Ciberseguridad de España INCIBE del que hablamos en más de una ocasión en Seguridad Informática Jabalí, donde recomendamos muchas de sus guías técnicas, felicitamos por su labor y enorme aportación a la comunidad.

Fuente: Oficina de Seguridad del Internauta OSI 

 
Seguridad a lo Jabalí para Todos!!
Publicado por Seguridad informatica Jabalí Contribuciones en 15:22 0 comentarios
Etiquetas: , , , ,

jueves, 24 de marzo de 2016

Estadísticas del Malware

Black Market Rand
 
Aquí tenéis algunos informes en modo gráfico sobre malware que me parecen muy interesantes, espero que os sirvan...
 
 
Sofisticación de los ataques Vs Conocimientos técnicos del atacante.
 
 
 Línea temporal del Black Market
 
 
 
Seguridad  a lo Jabalí para Todos!!
Publicado por Seguridad informatica Jabalí Contribuciones en 14:56 2 comentarios
Etiquetas: , ,

martes, 1 de marzo de 2016

Secuestrar un Hospital

Entre las diferentes amenazas o riesgos que existen en la red esta la actividad de criminales que intentan lucrarse de diferentes formas, al igual que en el Mundo Real, Internet puede ser el escenario de diferentes delitos entre ellos el Ransomware o secuestro.

En este caso lo que se secuestran son nuestros datos, o los de nuestra empresa. Generalmente se cifra esa información y se envía una petición de dinero a cambio de entregar el código que puede descifrar y recuperar nuestros datos. En algunos casos la realidad supera la ficción: El pasado 16 de Febrero Monica Valle de Globb Security se hacia eco de una de las noticias más impactantes: Un Ransomware secuestra el software de un Hospital y exige un rescate Millonario.




Y este tipo de sucesos promete ir a peor si no tomamos algunas medidas básicas de seguridad, en esta caso, algo tan simple como mantener un buen sistemas de copias de seguridad puede minimizar mucho este tipo de ataques.


Fuente: Globb Security

Seguridad a lo Jabalí para Todos!!
Publicado por Seguridad informatica Jabalí Contribuciones en 7:30 0 comentarios
Etiquetas: , , , ,

viernes, 8 de enero de 2016

WhatsApp Fail

El pasado día 31 de Diciembre, es decir, el día que más utilizamos los servicios de mensajería con felicitaciones, buenos deseos y demás cadenas de malware, WhatsApp nos dejo a todos sin servicio en varias ocasiones...

El procedimiento habitual en estos casos es consultar con el oráculo: Google, Twitter,etc.. La ventaja que tiene este ultimo es el rápido intercambio de información entre usuarios y en este caso la etiqueta era #WhatsAppDown

Faltaban un par de horas para el Final del Año y el servicio volvía a funcionar, con los primeros comentarios de la solución del problema por la red social.

Una idea se "colo" en mi teclado, comprobemos ¿Cuantos usuarios hacen click en un enlace "hacia lo desconocido"


El escenario era perfecto, el servicio de WhatsApp estaba restablecido con lo que el efecto del Tweet no seria útil más allá de 20 o 30 minutos, necesitábamos generar una dirección maliciosa y un medio para cuantificar las visitas, con un acortador de direcciones utilizamos la url del post de Fin de Año del blog.

El resultado total fue un incremento de unas 250 o 300 visitas aproximadamente, algo que nos indica que seguimos "alegremente cualquier enlace", y eso que había un guiño claro al final del propio Tweet.

En este caso no había ningún tipo de peligro, pero es una estrategia muy utilizada por los creadores de malware y la industria del cibercrimen: Una noticia de interés, muchos usuarios siguiendo noticias de un sitio a otro y al final terminas con un ransomware y sin tus datos.

Seguridad a lo Jabalí para Todos!!
Publicado por Seguridad informatica Jabalí Contribuciones en 7:30 0 comentarios
Etiquetas: , , ,

jueves, 7 de enero de 2016

Microsoft Forensics

En este resumen publicamos todos los enlaces de la serie artículos sobre la formación de Microsoft Virtual Academy: Windows Security and Forensics un curso de @Erdal_Ozkaya, @Alshakarti y @nextxpert.

Además a partir de ahora en Seguridad Informática a lo Jabalí encontraras las entradas relacionadas con informática forense en Windows o recolección de evidencias digitales en entornos de Microsoft con la etiqueta Windows Forensics.



 Artículos Windows Security and Forensics

 Forensics Software
NirSoft: ESEDatabaseView
Microsoft Command-line tool: Esentutl
Sysinternals Suite: Download

Seguridad a lo Jabalí para Todos!!
Publicado por en 7:30 0 comentarios
Etiquetas: , , , , , , , , ,

martes, 5 de enero de 2016

Windows Security and Forensics (VII de VII)

En anteriores artículos de Microsoft Virtual Academy: Windows Security and Forensics se explicaba como encontrar evidencias forenses digitales de malware en un entorno Microsoft.

Windows 10 Forensics
En este último capítulo hacemos un recorrido por los distintos elementos donde recopilar evidencias digitales en un sistema operativo Windows 10. Algunas herramientas pueden ser muy útiles para recopilar datos como vssadmin para la gestión de las Shadow Copy, en este nuevo sistema operativo hay elementos nuevos y algunos cambios...


Muchos de los recursos se almacenan en tablas con un formato .edb con la herramienta ESEDatabaseView se puede ver el contenido de esos elementos, puede ser necesario utilizar Esentutl.


En esta formación se explican las referencias más importantes de archivos, tablas, bases de datos y demás elementos que necesitas para recolectar evidencias en un entorno Windows 10, a continuación te dejo algunas, en el curso tienes muchas más...

Location of important registry hives
\Users\user_name\NTUSER.DAT
\Windows\System32\config\DEFAULT
\Windows\System32\config\SAM
\Windows\System32\config\SECURITY
\Windows\System32\config\SOFTWARE
\Windows\System32\config\SYSTEM

Event Logs
Location of EVTX logs
\Windows\System32\winevt\Logs\
Event Logs – Windows Store
\Windows\System32\winevt\Logs\Microsoft-Windows-Store%4Operational.evtx

Prefetch
\Windows\Prefetch\

Location of Thumbcache files
\Users\user_name\AppData\Local\Microsoft\Windows\Explorer\

Windows Indexing Service
Stored in an .EDB file, can be interpreted by EseDbViewer, ESEDatabaseView or X-Ways Forensics. If “dirty” dismount, need to use esentutl.exe
 
In Windows 10 stored in the following directory:
C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Windows.edb

Cortana Databases (EDBs)
  • \Users\user_name\AppData\Local\Packages\Microsoft.Windows.Cortana_xxxx\AppData\Indexed DB\IndexedDB.edb
  • \Users\user_name\AppData\Local\Packages\Microsoft.Windows.Cortana_xxxx\LocalState\ESEDatabase_CortanaCoreInstance\CortanaCireDb.dat
  • \Users\user_name\AppData\Local\Packages\Microsoft.Windows.Cortana_xxxx\LocalState\Contacts_xxxxx.cfg
  • \Users\user_name\AppData\Local\Packages\Microsoft.Windows.Cortana_xxxx\LocalState\Contacts_xxxxx.cfg.txt
Notification Centre
\Users\user_name\AppData\Local\Microsoft\Windows\Notifications\appdb.dat
Toast notifications are stored in embedded XML

Picture Password  
This registry key details the path to the location of the “Picture Password” file:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\PicturePassword\user_GUID
Path of locally stored Picture Password file:
C:\ProgramData\Microsoft\Windows\SystemData\user_GUID\ReadOnly\PicturePassword\background.png

Edge Browser
Same as IE10, records no longer stored in Index.DAT files, stored in EDB
Last active browsing session stored:  
\Users\user_name\AppData\Local\Packages\Microsoft.MicrosoftEdge_xxxx\AC\MicrosoftEdge\User\Default\Recovery\Active\

 Este capítulo termina esta formación de Seguridad e Informática Forense en la Academia Virtual de Microsoft, además es gratuita.¿A qué esperas?

Publicado por en 7:30 1 comentarios
Etiquetas: , , , , , , , , ,

lunes, 4 de enero de 2016

Windows Security and Forensics (VI de VII)

En anteriores artículos de Microsoft Virtual Academy: Windows Security and Forensics se explicaba la recopilación de evidencias forenses digitales en Red.

Malware Incident Response
En este módulo @Erdal_Ozkaya y @nextxpert muestran algunas de las herramientas de las que disponemos para analizar nuestro sistema en busca de malware o para detectar ataques persistentes en nuestros equipos informáticos.


En el análisis de un entorno Microsoft es inevitable hablar de la Suite Sysinternals de Mark Russinovich en la que es imprescindible conocer Process Explorer, herramienta que te permite analizar el estado y las características de los procesos del sistema, además de poder verificar si los procesos que estas viendo están firmados digitalmente o analizarlos con VirusTotal.


Mejor que utilizar MSconfig. En Sysinternals otra herramienta imprescindible es Autoruns, que permite analizar que elementos se inician en el arranque de nuestro sistema y en este curso demuestran como utilizarlo para verificar si un proceso es recurrente.

Autoruns esta integrada con otros servicios como Virus Total, en este módulo puedes conocer otras herramientas que te ayudaran en el análisis de tu sistema en busca de malware como Process Monitor, System Monitor o TcpView.

Este curso de @Erdal_Ozkaya, @Alshakarti y @nextxpert muy interesante lo puedes encontrar en: Microsoft Virtual Academy: Windows Security and Forensics

Artículos Windows Security and Forensics

 Forensics Software
NirSoft: ESEDatabaseView
Microsoft Command-line tool: Esentutl
Sysinternals Suite: Download
 
Seguridad a lo Jabalí para Todos!!
Publicado por en 7:30 0 comentarios
Etiquetas: , , , , , , , ,
Suscribirse a: Entradas (Atom)

Archivo del blog

Consultor e Instructor de Sistemas y Seguridad Informática en Asturias

Consultor e Instructor de Sistemas y Seguridad Informática en Asturias