Bienvenidos a Seguridad Informática Bolivia.

Somos una Organización sin fines de lucro, dedicada a promover, intercambiar, formar y resolver problemas relacionados a la Ciberseguridad en Bolivia.

Hoy he dado una Charla gracias a <tech+experts> , sobre “Los beneficios de usar Advanced Threat Analytics”, les invito a que la puedan volver a ser parte de la misma, haciendo clic acá.

Saludos

Dado que las nuevas formas de Ciberdelincuencia están en aumento, las técnicas tradicionales parecen estar cambiando hacia un uso más clandestino que implica la explotación de herramientas y protocolos del sistema estándar, que no siempre se controlan.
Los investigadores de seguridad del grupo de investigación de amenazas Talos de Cisco descubrieron una campaña de ataque de ese tipo que difundía documentos de Microsoft Word equipados con malware que ejecutaban código en el dispositivo de destino sin requerir macros habilitados o corrupción de la memoria.
Esta ejecución de código sin macros en la técnica de MSWord, descrita en detalle el lunes por un par de investigadores de seguridad de Sensepost, Etienne Stalmans y Saif El-Sherei, que aprovecha una función incorporada de MS Office, denominada Dynamic Data Exchange (DDE), para realizar la ejecución del código arbitrario.
El protocolo Dynamic Data Exchange (DDE) es uno de los varios métodos que Microsoft permite que dos aplicaciones en ejecución compartan los mismos datos. El protocolo puede ser utilizado por aplicaciones para transferencias de datos de una sola vez y para intercambios continuos en los que las aplicaciones envían actualizaciones entre ellas a medida que se obtienen nuevos datos.

Miles de aplicaciones utilizan el protocolo DDE, incluidos Microsoft Excel, MS Word, Quattro Pro y Visual Basic.
La técnica de explotación que los investigadores describieron no muestra advertencias de “seguridad” a las víctimas, excepto preguntarles si desean ejecutar la aplicación especificada en el comando; sin embargo, esta alerta emergente también podría eliminarse “con una modificación de sintaxis adecuada”, dicen los investigadores. .

Según lo descrito por los investigadores de Cisco, esta técnica fue encontrada activamente explotada en estado salvaje por piratas informáticos para atacar a varias organizaciones que usan correos electrónicos de phishing , que fueron falsificados para hacer que parecieran enviados por la Comisión de Bolsa y Valores (SEC, por sus siglas en inglés), para convencer a los usuarios para que los abran.
“Los correos electrónicos en sí mismos contenían un archivo adjunto malicioso [MS Word] que al abrirlo iniciaría un sofisticado proceso de infección de etapas múltiples que conduce a la infección con el malware DNSMessenger”, indican los investigadores de Talos.
A principios de marzo, los investigadores de Talos encontraron atacantes que distribuían DNSMessenger, un troyano de acceso remoto completamente sin archivos (RAT) que utiliza consultas DNS para llevar a cabo comandos maliciosos de PowerShell en computadoras comprometidas.

Una vez abierto, se les pedirá a las víctimas un mensaje informándoles que el documento contiene enlaces a archivos externos, pidiéndoles que permitan o denieguen que se recupere y muestre el contenido.

Si está permitido, el documento malicioso se comunicará con el contenido alojado del atacante para recuperar el código que se ejecutará para iniciar la infección de malware DNSMessenger.
“Curiosamente, el campo DDEAUTO utilizado por este documento malicioso recuperó el código que el atacante había recibido originalmente en un sitio web del gobierno del estado de Louisiana, que aparentemente estaba comprometido y se usó para este propósito”, afirman los investigadores.

 

Video de la Prueba de Concepto:

Cómo protegerse y detectar los ataques DDE de MS Word
¿Qué es más preocupante? Microsoft no considera esto como un problema de seguridad, sino que, según la compañía, el protocolo DDE es una característica que no se puede eliminar, pero que podría mejorarse con mejores alertas de advertencia para los usuarios en el futuro.
Aunque no existe una forma directa de deshabilitar la ejecución del código DDE, los usuarios pueden supervisar proactivamente los registros de eventos del sistema para verificar la posible explotación.

Además de esto, los investigadores de NVISO Labs también han compartido dos reglas YARA para detectar el vector DDE en archivos Office Open XML.
La mejor manera de protegerse de dichos ataques de malware siempre es desconfiar de cualquier documento no enviado enviado a través de un correo electrónico y nunca hacer clic en los enlaces dentro de esos documentos a menos que se verifique correctamente el origen.

 

Fuente: The Hacker News

En este último tiempo, en el mundo de la Seguridad Ofensiva, se está hablando de la Certificación Kali Linux Certified Professional y al poder observar la información que hay en la fecha sobre ésta, nos es necesario proporcionar a los Profesionales de Seguridad el enfoque objetivo de esta Certificación.

Sin muchos preámbulos, Kali Linux, es una distribución basada en Debian GNU/Linux y es una evolución de Backtrack (que previamente pasó a basarse en SLAX en lugar de Knoppix).  Kali Linux y sus antecesoras fueron diseñadas principalmente para la auditoría y seguridad informática en general.

La Información que nos propociona Wikipedia sobre Kali Linux, Backtrack y Slax, es bastante clara.

La Certificación KLCP  valida la competencia con la distribución Kali Linux. En términos simples, KLCP proporciona experiencia básica en un ambiente de trabajo y bases sólidas hacia un futuro trabajo Profesional en Seguridad de la Información; lo que significa que Ud. podrá: instalar, administrar, diagnosticar problemas comunes, orquestar y monitorear niveles de red y sistemas de Archivos propios de una Distribución de GNU/Linux orientadas a gestión administrativa de la Distribución Kali Linux.

De manera clara, los profesionales de Offensive Security (creadores de Kali Linux) nos notifican oficialmemte que: “Este no es un curso de pruebas de penetración. Este curso se enfoca en enseñar al estudiante cómo sacar el máximo provecho de la Plataforma Linux de Kali, no como usar las herramientas empaquetadas de una manera ofensiva. Los estudiantes asistentes recibirán una copia firmada del libro “Kali Linux Revealed”, así como un bono gratuito para presentarse al examen KLCP en un cercano centro de certificación Pearson VUE”.

Los Objetivos de la Certificación, es que Ud. pueda:

  • Ganar confianza en la competencia básica de Linux, los fundamentos y la línea de comandos.
  • Instalar y verificar Kali Linux como un sistema operativo primario o máquina virtual, incluyendo cifrado de disco completo y preseeding.
  • Utilizar Kali como una distribución USB portátil que incluye opciones de cifrado, persistencia y “autodestrucción”.
  • Instalar, eliminar, personalizar y solucionar problemas de software a través del administrador de paquetes de Debian.
  • Administrar, personalizar y configurar Kali Linux para una experiencia optimizada.
  • Resolver problemas de Kali y diagnosticar problemas comunes de una manera óptima.
  • Asegurar y monitorear Kali en los niveles de red y de sistema de archivos.
  • Crear sus propios paquetes y alojar sus propios repositorios de paquetes personalizados.
  • Desarrollar sus propias implementaciones de Kali completamente personalizadas y preseer sus instalaciones.
  • Personalizar, optimizar y construir su propio kernel.
  • Escalar e implementar Kali Linux en la empresa.

Lo mejor es que Ud. puede capacitarse y obtener la Certificación KLCP a partir de Materiales Oficiales publicados por el Staff de Offensive Security de manera gratuita (para la copia digital) accediendo al sitio: https://www.kali.org/download-kali-linux-revealed-book/

La Certificación Offensive Security Certified Professional es de muy alto nivel en Pruebas de Penetración, donde sí se utiliza la distribución Kali Linux de manera 100% práctica y es conocida como la Certificación en Seguridad de Información Ofensiva más importante del mundo,  donde se desafía a los estudiantes a demostrar que tienen una comprensión clara y práctica del proceso de pruebas de penetración y del ciclo de vida a través de un arduo examen de certificación de veinticuatro horas (24 horas), por ejemplo la primera recomendada según la Guía de Penetration Testing de PCI.

KLCP es una excelente Certificación básica para dar el gran salto a Certificaciones y Conocimientos más amplios como la OSCP.

KLCP puede adquirirse sin inversión económica en la capacitación, de hecho, por políticas propias de la Empresa  no existen Socios Oficiales de Offensive Security en ninguna parte del mundo; como tampoco Cursos Oficiales.

Si Ud. desea saber más, visite  Kali Linux Certified Professional , y descargue el libro Oficial y Grauito desde: https://www.kali.org/download-kali-linux-revealed-book/ y consulte con nosotros para Soporte.

Estamos para servirlo.

Saludos

La imagen de un cajero automático que vomita dinero en efectivo es la peor pesadilla de un banco, pero los investigadores de Kaspersky Lab han descubierto un nuevo malware que hace precisamente eso. Es lo último en una larga línea de tácticas de transacción de dinero en efectivo.

Conocido como ATMii. el malware se compone de dos partes: un módulo inyector que se dirige al software ATM y al módulo a inyectar. El código incorrecto utiliza bibliotecas propietarias legítimas; los ciberdelincuentes pueden acceder al ATM objetivo a través de la red o físicamente a través de puertos USB para cargar archivos maliciosos en los sistemas.

Travis Smith, principal investigador de seguridad de Tripwire, también señaló que el malware ATMii está muy orientado, no sólo porque sólo es compatible con Windows 7, sino también porque está dirigido a un ejecutable ATM específico (atmapp.exe).

“Según el informe inicial de Kaspersky, se trata de una aplicación propietaria, por lo que es improbable que esta variante de Malware tenga un gran impacto en el mercado de cajeros automáticos en todo el mundo”, dijo por correo electrónico. “Incluso con un impacto mínimo, es muy fácil prevenir la ruta de infección del Malware mediante la implementación de controles básicos. Limitar el acceso a la red y la desactivación de los puertos USB reducirá la superficie de ataque lo suficiente como para que este tipo simple de malware no llegue a un cajero automático.

Kaspersky Lab dijo en un blog que ATMii es otro ejemplo de cómo los criminales pueden usar un pequeño pedazo de código para distribuirse dinero a sí mismos. La muestra de Malware ATMii fue proporcionada por un socio de Kaspersky Lab de la industria financiera en abril de 2017; comparte algunas similitudes con la última versión del Malware Skimer, reportada por Kaspersky Lab el año pasado y es sólo el Malware ATM más reciente para hacerlo en la naturaleza.

“Durante nuestros recientes casos de Respuesta a Incidentes relacionados con el abuso de cajeros automáticos, hemos identificado Tyupkin, Carbanak y los ataques de la caja negra”, dijo la firma. “La evolución de Backdoor.Win32.Skimer demuestra el interés del atacante en estas familias de programas maliciosos, ya que los cajeros automáticos son un mecanismo muy efectivo para los criminales. Kaspersky Lab ha identificado 49 modificaciones de este malware, con 37 de estas modificaciones dirigidas a los cajeros automáticos realizados por un solo fabricante “.

Para protegerse contra tales ataques, Kaspersky Lab recomienda a los operadores ATM incorporar políticas de denegación predeterminada y control de dispositivos, así como medidas técnicas para proteger el cajero automático contra el acceso físico.

 

Fuente: InfoSecurity Magazine

Nuevos informes sobre la última violación de datos clasificados por la NSA revelaron ayer que la fuente de la fuga pertenecía a un empleado real de la agencia de espionaje (no un contratista, como habia sido reportado originalmente por The Wall Street Journal).

El Washington Post en su reportaje describió al empleado de la NSA que cargó archivos clasificados de la NSA en su computadora personal que a su vez fue hackeado por espías cibernéticos rusos en el año 2015, como un ciudadano estadounidense nacido en Vietnam y que había sido parte del equipo de Hacking TAO (Tailored Access Operations). El empleado, que fue removido de su cargo en 2015, estaba trabajando en un proyecto para crear nuevas herramientas TAO a raíz del robo y fuga de las herramientas TAO del contratista de la NSA Edwards Snowden en 2013; las nuevas herramientas estaban entre los archivos robados por los hackers rusos.

La noticia de la violación se produjo en los pasados días, en un informe de Wall Street Journal, en el que se decía que el hackeo de las herramientas de Ciberataque y defensa se realizó a través del software antivirus de Kaspersky Lab en un ordenador de la NSA. La brecha no fue detectada hasta la primavera de 2016, y no se conoció públicamente hasta el informe del WSJ.

Los expertos en seguridad dicen que los informes plantean más preguntas que respuestas sobre cómo ocurrió realmente el ataque.
Matthieu Suiche, fundador de Comae Technologies y experto en el misterioso grupo Shadow Brokers, señala que aparentemente a la NSA le tomó seis meses para descubrir el incidente.

Suiche le dijo a Dark Reading que es “difícil de decir” si hay una conexión con las hazañas de la NSA mantenidas y filtradas por Shadow Brokers. Él dice que no está claro cómo los investigadores ataron la fuga de datos de la NSA al software Kaspersky Lab específicamente, y si el atacante tenía un Exploit para el Software AntiVirus.

“Puede ser un hombre en el medio o incluso la propia vulnerabilidad” utilizada para robar los archivos, señaló.

Fuente, Dark Reading