Ultimos posts Protegerse.com

Subscribe to canal de noticias Ultimos posts Protegerse.com
Una manera informal de acercarse a la seguridad informática
Actualizado: hace 32 mins 44 segs

Mirai Okiru: los procesadores ARC son objetivo del malware por primera vez en su historia

Mar, 01/16/2018 - 13:04

Durante los meses de septiembre y octubre de 2016, una serie de ciberataques llamaron la atención por su impacto y, sobre todo, por su origen. Los ataques producidos por la botnet Mirai, compuesta principalmente por dispositivos del llamado Internet de las cosas (como cámaras IP o sistemas de grabación de vídeo) causaron importantes problemas a empresas y servicios como OVH, Amazon, Spotify o Netflix, por poner solo unos pocos ejemplos, mediante la realización de ataques de denegación de servicio distribuidos DDoS.

Evolución de la amenaza

Desde el descubrimiento del malware Mirai en agosto de 2016 por el investigador @unixfreaxjp hasta ahora, han pasado muchos meses que han permitido evolucionar a la Botnet Mirai. La publicación del código fuente al poco tiempo de ser descubierta esta amenaza ha permitido a muchos delincuentes contar con una poderosa herramienta que han podido adaptar a sus necesidades, pero también a muchos investigadores estar alerta ante cualquier nueva variante.

Precisamente, el descubridor de la botnet Mirai original ha anunciado hace pocos días que ha observado una variante que tiene como objetivos a los procesadores con arquitectura ARC, usando para infectarlos un malware para Linux presentado en formato ELF y al que ha bautizado como Mirai Okiru.

La peculiaridad de este malware es que se trata del primero que se conoce en la historia que tiene como objetivos a dispositivos basados en arquitectura ARC. Este tipo de procesadores de 32 bits son utilizados ampliamente en dispositivos con un SoC (System on a Chip) utilizados con múltiples finalidades y, especialmente, en el Internet de las cosas (IoT). Se calcula que, anualmente, se producen más de mil millones de dispositivos que incorporan uno de estos procesadores, por lo que son un objetivo muy atractivo para los delincuentes.

Durante las primeras horas tras el anuncio del descubrimiento de esta nueva amenazas surgió el debate acerca de si se trataba de una evolución considerable, o solamente un paso más en botnets derivadas de Mirai como Satori. Sin embargo, los análisis posteriores desvelaron que, si bien ambas amenazas tienen a dispositivos del IoT como objetivos principales y comparten alguna característica similar, también existen importantes diferencias en la forma en la que están programados o eligen los objetivos.

Parte del código de Mirai Okiru descifrado – Fuente: @_odisseus

Vectores de ataque y consecuencias

Tal y como vimos en los incidentes provocados por la botnet Mirai hace un par de años, la utilización de dispositivos infectados por un malware de estas características para realizar ataques DDoS es algo relativamente sencillo para los delincuentes, y puede causar grandes problemas.

Con la posibilidad de infectar a miles de millones de dispositivos que hasta ahora habían permanecido al margen, se aumentan notablemente las posibilidades para los delincuentes y, aunque puede que no lleguen nunca a utilizarse de forma maliciosa, viene bien estar prevenidos ante posibles ataques de estas características.

Para intentar averiguar el alcance real que una amenaza de este tipo puede tener, habría que ver qué vectores de ataque utilizan los delincuentes. En anteriores ataques similares hemos visto cómo los delincuentes se han aprovechado de configuraciones inseguras en los dispositivos, con acceso a puertos abiertos y contraseñas por defecto o muy débiles, algo que permite hacer escaneos por internet buscando objetivos y explotándolos de forma sencilla.

Si esto consigue reproducirse con los dispositivos basados en la arquitectura ARC, podemos estar ante un serio problema debido a lo rápido que podría montarse una botnet con un elevado número de dispositivos controlados por los delincuentes. Además, cuando apareció Mirai, el objetivo principal fue la realización de ataques DDoS, pero ahora puede que los delincuentes prefieran usar estos dispositivos a su disposición para, por ejemplo, minar criptodivisas.

Conclusión

El tiempo nos dirá si el descubrimiento de este nuevo malware tiene un impacto real en la seguridad de estos dispositivos o si quedará como otra anécdota más. Lo cierto es que, independientemente de la arquitectura usada, todos los fabricantes relacionados con el Internet de las cosas deben ponerse las pilas para aplicar la seguridad desde el diseño si no queremos ver cómo su seguridad es vulnerada una y otra vez.

Josep Albors

Indicadores de compromiso

Hashes MD5

  • 9c677dd17279a43325556ec5662feba0
  • 24fc15a4672680d92af7edb2c3b2e957

Reglas Yara

https://github.com/unixfreaxjp/rules/blob/master/malware/MALW_Mirai_Okiru_ELF.yar

 

CoffeeMiner: minando criptodivisas sin autorización usando la WiFi como vector de ataque

Mié, 01/10/2018 - 13:30

Llevamos varias semanas hablando de amenazas relacionadas con las criptodivisas, señal de que estas son un tema candente y que no dejan de acaparar la atención tanto de medios como de nuevos inversores. A pesar de que estos ataques se han venido produciendo desde hace bastantes años, no ha sido desde el notable incremento del valor de varias de estas criptomonedas que los delincuentes han multiplicado sus esfuerzos para tratar de enriquecerse nuevamente a costa de los usuarios.

Revisando los antecedentes

En varios de los últimos posts donde hemos tratado este tema, hemos analizado ejemplos donde los delincuentes o incluso administradores de páginas web sin escrúpulos han introducido código en webs legítimas, código que permite al atacante utilizar los recursos de los usuarios para minar criptodivisas (normalmente Monero) a través de un simple JavaScript.

Durante el verano empezamos a ver que algunos grupos de delincuentes utilizaba kits de exploits para, a través de simples anuncios mostrados a los usuarios en webs legítimas, conseguir que estos se descargan el software de minado de Monero. La utilización de este tipo de técnicas coincidió con una notable subida del valor de la criptodivisa, pero nada en comparación con lo que estaba a punto de llegar.

Evolución del valor de Monero durante los últimos meses – Fuente: Coinmarketcap.com

A finales de septiembre hubo un caso relacionado con el minado no autorizado que destacó por la web afectada y la técnica utilizada. Varios usuarios informaron de que la conocida web de descargas The Pirate Bay había introducido una línea de JavaScript durante un corto periodo de tiempo, y que permitía a sus propietarios utilizar los recursos de los visitantes de la web para minar Monero.

En ese momento, las declaraciones de los administradores de la web apuntaban a que había sido una prueba para sustituir la molesta publicidad por esta otra forma de monetización. Esto es algo comprensible, e incluso la plataforma utilizada para realizar el minado (CoinHive) puede ser una alternativa viable pare eliminar los anuncios en las webs y que estas puedan seguir financiándose. El problema es cuando no se avisa a los usuarios de esto y se utilizan sus recursos sin autorización.

Durante varias semanas la cosa estuvo aparentemente calmada, con algún incidente aislado en alguna web de renombre, pero desde finales de octubre se empezaron a multiplicar los casos de forma preocupante, tanto que en países como España, la minería no autorizada de criptomonedas ya supone la amenaza más detectada con diferencia por los sistemas de telemetría de ESET.

Evolución de las detecciones de minado no autorizado en España – Fuente: ESET Virus Radar

¿WiFi gratis? Quizás no tanto

Así las cosas, no es de extrañar que nos encontremos con noticias que hablen de este tema prácticamente todos los días. Sin embargo, si bien hasta ahora los ataques se han centrado en infectar máquinas vulnerables o introducir código de minado no autorizado en webs legítimas, la evolución de estos ataques nos abre nuevos escenarios posibles.

Un claro ejemplo de esto lo tenemos en la investigación bautizada como CoffeeMiner por el investigador catalán @arnaucode, quien sintiendo curiosidad por un incidente acontecido en una cafetería de la cadena Stabucks, desarrolló una prueba de concepto que permite aprovechar los recursos de los equipos conectados a una WiFi mediante un ataque MITM (Man-In-The-Middle), haciendo que minen criptodivisas sin su consentimiento. Este investigador publicó un post en su blog el pasado 4 de enero, donde explicaba el funcionamiento de este ataque y lo demostraba con una prueba de concepto en un entorno controlado.

Tras analizar esta investigación, no cabe duda de que se trata de una vuelta de tuerca muy ingeniosa a un tipo de ataque que ha sido utilizado durante mucho tiempo y al que ahora se le ha encontrado una nueva utilidad. Básicamente, consiste en conseguir que todos los dispositivos conectados a una WiFi pasen a través de un proxy establecido por el atacante mediante la realización de un ataque ARP-Spoofing. A partir de ese momento, a cada web visitada se le inyectará una línea de código, que cargará el software de minado en el navegador de las víctimas.

Esquema del funcionamiento del ataque CoffeeMiner – Fuente: Arnaucode blog

La peligrosidad de estos ataques radica en que cualquiera que quiera aplicarlo, puede hacerlo tan solo buscando una WiFi pública que no esté debidamente protegida con routers capaces de detectar ataques ARP-Spoofing y redes segmentadas. Esta, por desgracia, suele la situación en muchas de las redes WiFi públicas que nos podemos encontrar en cafeterías, restaurantes o aeropuertos, por poner solo unos ejemplos.

Este tipo de ataque tiene un inconveniente, y es que el equipo utilizado por el atacante debe estar conectado a la misma red WiFi de las víctimas y, a ser posible, con una antena lo suficientemente potente como para tratar de secuestrar el tráfico del mayor número de dispositivos posible. No obstante, esta limitación podría ser subsanada utilizando algún dispositivo de pequeño tamaño como una WiFi Pineapple o incluso una Raspberry Pi con acceso a una fuente de energía (una batería externa, p.ej.) que le permita seguir funcionando durante largos periodos de tiempo.

Prueba de concepto en una red WiFi real – Fuente: Arnaucode blog

Tal y como apunta Arnau en su post, este tipo de ataques usando CoinHive tienen sentido cuando las víctimas permanecen en una web durante periodos de tiempo superiores a los 40 segundos, algo completamente factible viendo la cantidad de víctimas potenciales. Tampoco es que al atacante le cueste mucho inyectar el código malicioso en cada petición web realizada por las víctimas, así que el beneficio parece asegurado.

Conclusión

Tal y como venimos apuntando en posts anteriores, parece que el minado no autorizado de criptodivisas se ha hecho un hueco importante entre las amenazas más destacadas. Es relevante el hecho de que hay incluso grupos de delincuentes que están cambiando el ransomware por este nuevo tipo de ataques, lo que nos puede servir como indicador de los beneficios que están obteniendo con esta actividad ilícita.

De cara a los próximos meses esperamos que este tipo de ataques se sigan produciendo, aunque conforme los usuarios adopten medidas que permitan bloquear los códigos de minado no autorizado en webs legítimas, es muy probable que los delincuentes desarrollen nuevos vectores de ataque, por lo que conviene estar atentos.

Josep Albors

 

PyCryptoMiner infecta sistemas Linux para minar la criptodivisa Monero

Lun, 01/08/2018 - 17:11

Hace unas semanas, cuando estábamos a punto de terminar 2017, nos aventuramos a pronosticar que los ataques relacionados con el minado no autorizado de criptodivisas iban a seguir aumentando, tal y como lo venían haciendo desde el final del verano. Cuando llevamos aún pocos días de este recién estrenado 2018, no solo este pronóstico se confirma, sino que puede que incluso llegue a desbancar durante este 2018 al temido ransomware como amenaza más prevalente.

PyCryptoMiner tiene a Linux como objetivo

Durante los últimos meses hemos visto cómo han ido apareciendo numerosas muestras de malware especializados tanto en el robo como en el minado no autorizado de criptodivisas. Además, hemos visto que estas amenazas no se limitan a atacar sistemas operativos como los de la familia Windows, sino que también buscan víctimas entre dispositivos Android o, como vamos a ver ahora, entre sistemas Linux.

El malware PyCryptoMiner fue descubierto recientemente por investigadores de la empresa F5 Networks. Esta amenaza tiene como características destacables el que todos los sistemas infectados forman parte de una botnet gestionada por los delincuentes, y que su finalidad principal es la minería de la criptodivisa Monero.

El método de infección es similar al que ya hemos visto en ocasiones anteriores para infectar servidores Windows que utilizan contraseñas débiles, a través de RDP. En este caso, se realizan ataques de fuerza bruta contra sistemas Linux que tengan expuesto el puerto utilizado para el protocolo SSH (normalmente el 22). Si los delincuentes consiguen averiguar la contraseña, acceden al sistema y utilizan scripts en Python para instalar el software de minado de Monero.

En algunos casos, también se ha observado que los delincuentes utilizaron un exploit para aprovechar una vulnerabilidad conocida en el servidor JBoss (CVE-2017-12149), pero la gran mayoría de ataques se realizan mediante fuerza bruta.

Uso de scripts de Python para pasar inadvertidos

Una de las peculiaridades de esta amenaza es la utilización de scripts en Python para instalar el software de minado. Puesto que este es un lenguaje de programación que permite ser ejecutado de forma sencilla por varios de los intérpretes de código incluidos de serie en sistemas Linux o Windows, es relativamente fácil para los delincuentes conseguir que pasen inadvertidos, al menos bastante más que intentar ejecutar un binario malicioso.

Añadiendo persistencia en el sistema mediante scripts en Python – Fuente: F5 Networks

Esto no significa que sean completamente indetectables, ya que, dependiendo de las medidas de seguridad implementadas en el sistema, es posible reconocer una actividad no autorizada basándose, por ejemplo, en el consumo de recursos del sistema. Además, los análisis realizados por los investigadores han revelado que las muestras detectadas no eran especialmente complejas, lo que hace más fácil su detección.

Los pasos que sigue esta amenaza empiezan con la descarga de un script en Python muy simple que actúa como avanzadilla, recopilando información del sistema de la víctima e informando al centro de mando y control de la botnet. Esto puede servir para detectar objetivos más interesantes a la hora de instalar el software de minado, porque cuentan con una cantidad de recursos más elevada.

Seguidamente, desde el centro de mando y control se envía otro script de Python a la máquina objetivo, que se encarga de instalar el cliente de minado de Monero de forma que pase lo más inadvertido posible. A partir de este momento, los recursos del sistema estarán a disposición de los delincuentes y será decisión suya aprovecharlos al máximo o limitar su consumo para pasar inadvertidos el máximo tiempo posible.

Pastebin usado como repositorio de emergencia para recibir órdenes

Entre las curiosidades encontradas por estos investigadores se encuentra el método utilizado por los delincuentes para enviar órdenes a los sistemas infectados. Todas las muestras analizadas contenían una dirección embebida que apuntaba a Pastebin y que proporcionaba la dirección del centro de mando y control de reserva, al que debían conectarse en caso de que el principal fallase.

Enlace principal y de respaldo utilizado por el malware para recibir órdenes – Fuente F5 Networks

Los investigadores indican en su informe que este enlace fue visitado más de 175000 veces, y aunque un solo dispositivo puede haber realizado esta conexión varias veces, todo apunta a que el tamaño de la botnet podría estar en, aproximadamente, varios miles de dispositivos infectados.

Esto estaría generando unos beneficios bastante interesantes a los delincuentes, sobre todo tras analizar las carteras utilizadas en esta operación para almacenar las criptodivisas Monero. En una de ellas se encontraron 94 de estas criptomonedas, mientras que en la otra la cantidad ascendía a 64, lo que, en el momento de escribir este artículo, se traduce en alrededor de 57000 €.

Estas cantidades pueden parecer pequeñas, pero son bastante elevadas si tenemos en cuenta que el coste de generar y mantener un infraestructura así para los delincuentes es bastante bajo, y que, además, esta criptodivisa es más difícil de rastrear que otras como Bitcoin.

Conclusión

Parece que la previsión del aumento de las amenazas relacionadas con las criptodivisas que apuntábamos en nuestro resumen de tendencias para 2018 se está cumpliendo, y esto puede ser un problema de cara a cómo se van a afrontar los próximos meses. Otras amenazas como el ransomware siguen siendo un problema, pero el minado no autorizado va ganando terreno, y al contrario que el ransomware, no deja inoperativo el sistema, algo que puede hacer que muchos no se den cuenta de que están infectados hasta que haya pasado bastante tiempo.

Es por eso que debemos estar atentos y monitorizar aquello que nos resulte extraño, como los picos de consumo de recursos, tanto en endpoints como en servidores, móviles y dispositivos de todo tipo. Un elevado consumo de recursos puede ser un indicativo de que algo no funciona adecuadamente, especialmente en servidores, y deberíamos contemplar la posibilidad de que alguien esté utilizando nuestros sistemas en beneficio propio, tal y como se lleva haciendo desde hace años.

Josep Albors

Se armó el belén: Meltdown, Spectre y la madre del cordero

Jue, 01/04/2018 - 17:30

No llevamos ni una semana del recién estrenado 2018 y ya tenemos entre nosotros un conjunto de vulnerabilidades de esas que ponen los pelos de punta, con nombres llamativos, web propia y logos a juego. De nuevo, estamos ante un caso que puede hacer temblar los cimientos de la seguridad tal y como la conocíamos hasta ahora, o al menos eso se desprende de algunos titulares vistos en las últimas horas, pero ¿a qué se debe tanto alboroto?

Dos invitados que nadie quiere tener en su sistema

Durante el miércoles 3 de marzo de 2017 saltaba la liebre con la noticia de que se había detectado una vulnerabilidad en procesadores Intel fabricados durante los últimos años. Además, debido al embargo impuesto por Intel y que no permitía conocer muchos detalles acerca de esta vulnerabilidad, muchos medios optaron por utilizar titulares llamativos en plan “Tu procesador va a perder un 30 % de rendimiento y no vas a poder hacer nada”.

En esas primeras horas de desconcierto empezaron a aparecer detalles de investigaciones realizadas en las últimas semanas/meses y que parecían tener relación con esta misteriosa vulnerabilidad. Una de estas investigaciones era la que hablaba de una vulnerabilidad conocida como KAISER, KPTI o F*CKWIT, y cuya mitigación estaba siendo analizada desde hace semanas por algunos investigadores.

Recreando la situación en las oficinas de Intel – Fuente: @supersat

En esos momentos todas las miradas estaban centradas en Intel, y aunque se intuía que se estaba cociendo algo a varios niveles y que podría haber más afectados, se nos emplazaba a la semana que viene para conocer más detalles y aplicar los parches desarrollados. De hecho, la propia Intel tenía una presentación preparada donde hablaba de estos fallos de seguridad y de la colaboración entre varios fabricantes para solucionarlos.

Sin embargo, todo eso se fue al garete por la filtración antes de tiempo de algunos detalles al respecto de las vulnerabilidades, la aparición de pruebas de concepto que demostraban que la amenaza era grave y que había más fabricantes de chips afectados. Otras versiones apuntan a que Intel no iba a permitir que este incidente le salpicara solo a ellos y activó el ventilador para mitigar daños, y que empresas como AMD también tuvieran que dar la cara aunque, como veremos más adelante, igual no les ha salido como pensaba.

Vale, ¿y todo eso cómo me afecta?

Partiendo de la base de que todos los dispositivos de uso diario como ordenadores, portátiles, smartphones, servidores de almacenamiento en la nube, etc., tienen algún tipo de CPU, el número de posibles afectados es muy alto, aunque nos gustaría resaltar lo de “posible”. Pero antes que nada, vamos a ver de forma sencilla en qué consisten estos ataques sin entrar en demasiados detalles técnicos.

Según la información conocida hasta ahora, estas vulnerabilidades aprovechan fallos en el diseño de los procesadores actuales que permitirían a una aplicación maliciosa robar información confidencial que esté siendo procesada en ese momento en el ordenador. Normalmente, las medidas de seguridad implementadas en los procesadores impiden que una aplicación tenga acceso a la información que maneja otro programa, pero un atacante puede aprovechar tanto Meltdown como Spectre para conseguir la información que, en ese momento, esté almacenando en memoria otra aplicación.

Prueba de concepto exitosa realizada por @brainsmoke

Este tipo de ataques permitiría robar datos tan confidenciales como nuestras contraseñas, si estas están almacenadas, por ejemplo, en el navegador web, nuestras fotografías si accedemos a ellas mediante un servicio de almacenamiento en la nube, correos electrónicos y otros documentos confidenciales e incluso los mensajes que enviamos y leemos a través de aplicaciones de mensajería instantánea.

A nivel particular esto puede parecer grave, pero el verdadero problema se encuentra en aquellos entornos donde se comparten recursos para abaratar costes, como en los servicios de almacenamiento y procesamiento en la nube. Aprovechando estas vulnerabilidades sería posible atacar a un proveedor de servicios corporativos en la nube y, dependiendo de su infraestructura y medidas de seguridad, acceder a datos de varios usuarios tan solo comprometiendo una máquina que utilicen varios clientes a la vez.

Los detalles técnicos de estas dos vulnerabilidades son muy interesantes, y es muy recomendable la lectura de alguno de los análisis técnicos que han sido publicados en las últimas horas. Recomendamos encarecidamente el excelente análisis que han realizado los chicos del Project Zero de Google, así como los papers correspondientes tanto a Meltdown como Spectre.

¿Es grave, doctor?

Antes que nada…

Como ya hemos vivido en anteriores ocasiones donde parecía que todo iba a explotar y que poco menos que íbamos a volver a la edad de piedra tecnológicamente hablando, hay que pararnos a analizar fríamente el problema y valorar las posibles soluciones y sus consecuencias.

Obviamente, tirar todos nuestros dispositivos y comprar otros con procesadores nuevos que no tengan este fallo cuando estén disponibles no es una opción, por más que a algún jefe de ventas de alguna de las empresas implicadas tenga algún sueño húmedo con solo vislumbrar esa opción. Así pues, lo inteligente es tomar decisiones partiendo de lo que conocemos hasta la fecha.

Ahora que se conoce la existencia de las vulnerabilidades y su gravedad, han sido varias las empresas que han reaccionado para mitigar los posibles daños. Tanto Windows (las versiones soportadas por Microsoft al menos) como Linux disponen o dispondrán en breve de parches que solucionan por software estos fallos. Apple aún no se ha pronunciado, pero no dudamos de que también reaccionará cuando crea conveniente.

Las actualizaciones por software van a ser muy útiles para solucionar la vulnerabilidad Meltdown, aunque Spectre es otro cantar, y a pesar de que es más difícil de explotar por un atacante, también es más complicada de resolver.

En lo que respecta a los fabricantes de CPUs, todo apunta a que el más afectado es Intel, y que hasta que modifique el diseño de los procesadores en futuros productos no podremos estar seguros de que se han solucionado estas vulnerabilidades al cien por cien. Por su parte, AMD afirma que el riesgo de que alguien pueda atacar sus procesadores es prácticamente nulo, apelando a las diferencias de su arquitectura con respecto a Intel. Habrá que ver si con el tiempo se demuestra que están en lo cierto.

En lo que respecta a ARM, cuyos procesadores son ampliamente utilizados en dispositivos móviles y del Internet de las cosas, dependiendo del modelo del procesador este se verá afectado por alguna de las vulnerabilidades y sus variantes. No obstante, ya existen parches en los sistemas Linux que gobiernan varios de estos modelos.

Un caso más complicado es el de los proveedores de servicios cloud, tanto de almacenamiento como de procesamiento. Tanto Amazon como Microsoft han lanzado sendos comunicados avisando tanto de labores de mantenimiento como de la necesidad de aplicar los parches de seguridad a sus clientes. Falta ver si finalmente estos parches terminan afectando al rendimiento en estos sistemas, algo que seguramente producirá más de una queja.

Conclusión

Si bien no hay que restar gravedad al asunto, ya hemos pasado por situaciones similares anteriormente y el mundo no se ha terminado. Debemos asumir que si estas vulnerabilidades han sido descubiertas por varios equipos de investigadores casi al mismo tiempo, es bastante posible que grupos de delincuentes con recursos o agencias gubernamentales también las conozcan desde hace tiempo.

Así las cosas, para los usuarios de a pie este incidente nos sirve para recordar la importancia de aplicar actualizaciones de seguridad e incluso tomar medidas más estrictas. Se habla de que uno de los principales vectores de ataque para aprovechar estas vulnerabilidades sea el código JavaScript malicioso introducido en webs comprometidas, así que nunca está de más instalar un complemento (como ScriptSafe o NoScript) que bloquee por defecto este tipo de código (y de paso evitamos que utilicen los recursos de nuestro sistema para minar criptodivisas).

Veremos en qué queda todo este asunto, pero parece que este 2018 que acabamos de estrenar va a seguir la línea de años anteriores, al menos en lo que respecta a temas relacionados con la ciberseguridad.

Josep Albors