Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
2017
RELDSEC_
www.facebook.com/reldsec/
reldsec@gmail.com
Índice_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ 1
Sobre Nosotros _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ 2
Un poco de ciberseguridad _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ 3
FuzzBunch y DanderSpritz _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ 6
DanderSpritz _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ 9
Ransomware _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ 10
WannaCry _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _11
MalwareTech _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _12
Petya _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ 14
Contacto_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ 15
1
Sobre nosotros…
RELDSEC, está formado por un grupo de jóvenes entusiastas de la seguridad informática,
innovación y otros temas que leerás a continuación. Este viene a ser el primero de tantos
proyectos que se tienen en mente y se realizarán a futuro.
El propósito de esta revista es informar a todo el público en general sobre nuevas tecnologías
y recientes ataques informáticos que ocurren en el mundo, así como herramientas y noticias
referentes al tema la informática.
Esta es la primera edición de nuestra revista en la cual se abordarán temas muy comentados
en la red como, por ejemplo, las herramientas de la NSA y los ‘Heróes’ de nuestros días, The
Shadow Broker’s, así como noticias acerca ‘WannaCry’.
Esperamos que usted, amable lector, disfrute tanto de esta primera adición al tenerla frente
a sus ojos, así como cada uno de nosotros al escribirla y hacerla llegar hasta usted.
2
Un Poco de ciberseguridad…
Cada día el interés de las personas por conocer este maravilloso mundo aumenta de una
manera increíble y acelerada, llevándolos a inspeccionar en el internet y distintos foros, con
la idea de encontrar un punto de partida para poder iniciarse en la seguridad informática de
manera adecuada y sin riesgos, aunque muchas veces esto no tiene un resultado positivo y
lleva a muchos usuarios a darse de topes con la pared.
3
No obstante, centrándonos más en temas posteriores a tratar en esta revista VENTA DE EXPLOITS
y donde veremos sobre lo mencionado anteriormente; También mucho se ha POR SUSCRIPCIÓN
hablado de ataques informáticos en los últimos meses por parte de diferentes MENSUAL
grupos de hackers y piratas informáticos con ideales desiguales a distintas
organizaciones.
Un caso muy importante fue el del Hackeo a la Agencia Nacional De Los Tras los ataques del
Estados Unidos o mejor conocida como NSA por un grupo de Hackers ransomware WannaCry
conocido como “Shadow Broker’s” del que se hablará más
adelante. The Shadow
Pero… Broker´s volvió a dar de
que hablar ahora,
¿Quiénes son Shadow Broker’s? aprovechando la ocasión
con un servicio de
Los corredores de las sombras aparecieron por primera vez en verano del año suscripción a sus servicios
2016, con una “Gran Entrada” después de haber comprometido herramientas para poder recibir exploits
de Hacking de la Agencia Nacional De Seguridad, entre ellos varios 0day e información
enfocados en especial a productos de Microsoft y algunos firewalls comprometida de
empresariales. diversas organizaciones
según comentó el mismo
No se sabe con certeza el día del ataque, más se estima que todo comenzó a grupo de Hackers.
inicios de agosto, 13 días después se publicaba en la cuenta de Twitter
Entre sus varios intentos
@shadowbrokerss un pastebin y un repositorio de GitHub donde se daban
de negocios se
indicaciones de cómo conseguir las herramientas y exploits de Equation
encuentran cosas como: -
Group.
- Equation Group
Varias fuentes de noticias señalaron que el nombre del grupo era probable en Windows Warez
referencia a un personaje de la serie de videojuegos de “Mass Effect”.
El cual servía en teoría
Matt Suiche citó la siguiente descripción de ese personaje: "El corredor de para aprovechar los
la sombra es una persona a la cabeza de una organización expansiva que opera exploits de Windows y
en la información, siempre que vende al mejor postor El corredor de la sombra saltarse antivirus, su
precio era de
parece ser altamente competente en su comercio: todos los secretos que se
aproximadamente 750
compran y venden nunca permiten a un cliente del Broker obtener una
Bitcoins
ventaja significativa, forzando a los clientes a seguir negociando información
para evitar quedar en desventaja, permitiendo que el
Broker siga en el negocio ".
4
Entre algunos antecedentes…
Hace aproximadamente dos años, en el 2015 algunos expertos en seguridad por parte de Kaspersky
comentaban que la NSA había logrado implantar Spyware en algunos discos duros de los principales
fabricantes.
Con esto se relacionó a la agencia con Equation Group, un grupo de hackers cuyos ataques de ciber
espionaje se consideraron de los más sofisticados del mundo.
Este grupo es clasificado como una amenaza persistente además de estar vinculado con la Agencia
Nacional De Seguridad. Algunos de sus objetivos han sido
en Irán , Rusia , Pakistán , Afganistán , India , Siria y Malí.
El nombre de Equation Group fue elegido debido a la predilección del grupo por los métodos de cifrado
fuerte en sus operaciones. En 2015, Kaspersky documentó 500 infecciones de malware por parte del
grupo en al menos 42 países, aunque reconoció que el número real podría estar en decenas de miles
debido a su protocolo de auto-terminación.
Más tarde en 2017 en una discusión mantenida dentro de la CIA un comentarista mencionó que Equation
Group no hacía referencia a un grupo de Hackers en específico más bien a una colección de herramientas
para Hackear.
Durante la cumbre analistas de la seguridad celebrada en México en enero del 2015 Kaspersky mencionó
el descubrimiento de Equation Group que según Kaspersky, el grupo llevaba al menos desde el 2001
operando con más de 60 personas involucradas.
Entre el malware utilizado se encontraba EquationDrug y GrayFish.
Cuando The Shadow Broker´s se dio a conocer por la puerta grande según afirmaron en un primer
momento, habían logrado acceder a las bases de datos de la NSA y extraer una gran cantidad de
información, especificando que habían conseguido romper la seguridad de Equation Group. Es decir, el
hacker hackeado.
5
FuzzBunch Y DanderSpritz
Cuando Shadow Broker´s liberó a Equation Group, al poco tiempo se comenzaron a explotar las
herramientas de Hacking provenientes de la NSA y facilitado más el asunto, en internet donde se encuentran
miles de millones de computadores vulnerables a los exploits filtrados.
Estos exploits van principalmente enfocados a Windows XP, Windows Server 2003, Windows 7 y 8 y Windows
2012.
Días después se sacaron parches para corregir estas vulnerabilidades. Aunque claro está, muchos equipos en
internet no han instalado estos parches por lo que pueden llegar a ser potencialmente vulnerables a estos
exploits.
Entre otros.
6
j
- ETERNALBLUE: Remote privilege escalation enfocado a Windows XP y Windows 2008 por el puerto 445
- ENTERNALCHAMPION: Remote exploit up to Windows 8 y 2012
- ETERNALSYSTEM: Remote exploit up to Windows 8 y 2012
- EXPLODINGCAN: Remote IIS 6.0 exploit para Windows 2003
- EWORKFRENZY: Lotus Domino 6.5.4 y 7.0.2 exploit
- ETERNALSYNERGY: Windows 8 y Windows Server 2012
Módulos de Metasploit
7
Ahora que mencionamos a Metasploit Framework, una de las
herramientas más utilizadas en el mundo del pentesting, tocaremos
mencionar a “FuzzBunch”. Pero antes de todo ¿Qué es FuzzBunch?
Este Framework está escrito en Python 2.6 y a su vez utiliza Pywin32, Eclipsedwing-1.5.2.exe
esta herramienta solo está disponible para arquitecturas de 32 bits. Educatedscholar-1.0.0.exe
También nos permite tener una “integración” con otras herramientas Emeraldthread-3.0.0.exe
para poder automatizar, mejorar o “perfeccionar” nuestros ataques.
Emphasismine-3.4.0.exe
Por ejemplo, crear una DLL maliciosa con el framework Empire para
Englishmansdentist-1.2.0.exe
poder inyectarla aprovechando DoublePulsar y obtener una Shell
Empire/Meterpreter. Erraticgopher-1.0.1.exe
Eskimoroll-1.1.1.exe
Esteemaudit-2.1.0.exe
Eternalromance-1.3.0.exe
Eternalromance-1.4.0.exe
Eternalsynergy-1.0.1.exe
Ewokfrenzy-2.0.0.exe
Explodingcan-2.0.2.exe
Eternalblue-2.2.0.exe
Eternalchampion-2.0.0.exe
8
DanderSpritz
Detalles técnicos.
Una de las principales cosas que Danderspritz es una herramienta de post-explotación utilizada
hace DanderSpritz al conectarse a por Equation Group, esta herramienta posee una interfaz gráfica
una maquina destino es recopilar lo que hace su uso más cómodo para algunos usuarios,
información acerca del equipo proporciona también una visión general del marco de
mediante el uso del script explotación de FuzzBunch.
survey.py
El marco de DanderSpritz era aprovechado por el Grupo de
Entre la información que trata de Ecuación después de explotar con éxito una máquina y desplegar
recoger se encuentra: el PeddleCheap "implante". El camino "tradicional" para llegar a
- Información de la interfaz de red la etapa de post-explotación es el siguiente:
(direcciones IP, direcciones MAC, 1.- Logre comprometer una maquina con EternaBlue
servidores DNS, etc.)
2.- Construya la DLL a inyectar en el equipo victima con pc_prep
- Información del Sistema Operativo (PleddleCheap prep)
(Arquitectura, Versión, Plataforma,
Service Pack y si los Servicios de 3.- Utilice DoublePulsar u algún otro backdoor para cargar el DLL
Terminal Server están instalados)
4.- Esperar la conexión de PeddleCheap con DanderSpritz y comenzar
- Procesos actualmente en ejecución. el trabajo de post-explotación.
- Comprueba los productos de
protección personal (PSP), DanderSpritz posee una interfaz GUI totalmente funcional que
esencialmente, comprueba lo que
entre sus principales características proporciona acceso al
está instalado AV.
usuario a unos cuantos plugins, permite también localizar otros
- Información de red (tablas de equipos en la misma subred que la maquina destino, también
enrutamiento, tablas ARP, datos permite ver procesos categorizados en ciertos criterios como
NetBIOS, etc.) seguridad, productos de seguridad, Core OS, Malicious,
- Realiza una comprobación de Unknown.
persistencia (identifica si algún
implante de EQ o software está
instalado de forma persistente)
Entre otros.
9
Ransomware
Hace algunos meses esta palabra se hizo muy mencionada en personas que incluso desconocían el
tema tras varios ciber ataques a diferentes compañías alrededor del mundo, pero dejemos en claro
algo ¿Qué es un ramsomware?
CryptoWall
10
l
Hace algunos meses, el 12 de mayo del 2017 apareció WannaCry con una infección a gran escala
afectando a empresas como Telefónica e Iberdrola, el ataque de este Ramsomware también llegó al
servicio de salud británico, en poco tiempo esta amenaza se extendió al resto del mundo.
WannaCry utilizaba la ya mencionada vulnerabilidad a EternalBlue que sufrían sistemas operativos
windows, Dicha vulnerabilidad fue detectada en marzo del mismo año. La compañía Microsoft comenzó
a distribuir parches de seguridad al día siguiente de conocerse esta vulnerabilidad, el 10 de marzo de
2017.
Algunos equipos alrededor del mundo que no habían instalado los parches de seguridad se vieron
afectados por el ramsomware el cual exigía 300 dólares en bitcoins para que el usuario pudiese recuperar
sus archivos.
No fue hasta que un joven británico con el pseudonombre de “MalwareTech” pudo detener la expansión
del ataque al ver mientras estudiaba el ramsomware, que este se conectaba a un dominio no registrado.
“El malware intentaba establecer una conexión con el dominio, la cual de ser establecida la infección se
detenía, si no infectaba el equipo”
Una vez descubierto esto, Marcus Hutchins o “MalwareTech” procedió a registrar el dominio al cual el
malware por fin pudo conectarse y pudieron cesar los ataques del ransomware.
11
Gracias a esto WannaCry parecía estar controlado, pero algunas de sus vertientes
comienzan a preocupar puesto que el malware utilizaba el exploit EternalBlue el cual
venía incluido en el Equation Group, esto también dio origen a amanezas más potentes
como NotPetya y EternalRock los cuales son más difíciles de controlar y usan aún más
exploits que WannaCry.
La detención de MalwareTech
12
Wired consiguió una acusación completa hacía
Marcus donde se menciona que el joven fue el
responsable del potencial desarrollo del troyano
bancario Kronos el cual fue utilizado para robar
cuentas de banco, códigos PIN y credenciales para
realizar fraudes, así como para modificar los
portales de los bancos desde cualquier navegador.
Además, se le acusa de "conspiración criminal" por
vender el troyano por 3.000 dólares en webs
ilícitas.
13
DEFINICIÓN
Es un ramsomware reportado por la empresa
Heise Security. Petya se esparce como troyano
usando el popular sistema de archivos en la nube
Dropbox. Mientras la mayoría de los malware de
secuestro de computadoras selecciona los archivos
a encriptar, Petya aumenta el daño potencial al
impedir el arranque de la computadora.
FUNCIONAMIENTO
Utiliza ingeniería social para convencer a usuarios
de descargar un archivo que al abrirlo se auto
extrae y ejecuta el troyano. Al ejecutarse aparece
una alerta de Windows. Si el usuario prosigue,
Petya se aloja el registro de arranque principal de
la computadora de la víctima, desactiva el modo de
inicio seguro de Windows y el equipo se reinicia. Al
reiniciar, aparecen ventanas de alerta indicando
que el equipo ha sido secuestrado y cómo acceder
al sitio de los secuestradores para pagar el rescate
antes del vencimiento de un plazo de tiempo. Al
vencerse el plazo de tiempo, el monto del rescate
se duplica.
RESOLUCIÓN DEL PROBLEMA
Lo primero que debe hacer una víctima de
secuestro de computadora es apagar el equipo,
dado que mientras esté encendido el malware
podría encriptar más archivos. Se ha reportado que
es posible reiniciar desde otro disco diferente del
infectado y recuperar los archivos del disco
comprometido. En los sistemas revisados por Heise
Security no se observó encriptación de archivos,
solo del registro de arranque principal
14
CONTACTO
Esta ha sido la primera edición de nuestra revista. Esperamos y la haya disfrutado, según
los alcances de la misma se estará publicando una cada mes y en cada edición más
contenido, así como una mejor vista de la revista.
Si usted o algún equipo gustan apoyar con notas o desean que sea colocado algún anuncio
favor de contactarnos al correo reldsec@gmail.com o bien mediante nuestras redes
sociales que aparecen en la parte inferior de esta página.
15