WannaCry, Petya y los que están por llegar…

IMG_20170629_134910

PoorBoy es un chico trabajador, PoorBoy sale de casa a la mañana, debe llegar hoy más temprano que nunca a la oficina, el jefe le requiere a primera hora. Marcha raudo y veloz, le gusta llegar temprano, y más aún si debe hablar con su jefe. 

Se dispone a coger el transporte público y elige tomar el autobús, es más lento que el tren pero ha salido temprano y puede permitirselo, total, es más barato. Llega a la parada, observa el panel digital con los horarios, pero no ve nada más que un texto criptico que no consigue entender desde lejos, le extraña, pero decide ir a la web de la compañía para descargar la tabla de horarios, pero la página no carga; ¡ah espera! ¡si!, hay un mensaje: 

-‘LA PAGINA WEB ESTA FUERA DE SERVICIO, DISCULPE LAS MOLESTIAS’

Le parece curioso cuanto menos, asi que decide esperar un poco más junto con las demás personas en la parada, el tiempo pasa y pasa y el bus no llega, ante la espera y el frío mañanero decide ir rápidamente a la cafetería que tiene a sus espaldas, necesita calentar un poco el cuerpo, así que se acerca a la camarera sonriendo y le pide un cortado para llevar, le da un billete de 5€, pero la camarera avergonzada le dice: 

-‘Señor, tendrá que darme el dinero exacto, por que el cajon-portamonedas inteligente no funciona está mañana y no le puedo dar ningún cambio’ 

PoorBoy desiste y se va a la parada de autobús de nuevo, cuando se esta acercando ve como la multitud en tono enfadada y bociferando se marchan, un operario de la compañía de autobuses les ha dicho algo, pero aún lo desconoce, así que toma carrerilla , se acerca y le pregunta que ocurre, a lo que le responden: 

-‘La nueva y reluciente flota de autobuses 100% eléctricos no funciona, y debe esperar ¡1 hora o mas, a que lleguen los autobuses ‘normales”

-¡Imposible! Hoy me requiere el jefe, piensa PoorBoy.

Así que se aleja deprisa a retirar algo más de dinero para ir en tren, llega al cajero más cercano, pero ve que no funciona, hay un mensaje  en pantalla bastante llamativo, le suena haber visto algo así antes, pero no presta demasiada atención, no hay tiempo para ello, así que rebusca en su mochila y encuentra otro billete de 5€, ¡Bien!, le llega para el tren, se va a la parada más cercana, baja las escaleras rápidamente, llega a la máquina de los tickets y visualiza el mismo mensaje del panel digital, el cajón portamonedas inteligente y del cajero, está vez muy extrañado decide leerlo y el texto empieza así:

‘ YOUR FILES HAVE BEEN ENCRYPTED'”

El mensaje que lee PoorBoy, nuestro personaje de la historia, ya todos sabemos que es el tipico de un ransomware, cómo podría ser el tan sonado WannaCry y el renacido Petya, que algunos conocían ayer. Una historia como la contada al principio de esta entrada, puede parecer ficción, pero nada más lejos de la realidad, a día de hoy es posible y podríamos decir que esta ocurriendo, ocurrió con WannaCry, ocurrio con Petya y volverá a ocurrir pronto con otro, solo es cuestión de tiempo.

Cómo ya todos imagino que sabréis, Petya al igual que WannaCry estan usando EternalBlue, exploit robado a la NSA por parte del grupo The Shadow Brokers. Petya y WannaCry son los ransomware de toda la vida, pero con capacidades de expandirse en la red como gusano, ésto gracias al protocolo SMB y a la vulnerabilidad que existe en la v1 del mismo; una curiosidad, al menos para mí, es que ambos ransomwares llevan un Kill-switch, o dicho de una forma más específica, una condicion en el código que comprueba: en el caso de WannaCry, la existencia de un dominio y en el caso de Petya, la existencia de un fichero en %windir%, cuando dicha condición da TRUE para el dominio (WannaCry) y ese fichero en %windir% (Petya) la expansión se detiene y el proceso de encriptado también, y aquí es cuando entramos a pensar, ¿Por que detener la expansión ? ¿A caso los malos no son tan malos?, ¿Por que meter un Kill-switch? Al final acabara alguien encontrandolo y detendra la expansión y con ello, los ciberdelincuentes tendrán menos dinero en sus crypto-wallets a final de mes, no parece muy lógico, esto es lo que ha hecho a mucha gente pensar que la finalidad no es obtener dinero, solo hay que ver que el dinero recaudado con WannaCry está intacto en sus wallets.

No quiero parecer un visionario ni mucho menos pero cuando empecé a escribir esta entrada le llamé: “WannaCry y los que están por llegar”, además mientras voy escribiendo me voy enterando de la finalidad de Petya o NotPetya, como empiezan a llamarle ahora, es destruir por destruir y no por obtener dinero , según este análisis dice:

Petya.2017 is a wiper not a ransomware

2016 Petya modifies the disk in a way where it can actually revert its changes. Whereas, 2017 Petya does permanent and irreversible damages to the disk.

Es decir, Petya existía desde hace ya un largo tiempo, pero era un ransomware como tal, se podían recuperar los archivos ya que los cambios eran reversibles, este último NotPetya tiene gran parte del código pero fue modificado para usar EternalBlue, EternalRomance y para que los cambios que hiciera en el MBR fueran irreversibles, borrando ciertos sectores del mismo y escribiendo sobre ellos, al final un ‘Wiper’, es decir, hacer daño por hacerlo. 

El famoso grupo The Shadow Brokers, dice tener más Tools/exploits de la NSA, y que pronto serán liberados. Si esto es así y están al nivel de criticidad de EternalBlue, nos esperan más ataques de este estilo. Lo peor de este caso, es que NotPetya siga siendo tan dañino, solo por el hecho de que se expande usando una vulnerabilidad de SMB en la versión 1, y que dicha vulnerabilidad tiene parches hasta para las versiones sin soporte de Windows. Cuando ocurrió el caso WannaCry me pareció un poco desastre que grandes compañías no hubiesen aplicado un parche de tal nivel, después de casi 2 meses, ahora después de otros casi 2 meses de WannaCry, NotPetya sigue provocando revuelo usando una vulnerabilidad de hace 4 meses.

Unos decían en defensa de las grandes compañías, que no es fácil aplicar parches de un día para otro, que deben ser testeados en todos los ámbitos para que las aplicaciones internas no presenten ningún fallo, y el problema se agrava si existen miles de equipos por gestionar, otros decían lo contrario, lo que si es cierto es que después de 4 meses, yo creo que ya no hay escusa y menos, cuando ya se sabía que una de las soluciones más efectivas era desactivar la versión 1 de SMB, lo cual era relativamente sencillo.

Así que acuerdate, desactiva SMBv1, aplica reglas de firewall para el puerto 445, y sobre todo estate atento al próximo leak de The Shadow Brokers, y si no eres el encargado de estas gestiones, ten preparadas unas palomitas para lo que está por llegar, seguro que no se te llegan a enfriar, y esperemos que otros hagan su trabajo, sino, ¡muchos nos convertiremos en PoorBoy!

Canales y grupos de Seguridad Informática en Telegram

Telegram_logo.svg

Hace poco he decidido cambiar el nombre del blog, por que el nombre anterior me limitaba a escribir sobre determinadas cosas y al final parecía que el contenido no encajaba con el nombre del mismo. Con el nuevo nombre espero poder compartir más cosas con todos vosotros, sin preocuparme si el contenido encaja con el nombre. De ahora en adelante esto será Deivid’s Docs.

Bien, sin más dilación, comentaros que hace poco me encontraba buscando canales de seguridad informática en Telegram y salvo la entrada en el blog Security By Default, no encontré nada más interesante. Así que en esta entrada voy a dejar la lista de canales y grupos de Telegram los cuales he podido ir recopilando poco a poco y probablemente la vaya actualizando.

Libros y revistas de seguridad informática: @librosyrevistasseginfo

Un canal donde se publican constantemente revistas y libros relacionados con la seguridad informática, aunque también váis a poder encontrar muchos libros de programación de diferentes lenguajes.

Canal de cursos y libros de seguridad, programación e informática en general: enlace

Cursos y libros de seguridad informática, lenguajes de programación, diseño web, bases de datos, Inteligencia Artificial, electrónica, etc…

Grupo de seguridad informática: @infoseces

Es uno de los grupos más grandes y más serios de Seguridad Informática en Telegram. Su creador es el gran Alejandro Ramos CISO de Telefónica.

Canal de noticias de seguridad informática: @SeguridadInformatica

Canal de noticias de seguridad informática para mantenerse actualizado acerca de todos los fallos y vulnerabilidades que van surgiendo.

Grupo de seguridad informática del blog Follow The White Rabbit@Fwhibbit

Grupo de seguridad informática del blog Follow The White Rabbit con mas de 700 integrantes.

Blog de Chema Alonso: @Elladodelmal

No hay mucho que comentaros sobre este canal, en él, Chema Alonso va publicando las entradas de su blog y algún que otro enlace interesante.

Finalmente, os dejo los siguientes grupos que aunque no son de Seguridad Informática como tal, seguro que os resultan muy interesantes también:

Grupo de Cryptomonedas: CryptoRabbit

Grupo recién salido del horno, con pocos integrantes​ pero dónde seguramente resuelvan todas las dudas que tengas sobre las Cryptomonedas.

Grupo de Redes de datos: @redesdedatos

Grupo con más de 100 integrantes donde se tratan temas solo relacionados con las redes, si tienes algún problema con un protocolo o con algún Switch o Router seguro que por aquí te podrán echar una mano.

Grupo de actualidad militar, policial y conflictos bélicos: @annack

Aunque penséis “que pinta este grupo aquí“, os lo voy a dejar por que cuando ocurrió lo del famoso Ramsomware WannaCry, este canal siguió constantemente todo el avance del caso, pasando imágenes y audios internos de las compañías afectadas por el virus, ademas suelen publicar noticias de seguridad informática también, así que tenerlo a mano para un futuro.

No more por hoy!

El Blind Directory Listing que no le importa a Starbucks

servlet
Imagen 1. Starbucks

Hace una semana y media he empezado en la plataforma Hackerone, que para quien no la conozca es una plataforma en la que diversos sitios webs lanzan un programa de ‘Bug Bounty’, encuentras un ‘bug’ en su sitio web, lo reportas, y te pagan, aunque esto último a veces no pasa.

Como primer sitio web elegí Starbucks, y estuve 4 días en los cuales detecte 3 fallos, uno de ellos fue este que vengo a comentar: un Blind Directory Listing basado en una mala gestión de errores de .NET, usando el método OPTIONS de HTTP.

Continuar leyendo “El Blind Directory Listing que no le importa a Starbucks”

Cabeceras de extensión. IPv6.

Las cabeceras de extensión en IPv6 aportan funcionalidad, confidencialidad e integridad al protocolo, pero antes de pasar a ver que tipos de cabeceras hay y que hacen exactamente, vamos a resumir el contenido de una cabecera IPv6 como tal. En la imagen inferior vemos una cabecera IPv4 y una IPv6:

encabezados2
Imagen 1. Cabecera IPv4 e IPv6.

Continuar leyendo “Cabeceras de extensión. IPv6.”

Localización de hosts en IPv6 mediante EUI-64. Script en Python

En el direccionamiento IPv6 es más difícil localizar hosts dentro de una red, debido a que el rango para estos es muy alto en comparación a IPv4. Los hosts pueden obtener su dirección mediante el proceso SLAAC (Stateless Address Autoconfiguration), como ya comente aquí en una entrada anterior, el método SLAAC se puede derivar en dos partes:

  • SLAAC Solo: donde el host solicita mediante un paquete RS parte de la información del direccionamiento como: prefijo, duración del prefijo ( /64 por ejemplo) y la información del Gateway. En este método el router no proporciona la porción de la parte de host, esto sería con el método SLAAC+DHCPv6, o solo DHCPv6. La parte restante de la dirección IPv6 se obtiene mediante el proceso EUI-64, en el que se realiza la siguiente operación:
    • Se toma la dirección MAC de la interfaz.
    • El primer grupo de la dirección MAC se pasa a binario.
    • El séptimo bit menos significativo, se cambia a 1 si es 0, y viceversa.
    • Se divide la mac en dos y se inserta en medio dos hextetos FFFE.
    • Se obtiene la porción restante de la IPv6

Continuar leyendo “Localización de hosts en IPv6 mediante EUI-64. Script en Python”

La CIA te echa una mano con Wireshark. Vault 7

wikileaks-796x398
Imagen 1. “Year Zero” , primera parte de Vault7. 

Hace poco con las revelaciones de Wikileaks: Vault 7, y en su primera parte, denominada “Year Zero“, con mas de 8000 archivos filtrados de la CIA, donde se desvela el fuerte espionaje electrónico propiciado por la Agencia Central de Inteligencia, me encontré con un documento en el cual a la CIA parece haberle tocado sufrir el típico error que salta cuando en Ubuntu ejecutas Wireshark sin ser usuario Root, que no se ve ninguna interfaz, pues para ayudar a solventar el dichoso problema, hay un fichero por ahí dentro de los 8000, con la siguiente información:

Crear un grupo para Wireshark

Continuar leyendo “La CIA te echa una mano con Wireshark. Vault 7”

Esteganografía con Deepsound

Cuando terminé de escribir la entrada anterior, me acordé de la ya muy famosa serie Mr. Robot, en la que como muchos sabréis, Elliot, el protagonista, guardaba la información obtenida de sus objetivos en CD’s con canciones variopintas. Elliot, utilizaba Deepsound, pero este solo funciona en Windows, y para ejecutarlo debía lanzar una maquina virtual con un Windows 7.

Deepsound hace uso de esteganografía para cifrar los datos dentro de las canciones, y utilizarlo es muy sencillo, simplemente debemos descargarlo desde la web oficial, desde aquí. La instalación es muy sencilla, simplemente cambiar los parámetros de ubicación de los ficheros, si así se desea, o si no hacer clic en siguiente, siguiente, etc…

Continuar leyendo “Esteganografía con Deepsound”