Archivo mensual: Mayo 2021

Como Identificar con Certeza y velocidad dispositivos comprometidos en la red interna

Resumen del Webinar

  1. Presentación de Helpsystems y Makros

Helpsystems es una empresa que tiene mas de 35 años en el mercado, con presencia a nivel mundial, mas de 1300 empleados en 25 oficinas y que representa distintos productos que ha ido adquiriendo en el tiempo

Makros, por su parte, es una empresa con sede en Santiago de Chile, con mas de 17 años en el mercado y con foco en ciberseguridad. Con una solida estructura que nos ha permitido liderar en innovación, tecnología y servicios, siempre en el marco de la seguridad de la información, seguridad cloud y riesgo operacional.

2. Presentacion de Core Network Insight

Como Detectar comportamientos sospechosos y que tipo de comportamiento se pueden presentar:

  • Comportamiento no humano
  • Domain Fluxing
  • Comando y Control (C&C) sobre canales Peer to peer (P2P)
  • DNS Tunneling
  • TOR (Dark Web)
  • Archivos Maliciosos
  • Sandboxing – Ejecución
  • C&C Request Headers

3. Demo

Core Network Insight funciona de 3 formas:

  • Analizando el comportamiento del tráfico de la red.
  • Analizando el contenido o datos útiles (payload) transmitidos
  • y finalmente, cruzando la información de la amenaza con información que maneja Core Network Insight o otras fuentes como VirusTotal

Tópicos abordados en la demo

  1. Inicio Demo: minuto 26
  2. Dashboard
  3. Activos
  4. Hunting
  5. Archivos
  6. Reportes

Agradecimientos a Helpsystems, @hernanTorres, @MarceloDiaz

Esta semana en ciberseguridad

Investigadores descubren malware para Linux que pasó desapercibido por 3 años

Un malware no documentado que apunta a sistemas Linux, con capacidades de puerta trasera, ha pasado desapercibido por 3 años, permitiendo a un actor malicioso extraer información de los sistemas informáticos infectados.

La información proviene de una muestra detectada el 25 de marzo, pero otras versiones previas habían sido subidas a VirusTotal desde Mayo del 2018. Se han encontrado cuatro muestras distintas del malware, ninguna de ellas siendo detectada por la mayoría de los sistemas anti-malware.

Conocido como RotaJakiro, está diseñado para ser dificil de detectar, encriptando sus comunicaciones con los servidores de comando y control, y soporta 12 funciones que permiten obtener metadatos del dispositivo, extraer información sensible, y ejecutar comandos y otros módulos indicados por el servidor de comando y control.

La verdadera intención de los atacantes, o sus objetivos, aún no son claros, pero algunos de los dominios vinculados a los servicios de comando y control tienen fechas de registro que data del 2015.

Fuente: https://thehackernews.com/2021/04/researchers-uncover-stealthy-linux.html

Hackers explotan vulnerabilidad en SonicWall para ataques ransomware

Un agresivo grupo de atacantes ha explotado la vulnerabilidad SonicWall en dispositivos VPN para diseminar una nueva versión de ransomware denominada FIVEHANDS.

El grupo, seguido por Mandiant como UNC2447, tomó ventaja de las diversas fallas que permiten a un autenticante ejecutar código remotamente en los dispositivos SSL-VPN SMA100, CVE-2021-20016

UNC2447 extorsiona a sus víctimas usando el ransomware, seguido de tácticas de presión a través de amenazas, y ofertas de venta de información en foros especializados.

La explotación de estas vulnerabilidades permite a un atacante acceder a credenciales e información de sesión, que le permiten directamente ingresar a la máquina vulnerada.

Fuente: https://thehackernews.com/2021/04/hackers-exploit-sonicwall-zero-day-bug.html

F5 Big-IP vulnerable a un bug de bypass de seguridad.

El sistema de F5 Networks, Big-IP Application Delivery Services contiene una vulnerabilidad que permitiría a un atacante saltarse las medidas de seguridad utilizadas para proteger trabajos sensibles.

Un atacante podría explotar la vulnerabilidad, conocida como CVE-2021-23008, para ingresar al manejador de políticas de acceso de Big-IP, evitando la seguridad Kerberos, en algunos casos incluso permitiendo acceso a la consola de administrador.

El impacto podría ser significativo, ya que F5 provee equipamiento de red para grandes compañías, como instituciones financieras globales o proveedores de internet.

F5 lanzó una actualización para su software, indicando que es importante instalar y monitorear constantemente la plataforma Kerberos para detectar comportamientos sospechosos.

Fuente: https://threatpost.com/f5-big-ip-security-bypass/165735/