CITA CITABLE de Seguridad --- MELTDOWN - SPECTRE - 21-02-18

CITA CITABLE de Seguridad 21-02-18

---------------------

Todo mundo esta hablando de las NUEVAS vulnerablidaddes de PROCESADORES INTEL las llamadas MELTDOWN - SPECTRE pero sabian que estas vulnerabilidades........

MELTDOWN

----------------

• Solo afecta a los procesadores Intel
• Existen muchos parches disponibles para evitar la técnica de Explotación de Meltdown.
• No se puede explotar de forma remota.
• Exploits conocidos hasta ahora, solo han estado en pruebas de laboratorio.

SPECTRE

----------------

• Afecta a los procesadores Intel, AMD y ARM
• Los parches están disponibles para la mayoría de los navegadores principales, pero estos solo cubren el navegador.
• basadas en explotaciones spectre.
• Intel espera tener actualizaciones de Microcódigo / Firmware para cubrir el 90% de los procesadores de los últimos 5 años antes de fin de semana.
• Exploits conocidos hasta ahora, solo han estado en pruebas de laboratorio.

PARCHANDO SU SISTEMA PARA EVITAR ESTOS ATAQUES.

Windows 7 SP1 and Windows Server 2008 R2 SP1	KB4056894
Windows 8.1 and Windows Server 2012 R2	KB4056895
Windows Server 2012	KB4056896
Windows 10 Version 1607 and Windows Server 2016	KB4057142

LO MEJOR POR EL MOMENTO ES ACTUALIZAR Y RECUERDEN AMIGOS  EN BREVE HABRA ACTUALIZACIONES DE MICROCODIGO firmware por parte de intel.

SALUDOS.

HIDDEN COBRA - Análisis técnico de Herramienta de Administración Remota (RAT) FALLCHILL

QUE ES UN RAT?

RAT (Remote Administration Tool) herramientas que son utilizadas para administrar remotamente algún tipo de sistema. Estas aplicaciones pueden ser legítimas o no y pueden ser utilizadas con o sin autorización del usuario.

Y en este caso habalremos de una de las utielrias que son usadas por el grupo LAZAROUS que es perteneciente  a corel del norte y que esta catalogado dentro la investigacion del FBI  con el nombre de HIDDEN COBRA.

DESCRIPCIÓNDe acuerdo con los informes confiables de terceros, los miembros de HIDDEN COBRA probablemente usaron el malware FALLCHILL desde 2016 para apuntar a las industrias aeroespacial, de telecomunicaciones y financiera.  

El malware es una RAT completamente funcional con múltiples comandos que los hacker´s pueden emitir desde un servidor de comando y control al sistema de la víctima a través de dos servidores proxy.  

FALLCHILL típicamente infecta un sistema como un archivo que se cae por otro malware HIDDEN COBRA o como un archivo descargado sin saberlo por los usuarios cuando visitan sitios comprometidos por los hacker´s de HIDDEN COBRA una vez comprometidos los sitios estos usan una herramienta externa o DROPPER para instalar el malware como servicio FALLCHILL para establecer la persistencia. Debido a esto, el malware HIDDEN COBRA adicional puede estar presente en sistemas comprometidos con FALLCHILL.Durante el análisis de la infraestructura utilizada por el malware FALLCHILL, el gobierno de EE. UU. Identificó 83 nodos de red. Además, al utilizar la información de registro disponible públicamente, el gobierno de EE. UU. Identificó los países en los que se registraron las direcciones IP infectadas.


FALLCHILL es el componente principal de una infraestructura C2 que utiliza múltiples proxies para ocultar el tráfico de red entre los HACKER´S de HIDDEN COBRA y el sistema de la víctima. De acuerdo con los informes confiables de terceros, la comunicación fluye desde el sistema de la víctima a los actores ocultos de COBRA utilizando una serie de proxies, como se muestra en la figura 1.

Figura 1. Flujo de comunicación de HIDDEN COBRA FALCHILLFALLCHILL utiliza comunicaciones falsas de Seguridad de la capa de transporte (TLS), codificando los datos con encriptación RC4 con la siguiente clave:

 [0d 06 09 2a 86 48 86 f7 0d 01 01 01 05 00 03 82] 


Despues FALLCHILL recolecta información básica del sistema y envía paquetes a la siguiente conexiónm, entre la información que recolecta esta la siguiente:

•     Información de la versión del sistema operativo (SO),
•     Información del procesador,
•     Nombre del sistema,
•     Información de la dirección IP local,
•     ID generada única, y
•     Dirección de control de acceso a medios (MAC).

FUNCIONES INTEGRADAS EN FALCHILL

FALLCHILL contiene las siguientes funciones integradas para operaciones remotas que proporcionan varias capacidades en el sistema de la víctima:

•     Recuperar información sobre todos los discos instalados, incluido el tipo de disco y la cantidad de espacio libre en el disco;
•     Crear, iniciar y terminar un nuevo proceso y su hilo principal;
•     Buscar, leer, escribir, mover y ejecutar archivos;
•     Obtener y modificar marcas de tiempo de archivos o directorios;
•     Cambiar el directorio actual para un proceso o archivo; y
•     Eliminar malware y artefactos asociados con el malware del sistema infectado. 

DETECCIÓN Y RESPUESTA A FALCHILL
 El DHS y el FBI recomiendan que los administradores de red revisen la información provista, identifiquen si alguna de las direcciones IP provistas cae dentro del espacio de direcciones IP asignadas a sus organizaciones, y si se encuentran, tomen las medidas necesarias para eliminar el malware.

Al revisar los registros del perímetro de la red para las direcciones IP, las organizaciones pueden encontrar instancias de estas direcciones IP que intentan conectarse a sus sistemas. Al revisar el tráfico de estas direcciones IP, los propietarios del sistema pueden encontrar que el tráfico se relaciona con actividad maliciosa y que parte del tráfico se relaciona con la actividad legítima.

FIRMAS DE RED O NETWORK SIGNATURES DE IDENTIFICACIÓN DE FALCHILL 


alert tcp any any -> any any (msg:"Malicious SSL 01 Detected";content:"|17 03 01 00 08|";  pcre:"/\x17\x03\x01\x00\x08.{4}\x04\x88\x4d\x76/"; rev:1; sid:2;)
_________________________________________________________________________
alert tcp any any -> any any (msg:"Malicious SSL 02 Detected";content:"|17 03 01 00 08|";  pcre:"/\x17\x03\x01\x00\x08.{4}\x06\x88\x4d\x76/"; rev:1; sid:3;)
__________________________________________________________________________
alert tcp any any -> any any (msg:"Malicious SSL 03 Detected";content:"|17 03 01 00 08|";  pcre:"/\x17\x03\x01\x00\x08.{4}\xb2\x63\x70\x7b/"; rev:1; sid:4;)
__________________________________________________________________________
alert tcp any any -> any any (msg:"Malicious SSL 04 Detected";content:"|17 03 01 00 08|";  pcre:"/\x17\x03\x01\x00\x08.{4}\xb0\x63\x70\x7b/"; rev:1; sid:5;)

_________________________________________________________________________

YARA RULES
---------------
Las siguientes reglas fueron provistas al NCCIC por un tercero de confianza con el propósito de ayudar en la identificación del malware asociado.

ESTE MATERIAL DHS / NCCIC SE SUMINISTRA "TAL CUAL". Estas reglas han sido probadas y determinadas para funcionar eficazmente en un entorno de laboratorio, pero no tenemos manera de saber si pueden funcionar de manera diferente en una red de producción. Se anima a cualquiera que use estas reglas a probarlaS.


rule rc4_stack_key_fallchill
{
meta:
    description = "rc4_stack_key"
strings:
    $stack_key = { 0d 06 09 2a ?? ?? ?? ?? 86 48 86 f7 ?? ?? ?? ?? 0d 01 01 01 ?? ?? ?? ?? 05 00 03 82 41 8b c9 41 8b d1 49 8b 40 08 48 ff c2 88 4c 02 ff ff c1 81 f9 00 01 00 00 7c eb }
condition:
    (uint16(0) == 0x5A4D and uint16(uint32(0x3c)) == 0x4550) and $stack_key
}
rule success_fail_codes_fallchill
{
meta:
    description = "success_fail_codes"
strings:
    $s0 = { 68 7a 34 12 00 }
    $s1 = { ba 7a 34 12 00 }
    $f0 = { 68 5c 34 12 00 }
    $f1 = { ba 5c 34 12 00 }
condition:
    (uint16(0) == 0x5A4D and uint16(uint32(0x3c)) == 0x4550) and (($s0 and $f0) or ($s1 and $f1))
}
__________________________________________________________________


 IMPACTO

Una intrusión de red exitosa puede tener impactos severos, particularmente si el compromiso se hace público y la información sensible queda expuesta. Los posibles impactos incluyen:

• Pérdida temporal o permanente de información confidencial o de propiedad exclusiva.
• Interrupción de las operaciones regulares,
• Pérdidas financieras incurridas para restaurar sistemas y archivos, y
• Daño potencial a la reputación de una organización.

IP´S IDENTIFICADAS EN UNA VARIANTE DE FALCHILL

10.10.30.110
175.100.189.174
125.212.132.222


DETALLES PE

• Nombre: E48FE20EB1F5A5887F2AC631FED9ED63 
• Tamaño:   94208
• Tipo: PE32 executable (GUI) Intel 80386, for MS Windows 
• MD5:  e48fe20eb1f5a5887f2ac631fed9ed63 
• SHA1: f83f30bd284074d1daaf2e262a280ca780791f2c 
• ssdeep: 1536:qJhDLw1yDhhzoN/e/C/O/C/a/D/I26251K06Zk/XrqqitM4NvL:qvfw1ahEVOS+Sq7IN251ikzq5tM4NvL 
• Entropy: 5.49321665686 

FECHA DE COMPILACIÓN DEL PORTABLE EJECUTABLE (PE)

2016-03-30T04:26:15Z  


COMPILADOR DEL PE

Microsoft Visual C++ v6.0

SECCIONES ENCONTRADAS DEL PORTABLE EJECUTABLE

FALCHILL es un ejecutable PE32 malicioso que permite a un operador  o un servidor para realizar varias operaciones remotas.

El malware contiene API codificadas funciones, RC4 encadenas codificadas con XOR y codificadas. Cuando es ejecutado, el malware XOR decodificará y RC4 descifra sus cadenas.
 
A continuación se muestra la clave codificada RC4 utilizada para descifrar datos y cadenas:

--Begin Key--

0D 06 09 2A 86 48 86 F7 0D 01 01 01 05 00 03 82

--End Key--

Displayed below are decrypted strings of interest:

--Begin strings--

"5mkfJY7kjmHcj4jlxG6jhsdRT7Faw7fj"

"CMUPD.bat"

"CMA25C.tmp"

"Software\\Microsoft\\Windows\\CurrentVersion\\Run"

"443"

"125.212.132.222"

"175.100.189.174"

"1992"

"10.10.30.110"

--End strings-

---------------------------------------------

ESTOS SON ALGUNOS DETALEES DE ESTA UTILERIA QUE PRESUMIBLEMENTE ES USADA PARA ATAQUES REMOTOS.

para mas información detallada contactarme. 

LI. RODOLFO H. BAZ

WWW.RODOLFOHBAZ.NET 

https://www.us-cert.gov/sites/default/files/publications/MAR-10135536-A_WHITE_S508C.pdf

 

HIDDEN COBRA - Detalles técnicos (Infraestructura de BOTNET DDoS de Corea del Norte)

Buen día amigos ya tiene un tiempo que no escribo algo sobre seguridad informática y bueno hoy me levante con ánimos y vamos a detallar la forma en que funciona la BOTNET HIDDEN COBRA que pertenece a corea del norte y que ha hecho muchisimos estragos en cuestiones tecnologicas, sin mas preámbulo EMPECEMOS.

Cabe señalar amigos de la que hablaremos hoy aquí es simplemente solo 1 de los varios MALWARES Y BOTNES que esta usando HIDDEN COBRA que pertenece al grupo LAZAROUS COMO LO SON:

-- HARDBRAIN

-- BADCALL

-- BANKSHOT

-- FALCHILL 

-- VOLGMER

y muchos mas de los cuales iremos hablando y dando detalles técnicos poco a poco en estos dias.


SISTEMAS AFECTADOS: Sistemas en red 

ACERCA DE HIDDEN COBRA

TRATAREMOs de  proporcionar detalles técnicos sobre las herramientas y la infraestructura utilizadas por los actores cibernéticos del gobierno de Corea del Norte para apuntar a los sectores de medios, aeroespacial, financiero y de infraestructura crítica en los Estados Unidos y en todo el mundo. Trabajando con socios del gobierno de EE. UU., El DHS y el FBI identificaron direcciones de Protocolo de Internet (IP) asociadas con una variante de malware, conocida como DeltaCharlie, utilizada para administrar la infraestructura de botnet de denegación de servicio distribuida (DDoS) de Corea del Norte. Esta alerta contiene indicadores de compromiso (IOC), descripciones de malware, firmas de red y reglas basadas en host para ayudar a los pentesters de la red a detectar la actividad realizada por el gobierno de Corea del Norte. 

El gobierno de EE. UU. Se refiere a la actividad cibernética maliciosa del gobierno de Corea del Norte como HIDDEN COBRA. 

Si los usuarios o administradores detectan las herramientas personalizadas indicativas de HIDDEN COBRA, estas herramientas deben marcarse inmediatamente, enviarse al Centro Nacional de Integración e Información de Ciberseguridad del DHS (NCCIC) o al Cyber Watch del FBI (CyWatch), y se les debe otorgar la más alta prioridad para la mitigación mejorada. 

Esta artículo identifica direcciones IP vinculadas a sistemas infectados con malware DeltaCharlie y proporciona descripciones del malware y las firmas de malware asociadas. DHS y el FBI están distribuyendo estas direcciones IP para habilitar las actividades de defensa de la red y reducir la exposición a la red de comando y control DDoS. El FBI confía en que los creadores de HIDDEN COBRA están usando las direcciones IP para una mayor explotación de la red.

 VULNERABILIDADES USADAS POR HIDDEN COBRA 

Los creadores de HIDDEN COBRA comúnmente se dirigen a sistemas que ejecutan versiones antiguas y no compatibles de los sistemas operativos de Microsoft. Las múltiples vulnerabilidades en estos sistemas antiguos proporcionan a los actores cibernéticos muchos objetivos para la explotación. Estos también han utilizado las vulnerabilidades de Adobe Flash Player para obtener una entrada inicial en los entornos de los usuarios.

HIDDEN COBRA es conocido por usar vulnerabilidades que afectan a varias aplicaciones.

  Estas vulnerabilidades incluyen:

     CVE-2015-6585: Vulnerabilidad del procesador de textos Hangul
     CVE-2015-8651: vulnerabilidad de Adobe Flash Player 18.0.0.324 y 19.x.
     CVE-2016-0034: vulnerabilidad de Microsoft Silverlight 5.1.41212.0
     CVE-2016-1019: vulnerabilidad de Adobe Flash Player 21.0.0.197
     CVE-2016-4117: vulnerabilidad de Adobe Flash Player 21.0.0.226 

DETALLES TÉCNICOS

DeltaCharlie es una herramienta DDoS capaz de lanzar ataques de Sistema de nombres de dominio (DNS), ataques de Protocolo de tiempo de red (NTP) y NAT de grado de operador (CGN). El malware opera en los sistemas de las víctimas como un servicio basado en svchost y es capaz de descargar ejecutables, cambiar su propia configuración, actualizar sus propios binarios, finalizar sus propios procesos y activar y terminar ataques de denegación de servicio. 

FIRMAS DE RED (Network Signatures)

alert tcp any any -> any any (msg:"DPRK_HIDDEN_COBRA_DDoS_HANDSHAKE_SUCCESS"; dsize:6; flow:established,to_server; content:"|18 17 e9 e9 e9 e9|"; fast_pattern:only; sid:1; rev:1;)
________________________________________________________________
alert tcp any any -> any any (msg:"DPRK_HIDDEN_COBRA_Botnet_C2_Host_Beacon"; flow:established,to_server; content:"|1b 17 e9 e9 e9 e9|"; depth:6; fast_pattern; sid:1; rev:1;)
________________________________________________________________

YARA RULES


{meta:
description = “RSA Key”
strings:
$rsaKey = {7B 4E 1E A7 E9 3F 36 4C DE F4 F0 99 C4 D9 B7 94
A1 FF F2 97 D3 91 13 9D C0 12 02 E4 4C BB 6C 77
48 EE 6F 4B 9B 53 60 98 45 A5 28 65 8A 0B F8 39
73 D7 1A 44 13 B3 6A BB 61 44 AF 31 47 E7 87 C2
AE 7A A7 2C 3A D9 5C 2E 42 1A A6 78 FE 2C AD ED
39 3F FA D0 AD 3D D9 C5 3D 28 EF 3D 67 B1 E0 68
3F 58 A0 19 27 CC 27 C9 E8 D8 1E 7E EE 91 DD 13
B3 47 EF 57 1A CA FF 9A 60 E0 64 08 AA E2 92 D0}
condition:
any of them
}
________________________________________________________________
{
meta:
description = “DDoS Misspelled Strings”
strings:
$STR1 = "Wating" wide ascii
$STR2 = "Reamin" wide ascii
$STR3 = "laptos" wide ascii
condition:
(uint16(0) == 0x5A4D or uint16(0) == 0xCFD0 or uint16(0) == 0xC3D4 or uint32(0) == 0x46445025 or uint32(1) == 0x6674725C) and 2 of them
}
________________________________________________________________
{
meta:
description = “DDoS Random URL Builder”
strings:
$randomUrlBuilder = { 83 EC 48 53 55 56 57 8B 3D ?? ?? ?? ?? 33 C0 C7 44 24 28 B4 6F 41 00 C7 44 24 2C B0 6F 41 00 C7 44 24 30 AC 6F 41 00 C7 44 24 34 A8 6F 41 00 C7 44 24 38 A4 6F 41 00 C7 44 24 3C A0 6F 41 00 C7 44 24 40 9C 6F 41 00 C7 44 24 44 94 6F 41 00 C7 44 24 48 8C 6F 41 00 C7 44 24 4C 88 6F 41 00 C7 44 24 50 80 6F 41 00 89 44 24 54 C7 44 24 10 7C 6F 41 00 C7 44 24 14 78 6F 41 00 C7 44 24 18 74 6F 41 00 C7 44 24 1C 70 6F 41 00 C7 44 24 20 6C 6F 41 00 89 44 24 24 FF D7 99 B9 0B 00 00 00 F7 F9 8B 74 94 28 BA 9C 6F 41 00 66 8B 06 66 3B 02 74 34 8B FE 83 C9 FF 33 C0 8B 54 24 60 F2 AE 8B 6C 24 5C A1 ?? ?? ?? ?? F7 D1 49 89 45 00 8B FE 33 C0 8D 5C 11 05 83 C9 FF 03 DD F2 AE F7 D1 49 8B FE 8B D1 EB 78 FF D7 99 B9 05 00 00 00 8B 6C 24 5C F7 F9 83 C9 FF 33 C0 8B 74 94 10 8B 54 24 60 8B FE F2 AE F7 D1 49 BF 60 6F 41 00 8B D9 83 C9 FF F2 AE F7 D1 8B C2 49 03 C3 8B FE 8D 5C 01 05 8B 0D ?? ?? ?? ?? 89 4D 00 83 C9 FF 33 C0 03 DD F2 AE F7 D1 49 8D 7C 2A 05 8B D1 C1 E9 02 F3 A5 8B CA 83 E1 03 F3 A4 BF 60 6F 41 00 83 C9 FF F2 AE F7 D1 49 BE 60 6F 41 00 8B D1 8B FE 83 C9 FF 33 C0 F2 AE F7 D1 49 8B FB 2B F9 8B CA 8B C1 C1 E9 02 F3 A5 8B C8 83 E1 03 F3 A4 8B 7C 24 60 8D 75 04 57 56 E8 ?? ?? ?? ?? 83 C4 08 C6 04 3E 2E 8B C5 C6 03 00 5F 5E 5D 5B 83 C4 48 C3 }
condition:
$randomUrlBuilder

}
________________________________________________________________


El troyano WhiskeyAlfa MBR realiza las siguientes tareas:

 
1. Sobrescribe 64 sectores comenzando en el sector 1024 con datos aleatorios 256 veces (los datos aleatorios a usar se encuentran en 0000: 0000   mediante 0000: 7FFF   en modo de 16 bits).

 
2. Copia el MBR actual a cada unidad física adjunta. Parecería que la modificación MBR de WhiskeyAlfa-Three actúa como una forma de seguridad en caso de que una unidad de disco la destrucción no se completó cuando la computadora de la víctima se apagó y usa el MBR para promover la destrucción.
-
La información de la unidad de disco duro de la víctima es un testimonio de la motivación de los desarrolladores de WhiskeyAlfa para garantizar devastación de los datos de la víctima.

 
WhiskeyAlfa-Three es definitivamente una pieza específica de malware, ya que incluye un modo (a través del -s   argumento) que intentar conectarse a una serie de servidores que muy probablemente pertenecían a la infraestructura SPE y eliminar todos los archivos disponibles a través de acciones en los servidores.

Para conectarse a los servidores

WhiskeyAlfa-Three emite el siguiente comando a través de CreateProcess:
 

cmd.exe /c net use SERVERNAME“P@ssw0rd123” /u:”SPE\ADutta2-1” > RANDOM_

P

--------------------------------------------------------

ESTRATEGIAS DE MITIGACIÓNSe alienta a los administradores de red a aplicar las siguientes recomendaciones, que pueden evitar hasta el 85 por ciento de las intrusiones cibernéticas dirigidas. Las estrategias de mitigación proporcionadas pueden parecer de sentido común. Sin embargo, muchas organizaciones no usan estas medidas de seguridad básicas, dejando sus sistemas abiertos a un ATAQUE:

• Aplicacion de parches y sistemas operativos: la mayoría de los atacantes apuntan a aplicaciones y sistemas operativos vulnerables. Garantizar que las aplicaciones y los sistemas operativos estén actualizados con las últimas actualizaciones reduce en gran medida la cantidad de puntos de entrada explotables disponibles para un atacante. Utilice las mejores prácticas al actualizar el software y los parches solo descargando actualizaciones de sitios de proveedores autenticados.

• Utilice la lista blanca de aplicaciones: la inclusión de listas blancas es una de las mejores estrategias de seguridad, ya que solo permite la ejecución de programas específicos y bloquea todos los demás, incluido el software malicioso.

• Restrinja los privilegios administrativos: las amenazas se centran cada vez más en obtener el control de las credenciales legítimas, especialmente las credenciales asociadas con cuentas con privilegios elevados. Reduzca los privilegios solo a aquellos necesarios para las tareas de un usuario. Separe los administradores en niveles de privilegios con acceso limitado a otros niveles.

• Segmente las redes y segreguelas en zonas de seguridad: segmente las redes en enclaves lógicos y restrinja las rutas de comunicación host-a-host. Esto ayuda a proteger la información sensible y los servicios críticos, y limita el daño de las infracciones del perímetro de la red.

• Validar entrada: la validación de entrada es un método para desinfectar la entrada no confiable proporcionada por los usuarios de una aplicación web. La implementación de validación de entrada puede proteger contra los defectos de seguridad de las aplicaciones web al reducir significativamente la probabilidad de una explotación exitosa. Los tipos de ataques posiblemente evitados incluyen la inyección de lenguaje estructurado de consulta (SQL), scripts entre sitios e inyección de comandos.

• Use una configuración de reputación de archivos estricta: ajuste los sistemas de reputación de archivos de su software antivirus a la configuración más agresiva posible. Algunos productos antivirus pueden limitar la ejecución solo a los archivos de mayor reputación, impidiendo que una amplia gama de códigos no confiables gane el control.

• Configurar bien sus FIREWALLS: los cortafuegos proporcionan seguridad para que su red sea menos susceptible a los ataques. Se pueden configurar para bloquear datos y aplicaciones desde ciertas ubicaciones (lista blanca de IP), mientras permiten el paso de datos relevantes y necesarios.

 

Amigos si necesitan mas información de detalles técnicos de esta red, favor de contactarme.  saludos 

LI: Rodolfo H. Baz
www.rodolfohbaz.net       https://www.us-cert.gov/ncas/alerts/TA17-164A