Buen día amigos ya tiene un tiempo que no escribo algo sobre seguridad informática y bueno hoy me levante con ánimos y vamos a detallar la forma en que funciona la BOTNET HIDDEN COBRA que pertenece a corea del norte y que ha hecho muchisimos estragos en cuestiones tecnologicas, sin mas preámbulo EMPECEMOS.
Cabe señalar amigos de la que hablaremos hoy aquí es simplemente solo 1 de los varios MALWARES Y BOTNES que esta usando HIDDEN COBRA que pertenece al grupo LAZAROUS COMO LO SON:
-- HARDBRAIN
-- BADCALL
-- BANKSHOT
-- FALCHILL
-- VOLGMER
y muchos mas de los cuales iremos hablando y dando detalles técnicos poco a poco en estos dias.
SISTEMAS AFECTADOS: Sistemas en red
ACERCA DE HIDDEN COBRA
Cabe señalar amigos de la que hablaremos hoy aquí es simplemente solo 1 de los varios MALWARES Y BOTNES que esta usando HIDDEN COBRA que pertenece al grupo LAZAROUS COMO LO SON:
-- HARDBRAIN
-- BADCALL
-- BANKSHOT
-- FALCHILL
-- VOLGMER
y muchos mas de los cuales iremos hablando y dando detalles técnicos poco a poco en estos dias.
SISTEMAS AFECTADOS: Sistemas en red
ACERCA DE HIDDEN COBRA
TRATAREMOs de proporcionar detalles técnicos sobre las herramientas y la infraestructura utilizadas por los actores cibernéticos del gobierno de Corea del Norte para apuntar a los sectores de medios, aeroespacial, financiero y de infraestructura crítica en los Estados Unidos y en todo el mundo. Trabajando con socios del gobierno de EE. UU., El DHS y el FBI identificaron direcciones de Protocolo de Internet (IP) asociadas con una variante de malware, conocida como DeltaCharlie, utilizada para administrar la infraestructura de botnet de denegación de servicio distribuida (DDoS) de Corea del Norte. Esta alerta contiene indicadores de compromiso (IOC), descripciones de malware, firmas de red y reglas basadas en host para ayudar a los pentesters de la red a detectar la actividad realizada por el gobierno de Corea del Norte.
El gobierno de EE. UU. Se refiere a la actividad cibernética maliciosa del gobierno de Corea del Norte como HIDDEN COBRA.
Si los usuarios o administradores detectan las herramientas personalizadas indicativas de HIDDEN COBRA, estas herramientas deben marcarse inmediatamente, enviarse al Centro Nacional de Integración e Información de Ciberseguridad del DHS (NCCIC) o al Cyber Watch del FBI (CyWatch), y se les debe otorgar la más alta prioridad para la mitigación mejorada.
Esta artículo identifica direcciones IP vinculadas a sistemas infectados con malware DeltaCharlie y proporciona descripciones del malware y las firmas de malware asociadas. DHS y el FBI están distribuyendo estas direcciones IP para habilitar las actividades de defensa de la red y reducir la exposición a la red de comando y control DDoS. El FBI confía en que los creadores de HIDDEN COBRA están usando las direcciones IP para una mayor explotación de la red.
VULNERABILIDADES USADAS POR HIDDEN COBRA
Los creadores de HIDDEN COBRA comúnmente se dirigen a sistemas que ejecutan versiones antiguas y no compatibles de los sistemas operativos de Microsoft. Las múltiples vulnerabilidades en estos sistemas antiguos proporcionan a los actores cibernéticos muchos objetivos para la explotación. Estos también han utilizado las vulnerabilidades de Adobe Flash Player para obtener una entrada inicial en los entornos de los usuarios.
HIDDEN COBRA es conocido por usar vulnerabilidades que afectan a varias aplicaciones.
Estas vulnerabilidades incluyen:
CVE-2015-6585: Vulnerabilidad del procesador de textos Hangul
CVE-2015-8651: vulnerabilidad de Adobe Flash Player 18.0.0.324 y 19.x.
CVE-2016-0034: vulnerabilidad de Microsoft Silverlight 5.1.41212.0
CVE-2016-1019: vulnerabilidad de Adobe Flash Player 21.0.0.197
CVE-2016-4117: vulnerabilidad de Adobe Flash Player 21.0.0.226
CVE-2015-6585: Vulnerabilidad del procesador de textos Hangul
CVE-2015-8651: vulnerabilidad de Adobe Flash Player 18.0.0.324 y 19.x.
CVE-2016-0034: vulnerabilidad de Microsoft Silverlight 5.1.41212.0
CVE-2016-1019: vulnerabilidad de Adobe Flash Player 21.0.0.197
CVE-2016-4117: vulnerabilidad de Adobe Flash Player 21.0.0.226
DETALLES TÉCNICOS
DeltaCharlie es una herramienta DDoS capaz de lanzar ataques de Sistema de nombres de dominio (DNS), ataques de Protocolo de tiempo de red (NTP) y NAT de grado de operador (CGN). El malware opera en los sistemas de las víctimas como un servicio basado en svchost y es capaz de descargar ejecutables, cambiar su propia configuración, actualizar sus propios binarios, finalizar sus propios procesos y activar y terminar ataques de denegación de servicio.
FIRMAS DE RED (Network Signatures)
________________________________________________________________
alert tcp any any -> any any (msg:"DPRK_HIDDEN_COBRA_Botnet_C2_Host_Beacon"; flow:established,to_server; content:"|1b 17 e9 e9 e9 e9|"; depth:6; fast_pattern; sid:1; rev:1;)
________________________________________________________________
YARA RULES
{meta:
description = “RSA Key”
strings:
$rsaKey = {7B 4E 1E A7 E9 3F 36 4C DE F4 F0 99 C4 D9 B7 94
A1 FF F2 97 D3 91 13 9D C0 12 02 E4 4C BB 6C 77
48 EE 6F 4B 9B 53 60 98 45 A5 28 65 8A 0B F8 39
73 D7 1A 44 13 B3 6A BB 61 44 AF 31 47 E7 87 C2
AE 7A A7 2C 3A D9 5C 2E 42 1A A6 78 FE 2C AD ED
39 3F FA D0 AD 3D D9 C5 3D 28 EF 3D 67 B1 E0 68
3F 58 A0 19 27 CC 27 C9 E8 D8 1E 7E EE 91 DD 13
B3 47 EF 57 1A CA FF 9A 60 E0 64 08 AA E2 92 D0}
condition:
any of them
}
________________________________________________________________
{
meta:
description = “DDoS Misspelled Strings”
strings:
$STR1 = "Wating" wide ascii
$STR2 = "Reamin" wide ascii
$STR3 = "laptos" wide ascii
condition:
(uint16(0) == 0x5A4D or uint16(0) == 0xCFD0 or uint16(0) == 0xC3D4 or uint32(0) == 0x46445025 or uint32(1) == 0x6674725C) and 2 of them
}
________________________________________________________________
{
meta:
description = “DDoS Random URL Builder”
strings:
$randomUrlBuilder = { 83 EC 48 53 55 56 57 8B 3D ?? ?? ?? ?? 33 C0 C7 44 24 28 B4 6F 41 00 C7 44 24 2C B0 6F 41 00 C7 44 24 30 AC 6F 41 00 C7 44 24 34 A8 6F 41 00 C7 44 24 38 A4 6F 41 00 C7 44 24 3C A0 6F 41 00 C7 44 24 40 9C 6F 41 00 C7 44 24 44 94 6F 41 00 C7 44 24 48 8C 6F 41 00 C7 44 24 4C 88 6F 41 00 C7 44 24 50 80 6F 41 00 89 44 24 54 C7 44 24 10 7C 6F 41 00 C7 44 24 14 78 6F 41 00 C7 44 24 18 74 6F 41 00 C7 44 24 1C 70 6F 41 00 C7 44 24 20 6C 6F 41 00 89 44 24 24 FF D7 99 B9 0B 00 00 00 F7 F9 8B 74 94 28 BA 9C 6F 41 00 66 8B 06 66 3B 02 74 34 8B FE 83 C9 FF 33 C0 8B 54 24 60 F2 AE 8B 6C 24 5C A1 ?? ?? ?? ?? F7 D1 49 89 45 00 8B FE 33 C0 8D 5C 11 05 83 C9 FF 03 DD F2 AE F7 D1 49 8B FE 8B D1 EB 78 FF D7 99 B9 05 00 00 00 8B 6C 24 5C F7 F9 83 C9 FF 33 C0 8B 74 94 10 8B 54 24 60 8B FE F2 AE F7 D1 49 BF 60 6F 41 00 8B D9 83 C9 FF F2 AE F7 D1 8B C2 49 03 C3 8B FE 8D 5C 01 05 8B 0D ?? ?? ?? ?? 89 4D 00 83 C9 FF 33 C0 03 DD F2 AE F7 D1 49 8D 7C 2A 05 8B D1 C1 E9 02 F3 A5 8B CA 83 E1 03 F3 A4 BF 60 6F 41 00 83 C9 FF F2 AE F7 D1 49 BE 60 6F 41 00 8B D1 8B FE 83 C9 FF 33 C0 F2 AE F7 D1 49 8B FB 2B F9 8B CA 8B C1 C1 E9 02 F3 A5 8B C8 83 E1 03 F3 A4 8B 7C 24 60 8D 75 04 57 56 E8 ?? ?? ?? ?? 83 C4 08 C6 04 3E 2E 8B C5 C6 03 00 5F 5E 5D 5B 83 C4 48 C3 }
condition:
$randomUrlBuilder
}
________________________________________________________________
El troyano WhiskeyAlfa MBR realiza las siguientes tareas:
________________________________________________________________
El troyano WhiskeyAlfa MBR realiza las siguientes tareas:
1. Sobrescribe 64 sectores comenzando en el sector 1024 con datos aleatorios 256 veces (los datos aleatorios a usar se encuentran en 0000: 0000 mediante 0000: 7FFF en modo de 16 bits).
2. Copia el MBR actual a cada unidad física adjunta. Parecería que la modificación MBR de WhiskeyAlfa-Three actúa como una forma de seguridad en caso de que una unidad de disco la destrucción no se completó cuando la computadora de la víctima se apagó y usa el MBR para promover la destrucción.
-
La información de la unidad de disco duro de la víctima es un testimonio de la motivación de los desarrolladores de WhiskeyAlfa para garantizar devastación de los datos de la víctima.
WhiskeyAlfa-Three es definitivamente una pieza específica de malware, ya que incluye un modo (a través del -s argumento) que intentar conectarse a una serie de servidores que muy probablemente pertenecían a la infraestructura SPE y eliminar todos los archivos disponibles a través de acciones en los servidores.
Para conectarse a los servidores
WhiskeyAlfa-Three emite el siguiente comando a través de CreateProcess:
cmd.exe /c net use SERVERNAME“P@ssw0rd123” /u:”SPE\ADutta2-1” > RANDOM_
P --------------------------------------------------------
ESTRATEGIAS DE MITIGACIÓNSe alienta a los administradores de red a aplicar las siguientes recomendaciones, que pueden evitar hasta el 85 por ciento de las intrusiones cibernéticas dirigidas. Las estrategias de mitigación proporcionadas pueden parecer de sentido común. Sin embargo, muchas organizaciones no usan estas medidas de seguridad básicas, dejando sus sistemas abiertos a un ATAQUE:
Amigos si necesitan mas información de detalles técnicos de esta red, favor de contactarme. saludos - Aplicacion de parches y sistemas operativos: la mayoría de los atacantes apuntan a aplicaciones y sistemas operativos vulnerables. Garantizar que las aplicaciones y los sistemas operativos estén actualizados con las últimas actualizaciones reduce en gran medida la cantidad de puntos de entrada explotables disponibles para un atacante. Utilice las mejores prácticas al actualizar el software y los parches solo descargando actualizaciones de sitios de proveedores autenticados.
- Utilice la lista blanca de aplicaciones: la inclusión de listas blancas es una de las mejores estrategias de seguridad, ya que solo permite la ejecución de programas específicos y bloquea todos los demás, incluido el software malicioso.
- Restrinja los privilegios administrativos: las amenazas se centran cada vez más en obtener el control de las credenciales legítimas, especialmente las credenciales asociadas con cuentas con privilegios elevados. Reduzca los privilegios solo a aquellos necesarios para las tareas de un usuario. Separe los administradores en niveles de privilegios con acceso limitado a otros niveles.
- Segmente las redes y segreguelas en zonas de seguridad: segmente las redes en enclaves lógicos y restrinja las rutas de comunicación host-a-host. Esto ayuda a proteger la información sensible y los servicios críticos, y limita el daño de las infracciones del perímetro de la red.
- Validar entrada: la validación de entrada es un método para desinfectar la entrada no confiable proporcionada por los usuarios de una aplicación web. La implementación de validación de entrada puede proteger contra los defectos de seguridad de las aplicaciones web al reducir significativamente la probabilidad de una explotación exitosa. Los tipos de ataques posiblemente evitados incluyen la inyección de lenguaje estructurado de consulta (SQL), scripts entre sitios e inyección de comandos.
- Use una configuración de reputación de archivos estricta: ajuste los sistemas de reputación de archivos de su software antivirus a la configuración más agresiva posible. Algunos productos antivirus pueden limitar la ejecución solo a los archivos de mayor reputación, impidiendo que una amplia gama de códigos no confiables gane el control.
- Configurar bien sus FIREWALLS: los cortafuegos proporcionan seguridad para que su red sea menos susceptible a los ataques. Se pueden configurar para bloquear datos y aplicaciones desde ciertas ubicaciones (lista blanca de IP), mientras permiten el paso de datos relevantes y necesarios.
LI: Rodolfo H. Baz
www.rodolfohbaz.net https://www.us-cert.gov/ncas/alerts/TA17-164A
No hay comentarios:
Publicar un comentario