Lima, 9 de agosto de 2020...protección antivirus móvil no escanea los conjuntos de instrucciones...
11
Transcript of Lima, 9 de agosto de 2020...protección antivirus móvil no escanea los conjuntos de instrucciones...
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el
Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea
del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y
la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de
Seguridad Digital.
El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades
públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que
pudieran afectar la continuidad de sus servicios en favor de la población.
Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que
los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las
personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.
La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las
áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.
Lima, 9 de agosto de 2020
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
Contenido Vulnerabilidades en el chipset móvil Snapdragon podrían afectar al 40% de los smartphones. ................. 3
El FBI advierte ataques cibernéticos contra sistemas Windows 7 que llegaron al final de su vida útil ........ 4
Los hackers pueden abusar del actualizador de Microsoft Teams para instalar malware. .......................... 5
Malware suplanta a la aplicación OLX. .......................................................................................................... 6
Ataque tipo defacement municipalidad de Castilla - Piura ........................................................................... 7
Detección del troyano AZORult ..................................................................................................................... 8
Índice alfabético ..........................................................................................................................................10
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 127
Fecha: 9-08-2020
Página: 3 de 10
Componente que reporta PECERT│EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL
Nombre de la alerta Vulnerabilidades en el chipset móvil Snapdragon podrían afectar al 40% de los smartphones.
Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC
Medios de propagación Red e internet
Código de familia H Código de subfamilia H01
Clasificación temática familia Intento de intrusión
Descripción
1. Resumen:
El Equipo de Respuesta ante Incidentes de Seguridad Digital Nacional, a través de búsqueda de amenazas en el ciberespacio, informa que especialistas en ciberseguridad, han detectado 6 vulnerabilidades graves en el chipset móvil Snapdragon de Qualcomm que afectarían al 40% del parque de teléfonos inteligentes, incluyéndose los pertenecientes a fabricantes tan variados como Google, Samsung, LG, Xiaomi o OnePlus. Estas fallas de seguridad podrían permitir que los ciberdelincuentes ejecuten ataques de denegación de servicio (DoS) y de escalada de privilegios, permitiendo obtener el control de un teléfono.
2. Detalles de la alerta:
Durante una de las conferencias de seguridad DEF CON Safe Mode, realizada en el mes de julio, se hicieron públicas 6 vulnerabilidades graves en el chipset móvil Snapdragon de Qualcomm, identificados con el código CVE-2020-11201, CVE-2020-11202, CVE-2020-11206, CVE-2020-11207, CVE-2020-11208 y CVE-2020-11209
El componente defectuoso de Qualcomm es el SoC Snapdragon y la arquitectura Hexagon implementada en ellos. Hexagon es una arquitectura para el procesador de señal digital (DSP) de Qualcomm, que permite realizar mucho más rápido las tareas de la CPU y reducir el consumo de energía requerido. Hexagon controla el procesamiento de las solicitudes en tiempo real entre el entorno de usuario de Android y el firmware del procesador Snapdragon, y se encarga de convertir en datos procesables computacionalmente la voz, el video, sensores como el GPS, etc.
Según investigadores de la empresa de ciberseguridad de Check Point, los fallos descubiertos en el procesador de señal digital (DSP) se podrían utilizar para recolectar fotos, videos, grabaciones de llamadas, datos de micrófonos en tiempo real y datos de GPS y ubicación del dispositivo. También podría llegar a inutilizar un teléfono específico o utilizarse para implantar malware de forma desapercibida. El requisito para explotar estas vulnerabilidades pasa por convencer al usuario objetivo para que descargue y ejecute una app maliciosa.
Por consiguiente, los ataques permitirían a los ciberdelincuentes crear condiciones de denegación de servicio persistentes en el teléfono, mientras el hardware no sea restablecido de fábrica. Un ataque también podría incluir un pánico del kernel del procesador de señal digital (DSP) que reinicia el teléfono. Y debido a que, según Check Point, la protección antivirus móvil no escanea los conjuntos de instrucciones de Hexagon, un adversario puede ocultar código malicioso dentro de la biblioteca de esqueleto de DSP.
Cabe precisar, desde Qualcomm, en un comunicado declaran que no disponen de evidencias de que estos problemas estén siendo explotados actualmente.
3. Recomendaciones:
Actualizar los parches de seguridad en el sitio web oficial del fabricante en cuanto estén disponibles.
Tener un antivirus o antimalware y estar actualizado.
Verificar antes de descargar aplicaciones y que estos provengan de sitios confiables como Google Play Store.
Realizar concientización constante a los usuarios sobre este tipo de ciberamenaza.
Fuentes de información Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 127
Fecha: 09-08-2020
Página: 4 de 10
Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ
Nombre de la alerta El FBI advierte ataques cibernéticos contra sistemas Windows 7 que llegaron al final de su vida útil
Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC Medios de propagación Red, internet Código de familia H Código de subfamilia H01 Clasificación temática familia Intento de intrusión
Descripción
1. El 09 de agosto de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se ha encontrado información publicada el 08 de julio de 2020 por Security Affairs, sobre advierten a las compañías que ejecutan sistemas Windows 7 sobre el mayor riesgo de ser pirateadas porque el sistema operativo Microsoft ha llegado al final de su vida.
2. A principios de esta semana, el FBI ha enviado una notificación de la industria privada (número PIN 20200803-002) a los socios del sector privado de los EE. UU. El FBI ha observado que los ciberdelincuentes atacan la infraestructura de la red informática después de que un sistema operativo alcanza el estado de fin de vida.
3. Continuar usando Windows 7 dentro de una empresa puede proporcionar a los ciberdelincuentes acceso a los sistemas informáticos. A medida que pasa el tiempo, Windows 7 se vuelve más vulnerable a la explotación debido a la falta de actualizaciones de seguridad y nuevas vulnerabilidades descubiertas. Con menos clientes capaces de mantener un sistema parcheado de Windows 7 después de su fin de vida, los ciberdelincuentes continuarán viendo a Windows 7 como un objetivo flexible.
4. Los expertos explicaron que los actores de amenazas podrían explotar múltiples vulnerabilidades conocidas que afectan a Windows 7 para comprometer los sistemas que ejecutan el popular sistema operativo Microsoft.
5. Se recomienda:
Asegurar de que los antivirus, los filtros de spam y los cortafuegos estén actualizados, configurados correctamente y sean seguros.
Auditar su red para sistemas que utilizan RDP, cerrar puertos RDP no utilizados, aplicar autenticación de dos factores siempre que sea posible e iniciar sesión con intentos de inicio de sesión RDP.
Fuentes de información https[:]//securityaffairs.co/wordpress/106846/security/fbi-warning-windows-7-eof.html
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 127
Fecha: 09-08-2020
Página: 5 de 10
Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ Nombre de la alerta Los hackers pueden abusar del actualizador de Microsoft Teams para instalar malware. Tipo de ataque Malware Abreviatura Malware Medios de propagación USB, correo, red, navegación internet. Código de familia C Código de subfamilia C02 Clasificación temática familia Código malicioso
Descripción
1. El 09 de agosto de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó por el arquitecto de amenazas Reegun Jayapaul de SpiderLabs, han encontrado un error los equipos de Microsoft, que pueden funcionar como un binario Living Off the Land (LoLBin) y ayudar a los atacantes a recuperar y ejecutar malware desde una ubicación remota.
2. El método original se reveló por primera vez el año pasado y se basa en el uso del comando 'actualizar' para ejecutar código binario arbitrario en el contexto del usuario actual.
3. Antes de que Microsoft introdujera mitigaciones, un atacante podía descargar malware de una URL externa e implementarlo en el sistema desde un ejecutable confiable (firmado).
4. Ahora un atacante podría llegar al mismo resultado utilizando el paquete simulado de Microsoft Teams con el genuino "Update.Exe" de la aplicación, que ejecutaba cualquier cosa desde ciertas ubicaciones.
5. Con esta restricción en su lugar, aprovechar Teams como LoLBin requiere que el atacante coloque el archivo malicioso en una carpeta compartida en la red y luego acceda a la carga desde la computadora de la víctima.
6. El actor de la amenaza puede crear un recurso compartido remoto, que evita el paso de obtener el malware en el recurso compartido local.
7. Se recomienda lo siguiente:
Realizar monitoreo de líneas de comando "update.exe" para conexiones dudosas.
Verificar el tamaño de "squirrel.exe" puede determinar si se utiliza un archivo legítimo.
Comprobar el hash y el seguimiento de las conexiones SMB, en particular del actualizador de Microsoft Teams, también ayudan a descubrir un ataque en progreso.
Fuentes de información http[:]//www.bleepingcomputer.com/news/security/hackers-can-abuse-microsoft-teams-updater-to-install-malware/
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 127
Fecha: 08-08-2020
Página: 6 de 10
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ Nombre de la alerta Malware suplanta a la aplicación OLX. Tipo de ataque Malware Abreviatura Malware Medios de propagación Redes sociales, SMS, correo electrónico. Código de familia C Código de subfamilia C03 Clasificación temática familia Código malicioso.
Descripción
1. El 08 de agosto de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó de un aplicativo malicioso de mercado global en línea de nombre “OLX-Beta_3.89.apk”, circula principalmente por redes sociales, invitando a los usuarios a descargar e instalarlo desde una tienda de aplicaciones digitales.
2. Por otro lado, se analizó el citado enlace en la página web “Virus Total” donde es catalogado como Malicioso.
3. Se recomienda:
Evitar ingresar a enlaces no confiables.
Evitar descargar y abrir archivos de fuentes no confiables.
Mantener los equipos protegidos, con el software actualizado.
Fuentes de información Comandancia de Ciberdefensa de la Marina, OSINT.
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 127
Fecha: 9-08-2020
Página: 7 de 10
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ
Nombre de la alerta Ataque tipo defacement municipalidad de Castilla - Piura
Tipo de ataque Destrucción o alteración de la información de configuración
Abreviatura DAIC
Medios de propagación Red, internet
Código de familia K Código de subfamilia K02
Clasificación temática familia Uso inapropiado de recursos
Descripción
1. El 9 de agosto de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento de la página web de dominio [.gob.pe] que sufrió un ataque cibernético de tipo defacement. Los ciberdelincuentes aprovechan el bajo nivel de seguridad de los sitios web para realizar este tipo de ataque.
Fecha Página atacada Hacker Referencia
08/08/2020 http[:]//certificados.municastilla.gob.pe/r00t.txt cyber_hunter Municipalidad Distrital de Castilla -
Piura.
2. Se recomienda:
Elegir un proveedor confiable de Hosting para alojamiento del servicio web con servicios de seguridad (Sistema de prevención de intrusos, FIREWALL, Firewall para Aplicaciones Web y base de datos).
Adquirir un certificado de seguridad para proteger el sitio web.
Contratar un escáner de seguridad para el sitio web.
Realizar copias de seguridad del sitio web con frecuencia.
Establecer contraseñas seguras para la administración del servicio web y base de datos, así como para los usuarios.
Tener software actualizados.
Fuentes de información Comandancia de Ciberdefensa de la Marina, Osint.
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 127
Fecha: 9-08-2020
Página: 8 de 10
Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ
Nombre de la alerta Detección del troyano AZORult
Tipo de ataque Troyano Abreviatura Troyano
Medios de propagación USB, disco, red, correo, navegación de internet
Código de familia C Código de subfamilia C01
Clasificación temática familia Código malicioso
Descripción
1. El 09 de agosto de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, en el sitio web “ANY RUN”, se informa sobre la detección, que al ser ejecutado busca información útil en la computadora de la víctima o afectada y la envía al servidor comando y control (C2), el cual se distribuye a través de campañas de correos electrónicos inteligentes.
2. Detalles:
Los actores de la amenaza del troyano AZORult tiene como finalidad obtener la siguiente información:
o Robar datos de la computadora, como programas instalados, identificador único global de la máquina (GUID), arquitectura del sistema, idioma del sistema, nombre de usuario, nombre de la computadora y versión del sistema operativo.
o Robar nombres de usuario, contraseñas y nombres de host de diferentes navegadores.
o robar información confidencial como contraseñas bancarias, detalles de tarjetas de crédito.
o Robar carteras o criptomonedas de bitcoin, Monero y uCoin.
AZORult inicia el siguiente proceso durante su ejecución:
o Al ejecutarse abre un archivo de Microsoft Office y se ejecuta WINWORD.EXE con habilitar macros.
o El malware ejecuta EQNEDT32.EXE y descarga un ejecutable malicioso mediante la explotación de la vulnerabilidad CVE-2017-11882 Microsoft Office Equation Editor.
o A continuación, se inicia un archivo 3.exe que cambia el valor de ejecución automática en el registro. Luego, un archivo ejecutable malicioso procede a realizar cambios en el registro para que el sistema lo ejecute al inicio del sistema.
o Un archivo ejecutable malicioso se inicia y luego procede a robar los datos personales y conectarse al servidor comando y control (C2).
o Luego, un archivo ejecutable malicioso inicia cmd.exe para borrarse después de un tiempo de espera de 3 segundos.
Imagen del proceso de infección del troyano AZORult:
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
Indicadores de compromiso.
o Archivos analizados: Nombre: 1010.html.pif
Tipo: Win32 EXE
Tamaño: 2.01 MB (2110640 bytes)
MD5: 07d27c7cb3a0ce654d566f3991d03ade
SHA-1: 4dc94705706b1ffc7decb8ccfe813866822bc81a
SHA-256: 25a419f3b2963cf24fda8824b538b67dc73fd2e4d32e73cd5bfdf935c61769dd
Nombre: Dumped.bin
Tipo: Win32 EXE
Tamaño: 112.50 KB (115200 bytes)
MD5: 8246d054df8814106a8c11ae6df1e946
SHA-1: 8e9e84bd726fd9042fb99139b8c7dd00fccdc0a2
SHA-256: 0fe774d249d7c3093dd6b8de1c9c045f6efd4553710d877828e871e1be0e54f4
3. Algunas Recomendaciones:
No abra archivos sospechosos.
No siga instrucciones de desconocidos.
Mantenga su antivirus actualizado.
Descargar aplicaciones de fuentes confiables.
Tenga presente que los ciberdelincuentes siempre están buscando estafar a los usuarios.
Fuentes de información https[:]//any.run/malware-trends/azorult
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
Página: 10 de 10
Índice alfabético
Código malicioso ........................................................................................................................................................ 5, 6, 8 Destrucción o alteración de la información de configuración .......................................................................................... 7 Explotación de vulnerabilidades conocidas ................................................................................................................... 3, 4 Intento de intrusión ....................................................................................................................................................... 3, 4 internet .......................................................................................................................................................................... 3, 5 malware ................................................................................................................................................................. 3, 5, 8, 9 Malware ......................................................................................................................................................................... 5, 6 Red, internet .................................................................................................................................................................. 4, 7 redes sociales ................................................................................................................................................................. 1, 6 Redes sociales .................................................................................................................................................................... 6 servidor .............................................................................................................................................................................. 8 software ......................................................................................................................................................................... 6, 7 URL ..................................................................................................................................................................................... 5 USB, disco, red, correo, navegación de internet ............................................................................................................... 8 Uso inapropiado de recursos ............................................................................................................................................. 7 Vulnerabilidades ................................................................................................................................................................ 3
