Malware, APT y dominios que resuelven a localhost

Quizás el título sea un poco atrevido, pero espero que después de la lectura entendáis porque he puesto este título. Hace días publicaba por aquí el tema del passive DNS. He seguido analizando malware y registrando que dominios resuelven a que IP por lo que la base de datos ha ido creciendo y he visto algo interesante que quería compartir. El proyecto del passive DNS tiene un index.php desde el que podremos consultar los dominios que se han resuelto y cuantas veces se han resuelto estos dominios. Podemos ver ejemplos de búsquedas de dominios relacionados con Microsoft. O por ejemplo malware que hayan enviado un correo por pasarelas de correo del estilo mail.ru Pero una de las cosas que mas me ha sorprendido son aquellos dominios que resuelven a localhost. Aquí tenéis un ejemplo: Investigando porque esto era así y porque pasaba con ciertas piezas de malware al final al final se llega a las siguientes conclusiones Casos de ataques Uno de los casos plausibles es cuando los malos inician una campaña, distribuyen la muestra pero la ventana de ataque es más pequeña, por lo que cambian el registro y lo dejan a localhost. Ataques dirigidos =! APT ?¿?¿? Se han visto casos en los que, grupos de hacking de origen chino usan ciertos dominios a los que luego le cambian la IP igual que pasa con los dominios usados en las campañas de malware que cambian el registro. Cuando van a investigar el dominio puede que resuelva a la IP original, pero cambien el dominio a localhost. Dominios desactivados por el ISP Se da el caso de que si encuentran un dominio que esté ligado a una campaña de phishing o relacionado con una botnet, que desactiven el dominio y lo cambien a localhost. ¿Y vosotros que pensáis? ¿Porque creéis que ocurre...

Leer Más
Webinario sobre Amenazas Avanzadas Persistentes (APT)
Feb05

Webinario sobre Amenazas Avanzadas Persistentes (APT)

En una excelente iniciativa, la gente de @SecZone ha decidido realizar una serie de seminarios gratuitos con algunos de los ponentes de su evento, para dar a conocer algunos de los temas mas actuales en cuanto a la seguridad de la información, hace unos días se realizó el primero de ellos sobre Stack Based Buffer Overflow con Georgia Weidman, y después seria el turno para Michael Graven quien hablaría sobre APT´s (Amenazas Avanzadas Persistentes). Webinario sobre Amenazas Avanzadas Persistentes (APT) Como saber si su empresa ha sido comprometida por un atacante? La mayoría de las empresas lo desconocen. Si logra descubrir que efectivamente alguien ha infiltrado su red, y usualmente lo han hecho por años, puede descubrir como la infiltraron? La mayoría de las empresas no pueden identificar como el atacante infiltro su red. Todas las “Amenazas Avanzadas Persistentes” (APT por sus siglas en ingles) tienen una característica en común: todo empieza con un simple hack. Ingeniería Social es fácil de entender, difícil para defender, y casi siempre funciona. Reporteros adoran escribir acerca de este tipo de hack. Pero la parte interesante viene después. En esta presentación, Michael Graven, Director de MANDIANT, discutirá como los hackers avanzados de hoy en día penetran exitosamente las redes de sus victimas, y la clase de daños que ellos causan una vez adentro. Defensas convencionales como Antivirus (AV) y Network IDS no ayudan, y la mayoría de las veces, el personal de la empresa causa mas daño que el mismo atacante al tratar de eliminar o mitigar el ataque. Acerca de Michael Graven (@mjg5772): es un gerente en Mandiant. Al igual que todos los consultores de Mandiant, el persigue a los malos de la red a través de compañías Fortune 500, gobiernos e instituciones financieras. Michael obtuvo títulos en la Universidad Northwestern y la Universidad de Stanford. Ha trabajado en seguridad y redes desde 1989, trabajando en empresas tan grandes como AT & T y Netscape y tan pequeño como empresas nuevas de veinte...

Leer Más

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES