Mobile Malware Analysis sandbox
Nov08

Mobile Malware Analysis sandbox

Con la cantidad de servicios que están saliendo a la luz para el análisis de malware, está cada vez mas claro, que cada vez mas la gente desea usar este tipo de servicios. Estos servicios de análisis son llevados a cabo tanto por organizaciones (Universidades, centros de investigación) como empresas, no solo casas de antivirus sino empresas de seguridad informática. Hay pocas organizaciones que entreguen un servicio a la comunidad y está claro que las organizaciones o entidades que ofrecen te tipo de servicios su valor añadido son los samples que almacenan y que usan luego para sus investigaciones. Por otro lado, navegando me he encontrado con otro servicio que ofrece hacer análisis de malware, se trata de Mobile Malware Analysis, este servicio no tiene todavía mucha información en la web, ya que si miramos el about de la web: Al parecer el sistema analizaría malware para todas las plataformas, vamos a ver que tal funciona: El servicio es relativamente nuevo, puesto que todavía no hay muchos análisis al respecto. Mediante un wizard, subiremos un archivo para verlo Vaya… la primera vez que voy a subir el archivo, como no tiene extensión hay un bonito Full Path Disclousure El sistema detecta que, evidentemente se trata de una muestra de malware, pero no nos da ninguna información sobre ella. Por lo tanto desconocemos que sistema usan por detrás para detectar que la muestra es maliciosa. El servicio, acaba de salir y aún está muy verde, pero esperamos que vayan añadiendo mas funcionalidades con el tiempo. Seguiremos el proyecto muy de cerca....

Leer Más
AndroTotal
Ago25

AndroTotal

El uso de herramientas online de análisis de malware, suponen una ayuda para el investigador que tiene que saber que hace un determinado APK. El uso de este tipo de herramientas nos sirve para antes de ponernos nosotros ha realizar un análisis manual que nos de un “previo” de que es lo que hace. Además este tipo de herramientas permiten algo muy útil y es poder relacionar casos. Es decir, si hay samples relacionados porque comunican con el mismo C &C o hay strings y datos relacionados esto nos permite poder identificar campañas activas y poder incluso hacer tracking de los ciber-criminales que desarrollan estas muestras. Es algo normal proveerse de API’s de acceso para poder hacer submit de los análisis, ya que puedes integrarlo en procesos internos o herramientas que hayas podido desarrollar de manera interna. Vamos a ver que posibilidades que nos ofrece la herramienta. La web se presenta de forma sencilla y muy común. Realizar submit del sample y metiendo un captcha   Vamos a escoger algunos de los samples que yo tengo para ver que output podemos recibir de la herramienta. Cuando realizamos Submit del sample, se realiza el Upload y ya te mostrará información sobre la subida. La web se irá actualizando conforme se va analizando la muestra, podemos ver detalles como la versión de Android que se está utilizando para el análisis y la suite de antivirus que se está usando. En el análisis hay un enlace para ir directamente a todos los detalles sobre el análisis. Primero podemos ver detalles como los relativos a los hash de la aplicación, la primera vez que se vió. Es decir, ¿Se había analizado antes? Además algo que me ha gustado mucho es que permite hacer búsquedas en servicios de análisis externos. Podemos ver servicios de terceros como: VirusTotal CopperDroid ForeSafe SandDroid AndroidObservatory VisualThreat Puedes compartir los detalles del análisis en las redes sociales si quieres en Twitter o Facebook. El análisis te da mas información que podemos consultar, información relativa a los permisos requeridos por el APK (no los que necesita sino, los que pide) Obviamente no hace falta decir que es necesario un análisis manual de la aplicación además de poder ver análisis de otros servicios de terceros. [+]...

Leer Más
Havex nuevo malware para sistemas ICS/SCADA
Jul07

Havex nuevo malware para sistemas ICS/SCADA

Ya sabemos que la industria del malware no deja de sacar variantes que atacan tanto a empresas como a usuarios finales. Las familias que mas roban dinero a los usuarios finales serían los ramsomware y los troyanos bancarios. Esto, evidentemente es un problema y es algo que irá persistiendo durante mucho tiempo. Pero, cuando a la gente le explicas que los ciber-criminales son capaces de desarrollar muestras que afectan a las “centrales nucleares” el tema, como que cobra mas importancia. ¿No? Ya han habido incidentes en el pasado relacionado con malware que afecta a los sistemas SCADA, seguramente la gent recuerde el caso de Stuxnet. Algunas de las características que tenía: El uso de vulnerabilidades desconocidas hasta el momento para difundirse Stuxnet usaba 4 0day no conocidos. Era eficaz contra sistema operativo Windows desde 2000 hasta Windows 7 El uso inteligente combinando las vulnerabilidades Algunas de las vulnerabilidades dejaban activo el autoRUN. Otra vulnerabilidad tenía elevación de privilegios Uso de certificados válidos Stuxnet llevaba un certiticado de Realtek válido Este malware causo bastantes estragos en  su época. Pero hoy no vengo ha hablar de Stuxnet sino de HAVEX, un nuevo “malware” que ataca los sistemas ICS/SCADA. Este malware, se trata de un RAT, una herramienta de control remoto. Infecta a las víctimas a través de correos electrónicos  y kits de explotación, los atacantes utilizan también la técnica watering hole. Los investigadores de F-Secure tienen hasta ahora 88 variantes de malware analizados y han descubierto que pueden descargar y ejecutar componentes maliciosos adicionales, uno de ellos se filtra en los datos sobre la red local y el hardware conectado a ICS/SCADA. Han habido muchos blogs que han hablado sobre el tema de Havex, entre ellos los compañeros de Eleven Paths, comentaban algo que me ha parecido interesante referenciar aquí: Tanto los proveedores de software como los que lo consumían, han cometido una serie de errores graves durante el proceso de infección. Las páginas que proporcionan estos sistemas industriales han sido comprometidas y sus programas sustituidos sin que sus legítimos dueños lo hayan advertido a tiempo. Los errores de estas empresas, tanto reactivos como preventivos, son innumerables. No se han dado los nombres concretos de las compañías, pero no resulta muy difícil poder reducir el círculo de candidatas. Los operarios o administradores han descargado este software y no han comprobado las firmas o integridad (si es que las compañías firmaban todo su software u ofrecían algún método de comprobación). Esto es quizás lo más preocupante. En entornos de este tipo, instalar un programa debe ser un proceso compuesto por varias fases, aunque haya sido descargado de una página oficial. En concreto comprobar firmas e integridad debería...

Leer Más
Nuevo malware Dyreza
Jun22

Nuevo malware Dyreza

Un nuevo malware está atacando las entidades financieras. Se le ha bautizado con el nombre de Dyreza. El troyano ha sido descubierto por la compañía de seguridad CSIS, dirigida por Peter Kruse. Según noticias este troyano tiene características similares al conocido ZeuS y es capaz de realizar ataques man in the browser, por ejemplo. Aquí tenemos una conexión legítima del banco: El usuario con su ordenador se conecta a la banca electrónica. No hay nadie que esté interfiriendo en la conexión, el usuario no se encuentra infectado por lo tanto todo ocurre con normalidad. ¿Pero que pasa en una conexión infectada? Pues hay intervenciones, que harán que se puedan interceptar datos, por ejemplo. Este es un gráfico que explicaría que ocurre: El usuario navegaría contra la web del banco. El troyano se activaría y realizaría un ataque Man in the browser contra el usuario. El usuario vería el contenido de una página que simula ser la web del banco y en ese momento cuando el usuario introduce los datos, el troyano los envía hacia sus servidores los datos robados. Análisis dinámico de la muestra La muestra tiene los siguientes detalles: El análisis se ha llevado a cabo con Cuckoo El malware al ejecutarse realiza ciertas conexiones: Los dominios que no pertenecen a Microsoft, no estan registrados, por lo que ya lo shabrán dado de baja. El equipo de CSIS, ha analizado estáticamente la muestra y afecta a las siguientes entidades: “cashproonline.bankofamerica.com/AuthenticationFrameworkWeb/cpo/login/public/loginMain.faces businessaccess.citibank.citigroup.com/cbusol/signon.do www.bankline.natwest.com/CWSLogon/logon.do?CTAuthMode=RBSG_CORP4P&domain=.bankline.natwest.com&ct-web-server-id=Internet&CT_ORIG_URL=%2Fbankline%2Fnatwest%2Fdefault.jsp&ct_orig_uri=https%3A%2F%2Fwww.bankline.natwest.com%3A443%2Fbankline%2Fnatwest%2Fdefault.jsp www.bankline.rbs.com/CWSLogon/logon.do?CTAuthMode=RBSG_CORP4P&domain=.bankline.rbs.com&ct-web-server-id=Internet&CT_ORIG_URL=%2Fbankline%2Frbs%2Fdefault.jsp&ct_orig_uri=https%3A%2F%2Fwww.bankline.rbs.com%3A443%2Fbankline%2Frbs%2Fdefault.jsp www.bankline.ulsterbank.ie/CWSLogon/logon.do?CTAuthMode=RBSG_CORP4P&domain=.bankline.ulsterbank.ie&ct-web-server-id=Internet&CT_ORIG_URL=%2Fbankline%2Fubr%2Fdefault.jsp&ct_orig_uri=https%3A%2F%2Fwww.bankline.ulsterbank.ie%3A443%2Fbankline%2Fubr%2Fdefault.jsp AUTOBACKCONN cashproonline.bankofamerica.com/materials businessaccess.citibank.citigroup.com/materials c1shproonline.bankofamerica.com cashproonline.bankofamerica.com/AuthenticationFrameworkWeb/ cashproonline.bankofamerica.com/assets/ b1sinessaccess.citibank.citigroup.com businessaccess.citibank.citigroup.com/assets/ businessaccess.citibank.citigroup.com/CitiBusinessOnlineFiles/ www.b1nkline.natwest.com www.bankline.natwest.com/ www.b1nkline.rbs.com www.bankline.rbs.com/ www.b1nkline.ulsterbank.ie www.bankline.ulsterbank.ie/” Entidades harcodeadas en el binario: Al parecer  se ha distribuído el binario usando una actualización de Flash Player  ...

Leer Más
Cae la Botnet de #Gameover
Jun15

Cae la Botnet de #Gameover

En las conferencias que hago sobre temas relacionados con el ecrime, siempre cuento que los buenos siempre acaban ganando. Puede ser que sea mas tarde que temprano pero acaban ganando. Y un ejemplo de ello es el takedown de la Botnet P2P de Zeus/Murofet/Licat Esta es una imagen sacada por el FBI, donde muestra muy por encima como era la estructura de la Botnet P2P de Zeus. A diferencia con una estructura tradicional, donde conocemos que existe: Dropzone: Sitio donde irán a parar los datos robados por el malware C&C: Panel de comtrol donde se gestiona el malware, las infecciones, etc.. IP/URL descarga de binario: Desde donde se descarga el binario y se infectan los usuarios IP/URL descarga de configuración: Una vez ue qel malware se ejecuta se descarga la configuración Si somos capaces de identificar estos puntos centrales, significa que si conseguimos dar de baja algunos de esos puntos haremos mucho daño a la estructura de malware. En cambio, en una estructura descentralizada P2P, tenemos un problema bastante gordo ya que no tenemos una estructura centralizada donde nosotros podremos “atacar” para dejar coja el esquema de fraude. Hubieron varios estudios sobre el tema, en el que se explicaba como habían echo un estudio de la Botnet P2P de Zeus y datos que habían conseguido extraer. El informe es una pasada y detalla como funciona, en DragonJAR, hablamos sobre él. De la operación, hay alguien en busca y captura: La nota de prensa, la podemos encontrar en la web del FBI Quedan mas familias que usan P2P para operar como Sality y Zero Access por lo que no os extrañe que se le siga dando caña al...

Leer Más

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES

Aprende ONLINE Técnicas HACKING y Seguridad Informática guiad@ por Profesionales RECONOCIDOS con más de 10 años de experiencia REAL en el campo de la Seguridad Informática

Toma acción !AHORA¡
miles ya lo han hecho

NUNCA te enviaremos spam.

  • No necesitas conocimiento previo (De 0 a Ninja)
  • Docentes reconocidos en el medio y con experiencia REAL
  • Clases ONLINE en VIVO que luego podrás repasar si lo deseas desde cualquier parte o cualquier dispositivo
  • Contenidos EXCLUSIVOS generados por nuestros docentes
  • Contacto constante con el docente por distintos medios, antes, durante y después de las clases
  • Laboratorios en linea para que nuestros alumnos practiquen sus conocimientos sin problemas
  • Exclusivo FORO VIP de Alumnos y Ex-Alumnos donde se continúa el aprendizaje y se comparte conocimiento
  • Te entregamos un diploma de certificación por cada curso
  • Miles de ex-alumnos felices