HangOver report

Los ataques entre instituciones, gobiernos, países, empresas cada vez sen mas claros. La ciberguerra es algo que siempre ha estado presente pero que es hasta no hace poco tiempo que se está expresando públicamente. Norman ha liberado un report sobre una investigación que ha realizado durante mas de un mes. He estado leyendo el report y he querido compartirlo aquí en la comunidad DragonJAR. La historia empieza cuando la empresa Telenor avisa de que  han sufrido una intrusión en sus instalaciones. Norman empieza la investigación y descubren patrones de ataques. La infraestructura detectada en la investigación pertenece presuntamente a India. Con las evidencias que obtienen persiguen las pistas que van encontrando y descubren que los atacantes no son muy buenos escondiendo sus pruebas. Estirando del hilo de las pruebas encontradas encontraron directorios accesibles con la información que habían robado entre otras cosas. El espionaje industrial, parece uno de los objetivos, ESET publicó información sobre ello => http://www.welivesecurity.com/2013/05/16/targeted-threat-pakistan-india/ F-Secure publicó una entrada sobre Spyware para MAC que encontraron en el evento del Oslo freedom forum, han encontrado relación entre ambos casos por el mismo developer, mismo Apple iD etc..=> https://www.f-secure.com/weblog/archives/00002554.html Los países que han sufrido los ataques han sido diversos, entre ellos países Bajos, Pakistán, EE.UU., Irán, China, Taiwán, Tailandia, Jordania, Indonesia, Reino Unido, Alemania, Austria, Polonia, Rumania etc.. Para conseguir infectar  a los usuarios se han usado los clásicos ataques de Spear Phishing via email. Los adjuntos que había en los correos explotaban los siguientes CVE: CVE-2012-0158, CVE-2010-3333, CVE-2012-0422 CVE-2012 En el informe encontraron una infraestructura muy grande en la que operaban, mas de 600 dominios. Incluso mientras realizaban el informe. Han proporcionado un mapa con los C&C e infraestructura en general: En el informe han colocado los dominios, ip’s y MD5 relacionados con el caso, he decidido investigar que parte de la infraestructura todavía seguía viva. IP’s que había en el informe de Norman:  [email protected]:~/server$ wc -l ips.txt 239 ips.txt ¿Cuantas de estas IP’s siguen activas? [email protected]:~/server$ wc -l ips_up.txt 116 ips_up.txt Dominios que había en el informe de Norman: [email protected]:~/server$ wc -l blacklist_domains.txt 595 blacklist_domains.txt ¿Cuantos de estos dominios siguen activos? [email protected]:~/server$ wc -l host_alive_with_ips.txt 376 host_alive_with_ips.txt Dominios e IP’s activas Con tal de hacer un poco el seguimiento de la infraestructura presentada en el informe de Norman, comprobé cuales de esos dominios todavía resolvían y que procedencia tenían. Dominios. En el informe de Norman existían 595 dominios, cuando he realizado la investigación habían 376 dominios activos. He realizado un gráfico con los resultados obtenidos. IP’s En el informe de Norman habían reportado 239 ip’s relacionadas con el caso. Después de la revisión por mi parte he encontrado 116 Ip’s activas. He...

Leer Más

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES