miércoles, 19 de octubre de 2011

Stuxnet V 2.0 = DUQU

Si recuerdan, en octubre del 2010, hicimos un artículo sobre un malware denominado Stuxnet (ver Aquí). Si bien el gusano no logró del todo su objetivo, hace unos días apareció un código malicioso que intenta reunir datos de la plataforma e información sobre los proveedores de sistemas de control industrial. El objetivo es recolectar dicha información para preparar nuevamente un ataque y lograr el objetivo (parar la planta o bien lograr un daño, recuerden que el objetivo original era parar las Centrales Nucleares de Irán).
El mismo ha sido denominado DUQU, debido a que genera archivos con prefijo "~DQ". El gusano no es dañino, ya que el objetivo es recolectar informacion de la plataforma.
Por el código y en base al comportamiento aseguran que los autores de DUQU son los mismos que elaboraron el malware Stuxnet o bien por desarrolladores que han accedido al código del mismo (Si recuerdan, Stuxnet está publicado en Internet y pueden bajar el código para analizar su comportamiento).

Cómo funciona?
Una vez infectado el sistema, por 36 días recolecta información y luego se remueve de la plataforma. Mientras está funcionando, utiliza los protocolos HTTP y HTTPS para conectarse con un servidor externo (alojado en la India, cuya dirección IP es la 206.183.111.97) y enviar la informacion recolectada.
Los atacantes utilizaron Duqu para instalar un software Infostealer (pariente del keylogger), que puede grabar las pulsaciones de teclado, y recopilar información del sistema. Los atacantes estaban en busca de activos de información que pueda ser utilizado en un ataque futuro. Según Symantec, en su dossier, detalla que encontró dos variantes, una de ellas fue recuperadas con binarios cuya fecha era el 1 de septiembre de 2011. La otra variante, con fecha del 17 de Octubre de 2011.

Según informa Symantec, el gusano consiste en un archivo de controlador, una DLL (que posee varios archivos incrustados), y un archivo de configuración. Estos archivos deben ser instalados por otro ejecutable (el instalador), que según Symantec aún no ha recuperado. El instalador registra el archivo del controlador como un servicio para que comience en la inicialización del sistema. El conductor entonces le inyecta la DLL principal en services.exe. A partir de aquí, el archivo DLL principal se inicia la extracción de otros componentes y estos componentes se inyectan en otros procesos.

Archivos
En las dos versiones se pueden identificar los archivos alojados en el equipo.

Primera Versión:
- jminet7.sys
-netp191.PNF
- 302 resource
- netp192.pnf

Segunda Versión:
-cmi4432.sys
-cmi4432.pnf
- 302 resource
- cmi4464.PNF

En ambos el InfoStealer está en [TEMP FILE NAME].

Recomendaciones
Para evitarlo, sugerimos, dentro de los equipos de la red industrial:

1) Habilitar un firewall en su ordenador.
2) Evitar accesos a Internet y uso de pendrives desde esos equipos.
3) Obtenga las últimas actualizaciones de equipo para todo el software instalado.
4) Mantenga el software antivirus actualizado tanto le sea posible
5) Limitar los privilegios de usuario en el equipo, para que no se pueda instalar las DLL.
6) Tenga cuidado al abrir archivos adjuntos y aceptar transferencias de archivos.
7) Tenga cuidado al hacer clic en enlaces a páginas web.
8) Evitar la descarga de software pirateado, sobre todo aquel que es utilizado en este tipo de redes.
9) Utilice contraseñas seguras.

Más información.
Para obtener información más detallada, les recomendamos bajar el dossier de Symantec para DUQU, puede hacerlo desde aquí.
Por otro lado Microsoft lo tiene identificado, si desea acceder a la Enciclopedia de malware de Microsoft para tener más detalle del gusano, visite este sitio.

Por último, recomendamos estar atentos, si bien esta variante solo recolecta información, pueden aparecer otras ya con fines malicioso por contar con parte de la informacion de vuestra infraestructura o bien con un patrón de desarrollo de la misma, ya que observamos en muchas compañías ausencias de seguridad en los equipos que están asociados a las plantas industriales. Ya no sirve más el "funciona, no se toca más".

Fuentes: Symantec y Microsoft.

Hasta la próxima!

martes, 11 de octubre de 2011

Se viene el CODECAMP

Buenas, se viene el evento más esperado, el CODECAMP!!!
CodeCamp es un evento que reune a Estudiantes, Profesionales y Empresas del área de Informática, realizado por diferentes miembros y empresas de la comunidad, y Universidades desde el año 2007.
Quien dirá tantas sesiones de Tecnología para vos!!.

No faltes, la cita es el 15 de Octubre en la Universidad Abierta Interamericana.

Cuál es mi sesión?
Yo los espero a las 11:50 con la sesión "Un usuario nuevo en la red, un dolor de cabeza (Administración de Identidades)"

Dónde es?
En la Universidad Abierta Interamericana, Av. San Juan 951 (Capital Federal).
Buenos Aires-Ciudad de Buenos Aires-Argentina.

No podes faltar!!!
Registrate AQUI

Actualizaciones plataforma Microsoft - OCTUBRE 2011

Aquí estamos otro mes, presentando los boletines de seguridad de Octubre:

- MS11-078: Una vulnerabilidad en .NET Framework y Microsoft Silverlight podría permitir la ejecución remota de código (2604930): Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft .NET Framework y Microsoft Silverlight. La vulnerabilidad podría permitir la ejecución remota de código en un sistema cliente si un usuario visita una página web especialmente diseñada mediante un explorador web que pueda ejecutar aplicaciones XAML del explorador (XBAP) o aplicaciones Silverlight. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos. La vulnerabilidad también podría permitir la ejecución remota de código en un sistema de servidor que ejecute IIS si dicho servidor permite el procesamiento de páginas ASP.NET y un atacante consigue cargar una página ASP.NET especialmente diseñada en el servidor y la ejecuta, como puede ser el caso de un escenario de hospedaje web. Esta vulnerabilidad también la podrían usar aplicaciones Windows .NET para omitir las restricciones de seguridad de acceso del código (CAS).

- MS11-081: Actualización de seguridad acumulativa para Internet Explorer (2586448): Esta actualización de seguridad resuelve ocho vulnerabilidades de las que se ha informado de forma privada en Internet Explorer. La más grave de las vulnerabilidades podría permitir la ejecución remota de código si un usuario, mediante Internet Explorer, visita una página web especialmente diseñada. Un intruso que aprovechara cualquiera de estas vulnerabilidades podría conseguir el mismo nivel de derechos de usuario que el usuario local. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.

- MS11-075: Una vulnerabilidad en Microsoft Active Accessibility podría permitir la ejecución remota de código (2623699): Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada en el componente Microsoft Active Accessibility. La vulnerabilidad podría permitir la ejecución remota de código si un atacante convence a un usuario de que abra un archivo legítimo que se encuentre en el mismo directorio de red que un archivo de biblioteca de vínculos dinámicos (DLL) especialmente diseñado. Después, al abrir el archivo legítimo, el componente Microsoft Active Accessibility puede intentar cargar el archivo DLL y ejecutar el código que contiene. Para que un ataque tenga éxito, un usuario debe visitar una ubicación de sistema de archivos o recurso compartido WebDAV remoto que no sea de confianza y abrir un documento de dicha ubicación que será cargado por una aplicación vulnerable.

- MS11-076: Una vulnerabilidad en Windows Media Center podría permitir la ejecución remota de código (2604926): sta actualización de seguridad resuelve una vulnerabilidad que se ha divulgado públicamente en Windows Media Center. La vulnerabilidad podría permitir la ejecución remota de código si un atacante convence a un usuario de que abra un archivo legítimo que se encuentre en el mismo directorio de red que un archivo de biblioteca de vínculos dinámicos (DLL) especialmente diseñado. Después, al abrir el archivo legítimo, Windows Media Center podría intentar cargar el archivo DLL y ejecutar el código que contenga. Para que un ataque tenga éxito, un usuario debe visitar una ubicación de sistema de archivos o recurso compartido WebDAV remoto que no sea de confianza y abrir un archivo legítimo.

- MS11-077: Vulnerabilidades en los controladores en modo kernel de Windows podrían permitir la ejecución remota de código (2567053): Esta actualización de seguridad resuelve cuatro vulnerabilidades de las que se ha informado de forma privada en Microsoft Windows. La más grave de estas vulnerabilidades podría permitir la ejecución remota de código si un usuario abre un archivo de fuente especialmente diseñado (como un archivo .fon) en un recurso compartido de red, una ubicación UNC o WebDAV, o en datos adjuntos de correo electrónico. Para que un ataque remoto se lleve a cabo, el usuario debe visitar una ubicación de sistema de archivo o recurso compartido WebDAV remoto que no sea de confianza y abrir el archivo de fuente especialmente diseñado, o bien abrir el archivo como datos adjuntos de correo electrónico.

- MS11-079: Vulnerabilidades en Microsoft Forefront Unified Access Gateway podrían provocar la ejecución remota de código (2544641): Esta actualización de seguridad resuelve cinco vulnerabilidades de las que se ha informado de forma privada en Forefront Unified Access Gateway (UAG). La más grave de estas vulnerabilidades podría permitir la ejecución remota de código si un usuario visita un sitio web afectado mediante una URL especialmente diseñada. No obstante, el atacante no podría obligar a los usuarios a visitar un sitio web. Por lo tanto, tendría que atraerlos al sitio web; por lo general, convenciéndoles para que hagan clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que lleve a los usuarios al sitio web del atacante.

- MS11-080: Una vulnerabilidad en el controlador de función auxiliar podría permitir la elevación de privilegios (2592799): Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada en el controlador de función auxiliar de Microsoft Windows (AFD.SYS). La vulnerabilidad podría permitir la elevación de privilegios si un atacante inicia sesión en el sistema del usuario y ejecuta una aplicación especialmente diseñada. Para aprovechar la vulnerabilidad, un atacante debe tener unas credenciales de inicio de sesión válidas y ser capaz de iniciar una sesión local.

- MS11-082: Vulnerabilidades en Host Integration Server podrían permitir la denegación de servicio (2607670): Esta actualización de seguridad resuelve dos vulnerabilidades de las que se ha informado de forma pública en Host Integration Server. Las vulnerabilidades podrían permitir la denegación de servicio si un atacante remoto envía paquetes de red especialmente diseñados a un servidor Host Integration Server que escuche en el puerto UDP 1478 o en los puertos TCP 1477 y 1478. Los procedimientos recomendados para firewall y las configuraciones de firewall predeterminadas estándar pueden proteger a las redes de los ataques procedentes del exterior del perímetro de la empresa. Se recomienda que los sistemas conectados a Internet tengan expuesta la cantidad mínima de puertos. En este caso, los puertos de Host Integration Server de salida deben bloquearse desde Internet.

Para más información o bajar alguna de las actualizaciones, visite ESTE SITIO.
Fuente: Microsoft Corp.

Hasta la próxima.