herramienta para reconstruir los ataques que no dejan rastro en los discos duros

Existen determinados ataques que no dejan rastro alguno sobre los discos duros de los ordenadores, pero que ahora pueden ser descubiertos utilizando una nueva herramienta de la que se realizarán demostraciones en la conferencia Black Hat, que se celebrará la próxima semana en Las Vegas.

Los investigadores de Mandiant presentarán una manera de descubrir aquellas actividades maliciosas que puedan haber sido realizadas por los atacantes corriendo sólo en la memoria de los sistemas, y que, en consecuencia, evaden los métodos forenses basados en al análisis de discos tradicionales.

En concreto, la herramienta forense basada en memoria que presentarán los investigadores de Mandiant permite encontrar los rastros dejados en la memoria por aquellas actividades que puedan haber sido realizadas mediante Meterpreter, un módulo software para el sistema de código abierto de pruebas sobre penetración Metasploit.

Meterpreter puede ser inyectado en un proceso legítimo que se esté corriendo sobre el ordenador de la víctima y así evitar los sistemas de detección basados en software host IDS/IPS. Meterprefer puede ser después utilizados como plataforma para realizar ataques posteriores, según han explicado los investigadores de Mandiant.

Este escenario de ataque resulta efectivo para conseguir acceso a los procesos clave que se estén corriendo sobre la máquina de las víctimas, según explica, Steve Davis, uno de los investigadores. “Es un gran método para lograr este fin, y resulta difícil de detectar en el sistema”. A través de Meterprefer, los atacantes pueden registrar las pulsaciones del usuario sobre el teclado, procesos finales, cargar y descargar archivos y otros medios de comprometer los equipos.

Sistema basado en Memoryze

En este contexto, Mandiant ha utilizado una versión de su software forense comercial basado en memoria Memoryze para analizar los archivos Virtual Address Descriptor en Windows. La herramienta estudia la estructura de paquete que utiliza Meterpreter para comunicarse con su servidor. Basándose en los fragmentos de comunicación recuperados, los analistas pueden inferir qué ataques se han producido.

Dada la naturaleza volátil de los datos, la herramienta no puede recuperar el 100% de la actividad de Meterprefer, pero representa una prueba de concepto que podría ir mejorando con el futuro, según Mandiant.

La utilidad particular de la nueva herramienta reside en que los ataques tradicionales insertan procesos maliciosos sobre los discos de los ordenadores, siendo detectables por los sistemas forenses tradicionales, que funcionan analizando el disco, pero estos sistemas no revelan los ataques diseñados para evitar el uso de espacio de disco.

La Oficina de Seguridad del Internauta empieza a funcionar

La Oficina de Seguridad del Internauta (OSI) es un servicio que aprobó el Consejo de Ministros a finales de 2007 y que ahora inicia su andadura de la mano de INTECO, el MITYC y la SETSI.

Su objetivo es ofrecer información sobre seguridad en Internet de forma gratuita y accesible a cualquier usuario, con independencia de sus conocimientos. Actualmente la OSI ofrece tres servicios:

• Conceptos y amenazas de seguridad: el usuario puede evaluar su nivel de conocimiento sobre la seguridad en la red, se ofrece un ABC sobre los principales problemas y amenazas en Internet.
• Recomendaciones y herramientas: consejos y software para proteger el correo electrónico, la navegación, el ordenador y la conexión a Internet.
• Ayuda ante dudas y problemas: la Oficina de Seguridad del Internauta pone a la disposición del usuario un número de teléfono (901 111 121), un foro y un asistente de seguridad online a través del que el usuario puede ponerse en contacto con el equipo de soporte especializado.

Kaspersky Laboratorio alerta ante las nuevas variantes del gusano Koobface

El famoso gusano que está causando estragos entre los usuarios de redes sociales, especialmente de Facebook, Koobface, sigue expandiéndose por la Red. Según la firma de seguridad Kaspersky Lab, sólo durante el mes de junio se han detectado casi 600 nuevas variantes de Koobface.

Aunque hace más de un año que se detectó la presencia de Koobface, con el nombre de Net-Worm.Win32.Koobface, este gusano empezó a adquirir protagonismo hace menos de un año cuando empezó a atacar las cuentas de redes sociales tan populares como Facebook y MySpace. Y es que, la creciente popularidad de estas redes ha llevado a que el número de ataques que se dirigen a ellas vaya en aumento, lo que ha impulsado la propagación de Koobface.

De este modo, los analistas de Kaspersky Lab han detectado que sólo durante el pasado mes de junio, Koobface ha tenido casi 600 nuevas variantes. Esto duplica las cifras existentes hasta el momento ya que, a finales del mes de mayo, las variantes detectadas de este gusano ascendieron a 324, lo que eleva la peligrosidad de Koobface, que sigue atacando sitios Web, y especialmente redes sociales como, además de las ya mencionadas, otras como Hi5, Bebo, Tagged, Netlog y Twitter. Tal y como señala el investigador de malware en Kaspersky Lab, Stefan Tanase, “esta muestra del crecimiento de la actividad cibercriminal en las redes sociales durante el pasado mes demuestra que las estrategias que utilizan los cibercriminales para infectar a los usuarios son mucho más eficientes cuando añaden el contexto social a sus ataques”.

Y es que, para este responsable, la evolución de Koobface “está marcando un hito en la evolución del malware en las redes sociales”.

Atendiendo al hecho de que este gusano se propaga a través de la cuenta de los usuarios invitando a sus contactos a acceder, mediante un enlace a un sitio falso de YouTube, a descargarse una nueva versión de Flash Player, cuando en realidad se descarga el gusano en el equipo, desde Kaspersky Lab hacen una serie de recomendaciones para protegerse.

Como siempre, asegurarse de que el enlace que ha a abrir es realmente del remitente que dice ser o si es conocido. Además, en este caso, si el usuario utiliza Internet Explorer 7 oFirefox, conviene instalar la opción NoScript y, como siempre, es básico mantener el antivirus actualizado para prevenir que las nuevas versiones de malware puedan acceder a los equipos.

Las 20 amenazas informáticas más comunes de Internet

La empresa de seguridad informática Kaspersky Lab publicó recientemente su listado de las 20 amenazas por Internet más comunes y persistentes que circulan actualmente por la red.

Se trata de dos informes que identifican ataques por correo electrónico y aquellos detectados por el escáner online de la compañía, respectivamente.

De acuerdo con el primer informe, los códigos maliciosos en el tráfico de correo experimentaron cambios notables en abril. Net-Womr.Win32.Mytob.t y Email-Worm.Win32.Mydoom.m, que habían estado a punto de ingresar en las primeras posiciones y subieron diez lugares en marzo, parecen haber perdido impulso. Así, mientras que uno cayó en la clasificación, el otro desapareció de la tabla.

Al mismo tiempo, aparecieron nuevos programas maliciosos en el Top 20, algo que no había ocurrido en marzo. Los gusanos siguen vigentes mientras que los veteranos Zhelatin y Warezov continúan desaparecidos. Este mes las estadísticas también confirmaron que los programas nuevos no se están enviando por correo electrónico; rara vez se ven programas del tipo Trojan-Downloader en el correo y suelen ser sólo el envío masivo inicial de usuarios maliciosos que están ingresando en este campo.

Los más recientes envíos masivos del troyano Diehard se efectuaron en febrero y al parecer los autores se han tomado un descanso en su trabajo de expandir su creación.

Por su parte, una vez más, son gusanos que han estado plenamente vigentes: una serie de modificaciones del gusano Email-Worm.Win32.Netsky se han adueñado de siete de los veinte lugares en la clasificación. Esto podría interpretarse en cierta medida como un éxito para los autores de virus, especialmente si se toma en cuenta que estas modificaciones constituyen casi el 64% de todo el tráfico de correo infectado en abril.

A su vez, en el segundo informe sí se observan cambios en los primeros puestos con respecto al mes anterior. Mientras que en marzo los primeros puestos estuvieron dominados por un programa publicitario (Adware), un gusano y un troyano, en abril una variante del veterano gusano Brontok, que había sido desplazado a principios de 2008, ascendió súbitamente al primer lugar.

El virus para ficheros Virus.Win32.Virut.n, que apareció en el octavo lugar de la lista en enero de 2008, sigue escalando posiciones. Mientras que en febrero cayó un poco, en marzo ascendió 10 colocaciones y, finalmente, en abril llegó al cuarto lugar de la estadística. Es probable que los autores de virus hayan seguido perfeccionando este programa nocivo y no es complicado explicar por qué, según Kaspersky.

Es que Virus.Win32.Virut.n no es sólo un programa escrito para satisfacer la vanidad de un autor de virus. Ante todo, es un componente para la construcción de redes zombi, que ahora son un negocio muy lucrativo y popular entre los delincuentes cibernéticos. Además, en la estadística de abril hay dos virus de esta familia y ambos están uno detrás de otro, en los lugares 4 y 5.

Finalmente, entre las amenazas recién llegadas, el informe destaca a Backdoor.Win32.Hupigon.vnd y al troyano Trojan-PSW.Win32.OnLineGames.isb, que se especializa en robar cuentas de juegos como World Of Warcraft, Lineage etc.

Fuente:
InfoBAE Profesional
www.infobaeprofesional.com

Ataques XSS RedBanc

Sitios Chilenos con graves fallas , obviamente no con el afán de hacer daño ni mucho menos de perjudicar a los sitios nacionales. Sino alertar a estos mismos y a los usuarios que visitan dichas paginas los cuales pueden ser victimas incluso de Phishing.

En esta ocasión nos encontramos con un sitio que indirectamente se ve involucrado con las transacciones electrónicas del país, RedBanc.

Esta pagina contiene (entre otras vulnerabilidades) una muy conocida en estos días, el XSS. Al no validar bien las sentencias se puede llegar a obtener esto:

>Ejemplo.

Esperamos que la gente de RedBanc solucione el problema después de ser avisados acerca de esta vulnerabilidad.

Las páginas de error DNS causan un grave problema de seguridad

Algunos de los proveedores en los EEUU se quieren aprovechar de los errores al intentar ir a una página; en vez de presentar el típico error DNS y acabar en la nada, los ISPs capturan sugerencias de lo que estás intentando buscar, y ponen anuncios para generar dinero. El investigador de seguridad Dan Kaminsky ahora descubre un grave problema de seguridad en el sistema, sobretodo en las páginas de errores DNS de Earthlink suministradas por Barefruit. El problema comienza cuando un error ocurre dentro de un subdominio DNS, como male.google.com en vez de mail.google.com. Earthlink dispone también una página de error DNS a través de barefruit, peo debido a la pobre construcción de las páginas de dicho proveedor, es fácil de crear un vínculo en el que el dominio legal aparece como legítimo. La panacea para el hacker es que cualquier dominio se encuentra a su disposición – Paypal, Google, incluso tu propio banco. Claro que Earthlink obligó que Barefruit cerrara el agujero, pero este tipo de práctica se encuentra muy bien difundida entre varios proveedores, por lo que el riesgo continua. La única protección es que si tu proveedor se dedica a este tipo de mala práctica, cambia tu DNS a otro, como el de OpenDNS que no se dedica a este tipo de problemas.

Spammers asaltan Blogger con bots

Spammers han creado un método automático para crear páginas falsas en el servicio de Google Blogger, según la empresa Websense. Utilizando la red de botnet, las PCs mandan instrucciones para crear una cuenta falsa en Blogger, incluso con un lector de Captcha. La PC manda un mensaje a un servidor para resolver el Captcha, con un 13% de éxito. No se sabe exactamente cómo han logrado resolver el Captcha, la teoría es que personas bajo contrato reciben comisión por cada resuelto, aunque cabe la posibilidad de que hayan descubierto un método automático. Se cree que los spammers quieren utilizar el “buen nombre” de Google para dirigirlos a páginas de spam, y así no ser bloqueados.

Microsoft nos da detalles de los ataques masivos que están sufriendo los servidores con IIS en internet

Desde el 17 de abril, cientos de miles de servidores webs con el IIS y el SQL han sido atacados, en el que podemos incluir en esta interminable lista a las páginas de las Naciones Unidas y del gobierno del Reino Unido… mucho de estos dominios están cargados de aplicaciones malignas que intenta explotar las vulnerabilidades de los PCs de sus visitantes.

Las empresas han comunicado que estos ataques es gracias a varias vulnerabilidades que existe en Windows, que puede ser explotada a través de Internet Information Services (ISS) y SQL Server.

Microsoft ha investigado estos informes y ha determinado que estos ataques no están relacionados con su sistema operativo, sino dicen que los hackers se están aprovechando de las vulnerabilidades de inyección SQL en páginas web que no siguen las mejores prácticas de seguridad para el desarrollo de aplicaciones web…. Si bien estos ataques son dirigidos a los sitios alojados en servidores web IIS, vulnerabilidades de inyección SQL puede existir en los sitios alojados en cualquier plataforma.

ARS-2212 Mirror Smart Mini… una compacta solución de copias de seguridad

El ARS-2212 Mirror Smart es un dispositivo que es capaz de almacenar hasta dos discos duros de 2.5″ y proporcionarnos una compacta y fiable solución para copias de seguridad, además de ser por sus medidas (6mm x 163mm x 163mm) totalmente transportable… estos dispositivos ya disponible en Europa y en los EEUU…

CLCERT/Microsoft Ethical Hacking Challenge

El proximo 21 de abril del presente año se realizara el primer Ethical Hacking Challenge organizado por el CLCERT.

El objetivo de este concurso es crear conciencia sobre seguridad informática y evaluar el nivel técnico de nuestra comunidad local de expertos en seguridad.

Para ello, se plantea el siguiente “challenge“: encontrar las fallas de seguridad en la configuración y operación de una máquina específica, el servidor Challenge. Este servidor ejecuta el sistema operativo Microsoft Windows Server 2003 R2 ™ donde utiliza Microsoft Internet Information Server 6 ™ como software de servicios web. (Ver Sección Detalles Técnicos).

El objetivo de cada participante en este concurso es encontrar los pasos necesarios para utilizar ya sea las vulnerabilidades instaladas a propósito o bien vulnerabilidades desconocidas para entrar en forma “no autorizada” al servidor.

El concurso es auspiciado y patrocinado por Microsoft Chile, quien presta asesoría de tipo consultivo técnico en la planificación y operación del concurso. Sin embargo, tanto la operación concreta del concurso y servidor challenge, como la determinación de los ganadores son de exclusiva responsabilidad del CLCERT.

Las inscripciones deben realizarse vía el formulario de inscripción del challenge.

Mas informacion referente aqui