El sniffing se puede llevar a cabo en redes cableadas e inalámbricas y puede ser difícil de detectar. Un ataque de sniffing, también conocido como «intercepción de paquetes», es una técnica de ciberataque que consiste en interceptar y recopilar información que se transmite a través de una red, como contraseñas, números de tarjeta de crédito y …
Si bien el conjunto de soluciones de protección que tanto usuarios particulares como las empresas vienen utilizando desde hace años para estar protegidos frente a posibles ciberamenazas, esto ya no es suficiente para dejar de convertirse en un blanco perfecto para los atacantes. Y es que, como este tipo de soluciones demandan de interacción humana …
The U.S. Cybersecurity and Infrastructure Security Agency (CISA) has released a script to recover VMware ESXi servers encrypted by the recent widespread ESXiArgs ransomware attacks. Starting last Friday, exposed VMware ESXi servers were targeted in a widespread ESXiArgs ransomware attack. Since then, the attacks encrypted 2,800 servers according to a list of bitcoin addresses collected by CISA technical …
Debido al aumento de este tipo de ataques, os queremos realizar las siguientes recomendaciones: En caso de recibir un mensaje de este tipo hay que eliminarlo directamente y comunicarlos a los demás empleados del intento de fraude y que, en caso de recibirlo, procedan a eliminarlo inmediatamente. En el supuesto de haber facilitado las credenciales de acceso, …
Artículo publicado en https://www.osi.es/es/campanas/contrasenas-seguras Interesantes artículos con recomendaciones sobre el uso y generación de contraseñas seguras. Artículo del blog ¿Sabías que el 90% de las contraseñas son vulnerables? Vídeo ¿Cuánto tardarían en averiguar mis contraseñas? Historia real Una contraseña fácil, ¿pero cuántas cuentas comprometidas? Infografía Ataques a las contraseñas Artículo del blog Típicos errores que …
El sniffing se puede llevar a cabo en redes cableadas e inalámbricas y puede ser difícil de detectar.
Un ataque de sniffing, también conocido como «intercepción de paquetes», es una técnica de ciberataque que consiste en interceptar y recopilar información que se transmite a través de una red, como contraseñas, números de tarjeta de crédito y otra información confidencial.
Los atacantes utilizan herramientas de sniffing para monitorear el tráfico de la red y capturar los paquetes de datos que se transmiten entre dispositivos en la red. Estos paquetes pueden contener información sensible que el atacante puede utilizar para acceder a sistemas o robar información.
El sniffing se puede llevar a cabo en redes cableadas e inalámbricas, y puede ser difícil de detectar porque no siempre deja rastros obvios en los sistemas afectados.
Existen varios ataques de sniffing famosos que han ocurrido en la historia de la ciberseguridad. Aquí hay algunos ejemplos:
Ataque a la red de TJX Companies: En 2007, los hackers lograron acceder a los sistemas de la cadena minorista TJX Companies y robaron información de más de 90 millones de tarjetas de crédito. Los atacantes utilizaron una técnica de sniffing para interceptar el tráfico de red y capturar los datos de las tarjetas de crédito.
Ataque al proveedor de servicios de correo electrónico de Yahoo: En 2014, los hackers utilizaron una técnica de sniffing para interceptar el tráfico de red en los centros de datos de Yahoo y robar información de más de 500 millones de cuentas de correo electrónico.
Ataque a la red de Target: En 2013, los hackers utilizaron una técnica de sniffing para interceptar el tráfico de red de Target y robar información de más de 40 millones de tarjetas de crédito y débito.
Ataque a la red de Sony Pictures: En 2014, los hackers utilizaron una técnica de sniffing para interceptar el tráfico de red de Sony Pictures y robar información confidencial, incluyendo correos electrónicos, guiones de películas y datos financieros.
Ataque al sitio web de Ashley Madison: En 2015, los hackers utilizaron una técnica de sniffing para interceptar el tráfico de red del sitio web de citas Ashley Madison y robar información de más de 30 millones de usuarios.
Diez medidas para protegerse de un ataque de sniffing
Usa una conexión segura: Siempre que sea posible, usa una conexión segura como una red privada virtual (VPN) o una red cifrada.
Actualiza tu software: Mantén actualizado el software de tu sistema operativo y de seguridad para protegerte de vulnerabilidades conocidas.
Evita las redes WiFi públicas: Evita conectarte a redes WiFi públicas no seguras. Si debes usar una red WiFi pública, utiliza una VPN.
Usa el cifrado: Usa el cifrado siempre que sea posible, por ejemplo, para enviar correos electrónicos o mensajes de texto.
Usa contraseñas seguras: Utiliza contraseñas seguras y cámbialas con frecuencia.
Usa la autenticación de dos factores: Usa la autenticación de dos factores siempre que sea posible para agregar una capa adicional de seguridad.
Usa software de seguridad: Usa software de seguridad confiable, como un antivirus o un cortafuegos, para proteger tu dispositivo de posibles amenazas.
Desactiva el WiFi y Bluetooth cuando no los estés usando: Desactiva el WiFi y Bluetooth en tu dispositivo cuando no los estés usando para evitar que alguien acceda a ellos.
No reveles información confidencial: No reveles información confidencial en línea, como tu número de tarjeta de crédito o tu número de seguridad social.
Usa una tarjeta de crédito virtual: Usa una tarjeta de crédito virtual en lugar de tu tarjeta de crédito real al hacer compras en línea para reducir el riesgo de fraude.
Si bien el conjunto de soluciones de protección que tanto usuarios particulares como las empresas vienen utilizando desde hace años para estar protegidos frente a posibles ciberamenazas, esto ya no es suficiente para dejar de convertirse en un blanco perfecto para los atacantes. Y es que, como este tipo de soluciones demandan de interacción humana en algún momento del proceso de protección, el factor humano tiene influencia directa en el conjunto de la ciberseguridad de una empresa.
Inversión en la concienciación y la capacitación del factor humano
De hecho, una de las mayores brechas de la seguridad informática también en las empresas es la acción humana. Por todo ello, los expertos de la tecnológica española NUUBB, especializada en servicios cloud y ciberseguridad para empresas, insisten en que los empleados no solo han de contar con herramientas y una formación ante ciberataques o puramente defensiva frente a las amenazas digitales. Se les ha de facilitar hábitos ‘cibersaludables’ que les ayuden a actuar en un entorno de riesgo cibernético constante, evitando así caer en engaños que puedan comprometer a la organización entera.
Por todo ello, para que una estrategia de ciberseguridad sea fuerte y resulte eficaz, se debe implicar a todos los departamentos de la organización. Cada miembro o empleado del equipo representa una brecha de seguridad si no posee los conocimientos de actuación necesarios. “Una plantilla sin formación en ciberseguridad y que no esté concienciada acerca de los peligros que puede acarrear su actuación hace que todas las soluciones de protección pierdan su efectividad. Esto repercute en un elevado coste puesto que se está pagando un precio por unos productos de protección que, debido a que otros aspectos de la estrategia no cumplen con los requisitos, no tienen la efectividad esperada. Añadido a esto, se corre el riesgo de sufrir incluso más pérdidas causadas directamente por los ciberataques. Por eso es necesario formar y sobre todo concienciar a los empleados para que formen parte activa en la estrategia de protección”, añade Marc Palfrey, Marketing & Comercial B2B de NUUBB.
De hecho, según datos recientes de Verizon, el 85% de las infracciones de ciberseguridad es provocado por errores humanos, pudiendo llegar a provocar pérdidas millonarias ante la vulnerabilidad de los datos críticos de la empresa. Para el año 2025 se estima que a nivel mundial estas pérdidas pueden alcanzar los 10 billones de dólares.
Asimismo, el 98% de los ciberataques a los que hacen frente las empresas vienen dados por técnicas de ingeniería social. Se establece que 1 de cada 5 brechas de seguridad son originadas por un error, directo o indirecto, de un empleado, siendo en la mayoría de los casos de manera inconsciente. Por lo que, la mejor defensa contra los ciberdelincuentes es la inversión en el factor humano de la ciberseguridad, potenciar su concienciación y capacitación es un elemento clave de las empresas.
Métodos de evaluación y nivel de ciberseguridad en las empresas
Existen métodos de evaluación para comprobar en qué nivel de ciberseguridad se encuentra la empresa a nivel humano, como el Sophos Phish Threat, según explican desde NuuBB. Este tipo de medidas de evaluación ponen a prueba a los empleados de la empresa emitiendo mensajes con suplantación de identidad, u ofertas engañosas atractivas, entre otras.Son simulaciones de ataques phishing que se hacen a los empleados de la empresa sin previo aviso para hacerlo efectivo, y que como resultado ofrece un informe completo con los datos obtenidos de concienciación y actuación de las personas de la organización.
The U.S. Cybersecurity and Infrastructure Security Agency (CISA) has released a script to recover VMware ESXi servers encrypted by the recent widespread ESXiArgs ransomware attacks.
Since then, the attacks encrypted 2,800 servers according to a list of bitcoin addresses collected by CISA technical advisor Jack Cable.
While many devices were encrypted, the campaign was largely unsuccessful as the threat actors failed to encrypt flat files, where the data for virtual disks are stored.
This mistake allowed Enes Sonmez & Ahmet Aykac of the YoreGroup Tech Team to devise a method to rebuild virtual machines from unencrypted flat files.
This method has helped numerous people recover their servers, but the process has been complicated for some, with many people asking for help in our ESXiArgs support topic.
Script released to automate recovery
To assist users in recovering their servers, CISA released an ESXiArgs-Recover script on GitHub to automate the recovery process.
“CISA is aware that some organizations have reported success in recovering files without paying ransoms. CISA compiled this tool based on publicly available resources, including a tutorial by Enes Sonmez and Ahmet Aykac,” explains CISA.
“This tool works by reconstructing virtual machine metadata from virtual disks that were not encrypted by the malware.”
While the GitHub project page has the steps you need to recover VMs, in summary, the script will clean up a virtual machine’s encrypted files and then attempt to rebuild the virtual machine’s .vmdk file using the unencrypted flat file.
When finished, if successful, you can then register the virtual machine again in VMware ESXi to gain access to the VM again.
CISA urges admins to review the script before using it to understand how it works and avoid possible complications. While the script should not cause any issues, BleepingComputer strongly advises that backups are created before attempting recovery.
“While CISA works to ensure that scripts like this one are safe and effective, this script is delivered without warranty, either implicit or explicit.” warns CISA.
“Do not use this script without understanding how it may affect your system. CISA does not assume liability for damage caused by this script.”
Debido al aumento de este tipo de ataques, os queremos realizar las siguientes recomendaciones:
En caso de recibir un mensaje de este tipo hay que eliminarlo directamente y comunicarlos a los demás empleados del intento de fraude y que, en caso de recibirlo, procedan a eliminarlo inmediatamente.
En el supuesto de haber facilitado las credenciales de acceso, es recomendable modificarlas lo antes posible, y siempre que se pueda habilitar un doble factor de autenticación. También se deben modificar estas credenciales en cualquier otro servicio en el que se utilicen las mismas.
Como pautas generales, para evitar ser víctima de fraudes de este tipo se recomienda: (Fuente: INCIBE)
No abrir correos de usuarios desconocidos o que no haya solicitado: hay que eliminarlos directamente.
En caso de que el correo proceda de una entidad bancaria legítima, nunca contendrá enlaces a su página de inicio de sesión o documentos adjuntos.
No contestar en ningún caso a estos correos.
Tener precaución al seguir enlaces o descargar ficheros adjuntos en correos electrónicos, SMS, mensajes en WhatsApp o redes sociales, aunque sean de contactos conocidos.
Tener siempre actualizado el sistema operativo y el antivirus. En el caso del antivirus, comprobar que está activo.
Asegurarte de que las cuentas de usuario de tus empleados utilizan contraseñas robustas y sin permisos de administrador.
NUESTRAS RECOMENDACIONES ADICIONALES PARA EVITAR FUTUROS ATAQUES CIBERNÉTICOS O MINIMIZARLOS:
Educación y concientización del personal: Asegurar que todos los empleados comprendan los riesgos y conozcan las mejores prácticas de ciberseguridad. Sería recomendable realizar auditorias internas para comprobar la concienciación de los empleados y la capacidad de respuesta.
Actualización de software y hardware: Mantener todo el software y hardware actualizado con los últimos parches y actualizaciones de seguridad. Evitar SIEMPRE software no legítimo.
Implementación de contraseñas fuertes y autenticación de dos factores: Implementando políticas de contraseñas fuertes y usando autenticación de dos factores para todas las cuentas.
Copias de seguridad regulares: copia de seguridad periódica de los datos importantes en una ubicación segura en LOCAL y otra en la NUBE en caso de un ataque de Ransomware. En caso de tener aplicaciones que se ejecutan en local pero los datos se guardan en la NUBE del proveedor del aplicativo, asegurarse que se puede realizar con asiduidad, COPIAS EN LOCAL para posteriormente trasladarlas a equipos de almacenamiento externos independientes, evitando, que en caso de que se produzca un ataque al sistema de almacenamiento del proveedor, nosotros tengamos una copia de seguridad de los datos lo más reciente posible.
Uso de software antivirus y firewall: Instalación y mantenimiento de software antivirus y un firewall para proteger contra software malicioso e intentos de piratería.
Limitación del acceso a los sistemas y datos sensibles: Limitación del acceso a sistemas y datos sensibles solo a aquellos que lo necesitan.
No hacer clics en enlaces o descargarse programas de páginas no confiables.
Como prevención adicional:
Contratar un equipo de Ciberseguridad o un servicio de consultoría: Contratar un equipo de expertos en ciberseguridad o un servicio de consultoría para ayudarlo a comprender los riesgos y desarrollar un plan integral de seguridad.
Contratar un seguro para Riesgos Cibernéticos. Podéis ver en este artículo qué amenazas cubre y qué tipo de riesgos debes analizar antes de contratar uno.
Las tácticas de la mayoría de los ciberataques no son tan sofisticadas como se puede pensar, defiende Microsoft en un un nuevo informe.
De hecho, la mayoría de esos ataques podrían ser bloqueados con el factor de doble autenticación activado, que solo el 22% de los usuarios de Azure tienen.
Con unas defensas tan exiguas, los negocios siguen enfrentándose a amenazas continuadas, explica un alto cargo de la multinacional a Business Insider.
El daño provocado por los ataques de ransomware sigue creciendo, pero eso no quiere decir que sus técnicas sean necesariamente más sofisticadas. Así lo explica un nuevo informe estadístico de Microsoft.
En el primer informe de Cyber Signals que Microsoft publica, se desgranan ciertas tendencias a partir de los datos de 1.200 millones de usuarios que forman parte del directorio activo de Azure. La tecnológica ha descubierto que robar o adivinar contraseñas sigue siendo una de las técnicas más comunes con las que los ciberdelincuentes logran hackear a los usuarios.
Eso quiere decir que la mayoría de los ciberataques podrían evitarse activando el factor de doble autenticación a la hora de iniciar sesión: este sistema exige a los usuarios verificar su identidad cuando acceden al servicio con un dispositivo distinto al que están usando para entrar en su cuenta. Solo el 22% de los usuarios de Azure tienen activado este mecanismo, lamenta la compañía.
Es la primera vez que Microsoft publica estadísticas sobre cuántos de sus usuarios confían en el factor de múltiple autenticación en sus servicios.
Los ciberdelincuentes especializados en ransomware se limitan a aprovechar “una oportunidad” y después “correr”, explica a Business Insider el responsable de Inteligencia de Amenazas por Ransomware de Microsoft, Cristopher Glyer. Es raro que un ciberatacante haga todo lo que esté en su mano para romper la seguridad de las cuentas.
Por eso solo las cuentas con las configuraciones de seguridad más débiles son las que a la postre se convierten en los objetivos preferidos de estos criminales.
Incluso colectivos de criminales informáticos patrocinados por países extranjeros se aprovechan de estas prácticas de hacking tan rudimentarias para comprometer la seguridad de sus objetivos, asegura el vicepresidente de Microsoft Security, Vasu Jakkal, a este medio.
La unidad de Inteligencia de Amenazas de Microsoft documenta en su informe que incluso grupos ligados a Rusia e Irán están usando técnicas como el password sprays (probar una misma contraseña de uso común en varias cuentas de usuario) para tratar de acceder a las mismas.
El año pasado, el gran ataque que sufrió SolarWind, y por el que se llegó a acusar al Gobierno ruso, en realidad había comenzado porque se comprometió una contraseña que no era segura.
“Cuando piensas en ciberatacantes de estados extranjeros piensas que usarán técnicas muy sofisticadas”, dice Jakkal. “Y en realidad no lo necesitan porque les basta con robar contraseñas para contar con un acceso inicial a los sistemas de sus víctimas”.
Esto quiere decir que los ciberdelincuentes no siempre tienen que invertir mucho dinero y tiempo para asaltar a la mayoría de sus víctimas. Los agentes maliciosos pueden comprar contraseñas robadas que se han filtrado en brechas de seguridad. 150 dólares puede suponer un paquete de 400 millones de contraseñas, según Microsoft. Así, hackear a alguien puede ser tan sencillo como iniciar sesión.
“Las barreras de entradas han descendido, lo que implica que a medida que nos adentramos en la siguiente ola de digitalización y en el mundo de los metaversos y todo eso (elige la palabra que prefieras), veremos las mismas amenazas de siempre”, resume Jakkal.
Las memorias o tarjetas micro SD se han vuelo tremendamente populares en los últimos tiempos, y como herramienta de uso diario que son, no son pocas las que se averían, se corrompen o simplemente fallan y dejan de funcionar.
Los errores más habituales que podemos ver en sistemas como Android o Windows suelen tener este aspecto:
“Error en la tarjeta SD”
“Tarjeta SD dañada” o “La tarjeta SD está dañada”
“La unidad (E:) no está accesible”
“El archivo o carpeta está dañado y no se puede leer”
Puedes usar un adaptador para la micro SD. Si nuestro equipo tiene ranura para micro SD, perfecto. Si no necesitaremos un adaptador SD/Micro SD o USB/Micro SD para insertar la tarjeta. Suelen ser bastante baratos. También podemos utilizar otro método para reparar la tarjeta, el cual consiste en ir a la unidad de la SD dentro de “Equipo” y mediante clic derecho en “Propiedades” seleccionar “Herramientas -> Comprobar (Comprobación de errores)”.
Con el comando chkdsk /x /f el sistema buscará errores en la tarjeta micro SD y si encuentra alguno intentará repararlo. Es una utilidad que funciona bastante bien, y normalmente suele solucionar la mayoría de problemas de este tipo. Si tienes problemas para ejecutar el comando te recomiendo que utilices un programa llamado CheckDiskGUI. Se trata de una herramienta gratuita que permite hacer más o menos lo mismo que el comando chkdsk pero con una interfaz gráfica, lo cual hace que sea muchísimo más fácil de manejar.
Recupera archivos borrados con Recuva o similares
Una vez Windows es capaz de leer la SD tenemos que intentar salvar el mayor número de datos posibles. Una buena opción es pasar todos los datos al disco duro del ordenador, pero si faltan archivos (fotos, videos, documentos etc.) necesitaremos un programa de recuperación de datos para extraer el mayor número de información.
Hay un millar de aplicaciones para recuperar datos. A mí la que mejor me ha funcionado hasta ahora ha sido “Recuva” (gratuita), pero la verdad es que a la larga las que mejor rendimiento suelen ofrecer son aplicaciones que requieren licencia, tales como DiskDigger o Get Data Back.
La aplicación DiskDigger también cuenta con una versión app para Android que podemos utilizar para recuperar nuestras fotos y archivos, pero vamos a necesitar permisos root para que despliegue todo su potencial (eso sí, teniendo en cuenta siempre que la versión de escritorio es mucho más efectiva).
Programas gratuitos para reparar errores en una tarjeta micro SD dañada
En este tutorial hemos hablado del comando chkdsk de Windows y el programa Partition Master, pero existen muchas otras herramientas con las que podemos intentar reparar una tarjeta de memoria dañada.
Reparación de unidades dañadas
TestDisk y PhotoRec: Programa gratuito y open source para reparar tablas de partición, recuperar particiones borradas y el sector de arranque FAT32 desde el backup. También puede recuperar sectores de arranque NTFS, FAT y más. | Descargar desde su web oficial
HDDScan: Estupenda herramienta para diagnosticar errores en discos duros, unidades flash USB y hasta servidores RAID. Busca daños en la unidad de almacenamiento en busca de sectores dañados y permite realizar algunos tests y correcciones. | Descargar desde su web oficial
Disk Check (Puran Software): Este programa gratuito es muy similar a CheckDiskGUI. Básicamente se trata de una interfaz gráfica con la que podemos usar todas las herramientas de corrección de errores del comando chkdsk. Sencillo pero efectivo. | Descargar desde cnet.com
AOMEI Partition Assistant: Utilidad muy similar al Partition Master que permite formatear una unidad, así como buscar errores e intentar repararlos de forma automática con la herramienta chkdsk. El programa está disponible en dos sabores: una versión estándar gratuita pero limitada (aunque suficiente en la mayoría de casos) y una versión de pago más completa. | Descargar desde su web oficial
Errores comunes al reparar / formatear una tarjeta con los comandos CHKDSK y DISKPART
Al intentar reparar la tarjeta SD desde MS-DOS con el comando DISKPART es posible que el sistema nos devuelva algún mensaje de error. A continuación desgranamos algunos de los fallos más habituales.
«chkdsk no está disponible para archivos RAW»
Cuando una tarjeta de memoria está en formato RAW significa que ha perdido su formato de archivos. En este caso, lo podemos solucionar fácilmente formateando el disco. Eso sí, perderemos cualquier información almacenada en la memoria (lo cual nos obligará a pasar algún programa si queremos recuperar los datos).
«Acceso denegado porque no tiene privilegios suficientes»
Este es un fallo bastante habitual al utilizar PowerShell o la ventana de terminal de Windows sin permisos de administrador. Para corregir este error:
En Windows 10: Desde el buscador de Cortana escribe “cmd” y selecciona “Ejecutar como administrador” para abrir una ventana de MS-DOS con privilegios de superusuario. Nota: si no tienes acceso a Cortana también puedes dirigirte hasta C:\WINDOWS\system32 y ejecutar el archivo cmd.exe con permisos de administrador haciendo clic derecho sobre el fichero.
En versiones anteriores de Windows: Desplázate hasta la carpeta C:\Windows\System32 y localiza el archivo «cmd.exe». Haz clic derecho sobre el archivo mientras presionas la tecla «shift» y seleccionamos «Ejecutar como administrador«.
«El volumen es demasiado grande»
Otro fallo clásico. Este nos suele saltar cuando ejecutamos el comando «format» y el motivo es que Windows no es capaz de formatear ninguna unidad a FAT32 con un tamaño mayor a 32GB.
Para conseguir que Windows nos permita formatear tarjetas de memoria de 64GB, 128GB o superiores debemos instalar una aplicación de terceros como por ejemplo FAT32 Format.
Error del servicio de disco virtual: el volumen es demasiado pequeño»
En este caso nos ocurre al contrario: la unidad es demasiado pequeña. Para poder seguir adelante tendremos que formatear la microSD a formato NTFS.
De esta forma, cuando estemos realizando los comandos en DISKPART, en lugar de ejecutar «format fs=FAT32″ utilizaremos «format fs=NTFS».
Si no obtenemos resultados, lanzaremos esta otra serie de comandos:
diskpart
clean
convert gpt
format fs=NTFS
«Error de servicio de disco virtual: El medio está protegido contra escritura»
Este es un fallo que devuelve Windows cuando detecta que la tarjeta SD solo tiene permisos de lectura. Revisa por si la tarjeta tiene alguna pestaña de bloqueo y cámbiala de posición.
Si tienes una microSD no verás ninguna pestaña. En este caso lo recomendable es proceder con el siguiente comando de MS-DOS:
attributes disk clear readonly
«Error del servicio de disco virtual»
Existen varios fallos relacionados con el servicio de disco virtual.
«Error del Servicio de disco virtual: No hay medios en el dispositivo«. Indica que el sistema no es capaz de comunicarse con la tarjeta de memoria. Para el PC es como si fuera una unidad vacía.
«Error del Servicio de disco virtual: Se agotó el tiempo de espera para la operación«. Lo que nos indica este error es que el sistema ha intentado establecer contacto pero la tarjeta SD no responde.
«Error diskpart ha encontrado un error: no se puede realizar la solicitud por un error del dispositivo de E/S«. Al igual que en los casos anteriores, estamos ante un error de comunicación entre la microSD y el PC.
«DiskPart ha encontrado un error: El dispositivo no está listo«. Con este error el sistema nos dice que no puede establecer contacto con la tarjeta de memoria.
En resumidas cuentas, estos 4 errores vienen a indicar un posible fallo de hardware en la memoria SD. Si estás utilizando algún tipo de adaptador USB para conectar la tarjeta al PC prueba a utilizar otro adaptador para descartar que el fallo esté en el adaptador.
Si no es un fallo del adaptador lo más probable es que la memoria se haya deteriorado o esté rota. Si se ha caído al agua o está mojada puedes intentar secarla introduciendo la tarjeta en una bolsa de arroz durante un par de días, aunque las posibilidades de recuperación son bastante bajas.
Man-in-the-Middle (MitM), que en español significa “hombre en el medio”, es un tipo de ataque destinado a interceptar, sin autorización, la comunicación entre dos dispositivos (hosts) conectados a una red. Este ataque le permite a un agente malintencionado manipular el tráfico interceptado de diferentes formas, ya sea para escuchar la comunicación y obtener información sensible, como credenciales de acceso, información financiera, etc., o para suplantar la identidad de alguna de las partes
Para que un ataque MitM funcione correctamente, el delincuente debe asegurarse que será el único punto de comunicación entre los dos dispositivos, es decir, el delincuente debe estar presente en la misma red que los hosts apuntados en el ataque para cambiar la tabla de enrutamiento ARP para cada uno de ellos.
Aunque alterar la tabla de enrutamiento es infinitamente más simple cuando se realiza en la misma red, técnicamente sería posible secuestrar los routers de los proveedores de Internet y alterar arbitrariamente sus tablas de enrutamiento, pero la complejidad de este tipo de ataque es incomparablemente mayor. Por tanto, todos los ejemplos que citaré en este artículo estarán relacionados con el ataque desde dentro de la red.
Tipos de ataques man-in-the-middle
Ataques basados en servidores DHCP
ARP cache poisoning
Ataques basados en servidores DNS
Simulación de un punto de acceso inalámbrico
Ataque Man in the Browser
Tipos de ataques man-in-the-middle
Ya hemos visto cómo proceden los atacantes a realizar un ataque man in the middle. Pero veamos más en profundidad qué tipos de ataques existen y en qué consiste cada uno de estos métodos.
Ataques basados en servidores DHCP
Los atacantes utilizan su ordenador como si fuera un servidor DHCP en una red local. Estos servidores sirven para asignar direcciones IP y realizar la configuración de los dispositivos que forman parte de una red, para que se puedan comunicar con otras redes. Mediante un DHCP simulado, los hackers pueden controlar las direcciones IP locales para desviar e interceptar el tráfico saliente.
ARP cache poisoning
El protocolo ARP tiene como función resolver IPs en redes LAN. Para proceder al envenenamiento de caché ARP, el hacker necesita conocer el sistema del destinatario. Al hacer una petición ARP se envía tanto la IP como la dirección MAC del equipo que realiza la solicitud, así como la IP del equipo de destino. Mediante el ARP cache poisoning, se busca dar respuestas falsas en estas peticiones, para que el usuario use el ordenador del hacker como punto de acceso a internet y así poder interceptar los datos salientes de los ordenadores de las víctimas.
Ataques basados en servidores DNS
En este tipo de ataques los ciberdelincuentes manipulan el caché de servidores DNS con el objetivo de dar direcciones falsas. Generalmente, estos ataques se centran en servidores que utilizan versiones del software DNS muy antiguas, ya que son más vulnerables. Además, en caso de lograr acceso a estos servidores, será mucho más sencillo enviar registros falsos y envenenar su caché.
Simulación de un punto de acceso inalámbrico
Este tipo de ataque man in the middle por WiFi está dirigido principalmente a los usuarios de los teléfonos móviles. El hacker crea un punto de acceso inalámbrico en una red pública, por ejemplo en una biblioteca o cafetería. El objetivo es hacer que el equipo del atacante funcione como un punto de acceso inalámbrico a internet, para que los usuarios se conecten a él a través de sus dispositivos móviles y así hacer de intermediario entre los usuarios y la red pública.
Ejemplo Ejecución del ataque ARP
Un ataque ARP poisoning funciona de la siguiente manera:
El atacante hace uso de la herramienta de ARP Spoofing y escanea las direcciones MAC e IP de los hosts de la subred del objetivo.
El atacante elige su destino y comienza a enviar paquetes ARP través de la LAN. Estos paquetes contienen la dirección MAC del atacante y la dirección IP de la víctima con el fin de que la arp cache de los equipos establezca la relación de esa MAC con esa dirección ip.
Si el atacante logró vincular su dirección MAC a una dirección IP auténtica, va a empezar a recibir cualquier dato que se puede acceder mediante la dirección IP. A partir de aquí, el atacante puede robar datos o lanzar un ataque más sofisticado.
Como sucede en la mayoría de los ataques, incluso si el delincuente no tiene un profundo conocimiento sobre lo que va a ejecutar, podrá llevarlo a cabo, aunque sea de forma mecánica. Y en el caso de los ataques de Man-in-the-Middle no es diferente: siguiendo algunas instrucciones que se encuentran fácilmente en Internet, es posible reproducir este tipo de ataque. Por eso es tan importante tomar siempre medidas de protección.
Para comprender cómo funciona el ataque, veamos la imagen a continuación. En la misma se puede apreciar la tabla de enrutamiento presente en la computadora de la víctima, aún sin cambios.
Cada una de las entradas de la tabla ARP tiene una dirección única, como puede observarse en la numeración final presente en cada una de ellas.
Como hemos dicho anteriormente, cuando se está ejecutando un ataque MitM, el delincuente se hace pasar por la dirección de destino de la víctima, que suele ser un router o alguna otra dirección que sea la puerta de entrada a esa red. Vale la pena mencionar que los ataques en los que se hacen pasar por la dirección de destino de la víctima representan uno de los tantos tipos de ataques de MitM. Dicho esto, existen algunas herramientas que pueden realizar este tipo de ataque. En el caso de nuestro ejemplo, el ataque realizado fue de envenenamiento de ARP, también conocido como ARP spoofing o envenenamiento de tablas ARP. El ARP, o Adress Resolultion Protocol, es un protocolo de resolución de dirección que se utiliza en la comunicación entre direcciones IP y la dirección física de un equipo, más conocida como dirección MAC.
El software utilizado para automatizar este ataque fue Ettercap a través de la línea de comandos. Sin embargo, el software también tiene una interfaz gráfica muy intuitiva y fácil de usar. Después de ejecutar el comando, la víctima cree que el atacante es la puerta de enlace y comienza a enviarle todas sus solicitudes.
Como la visualización que ofrece Ettercap tiene una estructura muy difícil de interpretar, es posible utilizar analizadores de red más robustos como Wireshark o BetterCap para monitorear la interfaz de red que está recibiendo este tráfico y tratarlo o guardarlo para realizar un análisis posterior.
Herramientas MITM (Man In The Midle)
Dnsspoof: DNS spoofer. Elimina las respuestas de DNS del enrutador y lo reemplaza con la respuesta de DNS falsificada.
Ettercap: Una suite completa para hombres en medio de ataques. Cuenta con olfateo de conexiones en vivo, filtrado de contenido sobre la marcha y muchos otros trucos interesantes. Es compatible con la disección activa y pasiva de muchos protocolos e incluye muchas características para el análisis de red y host.
Bettercap: Una herramienta potente, flexible y portátil creada para realizar diversos tipos de ataques MITM contra una red, manipular el tráfico HTTP, HTTPS y TCP en tiempo real, buscar credenciales y mucho más.
Mallory: Un hombre extensible de TCP / UDP en el proxy intermedio que está diseñado para ejecutarse como una puerta de enlace. A diferencia de otras herramientas de este tipo, Mallory admite la modificación de protocolos no estándares sobre la marcha.
Mitmproxy: Un proxy hombre-en-el-medio interactivo con capacidad para SSL para HTTP con una interfaz de consola.
Mitmsocks4j: El hombre en el medio SOCKS Proxy para JAVA.
Nogotofail: Una herramienta de prueba de seguridad de tráfico de red blackbox en ruta.
Responde: Un envenenador LLMNR, NBT-NS y MDNS, con servidor de autenticación rogue HTTP/SMB/MSSQL/FTP/LDAP incorporado compatible con NTLMv1 / NTLMv2 / LMv2, NTLMSSP de seguridad extendida y autenticación HTTP básica.
Ssh-mitm: Una herramienta de hombre en el medio SSH / SFTP que registra sesiones interactivas y contraseñas.
MITMf (Man In The Middle Framework)
El “framework” permite hacer “bypass HTTPS”, denominado “MITMf” (Man In The Middle Framework), el cual consta de un kit de herramientas que permiten realizar varios ataques compenetrados entre los que destacan “ARP Spoofing”, “DNS Spoofing” y “SSLstrip2”, con el que evadir las conexiones cifradas vía HTTPS.
Para proceder a la realización del ataque lanzamos “mitmf.py” con la siguiente configuración: “Mitmf.py -i <interfaz> – -spoof – -hsts – -arp – -dns – -gateway <puertaenlace> – -target <IP>”
Hetty
Hetty es un kit de herramientas HTTP rápido de código abierto con potentes funciones para ayudar a los investigadores de seguridad, los equipos y la comunidad de recompensas por errores. La herramienta liviana con una interfaz web Next.js incrustada comprende un hombre HTTP en el proxy intermedio.
Características principales
Le permite realizar una búsqueda de texto completo
Tiene un módulo de remitente que le permite enviar solicitudes HTTP manualmente en función de las solicitudes fuera del registro del proxy o al crearlas desde cero.
Un módulo de atacante que le permite enviar solicitudes HTTP automáticamente
Instalación simple e interfaz fácil de usar
Envíe manualmente las solicitudes HTTP comenzando desde cero, elaborando la solicitud o simplemente copiándola desde el registro de proxy.
La solución fácil de usar proporciona a expertos en seguridad y equipos red team todas las funciones para probar o atacar redes Wi-Fi, IP4, IP6, dispositivos Bluetooth de baja energía (BLE) y dispositivos HID inalámbricos. Además, la herramienta tiene capacidades de monitoreo de red y otras características como creación de puntos de acceso falsos, rastreador de contraseñas, suplantación de DNS, captura de protocolo de enlace, etc.
Características principales
Un potente rastreador de red incorporado para identificar datos de autenticación y recopilar credenciales
potente, extensible
Sondea y prueba de forma activa y pasiva los hosts de la red IP en busca de posibles vulnerabilidades MITM.
Interfaz de usuario basada en web fácil de usar e interactiva que le permite realizar una amplia gama de ataques MITM, rastrear credenciales, controlar el tráfico HTTP y HTTP, etc.
Extrae todos los datos que recopila como POP, IMAP, SMTPy credenciales FTP, URL visitadas y hosts HTTPS, cookies HTTP, datos publicados HTTP y más. Luego lo presenta en un archivo externo.
Manipule o modifique el tráfico TCP, HTTP y HTTPS en tiempo real.
Proxy.py
Proxy.py es un servidor proxy WebSockets, HTTP, HTTPS y HTTP2 ligero de código abierto. Disponible en un solo archivo de Python, la herramienta rápida permite a los investigadores inspeccionar el tráfico web, incluidas las aplicaciones cifradas TLS, mientras consume un mínimo de recursos.
Características principales
Es una herramienta rápida y escalable que puede manejar decenas de miles de conexiones por segundo.
Funciones programables como un servidor web integrado, proxy y personalización de enrutamiento HTTP, etc.
Tiene un diseño liviano que usa 5-20 MB de RAM. Además, se basa en las bibliotecas estándar de Python y no requiere ninguna dependencia externa.
Un panel personalizable en tiempo real que puede ampliar mediante complementos. También le da la opción de inspeccionar, monitorear, configurar y controlar el proxy.py en tiempo de ejecución.
La herramienta segura utiliza TLS para proporcionar un cifrado de un extremo a otro entre el proxy.py y el cliente.
Mitmproxy
Los mitmproxy es una solución de proxy HTTPS de código abierto y fácil de usar.
Generalmente, la herramienta fácil de instalar funciona como un proxy HTTP de intermediario SSL y tiene una interfaz de consola que le permite inspeccionar y modificar el flujo de tráfico sobre la marcha. Puede utilizar la herramienta basada en la línea de comandos como un proxy HTTP o HTTPS para registrar todo el tráfico de la red, ver lo que solicitan los usuarios y reproducirlos. Por lo general, mitmproxy se refiere a un conjunto de tres herramientas poderosas; mitmproxy (interfaz de consola), mitmweb (interfaz basada en web) y mitmdump (versión de línea de comandos).
Burp Suite
Características principales
Interceptar e inspeccionar el tráfico de red sin procesar en ambas direcciones entre el navegador web y el servidor
Rompe la conexión TLS en el tráfico HTTPS entre el navegador y el servidor de destino, lo que permite al atacante ver y modificar datos cifrados.
Opción de utilizar el navegador integrado Burps o el navegador web estándar externo
Solución de escaneo de vulnerabilidades automatizada, rápida y escalable, le permite escanear y probar aplicaciones web de manera más rápida y eficiente, identificando así una amplia gama de vulnerabilidades
Mostrar solicitudes y respuestas HTTP individuales interceptadas
Revise manualmente el tráfico interceptado para comprender los detalles de un ataque.
Burp es una herramienta automatizada y escalable herramienta de escaneo de vulnerabilidades. La herramienta es una buena opción para muchos profesionales de la seguridad. Generalmente, permite a los investigadores probar aplicaciones web e identificar vulnerabilidades que los delincuentes pueden explotar y lanzar ataques MITM.
Utiliza un flujo de trabajo dirigido por el usuario para proporcionar una vista directa de la aplicación de destino y cómo funciona. Al operar como un servidor proxy web, Burp se sienta como el intermediario entre el navegador web y los servidores de destino. En consecuencia, esto le permite interceptar, analizar y modificar el tráfico de solicitudes y respuestas.
Ettercap
Ettercap es un analizador e interceptor de tráfico de red de código abierto.
La completa herramienta de ataques MITM permite a los investigadores diseccionar y analizar una amplia gama de hosts y protocolos de red. También puede registrar los paquetes de red en una LAN y otros entornos. Además, el analizador de tráfico de red multipropósito puede detectar y detener ataques de intermediarios.
Características principales
Interceptar el tráfico de la red y capturar credenciales como contraseñas. Además, puede descifrar datos cifrados y extraer credenciales como nombres de usuario y contraseñas.
Adecuado para rastreo profundo de paquetes, pruebas, monitoreo del tráfico de red y filtrado de contenido en tiempo real.
Admite escuchas, disecciones y análisis activos y pasivos de protocolos de red, incluidos aquellos con cifrado
Analizar un topología de la red y establecer los sistemas operativos instalados.
Interfaz gráfica de usuario fácil de usar con opciones de operación de GUI interactivas y no interactivas
utiliza técnicas de análisis como la interceptación ARP, el filtrado de IP y MAC, y otras para interceptar y analizar el tráfic
Consecuencias de un ataque de Man-in-the-Middle
Ahora que entendemos un poco sobre la estructura del ataque en sí, queda por ver qué pueden hacer los delincuentes cuando llevan a cabo un ataque Man-in-the-Middle.
En el ejemplo que mencioné, la captura de tráfico fue realizada por Ettercap con el fin de analizar paquetes. Sin embargo, Ettercap no es la única solución que ayuda a crear ataques Man-in-the-Middle. Es posible desarrollar amenazas para realizar determinadas acciones dentro del tráfico interceptado o utilizar alguna de las soluciones ya creadas para realizar estas modificaciones. Una de las soluciones desarrolladas para este propósito fue Man-in-the-Middle Framework, o MITMf, que viene con varias funcionalidades instaladas por defecto. Algunas de estas funcionalidades permiten:
– Realizar capturas de pantalla de lo que observa la víctima cada cierto tiempo;
– Insertar en la página a la que se accede código en JavaScript creado por el atacante;
– Ejecutar procesos que intentan abrir tráfico encriptado HTTPS;
– Insertar un keylogger que capture todo lo que escribe la víctima.
Con esto, las opciones de ataque son prácticamente ilimitadas, y aún es posible utilizar el ataque para dirigir el tráfico a otros frameworks con aún más funcionalidades, como, por ejemplo, BeEF.
Además del enfoque MitM más tradicional que menciono en esta publicación, los delincuentes usan este concepto de interceptar las acciones de las víctimas en varios otros tipos de ataques, como la alteración de la memoria cuando la víctima usa el portapapeles (al copiar y pegar algo), ataques de Man-in-the-Browser (que significa hombre en el navegador) cuando el ciberdelincuente modifica información transmitida directamente por el navegador, por ejemplo, cuando se realiza una compra. Todos estos tipos de ataques tienen un impacto significativo en las víctimas y la mayoría de ellos no muestran signos de que la víctima esté siendo atacada en ese momento, lo que hace que las medidas de protección frente a este tipo de amenazas sean aún más necesarias.
During this research project, I have done enormous amount of research on everything that was known about WhatsApp interception, which methods are there, how can they be used, and how can they be prevented. Since this presentation can only be 20 minutes, I have to be very short on each subject.
The scope of my research project was not to do any research post-mortem on physical devices. For example, on a mobile phone, the scope was not to use any subpoena to get information from WhatsApp. I used several forensic digital methods to get data from WhatsApp and combine them to get as much as possible. I have used the same structure with all methods I’ve found. And I will mention the methods one by one. I’m using the same structure for all of these methods.
The first question is which methods can be identified, which information can be gathered using one of them, one of each method, which steps to take in order to successfully fulfill the method and how these methods can be prevented.
In the slide you can see all the alternative information I’ve already used. In this slide, you can see everything that I’ve worked with, all literature, and you can see them all, and what you can see that some of them use metadata, some of them use open data. Most of them are about historic content that can be gathered doing forensic research on a phone. Some of them are about future content and none of them are about real time content.
In this slide, you can see which software versions I’ve used for both the mobile phones, as well as the WhatsApp version. The first method describes a WhatsApp account takeover. The first question you can ask yourself is, was there even a WhatsApp account, giving a certain number, phone number you’ve used.
If you can take over a WhatsApp account, you can see in which WhatsApp group someone was a member. You can also see their role – were they just a normal member, or were they an administrator moderator. You can see the name of the group or groups, if they are multiple, and you can see the other members of the group, you can see their phone numbers and you can see their display names if they send in the group after you’ve joined them, which are new account. You will also receive messages that are still in transit. So between the period that they have sent the message and you have taken over the account.
And the last thing you can see, are the messages that are sent after the take-over, but how can you do it? The first option is to do an interception on the phone number. Make sure that the phone number is intercepted, and read along the two-factor authentication message, enter it on your phone, and then you get, you have taken over the account.
The second method is to do a seizure of the phone or just a SIM card. Put the SIM card in your own phone, enter the number during the WhatsApp installation, you will receive the message to confirm that you have access over the number – you have control over the number, and you’ve taken over the account.
Now what’s the risk? The risk is that the phone has to be physically in your hands in order to be successful in this method. The second thing is it will show on the phone Web WhatsApp is active. The third thing is that you can see where the messages are read on the web WhatsApp as well. So you can actually only read the messages that are already, excuse me, that are already read on the phone, if you don’t want to spook them.
How can you prevent the second method, Web WhatsApp? You can enable biometrical access to your WhatsApp account. So whenever someone has your phone, they also have to unlock it in order to be successful in order to create a pair. You can use a safe phone, with a safe access code, and don’t leave your phone unattended. That’s the third option.
The third matter that I’ve described in my research project is only disclosed for law enforcement agencies and law enforcement officers. If you are a law enforcement officer, I can send you the information. I can send you the method, but since it’s too much of an asset for us, I can’t disclose it for all of you. I’m so sorry about that. Are you a police officer, are you with law enforcement, please send me an email from your law enforcement email account on Dennis.Wijnberg@politie.nl
Fourth method that I’ve tried, it’s actually a failed method. I was not successful, but I want to share with you either way, maybe someone else can proceed on what I found and make it better.
The idea was to create a Web WhatsApp session that does not already exist. I’ve compared the local storage from the web browser, with web_ sessions.db on the phone. I’ve compared WABrowserid with browser_id as you can see here. As the slide shows the WASecretBundle ‘enckey’ and ‘mackey’ are both part of the secret key secret string, as mentioned in web_sessions.db. The enckey contains the last 32 bits, and the mackey contains the first 32 bits. Bytes. I’m so sorry, bytes. And they’re both base 64 encoded.
The problem is that WAToken2 does not exist in web_sessions.db. I think it is because it’s stored on a server somewhere. It’s not stored in web_sessions.db, so it cannot be injected in web_sessions.db, otherwise you could create something in the local storage and then inject it in web sessions if you have access to that file on the phone. I know it’s all quite hypothetical, but I think it could be, it could be working if you had web_sessions.db, if you have, if you had WAToken2 there.
During the handshake it is exchanged as serverToken in the connection array, also conn array. Key_server_token, and WAToken2, in the JavaScript API. JavaScript.
The fifth method is WhatsApp Calls. It allows you to see the IP address of the person someone is calling with. This only works if both parties are in their address lists in WhatsApp in the contact list, or otherwise this will not work.
As you can see in the diagram below, in the evidence below, in the monitor set up Samsung S8 called with an iPhone eight. IPhone eight was connected to my MacBook pro using Wireshark in order to intercept all signals and the backward pair was connected with the router. And then the router with the Internet, of course. The iPhone was connected over 4G.
This example shows that I could see the IP address of the person I was calling with. In this slide you can see how it looks in Wireshark, for example, and I’ve mentioned a display filter in Wireshark: stun.type equals 0 X 0 0 1 [note – this is different between the slide and the talk]. And ip.dst! = 192.168.1.0/16.
In this case, my internal traffic has filtered from the other traffic. How can this method, method 5, be prevented? Of course you could use a VPN, virtual private network, so the IP address will not show. Another option would be to do only wifi on major locations where a lot of people are on the same wifi network.
During my research project, I’ve seen that several fugitives were calling their parents, their children, their loved ones using WhatsApp. That allowed us to see the IP address of the person they were calling with. Since the family calls were all intercepted, we could find their location abroad. They were arrested over there.
The sixth method is about WhatsApp open source intelligence. As my research shows, multiple things can be gathered by using WhatsApp open source intelligence. For example, someone’s profile picture. This can be used to identify whether a person is using WhatsApp or not. It can also be used to see what number is currently attached to a certain person, for example.
This previously was impossible to do this by enumeration. So for example, in the Netherlands, we start mobile phone numbers with 31 for the Netherlands, 6 for a mobile number, and then we have several codes for several mobile phone providers. After that is a random amount of — it’s not a random amount of numbers, it’s an amount of numbers that can be enumerated and therefore can be automated. And therefore you could retrieve all those phone numbers and their profile pictures attached. Lauren Clusit [name?] did in 2017 research on this.
What also can be gathered is when someone was online for the last time. This can be used for law enforcement to see whether someone has a regular pattern for living in a certain time zone, for example. It can also be used for an employer to see whether their employee is going on a regular time to bed, to sleep. Why do they perform on a certain level at work? It can be misused by employers as well. Last thing that can be gathered is that about, so you can, someone can enter there or someone about details of their life, and this can also be retrieved.
How can this method be prevented? In the privacy tab, in the account settings of WhatsApp, you have several options to disable. You can, for example, the last seen, profile photo, about, and status, and you can select whether this is visible for no-one, for everyone, or only for your contacts. As this image shows a daily pattern can be gathered. You can see when two people had a conversation based on when they were online and when they were not. You can see what their work hours are. You can see how often they use WhatsApp. Is that a normal behavior for someone in a certain job. Your employee, your employer can watch this for an employee unless you have forensic counter measures, of course.
Would you be comfortable with your employer seeing all this about you? Last but not least we also have to think about ourselves. We have to think about our own security in order to not become a victim.
This method is not unique for WhatsApp. It can also work for other messaging systems. This research is in motion continuously. So if you have any new findings about this subject, please feel free to contact me. I can show you all of my research data, and I’m really happy to share everything I’ve found and what I’ve found, especially for law enforcement officers I can show you even more.
As this slide shows, there are several methods to do and to use alternative methods for WhatsApp interception. On the left, you can see all the methods I’ve just described. And on top of it, you can see what can be gathered.
Me ha parecido una publicación mi interesante debido a la gran cantidad de archivos PDF que manejamos hoy en día. El poder escudriñar en un momento dado si el archivo que tenemos puede tener algún invitado, es de vital importancia.
El formato PDF se ha convertido en una de las formas más populares para visualizar archivos, ya que este formato es compatible con toda clase de dispositivos tecnológicos, incluyendo computadoras de escritorio, laptops, tabletas electrónicas y smartphones. Debido a esta presencia universal, los actores de amenazas comenzaron a usar estos documentos para entregar malware y desplegar otras variantes de ataque.
En esta ocasión, los especialistas del Instituto Internacional de Seguridad Cibernética (IICS) le mostrarán cómo aplicar informática forense para analizar documentos PDF y determinar si están comprometidos con alguna variante de contenido malicioso.
Antes de continuar, cabe recordar que la cadena de ataque vía PDF suele comenzar enviado documentos maliciosos vía email. Cuando estos documentos se abren en el sistema afectado, en la mayoría de los casos se ejecuta código JavaScript en segundo plano capaz de explotar vulnerabilidades en herramientas como Adobe PDF Reader o almacenar archivos ejecutables para etapas de ataque posteriores.
Los documentos PDF, ya sean legítimos o maliciosos, tienen 4 elementos principales, mencionan los expertos en informática forense:
Encabezado: Contiene información sobre la versión del documento y otros datos generales
Cuerpo: Se refiere a los objetos del documento. Este elemento está formado por flujos que se utilizan para almacenar datos
Tabla de referencias cruzadas: que apunta a cada objeto
Tráiler: Elemento que apunta a la tabla de referencias cruzadas
Ahora que sabemos la información esencial sobre un ataque vía documentos PDF, podremos revisar cada forma de analizar estos elementos.
Escaneo de PDF usando PDFiD
PDFiD es un componente de Didier Stevens Suite capaz de escanear documentos PDF usando una lista de cadenas para detectar elementos JavaScript, archivos incrustados, acciones al abrir archivos y conteo de líneas específicas en un documento.
En este ejemplo, podemos ver que PDFiD detectó varios objetos, flujos, código JavaScript y elementos OpenAction en el archivo Report.pdf. Según los expertos en informática forense, la presencia de estos elementos sugiere que el archivo analizado contiene JavaScript o scripts Flash. El elemento /Embedded indica la presencia de otros formatos dentro de los PDF, mientras que los elementos /OpenAction, AA y /Acroform inician acciones automáticas al abrir el archivo.
Visualizar el contenido de los objetos PDF
Ya sabemos que hay código JavaScript dentro del archivo PDF analizado. Este será el punto de partida de la investigación; para encontrar un objeto JavaScript indirecto, ejecute la herramienta pdf-parser.py.
Según el resultado de estos escaneos, el código JavaScript oculto ejecutará el malware cada vez que se abra el archivo, por lo que el siguiente paso es extraer la carga maliciosa.
Extracción de archivos incrustados usando Peepdf
Esta es una herramienta de Python que contiene todos los componentes necesarios para la validación y el análisis de archivos PDF, mencionan los expertos en informática forense. Para aprovechar al máximo sus capacidades, ingrese el comando peepdf – i file_name.pdf. La función -i habilitará el modo interactivo del script:
Para encontrar más funciones, ingrese el comando –help:
El resultado del análisis indica que hay un archivo incrustado en el objeto 14. Una inspección más cercana de este objeto permite ver que apunta al objeto 15; a su vez, el objeto 15 apunta al objeto 16. Finalmente, pueden apreciarse indicios de la presencia de un archivo malicioso en el objeto 17.
Según el contenido del PDF, solo hay una secuencia en él, que también apunta al objeto 17. Por lo tanto, el objeto 17 es una secuencia con un archivo incrustado.
El flujo 17 contiene una firma de archivo que comienza con MZ y un valor hexadecimal que comienza con 4d 5a. Acorde a los expertos en informática forense, estos son signos que apuntan a un archivo ejecutable.
A continuación, guardaremos la secuencia como ejecutable virus.exe.
Análisis de comportamiento
Ejecute el archivo en sup-tuals-tion usando un sistema Windows 7 de 32 bits.
Como puede ver en la ventana de Process Explorer, virus.exe creó dos procesos sospechosos (zedeogm.exe, cmd.exe) que se interrumpieron después de iniciarse.
Según Process Monitor, el archivo zedeogm.exe se guardó dentro de los procesos en ejecución. Luego cambió las reglas establecidas en Windows Firewall. El siguiente paso fue ejecutar el archivo WinMail.exe; después de eso, el programa lanzó cmd.exe para ejecutar el archivo tmpd849fc4d.bat y detener el proceso.
Conclusión
El uso de técnicas de informática forense para el análisis de documentos PDF puede ser fundamental para evitar interactuar con contenido malicioso. En conjunto con otras medidas preventivas, esta práctica puede cerrar uno de los principales vectores de amenazas en la actualidad.
Otras medidas recomendadas para prevenir esta amenaza incluyen:
Verificar el remitente de un correo electrónico no deseado
Ignorar los enlaces o archivos adjuntos en correos electrónicos no solicitados
Mantener sus herramientas antivirus siempre actualizadas
Verificar los errores tipográficos, muy comunes en correos electrónicos maliciosos
Como de costumbre, le recordamos que este material fue elaborado con fines exclusivamente informativos y no debe ser tomado como un llamado a la acción. IICS no es responsable del mal uso que pueda darse a la información aquí contenida.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades, informática forense y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Este sitio web utiliza cookies. TODAS las cookies, excepto las Necesarias están DESACTIVADAS. Si continúa navegando y desea obtener la mejor experiencia de usuario, deberá de ACTIVARLAS y por lo tanto estará dando su consentimiento para la aceptación de las mencionadas cookies. Leer MásCookie settingsRechazarAcepto
Privacidad & Política de Cookies
Privacy Overview
This website uses cookies to improve your experience while you navigate through the website. Out of these cookies, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may have an effect on your browsing experience.
Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
Debe estar conectado para enviar un comentario.