lima, 31 de julio de 2020...permitirían a los piratas informáticos maliciosos eludir los...
TRANSCRIPT
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el
Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea
del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y
la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de
Seguridad Digital.
El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades
públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que
pudieran afectar la continuidad de sus servicios en favor de la población.
Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que
los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las
personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.
La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las
áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.
Lima, 31 de julio de 2020
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
Contenido Campaña de phishing que suplanta PayPal ................................................................................................... 3
Error de día cero en la aplicación Cisco Meetings, Cisco Webex Meeting permite interceptar el tráfico .... 4
Nuevos ataques de phishing contra personas que van a la iglesia para robar su datos bancarios .............. 5
Ataques Shadow permiten reemplazar contenido en archivos PDF firmados .............................................. 6
Funcionamiento de la estafa Vishing ............................................................................................................ 7
Los piratas informáticos explotaron la falla CVE-2020-3452 en Cisco ASA y FTD ......................................... 8
Ataque tipo defacement a páginas web peruanas ........................................................................................ 9
Malware para el robo de datos denominado QSnatch ...............................................................................10
Investigadores desarrollan una nueva técnica de ataques llamada “Timeless Timing Attacks” ................11
Detección del troyano njRAT .......................................................................................................................12
Índice alfabético ..........................................................................................................................................14
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 118
Fecha: 31-07-2020
Página: 3 de 14
Componente que reporta PECERT│EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL
Nombre de la alerta Campaña de phishing que suplanta PayPal
Tipo de ataque Phishing Abreviatura Phishing
Medios de propagación Correo electrónico
Código de familia G Código de subfamilia G02
Clasificación temática familia Fraude
Descripción
1. Resumen:
El Equipo de Respuesta ante Incidentes de Seguridad Digital Nacional, advierte que especialistas en ciberseguridad han emitido una alerta relacionada con una campaña de phishing de PayPal a través de correos electrónicos. Estos emails fraudulentos mencionan que la cuenta del usuario fue limitada debido a una violación de las políticas de la compañía, tratando de robar la información confidencial de las víctimas.
2. Detalles de la alerta:
A través del monitoreo en busca de amenazas en el ciberespacio, se detectó una campaña de phishing suplantando a la empresa PayPal, en la cual los ciberdelincuentes envían correos electrónicos y dentro del contenido solicitan a los usuarios actualizar o verificar la seguridad de su cuenta haciendo clic en un enlace adjunto. Estos enlaces conducen a las víctimas a sitios web de apariencia legítima, aunque en realidad son sitios fraudulentos creados para robar las credenciales de acceso a PayPal, además de otros datos.
El ataque, detectado en Reino Unido, ya ha afectado a al menos mil usuarios: “Hemos recibido más de mil informes durante las últimas 24 horas relacionados con correos de PayPal fraudulentos”, menciona Action Fraud, agencia británica especializada en la prevención de fraudes.
Los correos electrónicos tienen el tirulo en el asunto: su cuenta fue temporalmente limitada, “Nos gustaría informarle sobre ciertas modificaciones a nuestros contratos de usuario que le conciernen.
No se requiere ninguna acción de su parte. Sin embargo, si desea obtener más información, lo invitamos a consultar nuestra página de Actualizaciones de políticas, donde encontrará los detalles de estas modificaciones, en qué casos se aplican y cómo rechazarlas, si corresponde.
Después de una revisión reciente de la actividad de su cuenta. hemos determinado que infringe la Política de uso aceptable de PayPal. Su cuenta ha sido limitada hasta que tengamos noticias suyas. Si bien su cuenta es limitada, algunas opciones en su cuenta no estarán disponibles.”
Cabe precisar, La compañía está enviando un email legítimo a los usuarios potencialmente afectados. Debido a que PayPal usa el nombre completo de los usuarios, les será más fácil identificar entre los mensajes de la compañía y un intento de estafa. Otros indicadores de actividad sospechosa son errores ortográficos y de redacción, amenazas de cobros, ofertas demasiado buenas para ser verdad, entre otras señales.
3. Recomendaciones:
Contar con un antivirus o antimalware y estar actualizado.
No confiar en el nombre del remitente.
No confiar en el encabezado de la dirección de correo electrónico.
No hacer clic en los enlaces incrustado en el cuerpo del correo electrónico.
No hacer clic en los archivos adjuntos.
Comprobar si hay errores de ortografía.
No enviar información personal.
Fuentes de información Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 118
Fecha: 31-07-2020
Página: 4 de 14
Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ
Nombre de la alerta Error de día cero en la aplicación Cisco Meetings, Cisco Webex Meeting permite interceptar el tráfico
Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC Medios de propagación Red, internet Código de familia H Código de subfamilia H01 Clasificación temática familia Intento de intrusión
Descripción
1. El 30 de julio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se ha encontrado información publicada el 27 de julio de 2020 por Information Security Newspaper, sobre el hallazgo de dos fallas críticas que afectan a la aplicación de reuniones y reuniones Webex de Cisco . Las explotaciones exitosas de estas vulnerabilidades permitirían a los piratas informáticos maliciosos eludir los mecanismos de autenticación en los sistemas afectados.
2. CVE-2020-3197 : Los mecanismos de protección insuficientes para las credenciales del servidor TURN permiten a los actores de amenazas remotas eludir el proceso de autenticación en la aplicación Cisco Meeting al interceptar el tráfico legítimo generado por un sistema afectado. Esta es una vulnerabilidad de gravedad media que recibió una puntuación CVSS de 4/10.
3. CVE-2020-3345 : una verificación incorrecta de los valores de los parámetros dentro de las páginas afectadas podría provocar ataques de URL arbitrarios en Cisco Webex Meetings. Los hackers maliciosos pueden crear un enlace a un sitio web confiable; Cuando las víctimas hacen clic en el enlace, son redirigidas a un dominio arbitrario.
4. Según expertos en ingeniería inversa de malware, un ataque exitoso permitiría a los hackers remotos realizar ataques de phishing y robar información confidencial. La falla obtuvo una puntuación CVSS de 3.8 / 10, ya que se considera un error de baja gravedad.
5. Se recomienda:
se recomienda utilizar los parches de seguridad disponibles para evitar la explotacion de dichas vulnerabilidades.
Fuentes de información https[:]//www.securitynewspaper.com/2020/07/21/zero-day-bug-without-patch-in-cisco-meetings-app-cisco-webex-meeting-allow-intercepting-traffic/
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 118
Fecha: 31-07-2020
Página: 5 de 14
Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ Nombre de la alerta Nuevos ataques de phishing contra personas que van a la iglesia para robar su datos bancarios Tipo de ataque Phishing Abreviatura Phishing Medios de propagación Redes sociales, SMS, correo electrónico, videos de internet, entre otros Código de familia G Código de subfamilia G01 Clasificación temática familia Fraude
Descripción
1. El 30 de Julio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se encontro información que se detalla a continuación: hackers siempre están en busca de nuevas formas para engañar a los usuarios. Expertos en seguridad perimetral reportan la detección de una nueva estafa en la que los criminales se hacen pasar por sacerdotes para obtener información confidencial de los feligreses de las iglesias de Louisiana, E.U.
2. Según reporta Yvette Ware, una de las personas atacadas por estos criminales, su sacerdote le envió un mensaje de texto pidiéndole un favor; aunque inusual, Ware no le dio demasiada importancia al asunto. No obstante, todo se puso más extraño al recibir un segundo mensaje que la puso en alerta. Donde le indicaron que compre tarjetas de regalo para algunos pacientes, mencionaba el mensaje del supuesto sacerdote; Ware señala que el texto hacía referencia a algunas personas enfermas que la iglesia visita con frecuencia. Después de negarse y enfrentar a los estafadores, comenzo a recibir amenazas.
3. Los especialistas en seguridad perimetral mencionan que esta variante de estafa puede ser altamente efectiva puesto que los criminales aluden a las emociones de las potenciales víctimas y podrían responder más rápidamente a las solicitudes fraudulentas. Por otra parte, Jeffrey Starkovich, sacerdote de una de las iglesias atacadas, dice que estas estafas están sucediendo a los feligreses en el área, y que se han vuelto más frecuentes en las últimas semanas inidicando que los atacantes inciden en obtener tarjetas de regalo para plataformas como iTunes, eBay, Netflix, entre otras.
4. Los expertos en seguridad perimetral mencionan que la compra de tarjetas de regalo son una forma fácil de obtener ganancias para los hackers. Angela Guth, experta en ciberseguridad de Better Business Bureau, menciona: Estas tarjetas son imposibles de rastrear y se usan de forma muy fácil, además de que son relativamente económicas. Estas son campañas muy comunes, por lo que los especialistas recomiendan hacer caso omiso a mensajes sospechosos y no interactuar con los criminales.
5. Se recomienda:
Aprender a identificar claramente los correos electrónicos sospechosos.
Verifica la fuente de información de tus correos o llamadas entrantes.
Pueden llegar ataques en cualquier idioma. Por norma general están mal escritos o traducidos, así que este puede ser otro indicador de que algo no va bien.
La mejor forma de acertar siempre es rechazar de forma sistemática cualquier correo electrónico o comunicado (via telefono) que incida en que facilites datos confidenciales.
Fuentes de información https[:]//noticiasseguridad.com/hacking-incidentes/nuevos-ataques-de-phishing-contra-personas-que-van-a-la-iglesia-para-robar-su-datos-bancarios/
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 118
Fecha: 31-07-2020
Página: 6 de 14
Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ Nombre de la alerta Ataques Shadow permiten reemplazar contenido en archivos PDF firmados Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC Medios de propagación Red, internet. Código de familia H Código de subfamilia H01 Clasificación temática familia Intento de intrusión
Descripción
1. El 31 de julio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó por investigadores de seguridad de la Universidad Ruhr de Bochum (Alemania), han detectado una serie de nuevos métodos de ataque, denominados ataques Shadow, contra archivos PDF firmados.
2. Las vulnerabilidades explotadas por los investigadores en los ataques de Shadow se rastrean como CVE-2020-9592 y CVE-2020-9596.
3. Los ataques de Shadow, pueden permitir que un atacante manipule el contenido de un documento PDF firmado manteniendo su firma válida. El atacante puede crear un documento con dos contenidos diferentes:
El contenido esperado por la autoridad que revisa y firma el PDF
El contenido oculto que se mostrará una vez que se firme el documento PDF.
4. Los firmantes del PDF reciben el documento, lo revisan y lo firman. Los atacantes usan el documento firmado, lo modifican ligeramente y lo envían a las víctimas. Después de abrir el PDF firmado, las víctimas verifican si la firma digital se verificó con éxito. Sin embargo, las víctimas ven un contenido diferente al de los firmantes
5. Los investigadores idearon tres variantes diferentes de los ataques de sombra, lo que permite ocultar, reemplazar y ocultar y reemplazar contenido en archivos PDF firmados digitalmente.
6. Los expertos probaron sus ataques contra 28 aplicaciones de visor de PDF y descubrieron que 15 de ellos eran vulnerables al menos a uno de los ataques. La lista de espectadores vulnerables incluye Adobe, Foxit y LibreOffice.
7. Se recomienda:
Verificar las soluciones de seguridad brindada por las empresas Adobe, Foxit y LibreOffice en sus páginas web oficiales.
Fuentes de información http[:]//securityaffairs.co/wordpress/106403/hacking/shadow-attacks.html
Imagen de
ataque
Shadow
Imagen de
una vista
normal
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 118
Fecha: 31-07-2020
Página: 7 de 14
Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ Nombre de la alerta Funcionamiento de la estafa Vishing Tipo de ataque Phishing Abreviatura Phishing Medios de propagación Redes sociales, SMS, correo electrónico, videos de internet, entre otros Código de familia G Código de subfamilia G01 Clasificación temática familia Fraude
Descripción
1. El 31 de Julio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se encontro información que se detalla a continuación: Según un informe del Fiscal General de Virginia Occidental, los ciudadanos deben permanecer alertas para no caer en la nueva campaña de vishing diseñada por los cibercriminales. El fiscal Patrick Morrisey dice que su oficina ha recibido más de 100 llamadas de consumidores de todo el estado notificando la nueva estafa. Al parecer, todo comienza con un mensaje de voz; quien llama exige a la víctima un pago de hasta $400 USD por la supuesta compra de un software antivirus.
2. Estas llamadas usualmente involucran el uso de mensajes grabados, mencionan expertos en auditorías de sistemas. Según los reportes, los atacantes mencionan: “Le informamos que hemos renovado su servicio de antivirus para el año próximo por $399 USD; el cargo se verá reflejado en 24 horas. Si desea cancelar y recibir un reembolso, llame al 1-213-288-7257”.
3. Si los usuarios llaman al número proporcionado, la llamada es contestada por un supuesto representante de la compañía de seguridad, quien tratará de que el usuario realice un pago usando su tarjeta de crédito. Además, los presuntos estafadores también pueden tratar de acceder a la computadora de la víctima en caso de que rechace realizar el pago, alegando una actualización de software. Otras versiones de la estafa involucran a supuestos representantes de una compañía tecnológica desconocida que reclama el pago por servicios que no solicitó el usuario.
4. Se recomienda:
Tratar de identificar las señales de alerta al recibir estas llamadas, debido a que en ocasiones los hackers usan máquinas para no usar sus voces, eligen palabras poco usuales o cometen errores en el uso del lenguaje; lo más importante es no creer sus historias y no enviarles dinero bajo ninguna circunstancia”.
Proteger su información confidencial, como contraseñas, la información de su red WiFi e información financiera, menciona la alerta del fiscal. Si los usuarios creen que han caído víctimas de esta estafa, deben contactar a su banco y restablecer sus contraseñas a la brevedad, además de verificar sus últimas actividades recientes en línea.
Fuentes de información https[:]//noticiasseguridad.com/seguridad-informatica/como-funciona-la-estafa-vishing-del-antivirus-falso/
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 118
Fecha: 31-07-2020
Página: 8 de 14
Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ Nombre de la alerta Los piratas informáticos explotaron la falla CVE-2020-3452 en Cisco ASA y FTD Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC Medios de propagación Red, internet Código de familia H Código de subfamilia H01 Clasificación temática familia Intento de intrusión
Descripción
1. El 31 de julio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se ha encontrado información publicada el 29 de julio de 2020 por GBhackers on Security, sobre una vulnerabilidad transversal de ruta de alta gravedad CVE-2020-3452 con el software del dispositivo de seguridad adaptable de Cisco (ASA) y el software de defensa contra amenazas de potencia de fuego (FTD) de Cisco.
2. La vulnerabilidad permite a un atacante remoto lanzar un ataque transversal de directorio que permite a los atacantes leer archivos confidenciales en un sistema de destino.
3. La vulnerabilidad se debe a la falta adecuada de validación de entrada de URL en las solicitudes HTTP, un atacante podría aprovechar esta vulnerabilidad enviando una solicitud HTTP diseñada que contenga secuencias de caracteres transversales de directorio. La explotación exitosa de la vulnerabilidad permite a un atacante ver archivos arbitrarios dentro del sistema de archivos de servicios web en el dispositivo objetivo.
4. Se recomienda:
Utilizar las actulizaciones y los parches de seguridad para evitar dichas vulnerabilidades. Fuentes de información https[:]//gbhackers.com/cve-2020-3452-flaw-in-cisco/
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 118
Fecha: 31-07-2020
Página: 9 de 14
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ Nombre de la alerta Ataque tipo defacement a páginas web peruanas
Tipo de ataque Destrucción o alteración de la información de configuración
Abreviatura DAIC
Medios de propagación Red, internet Código de familia K Código de subfamilia K02 Clasificación temática familia Uso inapropiado de recursos
Descripción
1. El 31 de julio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento de dos (2) páginas web de dominio [.pe] sufrieron ataques cibernéticos de tipo defacement. Los ciberdelincuentes aprovechan el bajo nivel de seguridad de los sitios web para realizar este tipo de ataque.
Fecha Página atacada Hacker Referencia
30/07/2020 http[:]//globalfiber.com.pe/ TheWayEnd Empresa
especialista en fibra óptica.
28/07/2020 https[:]//www.muniarequipa.gob.pe/ Lulzsec Municipalidad de Arequipa.
http[:]//globalfiber.com.pe/ https[:]//www.muniarequipa.gob.pe/
2. Cabe resaltar que el día 12 de Junio atacaron por primera vez el sitio web de la Municipalidad de Arequipa.
3. Se recomienda:
Elegir un proveedor confiable de Hosting para alojamiento del servicio web con servicios de seguridad (Sistema de prevención de intrusos, FIREWALL, Firewall para Aplicaciones Web y base de datos).
Adquirir un certificado de seguridad para proteger el sitio web.
Contratar un escáner de seguridad para el sitio web.
Realizar copias de seguridad del sitio web con frecuencia.
Establecer contraseñas seguras para la administración del servicio web y base de datos, así como para los usuarios.
Tener software actualizados.
Fuentes de información Comandancia de Ciberdefensa de la Marina, Osint.
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRAL DE SEGURIDAD DIGITAL N° 118
Fecha: 31-07-2020
Página: 10 de 14
Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA FUERZA AÉREA DEL PERÚ
Nombre de la alerta Malware para el robo de datos denominado QSnatch
Tipo de ataque Malware Abreviatura Malware
Medios de propagación USB, disco, red, correo, navegación de internet
Código de familia C Código de subfamilia C02
Clasificación temática familia Código malicioso
Descripción
1. El 31 de julio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó un malware denominado “QSnatch”, o también llamado “Derek”, que afecta dispositivos de almacenamiento conectados a la red (NAS) de QNAP y permite obtener logger de contraseñas, scraper de credenciales, backdoor SSH, exfiltración de arhivos y acceso remoto al dispositivo de la victima. Hasta mediados del pasado mes de junio, el malware había infectado 62.000 dispositivos en todo el mundo, incluyendo 3.900 en el Reino Unido y 7.600 en los EE. UU.
2. Cabe indicar, que el vector de infección de QSnatch aún no ha sido identificado, pero se cree que se inyecta en el firmware del dispositivo durante la etapa de infección, para posteriormente, ejecutarse dentro del dispositivo hasta comprometerlo. El atacante utiliza un algoritmo de generación de dominio (DGA) para establecer un canal de mando y control (C2) que genere periódicamente múltiples nombres de dominio para su uso en las comunicaciones C2
3. Se recomienda:
El restablecimiento de fábrica de los equipos e implementar medidas de seguridad, con el fin de evitar la exfiltración de información.
Fuentes de información
https[:]//unaaldia.hispasec.com/2020/07/el-malware-de-robo-de-datos-qsnatch-infecto-mas-de-62-000-dispositivos-nas-qnap.html
https[:]//us-cert.cisa.gov/ncas/alerts/aa20-209a https[:]//www.qnap.com/en/security-advisory/nas-201911-01
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 118
Fecha: 31-07-2020
Página: 11 de 14
Componente que reporta DIRECCIÓN NACIONAL DE INTELIGENCIA
Nombre de la alerta Investigadores desarrollan una nueva técnica de ataques llamada “Timeless Timing Attacks”
Tipo de ataque Análisis de paquetes Abreviatura Sniffing
Medios de propagación Red, internet
Código de familia J Código de subfamilia J02
Clasificación temática familia Obtención de información
Descripción
1. Resumen:
Los investigadores de KU Leuven de Bélgica y la Universidad de Nueva York en Abu Dhabi, han descubierto una nueva técnica que han llamado “Timeless Timing Attacks”, está técnica realiza ataques de temporización remota de una manera que cancela el efecto de la fluctuación de fase de la red. Los actores maliciosos pueden aprovechar las características especiales de los protocolos de red para filtrar información sensible.
2. Detalles:
Los ataques de tiempo miden las diferencias en los tiempos de cómputo entre los diferentes comandos en un intento de superar la protección ofrecida por el cifrado e inferir pistas sobre información confidencial como claves de cifrado, conversaciones privadas y hábitos de navegación. Pero para organizar con éxito los ataques de tiempo, un atacante necesita un conocimiento preciso del tiempo que le toma a la aplicación de destino procesar una solicitud.
Esto se convierte en un problema cuando se dirige a sistemas remotos como servidores web, ya que el retraso de la red, la fluctuación de fase, causa variaciones en el tiempo de respuesta que dificulta el cálculo del tiempo de procesamiento. En ataques de temporización remota, los asaltantes envían cada comando varias veces y realizan análisis estadísticos sobre los tiempos de respuesta para reducir los efectos de la fluctuación de red.
Según los investigadores, "Cuanto menor es la diferencia de tiempo, se necesitan más solicitudes, y en algún momento se vuelve inviable". La técnica desarrollada por el investigador de seguridad Tom Van Goethem y sus colegas realiza ataques de temporización remota de una manera que cancela el efecto de la fluctuación de fase de la red.
La idea detrás del ataque de temporización intemporal es simple: asegúrese de que las solicitudes lleguen al servidor exactamente al mismo tiempo en lugar de enviarlas secuencialmente. La concurrencia garantiza que ambas solicitudes disfruten de las mismas condiciones de red y que su rendimiento no se vea afectado por la ruta entre el atacante y el servidor. Luego, el orden en que llegan las respuestas le dará toda la información que necesita para comparar los tiempos de cálculo.
“La principal ventaja de los atemporales ataques de tiempo es que son mucho más precisos, por lo que se necesitan muchas menos solicitudes. Esto permite a un atacante detectar diferencias en el tiempo de ejecución tan pequeño como 100ns", dice Van Goethem. La diferencia de tiempo más pequeña que los investigadores habían observado en un ataque de tiempo tradicional en internet fue de 10 μs, 100 veces mayor que el ataque simultáneo basado en solicitudes.
Van Goethem señalo que "La forma en que aseguramos [la concurrencia] es, de hecho, asegurando que ambas solicitudes se coloquen en un solo paquete de red", y agrega: "Cómo funciona exactamente en la práctica depende principalmente del protocolo de red". Para enviar solicitudes concurrentes, los investigadores explotan las capacidades en diferentes protocolos de red.
En HTTP / 2, que se está convirtiendo rápidamente en el estándar de facto en los servidores web, admite “multiplexación de solicitudes”, una característica que permite a un cliente enviar múltiples solicitudes en paralelo a través de una única conexión TCP. "[Para HTTP / 2], solo debemos asegurarnos de que ambas solicitudes se coloquen en un solo paquete (por ejemplo, escribiendo ambas en el socket a la vez)", explica Van Goethem.
3. Recomendación:
Los investigadores proporcionan pautas para proteger los servidores contra ataques intemporales, como establecer restricciones de relleno de tiempo constante y aleatorio en el tiempo de ejecución. Las defensas prácticas de bajo impacto contra los ataques de sincronización directa requieren más investigación.
Fuentes de información hxxps://portswigger.net/daily-swig/researchers-exploit-http-2-wpa3-protocols-to-stage-highly-efficient-timeless-timing-attacks?&web_view=true
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 118
Fecha: 31-07-2020
Página: 12 de 14
Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ
Nombre de la alerta Detección del troyano njRAT
Tipo de ataque Troyano Abreviatura Troyano
Medios de propagación USB, disco, red, correo, navegación de internet
Código de familia C Código de subfamilia C01
Clasificación temática familia Código malicioso
Descripción
1. El 31 de julio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, en el sitio web “Bazar Malware”, se informa sobre la detección del Troyano de acceso remoto njRAT también conocido como Bladabindi, el cual se propaga a través de dispositivos físicos (unidades USB) o unidades en red infectadas, campañas de phishing, etc, con la finalidad de obtener el control del dispositivo víctima.
Al ser ejecutado el troyano njRAT realiza las siguientes acciones:
o Obtiene información sobre la IP de la víctima, el nombre completo de la computadora, el nombre de usuario completo, el sistema operativo, la fecha de instalación y el país.
o Descargar y ejecutar malware adicional.
o Ejecutar remotamente un archivo desde un disco o URL.
o Manipular archivos.
o Ejecutar comandos de shell.
o Leer y escribir claves de registro.
o Abrir un administrador de procesos.
o Manipular el registro del sistema.
o Grabar la cámara y el micrófono de la computadora.
o Pulsaciones de teclas de registro.
o Robar contraseñas almacenadas en navegadores o en otras aplicaciones.
Además, el Troyano njRAT puede apuntar a aplicaciones de billetera de criptomonedas y robar bitcoins de las PC infectadas e incluso acceder a la información de la tarjeta de crédito.
o Dominios utilizados para la propagación del Troyano njRAT:
skiddies23443.ddns.net F2had-20760.portmap.host
bkhwa123.ne.kr sohofox563-52678.portmap.host
majul.com yannex-60454.portmap.host
Digum1992-57373.portmap.host youcefmadskull-45680.portmap.host
o Imagen:
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
Indicadores de compromiso.
o Archivos analizados: Nombre: NNRxX.exe
Tipo: Win32 EXE
Tamaño: 81.50 KB (83456 bytes)
MD5: 8e237935b4b5bfeee33a663a8b9d43ac
SHA-1: 647f0783ad4e3fda1be5ed284ba92bf1c1c8558e
SHA-256: 39278bb543a44e69036e92d227d7af7a51807be8fc476157c50510c569a11121
Nombre: dom3.exe
Tipo: Win32 EXE
Tamaño: 96.50 KB (98816 bytes)
MD5: ecc5d4ec853e6e1b79ad3b919c6eadd3
SHA-1: a85111baad5f43d689a9afcdbb95e5e1804a692a
SHA-256: aa2278329eb5274ab28448967492db47eaf5da1280d4f0a1b26329143c07bb54
2. Algunas Recomendaciones:
No abra archivos sospechosos.
No siga instrucciones de desconocidos.
Mantenga su antivirus actualizado.
Descargar aplicaciones de fuentes confiables.
Tenga presente que los ciberdelincuentes siempre están buscando estafar a los usuarios.
Fuentes de información https[:]//bazaar.abuse.ch/sample/2a09c15cbdf630ca762a9baa 8cffd71fdeeb9195f1ed0bcf1aab4d46afdb13dc/#comments
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
Página: 14 de 14
Índice alfabético
Análisis de paquetes ........................................................................................................................................................ 11 Código malicioso ........................................................................................................................................................ 10, 12 Correo electrónico ............................................................................................................................................................. 3 Destrucción o alteración de la información de configuración .......................................................................................... 9 Explotación de vulnerabilidades conocidas ............................................................................................................... 4, 6, 8 Fraude ........................................................................................................................................................................ 3, 5, 7 Intento de intrusión ................................................................................................................................................... 4, 6, 8 internet ............................................................................................................................................................................ 11 malware ................................................................................................................................................................. 4, 10, 12 Malware ................................................................................................................................................................. 2, 10, 12 phishing ........................................................................................................................................................... 2, 3, 4, 5, 12 Phishing ..................................................................................................................................................................... 3, 5, 7 Red, internet .................................................................................................................................................... 4, 6, 8, 9, 11 redes sociales ..................................................................................................................................................................... 1 Redes sociales ................................................................................................................................................................ 5, 7 Redes sociales, SMS, correo electrónico, videos de internet, entre otros .................................................................... 5, 7 servidor ........................................................................................................................................................................ 4, 11 servidores ........................................................................................................................................................................ 11 software ..................................................................................................................................................................... 7, 8, 9 URL ........................................................................................................................................................................... 4, 8, 12 USB, disco, red, correo, navegación de internet ....................................................................................................... 10, 12 Uso inapropiado de recursos ............................................................................................................................................. 9