Lima, 24 de setiembre de 2020
11
Transcript of Lima, 24 de setiembre de 2020
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el
Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea
del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y
la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de
Seguridad Digital.
El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades
públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que
pudieran afectar la continuidad de sus servicios en favor de la población.
Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que
los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las
personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.
La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las
áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.
Lima, 24 de setiembre de 2020
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
Contenido Vulnerabilidad crítica en Windows Server .................................................................................................... 3
Vulnerabilidad crítica que permite a los atacantes tomar el control total de Instagram ............................. 4
Amplia gama de ataques de la actualización de seguridad de Google Chrome............................................ 5
Correos electrónicos fraudulentos dirigidos a miembros de la OTAN .......................................................... 6
Malware suplanta aplicativo de “Telegram”. ................................................................................................ 7
Detección del Troyano Alien.......................................................................................................................... 8
Índice alfabético ..........................................................................................................................................10
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 173
Fecha: 24-09-2020
Página: 3 de 10
Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS
Nombre de la alerta Vulnerabilidad crítica en Windows Server
Tipo de ataque Malware, Vulnerabilidades Abreviatura EVC
Medios de propagación Red, internet
Código de familia H Código de subfamilia H01
Clasificación temática familia Malware, Vulnerabilidades
Descripción
1. El 24 de setiembre de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento que El Equipo de Respuesta ante Incidentes de Seguridad de la Información del Centro Criptológico Nacional, CCN-CERT, alerta de una vulnerabilidad crítica en Windows Server que ha recibido una puntuación de 10.0 (CVSS) por parte de Microsoft.
2. Se han hecho públicos los detalles de explotación de esta vulnerabilidad que afecta de forma directa a los controladores de dominio (DC) del Directorio Activo (AD). Debido a un error en la implementación criptográfica del protocolo Netlogon, específicamente en el uso del cifrado AES-CFB8, es posible establecer una nueva contraseña en el DC. Tras ello, un atacante podría utilizar esa nueva contraseña para tomar el control completo del DC y usurpar las credenciales de un usuario administrador del dominio.
3. Debido a un uso incorrecto en la implementación del algoritmo de cifrado AES, es posible obtener el control del DC y establecer una contraseña vacía en el dominio. El pasado mes de agosto Microsoft lanzó las correspondientes actualizaciones para corregir esta vulnerabilidad, la cual ha sido denominado “Zerologon” debido a la ausencia total de autenticación a la hora de explotarla.
4. En concreto, la vulnerabilidad se ubica en la criptografía utilizada para el protocolo de enlace de autenticación inicial, ya que existe una omisión de autenticación general severa, que podría ser explotada por un atacante simplemente estableciendo conexiones TCP con un controlador de dominio vulnerable, para lo que bastaría con tener acceso a la red, pero sin requerir ninguna credencial de dominio. Una explotación exitosa de la vulnerabilidad otorgaría al atacante privilegios de administrador de dominio e incluso la posibilidad de comprometer por completo el DC.
5. Se recomienda:
Para mitigar los problemas de seguridad, actualizar a la versión más reciente, una vez más se demuestra la gran importancia de contar siempre con las últimas versiones. Es vital que tengamos actualizados los equipos con los parches de seguridad disponibles.
Observa con cuidado para identificar direcciones erróneas, dominios incorrectos, URL con etiquetas engañosas y otras señales.
Fuentes de información https[:]//www.ccn-cert.cni.es/seguridad-al-dia/vulnerabilidades.html
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 173
Fecha: 24-09-2020
Página: 4 de 10
Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ
Nombre de la alerta Vulnerabilidad crítica que permite a los atacantes tomar el control total de Instagram Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC
Medios de propagación Red, navegación de internet.
Código de familia H Código de subfamilia H01
Clasificación temática familia Intento de intrusión
Descripción
1. El 24 de setiembre de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se encontro una vulnerabilidad de seguridad crítica con la aplicación de Instagram tanto para Android e iOS la cual permite a los atacantes hacerse cargo de la cuenta de Instagram de la víctima y pueden cambiar su teléfono como una herramienta de espionaje. Todo lo que los atacantes necesitan es una imagen maliciosa, una vez que el archivo de imagen se abre en la aplicación de Instagram, le da al hacker acceso completo a la cuenta de Instagram.
2. Los investigadores de seguridad de Checkpoint encontraron la vulnerabilidad con la biblioteca de terceros de la aplicación Instagram Mozjpeg , un proyecto de código abierto utilizado por Instagram como su decodificador de imágenes en formato JPEG para las imágenes cargadas en el servicio, esta vulnerabilidad permite a los atacantes ejecutar código y realizar cualquier acción que deseen en la aplicación de esta red social, aprovechando la vulnerabilidad enviándose a una víctima objetivo por correo electrónico, WhatsApp u otra plataforma de intercambio de medios.
3. Dado que la aplicación de Instagram tiene permisos muy amplios, la vulnerabilidad no solo permite a los piratas
informáticos robar datos y credenciales de nuestros teléfonos, sino que también permite a los atacantes espiar, rastrear la ubicación, escuchar conversaciones, acceder a datos y mensajes. En un nivel básico, este exploit se puede usar para bloquear la aplicación de Instagram de un usuario, negándole efectivamente el acceso a la aplicación hasta que la elimine de su dispositivo y la reinstale, causando inconvenientes y posible pérdida de datos.
4. La vulnerabilidad se describió como "Desbordamiento de enteros" y se lanzó un parche para la vulnerabilidad y se puede rastrear como CVE-2020-1895.
5. Se recomienda:
Si el navegador web contiene plugins que no se utilizan, es conveniente desinstalarlos., reduciendo las posibilidades de que un kit de exploits ataque componentes del navegador.
Es clave aplicar los parches de seguridad lo antes posible, asi al quedar inservibles todas las rutas de ataque de un kit de exploits, el programa malicioso no podrá penetrar en la red de la organización.
Contra con un antivirus puntualmente actualizado, siendo fundamental que este software sea capaz de detectar y eliminar archivos que oculten malware de entre los adjuntos del correo electrónico, filtre los sitios web con código malicioso o bloquee su ejecución.
Fuentes de información http[:]//gbhackers.com/instagram-hacked-vulnerability/
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 173
Fecha: 24-09-2020
Página: 5 de 10
Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ
Nombre de la alerta Amplia gama de ataques de la actualización de seguridad de Google Chrome Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC
Medios de propagación Red, navegación de internet.
Código de familia H Código de subfamilia H01
Clasificación temática familia Intento de intrusión
Descripción
1. El 24 de setiembre de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó por investigadores de seguridad externos y tres de ellas por el equipo de seguridad de Google., han reportado ataques a Google Chrome afectando a los usuarios.
2. De diez vulnerabilidades, siete de ellas son reportadas por investigadores de seguridad externos y tres de ellas por el equipo de seguridad de Google. La explotación exitosa de la vulnerabilidad permite a los atacantes ejecutar código arbitrario en el contexto del usuario.
3. El acceso a los detalles de los errores y los enlaces puede mantenerse restringido hasta que la mayoría de los usuarios se actualicen con una solución. También se mantendrá las restricciones si el error existe en una biblioteca de terceros de la que otros proyectos dependen de manera similar, pero que aún no se han solucionado.
4. Se recomienda:
A los usuarios de Chrome que actualicen con la nueva versión lo antes posible.
Pasos para actualizar para usuarios de escritorio de Windows, Mac y Linux.
Abra el navegador Chrome
Dirígete a Configuración
Ampliar la ayuda
Acerca de Google Chrome
El navegador procesará la actualización
Fuentes de información http[:]//gbhackers.com/google-chrome-security-update/
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 173
Fecha: 24-09-2020
Página: 6 de 10
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ
Nombre de la alerta Correos electrónicos fraudulentos dirigidos a miembros de la OTAN Tipo de ataque Malware Abreviatura Malware
Medios de propagación Redes sociales, SMS, correo electrónico.
Código de familia C Código de subfamilia C03
Clasificación temática familia Código malicioso.
Descripción
1. El 24 de setiembre de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó que el grupo APT28 (grupo de hackers rusos) viene realizando desde el 5 de agosto una campaña de envío de correos electrónicos fraudulentos dirigido a los organismos gubernamentales miembros de la OTAN (Organización del Tratado del Atlántico Norte) o países que cooperan con dicha organización, donde ofrecen cursos de capacitación de dicha organización. Al descargar el archivo de extensión .zip se descarga automáticamente el malware “Zebrocy Delphi”.
2. Se recomienda:
Evitar ingresar a enlaces no confiables.
Evitar descargar y abrir archivos de fuentes de dudosa procedencia.
Mantener los equipos protegidos, con el software actualizado.
Fuentes de información Comandancia de Ciberdefensa de la Marina, OSINT.
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 173
Fecha: 24-09-2020
Página: 7 de 10
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ
Nombre de la alerta Malware suplanta aplicativo de “Telegram”. Tipo de ataque Malware Abreviatura Malware
Medios de propagación Redes sociales, SMS, correo electrónico.
Código de familia C Código de subfamilia C03
Clasificación temática familia Código malicioso.
Descripción
1. El 24 de setiembre de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó un aplicativo fraudulenta llamada “Telegram 5Gb.apk” que viene circulando por redes sociales, el cual invita al usuario descargar e instalarlo desde una tienda de aplicaciones digitales. Al ser instalado, solicita al usuario tener acceso al system alert window, receive boot completed y set wallpaper.
2. Por otro lado, se analizó su SHA-256: 00ed230adcb4c0a20cf19f5c7001b85ad8ec09ed0498ccbd7c913bcfeaec565e en la página web “Virus Total”, donde es catalogado como malicioso.
3. Se recomienda:
Evitar ingresar a enlaces no confiables.
Evitar descargar e instalar aplicaciones de plataformas no oficiales.
Realizar copias de seguridad periódicas en los equipos móviles.
Contar con antivirus para la protección del equipo móvil
Fuentes de información Comandancia de Ciberdefensa de la Marina, OSINT.
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 173
Fecha: 24-09-2020
Página: 8 de 10
Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ
Nombre de la alerta Detección del Troyano Alien
Tipo de ataque Troyano Abreviatura Troyano
Medios de propagación USB, disco, red, correo, navegación de internet
Código de familia C Código de subfamilia C01
Clasificación temática familia Código malicioso
Descripción
1. El 24 de setiembre de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, en el sitio web “ZDNet”, se informa sobre la detección del Troyano Alien, dirigido a 226 aplicaciones de dispositivos Android, el cual tiene como finalidad robar contraseñas bancarias de las aplicaciones infectadas, también puede mostrar páginas de phishing para aplicaciones sociales, de mensajería instantánea y de criptomonedas.
2. Detalles.
Alien se distribuye a través de sitios de phishing, como páginas maliciosas que engaña a las víctimas para que descarguen actualizaciones de software falsas o aplicaciones de Corona falsas, también utiliza SMS para su propagación; que, al infectar el dispositivo de la víctima, recopilan la lista de contactos, los cuales son reutilizados por los actores de la amenaza para una mayor difusión de su campaña de malware.
Alien aparte de tener la capacidad de mostrar pantallas de inicio de sesión falsas y recopilar contraseñas para varias aplicaciones y servicios, también puede otorgar a los actores de la amenaza acceso a dispositivos para usar dichas credenciales o incluso realizar otras acciones.
Alien también apunta a otras aplicaciones, como aplicaciones de correo electrónico, redes sociales, mensajería instantánea y criptomonedas, entre ellas se encuentra Gmail, Facebook, Telegram, Twitter, Snapchat, WhatsApp, etc.
El Troyano Alien tiene las siguientes capacidades.
o Superponer contenido sobre otras aplicaciones (función utilizada para las credenciales de inicio de sesión.
o Entrada de teclado de registro.
o Proporcionar acceso remoto a un dispositivo después de instalar una instancia de TeamViewer.
o Recolectar, enviar o reenviar mensajes SMS.
o Robar lista de contactos.
o Recopile detalles de dispositivos y listas de aplicaciones.
o Recopilar datos de ubicación geográfica.
o Realizar solicitudes de USSD.
o Desviar llamadas.
o Instalar e iniciar otras aplicaciones.
o Inicie los navegadores en las páginas deseadas.
o Bloquea la pantalla para una función similar a un ransomware.
o Notificaciones de rastreo mostradas en el dispositivo.
o Robar códigos 2FA generados por aplicaciones de autenticación.
Imagen: Proceso de creación de solicitudes de Alien a través de comando y control (C2).
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
Indicadores de compromiso.
o Archivos analizados: Nombre: EvdeKaliyorum.apk Tipo de archivo: Android Tamaño: 2.16 MB (2260336 bytes) MD5: 43af9a0afff6a08f37ae4426a87fd5bf SHA-1: 9a441ece55c1beb6011891918cfc27877fb5c911 SHA-256:
163c2cff8cd941dbce727de2df9df5fdfaaddde8f6d3db86270e2abf7e0ea19f
Nombre: android apk Tipo de archivo: Android Tamaño: 1.93 MB (2023814 bytes) MD5: db026fe524d1ce98de04374ff374fdf0 SHA-1: def50bc6a9d970846659c00fb529446af06483c7 SHA-256:
dc215663af92d41f40f36088ec1b850b81092ea94a4a061a9ce88178daee965a
3. Se recomienda:
No abra archivos sospechosos.
No siga instrucciones de desconocidos.
Mantenga su antivirus actualizado.
Descargar aplicaciones de sitio web confiables.
Tenga presente que los ciberdelincuentes siempre están buscando estafar a los usuarios.
Fuentes de información https[:]//www.zdnet.com/article/new-alien-malware-can-steal-passwords-from-226-android-apps/
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
Página: 10 de 10
Índice alfabético
Código malicioso ........................................................................................................................................................ 6, 7, 8 exploits............................................................................................................................................................................... 4 Explotación de vulnerabilidades conocidas ................................................................................................................... 4, 5 Intento de intrusión ....................................................................................................................................................... 4, 5 internet .......................................................................................................................................................................... 4, 5 malware ................................................................................................................................................................. 4, 6, 8, 9 Malware ................................................................................................................................................................. 2, 3, 6, 7 phishing ............................................................................................................................................................................. 8 ransomware ....................................................................................................................................................................... 8 Red, internet ...................................................................................................................................................................... 3 redes sociales ............................................................................................................................................................. 1, 7, 8 Redes sociales ................................................................................................................................................................ 6, 7 software ..................................................................................................................................................................... 4, 6, 8 URL ..................................................................................................................................................................................... 3 USB, disco, red, correo, navegación de internet ............................................................................................................... 8 Vulnerabilidad ............................................................................................................................................................ 2, 3, 4 Vulnerabilidades ................................................................................................................................................................ 3
