Miles de servidores C&C de malware expuestos por una vulnerabilidad

Una vulnerabilidad en un software utilizado por los cibercriminales ha permitido revelar la ubicación de miles de servidores de mando y control o C&C (del inglés ‘command and control’) de malware.

Imagen de cobaltstrike.com

Cobalt Strike es una herramienta legítima de prueba de penetración con una arquitectura cliente-servidor, utilizada por los investigadores de seguridad para probar la resistencia de una organización contra ataques dirigidos. En los últimos años, Cobalt Strike se ha convertido en parte del kit de herramientas utilizado por desarrolladores de malware y grupos cibercriminales como FIN6 y FIN7 (Carbanak) o APT29 (Cozy Bear). Los atacantes aprovechan Cobalt Strike para alojar sus servidores de C&C de malware que se comunican con los equipos infectados a través de ‘beacons’.

Sin embargo una vulnerabilidad en este software ha resultado clave para descubrir las ubicaciones de miles de servidores de comando y control de malware (C&C). El fallo se encontraba en el código de NanoHTTPD, un servidor web de código abierto basado en Java, al agregar un espacio en blanco adicional después del código de estado de las respuestas HTTP. Dicha particularidad en las respuestas del servidor ha sido utilizada por investigadores de la empresa de seguridad Fox-IT para detectar las comunicaciones entre los ‘beacons’ y sus servidores C&C desde 2015.

Espacio en blanco adicional en la respuesta HTTP

Desde ese año hasta el pasado mes de enero de 2019, cuando los desarrolladores de Cobalt Strike corrigieron el error, los investigadores de Fox-IT han observado un total de 7718 servidores de Cobalt Strike. Aunque, como cabe esperar, muchos de ellos son legítimos también se incluyen servidores C&C de malware vinculados a la unidad de piratería gubernamental APT10 de China, del troyano bancario Bokbot, y Carbanak.

Los investigadores de seguridad han revelado una lista de direcciones IP que alojaban o siguen alojando servidores C&C de Cobalt Strike.

KnownSec 404 Team, una empresa china de seguridad IT ha confirmado el descubrimiento de Fox-IT al identificar 3643 servidores basados ​​de Cobalt Strike operativos (un 86% de los cuales se corresponden con la lista suministrada por Fox-IT).

Según aventuran los investigadores de Fox-IT, el truco de la exploración del espacio en blanco cada vez redundará en un menor número de resultados debido a que los servidores legítimos se están actualizando a la versión 3.13, con la vulnerabilidad corregida. Sin embargo también opinan que, debido a que los delincuentes cibernéticos tienden a utilizar versiones no legítimas de software, estas se quedarán sin recibir la actualización y por tanto los servidores de C&C de malware podrán seguir siendo rastreados. Al menos durante un tiempo.

Más información:

Identifying Cobalt Strike team servers in the wild
https://blog.fox-it.com/2019/02/26/identifying-cobalt-strike-team-servers-in-the-wild/

Historical list of {Cobalt Strike,NanoHTTPD} servers
https://github.com/fox-it/cobaltstrike-extraneous-space/

Arrestado el líder detrás de Cobalt y Carbanak
https://unaaldia.hispasec.com/2018/03/arrestado-el-lider-detras-de-cobalt-y-carbanak.html

La mayor plataforma de Bug Bounty confirma el tópico. Jóvenes, americanos y sin estudios superiores

HackerOne ha publicado un informe donde son encuestados más de mil investigadores de seguridad para obtener las últimas estadísticas, tendencias y perspectivas de la comunidad.

El informe comparte distintas estadísticas, como las edades, ubicación, estudios y preferencias de sus usuarios, en las que, como citamos en el título de la noticia, se confirman algunos de los tópicos que rodean la figura del hacker.

En él también se da a conocer como dos de los usuarios, Mark Litchfield y Santiago López, han alcanzado el millón de euros en recompensas a través de su plataforma.

Para los que no lo sepan, una plataforma de Bug Bounty, es la encargada de la mediación entre las empresas y los investigadores de seguridad. Por un lado las empresas ofrecen recompensas para que los investigadores hagan una publicación responsable de las vulnerabilidades encontradas y los investigadores reconocimiento y una compensación económica.

Entre otros datos llamativos, cabe destacar la herramienta Burp Suite, como la favorita entre los investigadores de seguridad.

A través del siguiente enlace podéis descargar el informe completo.

Google revela un error de “alta severidad” sin parchear en el núcleo de Apple macOS

Investigadores de Google Project Zero han hecho pública una vulnerabilidad en macOS, después de que Apple no haya liberado un parche en los 90 días previos a la publicación.

Descubierto por el investigador Jann Horn y demostrada por Ian Beer. La vulnerabilidad reside en la forma que el kernel de macOS, XNU, permite a un atacante manipular el sistema de ficheros sin informar al Sistema Operativo.

Esta vulnerabilidad podría permitir a un programa malicioso saltarse la funcionalidad Copy-on-Write (COW) y modificar la memoria compartida entre procesos, llegando a corromperla.

Copy-On-Write o COW es una optimización en la administración de recursos usada en computación. En este caso, se da cuando un proceso necesita un fichero o dato que ya se encuentra en la memoria de otro proceso. Ambos procesos pueden compartir dicho recurso en lugar de crear una nueva copia, reduciendo de esta forma recursos.

Sin embargo, si uno de estos procesos necesita realizar algún cambio sobre el recurso, la función COW aparece y crea una nueva copia en la memoria, de forma que el otro proceso pueda también tener acceso al recurso.

Los investigadores vieron que cuando la imagen de un sistema de ficheros montado es modificada directamente (con la llamada pwrite() ), esta información no es propagada en el sistema de ficheros montado.

Por tanto, un programa malicioso puede hacer cambios en la memoria liberada almacenada en el disco sin informar al subsistema de administración virtual (virtual management subsystem), engañando al proceso destino para que cargue contenido malicioso en la memoria.

La vulnerabilidad fue notificada a Apple en noviembre de 2018 y ésta reconoció la existencia del fallo. Pero a día de hoy aun no se ha solucionado a pesar del aviso. De modo que los investigadores han publicado la falla con criticidad alta y también han liberado una prueba de concepto.

Más información:

https://thehackernews.com/2019/03/cybersecurity-macos-hacking.html

Análisis preliminar de Ghidra, el framework de reversing de la NSA.

Análisis preliminar de Ghidra, el framework de reversing de la NSA.

En la noche de ayer (del 5 al 6 de marzo) fue liberado el nuevo framework de ingeniería inversa de la NSA denominado “Ghidra”. Hoy os contamos nuestras primeras impresiones tras haber realizado algunas pruebas.

URL de descarga: https://www.ghidra-sre.org/

Instalación:

Ghidra funciona sobre Windows, Mac y Linux. Instalar este framework es tan simple como descomprimir el archivo ZIP de la descarga en nuestro equipo. El único requisito para el correcto funcionamiento del software es tener instalada la versión 11 de Java Development Kit o superior.

Si aún así tenéis alguna duda, en la web proporcionada hay un pequeño vídeo explicativo.

Primeras impresiones:

Lo primero que podemos ver al abrirla es que se trata de la versión 9.0 del programa, por lo que puede inferirse que lleva muchos años siendo utilizada y que ha pasado por numerosas etapas para la mejora de su código, lo que, en principio, nos lleva a pensar que estamos ante una herramienta madura y a prueba de errores.

Al crear un nuevo proyecto, nos muestra un baúl de herramientas con dos opciones: “CodeBrowser” y “Version Tracking”. Analizaremos en esta ocasión la herramienta “CodeBrowser”.

Si abrimos un binario, la herramienta nos lo analiza y nos muestra el desensamblaje del código en una interfaz que nos parece bastante amigable, en comparación con otros frameworks similares.

Aunque los tiempos de carga son casi mínimos, la optimización del consumo de recursos no es su punto fuerte, ya que consume bastante más que otras herramientas que tienen el mismo objetivo.

Como punto a favor de su usabilidad, existe una cheatsheet oficial con los shortcuts más importantes del programa. Puede accederse a la plantilla a través de este enlace.

Fallos reconocidos en las primeras 12 horas:

Apenas unas horas después de la salida del producto, varios expertos en ciberseguridad se han hecho eco de un fallo en la apertura del puertoJDWP (18001) en el modo debugque se pone a la escucha en todas las interfaces y permite ejecución de código remoto. A continuación vemos un ejemplo del fallo que describimos:

Here is a screen shot that proves RCE in the JDWP service when running Ghidra in debug mode. The issue is that the NSA left an asterisk * instead of something sane like “127.0.0.1” – exposing JDWP to all interfaces and allowing exploitation. It’s not default, but a bugdoor. pic.twitter.com/YYTU8Qdx8T

— Hacker Fantastic (@hackerfantastic) March 6, 2019

Usando un motor de búsqueda de dispositivos conectados a internet como shodan.io podemos ver ya algunos equipos que ahora mismo podrían ser vulnerados.

La solución más simple sería modificar el código que hace referencia a la interfaz y ponerlo solo a la escucha en localhost.

El issue se encuentra abierto en Github ahora mismo. URL: https://github.com/NationalSecurityAgency/ghidra/issues/6.

Opiniones publicadas:

Varios expertos en reversing ya se han pronunciado sobre la herramienta, manteniendo diferentes opiniones sobre la utilidad del producto:

The same capabilities with IDA Pro would cost you ~$13,000 (and it supports less architectures). As much as I love IDA, their monopoly is the bane of my existence.

— MalwareTech (@MalwareTechBlog) March 6, 2019

After playing with ghidra for an hour pic.twitter.com/EW5PEBLdDU

— Malware Unicorn (@malwareunicorn) March 6, 2019

Para estar al tanto de la opinión de la comunidad acerca de Ghidra, existe un post anclado en Reddithttps://www.reddit.com/r/ReverseEngineering/comments/ax2gma/ghidra_stickied_thread/