jueves, mayo 25, 2017

Developer, protege tu cuenta de GitHub que los malos van a por ti

A finales de Marzo, la Unit 42 de Palo Alto levantó la alerta de una campaña de ataques dirigidos a desarrolladores en GitHub. El malware utilizado para infectar a los desarrolladores y llevarse las passwords de sus cuentas se bautizó como Dimnie, y no era una pieza de software mal diseñada o fácil de analizar, lo que parece probar un ataque dirigido de nivel.

Figura 1: Developer, protege tu cuenta de GitHub que los malos van a por ti

Lo cierto es que si eres desarrollador de software, eres un objetivo goloso para el mundo del cibercrimen, ya que con cuentas robadas se podrían infectar los repositorios de código de esos desarrolladores o, como sucedió con el caso del malware XCodeGhost para OS X, directamente infectar el compilador y que todos los programas salgan ya infectados.

Figura 2: Informe de Dimnie hecho por la Unit 42 de Palo Alto

En el caso de XCodeGhost, con copias piratas de XCode, se consiguieron colar en AppStore 71 apps infectadas con malware que habían sido subidas por desarrolladores que no eran conscientes de estar infectados y estar infectando a todos los usuarios que se descargaban sus apps.

Figura 3: Activación de Segundo Factor de Autenticación en GitHub

Si tienes una cuenta en GitHub donde gestionas código personal o de tu empresa, deberías extremar las precauciones de ella, y entre otras cosas puedes ponerle un 2FA a la misma, utilizando un Cloud TOTP.  Vete a las opciones de cuenta y activa el Segundo Factor de Autenticación en Seguridad.

Figura 4: Activación de 2FA TOTP en GitHub

Selecciona el uso de una app para acceder a los TOTP Tokens, y escanea el QRCode con la app de Latch, como se hace en el resto de los ejemplos que tenéis disponibles de Latch Cloud TOTP.

Figura 5: Cloud TOTP de GitHub en Latch

Así al menos, si alguien te roba la cuenta de GitHub no va a poder estar manipulando tu código sin tu permiso, algo que ya ha pasado en otros casos en el pasado y que va a volver a suceder en el futuro con total seguridad.


Saludos Malignos!

miércoles, mayo 24, 2017

Cómo ejecutar en red Telefónica WannaCry File Restorer usando Active Directory

La semana pasada publicábamos Telefónica WannaCry File Restorer, un script escrito en Powershell con el que se podía recuperar archivos temporales afectados por el ransomware Wannacry. El script funciona bastante bien en los casos en los que el ransomware ha sido “cortado”, es decir, en un momento dado el proceso ha dejado de funcionar, ya sea porque haya sido parado con un error - muchos casos -  o porque se haya apagado o hibernado el equipo.

Figura 1: Cómo ejecutar en red Telefónica WannaCry File Restorer usando Active Directory

Lo interesante, y por lo que primero nos focalizamos en crear un script en Powershell - además de luego dotar a los usuarios de una versión escritorio de Telefónica WannaCry File Restorer,  es que cualquier equipo de IT que se haya visto afectado por este ransomware puede lanzarlo en su dominio/s con el objetivo de recuperar archivos, sin necesidad de que el usuario final participe en el proceso, aprovechando las posibilidades de Active Directory.


Figura 2: Telefonica WannaCry File Restorer (PowerShell Script)


Para mostrar cómo hacerlo hemos querido montar un pequeño entorno que conste de un dominio Microsoft con un Domain Controller en Windows Server 2016  en y con un par de máquinas Windows cliente.


Figura 3: Telefónica WannaCry File Restores Desktop Version


Por supuesto, se podría proveer la herramienta de escritorio a todos los usuarios, pero la idea es mostrar cómo un administrador del dominio podría lanzar el script Telefonica WannaCry File Restorer con el objetivo de que se ejecute en cada máquina del dominio de forma, totalmente, transparente al usuario, como vamos a ver en la PoC.

PoC:  Ejecutado en TWCFR usando AD

El escenario es sencillo: un controlador de dominio desde dónde invocaremos el script con una instrucción de Powershell, un par de máquinas con sistemas operativos cliente de Windows. Todo el proceso, por parte del equipo de IT, ocurre de forma transparente al usuario, lo cual es un proceso interesante, ya que no genera ruido en el trabajo del usuario.

En la siguiente imagen, se puede ver como invocamos al script de Telefonica Wannacry File Restorer. El comando Invoke-Command es utilizado en Powershell para ejecutar cualquier comando en Powershell y tiene la característica de poder ser ejecutado en un entorno remoto. Si las credenciales que se proporcionan son las de un administrador de dominio, el script podrá ser ejecutado en otras máquinas pertenecientes al dominio.

Figura 4: comando para invocar el script TWCFR desde Powershell

El parámetro –FilePath indica el script que debe ser ejecutado. Cuando el script comienza su ejecución podemos detectar sobre qué path se está ejecutando, en este caso sobre la carpeta %localappdata%\temp del usuario1. Esto puede verse en la siguiente imagen.

Figura 5: El script ejecutándose sobre la carpeta del usuario1

Sin duda, muchos equipos de IT afectados por la lacra del ransomware puede utilizar el dominio para llevar a cabo tareas de limpieza o restauración. En el caso de WannaÇry, cualquier equipo de IT afectado puede utilizar este método para recuperar archivos temporales que hayan quedado en los equipos. Os dejamos un video del funcionamiento del despliegue del script en un dominio Microsoft.

Figura 6: PoC ejecución de TWCFR en un Active Directory

Por supuesto, nosotros recomendamos el uso de herramientas de prevención para evitar cualquier ransomware que pueda afectar en el futuro a tus documentos, y como es el caso de Latch ARW.


Además, la utilización de políticas de backup (en un almacenamiento protegido) adecuadas es fundamental para poder luchar en igualdad de condiciones contra la lacra del ransomware.

Autores: Pablo González Pérez (@pablogonzalezpe), escritor de los libros "Metasploit para Pentesters", "Ethical Hacking", "Got Root" y “Pentesting con Powershell”, Microsoft MVP en Seguridad y Security Researcher en ElevenPaths y Fran Ramirez (@cyberhadesblog) escritor de libro "Microhistorias: anécdotas y curiosidades de la historia de la informática" e investigador en ElevenPaths

Entrada destacada

Aura y su negocio oculto para conquistar el mundo

Ya estoy de regreso en Madrid , y mientras todavía continúa el eco de la presentación de Aura y la Cuarta Plataforma , he decidido tomarme ...

Entradas populares