Evil Signature Injection: Borrado remoto de bases de datos, buzones de correos y ficheros de log con Evil Signatures y tu EDR

Después del incidente con Crowdstrike, uno de los EDR más famosos del mundo, los ojos de los investigadores de seguridad se han puesto en ellos. Tener en el sistema objetivo de un ataque un software que se ejecuta con tantos privilegios se ha convertido en oportunidad de usarlo como herramienta del atacante en lugar de temerlo como una herramienta defensiva.

Figura 1: Evil Signature Injection: Borrado remoto de bases de datos,

buzones de correos y ficheros de log con Evil Signatures y tu EDR

Ayer sábado, tranquilo por la tarde, comencé a repasar las charlas de BlackHat y DefCON, y me topé con el trabajo de EDR Reloaded: Erase Data Remotely de los investigadores Tomer Bar y Shmuel Cohen. Desde el principio me encantó la idea por lo simple y hacker que es, y sobre todo, porque es algo que hacíamos nosotros hace muchos años.

Back in 2012 with Eicar

En el año 2012, durante un tiempo, estuve jugando mucho con los Terminal Services y la Apps en Citrix. Escribí muchos posts sobre ellos, y acabé dando una charla junto al gran Juan Garrido en DefCON sobre Terminal Hackpplications llamada "Bosses love Excel, hackers Too", donde llevábamos, además de muchos de estos trucos que quedaron en el blog, una idea del gran Silverhack de meter la shell en EXCEL y desde una sesión de Terminal Services o Citrix controlar la máquina. 

Figura 2: Bosses love Excel, hackers too

Entre los trucos, estaba el de forzar que cantara el antivirus del servidor incluyendo la firma de EICAR para testar si estaba siendo investigada por un Antimalware (aún no se utilizaba el concepto de EDR), y cuál era en concreto. Lo dejé en el artículo: "Eicar para hacer jailbreak en Terminal Services o Citrix".

Figura 3: Symantec EndPoint Protection vigila este Citrix
y nos da el botón de ayuda para entrar en el sistema.

La gracia era qué, si saltaba la consola del antivirus, o una alerta, podríamos llamar a la ayuda, sacar un explorador de ficheros y abrir el sistema completo. Es decir, hacer Jailbreak a una sesión de Terminal Services o Citrix mediante un firma de una muestra de malware "ficticia", como era EICAR.

Erase Data Remotely with Evil Signatures

Ese concepto de "Firma Maliciosa" o "Evil Signature" es lo que han utilizado los investigadores para hacer que se borren ficheros, aprovechándose de Windows Defender en los sistemas Microsoft, y de otros EDR en sistemas GNU/Linux, generando una Evil Signature que ingresan en el sistema de diferentes maneras, ya sea incluyéndola en un fichero binario, en un doc, en una llamada HTTP, en una consulta SQL, o en un alta de un usuario de una plataforma SaaS.

Figura 4: Búsqueda de Evil Signatures para Windows Defender

La idea es tan sencilla como, buscar las firmas que usa Windows Defender, y probar para tener tener el mínimo de caracteres necesarios para que el EDR de Microsoft lo detecte como si fuera un malware de severidad HIGH, para lograr que la acción que se lance sea la más drástica, es decir, eliminar el fichero. 

Figura 5: Windows Defender tiene diferentes acciones por severidad

El resto es conseguir que el fichero ese sea el que quiere borrar el atacante. Así que, a partir de ese momento, es objetivo es ver cómo meter la firma más pequeña en el sitio adecuado para saber qué fichero quieres que borre el EDR que está protegiendo esta máquina.

Figura 6: Introduciendo la Evil Signature en un HTTP Post

En el ejemplo anterior, la Evil Signature se introduce simplemente en un parámetro por POST desde una llamada HTTP, para conseguir que Windows Defender elimine los logs del servidor de Web de la máquina.

Figura 7: Logs del servidor Web eliminados por Windows Defender

Lo mismo se puede hacer con una sesión Windows FTP, en este caso inyectando la Evil Signature como si fuera el nombre del usuario, pero al inscribirse este username en el fichero de log, salta el EDR y se carga el archivo completamente porque es severidad High.

Figura 8: La Evil Signature en el username de un Windows FTP

Esto, en determinados sistemas puede ser más crítico. En este caso, se carga el mailbox de un Mozilla  ThunderBird, que no le hará ninguna gracia al usuario que, sin hacer ninguna acción se acaba de quedar sin ninguno de sus correos almacenados.

Figura 9: Borrado del buzón de Mozilla ThunderBird

Y por supuesto, el propio log de la máquina Windows que viene de serie en todos los sistemas de Microsoft y que usan los SysAdmin para controlar lo que está pasando en su plataforma. De repente verán vacíos temporales.

Figura 10: Borrado de los logs de Windows

También, se puede lograr que Windows Defender elimine su propio log, lo que es una maravilla para borrar los rastros que un atacante deja en un sistema.

Figura 11: Eliminando los logs de Windows Defender

Además, se puede lograr que la víctima expanda el ataque, ya que si el fichero de log pasa al servidor de logs, se llevará la Evil Signature consigo, así que si tenemos un Splunk, éste acabará siendo afectado también.

Figura 12: Afectando la Evl Signature a Splunk

Pero lo peor de este ataque es que si lo consigues meter en el Datafile de una base de datos y que el EDR lo tome como un malware de severidad High, entonces podrías conseguir eliminar la base de datos de un objetivo, lo que no debe ser gracioso para nadie.

Figura 13: Borrando la base de datos de un MariaDB con Evil Signature

En este caso, los investigadores han sido capaces de que el EDR se cargue bases de datos de MariaDB ( MySQL), PostgreSQL, MomgoDB (adiós a tu BigData) y SQLLite, lo que podría dejar sin funcionar la gran mayoría de servicios y aplicaciones que corren sobre ellos.

Figura 14: Bases de datos afectadas por Evil Signature Injection

Y por supuesto, también se pueden hacer los ataques desde servidor a cliente. En este caso sería un Client-Side Attack que se puede hacer por culpa de visitar un servidor vulnerado, o por un ataque a través de él.

Figura 15: El Web Server envía la Evil Signature al cliente

Y el cliente ve cómo se le borran los ficheros del sistema a través del EDR que tenga configurado para "protegerlo" de los atacantes. Paradojas de la vida.

Figura 16: Windows Defender borra la historia de

Google Chrome y los Web Data

La gracia es que podría hacerse un CSRF, un XSS, un SSRF, o cualquier otro Client-Side Attack para que un atacante haga un Evil Signature Injection en tu equipo y tengas un problema de seguridad serio. Por suerte, los reportes han sido tomados en serio y - tras varias iteraciones - se han corregido, pero esta técnica hay que tenerla en cuenta porque cualquier software privilegiado que corra en tu máquina podría ser víctima de Evil Signature Injection y tener un problema serio en tu plataforma.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Tu Latch "Navegación Segura". Codename: "Second Factor Web Browsing (2FWB)"

Hace unos años, con el equipo de Ideas Locas, creamos una solución para controlar la navegación de un ordenador personal mediante un canal paralelo. Tan sencillo como que una persona teclee una URL para navegar en su Google Chrome y antes de que esta se cargue, se intercepta por un plugin la dirección, se envía por BlueTooth a un terminal móvil pareado al navegador, y este verifica por la conexión móvil "Si ese sitio es seguro", o si el responsable del "Control Parental" lo autoriza.

Figura 1: Tu Latch "Navegación Segura".

Codename: "Second Factor Web Browsing (2FWB)"

De todo esto os hablé en el artículo de "Second Factor Web Browsing" donde implementamos la patente que habíamos solicitado en Febrero de 2019, donde describimos todo el proceso para poder luego contarlo públicamente en la RootedCON de 2020 bajo el título de "A hacker's gotta do what a daddy's gotta do". Ya sabéis que nos gusta traer siempre algo en lo que estamos trabajando a la RootedCON.

Figura 2: Presentación de 2FWB en RootedCON 2020

Después llegó la pandemia, nos reestructuramos en la compañía, y pusimos este proyecto de innovación en el "Backlog", pero sin llegar a dejarlo aparcado. Y seguimos dándole la vuelta, hasta que al final lo hemos lanzado ya en Tu Latch "Navegación Segura", de momento solo para la versión Android de Tu Latch, y para navegadores Google Chrome.

Figura 3: Tu Latch para Android en Google Paly con Navegación Segura

Tu Latch Navegación Segura es un servicio al que hay que suscribirse de manera anual, y permite estar conectado a una red WiFi pública de un aeropuerto, de un café, de un hotel, o cualquier red, y tener al servicio Navegación Segura protegiendo tu navegación en todo momento.

Configuración de Tu Latch Navegación Segura

Para poder utilizar Navegación Segura hay que contratar el servicio desde la propia app de Tu Latch, siguiendo el proceso que se detalla en las capturas.

Figura 4: Tu Latch para Android en Google Paly con Navegación Segura

Para proteger la navegación de tu equipo, es necesario que el terminal móvil y el navegador estén conectados por BlueTooth, por eso hay que descargarse el Plugin de Navegación Segura de Tu Latch para Google Chrome, tal y como explica el proceso, y después parearemos los dos equipos: El smartphone, conectado a la red móvil, y el equipo a proteger, conectado a la WiFi o al red que le da servicio a Internet.

Figura 5: Hay que instalar el Plugin de Navegación Segura de Tu Latch para Google Chrome

Este plugin está en la Chrome Web Store, y basta con descargarlo para poder conectarlo directamente a Tu Latch Navegación Segura y comenzar a estar protegiendo toda la navegación de este equipo. 

Figura 6: Plugin de Navegación Segura de Tu Latch para Google Chrome

Una vez instalado el plugin en Google Chrome, se puede hacer la activación del servicio desde el propio navegador, tal y como podéis ver en estas imágenes.

Figura 7: Plugin de Navegación Segura de Tu Latch para Google Chrome

El plugin se instalará en el navegador, y a partir de ese momento ya sólo se necesitará realizar el pareado del navegador por Bluetooth con la app de Tu Latch cuando se vaya a navegar desde cualquier red en la que se desee tener Navegación Segura.

Figura 8: Plugin de Navegación Segura de Tu Latch para Google Chrome

El Plugin de Navegación Segura de Tu Latch para Google Chrome hay que instalarlo la primera vez en el equipo, para que esté disponible en todas las sesiones del navegador Google Chrome. Una vez hecho, ya sólo se hará la activación del servicio.

Figura 9: Plugin de Navegación Segura de Tu Latch para Google Chrome

Ahora ya podemos parearlo con Tu Latch y tendremos el canal de seguridad por BlueTooth, conectado a Tu Latch en el smartphone, y éste conectado al servicio de Navegación Segura para proteger la navegación de Google Chrome en el ordenador.

Figura 10: Vinculación por BlueTooth desde el

Plugin de Navegación Segura de Tu Latch para Google Chrome

Para realizar el pareado, hay que hacer Tu Latch Navegación Segura visible en la app. Pasaremos de "No Visible" a "Visible" y cuando esté pareado, aparecerá como "Vinculado".

Figura 11: App de Tu Latch con Navegacón Segura

Y de igual forma, el Plugin de Navegación Segura de Tu Latch para Google Chrome aparecerá como "Vinculado", indicándonos que estamos ya siendo protegidos por el servicio de Navegación Segura.

Figura 12: El navegador de Google Chrome está protegido por "Navegación Segura"

usando un Canal de Second Factor Web Browsing (2FWB)

Este proceso se puede hacer desde cualquier navegador que se paree al terminal de Tu Latch con el servicio de Navegación Segura contratado, así que lo único que deberías realizar es el mismo proceso que te he descrito.

Figura 13: El navegador de Google Chrome está protegido por "Navegación Segura"

usando un Canal de Second Factor Web Browsing (2FWB)

Lo recomendable, como explicamos tanto en el plugin como en la app de Tu Latch, es que el terminal móvil y el equipo con el navegador a proteger, estén en diferentes redes, para mantener limpios los dos canales de verificación y que un enemigo en el medio no pueda bloquear la consulta al servicio de seguridad.

Figura 14: Dominio Bloqueado con Tu Latch Navegación Segura

A partir de ese momento, cuando un dominio se detecte como peligroso, el plugin de Tu Latch en Google Chrome bloqueará el sitio por Phishing, Fake Broker, Ciberestafa, Distribución de Malware, etcétera, y podremos ver que este sitio ha sido bloqueado por Tu Latch.

Figura 15: Dominio Bloqueado con Tu Latch Navegación Segura

Por el contrario, si el dominio no se ha detectado como malicioso, sabremos que ha sido verificado por el servicio de Tu Latch Navegación Segura, tal y como podemos ver en la imagen siguiente.

Figura 16: Dominio verificado y NO detectado

como Peligroso por Tu Latch Navegación Segura

Con el servicio de Tu Latch Navegación Segura puedes tener una capa extra de seguridad para navegar por redes en cafeterías, hoteles, aeropuertos, etcétera, de manera muy sencilla, y comprobando en todo momento que los dominios a los que te estás conectando son los correctos y no han sido manipulados. Ya os iré contando muchas más características sobre las novedades de Tu Latch. Y en breve estará en iPhone también. 

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Aprendizajes del Crowstrike BSOD: ¿Debes abandonar Windows?

Supongo que muchos os habéis enterado ya del Blue Screen Of Death que ha provocado el EDR de Crowdstrike en todas las máquinas Windows. Supongo que algunos compañeros aún estáis arreglando máquinas o con los planes de contingencia de muchos de los servicios que han dejado de funcionar. Porque sí, ha sido una buena, y en mis grupos con colegas de profesión en otras empresas, se han pasado un viernes y un sábado divertido.

Figura 1: Aprendizajes del Crowdstrike BSOD.

¿Debes abandonar Windows?

Se pueden sacar muchos aprendizajes de este caso, y muchos de ellos acercando el ascua a su sardina. También he visto a muchos tecnicoless hablando con recetillas de "Windows malo", "Linux bueno", o "Mac Mejor", como si en GNU/Linux o en MacOs no funcionaran las cosas de manera similar y estuvieran ajenas a estas situaciones. Tecnicoless. Todos tienen su modo protegido, todos tienen sus programas que se han metido en modo protegido y la han liado parda y todos han tenido "Security Nightmares" alrededor de parches. 

Aprendizajes del Crowdstrike BSOD: ¿Debo abandonar Windows?

Os podría contar casos de todos los sistemas operativos, pero no se trata de eso, sino de que el mensaje y los aprendizajes de estos incidentes tengan que venir desde los expertos en tecnología, y no desde los tertulianos y aprovechados que se suben a cualquier trending topic de las redes social para ganar flow con el populismo. Es un problema técnico del que tenemos que aprender cosas y mejorar cosas.

Figura 2: "Máxima Seguridad en Windows: Secretos Técnicos. 6ª Edición"

de Sergio de los Santos en 0xWord.

Instalar cosas que corren en Ring0 siempre es un movida. En las máquinas GNU/Linux, gracias a esta posiblidad, aparecieron los Rootkits, que se migraron exitosamente a Windows y MacOs. Estos bichos malos implicaba que, para defenderte de ellos, había que restringir qué se puede instalar en Ring0, con programas de certificación para los fabricantes de drivers en nivel privilegiado que pudieran extender las funciones de protección en el equipo. Algunos drivers de red, de gestión de dispositivos, de seguridad, necesitan ese nivel de acceso a las funciones del sistema operativo.

Figura 3: Libro de Hardening de Servidores GNU/Linux GOLD Edición

(Revisada y Ampliada) de Carlos Álvarez y Pablo González en 0xWord

Uno de los certificados es la empresa Crowdstrike, que tiene un EDR (EndPoint Detection & Response) para detectar amenazas de seguridad capturando eventos del sistema operativo y la red y analizándolos en cloud, que desplegó una actualización de ese driver que "funcionaba en el ordenador del programador", pero que hace un acceso a una zona de memoria protegida con el nivel de privilegio de Ring0, lo que implica que no estén activas las protecciones de Ring3 que hubieran tumbado al programa y listo.

Figura 4: Libro de macOS Hacking en 0xWord

Como estaba en Ring0, el sistema operativo, por seguridad y protección de la integridad de los datos, se detiene haciendo un Halt con un BSOD. El despliegue de este agente en Ring0, que se ocupa de detectar amenazas se convirtió en la gran amenaza a la continuidad de negocio, y ahora hay que entrar en planes de contingencia para recuperar todos los sistemas. Con cosas curiosas que nos hacen pensar.

En primer lugar, como es un fallo con un driver defectuoso que se carga en el arranque, implica que los equipos no arrancan. Así que si quieres tomar control del equipo hay que empezar con arranques en "Safe Mode" del sistema operativo, lo que evita que se carguen drivers de terceros en el kernel. Después, se desinstala o actualiza, manualmente o con un script, el driver dichoso. Y una vez hecho esto ya podemos arrancar otra vez el equipo y tener acceso a la red, y a todas las funciones del sistema operativo.

Con este panorama, hay que ver cómo hacer este proceso, que como os podéis imaginar no es desatendido y ni remoto, lo cual es una movida "big time", porque estamos en un mundo de equipos remotos, de máquinas virtuales, de portátiles con USBs restringidos, incluso físicamente, de equipos que no están mapeados, etcétera.  Y no muchas empresas están preparadas para responder.

Figura 5: Cómo gestionar la Seguridad Informática de una empresa

A mí me hizo reflexionar en esta situación sobre muchas cosas. La primera y más evidente es que los procesos de Quality Assurance en los despliegues de las nuevas versiones deben tener mucha más protección contra el error humano. Procesos de Deployment con DevSecOps en entornos de prueba y pre-producción, etcétera. Muy evidente, y es lo que marca la diferencia entre una empresa que quiere hacer productos y servicios digitales y otra que no.

El segundo pensamiento fue, evidentemente, en el programa de certificación de estos drivers en Ring0 y lo que puede significar en el futuro. Los equipos de Microsoft de certificación habrán sentido en sus carnes la importancia de su rol, y los controles para garantizar que no llegué un software en mal estado a miles de millones de máquinas por mucho que esté creado por una empresa certificada, no han sido suficientes. Y esto va a obligar a fortalecer todos estos procesos. Y entender bien, bien, por qué ha pasado. Al final, todos estos fabricantes se convierten en una gigantesca "Supply Chain" de Windows que hay que controlar. Si se instala en Ring0, entones es parte del funcionamiento básico del sistema.

Figura 6: Libro de Hacking iOS:iPhone & iPad (2ª Edicón) en 0xWord de
Chema Alonso, Ioseba Palop, Pablo Gonzáleez y Alejandro Ramos entre otros.

Por otro lado, esto nos puede llevar a entornos como el de iOS, donde Apple se ha negado a dar acceso al nivel protegido de su iPhone o iPad a nadie. Imaginaos un mundo en el que tuviéramos este caso en iPhone, que no tiene para arrancar en modo a prueba de fallos y cargarle con un USB un parche. Hubiera sido un caos mundial espectacular. Así que es probable que vayamos a un mundo Ring0-less para la mayoría de los sistemas operativos, y donde las técnicas de Jailbreak sean una línea que se se desarrolle mucho más, donde los exploits a bajo nivel con instrucciones del microprocesador sean la siguiente línea de batalla, como hemos visto con GhostRace y los Speculative Use-After-Free Exploits.

También estuve pensando que los grandes proveedores de cloud con infraestructuras IaaS jugaban un gran papel, porque seguro que se podría - en muchos entornos - hacer una deshabilitación desde la nube del driver malicioso. Un entorno de DevSecOps en Cloud ha permitido scriptar el arranque en Safe Mode, aplicar el hot-fix, y re-arrancar el servicio, así que los entornos bien afinados de DevSecOps sacando el máximo de Docker & Kubernetes, ha ayudado. También los entornos VDI en Cloud, lo que da mucho que pensar a cuánto de moderna es la arquitectura IT de tu compañía.

Figura 7: Libro de Docker:SecDevOps en 0xWord de

Fran Ramírez, Elías Grande y Rafael Troncoso

Por supuesto, si tus servidores están en IaaS hay un Ring0 del que te tienes que preocupar, pero si tienes toda tu arquitectura tecnológica en PaaS y los servicios en SaaS, pues no hay Ring0 del que preocuparte tú, lo que debería pensarte si aquel Go-To-Cloud con Lift & Shift fue el más adecuado, o era necesario hacer re-ingeniería a Moderm Cloud Apps.

Dicho esto, dentro de los planes de contingencia de tus entornos de Fail-Safe, debes tener todo preparado para que el bug esté en los procesos que corren en Ring0 - e incluso en el Kernel de los sistemas operativos base de tus servicios -, por lo que si tienes una copia completa de tu entorno preparada para tomar el relevo ante una caída como esta, más vale que tengas en mente este caso, porque si te actualizan al mismo tiempo el nodo activo con un bug como este en Ring0, y en el entorno pasivo tienes el mismo bug, pues has hecho un pan como dos tortas.

En fin, muchos aprendizajes y buenos sobre todo lo que en tu empresa podría estar mejor, pero pensar que la solución es "¡pásate a GNU/Linux!" o "Yo uso Mac", y crees que con esto vas a estar libre de que te pase en el futuro... ¡enhorabuena, eres un Tecnicoless!. 

PD: He dejado los libros de 0xWord relativos a la seguridad de los sistemas operativos y la charla de Cómo gestionar la Seguridad Informática de una empresa para que se los recomendéis a todos los Tecnicoless que opinen y den recomendaciones de este tema sin tener ni "·$·$%&%$& idea. Sólo a ellos.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

iPhone Fake Airplane Mode: Cómo un espía puede simular el modo avión en su iPhone

Este verano unos investigadores han explicado un "viejo truco" que usamos en un tiempo en el pasado, pero aplicado al mundo de iPhone, donde lo que hacen es jugar con los iconos que "dan seguridad" a los usuarios, anulando las señales visuales de que un iPhone está grabando audio, tiene la cámara activada, o simulando que está activado el modo el avión. Así, si alguien pregunta, se puede enseñar la pantalla del terminal iPhone y decir: "¿Ves? Modo avión activado y no estoy grabando nada", mientras que la realidad es muy distinta.

Figura 1: iPhone Fake Airplane Mode. Cómo un espía

puede simular el mode avión en su iPhone 

Por supuesto, es un terminal iPhone preparado para ser utilizado como herramienta de espionaje, o hacking, en un Red Team, o en algo más serio. Y para ello el terminal tiene que estar con Jailbreak. También es un buen truco para espiar a una persona después de haberle instalado un malware que haga un jailbreak el terminal, y vigile, grabe, y espíe todas las acciones que haga éste cerca de su móvil. Un posible escenario en APTs que podría llegar a darse.

Figura 2: Artículo explicando como hacer Fake Flight Mode

De hecho, con un terminal grabando el audio y subiendo las pulsaciones a un C&C, se podría llegar a saber hasta lo que teclee en los ordenadores cercanos, ya que las técnicas de Audio Snooping están a un nivel altísimo, y hemos visto que usando Machine Learning sobre espectrogramas de los audios de las pulsaciones (como hicimos en el artículo de "Are you takin' ta me?" en nuestro análisis de voces nosotros) llegan a conseguir ratios de acierto superiores al 90%, como hemos podido ver en el último artículo académico "A Practical Deep Learning-Based Acoustic Side Channel Attack on Keyboards" publicado el pasado 2 de Agosto de este año, hablando sobre este tema.

Figura 3: A Practical Deep Learning-Based Acoustic Side Channel Attack on Keyboards

El truco que utilizan los investigadores, que puedes leer en detalle en su blog, no es nada más que asegurarse de que las funciones siguen estando disponibles, pero manipular el aspecto del interfaz que tiene el terminal. Y como he dicho, para poder hacer esto, se necesita tener el terminal iPhone con Jailbreak, ya sea porque el dueño quiere usarlo como herramienta espía, o porque un malware ha conseguido hacer el jailbreak y transforma el aspecto del iPhone.

Figura 4: Libro de Hacking iOS:iPhone & iPad (2ª Edicón) en 0xWord de
Chema Alonso, Ioseba Palop, Pablo Gonzáleez y Alejandro Ramos entre otros.

Y esto me ha recordado a una historia de hace mucho tiempo, con Windows XP y los años de los Cibercafés, donde aprovechábamos los servicios no protegidos de Windows XP para conseguir acceso como System a un equipo Windows, y luego matábamos los antivirus, las herramientas de seguridad, y las reemplazábamos con un programa de cosecha propia con los iconos en la barra de tareas. De esta forma cualquiera que pasar por detrás de la pantalla mirando a ver si el equipo de control de seguridad del cibercafé estaba protegido, vería los iconos de su antivirus y su programa de control remoto del equipo. 

Un truco del pasado con Windows XP y los cibercafés

Este truco era tan sencillo en aquellos momentos como abrir el administrador de tareas, ver los procesos que corrían como System, buscar la ruta en el sistema de ficheros del binario que había ejecutado, irse allí, y renombrarlo. Luego se copiaba una shell de comandos con el nombre del binario que iba a buscar e sistema en el inicio, y reiniciar el sistema operativo.

En el siguiente arranque, en lugar de encontrarse el binario que esperaba en esa ruta, se iba a encontrar con nuestra shell, que iba a ser ejecutada como System.  Tan sencillo como eso. Y una vez que tenías control del equipo, ponías los iconos que querías en la barra de tareas. Nada funcionaba, pero el aspecto visual era que seguía estando el Antivirus y las herramientas de seguridad. 

Figura 5: Microsoft Office 2013 era vulnerable a este bug de rutas sin entrecomillar

Años después, esta técnica se siguió utilizando, pero en este caso incluso buscando rutas inseguras, aprovechándose del sistema de nombres 8:3 histórico de los sistemas MS-DOS y las rutas con espacios sin entrecomillar. Y lo mismo con las técnicas de DLL Hijacking que tan comunes se harían después.  Así que, sí, esto que han publicado los investigadores solo es una simulación de iconos, pero bien utilizada puede ser una herramienta poderosa en ciertos escenarios.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Cómo proteger los equipos de la red de tu casa: Activa Conexión Segura - que es gratis - desde la Living App de SmartWiFi en Movistar+

En los equipos de Network Tokenization - Movistar Tokens - y de SmartWiFi tenemos una planificación de nuestras versiones mensualizada, así que en las actualizaciones vamos añadiendo características para mejorar los servicios en nuevo despliegue. Hace poco os hablé de la inclusión de los perfiles de desconexión en SmartWiFi y Chema Alonso os habló, por ejemplo, de la Optimización del canal de la red WiFi desde la Living App de. SmartWiFi. Hoy os quiero hablar de la inclusión de Conexión Segura en la Living App de SmartWifi en Movistar+.

Figura 1: Cómo proteger los equipos de la red de tu casa:

Activa Conexión Segura - que es gratis - desde la Living App

de SmartWiFi en Movistar+

Ya hace algún tiempo, que el equipo de ElevenPaths (ahora parte de Telefonica Tech) trabajó para crear el servicio de Conexión Segura que está incluido en todos los clientes de Movistar Fusión. Este servicio tiene el objetivo de ofrecer seguridad desde la propia red de Telefónica, bloqueando aquellas amenazas que pueden producirse por dispositivos conectados tanto a la red fija - y la WiFi de casa - como a la red móvil (3G/4G/5G) para proteger la navegación de todos los equipos que están conectados, tanto en la red del hogar, como fuera de ella.

Figura 2: Resumen de amenazas bloqueadas por Conexión Segura
de una línea fija de hogar (WiFi + Fibra Óptica)

El éxito de este servicio es espectacular, que lleva más de un millón de altas activas y está bloqueando anualmente la cifra de 200 millones de amenazas. Que es una barbaridad. Eso significa que en los hogares de España donde se ha activado Conexión Segura, se han evitado muchos, pero que muchos, problemas de malware, de spyware, de ransomware, de phishing, etcétera, solo por haber activado el servicio de protección de Conexión Segura - que es gratuito y viene incluido en el paquete Movistar Fusión -.

Living App de SmartWiFi: Conexión Segura y Optimización de Canal WiFi

Por si no lo sabías, Conexión Segura es un servicio - que como he dicho varias veces es gratuito -  que no requiere ningún tipo de instalación. Únicamente, la activación del servicio por parte del usuario. Hasta ahora, se podía activar desde el desde la web de movistar.es como explica este artículo, y desde las apps Mi Movistar y Smart WiFi - que es la app que te permite sacar más partido a las capacidades de tu router SmartWiFi con un montón de opciones.

Figura 3: Arriba tienes "Conexión Segura" y "Optimizar canal WiFi"

En SmartWiFi tenemos un especial cariño al servicio de Conexión Segura y es por ello que hemos querido ponértelo tan fácil como a tiro de mando de la televisión. Así que si no lo tienes activado todavía, ya puedes activarlo desde la Living app de Smart WiFi en Movistar+, además de consultar las amenazas que hemos sido capaces de bloquear. Tienes la opción justo al lado de la opción de Optimizar el Canal WiFi que incluimos en un despliegue anterior de la Living App de SmartWiFi.

Figura 4: Demo de Living App de SmartWiFi en el Hogar Movistar

Desde la Living App de SmartWiFi, que puedes manejar como explica Chema Alonso en este vídeo desde el Mando Vocal Aura, desde Movistar Home, o desde el mando Movistar+, vas a poder saber si lo tienes activado. Y si no lo tienes, activarlo con un solo clic.

Figura 5: Activación de Conexión Segura desde

la Living App de SmartWiFi en Movistar+

Como podéis ver, para nosotros es tan importante crecer en funcionalidades que permitan al usuario mejorar el rendimiento de su conectividad como ayudar a nuestros compañeros a cumplir sus objetivos de proteger a los usuarios de Movistar de posibles amenazas que pueden derivarse de entornos completamente conectados a Internet. Y hoy, en el entorno de teletrabajo masivo, hemos querido ponerlo más fácil todavía.

Conexión Segura y Movistar Tokens

Por último, si has activado el servicio gratuito Tokens de Movistar podrás también recibir tokens por activar el servicio de Conexión Segura ya que para nosotros que nuestros clientes estén seguros es motivo de alegría. También seguiremos premiándote siempre y cuando lo tengas activado, pues el objetivo es que tengas una experiencia lo más segura y confortable posible gracias a nuestros servicios de seguridad en la red. 

Figura 6: Tokens de Movistar en app de Mi Movistar

Los tokens podrán darte acceso a gigas y a contenido de Movistar+ completamente gratis. Recuerda que puedes consultar el número de tokens que llevas acumulados tanto en la app Mi Movistar como la Living app de Mi Movistar. En el servicio Tokens de Movistar, que actualmente solo está disponible para 20.000 clientes Fusión, tenemos el objetivo de premiar a los usuarios por ser más digitales y para nosotros la concienciación de que la seguridad es un factor importante en el propio proceso de digitalización de los usuarios es parte de las acciones generadoras de tokens.

Figura 7: Sección Mis Tokens en la Living App de Mi Movistar

Puede que actualmente no seas usuario elegible para poder activar el servicio Tokens de Movistar pero estamos trabajando para que este servicio esté disponible para todos los usuarios de Movistar Fusión a lo largo de este año.

Saludos,

 

Autor: Yaiza Rubio, Head of Network Tokenization y SmartWiFi en CDCO Telefónica y autora de los libros "Bitcoin: La tecnología BlockChain y su investigación", y el libro "Manual de ciberinvestigación en fuentes abiertas: OSINT para analistas". Puedes contactar directamente con Yaiza Rubio en su perfil en MyPublicInbox.

Contactar con Yaiza Rubio