Proteger Windows con "Máxima Seguridad en Windows"

Había pasado mucho tiempo desde que se agotó el libro de Máxima Seguridad en Windows, y como es uno de los más solicitados, desde 0xWord hemos estado trabajando para tener en el catálogo una nueva edición de este título. En él, Sergio de los Santos (@ssantosv) saca el máximo de todas las tecnologías de seguridad del sistema operativo para tener, como dice el título, Máxima Seguridad en Windows. El libro está disponible desde hoy mismo en la web de 0xWord, y además ya está también incluido dentro de la Colección Completa de 0xWord.

Figura 1: Libro Máxima Seguridad en Windows 3ª Edición

El texto de esta edición es más o menos similar al de las ediciones anteriores, y solo se han cambiado pequeñas partes del mismo, añadiendo algunas nuevas utilidades que han aparecido en los últimos tiempos, y algunas soluciones para evitar problema con malware, como el desgraciadamente popular ransomware que tanto daño ha estado haciendo en los últimos tiempos. Este es el índice detallado del libro.

Fígura 2: Máxima Seguridad en Windows: Índice

Si administras sistemas Windows en una empresa, o si tu equipo personal de trabajo de día a día es un sistema Microsoft Windows, los contenidos de este libro son sin duda fundamentales para tener lo más protegida posible tu plataforma.

Saludos Malignos!

El Full-Equip para Android: Adware,Troyanos, Fake AV, Bootkits y el Virus de la Policía con Android-Trojan.Koler.A

El pasado 5 de Febrero escribí un artículo en el que hablaba del primer Bootkit para Android, un malware que se infectaba aprovechando la falta de fortificación de la cadena de arranque de un sistema operativo Android en las implantaciones distribuidas. Tras ver que ya se habían portado los famosos bootkits de Windows, el siguiente paso parecía lógico: se iba a portar el ransomware que secuestra el terminal. Por ello escribí el párrafo siguiente:

Figura 1: Estaba claro que llegaría el Ransomware para Android

Ahora ya está aquí, y ha sido el famoso truco del Virus de la Polícia el que ha aparecido publicado en Ars Technica como ransomware portado a los terminales Android, al que se ha llamado Android-Trojan.Koler.A. Como se puede ver, el malware sigue con el mismo modelo de negocio, es decir, asustarte diciendo que has visto pornografía en Internet y exigir un pago para liberar el dispositivo. Para hacerlo más creíble utiliza la información GPS para saber en qué país se encuentra y así elegir el aviso correspondiente de la Policía, el FBI, la Polizia o la fuerza de seguridad del país de turno. El dinero que exige son 300 USD, cantidad nada desdeñable que compite con el valor de muchos terminales.

Figura 2: El Virus de la Policía portado a Android

Android ya cuenta con Adware a mansalva - solo hay que ver la serie que está publicando Sergio de los Santos (@ssantosv) en el artículo "El negocio de las FakeApps y el malware en Google Play" para darse cuenta de la cantidad de adware que se distribuye diariamente -, también contamos con Troyanos profesionales para el espionaje en Android, por supuesto con apps maliciosas para hacer estafas como la de la linterna molona y suscribirte a los SMS Premium o los juegos maliciosos que te roban el WhatsApp - o las APKs creadas por Metasploit -. Por si alguien quiere escaparse también están los Fake AV, Rogue AV o Falsos Antivirus para Android y desde hace no demasiado contamos con bootkits y ahora el Ransomware. 

Figura 3: Fake Apps activas en Google Play sin ningún control

Se puede decir que ha calado entre los desarrolladores de Apps para Android este camino profesional donde muchos han encontrado formas paralelas de monetizar sus conocimientos pasando de modelos de negocio basados en venta de apps o sistemas tipo in-app purchase.

Saludos Malignos!

Android.Oldboot: Primer Bootkit para Android

Hoy la noticia que más me ha sorprendido ha sido la que parece primera aparición en escena de un bootkit para los terminales Android, lo que abre la puerta a un panorama mucho más peligroso para los terminales con este sistema operativo y el malware, ya que si no se controlan bien en las tiendas de apps, esta moda puede ser más que peligrosamente aprovechada por apps maliciosas del tipo de la linterna molona o el juego de Android que vende tus WhatsApps que quieran generar dinero en la industria del fraude online.

Tras la proliferación del malware instalado a nivel de kernel como drivers, los fabricantes de sistemas operativos decidieron prohibir la instalación de drivers a nivel de kernel que no estuvieran firmados digitalmente por una entidad autorizada.

Figura 1: Error de intento de carga de driver no firmado en un Windows

Eso hizo que los creadores de malware crearan los bootkits, un software que funciona como un sistema operativo reducido a su mínima expresión con la única misión de buscar el kernel del sistema operativo, parchearlo para anular la verificación de la firma digital del los drivers, e instalar el rootkit a nivel de kernel con tranquilidad, antes de arrancar definitivamente el sistema operativo de la víctima - ya infectado -.  Aquí os publiqué un ejemplo en el que Blackngel - autor del libro de Linux Exploiting -hacía algo algo similar con un sistema operativo, pero con el objetivo de hacer un ataque de fuerza bruta.

Para conseguir hacer todo ese proceso, los bootkits necesitan ponerse antes en el proceso de arranque, así que modifican el famoso MBR (Master Boot Record) del disco duro del sistema para conseguir el control total de la máquina de la víctima. Como contramedida a los bootkits, la industria decidió apostar por el firmado digital del Master Boot Record y la comprobación del mismo desde el firmware UEFI del equipo, lo que se llamó SecureBoot y hace que antes de instalar un nuevo sistema operativo en un hardware sea necesario tenerlo firmado digitalmente por el fabricante - como hizo Microsoft con el loader de Linux -.

Ahora Dr. Web ha anunciado que ha descubierto un malware, al que ha denominado Android.Oldboot que se distribuye mayoritariamente en China como un bootkit. Para ello se aprovecha de apps maliciosas que instalan el bootkit, y en el siguiente reinicio se carga el rootkit que toma control total del sistema.

Figura 2: Android.Oldboot publicado por Dr. Web

Esto en Android es especialmente complicado de controlar, ya que la dispersión de hardware hace que sea complicado asegurarse de que todos los terminales con Android tienen la protección contra la manipulación del proceso de arranque.  Además, el proceso de cifrado de disco completo de Android es algo que se hace antes de que el sistema arranque, así que lo que hace el bootkit es cargarse en el inicio, pero después de que se haya descifrado el disco, por lo que no le afecta para nada si el terminal está cifrado o no.

Figura 3: El SecureBoot Activado en un firmware de dispositivo

Controlar el proceso de arranque en terminales Android es algo que se persigue desde hace tiempo, pero muchos terminales vienen con el Secure Boot deshabilitado y otros muchos usuarios lo deshabilitan de forma manual para instalar determinados mods de firmware en sus dispositivos.

Una fiesta para controlar todos que puede dar mucho juego al mundo del e-crime, que podría portar sus famosos ransonwares a un secuestro total del terminal, obligando a pagar a la gente si quiere volver a recuperar el control de su dispositivo, o podría también crear troyanos para espiar Android que sean más difíciles de detectar y tengan más poder dentro de todo el terminal o evolucionar los Rogue AV de Android a sistemas mucho más peligrosos.

Saludos Malignos!

Secure Boot y Linux en máquinas con Windows 8

Para evitar el impacto de los bootkits, Microsoft está exigiendo que todos los portátiles que salen a la venta en OEM con Windows 8, esté activado Secure Boot en la UEFI. Esto hace que sistemas operativos como Linux no puedan instalarse en aquellos equipos en los que no hay un switch para deshabilitar esta protección de arranque.

Figura 1: SecureBoot y Windows 8

Pero como el objetivo de esta tecnología es acabar con los bootkits y no evitar que un usuario se pueda instalar Linux, ahora se ha hecho público desde la Linux Foundation un pre-loader firmado por Microsoft que permite arrancar un cargador de sistemas operativos Linux en sistemas con Secure Boot activado. Los ficheros se pueden descargar desde el blog de James Bottomley junto con una imagen miniusb preparada para su arranque y permiten usarlo en equipos donde no sea posible tocar Secure Boot.

Figura 2: UEFI de Intel con Secure Boot configurablele

Esta no es la primera solución para instalar Linux en equipos con Secure Boot, y ya hace unos meses se publicó un sistema para utilizar un cargador Grub firmado que permitiera arrancar luego cualquier sistema operativo Linux aunque en este caso es necesario cargar las firmas en el firmware UEFI. 

Saludos Malignos!

No Lusers 150 - Eliminar el Virus de la Policía

El Virus de la Polícia entró en mi vida por un familiar que me llamó para decirme que la computadora de sus padres estaba infectada por un malware que decía que era de La Policía. Después de ese momento he recibido decenas de correos electrónicos y llamadas de familiares y amigos que me preguntan cómo quitar ese virus. A todos ellos les digo - además de que pueden usar el truco de las sticky keys y eliminarlo tocando el piano - que vayan a las entradas de Una al día sobre este tema.

Sirva este post para que podáis aprender en detalle cómo funciona el Virus de la Policía, por si alguno de vuestros familiares resulta  infectado. Así podrás solucionarle el problema y evitar que si tu familia me conoce acabe enviándome un correo electrónico a mí contándome su drama... }:S

Saludos Malignos!

BootKits: Windows 8, UEFI Secure Boot y Stoned Bootkit

Mucho se ha hablado ya sobre UEFI y Secure Boot, pero sigue siendo una de las cosas que más llama la atención cuando se habla de las novedades de Windows 8, como ya sucediera en el pasado con la necesidad de contar con un certificado digital especial para poder meter un driver en Windows Vista. Todas ellas son tecnologías pensadas para luchar contra el malware, pero que evidentemente tienen sus efectos colaterales.

Firmado de drivers a partir de Windows Vista

En el caso de Windows Vista y el firmado de drivers con un certificado emitido por Microsoft el objetivo era acabar con todo el malware que se paseaba por ring0 en Windows XP. Rootkits y botnets hacían del modo kernel su particular palacete de verano para hacer la vida un poco más incómoda a los usuarios que los sufrían.

A partir de Windows Vista, cada driver que se va a meter en modo kernel necesita venir firmado por una entidad con un certificado especial emitido por Microsoft, lo que hizo que muchas universidades y/o investigadores particulares vieran como tenían que cambiar sus procesos para poder seguir haciendo drivers para Windows Vista.

Figura 1: Driver no firmado bloqueado en Windows

Esta medida, aunque sí dificultó y acabó con muchos de los canales de explotación tradicionales siendo una buena medida de fortificación, no fue una medida definitiva para siempre, ya aparecieron formas de saltarse esas protecciones. 

Entre las técnicas para saltarse la protección del kernel para meter drivers firmados, una primera aproximación evidente eviente fue hacerse con certificados de fabricantes de drivers autorizados y utilizarlos para firmar malware, algo que pasó y que llegó hasta el propio servicio de Windows Update, con lo que la propia Microsoft distribuyó malware.

Bootkits

La segunda aproximación, mucho más efectiva, es similar a la que se hace en el mundo del jailbreak de dispositivos iPhone, iPod o iPad de Apple, es decir, parchear el propio kernel para quitar esa comprobación. Por supuesto, para conseguir quitar esa comprobación con el sistema arrancado hace falta encontrar un fallo en el kernel que permita parchearlo - algo bastante complejo, pero que puede llegar a pasar aprovechando una ventana de tiempo -. La otra opción es quitarla antes de que el sistema arranque.

Para quitar la protección contra la inclusión de drivers no firmados en modo kernel, se utiliza un tipo de malware especial que infecta el sector de arranque para, en el siguiente reinicio del equipo arrancar con un programa que parchee el kernel antes de arrancarlo, y ya poder meter cualquier driver en modo kernel. Este  tipo de malware se llama Bootkit.

Así, con un bootkit y un poco de ingenio se atacan también los sistemas protegidos con TrueCrypt o BitLocker, detectando si el disco está cifrado en arranque, e infectando el proceso de solicitud de contraseña, para robarla de manera definitiva, y que solo podría ser protegido en aquellos equipos en los que el disco cifrado tuviera protegidas las claves por el chip TPM [Trusted Platform Module].

Uno de este tipo de malware que más famoso se hizo fue Stoned Bootkit, una solución presentada en un paper de 46 páginas de Peter Kleissner,  más que interesante de leer, y en que no sólo explica cómo está desarrollado, sino sus usos:

It [Stoned Bootkit] can also be used for malware developers to get full access to the system. It should be the most used bootkit in the wild for 2010.

Stoned Bootkit es una solución completa, que viene con un API y una completa guía de cómo adaptar el sistema para las necesidades de cualquiera que lo quiera implementar, enseñando desde cómo se ha hecho el debugging a cómo crear los ficheros para que arranque cualquier bootkit creado con él.

Figura 2: Debugging de Stoned Bootkit

UEFI y Secure Boot

Debido a esto, la industria trabajó en un sistema de protección contra este tipo de actividades maliciosas, y generó lo que hoy en día se conoce como Secure Boot, una protección que viene implementada y basada en el propio firmware del equipo, que vendrá de serie en todos los que vengan con UEFI, la evolución de las antiguas BIOS.

Esta protección que viene de serie en la UEFI del equipo, lo que hace es evitar que se cargue un MBR de un sistema no conocido, por lo que el arranque de los sistemas operativos vendrán firmados digitalmente, y el equipo comprobará la firma del MBR antes de lanzar el arranque del sistema o liberar las claves de cifrado desde el chip TPM para que se descifren los discos con Bitlocker.

Figura 3: Integridad de plataforma en Windows 8 con Secure Boot y TPM

Lo que generó alarma de esta tecnología, y de lo que se quejaron algunas organizaciones tras conocer que Windows 8 soportará Secure Boot, es de que los fabricantes de software como Microsoft podrían llegar a acuerdos con integradores de hardware para que no permitan arrancar sistemas que no sean Windows - o que los equipos con Apple solo puedan ejecutar Mac OS X -.

Secure Boot como Opt-in u Opt-out

Aunque esto podría llegar a suceder, y los que quieran instalar otro sistema en el equipo puedan verse incapacitados, parece que muchos fabricantes están dispuesto a dejar Secure Boot como una opción activable desde la UEFI o que venga con un selector, para que sea el propio usuario el que decida si lo quiere utilizar o no, pero que por defecto lo pondrán activo.

En mi opinión, tras haber visto como funciona el mundo del fraude online en el libro de Mikel Gastesi y Dani Creus, si el usuario tiene la posibilidad de desactivarlo fácilmente, ya se encargará la industria del malware convencer al usuario para que lo deshabilite.

Donde no hay que apostar mucho en contra, porque sí que parece que vendrán estas protecciones puestas de serie, será en consolas de vídeo juegos o plataformas empotradas, y algunos equipos puede que la traigan también cerrada, incluso con Windows - yo así, sin conocimiento de causa y haciendo mera especulación apuesto una cerveza a que en Apple la tendrá en sus equipos portátiles sin poder deshabilitarla -. Por otro lado, hay que decir, que muchos equipos portátiles, especialmente los ultraligeros, no cuentan con chip TPM, por lo que se debilita un poco toda esta arquitectura.

Veremos qué pasa en el futuro, pero i quieres aprender de todo esto, te recomiendo el libro de Sergio de los Santos "Máxima Seguridad en Windows" que habla de temas que tienen que ver con todo esto y de mucho más en la plataforma Windows.