lima, 18 de octubre de 2020 - cdn
Post on 27-Jun-2022
1 Views
Preview:
TRANSCRIPT
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
pecert@pcm.gob.pe
La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el
Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea
del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y
la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de
Seguridad Digital.
El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades
públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que
pudieran afectar la continuidad de sus servicios en favor de la población.
Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que
los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las
personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.
La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las
áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.
Lima, 18 de octubre de 2020
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
pecert@pcm.gob.pe
Contenido Vulnerabilidad crítica en Sistemas Windows ................................................................................................ 3
Detección del malware Orcus RAT ................................................................................................................ 4
Índice alfabético ............................................................................................................................................ 6
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
pecert@pcm.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 197
Fecha: 18-10-2020
Página: 3 de 6
Componente que reporta PECERT│EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL
Nombre de la alerta Vulnerabilidad crítica en Sistemas Windows
Tipo de ataque Explotación de vulnerabilidades Conocidas Abreviatura EVC
Medios de propagación Red e internet
Código de familia H Código de subfamilia H01
Clasificación temática familia Intento de intrusión
Descripción
1. Resumen:
El Equipo de Respuesta ante Incidentes de Seguridad Digital Nacional, advierte que especialista en ciberseguridad, han detectado una vulnerabilidad critica que afecta a los sistemas Windows. Concretamente se trata de un error que afecta a la implementación del protocolo ICMPv6 en los equipos con el sistema de microsoft.
2. Detalles de la alerta:
A continuación, se presenta breve reporte de la vulnerabilidad encontrada, además de su respectiva clave de identificación y puntaje según el Common Vulnerability Scoring System (CVSS).
CVE-2020-16898: Está provocada por un error de lógica en el controlador de pila TCP/IP del sistema Windows. A la hora de analizar paquetes Router Advertisement ICMPv6, el cual utilizan la opción del servidor DNS recursivo, provocaría un desbordamiento de buffer y la ejecución de código remota a través de los paquetes ICMPv6.
Desde microsoft han calificado esta vulnerabilidad como crítica y le han otorgado una puntuación de 9,8 según CVSS. Esta alta puntuación se debe a que es explotable de forma remota sin tener una gran complejidad. No requiere privilegios elevados ni la interacción del usuario.
Asimismo, la vulnerabilidad afecta a las siguientes versiones:
Windows 10 1709
Windows 10 1803
Windows 10 1809
Windows 10 1903
Windows 10 1909
Windows 10 2004
Windows Server 2019
Windows Server 1903
Windows Server 1909
Windows Server 2004
Cabe precisar, esta vulnerabilidad ya ha sido corregido por Microsoft y es encuentra disponible en su sitio web oficial.
3. Recomendaciones:
Actualizar los parches de seguridad en el sitio web oficial del fabricante.
Establecer procedimientos de registro de incidentes.
Preparar un plan de recuperación operacional.
Realizar concientización constante a los usuarios sobre este tipo de ciberamenaza.
Fuentes de información Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
pecert@pcm.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 197
Fecha: 18-10-2020
Página: 4 de 6
Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ
Nombre de la alerta Detección del malware Orcus RAT
Tipo de ataque Malware Abreviatura Malware
Medios de propagación USB, disco, red, correo, navegación de internet
Código de familia C Código de subfamilia C03
Clasificación temática familia Código malicioso
Descripción
1. El 18 de octubre de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, en el sitio web “ANY RUN”, se informa sobre la detección del malware Orcus RAT, tambien conocido como Schnorchel, escrito en varios idiomas, como C #, C ++ y VB.Net, que al ser ejecutado infecta el sistema de la víctima, con la finalidad de tomar el control remoto de dicho sistema y robar información confidencial.
2. Detalles:
Orcus RAT tiene una estructura modular y brinda a los actores de la amenaza la capacidad de crear complementos personalizados, lo que permite adaptar el malware a las necesidades de varias campañas.
Orcus RAT, al ejecutarse con éxito realiza las siguientes acciones, como tomar capturas de pantalla, grabar la entrada del usuario, activar la cámara web, robar contraseñas, grabar audio y robar información confidencial de la víctima. Además, puede detectar si se está lanzando en una máquina virtual para complicar el análisis de los investigadores de seguridad.
Orcus RAT, tambien puede ejecutar secuencias de comandos en tiempo real, lo que permite a los actores de la amenaza escribir y ejecutar código en las máquinas infectadas.
El malware Orcus RAT se distribuye a través de campañas de correos electrónicos no deseados, con archivos adjuntos descargables.
Dominios utilizados para la campaña del malware Orcus RAT. 2[.]tcp.ngrok[.]io gabg893-50853[.]portmap[.]host
a234b459b6e0[.]ngrok[.]io Mars12-42475[.]portmap[.]host
28e8ad52aeaf[.]ngrok[.]io xxxzxxx[.]ddns[.]net
d6e52dc32552[.]ngrok[.]io lmfaoguru-26155[.]portmap[.]io
03d55d10e424[.]ngrok[.]io luciferangel-33478[.]portmap[.]host
Itsrealhost-61694.portmap[.]host bigiboom-53764[.]portmap[.]io
APEXI-20862[.]portmap.io minibasher-40388[.]portmap[.]io
Amazonsupport789-31392[.]portmap[.]host PartyBit-21518[.]portmap.host
hack567832-53485[.]portmap[.]io vilvaraj-32652[.]portmap[.]io
Krypzo-41088[.]portmap[.]io PartyBit-49075[.]portmap[.]host
Imagen: Muestra del proceso de ejecución de Orcus RAT:
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
pecert@pcm.gob.pe
Indicadores de compromiso.
o Archivos analizados: Nombre: Orcus.exe
Tipo: Win32 EXE Tamaño: 903.50 KB (925184 bytes)
MD5: 6759b0e5f932deea0c94c208b8e7caa9
SHA-1: 8bf145c815aec6c8ccafc20e0430b6eb0130ba0c
SHA-256: 9efca9fb9aadcdec3f3e23fda67899c67dda0d7178636a5691e15d6b62e01649
Nombre: Aimware Cracked Loader.exe
Tipo: Win32 EXE
Tamaño: 1.51 MB (1584128 bytes)
MD5: f95c843da171bb9c2fcdfe5ad45dbac0
SHA-1: caa797e000bf5ded2deefe53ed543afd5f044d3e
SHA-256: 0d3f0a4dd05a4fff40a2b52c35a485ffb024f07c4cc7f9ad88df8bd300b7aca5
3. Recomendaciones:
No abra archivos sospechosos.
No siga instrucciones de desconocidos.
Mantenga su antivirus actualizado.
Descargar aplicaciones de fuentes confiables.
Tenga presente que los ciberdelincuentes siempre están buscando estafar a los usuarios.
Fuentes de información https[:]//any.run/malware-trends/orcus
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
pecert@pcm.gob.pe
Página: 6 de 6
Índice alfabético
Código malicioso ................................................................................................................................................................ 4 Intento de intrusión ........................................................................................................................................................... 3 internet .............................................................................................................................................................................. 3 malware ..................................................................................................................................................................... 2, 4, 5 Malware ............................................................................................................................................................................. 4 redes sociales ..................................................................................................................................................................... 1 servidor .............................................................................................................................................................................. 3 USB, disco, red, correo, navegación de internet ............................................................................................................... 4 Vulnerabilidad................................................................................................................................................................ 2, 3
top related