lima, 28 de noviembre de 2020 - cdn
TRANSCRIPT
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el
Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea
del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y
la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de
Seguridad Digital.
El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades
públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que
pudieran afectar la continuidad de sus servicios en favor de la población.
Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que
los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las
personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.
La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las
áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.
Lima, 28 de noviembre de 2020
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
Contenido Capacidades asociadas a backdoors en servidores es usado para espionaje ............................................... 3
Exposición de datos en dispositivos de seguridad Fortinet .......................................................................... 5
Detección de una nueva variante del Troyano denominado Bandook RAT .................................................. 7
Índice alfabético ............................................................................................................................................ 9
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 238
Fecha: 28-11-2020
Página: 3 de 9
Componente que reporta PECERT│EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL
Nombre de la alerta Capacidades asociadas a backdoors en servidores es usado para espionaje
Tipo de ataque Troyano Abreviatura Troyano
Medios de propagación Correo electrónico, red e internet
Código de familia C Código de subfamilia C01
Clasificación temática familia Código malicioso
Descripción
1. Resumen:
El Equipo de Respuesta ante Incidentes de Seguridad Digital Nacional, advierte sobre nueva campaña ataques de los ciberdelincuentes a través de troyano de puerta trasera, cuyo objetivo principal es recopilar información de sus víctimas.
2. Detalles de la alerta:
El troyano descubierto por Electronic Frontier Foundation (EFF) y Lookout es de acceso remoto de alto riesgo (RAT). Este malware es capaz de realizar tareas que permiten a los ciberdelincuentes recopilar información personal diversa como el registro de teclas, la captura de audio (micrófono) y video (cámara web), tomar capturas de pantalla y subirlas a un servidor remoto, y ejecutar varios programas de shell de comandos. Por lo tanto, este troyano representa una amenaza importante para su privacidad y su presencia puede generar una serie de problemas.
Este troyano generalmente prolifera utilizando las siguientes campañas de correo electrónico no deseado, fuentes de descarga de terceros, otros troyanos y actualizaciones de software falsas y grietas.
La cadena de infección completa del ataque se puede dividir en tres etapas principales. La primera etapa comienza, como en muchas otras cadenas de infección, con un documento malicioso de Microsoft Word entregado dentro de un archivo ZIP. Una vez que se abre el documento, las macros maliciosas se descargan mediante la función de plantilla externa. El código de las macros a su vez suelta y ejecuta la segunda etapa del ataque, un script de PowerShell encriptado dentro del documento original de Word. Finalmente, el script de PowerShell descarga y ejecuta la última etapa de la infección a través de puerta trasera de Bandook.
3. Indicadores de Compromiso:
Hashes:
o 766917fe9b543bf218bd824d55967d63f94b28456f1d4919bc990d8262dc608d
o d4cf5c5c60e972cc19782d1f37ec9d47dd1e81cdf481b64dab62f96bac846bb4
o 6af6fe3eafd4cf2c82738d45a6a95577d970f3fbbe094afd24d1d4a0bb5ad1b4
o 9a19522b23acfc6705e4fac65640527a8adbbc9719dab436f28101b6cbc140c6
o 97ea91fb673f4994da491433751c4fca011993ba10191f09c70ca6c8d2b4f944
o 06ed3daccfbb30c68a33583a761fc20cc3e21adb8dd64a42d922e6da2a01c0dd
o 27c6341554a04bdc792ffbc5cda26511cbcfcc66334fb6ebbc24a14969b4e498
o 3fda0a5da313886b0339eee65c69c779ed620b303ba079ee0864ca4a1496b0b4
o 408c11caf548048732ac21e88a54e80d47a05b9619c1c16b65fa850e0172f428
o 41ccf6de0d51bd29d35be12ae24f04b2f88ec2b202b239424f90c666d25473e8
o 66c86f29afb1152aad8e426ebb6569ad03ce7b69ea3c8a5cc40011c2a3ab973b
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
o aa868d007c4dfd825104faafb3798b9ab745b29794a57365bef41ec3f6019eea
o add9f9dca97c3b6d52efe7d48ecd3d349a70411eaa3d4aeff6e6215b77f42b90
o aed7ab5d0de01c3724c917c034e26a5e9eed3f7fbf4082b024576a41725d66cf
o ba153e449ee926c019b548997c32d0579b9c6f350b1590a025d5d9a216ddbffd
o ce8ad96819c814dd1735e621639a8845ae7132375879cc5b5d5f6877cb909a68
o ea4792353e0f97968e7c69ffba81c144f22f54382af4e61a1347edd0ae15830f
Dominios:
o ntsclouds [.] com
o jtoolbox [.] org
o idcmht [.] com
o htname [.] info
o vdscloud [.] net
o mainsrv[.]top
o olex[.]live
o branchesv[.]com
o pronews[.]icu
o p2020[.]xyz
o 2ndprog[.]Monster
o ercuc[.]com
o tancredis[.]com
o ec2[.]mbcde[.]net
3. Recomendaciones:
Evaluar bloqueo preventivo de los indicadores de compromiso.
Mantener un protocolo de actualizaciones de sistemas operativos, aplicaciones, antivirus y todos los dispositivos de TI.
Considerar deshabilitar PowerShell, evitando que pueda ser aprovechado por software maliciosos.
No abrir archivos adjuntos de correos electrónicos que no sean de confianza.
De detectar cualquier actividad anómala en su ordenador reportarlo inmediatamente a los encargados de seguridad de la información de su institución.
Realizar concientización constante a los usuarios sobre este tipo de ciberamenaza.
Fuentes de información Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 238
Fecha: 28-11-2020
Página: 5 de 9
Componente que reporta PECERT│EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL
Nombre de la alerta Exposición de datos en dispositivos de seguridad Fortinet
Tipo de ataque Exposición de datos sensibles Abreviatura Exposición
Medios de propagación Red, internet
Código de familia G Código de subfamilia G02
Clasificación temática familia fraude
Descripción
1. Resumen:
El Equipo de Respuesta ante Incidentes de Seguridad Digital Nacional, informa una posible exposición de contraseñas en dispositivos Fortinet.
2. Detalle de la alerta
A través del monitoreo y búsqueda de amenazas en el ciberespacio, se ha podido evidenciar la posible exposición de contraseñas en dispositivos Fortinet.
La eventual exposición de contraseñas en dispositivos Fortinet, son vulnerables a CVE 2018-13379, una vulnerabilidad antigua pero explotable en dispositivos no actualizados.
La explotación de esta vulnerabilidad permitiría que un atacante no autenticado acceda a los archivos del sistema FortiOS. Los dispositivos potencialmente afectados podrían estar ubicados en territorio peruano.
Fortinet ha publicado un aviso de seguridad para resaltar la mitigación de esta vulnerabilidad.
Esta es una vulnerabilidad antigua, bien conocida y fácilmente explotada. Los atacantes ya la usan desde hace mucho tiempo. Desafortunadamente, las entidades del sector público y privado tienen un proceso de parcheo muy lento o un perímetro de exposición incontrolado en internet, y por esta razón, los atacantes pueden explotar estos defectos para comprometer con relativa sencillez
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
3. Recomendaciones.
A los usuarios y administradores a revisar el estado y aplicar las actualizaciones necesarias de inmediato.
A los usuarios de Fortinet que realicen una revisión exhaustiva de los registros en cualquier red conectada para detectar cualquier actividad adicional de los actores de amenazas.
Actualizar a FortiOS 5.4.13, 5.6.8, 6.0.5 o 6.2.0 y superior.
Como solución temporal, deshabilitar totalmente el servicio SSL-VPN (tanto en modo web como en modo túnel) aplicando los siguientes comandos de la CLI:
o config vpn ssl settings
o unset source-interface
o end
Fuentes de información Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 238
Fecha: 28-11-2020
Página: 7 de 9
Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ
Nombre de la alerta Detección de una nueva variante del Troyano denominado Bandook RAT
Tipo de ataque Troyanos Abreviatura Troyanos
Medios de propagación USB, disco, red, correo, navegación de internet
Código de familia C Código de subfamilia C01
Clasificación temática familia Código malicioso
Descripción
1. Resumen:
A través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, en el sitio web “The Hacker News”, se informa sobre la detección de una nueva variante del Troyano denominado Bandook RAT, dirigido a múltiples sectores como instituciones gubernamentales, financieras, energéticas, alimentarias, educativas, informáticas y legales de diferentes países del mundo. Bandook, tiene como finalidad robar información confidencial de las víctimas como el registro de teclas, la captura de audio (micrófono) y video (cámara web), tomar capturas de pantalla y subirlas a un servidor remoto, y ejecutar varios programas de shell de comandos, entre otros.
2. Detalles del Troyano Bandook:
Se distribuye a través de archivos adjuntos de correos electrónicos infectados, anuncios maliciosos en línea, utilizando la ingeniería social, cracks de software, etc.
La cadena de infección se da en tres etapas:
o Comienza con un documento de Microsoft Word como documentos certificados.docx, entregado dentro de un archivo ZIP que, al ser ejecutado descarga macros maliciosas.
o Luego, procede a soltar y ejecutar un script de PowerShell de segunda etapa cifrado dentro del documento original de Word.
o Finalmente, el script de PowerShell es utilizado por los actores de la amenaza para descargar partes ejecutables codificadas de servicios de almacenamiento en la nube como Dropbox o Bitbucket para ensamblar el cargador, después asume la responsabilidad de inyectar el RAT en un nuevo proceso de Internet Explorer.
Bandook RAT, también tiene todas las capacidades asociadas con las puertas traseras, que establece contacto con un servidor controlado de forma remota para recibir comandos adicionales que van desde las capturas de pantalla hasta la realización de diversas operaciones relacionadas con archivos.
Imagen. Proceso de infección del Troyano Bandook.
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
3. Indicadores de compromiso (IoC).
Archivos analizados:
o Nombre: direct-cpu-clock-access o Tipo: Win32 EXE o Tamaño: 788.50 KB (807424 bytes) o MD5: e2bcd26465f9715da2789febce3bedf7 o SHA-1: b3bd4d0c84d0751d88eb0343b8e194e499894a98 o SHA-256: fabce973a9edff2c62ccb6fdd5b14c422bc215284f952f6b31cc2c7d98856d57
o Nombre: Duo language o Tipo: Win32 EXE o Tamaño: 2.09 MB (2194496 bytes) o MD5: 15646c5ee0e2d2a036e89b7a65c9ce70 o SHA-1: 35db0c5ab50717e4fba352e7fb43474bc5130ae1 o SHA-256: fb003223833b4bded0ebdb02cf35a39fb293934144f07edc8319f16bf2511410
4. Recomendaciones
Crear conexiones seguras hacia la oficina.
Establezca contacto directo con la oficina de tecnología de la información (TI).
Mantener los programas y el sistema operativo actualizados.
Al recibir archivos adjuntos, presta especial atención a su extensión.
No descargar archivos de sitios de dudosa reputación.
Fuentes de información hxxps://thehackernews.com/2020/11/digitally-signed-bandook-malware-once.html
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
Página: 9 de 9
Índice alfabético
Código malicioso ............................................................................................................................................................ 3, 7 Correo electrónico ............................................................................................................................................................. 3 internet .......................................................................................................................................................................... 3, 5 malware ......................................................................................................................................................................... 3, 8 Red, internet ...................................................................................................................................................................... 5 redes sociales ..................................................................................................................................................................... 1 servidor .......................................................................................................................................................................... 3, 7 software ..................................................................................................................................................................... 3, 4, 7 troyanos ............................................................................................................................................................................. 3 Troyanos ............................................................................................................................................................................ 7 USB, disco, red, correo, navegación de internet ............................................................................................................... 7