Webcast: Análisis de Malware con Sysinternals

Estándar

Hola a tod@s!

La semana que viene, más concretamente el martes 24 de Julio a las 16:00, tendré el gusto de dar otro Webcast sobre análisis de Malware orientado principalmente a Administradores de Sistemas.

Como en el otro Webcast, se verán las capacidades de las herramientas de SysInternals así como sus novedades añadidas y funcionalidades que ayudarán a un administrador TI en la búsqueda y análisis de Malware. El guión completo más la URL de conexión lo tenéis en el siguiente párrafo.

En este Webcast se mostrará una primera aproximación sobre cómo los administradores de sistemas e investigadores de seguridad se pueden enfrentar a amenazas de tipo APT utilizando para ello las herramientas de Microsoft SysInternals.
Para esta sesión, se utilizará como demostración la reciente aparición de un Malware que ha dado mucho que hablar dentro de la comunidad de seguridad, así como en equipos de gobierno y fuerzas de seguridad del Estado: el Malware FLAME.
Con la información obtenida en esta sesión se podrá comprobar cómo los analistas de sistemas, así como administradores de seguridad, pueden utilizar estos datos para mitigar la amenaza utilizando para ello una arquitectura basada en Microsoft.

URL de conexión: https://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032521432&Culture=es-ES&community=0 

Os espero por allí!

Salu2 a tod@s!!

 

Webcast sobre Flame o {ponga-amenaza-aquí} para administradores IT

Estándar

Hola a tod@s!

Después de todo lo que se ha hablado del infame FLAME, poco de momento se puede hablar más, hasta que no salgan nuevos hallazgos sobre el tema. Lo que si es un hecho es que parece que este Malware ha sido el nexo de unión entre piques de soluciones Antimalware. Por un lado tenemos el post que publicó Mikko de F-Secure, en el que explícitamente nombra la amenaza de FLAME como una especie de LAMERADA con la originalidad de un “matón de colegio”.

Kaspersky, por su parte, no ha entrado en la pelea, y sigue deleitándonos con muy buenos artículos centrados en sus investigaciones sobre la supuesta amenaza (Que es lo importante), la cual, poco a poco, se nos va desvelando.

Por la parte de Bit9, han decidido realizar un Webcast (Ya terminado), en el que hacen conciencia sobre lo vulnerables que podemos ser ante este tipo de amenazas.  Son ellos también, los que han realizado un reporte “light” sobre FLAME, explicando en líneas generales (y comerciales) en qué consiste esta amenaza de tipo APT.

Yo por mi parte no voy a entrar a valorar si la metodología de ataque es buena o mala, si el código utilizado incorpora librerías no nativas del sistema, lo que convierte al Malware en un “gordito”, o si se basa en código de “otros”. Eso se lo dejo a los verdaderos profesionales del tema. Por otro lado, y puestos a ser un poco mamoncete podríamos decir que…

Mucho lamer, malware gordito y lento, pero nadie ha sido capaz de detectarlo en 4 años jaja

Desde Microsoft han reservado dos Webcast para hablar sobre amenazas de tipo persistentes (APT) que se puedan presentar y coexistir en una arquitectura Microsoft. Y me han pedido que si podía dar estas dos sesiones y aportar mi humilde opinión.

Como no quería entrar en debates sobre este tipo de amenazas, si son peligrosas o no, me he decantado por intentar aportar una visión más “administrativa” e intentar dar respuesta a ese colectivo tan olvidado de la mano de Dios… Los sufridos Administradores de Sistemas.

Así que estos dos Webcast , vayan dedicados a estos profesionales como la copa de un pino, que en multitud de ocasiones tienen que aguantar a todo un colectivo de personas con multitud de problemas…. Aclamando que el suyo es “el más importante”…

El primer Webcast irá dirigido al análisis de un Malware a través de las herramientas de SysInternals, así como otras herramientas menos conocidas, pero igual de interesantes y útiles. Todo el desarrollo de este Webcast, se complementará con demostraciones prácticas con este Malware, así que podréis ver, cómodamente desde vuestro curro, casa, bar, playa, etc..,  cómo utilizar herramientas nativas de Spectra para realizar esta primera valoración en un análisis dinámico de Malware.

El segundo Webcast va dirigido a descubrir, haciendo uso de la arquitectura existente, y con la información anterior, si la amenaza se ha extendido a otros equipos de la organización. Para ello hablaremos de Active Directory, PowerShell y por qué no…. De BATCH!! (Lorenzo no te lo pierdas!! :P)

Tanto en el primer Webcast como en el segundo, comentaré y referenciaré la ingente cantidad de buenos post redactados por compañeros de profesión como son Sergio de los Santos, Yago, Luis Delgado, Marc Rivero (Seifreed), el Maligno, etc…

Así que aprovecho también desde aquí para felicitarlos a todos ellos por tan buena información, así como el trabajo de redactarlo y publicarlo para todos. Sin estos artículos y sin la ayuda de alguno (Gracias Seifreed!) el trabajo de comprensión y adaptación me hubiese tomado el doble o triple de tiempo.

Webcast. Análisis de Flame con SysInternals (04 de Julio 16:00 horas)

En este Webcast daremos una primera visión de cómo administradores de sistemas e investigadores de seguridad, se pueden enfrentar a amenazas de tipo persistente (Advanced Persistent Threat), utilizando para ello las herramientas de Microsoft SysInternals.

Para la primera sesión, se utilizará como demostración la reciente aparición de un Malware que ha dado mucho que hablar dentro de la comunidad de seguridad, así como en equipos de gobierno y fuerzas de seguridad: el Malware FLAME.

Con la información obtenida en esta primera sesión, se podrá comprobar como los analistas de sistemas, así como administradores de seguridad, pueden utilizar estos datos para mitigar la amenaza utilizando para ello una arquitectura basada en Microsoft.

https://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032518505&Culture=es-ES&community=0

Webcast. ¿Amenazas a mí? Sácale partido a tu arquitectura (05 de Julio 16:00 horas)

A través de la información recogida y analizada en el Webcast anterior (Análisis de Flame con Sysinternals), se procederá a mitigar una posible amenaza, utilizando para ello la propia infraestructura Microsoft que posea un cliente específico. A lo largo de la sesión, se dará una visión global y ejemplos específicos como por ejemplo Active Directory o PowerShell.

https://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032518510&Culture=es-ES&community=0

Para teminar este post, y haciendo alusión a la palabra LAMER, utilizada para referenciar una amenaza, termino con unas palabras que me dijo un Administrador de Sistemas: “Una amenaza, por pobre que sea, es dañina por la propia definición de la palabra amenaza. No hay que olvidar que nosotros nos debemos a nuestros usuarios”.

Os espero la semana que viene!

Salu2 a tod@s!!

Blogs.update(“Unlearning Security”)

Estándar

Hola a tod@s!

Llevaba este post (y unos cuantos más) medio escrito en los borradores que tengo. Y hoy he dicho… Cojones! De hoy no pasa!

Comenzar algo casi siempre es bonito. Muchas veces lo hacemos con miedo, otras con ilusión, otras porque no quedan más cojones, y otras… Pues porque sí.

A todo el que me conoce un poco, y me pregunta por el blog, siempre le comento lo mismo. Que utilicé el blog para no tener que acordarme de ciertas cosas que me parecían y parecen interesantes. La cosa llegó a más y hoy, años después, todavía estamos aquí. Me gusta almacenar cosas! Soy muy 1.0!!

Hoy día lanzo la vista atrás, y la de gente que he tenido el honor de conocer gracias a este blog ha sido inmensa. Si no hubiese tenido ese pensamiento 1.0, donde andaría!

Es por ello, que cuando alguien “se atreve” a exponer al mundo sus ideas y conocimientos, hay que aplaudirlo. Y más aún cuando lo que publicas es bueno. Y ese es el caso de mi compañero y amigo Daniel Romero.

Lo conocí en la guarida de I64, y desde aquel día, no he parado de aprender de él. Un tío que se atreve con todo en materia de seguridad, pero en especial por las auditorías Web. Gracias a él, he llevado con éxito alguna auditoría que otra, y siempre que le he pedido ayuda, tanto en lo profesional como en lo personal, ha estado ahí para echarme un cable.

Aunque a simple vista no os suene de mucho, él fue el desarrollador de la primera versión de Marmita, por ejemplo. Testigo que han cogido los Monstruos (y no de feos) Francisco Oca y Manu Fernández, creadores de la FOCA, entre otras herramientas públicas y privadas.

Pues bien, Dani abrió un blog no hace mucho, y como no podía ser de otra forma, no ha parado de crecer, gracias a su contenido, y su continente. Artículos perfectamente redactados (no como los míos jaja) y bajo un contexto de formación, dan salida a verdaderas “joyas en materia de seguridad”, como los artículos dedicados a la explotación de vulnerabilidades, o los artículos dedicados a la ingeniería inversa en arquitecturas basadas en X86. Estos artículos, han dado pie a que se publiquen en packetstormsecurity. Como diríamos en mi tierra…. FITE!!!

Así que nada, actualizar los RSS, y aplaudamos a otro “grande”.

Gracias por compartir tus conocimientos Dani!

Saludos a tod@s!!

Defconjonado

Estándar

Hola a tod@s!

El viernes sobre las 8 de la mañana, el Maligno me dio, si cabe, la noticia que más me ha acojonado a nivel laboral en mucho tiempo…. Voy de ponente a la Defcon en las Vegas!! Como diría Marty Mcfly… Esto es muy fuerte Doc!!

En cuanto pude me fui a casa, abrí el portátil, miré el correo…. Y allí estaba…..

Congratulations! DEF CON is pleased to accept you as a speaker at DEF CON 19. You are one of the first to be accepted, so your speaker page will not be up immediately, but we do intend on announcing your acceptance as soon as possible

La charla que vamos a impartir estará relacionada con Citrix y Terminal Server, y de cómo han ido evolucionando los ataques sobre este tipo de plataformas.

La entrada ya está publicada, así que… ya es oficial!

La verdad es que todavía estoy intentando asimilar todo esto, y empezando a preocuparme por elementos que el día de la conferencia serán indispensables, como el Inglés!!

La mamona del Maligno dice que está “deseosa ” de verme “cantar” en andalú, así que este fin de semana he recopilado toda la información sobre cursos de inglés, documentales en V.O., programas educativos para niños, etc… Así que ahora, a ponerse las pilas cohóne!

Por lo demás, un sueño que parece se está cumpliendo. Ahora a ver como se desarrolla toda la historia hasta el día del “concierto”….

Saludos a tod@s!!

 

 

 

Próximos laboratorios in the World

Estándar

Hola a tod@s!!

La semana que viene vamos a estar impartiendo unos Virtual HOls sobre seguridad y redes, los cuales os pongo por aquí!

Los hacemos bajo una plataforma Virtual, así que cada asistente, tendrá su propio laboratorio para “jugar”…. ;-)

VHOL-SEG35 Análisis Forense de Red (15/03/2011)

Este lab es muy parecido al que se dió en la Rooted, y se tratarán temas de diverso interés, como por ejemplo análisis de VOIP y VPN. El temario completo lo tenéis en la siguiente dirección:

http://www.informatica64.es/DetalleVHOl.aspx?id=090010619

VHOL-SEG36 Prepara tu empresa ante un forense (16/03/2011)

En este laboratorio se expondrán temas relacionados con LOPD, la problemática que puede existir en una empresa ante la recogida de cierta información, y cómo se puede solventar aprovechando la infraestructura existente. El guión completo lo tenéis en la siguiente dirección:

http://www.informatica64.com/detallevhol.aspx?id=090010620

VHOL-WIN73 MS WS SVR 2008 R2. IPV6 (16/03/2011) 2 Tardes

En este laboratorio, se podrán ver las soluciones que podemos disponer para implantar soluciones basadas en IPV6, o cómo podemos implantar escenarios en los que convivan varios tipos de pilas tcp/ip. Molto Interesante!!
El guión completo lo tenéis aquí:

http://www.informatica64.com/DetalleVHOl.aspx?id=160010622

VHOL-SEG37 Análisis de memoria RAM en entornos Windows (17/03/2011)

En este laboratorio, se expondrán las técnicas y metodologías a emplear en el caso de que se necesite recoger y analizar volcados de memoria en sistemas Microsoft Windows.

http://www.informatica64.com/DetalleVHOl.aspx?id=090010621

Y de momento eso es todo. Nos vemos la semana que viene!

Mis inicios en la seguridad informática II

Estándar

Disclaimer: Atención! Todo lo que leas a partir de ahora puede ser una paja mental mía, una mentira como un piano, o algo que a tí no te interese lo más mínimo. Si es así, deja de leer esto….

Corría el año 1992. A mis 16 años no tenía nada claro qué iba a hacer con mi vida (como todos a esa edad), y andaba yo por mi Triana estudiando una profesión que amigos de mi familia me habían recomendado. Era mi futuro y no podía desaprovecharlo. Estudiaba Formación profesional de nivel I (FPI) en la rama administrativo y comercial. Por aquellos tiempos trabajaba como “niño de los recados” en un polígono industrial de Sevilla, ya que tenía moto, la cual me había comprado con el sudor y esfuerzo de trabajos anteriores. Por aquel entonces, cobraba 70.000 pesetas de las antiguas, lo cual no estaba nada mal a mi edad.
Entre estudiar y trabajar, no me daba tiempo a mucho más. De lo que ganaba, me quedaba con unas 20.000 pesetas, las cuales 15.000 pesetas iban a pagar la letra mensual de la moto y la del seguro. Yo me quedaba con unas 5.000 pesetas para gastos varios (Cubatas…) ;-).
Un Abril de ese mismo año se inauguraba una exposición en Sevilla, la cual formaria parte de mi vida por siempre, debido a los grandes momentos que pasé en ella. La gran exposición del 92.
La plaza Sony, con su Jumbotrón, los conciertos nocturnos, El canguroPub de australia, el pabellón de Kuwait, el Omnimax… y su Palenque!
A los pocos días de inaugurarse la gran exposición, pudimos enterarnos de los precios de las entradas. Estas entradas, comprendían un pase diario, un pase de tres días, un pase nocturno y un pase de temporada. Debido a nuestra edad, los pases más interesantes costaban 30.000 pesetas el de temporada, y 15.000 pesetas el nocturno. Muchos de la pandilla quedamos automáticamente descartados de aquella exposición debido a esos precios. Una de las peores crisis se estaba gestando en España (Crisis del 93), y en mi familia y en la de muchos de mis amigos, no había manera posible de “financiar” ese gasto.
No obstante, en la pandilla sólo dos personas tenían pase. Mi amigo Roberto tenía un pase de noche y mi amigo Migue tenía un pase de temporada. Si contábamos con que en la pandilla éramos unos 25 chiquillos, la cosa se tornaba difícil para realizar “el pase”.
Realizar “El pase”, consistía en que si ibamos a entrar por el día, necesitábamos que nuestro amigo Migue entrase primero, y después, nos iba pasando su pase personal a cada uno por los barrotes blancos que rodeaban aquella exposición. Entrábamos, volvíamos a los barrotes, se lo pasábamos a otro compañero y así hasta que entrábamos todos. El principal problema que encontramos fue el tiempo. Cuando ibamos 2 estaba bien, pero cuando íbamos los 25, la cosa se complicaba. Eso unido a que siempre necesitábamos a nuestro amigo Migue para entrar, y a que sus padres guardaban celosamente aquel pase “especial”.
Al cabo de dos meses de exposición, y tras numerosos paseos por el exterior de la misma (Más de 200 hectáreas), me di cuenta de una “reacción” un tanto especial. En aquellos tiempos yo era extremadamente delgado, y como yo, casi todos mis amigos. Una cosa muy curiosa que tenían los barrotes blancos, era que, si lograbas subirte a ellos, se doblaban en lo más alto. Subirte a los barrotes era extremadamente fácil, ya que estaban muy juntos, y podías ayudarte de otro barrote para hacer fuerza y soporte. Teníamos entrada!

Imagen 1.- Barrotes de la Expo92

 Una vez enseñada la técnica, muchos de nosotros, los cuales no podíamos pagar esa entrada, pudimos recorrer al 100% aquella exposición, hasta tal punto de que, nuestros padres, todavía comentan que en aquellos tiempos “vivíamos allí”. Así que para los menos ágiles, teníamos la técnica de “el pase”, y para los más delgados, teníamos “la escalada”. La escalada, la hacíamos casi todos los días, y en lugares de la Expo en los que no había mucha vigilancia. Llegamos a un punto en el que ni nuestro amigo Migue utilizaba el pase. Poco a poco le perdimos el miedo a “la escalada”, hasta tal punto que una vez, y no se me olvidará jamás, hice “la escalada” en la misma Puerta Triana, una de las puertas centrales de la Expo 92, y justo en el cuartelillo de la policía. Ese cuartelillo, lo tenía la Policía para los ladrones y los altercados varios con que se encontraban en el recinto. “La escalada” la hicimos Migue y yo justo en la puerta del cuartelillo. Una vez realizada “la escalada”, Migue (Eres un mamón) se metió corriendo a “ayudar” a una anciana en el cuartillo de los objetos metálicos y consiguió pasar desapercibido. En cuanto a mí, no recuerdo otro día en el cual corrí más distancia y más tiempo. Yo no lo vi, pero Migue me cuenta todavía que aquel día más de 4 policías salieron corriendo detrás de mi. Sobra decir que no nos pillaron ni a Migue ni a mi. Pero del susto que me pegué, en cuanto despisté a la policía, salí por una de las últimas puertas de la exposición, y por la que menos vigilancia había.

Una vez superada esa prueba, nos encontramos con que ninguno de nosotros teníamos dinero para hacer frente a los “gastos varios” que conllevaba la entrada a aquel recinto. Pero esa es otra historia…..

Saludetes! ;-)