Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1024
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
▼
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
▼
junio
(Total:
73
)
- ¿Java dejará de funcionar en Google Chrome?
- La IEEE y la IET realizan con éxito Tests de Priva...
- El ministro de justicia japonés apaga su ordenador...
- Apple bloquea las versiones de Adobe Flash antigua...
- Microsoft añade silenciosamente 17 nuevos certific...
- El FBI advirtió a las compañías de USA para evitar...
- Secure Sockets Layer versión 3.0 (SSLv3) no es lo ...
- El proyecto de cifrado gratuito Let's Encrypt entr...
- Gmail ya permite deshacer el envío de un e-mail
- Java deja atrás la barra de Ask al ser considerada...
- Experimento Robin: Envía a 97.931 personas sus con...
- TrendMicro: un simple keylogger puede costar millo...
- La Europol detiene a una banda acusada de propagar...
- Disponible distribución PFSense 2.2.3 especializad...
- La NSA establece su presencia en GitHub para compa...
- La botnet Andromeda infecta con malware financiero...
- Msfvenom Payload Creator (MPC) para Metasploit
- HackerOne recibe una inversión de 25 millones de d...
- Facebook elimina el malware de 2 millones de orden...
- Investigador de Google encuentra una vulnerabilida...
- HardenFlash, Adobe Flash Player a prueba de exploi...
- Segunda actualización de seguridad en un mes para ...
- Las compañias de Antivirus también son objetivo de...
- Tutorial de CMake
- España, el segundo país Europeo con más infectados...
- DD4BC extorsiona pidiendo dinero en Bitcoins a cam...
- La Casa Blanca quiere que todos los organismos ofi...
- Bug en favicon.ico permite colgar Firefox, Chrome ...
- Múltiples vulnerabilidades incluyendo una crítica ...
- Tipos de Ataques DDoS con la botnet AthenaHTTP
- El buscador Shodan también disponible para Android
- Skype basado en Web (Beta) disponible en todo el m...
- Los creadores del malware Duqu 2.0 usaron certific...
- Lanzar un ataque DDoS sale barato: sólo 38 dólares...
- Google anuncia su programa de recompensas por enco...
- El ordenador de Angela Merkel infectado con un tro...
- La página web de peticiones de Uber atacada
- La noche temática de La 2 - Términos y condiciones...
- Canal + ha sido hackeado, y los datos comprometido...
- El ransomware Tox estaba dirigido a los pedófilos
- La Wikipedia usará HTTPS por defecto
- Un año de prisión por realizar ataques DDoS con la...
- Facebook Infer, herramienta de código libre para d...
- Un joven americano de 17 años se declara culpable ...
- Malware Poweliks se esconde en el registro de Wind...
- Detenidas 10 personas en España por fraude cibérne...
- Mozilla Firefox incrementa las recompensas por rep...
- Bélgica detiene a terroristas espiando sus mensaje...
- Duqu 2.0: la herramienta más sofisticada del ciber...
- Adobe Flash Player 18.x soluciona 13 vulnerabilida...
- Tesla Motors ofrece 1.000$ a quién sea capaz de ha...
- Medusa: herramienta para realizar ataques por fuer...
- microSD de 512GB presentado en el Computex 2015
- Página web del Ejército de EE.UU. hackeada por el ...
- REMnux: Distribución de Linux especializada en en ...
- IX Congreso OWASP sobre ciberseguridad en Barcelona
- La Policía detiene a uno de los uploaders más acti...
- Drupal también pagará recompensas a los que encuen...
- Dropbox prohibe usar 85.000 palabras como contrase...
- El creador del ransmoware Tox decide vender su neg...
- Hector Xavier Monsegur aka Sabu vuelve a Twitter t...
- Open Sesame, un nuevo gadget para abrir puertas de...
- El creador del malware RomberTik es un nigeriano d...
- Pentest Box: pentesting en línea de comandos para ...
- Intel presenta en Computex el Thunderbolt 3 con co...
- Servicios automatizados de análisis de Malware online
- El servicio de Pensiones de Japón ha sido hackeado
- Un simple mensaje de texto puede colgar Skype
- Sourceforge secuestra la cuenta de Nmap
- ASUS resucita los netbooks con un nuevo modelo
- El fundador de Silk Road sentenciado a cadena perp...
- Vuelve el Virus de la Polícia para Android
- El creador del ransomware Locker publica las llave...
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
395
)
privacidad
(
363
)
google
(
354
)
ransomware
(
338
)
vulnerabilidad
(
301
)
Malware
(
263
)
Windows
(
244
)
android
(
243
)
cve
(
235
)
tutorial
(
235
)
manual
(
220
)
software
(
201
)
hardware
(
193
)
linux
(
124
)
twitter
(
116
)
ddos
(
94
)
WhatsApp
(
90
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
67
)
app
(
65
)
Networking
(
56
)
nvidia
(
52
)
ssd
(
51
)
youtube
(
50
)
adobe
(
43
)
firmware
(
42
)
office
(
41
)
hack
(
40
)
firefox
(
35
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
MAC
(
25
)
apache
(
25
)
programación
(
25
)
exploit
(
23
)
javascript
(
22
)
multimedia
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
A pesar de que disponemos de gran cantidad de comandos en Windows 10 para realizar tareas de configuración y abrir aplicaciones, este no e...
-
Pese a que Gemini ofrece multitudes de opciones, recientemente, se ha dado a conocer una situación fuera de lo común. Hace unos días, un es...
Los creadores del malware Duqu 2.0 usaron certificados de seguridad robados de Foxconn
miércoles, 17 de junio de 2015
|
Publicado por
el-brujo
|
Editar entrada
La atacantes red interna de la firma de antivirus de Kaspersky Lab se infiltraron además usando un certificado digital válido de la empresa china Foxconn para firmar su malware. Foxconn
es el fabricante de productos electrónicos más grande del mundo y
produce, entre otros, productos de Apple, Dell y Cisco.
La semana pasada, Kaspersky Lab ha anunciado que los atacantes habían conseguido introducir el malware en su red interna. Era una nueva variante del malware Duqu muy avanzado llamada Duqu 2.0. Duqu 2,0 se esconde la memoria de los ordenadores infectados. Si la máquina se reinicia y el malware en consecuencia desaparece, la computadora a través de un servidor comprometido, es nuevamente infectado. Para ello, los atacantes utilizan drivers especiales.
Durante estas operaciones, los atacantes instalan estos controladores en los servidores de seguridad, puertas de enlace y otros servidores con acceso directo a la Internet en un lado y el acceso a la empresa en el otro lado. De esta forma, los atacantes lograron alcanzar diversos objetivos, tales como el acceso a la infraestructura interna de Internet.
El driver era crucial para el ataque a Kaspersky. Porque la mayoría de la caja de herramientas de Duqu 2.0 se almacenan en la memoria de estos sistemas, cada vez que un sistema infectado se reinicia el malware desaparecería. Con nada en el disco duro para volver a instalarlo, los atacantes corrían el riesgo de perder las máquinas infectadas. Así que para combatir esto, ellos guardaron el controlador firmado en otra máquina en la red. Cada vez que una máquina infectada era reiniciada, el driver podría entonces relanzar una infección en la máquina limpia.
Está firmado por “HON HAI PRECISION INDUSTRY CO. LTD.” (también conocido como “Foxconn Technology Group”, uno de los mayores fabricantes de productos electrónicos del mundo).
La firma taiwanesa hace hardware para la mayor parte de los principales actores de tecnología, como Apple, Dell, Google y Microsoft, haciendo la fabricación de los iPhones, iPads y PlayStation 4s
Los principales clientes de Foxconn incluyen o han incluido algunas de las empresas más grandes del mundo como:
El mismo certificado fue todavía utilizado en febrero de 2013 por el fabricante para los fichajes de varios controladores para portátiles Dell.
El uso de los certificados digitales válidos no es nuevo. Anteriormente esto fue descubierto en Stuxnet y la primera versión de Duqu.
"El robo de certificados digitales y la firma de malware en el nombre de empresas legítimas es un método probado de atacantes Duqu", dijeron los investigadores de Kaspersky Lab.
¿Cómo los atacantes lograron obtener el certificado de Foxconn? Se desconoce. Sin embargo, los atacantes parecen tener una preferencia por los fabricantes de hardware, ya que se utilizaron en Stuxnet y Duqu 1.0 certificados de Realtek y Jmicron.
Lo que también es sorprendente es que los atacantes no usaron el mismo certificado dos veces. Algo que en un primer momento de la versión Duqu fue el caso. "Si este es el caso, esto significa que los atacantes pueden tener certificados digitales alternativos suficientes robados de otros fabricantes que están listos para ser utilizados en el próximo ataque dirigido", dijeron los investigadores.
Además advierten que sería muy preocupante, ya que socava la confianza en certificados digitales. Mientras tanto, sería tanto emisor del certificado Verisign Foxconn sido notificado del certificado en cuestión.
Fuente:
https://securelist.com/blog/research/70641/the-duqu-2-0-persistence-module/
Vía:
http://www.wired.com/2015/06/foxconn-hack-kaspersky-duqu-2/
La semana pasada, Kaspersky Lab ha anunciado que los atacantes habían conseguido introducir el malware en su red interna. Era una nueva variante del malware Duqu muy avanzado llamada Duqu 2.0. Duqu 2,0 se esconde la memoria de los ordenadores infectados. Si la máquina se reinicia y el malware en consecuencia desaparece, la computadora a través de un servidor comprometido, es nuevamente infectado. Para ello, los atacantes utilizan drivers especiales.
Durante estas operaciones, los atacantes instalan estos controladores en los servidores de seguridad, puertas de enlace y otros servidores con acceso directo a la Internet en un lado y el acceso a la empresa en el otro lado. De esta forma, los atacantes lograron alcanzar diversos objetivos, tales como el acceso a la infraestructura interna de Internet.
¿Porque los atacantes usaron certificados de seguridad?
El driver era crucial para el ataque a Kaspersky. Porque la mayoría de la caja de herramientas de Duqu 2.0 se almacenan en la memoria de estos sistemas, cada vez que un sistema infectado se reinicia el malware desaparecería. Con nada en el disco duro para volver a instalarlo, los atacantes corrían el riesgo de perder las máquinas infectadas. Así que para combatir esto, ellos guardaron el controlador firmado en otra máquina en la red. Cada vez que una máquina infectada era reiniciada, el driver podría entonces relanzar una infección en la máquina limpia.
Certificados
Para las versiones de Windows de 64 bits es obligatorio que los drivers estén firmados digitalmente. Los investigadores de Kaspersky Lab, también vieron sorprendidos al ver que uno de los drivers descubiertos había sido firmado por un certificado válido de Foxconn.Verified: Signed
Signing date: 20:31 19.02.2015
Publisher: HON HAI PRECISION INDUSTRY CO. LTD.
Description: Port Optimizer for Terminal Server
Product: Microsoft Windows Operating System
Prod version: 6.1.7601
File version: 6.1.7601 built by: WinDDK
MachineType: 64-bit
MD5: 92E724291056A5E30ECA038EE637A23F
SHA1: 478C076749BEF74EAF9BED4AF917AEE228620B23
PESHA1: F8457AFBD6967FFAE71A72AA44BC3C3A134103D8
PE256: 2891059613156734067A1EF52C01731A1BCFB9C50E817F3CA813C19114BFA556
SHA256: BC4AE56434B45818F57724F4CD19354A13E5964FD097D1933A30E2E31C9BDFA5
Está firmado por “HON HAI PRECISION INDUSTRY CO. LTD.” (también conocido como “Foxconn Technology Group”, uno de los mayores fabricantes de productos electrónicos del mundo).
La firma taiwanesa hace hardware para la mayor parte de los principales actores de tecnología, como Apple, Dell, Google y Microsoft, haciendo la fabricación de los iPhones, iPads y PlayStation 4s
Los principales clientes de Foxconn incluyen o han incluido algunas de las empresas más grandes del mundo como:
- Acer Inc.
- Amazon.com
- Apple Inc.
- BlackBerry Ltd.
- Cisco
- Dell
- Hewlett-Packard
- Huawei
- Microsoft
- Motorola Mobility
- Nintendo
- Nokia
- Sony
- Toshiba
- Xiaomi
- Vizio
El mismo certificado fue todavía utilizado en febrero de 2013 por el fabricante para los fichajes de varios controladores para portátiles Dell.
El uso de los certificados digitales válidos no es nuevo. Anteriormente esto fue descubierto en Stuxnet y la primera versión de Duqu.
"El robo de certificados digitales y la firma de malware en el nombre de empresas legítimas es un método probado de atacantes Duqu", dijeron los investigadores de Kaspersky Lab.
¿Cómo los atacantes lograron obtener el certificado de Foxconn? Se desconoce. Sin embargo, los atacantes parecen tener una preferencia por los fabricantes de hardware, ya que se utilizaron en Stuxnet y Duqu 1.0 certificados de Realtek y Jmicron.
Lo que también es sorprendente es que los atacantes no usaron el mismo certificado dos veces. Algo que en un primer momento de la versión Duqu fue el caso. "Si este es el caso, esto significa que los atacantes pueden tener certificados digitales alternativos suficientes robados de otros fabricantes que están listos para ser utilizados en el próximo ataque dirigido", dijeron los investigadores.
Además advierten que sería muy preocupante, ya que socava la confianza en certificados digitales. Mientras tanto, sería tanto emisor del certificado Verisign Foxconn sido notificado del certificado en cuestión.
Fuente:
https://securelist.com/blog/research/70641/the-duqu-2-0-persistence-module/
Vía:
http://www.wired.com/2015/06/foxconn-hack-kaspersky-duqu-2/
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.