Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1058
)
- ► septiembre (Total: 50 )
-
▼
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
▼
abril
(Total:
76
)
- El ransomware BlackCat
- ¿Qué es la extensión de un archivo en Windows?
- Telegram como sucursal y paraíso del ciber crimen
- 76 detenidos por estafar mediante SMS fraudulentos...
- Google consigue una orden judicial para desmantela...
- Microsoft comunica que ya no habrá más versiones d...
- Microsoft Edge filtra los sitios web que visitas a...
- Intel sufre las mayores pérdidas de su historia tr...
- Hackean un satélite de la Agencia Espacial Europea...
- Google añadirá cifrado de extremo a extremo a Auth...
- Hackean a Coca-Cola Femsa México
- Aumentan los ataques de ransomware a sistemas de v...
- Microsoft mejora Phone Link para iOS
- Plugins para administrar y securizar Kubernetes
- El FBI y la Policía Nacional España detiene en Mad...
- El Centro Europeo para la Transparencia Algorítmic...
- VirusTotal añade la inteligencia artificial a su m...
- Millones de ordenadores escolares ChromeBook dejan...
- La botnet Mirai utiliza routers vulnerables TP-Lin...
- Varios empleados de Google pidieron detener la int...
- Si tienes un dominio .net lo podrían confiscar sin...
- Un canal de TV argentino emite ‘Super Mario Bros. ...
- Google Authenticator ya permite guardar una copia ...
- Los grupos de ransomware más activos
- Ruso acusado de lavar dinero del grupo de ransomwa...
- Trucos para móviles Samsung
- Nueva inteligencia artificial crea modelos fictici...
- Servidores Microsoft SQL hackeados para implementa...
- El FBI advierte sobre el "Juicejacking", los riesg...
- Unrecord es el shooter FPS más realista que has visto
- Facebook pagará una multa millonaria a usuarios en...
- Ciberdelincuentes utilizan capturas de pantalla pa...
- El CEO de Google advierte: "la sociedad no está pr...
- Miles de datos internos y de exempleados de Telepi...
- Experta en inteligencia artificial que Google desp...
- El FBI y la Interpol no quieren que WhatsApp y otr...
- Roban coches con un Nokia 3310 y unos altavoces bl...
- ¿Qué es el Business Email Compromise?
- Mejores DNS: dns más seguros y privados
- Pegasus sigue siendo usando en México contra los d...
- Utilizan Google Drive para exfiltrar información r...
- Nuevos métodos de distribución del Malware QBot
- Afiliado del grupo ransomware BlackCat atacando Ve...
- Magi será el nuevo buscador de Google impulsado po...
- Estados Unidos debate condenar a 20 años de prisió...
- Cómo un grupo de gamers expuso una de las filtraci...
- Exfiltración de datos a través de PowerShell del g...
- Involucran Alcasec en el mayor hackeo a Telefónica...
- Google anuncia un fondo de asistencia legal para h...
- Investigaciones OSINT en la Dark Web
- Más de un millón de sitios WordPress infectados po...
- Intel y ARM anuncian un acuerdo para la fabricació...
- Nuevas funciones adicionales de seguridad para Wha...
- El Bitcoin consume como una ciudad de 8 millones d...
- ¿Era Steve Jobs el verdadero Satoshi Nakamoto, el ...
- Utilizan grave vulnerabilidad en iPhone Calendar p...
- 0-day en Windows es explotado por el ransomware No...
- Twitter ya no existe como compañía; ahora es X Corp
- Hyundai España sufre un ciberataque que compromete...
- Microsoft lleva cinco años ralentizando Firefox co...
- Empleados de Samsung filtraron información confide...
- El foro oficial de Kodi ha sido hackeado
- Empleados de Tesla compartieron vídeos íntimos de ...
- Un nuevo ransomware es capaz de cifrar 220 mil fic...
- Vulnerabilidad crítica en biblioteca VM2 de NodeJS
- Nueva York denuncia a Amazon por guardar datos bio...
- Marcas y modelos de discos duros: Seagate vs Weste...
- La IA puede descifrar la mayoría de contraseñas en...
- Fabricante MSI víctima de un ataque de ransomware ...
- El FBI desmantela Genesis Market, el mayor mercado...
- Archivos autoextraíbles SFX son utilizados para ej...
- El proyecto Tor presenta su nuevo navegador Mullvad
- Hackean Western Digital y todos sus servicios en ...
- Incidente de seguridad afecta a los clientes de Yo...
- Detenido Alcasec por hackear el Punto Neutro Judic...
- Italia bloquea ChatGPT por no respetar la protecci...
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
Un fallo de diseño en el mecanismo de registro del servidor VPN de Fortinet puede aprovecharse para ocultar la verificación exitosa de cre...
-
Trinity asegura haber robado 560 GB de datos de la Agencia Tributaria (AEAT) española, así como haber secuestrado parte de sus sistemas, ci...
Exfiltración de datos a través de PowerShell del grupo de ransomware Vice Society
Durante una reciente intervención de respuesta a incidentes (IR), el equipo de la Unit 42 de PaloAlto identificó que la banda de ransomware Vice Society exfiltraba datos de una red víctima utilizando un script personalizado de Microsoft PowerShell (PS).
Desglosaron el script powershell utilizado, explicando cómo funciona cada función para arrojar luz sobre este método de exfiltración de datos.
Las bandas de ransomware utilizan una plétora de métodos para robar datos de las redes de sus víctimas. Algunas utilizan herramientas externas, como FileZilla, WinSCP y rclone. Otras bandas utilizan métodos basados en binarios y scripts "Living off the Land" (LOLBAS), scripts PS que copian y pegan a través del Protocolo de Escritorio Remoto (RDP) y la API Win32 de Microsoft (por ejemplo, llamadas a Wininet.dll).
Los actores de amenazas (TA) que utilizan métodos de exfiltración de datos integrados, como LOLBAS, evitan la necesidad de utilizar herramientas externas que podrían ser marcadas por software de seguridad o mecanismos de detección de seguridad basados en humanos. Estos métodos también pueden ocultarse dentro del entorno operativo general, proporcionando subversión al actor de la amenaza.
En este caso, el script se recuperó del registro de eventos de Windows (WEL). En concreto, el script se recuperó de un evento ID 4104: Script Block Logging, que se encuentra en el proveedor WEL Microsoft-Windows-PowerShell/Operational.
Examinemos qué ocurre cuando se utiliza este script PS para automatizar la etapa de exfiltración de datos de un ataque de ransomware.
Por ejemplo, las secuencias de comandos PS se utilizan a menudo en un entorno Windows típico. Cuando las amenazas quieren ocultarse a plena vista, el código PS suele ser la solución.
Los investigadores de la Unidad 42 vieron cómo se ejecutaba el script utilizando el siguiente comando PS:
powershell.exe -ExecutionPolicy Bypass -file \[redacted_ip]\s$\w1.ps1
Esta invocación de script utiliza la dirección IP de un controlador de dominio (DC) local dentro de una ruta de Nombre Uniforme de Recurso (URN), que se muestra como [redacted_ip] arriba, especificando el recurso compartido s$ admin en el DC.
Tenga en cuenta que, dado que el script se despliega a través de uno de los DC del cliente, los equipos de destino podrían ser aquellos a los que el TA aún no ha obtenido acceso directamente. Como tal, cualquier punto final dentro de la red podría convertirse en un objetivo para el script. El ejecutable PS recibe el parámetro -ExecutionPolicy Bypass para saltarse cualquier restricción de la Política de Ejecución.
El script no requiere ningún argumento, ya que la responsabilidad de qué archivos copiar fuera de la red se deja en manos del propio script. Sí, has leído bien: El script está automatizado y, por tanto, elige qué datos deben ser exfiltrados.
Fuentes:
https://unit42.paloaltonetworks.com/vice-society-ransomware-powershell/
Vía:
https://blog.segu-info.com.ar/2023/04/exfiltracion-de-datos-traves-de.html
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.