Month: February 2018

¿CYBERSECURITY FRAMEWORK O ISO 27001?

Posted on

Hace unos meses, el Instituto Nacional de Estándares y Tecnología (NIST por sus siglas en ingles) hizo una publicación para mejorar la seguridad cibernética de infraestructura crítica, conocido comúnmente como Cybersecurity Framework. Esto trajo muchas dudas si ya se está familiarizado con ISO 27001.

Cybersecurity Framework se diseñó inicialmente para las empresas de EE. UU. Que se consideran parte de la infraestructura crítica. No obstante, es adecuado para ser utilizado por cualquier organización que enfrenta riesgos de seguridad cibernética.

Por otro lado, ISO / IEC 27001 es una norma de seguridad cibernética publicada en 2005 y revisada en 2013. Si bien no es obligatorio, se acepta en la mayoría de los países como un marco principal para la implementación de la seguridad de datos. Describe el sistema de gestión de la seguridad de datos y sitúa la seguridad en el contexto de la gestión y los procesos generales de una empresa.

Tanto Cybersecurity Framework como ISO 27001 le brindan la metodología sobre cómo implementar la seguridad cibernética en una organización. Podría implementar cualquiera de estos. Probablemente la mayor similitud es que ambos se basan en la gestión del riesgo: esto significa que ambos requieren que las salvaguardas se implementen solo si se detectan riesgos de seguridad cibernética.

Cybersecurity Framework

Cybersecurity Framework claramente está mejor estructurado cuando se trata de planificación e implementación.

Framework Core está dividido en funciones; Identificar, Proteger, Detectar, Responder y Recuperar, y luego en 22 Categorías relacionadas, por ejemplo, Gestión de Activos, Gestión de Riesgos, etc. similares a las secciones en ISO 27001. 98 subcategorías, y para cada subcategoría se hacen varias referencias a otros marcos como ISO 27001, COBIT, NIST SP 800-53, ISA 62443 y CCS CSC. De esta manera, es muy fácil ver cuáles son los requisitos y dónde encontrar la manera de implementarlos.

nist-cyber-security-framework-cybersecurity-controls-policy

Niveles de Implementación de Cybersecurity Framework; Parcial, informado de riesgo, repetible y adaptable. De esta manera, una empresa puede decidir fácilmente hasta dónde quiere llegar con su implementación, teniendo en cuenta los requisitos.

Entonces es el perfil del marco; Perfil actual, Perfil de destino y otros ayudan a las imágenes en las que se encuentra la organización en este momento, relacionadas con las categorías y subcategorías de Framework Core, y dónde quiere estar. Además, Framework Profiles podría usarse para establecer los requisitos mínimos para otras organizaciones como proveedores o socios. Esto no existe en ISO 27001

En general, Cybersecurity Framework permite que tanto la alta dirección como los ingenieros y demás personal de TI comprendan fácilmente qué se debe implementar y dónde están las vulnerabilidades.

ISO 27001

Una de las mayores ventajas de ISO 27001 es que las empresas pueden certificarse por ella, esto significa que una empresa puede demostrar a sus clientes, socios, accionistas, agencias gubernamentales y otros que pueden mantener su información segura.

Además, ISO 27001 es un estándar aceptado y reconocido internacionalmente: si una empresa desea demostrar su capacidad a sus clientes, socios y gobiernos fuera de su país, ISO 27001 será mucho mejor.

iso 27

ISO 27001 se enfoca en proteger todo tipo de información, no solo la información procesada en los sistemas de TI. Es cierto que la información en papel tiene cada vez menos importancia, pero para algunas compañías tal información aún puede presentar riesgos significativos. ISO 27001 define qué documentos y registros son necesarios, y cuál es el mínimo que debe implementarse.

Finalmente, mientras que Cybersecurity Framework se enfoca solo en cómo planificar e implementar la seguridad cibernética, ISO 27001 adopta un enfoque mucho más amplio, su metodología se basa en el ciclo Planificar, Hacer, Verificar, Actuar (PDCA), lo que significa que construye el sistema de gestión que mantiene y mejora todo el sistema. Sin una medición constante, revisión, auditoría, acciones correctivas y mejoras, dicho sistema se deteriorará gradualmente y finalmente perderá su propósito.

Cual es mejor

Esto no debe ser una cuestión de uno u otro, me parece que sería mejor combinarlos. En realidad, Cybersecurity Framework sugiere que puede complementarse fácilmente con otro programa o sistema, e ISO 27001 ha demostrado ser un muy buen marco general para diferentes metodologías de seguridad de datos.

Por lo tanto, creo que se pueden lograr los mejores resultados si el diseño de la seguridad de datos completa se establece de acuerdo con ISO 27001 y utilizar Cybersecurity Framework en lo que respecta a la gestión de riesgos y la implementación de las áreas y salvaguardas de seguridad particulares.

Advertisements

NUEVO COLDROOT MALWARE QUE REALIZA UN KEYLOGGING EN SISTEMAS DE MAC

Posted on

Esta vez el nuevo malware se dirige a macOS y viene con capacidades de keylogging. Los investigadores de seguridad cibernética han descubierto un nuevo malware llamado Coldroot que no ha sido detectado por los programas de antivirus ya que solo 18 de las 20 herramientas pudieron detectarlo. Este malware Mac es un troyano de acceso aleatorio, RAT por sus siglas en ingles, que se compartió en línea en Github en 2016.

Coldroot ahora es capaz de afectar a todos los sistemas operativos y puede obtener de forma silenciosa control remoto en una computadora vulnerable. Los detalles de Coldroot fueron revelados públicamente por un investigador de seguridad de datos y jefe de la investigación, Patrick Wardle.

coldroot mac

Wardle identificó que era un malware de “característica completa, actualmente no detectada” y que estaba siendo vendido por su sospechoso autor Coldzer0 en la Dark Web desde el 1 de enero de 2017. También, Coldzer0 publicó un video que muestra que Coldroot RAT multiplataforma se puede utilizar para apuntar a MacOS, Linux y sistemas basados ​​en Windows. Coldzer0 también ofrecía a los clientes información sobre los métodos de personalización de malware.

El malware se identificó en un controlador de audio ilegítimo de Apple llamado “com.apple.audio.driver2.app”. Este se muestra como un documento y solicita acceso de administrador, luego se instala silenciosamente y se comunica con su servidor de C & C para obtener instrucciones. Una vez que el usuario hace clic en él, aparece un mensaje emergente que parece un mensaje de autenticación normal. Solicita las credenciales de MacOS del usuario. Cuando se proporcionan, Coldroot modifica la base de datos de privacidad de TCC.db, lo que permite que el malware tenga acceso para realizar un keylogging en el sistema.

El malware se las arregla para permanecer en el sistema infectado instalándose como un demonio de lanzamiento. Asimismo, el código se inicia automáticamente cada vez que se enciende la computadora infectada.

El malware es capaz de realizar capturas de pantalla, iniciar y finalizar procesos, buscar y cargar  archivos, iniciar una sesión de escritorio remoto y apagar el sistema operativo de forma remota. No está claro si la versión reciente de Coldroot es la misma que se cargó hace dos años o si es una versión modificada de ese malware.

El experto en seguridad cibernética afirmó que es posible que el malware no pueda afectar a los sistemas operativos más nuevos, como MacOS High Sierra, porque el TCC.db del sistema está protegido a través de la Protección de Integridad del Sistema (SIP). Ahora lo mejor para mantenerse protegidos, es cambiar a la última versión del sistema operativo.

QUÉ ES CRYPTOJACKING Y CÓMO EVITAR ESTE ATAQUE

Posted on

En este artículo trataremos de dar una explicación simple y fácil de seguir de por qué todo el mundo habla de esto y por qué también debería actualizar su seguridad de datos.

En pocas palabras, ahora los hackers pueden robar su dinero y su información, mientras aumentan su factura de energía y posiblemente destruyan el hardware de su computadora.

cryptojacking

Primero debemos saber lo que es Blockchain, es el principio básico de Bitcoin y la mayoría de las otras criptomonedas.

Blockchain, resolvió un desafío muy grande. Un archivo digital puede ser copiado, modificado o falsificado. Si bien no se puede obtener una factura directamente de un proveedor  y dársela a su amigo, se puede copiar una factura digital para que dos personas puedan gastar esa factura exacta, explica un experto en seguridad cibernética.

También había otro problema, para verificar que la factura era original y no una copia o una falsificación, necesitabas que alguien realmente verificara. Al poner esto en manos de un tercero, los usuarios quedan expuestos a muchos riesgos.

El protocolo Blockchain elimina al intermediario al hacer que todos sean participantes activos en la transacción. Nuestro especialista en seguridad de datos nos dice que con Blockchain, cada vez que alguien realiza una transacción, esa transacción se registra en un bloque para que permanezca permanentemente disponible. A medida que más y más personas envían dinero, se crean cada vez más bloques y se vinculan entre sí en la cadena. Si alguien quisiera hackear  una transacción o duplicarla, tendría que atacar toda la cadena de bloques.

Las personas o máquinas que vinculan estas transacciones se llaman mineros. A cambio de una pequeña tarifa, vinculan las transacciones y crean los bloques que se agregarán a la cadena. En algunos casos, hay computadoras especiales diseñadas específicamente para minar criptomonedas, llamadas ASIC.

En el pasado, los hackers  intentaron robar la información de su tarjeta de crédito para que pudieran usar su dinero. Ahora, los hackers pueden robar los recursos de su computadora para crear dinero.

Con Bitcoin, el robo es posible. Sin embargo, el proceso de minería de Bitcoin ahora requiere demasiados recursos para las configuraciones regulares y se realiza en hardware especializado.

Con Monero, robar es extremadamente fácil. Porque se puede hacer en una computadora común. Monero también es anónimo e imposible de rastrear. Incluso si las autoridades estuvieran dispuestas a ayudarlo en caso de un ataque, Monero les hace casi imposible identificar a los autores, de acuerdo a un especialista en seguridad cibernética.

Ahora hay que saber que es CoinHive, es un minero de Monero que usa Javascript, el lenguaje de programación más popular. Este código se puede incrustar en cualquier página web. Una vez que accede a esa página, utiliza el procesador de su computadora para extraer Monero.

Los hackers pueden dirigirse a los sitios web que visitas e implementar el script de CoinHive. Le ha sucedido a miles de sitios web, desde pizzerías, blogs, organizaciones de salud y páginas gubernamentales.

Tal ataque se llama cryptojacking, que es un “secuestro de criptomonedas”. Se roba el poder de procesamiento de la computadora para crear criptomonedas y obtener ganancias rápidas e imposibles de rastrear. Básicamente, convierte su PC o dispositivo en un minero de Monero. La secuencia de comandos de CoinHive puede usar el 100% de la potencia de la CPU del visitante y, por lo tanto, reducir la vida útil del hardware.

Investigadores de seguridad de datos nos dan algunas medidas de seguridad que ayudan a evitar estos ataques.

Protege siempre tu computadora con un antivirus, aunque el malware moderno puede escapar de él. También necesita una solución antimalware para detectar las amenazas antes de que lleguen a su PC.

En cualquier navegador, tanto en escritorio como en dispositivos móviles, use un bloqueador de anuncios. Actualice siempre su software, porque la mayoría de los ataques se llevan a cabo debido a vulnerabilidades sin parches.

Siempre use contraseñas seguras o un administrador de contraseñas seguro para que, en caso de un ataque, su información personal no se vea comprometida.

BLOQUEAR POWERSHELL PARA DETENER ATAQUES

Posted on Updated on

El lenguaje de scripting de fuente abierta, es la herramienta de movimiento lateral perfecta para los atacantes una vez que han comprometido una red. Y los scripts de PowerShell pueden ejecutarse solo en la memoria, dando lugar al término malware “sin archivos”.

“El lenguaje de scripting PowerShell de Microsoft, es extremadamente popular entre los administradores de TI. Pero los hackers también lo están tomando cada vez más”, comenta un experto en seguridad cibernética, “los scripts maliciosos de PowerShell pueden ser difíciles de detectar y aun más difíciles de investigar porque dejan pocos rastros forenses”.

powershell

“PowerShell es tan poderoso y versátil en el sentido de que tiene acceso al framework .NET, acceso a WMI, acceso a prácticamente cualquier parte de la máquina”, dice Arafeh, refiriéndose a Windows Management Instrumentation, la infraestructura para datos de gestión y operaciones en sistemas operativos basados ​en Windows.

Microsoft ha estado trabajando en una variedad de tecnologías de seguridad de datos que ayudan a los administradores a detener el abuso de PowerShell, presenta tres herramientas esenciales para ayudar a prevenir estos ataques. El objetivo es reducir la capacidad de los atacantes de doblar las herramientas legítimas para fines maliciosos.

Modo de lenguaje restringido

Los administradores pueden establecer la función de idioma restringido de PowerShell, que corta las acciones potencialmente peligrosas, como invocar API de Windows arbitrarias. Pero eso no impide que los atacantes inicien otra instancia de PowerShell con todas las capacidades de idioma.

La solución de Microsoft es que el modo de idioma restringido se use con un software de control de aplicaciones. De esta forma, cuando PowerShell detecta una política UMCI, permanecerá en modo de idioma restringido.

“Estas políticas de bloqueo son importantes para los sistemas de alto valor que deben protegerse contra administradores maliciosos o credenciales de administrador comprometidas”, según una publicación de Microsoft. “Con una política aplicada, incluso los administradores están limitados a lo que pueden hacer en el sistema.”

Registro profundo

La función registrará todas las secuencias de comandos de bloques que procesa PowerShell, incluidas aquellas que emplean la generación de código dinámico, que puede ser un intento de evadir la detección.

De manera predeterminada, PowerShell graba bloques de script la primera vez que se usa uno, pero se puede configurar para que se grabe cada vez que se ejecute el mismo. Eso puede conducir a un registro voluminoso de eventos, por lo que has sido advertido. Pero los registros posteriores podrían proporcionar cierto alcance en torno a lo que intentaban hacer los atacantes.

Un profesional de seguridad cibernética nos dice que; la mayoría de las empresas solo se dan cuenta de la necesidad de habilitar el registro de secuencias de comandos después de que sea demasiado tarde, pero, PowerShell registra automáticamente bloques de scripts cuando tienen contenido utilizado a menudo por scripts maliciosos. Este registro de bloques de scripts automáticos no tiene como objetivo reemplazar el registro de bloqueo de scripts o antivirus, solo sirve como un último recurso.

Interfaz de exploración Anti-Malware

En Windows 10, Microsoft agregó una función de seguridad de datos llamada Interfaz de escaneo anti-malware, o AMSI, que tiene la intención de ayudar a desenrollar y analizar las secuencias de comandos enmascaradas o cifradas.

Codificar los guiones es una de las formas en que los atacantes esperan que su código no sea atrapado. Pero al final de la línea, las secuencias de comandos ofuscadas deben desenredarse para que se ejecuten en el motor de scripts.

Las aplicaciones pueden llamar a la API de AMSI para verificar el script de PowerShell. Proveedores de antivirus también aprovechan AMSI, Microsoft lo usa en varios productos, incluyendo Windows Defender AV y Windows Defender EDR, es una herramienta de seguridad de datos posterior a la explotación para explorar ataques que inicialmente no fueron detectados.

“Mientras el anti-malware pueda usar AMSI para mirar el contenido del script, entonces usted tiene la capacidad de aprender sobre lo que está haciendo el script y bloquear cualquier comportamiento malicioso”, dice Arafeh.

NUEVO RANSOMWARE BASADO EN LAS PELÍCULAS DE TERROR ANNABELLE

Posted on

Un nuevo ransomware basado en las películas de terror Annabelle. Descubierto por un investigador de seguridad cibernética. Annabelle Ransomware, incluye terminar numerosos programas de seguridad, deshabilitar Windows Defender, apagar el firewall, encriptar archivos, tratar de propagar a través de unidades USB, hacerlo para que no pueda ejecutar una variedad de programas, y luego sobrescribe el registro maestro de arranque de la computadora infectada con un cargador de arranque.

annabelle 1

Un grupo de investigadores de seguridad de datos, fue capaz de extraer el código fuente del ejecutable lo que ayuda a entender lo que hace este programa.

Cuando se ejecute por primera vez, Annabelle se configurará para iniciarse automáticamente cuando inicie sesión en Windows. Luego finaliza una variedad de programas como Process Hacker, Process Explorer, Msconfig, Task Manager, Chrome y más.

Posteriormente, configura las entradas de registro de Ejecución de archivos de imagen para que no pueda iniciar una variedad de programas como los enumerados anteriormente y otros como Notepad ++, Bloc de notas, Internet Explorer, Chrome, Opera, bcdedit y muchos más.

El ransomware intentará expandirse utilizando archivos autoru.inf.  Un experto en seguridad cibernética nos dice que este método es bastante inútil cuando se trata de versiones más nuevas de Windows que no admiten una función de reproducción automática.

Después, comenzará a encriptar la computadora con una clave estática. Al encriptar archivos, agregará la extensión .ANNABELLE al nombre del archivo encriptado.

Luego reiniciará la computadora y cuando el usuario inicie sesión, se mostrará la pantalla de bloqueo. La pantalla de bloqueo tiene un botón de créditos que, al hacer clic, muestra la pantalla a continuación que indica que un desarrollador llamado iCoreX0812 creó el programa y una forma de contactarlos en Discord.annabelle 5

Como toque final, el desarrollador decidió ejecutar también un programa que reemplaza el registro de inicio maestro de la computadora infectada para que muestre una pantalla de “accesorios” cuando la computadora se reinicia.

Un especialista en seguridad cibernética comento que, en general este ransomware fue desarrollado para ser un PITA y para mostrar las habilidades del desarrollador en lugar de generar realmente pagos de rescate.

Este ransomware se basa en Stupid Ransomware y es fácilmente descifrable. Como utiliza una clave estática, se puede actualizar su StupidDecryptor para descifrar esta variante.

Al reemplazar el MBR, ejecutar Rkill en modo seguro para limpiar las entradas de registro de IFEO, usar StupidDecryptor para descifrar los archivos y luego algunos escaneos de seguridad de datos para eliminar los remanentes, debería poder hacer que su computadora vuelva a la normalidad.

COMO USAR PARAT- REMOTE ACCESS TROJAN (RAT)?

Posted on Updated on

NUEVA VARIANTE DE ANDRORAT CON MEJORES HABILIDADES DE ROBO

Posted on Updated on

Una vulnerabilidad parchada se utiliza para atacar los sistemas Android con una Herramienta de Acceso Remoto (RAT por sus siglas en ingles).

Los estudios realizados por expertos en seguridad informática han detectado una nueva variante de AndroRAT, que puede inyectar root exploits, lo que permite a los atacantes acceder al dispositivo. AndroRAT aprovecha el CVE-2015-1805, que se hizo público y parcheó en 2016, y solo afecta a los dispositivos Android anteriores.

androrat

Profesionales en seguridad cibernética comentan que AndroRat se creó en 2012 como un proyecto universitario para permitir el acceso remoto a dispositivos Android, pero los hackers  también encontraron otro uso para él.

Los especialistas en seguridad informática explican que la nueva variante pretende ser una aplicación de utilidades llamada TrashCleaner, que probablemente se distribuye a través de una URL maliciosa.

La primera vez que AndroRAT se ejecuta, instala una aplicación de calculadora etiquetada en chino que se parece al que normalmente viene incluido con cualquier dispositivo Android. El icono de la calculadora suplanta el ícono del TrashCleaner. El malware se puede controlar de forma remota, de a cuerdo a los informes de los expertos en seguridad cibernética.

Algunos de los nuevos bits de robo incluyen; robo de información de la red móvil, capacidad de almacenamiento, aplicaciones instaladas, historial de navegación web de los navegadores pre instalados, calendario de eventos, registro de llamadas, subir archivos al dispositivo víctima, utilizar la cámara frontal, borrar y enviar SMS, captura de pantalla, ejecución de comandos shell y contraseñas de Wi-Fi.