Seguridad

Nueva variante de malware claro

Seguridad - noticias

Sunday, 13 May 2012 22:36

Recibida muestra de malware poco usual, pasa a ser controlado a partir del ElistarA 25.47 COMO MALWARE CLARO

El preanalisis de virustotal ofrece el siguiente informe:



SHA256: b853eceb6f1a95785696094558bd7c6bb9fe0b50ac99e5373abffd93c2ceaa76
SHA1: a9516148da6600906d956cc31c4f614ca07b66cf
MD5: caaa53d1d060ce5e456c757fd51d9145
Tamaño: 21.0 KB ( 21504 bytes )
Nombre: iclaro_Multimedia.exe
Tipo: Win32 EXE
Detecciones: 12 / 41
Fecha de análisis: 2012-05-14 09:40:00 UTC ( hace 3 horas, 40 minutos )

02Más detallesAntivirus Resultado Actualización
AhnLab-V3 - 20120513
AntiVir - 20120514
Antiy-AVL - 20120514
Avast - 20120514
AVG - 20120513
BitDefender Trojan.Generic.KDV.623075 20120514
ByteHero - 20120511
CAT-QuickHeal - 20120513
ClamAV - 20120512
Commtouch - 20120514
Comodo UnclassifiedMalware 20120514
DrWeb Trojan.DownLoader6.7577 20120514
Emsisoft Trojan.SuspectCRC!IK 20120514
eSafe - 20120514
eTrust-Vet - 20120511
F-Prot - 20120514
F-Secure Trojan.Generic.KDV.623075 20120514
Fortinet - 20120508
GData Trojan.Generic.KDV.623075 20120514
Ikarus Trojan.SuspectCRC 20120514
Jiangmin Trojan/Generic.adscz 20120514
K7AntiVirus - 20120511
Kaspersky HEUR:Trojan.Win32.Generic 20120514
McAfee Artemis!CAAA53D1D060 20120514
McAfee-GW-Edition Artemis!CAAA53D1D060 20120514
Microsoft - 20120514
NOD32 a variant of MSIL/Qhost.Banker.O 20120514
Norman - 20120513
nProtect - 20120514
Panda - 20120514
Rising - 20120514
Sophos - 20120514
SUPERAntiSpyware - 20120512
Symantec - 20120513
TheHacker - 20120514
TrendMicro - 20120514
TrendMicro-HouseCall - 20120513
VBA32 - 20120514
VIPRE - 20120514
ViRobot - 20120514
VirusBuster - 20120514

Dicha version del ElistarA 25.47 que lo detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy

saludos

ms, 14-5-2012
publicado en / published on

Ataques en redes fibre channel...

Seguridad - noticias

Sunday, 13 May 2012 22:36

Fibre Channel (con topología Fabric) es una tecnología utilizada habitualmente para montar redes de almacenamiento SAN.

Este tipo de redes tradicionalmente no ha sido objetivo de atacantes casuales debido a su dificultad (muchas diferencias con la tecnología TCP/IP habitual) y a su localización (normalmente segmentos internos de grandes empresas).

Esto ha hecho que el riesgo percibido y por lo tanto el esfuerzo dedicado por las compañías a securizar este tipo de redes normalmente no haya sido muy alto.

dhchap.jpg

Sin embargo con la tendencia actual, de atacantes cada vez más profesionales, este tipo de actividades maliciosas se ha vuelto más común.

Y es que las redes Fibre Channel son un objetivo muy jugoso para este tipo de ataques ya que es en ellas donde reside la mayor parte de la información de una compañía.

Los ataques más habituales en redes SAN son:
- Compromiso de las contraseñas de administración (a nivel de interfaz IP).
- Suplantación de WWN o WWN-spoofing (a nivel Fibre Channel).

Aunque por supuesto existen muchos otros.

NOTA: WWN o World Wide Name es el identificador de nodo en una red Fibre Channel.

Compromiso de la administración

La forma de ataque más habitual contra redes SAN consiste en el compromiso de las credenciales de administración utilizadas para configurar los dispositivos, normalmente desde un interfaz Web accesible desde la red IP.

Esto puede producirse por distintas vías, por ejemplo:
- PCs de administradores infectados.
- Uso de protocolos de administración inseguros (HTTP, Telnet).
- Conservar las credenciales por defecto.
- Uso de contraseñas débiles.

Una vez el atacante ha obtenido acceso al panel de control de algún componente de la red SAN, puede obtener información valiosa sobre la configuración de la misma para intentar conseguir acceso a los discos virtuales que le interesen desde otro equipo conectado a la red Fibre Channel.

Suplantación de WWN

Este ataque se puede producir cuando no existe un mecanismo efectivo de control de acceso a los recursos de la red SAN.

En redes Fibre Channel no es habitual el uso de protocolos de autenticación que permitan comprobar que el nodo que solicita acceso a un disco virtual es quien dice ser, de forma que muchas veces el control de acceso a un recurso se realiza solamente en base al WWN del nodo.

El uso de los WWN para segmentar una red SAN se considera adecuado, pero de cara a la seguridad no es la mejor opción ya que los WWN se pueden cambiar de forma similar a como se cambian las direcciones MAC en las tarjetas de red Ethernet.

Para realizar un ataque de este tipo el atacante necesita:
- Tomar control de un equipo conectado a la red Fibre Channel.
- Averiguar el WWN de un nodo que tenga acceso a la información que busca.

Tomar control de un equipo conectado a la red Fibre Channel no suele ser una tarea compleja ya que el atacante ya está dentro de nuestra red y probablemente ya tenga acceso a varios sistemas. Solo necesita que uno de ellos esté conectado a la SAN.

Para averiguar un WWN interesante puede, por ejemplo:
- Comprometer la administración de algún dispositivo de la red SAN, como ya se ha visto.
- Enumerar los HBAs conectados a la red (si el controlador lo permite).
- Realizar un barrido de los WWNs validos. Los WWNs se componen de 8 bytes, pero la mayoría de ellos son fijos para un mismo fabricante y modelo de HBA; de forma que normalmente solo es necesario realizar un barrido de los 2 o 3 últimos bytes.

Conclusiones

Las redes SAN son un elemento más a la hora de securizar una organización y no
deben ser pasadas nunca por alto en un proceso de este tipo ya que son, cada vez más, objetivo de ataques profesionales.


Fuente
publicado en / published on

La mitad de macs no tendrán acceso a actualizaciones de seguridad este verano...

Seguridad - noticias

Sunday, 13 May 2012 22:36

A menos que Apple cambie su práctica en cuanto a actualizaciones de seguridad, cerca de la mitad de usuarios de Mac se quedarán a la deriva sin parches de seguridad este verano. Con el lanzamiento del OS X 10.8 Mountain Lion en los próximos meses, y a menos que cambie una década de viejos hábitos, Apple dejará de producir parches para OS X 10.6 Snow Leopard.

Aunque Apple nunca ha detallado su política de soporte para sistemas operativos anteriores, siempre ha terminado desechando ediciones anteriores para dejar las dos últimas en juego, en otras palabras, los parches son provistos solamente para el más reciente OS X y para la versión inmediata anterior. Si Apple continua con esta política, los usuarios de Snow Leopard dejarán de ver actualizaciones desde el momento en que Mountain Lion aparezca. Apple no ha establecido una fecha para el debut del sistema Mountain Lion, aunque se calcula que sea para finales de verano.

Las cifras actuales de Snow Leopard son del 41.5% de todos las versiones OS X que se usan, de acuerdo con las últimas estadísticas de la compañía Net Applications, asumiendo que Snow Leopard continúe el ritmo de descenso de los últimos 6 meses, continuará presente en el 34.4% de las Mac en agosto y en el 32.2% para septiembre.

Si incluimos ediciones anteriores de OS X, tenemos que 48.8% de las Mac estarán sin actualizaciones de seguridad si Apple deja de ocuparse de Snow Leopard en agosto. Si continúa suministrando los parches hasta septiembre el número de equipos sin actualizaciones decaerá a 45.9%.

Profesionales en seguridad ven esta cifra muy alta y la vida útil del servicio de actualizaciones de Apple muy corto."(Apple) ha convencido en términos de actitud en temas de seguridad y soporte, especialmente cuando se le compara con su principal competidor Microsoft " comentó Robin Stevens, miembro del equipo en seguridad en redes de la universidad de Oxford en un blog el mes pasado. Stevens busca que Apple se comprometa a extender su periodo de soporte por lo menos por 5 años.

Otros expertos no ven la práctica de seguridad de Apple como el gran problema, en su lugar apunta al silencio notorio de la compañía. El soporte extendido promedio de OS X es de 35 meses, pero si el corto periodo de vida del Cheetah no se toma en cuenta, el número aumentará a 41 meses. "El promedio parece ser de tres años," mencionó Andrew Storms, director de operaciones en seguridad de nCircle Security. "No esta mal, si lo comparas con el desarrollo del hardware. Pero realmente, el gran problema es que nadie lo sabe realmente. Apple no comunica por cuánto tiempo continuará dando soporte a la versión o un roadmap para futuras liberaciones."

John Pescatore, analista de Gartner esta de acuerdo, citando la falta de roadmap como una dificultad para las compañías que requieren manejar equipo Mac en vez de las PC de Windows. "Eso no es empresarialmente amigable," mencionó.

Apple permanece opaco en contraste con Microsoft, que cuenta con un claro esquema de soporte de su ciclo de vida y regularmente recuerdan a los usuarios cuando una versión de Windows u Office esta por llegar a su fin. "Cuando deciden liberar una nueva versión OS X, tienes dos para escojer DOA o SOL tu eliges", comentó Storms. "Pero nosotros nunca vemos blogs de Apple como lo hacemos con Microsoft, recordándonos que necesitas actualizar (para continuar recibiendo actualizaciones en seguridad)."

Pescatore no tiene problema con el ciclo de vida del soporte de Apple, llamándolo "a la mitad" entre la política de 10 años de Microsoft y la constante actualización de los servicios de la nube como Google Apps y Microsoft Office 365.

El corto plazo de soporte de Mac expresa como las cosas se están inclinando rápidamente, dijo Pescatore, criticando los típicos cambios de 2 años de smartphones y negocios tomados de la nube por las continuas actualizaciones.

Los clientes, incluyendo jefes en TICs son quienes lo entienden mejor "En el mundo real, las TICs tendrá cada vez menos control sobre los sistemas operativos (OS)", comentó Pescatore. "Las TICs no quieren operar de esta manera -tratan de pelearla- pero tiene que aprender de que modo. Pelear contra la tendencia va a ser imposible."

A pesar de que la campaña mas reciente del malware Flashback ha demostrado que las maquinas que contaban con Leopard fueron infectadas en una cifra de casi el doble de su cuota de mercado. Pescarote menciono que el corto periodo de vida del soporte continuará, los clientes lo adoptarán, si no pueden, el mercado les brindará alguna solución -como las tienen desde antes con Windows- para mantener las Macs protegidas. La mayoría de los usuarios actualizan cuando Apple desarrolla un nuevo sistema operativo, mencionaron Pescatore y Stevens.

Mientras Apple todavía no define el camino de migración para los usuarios de Snow Leopard, ha dejado ver que tal vez éste podría actualizar a Mountain Lion. Las máquinas con Snow Leopard pueden ser impulsadas con el prototipo en desarrollo de Mountain Lion.

Fuente
publicado en / published on

Nueva variante de killav cazada por la heuristica del elistara

Seguridad - noticias

Sunday, 13 May 2012 22:36

Una nueva muestra pedida por el ElistarA pasa a ser controlada especificamente a partir del ElistarA 25.47 de hoy

El preanalisis de virustotal ofrece el siguiente informe


SHA256: b0defd90f4f93adaa0207e7e473e9eac178768281bc40557674aa754f253ae4e
SHA1: d4ccf4a257753920268a0cd56da31d2df2753a21
MD5: 520942db4cd38a7084d4ebd4a462eb36
Tamaño: 8.1 KB ( 8320 bytes )
Nombre: NSPASS0.SYS.Muestra EliStartPage v25.46
Tipo: Win32 EXE
Detecciones: 38 / 42
Fecha de análisis: 2012-05-14 14:17:50 UTC ( hace 0 minutos )

01Más detalles
Antivirus Resultado Actualización
AhnLab-V3 Win-Trojan/Downloader.8320.G 20120513
AntiVir TR/Rootkit.Gen 20120514
Antiy-AVL Trojan/Win32.Small.gen 20120514
Avast Win32:Perkesh 20120514
AVG Agent_r.GJ 20120514
BitDefender Rootkit.10758 20120514
ByteHero - 20120513
CAT-QuickHeal - 20120513
ClamAV Trojan.Agent-66850 20120512
Commtouch W32/Perkesh.A.gen!Eldorado 20120514
Comodo TrojWare.Win32.Rootkit.Small.~V 20120514
DrWeb Trojan.KillProc.1565 20120514
Emsisoft Rootkit.Win32.Small!IK 20120514
eSafe - 20120514
eTrust-Vet Win32/SybuexA!generic 20120511
F-Prot W32/Perkesh.A.gen!Eldorado 20120514
F-Secure Rootkit.10758 20120514
Fortinet W32/Agent.HTL!tr 20120514
GData Rootkit.10758 20120514
Ikarus Rootkit.Win32.Small 20120514
Jiangmin Rootkit.Small.bc 20120514
K7AntiVirus Riskware 20120511
Kaspersky Trojan-Downloader.Win32.Geral.myg 20120514
McAfee Downloader-BNM 20120514
McAfee-GW-Edition Downloader-BNM 20120514
Microsoft TrojanDownloader:Win32/Perkesh.gen!A 20120514
NOD32 Win32/Rootkit.Agent.NHG 20120514
Norman W32/Rootkit.CGVD 20120514
nProtect Trojan/W32.Rootkit.8320.B 20120514
Panda Adware/GoodSearchNow 20120514
PCTools 49525 20120514
Rising RootKit.Win32.NsPass.a 20120514
Sophos Troj/NtRootK-GB 20120514
SUPERAntiSpyware - 20120512
Symantec Hacktool.Rootkit 20120513
TheHacker Trojan/Downloader.Geral.myg 20120514
TrendMicro RTKT_BUREY.A 20120514
TrendMicro-HouseCall RTKT_BUREY.A 20120513
VBA32 Rootkit.Win32.Agent.htl 20120514
VIPRE Trojan.Win32.Generic!BT 20120514
ViRobot Trojan.Win32.RT-Small.8320.F 20120514
VirusBuster Rootkit.Small!FIJ2O5gTwQI 20120514


Dicha version del ElistarA 25.47 que lo detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy

saludos

ms, 14-5-2012
publicado en / published on