viernes, 28 de noviembre de 2014

Regin, el nuevo malware de características avanzadas

Tras algunos malware muy relevantes tanto por sus capacidades como por sus avanzadas características técnicas, como stuxnet, duqu, y otras APT de gran repercusión, aparece Regin. Una nueva muestra de malware (que afecta a sistemas Microsoft Windows NT, 2000, XP, Vista y 7) que por sus características parece uno de los malware más sofisticado hasta la fecha.

Symantec y Kaspersky han dado a conocer este malware y ambas compañías coinciden en su sofistificación y avanzadas capacidades que van mucho más lejos de todo lo conocido hasta ahora. 

Aunque Regin es un malware multipropósito, su principal intención es la recopilación de inteligencia y recogida de datos sobre diferentes objetivos que incluyen operadores de telecomunicaciones, instituciones gubernamentales, órganos políticos multinacionales, instituciones financieras, instituciones de investigación e incluso investigadores concretos especializados en criptografía y matemáticas avanzadas.

Arquitectura de Regin según Symantec
Aunque principalmente es un malware destinado al robo de información, tiene la capacidad de cargar funciones personalizadas en función de cada objetivo individual. Tiene la capacidad de instalar un gran número de payloads adicionales, que incluyen muchas características de troyanos de acceso remoto (como realizar capturas de pantalla o tomar el control del ratón). También es capaz de robar contraseñas, monitorizar el tráfico de red, y recuperar información sobre los procesos y utilización de la memoria. Puede buscar archivos eliminados del sistema y recuperar su contenido. También se han encontrado módulos muy específicos para objetivos muy concretos. Como módulos diseñados para monitorizar el tráfico de red de servidores IIS, o para recoger el tráfico de administración de controladores de estaciones base de telefonía móvil o para analizar el correo en bases de datos Exchange.

El nivel de sofisticación y complejidad de este malware hace pensar que el desarrollo de esta amenaza habría necesitado un buen equipo de de desarrolladores durante mucho tiempo (meses e incluso años) para su desarrollo y mantenimiento. Su funcionamiento va mucho más lejos de todo lo visto hasta el momento, no es un simple troyano para la captura de credenciales bancarias, no es una pieza de malware que busque obtener beneficios monetarios inmediatos. Todo ello que hace pensar que detrás de Regin se encuentra un estado o gobierno, y aunque no hay ninguna evidencia que demuestre esta suposición algunas fuentes indican un uso conjunto de Estados Unidos y Reino Unido.

Se desconoce cuándo se crearon y propagaron las primeras muestras de Regin, sin embargo Kaspersky identifica algunas muestras fechadas en 2003. Aunque parece ser que hay múltiples versiones de Regin, se dan dos versiones como principales. La 1.0 que estuvo en uso hasta 2011 y una nueva versión 2.0 que empezó a usarse el 2013.

El nombre de Regin es un giro sobre "In Reg", una forma acortada para decir en el  registro ("In registry"). Haciendo alusión a una forma que tiene el malware de almacenar sus módulos en el registro. Este nombre aparece por primera vez en marzo de 2011.

Algo que tampoco está muy claro y que no ha sido posible reproducir es el método exacto para el compromiso inicial, la forma en que se lleva a cabo la infección. Existen diversas teorías, que incluyen el uso de ataques hombre en el medio con exploits 0-day en el navegador o en alguna otra aplicación.

Arquitectura de Regin, según Kaspersky
Regin actúa en cinco etapas diferentes. La primera etapa actúa como lanzador, el archivo que provoca la infección y que no es posible determinar cómo llega al sistema de la víctima. Esta es la única parte de código que permanece visible en el sistema, a partir de este momento todas las etapas sucesivas y módulos se guardan en el disco duro como Atributos ampliados NTFS, como entradas de registro o en una forma de sistema de archivos virtual cifrado.

Una vez que se instala y ejecuta la primera etapa se encarga de descargar la segunda etapa. De esta forma cada etapa descarga e instala la siguiente etapa. Así el malware se va cargando poco a poco y permanece oculto. El comportamiento es diferente en sistemas 32 bits y 64 bits, con etapas y módulos diferentes en función de la plataforma.

Actualmente, Symantec y Kaspersky sitúan las víctimas en la las víctimas en los siguientes países: Argelia, Afganistán, Arabia Saudí, Austria, Bélgica, Brasil, Fiyi, Alemania, Irán, India, Indonesia, Irlanda, Kiribati, Malasia, México, Paquistán, Rusia y Siria.

Más información:

Regin: Top-tier espionage toolenables stealthy surveillance

The Regin platform
Nation-state ownage of GSM networks

Alert (TA14-329A)
Regin Malware



Antonio Ropero
Twitter: @aropero

jueves, 27 de noviembre de 2014

Una encuesta de Oracle revela la falta de seguridad en las bases de datos

Una encuesta realizada Unisphere Research y patrocinada por Oracle desvela la falta de medidas de seguridad en una gran mayoría de las empresas.

Irónicamente, Oracle una de las compañías más criticadas por la seguridad de sus productos y su modelo de seguridad, publica un informe relacionado con la seguridad en entornos corporativos. Por lo general, los datos publicados reflejan una preocupante falta de seguridad en las bases de datos corporativas.
 
Bajo el título "DBA – Security Superhero: 2014 IOUG Enterprise Data Security Survey" se presentan los resultados de una encuesta llevada a cabo entre un grupo de 353 usuarios independientes de Oracle. Un 44% de los encuestados son administradores de bases de datos, seguido por directores. Un tercio trabaja para grandes organizaciones, con más de 10.000 empleados. Por sectores industriales la mayoría de los encuestados son proveedores de servicios, gobierno, educación, servicios financieros y fabricación.

Las empresas reconocen que la mayoría de los riesgos provienen de dentro de la propia compañía, un 81% de los encuestados citan el error humano como mayor preocupación, seguido por un 65% de los posibles ataques internos. Los encuestados también señalan otros tipos de riesgos, por ejemplo, el 54% están preocupados por el abuso de los privilegios de acceso de su propio personal de IT. Un porcentaje similar, un 53%, creen que el código malicioso y los virus son una amenaza para sus sistemas.

Pero a pesar de tener la consciencia del riesgo por parte de los empleados, la mayoría de ellos reconocen tener pocas medidas de seguridad contra algún tipo de incidencia. Un 51% reconocen que no tienen garantías y un 21% desconocen seguro si tienen garantías para prevenir que un administrador o desarrollador puedan eliminar accidentalmente una tabla o que de forma inintencionada puedan provocar algún tipo de daño a las bases de datos críticas.

Respecto al cifrado de datos (tanto los datos internos, datos online o copias de seguridad), una cuarta parte de los encuestados indicó que cifran todos los datos mientras que solo un poco más de la mitad (un 56%) cifran al menos una parte de las copias de seguridad. Por otra parte, solo un 38% de los encuestados confirman realizar algún tipo de acción para la prevención de ataques de inyección SQL.

Respecto a la instalación de los parches de seguridad que Oracle publica trimestralmente, solo un 25% confirma que los aplica en torno a uno o tres meses después de su publicación, e incluso un 8% confirma que nunca ha instalado una actualización de seguridad.

La encuesta también confirma que todavía se realizan pocas auditorías de seguridad de datos, solo una sexta parte realiza una revisión de sus activos de datos al menos una vez mes. Incluso un 6% reconoce no haber realizado nunca una auditoría de seguridad.

Más información:

DBA – Security Superhero: 2014 IOUG Enterprise Data Security Survey


Antonio Ropero
Twitter: @aropero