Iurlek – Igor Urraza

El año pasado Mapfre tuvo la mala fortuna de sufrir un incidente de Seguridad, pero al mismo tiempo supo gestionarlo de una forma diligente y transparente.

Después de leer la resolución de la Agencia española de protección de datos del ciberincidente que sufrió, me tomo la libertad de resumir en un pequeño cronograma la información que se refleja en el informe a fin de que todos nos podamos aprovechar del buen trabajo realizado.

Por razones obvias no es sencillo encontrar tanta transparencia en este tipo de incidentes.

Este ejercicio lo veo como una forma de tomar conciencia de lo «sencillo» que puede ser el sufrir un vector de entrada de este tipo y las consecuencias que vienen derivadas del mismo.

Creo que es inteligente el asumir que cualquier empresa puede sufrir un ataque de este tipo, y en la medida de las posibilidades de cada una, debemos intentar controlarlo, mitigarlo y resolverlo de la manera más eficiente.

Es importante al menos tener constancia de que este tipo de incidentes suceden en el mundo real más a menudo de lo que nos gustaría. La técnica del avestruz no funciona muy bien en estos casos, ni tampoco el pensar el que uno nunca va a ser blanco ante este tipo de ataques.

1 Agosto

• Se captura contraseña de una colaboradora (posiblemente equipo personal infectado por campaña phishing)
• Esa contraseña permite acceso al puesto virtual

1-7 Agosto

• Accesos desde distintos países a otros servidores para recoger credenciales de usuarios privilegiados
• Se obtiene credenciales de usuario privilegiado

1-11 Agosto

• Se analiza la red, servidores de ficheros y recursos compartidos
• Se intenta Exfiltración de datos (bloqueado por Mapfre)

14 Agosto

• Atacante distribuye ejecutable map.exe asociado al Ransomware Ragnar Locker a los servidores
• Se ejecuta de forma remota el archivo
• Se identifica con la monitorización y se activa el protocolo de alto impacto.
• Se abre el procedimiento de gestión de incidentes
• Se activa el comité de crisis
• Se activan los planes de continuidad de negocio
• Se activa call permanente con personal del área de seguridad y tecnología
• Se detecta ataque de Ransomware y se dan instrucciones para contener y evitar la propagación
• Apagar todos los servidores no imprescindibles
• Sacar de línea la copia de Backup y aislar segmentos de red
• Cortar conexiones desde Mafre hacia el resto de las empresas
• Limitar el número de conexiones remotas a un reducido número de usuarios
• Se informa de la situación a los responsables de seguridad de los principales socios

15 agosto

• Empezar a recuperar puestos de trabajo y se mantiene activo el comité de crisis para continuar con toma decisiones
• Se confirma la integridad y disponibilidad del Backup
• Se trabaja en la estrategia para recuperar los servicios
• Se busca apoyo en terceras empresas
• Resetear contraseñas de administradores y reducir usuarios admin
• Se aumentan las capacidad de monitorización, detección y respuesta
• Se consigue identificar y aislar el malware, se envía para análisis
• Se trabaja con el proveedor antivirus para que este garantice que se detecta el malware enviado
• Llega personal de refuerzo a los Contact Center para atender a los clientes
• Se contacta con Incibe (Instituto Nacional de CiberSeguridad) y CCN-CERT (Centro criptológico Nacional) para informar del ciberataque
• Se publica en la Web un comunicado del ciberataque

16 Agosto

• Se notifica el incidente a la AEPD (Agencia Española de Protección de Datos)
• Se levantan nuevos puestos de usuario y se abren las comunicaciones con terceros informándoles

17 agosto

• Se presenta denuncia ante las Fuerzas y cuerpos de seguridad del estado
• Se refuerzan las medidas de seguridad entre las que se encuentran el utilizar el 2FA (Doble factor de autenticación)

19 Agosto

• Se despliegan nuevas medidas de seguridad e instalar agentes en los equipos que avisen de afectación o persistencia del virus

20 Agosto

• Se empiezan a distribuir con terceros los IOC (Indicadores de compromiso)

23 agosto

• Se coordina la implantación de las acciones de refuerzo en el resto de los países

01 Septiembre

• Todos los puestos están operativos

13 Septiembre

• Estar prácticamente todos los elementos de la red restaurados

21 septiembre

• Nueva comunicación con la AEPD para informar

23 Septiembre

• Todos los equipos en toda la organización recuperados. Finalizan las investigaciones y se da la red como segura

12 Octubre

• Se da por cerrada la recuperación de los puestos de los proveedores

26 Octubre

• Se comprueba los últimos servidores y se concluye que los atacantes no tienen acceso a ninguno de estos

28 Octubre

• Comunicación AEPD de que se ha cerrado la brecha de seguridad tras análisis forense.

13 Noviembre

• Se confirma erradicación de cualquier credencial que los atacantes pudieran haber utilizado.

CAUSAS HICIERON POSIBLE LA BRECHA

• Los atacantes crearon una muestra indetectable para el software antivirus de la compañía
• Uso de herramientas sofisticadas de hacking
• Aumento de la superficie de exposición al trabajar desde casa con equipos personales lo que permitió comprometer una cuenta para acceder a la red

MEDIDAS MITIGACIÓN

• En primera instancia para evitar la propagación al resto de la red se aislaron varios segmentos de la misma.
• Se pagaron sistemas ( esto supuso una degradación y pérdida temporal del servicio)
• Se activó el plan de continuidad del negocio
• Convocar el comité de crisis
• Se abrió un línea de trabajo para restauración de los sistemas (participan proveedores)
• Restablecer los servicios más críticos
• Desde la primera noche se contactó con CCN-CERT e INCIBE y denunciar a la Guardia Civil
• Contactar con fabricantes de seguridad para establecer un plan de refuerzo
• Refuerzo en la detección de los ataques en política Antivirus
• Mejorar la protección AntiSpam
• El uso por todos de 2FA
• Incrementar las capacidad de monitorización y respuesta ante incidentes
• Aumentar las restricciones para navegar por internet
• Incluir los IOC en todas las plataformas y filtros de Seguridad
• Mejorar la prevención de ataques DDoS
• Incrementar el nivel de control de los usuarios administradores

DATOS AFECTADOS

• IdUsuario + contraseña (Datos básicos)

COMUNICADOS

• Comunicar públicamente la situación a las pocas horas de conocerla
• Comunicado en la Web
• Locución en el Contact Center
• Mensaje en Redes Sociales
• Comunicados a empleados
• Comunicados a la AEPD

MEDIDAS IMPLANTADAS CON ANTEIORIDAD A LA BRECHA

• Gestión de identificadores de los usuarios (Exponer al mínimos datos personales)
• Para posibilidad trabajar en remoto se realizó un plan de Reconfiguración de CiberSeguridad
• Se definió un plan de auditorías

MEDIDAS POSTERIORES

• Comprobar la creación de un Golden Ticket.
• Erradicar cualquier puerta trasera en ese sentido que se pudiera haber generado

AEPD

• Determina si se disponían de medidas de seguridad razonables
• Si existen auditorias para el cumplimiento de la RGPD
• La información que se ha Exfiltrado y si esta estaba protegida.
• El volumen de información Exfiltrada, y los mecanismos para evitar el mismo
• Valora rápida actuación, notificaciones y comunicaciones a clientes proveedores y empleados

Informe AEPD

Desde diversos medios se advierte de una campaña muy agresiva del Ransomware «BitPaymer» que esta afectando a importantes empresas Españolas.

Adjunto detalle de la incidencia publicada desde el Blog Segu-Info

Varias empresas españolas infectadas con Ransomware (Cadena SER, Everis y Prisa Radio)

Desde Hispasec nos advierten de la vulnerabilidades tanto de Microsoft Teams como de Google Chome

Tambien desde el mismo medio se advierte de un 0-day en Google Chrome que está siendo explotado

Vulnerabilidad en Microsoft Teams permite la descarga y ejecución de paquetes maliciosos

Desde el grupo de seguridad ITS se recomiendan una serie de medidas a fin de mitigar este tipo de riesgos.

MEDIDAS A TOMAR:

1. A NIVEL PERIMETRAL:
   • No disponer de ningún servidor RDP publicado a internet.
   • No disponer de ningún servicio SMB expuesto al exterior.
   • Si es necesario proporcionar este servicio, usar redes VPN para dar acceso a terceros a estos servicios y siempre limitando muy bien los orígenes y los destinos de las conexiones. El uso de equipos de salto o pasarelas pueden ayudar mucho en estas labores.
   • Dado que se expande mediante el mismo protocolo, se recomienda limitar este acceso entre las redes de la organización. Además, si se dispone de Firewall en los propios servidores, se recomienda cortar o, en su defecto, limitar las conexiones permitidas para estos servicio en los propios servidores.
2. MONITORIZACIÓN Y PROTECCIÓN DE SISTEMAS:
   • Se recomienda monitorizar tráfico RDP o SMB no autorizado.
   • Se recomienda deshabilitar los equipos de Microsoft Teams en los equipos corporativos.
   • Se recomienda tener todos los equipos, especialmente aquellos expuestos a internet, al último nivel de parcheado.
   • Se debería impedir la ejecución por directiva de dominio de comandos de POWERSHELL.
   • Para evitar afecciones en usuarios con privilegios, se recomienda restringir el acceso a usuarios administradores en equipos locales y el uso de administradores locales diferentes en cada equipo, por ejemplo mediante LAPS.
   • Por último, se recomienda realizar un comunicado interno indicando la situación actual y que todos los empleados tengas especial cuidado en la apertura de correos o mensajes de Skype o Teams.

Si normalmente debemos de estar atentos, en en este caso debemos de extremar nuestras precauciones.

 

Después de este periodo de inactividad cuyo único culpable ha sido el veranito, volvemos a la carga al igual que la moda en la temporada Otoño-Invierno, con ocasión de hablar sobre un programita llamado Tcpdump.

Hablar de Tcpdump, es hablar de uno de los analizadores de paquetes de red más conocidos e importantes en lo que a línea de comandos en entornos Unix se refiere. Su  principal función es la de analizar el tráfico que circula por la red. Este programita ya viene del lejano 1987, época en la que  sus autores Van Jacobson, Craig Leres y Steven McCanne trabajaban de la mano en el Lawrence Berkeley Laboratory Network Research Group, siendo este ampliado por Andrew Tridgel..

Seguro que rápidamente lo relacionáis con el término Sniffer. Hablar de  Sniffers,  analizadores de red o analizadores de paquetes es hablar de un tipo de software que  nos va a permitir  realizar capturas de tráfico en nuestra red para posteriormente poder realizar un análisis de la información recogida.  Se trata de configurar nuestra tarjeta de red en un modo denominado promiscuo, que nos permita no solo escuchar los paquetes que vienen destinados a nosotros, sino que se trata de escuchar todo el tráfico que se genera en la red. Vamos… lo que se viene a denominar un cotilla. Poner la oreja a ver si cae algo que nos interese.

¿ Para qué sirven entonces este tipo de programas ?. Ciertamente  no es una pregunta dirigida a los administradores de redes. Eso seguro!. Para ellos se trata de herramientas indispensable en su labor diaria.

Leer más…

Hablar de Nmap, es hablar de Gordon Lyon-Fyodor, y de una de las herramienta por excelencia en lo que a exploración de redes y puertos se refiere.

Vamos a empezar definiendo diferentes tipos de escaneos que podemos realizar:

1. Escaneos de redes :Este tipo de exploración nos va permitir conocer los dispositivos conectados en la red a estudiar.
2. Escaneos de puertos:  Una vez identificadas las máquinas, nos va a permitan descubrir puertos abiertos en las mismas. A partir de ese momento intentaremos descubrir los servicios que se están ejecutando y obtener datos que nos ayudarán a identificar el tipo de Sistema Operativo, las aplicaciones, versiones de las mismas…
3. Escaneos de vulnerabilidades: Encontrar servicios vulnerables que sirvan como punto de entrada en los sistemas.

Tratamos por lo tanto que buscar las máquinas, ver los servicios que hay corriendo en ellas, y encontrar algún punto vulnerable por el que poder colarnos.

Debemos tener cuidado, ser cautos y no fiarnos de los resultados. A explicarse se ha dicho… Podríamos encontrar una maquina con el puerto 80 abierto. Suponemos que sobre el mismo debería de haber corriendo un servidor web, pero en realidad podemos  tener cualquier tipo de servicio detrás de ese puerto (Anexo). Realizar varios chequeos y estudiar la información devuelta con lupa. Es aquí cuando empezamos a hablar de lo que se conoce como Fingerprinting. Algo así como determinar la versión y tipo de sistema operativo que se encuentra corriendo en el Host.

Nmap es una herramienta que a día de hoy nos va permitir realizar todo esto, pero donde verdaderamente ha venido centrando su potencial, es el escaneo de redes y puertos, aunque con las nuevas funcionalidades de Scripting (NSE) vamos a ver como sacarle todo su potencial.

Leer más…

Hoy vamos a dar una serie de consejillos para securizar nuestro Joomla. Es seguro todos sabéis que se trata de un gestor de contenidos (evolución de Mambo) programado sobre PHP, que nos va a permitir de una forma sencilla generar arquitecturas Web adaptadas a nuestras necesidades.

Se trata de un entorno con mucho potencial a la hora de dotar a nuestra web de nuevas funcionalidades a través de sus  complementos , módulos y plugins… que nos permitirán instalar miles de extensiones, disponiendo así de una plataforma rápida en su puesta en marcha y sencilla en su mantenimiento.

Generalmente se tratará de una instalación sobre maquinas Linux, junto con Apache y Mysql como repositorio de datos, aunque ya sabemos que esto no tiene por que ser siempre asi:).

Al basarse principalmente en PHP, vamos a dar alguna recomendación a la hora de configurarlo.

Procedemos a editar el fichero de configuración. Al trabajar sobre la versión 5:

# vi /etc/php5/apache2/php.ini

Leer más…

Hoy vamos a empezar securizando, o al menos intentar convertirlo en algo más seguro, a nuestro tan querido y aclamado servidor HTTP Apache,. Quizás el escritorio se le resista al pinguino, pero donde si puede sacar pecho y estar orgullo es el la parte de los servidores.

Como punto de partida vamos a tratar de evitar el que ofrezca mucha información a los amigos de lo ajeno. Aunque resulta complicado el ocultar su identidad, hemos de intentar ofuscar información que pueda ayudar a los atacantes.

—– Empezamos por redirigir los errores a la pagina inicial de nuestro site, evitando así mostrar información no deseada.

ErrorDocument 403 /inicio/
ErrorDocument 404 /inicio/

—– Evitar que nuestro servidor revele información relativa a su versión modificando los siguientes parámetros :

#vi /etc/apache2/apache2.conf

ServerTokens Prod: Eliminar información relativa a la versión del Apache.
ServerSignature Off: Evitar el envio de información sobre la versión del servidor en las páginas de error.
ErrorDocument numError errores/paginaError.html: Esta directiva permite cambiar las páginas de respuesta de errores.

Leer más…

Vamos a empezar securizando un poco nuestro pinguino. Recordar que esto es un proceso diario, y las fuerzas del mal son muy oscuras y requieren de un trabajo diario. Debemos tener muy en cuenta aquello de que …. es mejor prevenir que curar.

1.- EMPEZAMOS PERSONALIZANDO NUESTRA SHELL.

Editamos /etc/bash.bashrc,

#vi  /etc/bash.bashrc

Y añadimos lo siguiente al fichero:

# enable bash completion in interactive shells
if [ -f /etc/bash_completion ]; then
. /etc/bash_completion
fi

alias mv=’mv -i’
alias cp=’cp -i’
alias rm=’rm -i’
alias ln=’ln -i’
export TMOUT=3600

Leer más…

Traceroute (traceroute6 en IPv6), se trata de una herramienta de diagnostico escrita originalmente por Van Jacobson la cual nos va a venir de lujo no solo para poder trazar mapas de red, sino para detectar diferentes problemas de red ( rutas, latencias…..).

A través de este articulo vamos a poder comprobar como se comporta Traceroute sobre todo en sistemas Unix, enviando datagramas UDP a puertos destino que pueden variar desde el 33434 al 33534, aprovechándose del valor del campo TTL presente en las cabeceras IP. TTL (Tiempo de vida-8bits), va a ser el que determine el numero máximo de saltos por los que van a pasar los paquetes antes de ser descartados.

Básicamente, cuando un dispositivo (Ejem: Router) recibe el paquete este decrementa el TTL en 1 unidad. Si el nuevo valor se convierte en 0, el paquete es descartado. Si realizamos estas mismas pruebas sobre un entorno Windows, este enviará mensajes ICMP (Echo Request) pero la lógica va a ser la misma.

Ya hablaremos en artículos posteriores del el uso de Sniffers para trafico de red, pero para que nos vayamos familiarizando vamos a ver de forma real a través de capturas de lo que estamos hablando.
Leer más…

Vamos a continuar donde lo dejamos. La verdad es que últimamente mi vida gira en torno a una ausencia completa de tiempo libre, pero vamos a intentar seguir comentando cosillas.

Para ir profundizando un poquito, vamos tomar una empresa real. La primera que nos venga a la cabeza. Una de las grandes que ahora mismo se me ocurre podría ser El Corte Inglés. Una vez marcado el punto de partida vamos a comprobar lo sencillo que puede llegar a ser obtener información tal como rangos de direcciones públicas, trazas mapas de red, nuevos dominios…..

¿Y si nos intentamos explicar mejor?.
Leer más…

Si llega ese momento en que la inquietud termina por arrastrarnos, y empezamos a mostrar intereses ocultos o simplemente inquietudes que emergen desde la mas de las purezas espirituales hacia los sistemas de alguna organización, quizás puedan interesarte estas lineas. Seguro que entre todos podemos ir aportando ideas y lograr definir algo interesante.

Si nos ponemos a pensar un poquito, resulta increíble la cantidad de información que la red puede llegar escupir sobre una empresa simplemente preguntándole algunas cosillas. Obtenemos cosas tan interesantes como son los nombres de dominio, rangos de direcciones IP, servicios, Sistemas Operativos, lenguajes de programación, Hardware, usuarios, teléfonos, correos electrónicos…. aunque supongo que esa misma información la podríamos obtener de una forma mas sencilla si preguntásemos a hacienda…

Vamos a empezar quizás por lo mas lógico y sencillo a la vez. Si estamos frente a una empresa medianamente importante es claro que en los días que corren, esta debería estar presente en la red.

Leer más…