viernes, noviembre 19, 2010

Viviendo en la paranoia

Con la proliferación de los ataques por medio de malware, he llegado a un estado de paranoia bastante exacerbado cuando recibió un correo. Ésta es la historia de cómo me afecta a mi vida profesional.

El otro día, en el buzón de registro que usamos para recibir los ficheros con los datos de los estudiantes había un correo con un adjunto en formato Excel, el que nosotros utilizamos, pero con un nombre Chino o similares – perdonad mi incultura en el tema de las lenguas-. El caso es que el próximo día 25 de Noviembre tenemos un training de la FOCA en inglés, y en el anterior ya se apuntó gente de todo el mundo, por lo que pudiera ser un registro para este seminario.


Figura 1: El sospechoso

El antivirus/antispam del servidor de correo no lo había eliminado, por lo que había pasado el primer filtro de seguridad, pero aun así… ¿hay cojones de abrirlo a la ligera? Pues en mi caso no. Lo siguiente que hice fue descargarlo y analizarlo con el antivirus de mi máquina y nada. Pasó el segundo filtro.

Si el fichero no pasa alguno de los filtros de seguridad, la opción es fácil. Se elimina o se pasa al SOCtano para que le hagan un análisis forense al malware, pero si pasa todos los filtros… tendría que enfrentarme con la dura decisión de abrirlo o no.

La siguiente opción fue enviarlo a VirusTotal y a ver si algún motor de Antivirus tenía información relevante para ver si era o no un malware


Figura 2: 43 motores antimalware dicen que no hay malware

Y nada, el puto fichero seguía pasando filtros de seguridad e iba a tener que abrirlo. Pero… ¿y si es un 0day de MS Office? Mmm… vamos a enviárselo a la FOCA y que me dé información de metadatos


Figura 3: Metadatos extraidos por la FOCA

Vaya, tiene un usuario y configurada una impresora, lo que significa que ha configurado las opciones de impresión de este documento. La fecha de creación es reciente y la de última modificación es de hace unos días, con lo cual si es un 0day lleva tiempo creado, o han estado manipulando esta información con un editor hexadecimal adrede para engañar a los que busquemos esta información… mmm… poco probable. Además está bien formado el fichero Excel y se ha sacado el sistema operativo con los OLE Streams.

Mirando las fechas, pudiera ser un exploit para la vulnerabilidad de MS Office que se explotó activamente, pero ya está parcheada en mi versión.

En fin, que va a tocar abrir el fichero pero… ni de coña en mi máquina, así que será una máquina virtual, con Office 2010 parcheado y la sandbox activada.... y aver por dónde canta la rana. Vamos allá, a dar el salto de fe.


Figura 4: Apertura en Sandbox con Office 2010

Me cago en su padre, es un correo de alguien que está buscando curro y nos envía su currículo… en chino. Lo que hace la crisis...

Al final, después de todo el tiempo invertido, era un spam y me ha hecho poner toda la paranoia activa. Y tal y como va esto… creo que cada vez acabaremos siendo más paranoicos. ¿No te da grima cuando un colega te manda una URL o un PDF?

Saludos Malignos!

23 comentarios:

Anónimo dijo...

Hola!

lo primero es pasar ciertos filtros como los tuyos

AntiSPAM, antivirus, virtus total y sandboxie, si es UTL corta le digo que me de la original y ya esta =)

La paranoia es buena para que no te den por donde no nos gusta

Salut!

Anónimo dijo...

Pregunta del millón y siendo aún más paranoico.

Estás subiendo un fichero que no sabes lo que es a VirusTotal, servidor externo que tú no controlas. ¿y si en ese documento están las fotos sin ropa que te hiciste en aquella Mandarin CON?

A mí el tema de analizar cosas con VirusTotal, sobretodo en el mundo empresarial, me da un poco de yuyu. No sabes qué información tiene (puede ser altamente confidencial), y lo estás enviando "por ahí" alegremente.

jcanto@hispasec.com dijo...

Es verdad, esos de VirusTotal son unos cabrones.

Alfredo dijo...

Ojo... la FOCA dice que el encoding es "cirílico" (es decir, Ruso, Ucraniano, Búlgaro, Serbio, o similar). Sin embargo el documento está en Chino (o similar).

Cuando menos es sospechoso.

Cyberkender dijo...

Además de todo eso los documentos ofimaticos los puedes cotillear con herramientas alternativas ('léase xxxxoffice') que te permiten echar un ojo al contenido sin usar los mismos motores...Aunque lo mismo el autor ya lo tenía pensado y...

Alfredo dijo...

Anónimo, si ya no nos podemos fiar ni de VirusTotal, apaga y vámonos.

¿Eres de Kaspersky? :-D

Anónimo dijo...

No digo que los de VirusTotal sean unos cabrones o sean hermanitas de la caridad.

Simplemente que hay cierta información, principalmente en entornos empresariales, que no se puede propagar alegremente. En principio no tiene por qué pasar nada. Es más, apostaría que los ficheros subidos a VirusTotal se borran instantáneamente, pero si nos ponemos paranóicos el compartir información confidencial con terceras partes es un riesgo muy alto.

jcanto@hispasec.com dijo...

http://www.virustotal.com/terms.html

en cualquier caso estoy de acuerdo: si se maneja informacion confidencial, hay que procurar que no vaya rulando por ahi. la pregunta es, como sabes si es confidencial si te lo dicen en un lenguaje que no entiendes?

Anónimo dijo...

Ahí radica el problema que yo le veo a subirlo a servidores de terceros. Mandar información que no sabes lo que es (puede ser altamente confidencial o no) a un servidor que tú no controlas.

Que conste que no es una crítica a VirusTotal, sino una reflexión que he hecho alguna vez y no tengo respuesta.

Anónimo dijo...

Para que crees que esta Google Docs?

Unknown dijo...

Que yo sea paranoico no quiere decir que no me esten siguiendo!

Mario dijo...

y si lo abrias con el OpenOffice, o el Docs (online) de Google, mitigaba en algo el riesgo?

Briptimus dijo...

@jesola

Esa frase es genial, ahora que lo recuerdo yo la vi (en inglés) en una canción de nirvana llamada "territorial pissings". De donde la has sacado tu?

Con respecto a lo de virus total, pienso igual...pero hasta que punto es buena la desconfianza(paranoia!) y en que momento llega a ser algo enfermizo.

Mi padre conoce a un profesor universitario que nunca conecta su PC a internet. No tengo idea que hará con ella.

Anónimo dijo...

chema el mode paraoina se te activo solo por ver caracteres chinos? quizas sea fobia entonces? y si el documento en realidad tenia malware pero venia en un idioma castellano familiar? pasaba como costillar de cordero patagonico......!!
bruce.

tayoken dijo...

Chema, por muy chino que sea yo quitaría la captura del CV, puedes estar publicando información confidencial... aunque sea de un Chino xD

Chema Alonso dijo...

@Tayoken, de un spammer!!!!

Anónimo dijo...

Normalmente los exploits de fileformat rompen al abrir el archivo por tanto si este se abre y se puede visualizar es raro que sea un exploit. Pasaría mi filtro 56...

Alberto

PD: Un gusto haberte conocido hoy.

Anónimo dijo...

Mira que os complicáis la vida...
Paso 1: abrir el archivo con Office 2011 para Mac
FIN

Chema Alonso dijo...

@Anónimo, claro, claro, como Mac es seguro...

http://www.seguridadapple.com/2010/11/ms-office-2011-for-mac-actualizacion.html

Saludos!

Anónimo dijo...

jajajajja. MAC es el SO más inseguro!
Mas que W7 por mucho que la gente "odie" windows...

Un saludo
Alberto

Anónimo dijo...

Si hubieras ido directamente al último paso de:
Montar una máquina virtual, con Office 2010 parcheado y la sandbox activada...

No te hubieras ahorrado algo de tiempo ?

saludos!

NetVicious dijo...

Yo hubiera tirado de un traductor online porque posiblemete en el nombre del fichero ponga curriculum, jeje

Luego lo hubiera subido al google docs, y si peta que peta el server de google, jeje

De todas hubiera la opcion de la maquina virtual no es mala.

Anónimo dijo...

Chema, se que la entrada es antigua pero quiero hacerte una pregunta (quizas incluso tengas planeado un post sobre el tema).

La nueva politica de Google... es un tema. Ya sabiamos que Google recogia informacion de nosotros pero sus busquedas estan muy bien... y nos dejamos robar.

No se si conoces este buscador: www.startpage.com . Echale un ojo (sobre todo a la seccion Details) y dime que te parece. Si eres tan paranoico como yo, quizas te guste. Quizas tu le veas pegas.

Un saludo!

Entrada destacada

Desde HOY es BlackFriday en 0xWord.com Cupón 10% descuento: BLACKFRIDAY2024 y descuentos con Tempos de MyPublicInbox @0xWord @mypublicinbox

Pues este año tenemos el  BlackFriday  durante  7 días , y poco más que decir en el artículo que lo que he puesto en el título del artículo....

Entradas populares