Septiembre

2017

RELDSEC_

www.facebook.com/reldsec/

reldsec@gmail.com
Índice_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ 1

Sobre Nosotros _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ 2

Un poco de ciberseguridad _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ 3

Quienes son Shadow Broker’s _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ 4

FuzzBunch y DanderSpritz _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ 6

DanderSpritz _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ 9

Ransomware _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ 10

WannaCry _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _11

MalwareTech _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _12

Petya _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ 14

Contacto_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ 15

1
 Sobre nosotros…
RELDSEC, está formado por un grupo de jóvenes entusiastas de la seguridad informática,
innovación y otros temas que leerás a continuación. Este viene a ser el primero de tantos
proyectos que se tienen en mente y se realizarán a futuro.

El propósito de esta revista es informar a todo el público en general sobre nuevas tecnologías
y recientes ataques informáticos que ocurren en el mundo, así como herramientas y noticias
referentes al tema la informática.

Esta es la primera edición de nuestra revista en la cual se abordarán temas muy comentados
en la red como, por ejemplo, las herramientas de la NSA y los ‘Heróes’ de nuestros días, The
Shadow Broker’s, así como noticias acerca ‘WannaCry’.

Esperamos que usted, amable lector, disfrute tanto de esta primera adición al tenerla frente
a sus ojos, así como cada uno de nosotros al escribirla y hacerla llegar hasta usted.

De parte de todos los miembros de reldsec, ¡Un fuerte abrazo!

2
 Un Poco de ciberseguridad…
Cada día el interés de las personas por conocer este maravilloso mundo aumenta de una
manera increíble y acelerada, llevándolos a inspeccionar en el internet y distintos foros, con
la idea de encontrar un punto de partida para poder iniciarse en la seguridad informática de
manera adecuada y sin riesgos, aunque muchas veces esto no tiene un resultado positivo y
lleva a muchos usuarios a darse de topes con la pared.

Iniciemos, ¿Qué es la ciberseguridad?

No es más que el área relacionada con la informática y la telemática que se enfoca en la
protección de la infraestructura computacional y todo lo relacionado con esta y
especialmente, la información contenida en una computadora.
Desde luego para esta se tienen una serie de estándares, protocolos y herramientas entre
otras cosas, con el objetivo de minimizar los riesgos en una infraestructura. La seguridad
informática establece también métodos y técnicas manteniendo el objetivo de conseguir un
sistema “seguro”.
Algo que muchas personas pueden llevar a mal interpretar son los términos “Seguridad
informática” con “seguridad de la información”.
En primera instancia la seguridad de tecnologías de la información o seguridad informática
es el área en el que se pretende asegurar que los recursos de un sistema de información o
de organización funcionen de manera correcta y se mantenga una integridad en los mismos.
Por otro lado, la seguridad de la información pretende mantener la confidencialidad,
integridad y disponibilidad de los datos de un usuario común o una organización Esto va
enfocado no solo al cuidado de la información, también a la mejora de los procesos de la
empresa, agregando más medidas de seguridad como es la organización y asuntos de
acuerdo a la ley conforme a las normas que rige ISO/IEC 27001.

3
No obstante, centrándonos más en temas posteriores a tratar en esta revista VENTA DE EXPLOITS
y donde veremos sobre lo mencionado anteriormente; También mucho se ha POR SUSCRIPCIÓN
hablado de ataques informáticos en los últimos meses por parte de diferentes MENSUAL
grupos de hackers y piratas informáticos con ideales desiguales a distintas
organizaciones.
Un caso muy importante fue el del Hackeo a la Agencia Nacional De Los Tras los ataques del
Estados Unidos o mejor conocida como NSA por un grupo de Hackers ransomware WannaCry
conocido como “Shadow Broker’s” del que se hablará más
adelante. The Shadow
Pero… Broker´s volvió a dar de
que hablar ahora,
¿Quiénes son Shadow Broker’s? aprovechando la ocasión
con un servicio de
Los corredores de las sombras aparecieron por primera vez en verano del año suscripción a sus servicios
2016, con una “Gran Entrada” después de haber comprometido herramientas para poder recibir exploits
de Hacking de la Agencia Nacional De Seguridad, entre ellos varios 0day e información
enfocados en especial a productos de Microsoft y algunos firewalls comprometida de
empresariales. diversas organizaciones
según comentó el mismo
No se sabe con certeza el día del ataque, más se estima que todo comenzó a grupo de Hackers.
inicios de agosto, 13 días después se publicaba en la cuenta de Twitter
Entre sus varios intentos
@shadowbrokerss un pastebin y un repositorio de GitHub donde se daban
de negocios se
indicaciones de cómo conseguir las herramientas y exploits de Equation
encuentran cosas como: -
Group.
- Equation Group
Varias fuentes de noticias señalaron que el nombre del grupo era probable en Windows Warez
referencia a un personaje de la serie de videojuegos de “Mass Effect”.
El cual servía en teoría
Matt Suiche citó la siguiente descripción de ese personaje: "El corredor de para aprovechar los
la sombra es una persona a la cabeza de una organización expansiva que opera exploits de Windows y
en la información, siempre que vende al mejor postor El corredor de la sombra saltarse antivirus, su
precio era de
parece ser altamente competente en su comercio: todos los secretos que se
aproximadamente 750
compran y venden nunca permiten a un cliente del Broker obtener una
Bitcoins
ventaja significativa, forzando a los clientes a seguir negociando información
para evitar quedar en desventaja, permitiendo que el
Broker siga en el negocio ".

4
Entre algunos antecedentes…
Hace aproximadamente dos años, en el 2015 algunos expertos en seguridad por parte de Kaspersky
comentaban que la NSA había logrado implantar Spyware en algunos discos duros de los principales
fabricantes.
Con esto se relacionó a la agencia con Equation Group, un grupo de hackers cuyos ataques de ciber
espionaje se consideraron de los más sofisticados del mundo.
Este grupo es clasificado como una amenaza persistente además de estar vinculado con la Agencia
Nacional De Seguridad. Algunos de sus objetivos han sido
en Irán , Rusia , Pakistán , Afganistán , India , Siria y Malí.
El nombre de Equation Group fue elegido debido a la predilección del grupo por los métodos de cifrado
fuerte en sus operaciones. En 2015, Kaspersky documentó 500 infecciones de malware por parte del
grupo en al menos 42 países, aunque reconoció que el número real podría estar en decenas de miles
debido a su protocolo de auto-terminación.
Más tarde en 2017 en una discusión mantenida dentro de la CIA un comentarista mencionó que Equation
Group no hacía referencia a un grupo de Hackers en específico más bien a una colección de herramientas
para Hackear.
Durante la cumbre analistas de la seguridad celebrada en México en enero del 2015 Kaspersky mencionó
el descubrimiento de Equation Group que según Kaspersky, el grupo llevaba al menos desde el 2001
operando con más de 60 personas involucradas.
Entre el malware utilizado se encontraba EquationDrug y GrayFish.
Cuando The Shadow Broker´s se dio a conocer por la puerta grande según afirmaron en un primer
momento, habían logrado acceder a las bases de datos de la NSA y extraer una gran cantidad de
información, especificando que habían conseguido romper la seguridad de Equation Group. Es decir, el
hacker hackeado.

5
 FuzzBunch Y DanderSpritz
Cuando Shadow Broker´s liberó a Equation Group, al poco tiempo se comenzaron a explotar las
herramientas de Hacking provenientes de la NSA y facilitado más el asunto, en internet donde se encuentran
miles de millones de computadores vulnerables a los exploits filtrados.

Estos exploits van principalmente enfocados a Windows XP, Windows Server 2003, Windows 7 y 8 y Windows
2012.

Días después se sacaron parches para corregir estas vulnerabilidades. Aunque claro está, muchos equipos en
internet no han instalado estos parches por lo que pueden llegar a ser potencialmente vulnerables a estos
exploits.

Entre los exploits se encuentran:

- ETERNALROMANCE
- ETERNALSYSTEM 
- ETERNALBLUE
- EXPLODINGCAN
- EWORKFRENZY
- ETERNALSYNERGY 
- SKIMOROLL
- ESTEEMAUDIT

Entre otros.

6
 j

Entre sus características:

- ETERNALBLUE: Remote privilege escalation enfocado a Windows XP y Windows 2008 por el puerto 445
- ENTERNALCHAMPION: Remote exploit up to Windows 8 y 2012
- ETERNALSYSTEM: Remote exploit up to Windows 8 y 2012
- EXPLODINGCAN:  Remote IIS 6.0 exploit para Windows 2003
- EWORKFRENZY: Lotus Domino 6.5.4 y 7.0.2 exploit
- ETERNALSYNERGY: Windows 8 y Windows Server 2012

Módulos de Metasploit

EternalBlue MS17-010 auxiliary/scanner/smb/smb_ms17_010

EmeraldThread MS10-061 exploit/windows/smb/psexec

EternalChampion MS17-010 auxiliary/scanner/smb/smb_ms17_010

EternalRomance MS17-010 auxiliary/scanner/smb/smb_ms17_010

EducatedScholar MS09-050 auxiliary/dos/windows/smb/ms09_050_smb2_negotiate_pidhigh

EternalSynergy MS17-010 auxiliary/scanner/smb/smb_ms17_010

EclipsedWing MS08-067 auxiliary/scanner/smb/ms08_067_check

7
Ahora que mencionamos a Metasploit Framework, una de las
herramientas más utilizadas en el mundo del pentesting, tocaremos
mencionar a “FuzzBunch”. Pero antes de todo ¿Qué es FuzzBunch?

FuzzBunch ha sido el nombre que se le ha otorgado a un Framework

contenido dentro de las herramientas provenientes de la Agencia
Nacional de Seguridad. Exploits de FuzzBunch
FuzzBunch o también bautizado como “El Metasploit de la NSA”
Easybee-1.0.1.exe
contiene múltiples exploits enfocados a sistemas operativos Windows,
entre estos los ya antes mencionados. Easypi-3.1.0.exe

Este Framework está escrito en Python 2.6 y a su vez utiliza Pywin32, Eclipsedwing-1.5.2.exe
esta herramienta solo está disponible para arquitecturas de 32 bits. Educatedscholar-1.0.0.exe
También nos permite tener una “integración” con otras herramientas Emeraldthread-3.0.0.exe
para poder automatizar, mejorar o “perfeccionar” nuestros ataques.
Emphasismine-3.4.0.exe
Por ejemplo, crear una DLL maliciosa con el framework Empire para
Englishmansdentist-1.2.0.exe
poder inyectarla aprovechando DoublePulsar y obtener una Shell
Empire/Meterpreter. Erraticgopher-1.0.1.exe
Eskimoroll-1.1.1.exe
Esteemaudit-2.1.0.exe
Eternalromance-1.3.0.exe
Eternalromance-1.4.0.exe
Eternalsynergy-1.0.1.exe
Ewokfrenzy-2.0.0.exe
Explodingcan-2.0.2.exe
Eternalblue-2.2.0.exe
Eternalchampion-2.0.0.exe

Pueden descargar todas las

DoublePulsar herramientas y exploits
mencionados desde:
Es una puerta trasera (backdoor) utilizada para inyectar y ejecutar
código malicioso en sistemas ya infectados, y se instala utilizando
la vulnerabilidad EternalBlue que se dirige a los servicios de https://github.com/x0rz/EQGRP_Lo
intercambio de archivos SMB en Windows (puerto 445). Para st_in_Translation
comprometer una máquina, se debe estar ejecutando una versión
vulnerable del sistema operativo Windows con servicio SMB
expuesto.

8

Detalles técnicos.
Una de las principales cosas que
hace DanderSpritz al conectarse a
una maquina destino es recopilar
información acerca del equipo
mediante el uso del script
survey.py
Entre la información que trata de
recoger se encuentra:
- Información de la interfaz de red
(direcciones IP, direcciones MAC,
servidores DNS, etc.)
- Información del Sistema Operativo
(Arquitectura, Versión, Plataforma,
Service Pack y si los Servicios de
Terminal Server están instalados)
- Procesos actualmente en ejecución.
- Comprueba los productos de
protección personal (PSP),
esencialmente, comprueba lo que
está instalado AV.
- Información de red (tablas de
enrutamiento, tablas ARP, datos
NetBIOS, etc.)
- Realiza una comprobación de
persistencia (identifica si algún
implante de EQ o software está
instalado de forma persistente)
- Unidades USB conectadas y otros
dispositivos USB.
- Información de uso de memoria y
disco.
Entre otros.
DanderSpritz
Danderspritz es una herramienta de post-explotación utilizada
por Equation Group, esta herramienta posee una interfaz gráfica
lo que hace su uso más cómodo para algunos usuarios,
proporciona también una visión general del marco de
explotación de FuzzBunch.
El marco de DanderSpritz era aprovechado por el Grupo de
Ecuación después de explotar con éxito una máquina y desplegar
el PeddleCheap "implante". El camino "tradicional" para llegar a
la etapa de post-explotación es el siguiente:
1.- Logre comprometer una maquina con EternaBlue
2.- Construya la DLL a inyectar en el equipo victima con pc_prep
(PleddleCheap prep)
3.- Utilice DoublePulsar u algún otro backdoor para cargar el DLL
4.- Esperar la conexión de PeddleCheap con DanderSpritz y comenzar
el trabajo de post-explotación.
DanderSpritz posee una interfaz GUI totalmente funcional que
entre sus principales características proporciona acceso al
usuario a unos cuantos plugins, permite también localizar otros
equipos en la misma subred que la maquina destino, también
permite ver procesos categorizados en ciertos criterios como
seguridad, productos de seguridad, Core OS, Malicious,
Unknown.
9
 Ransomware

Hace algunos meses esta palabra se hizo muy mencionada en personas que incluso desconocían el
tema tras varios ciber ataques a diferentes compañías alrededor del mundo, pero dejemos en claro
algo ¿Qué es un ramsomware?

Un Ramsomware es un programa dañino que

Entre los Ramsomware más principalmente restringe el acceso a archivos o directorios
populares están: del sistema operativo del usuario y a cambio pide un
rescate para poder anular esa restricción.
Reveton
Basado en el troyano “Citadel”, que
Los ramsomware´s se comenzaron a hacer populares en el
comenzó a diseminar en el año 2012.
año 2013 en Rusia, a lo cual la empresa McAfee reportó
Se caracterizaba por mostrar un mensaje que solo en los primeros 3 meses del año se habían
a su víctima informándole que el equipo registrado más de 250,000 tipos de ramsomware.
había sido utilizado para actividades
ilícitas y que para poder liberarlo era
necesario pagar una fianza.

CryptoWall

Esta variedad de Ramsomware surgió

a principios del año 2014, con el
nombre de CryptoDenfense
enfocado a sistemas operativos
Windows que propagaban a través
de correos electrónicos.
Mamba
Este ramsomware fue descubierto
por un grupo de investigadores de
seguridad de Brasil, el cual usa una
estrategia de cifrado a nivel de disco
en lugar de uno basado en
archivos convencionales.

10
 l

Hace algunos meses, el 12 de mayo del 2017 apareció WannaCry con una infección a gran escala
afectando a empresas como Telefónica e Iberdrola, el ataque de este Ramsomware también llegó al
servicio de salud británico, en poco tiempo esta amenaza se extendió al resto del mundo.
WannaCry utilizaba la ya mencionada vulnerabilidad a EternalBlue que sufrían sistemas operativos
windows, Dicha vulnerabilidad fue detectada en marzo del mismo año. La compañía Microsoft comenzó
a distribuir parches de seguridad al día siguiente de conocerse esta vulnerabilidad, el 10 de marzo de
2017.
Algunos equipos alrededor del mundo que no habían instalado los parches de seguridad se vieron
afectados por el ramsomware el cual exigía 300 dólares en bitcoins para que el usuario pudiese recuperar
sus archivos.

No fue hasta que un joven británico con el pseudonombre de “MalwareTech” pudo detener la expansión
del ataque al ver mientras estudiaba el ramsomware, que este se conectaba a un dominio no registrado.
“El malware intentaba establecer una conexión con el dominio, la cual de ser establecida la infección se
detenía, si no infectaba el equipo”
Una vez descubierto esto, Marcus Hutchins o “MalwareTech” procedió a registrar el dominio al cual el
malware por fin pudo conectarse y pudieron cesar los ataques del ransomware.

11
Gracias a esto WannaCry parecía estar controlado, pero algunas de sus vertientes
comienzan a preocupar puesto que el malware utilizaba el exploit EternalBlue el cual
venía incluido en el Equation Group, esto también dio origen a amanezas más potentes
como NotPetya y EternalRock los cuales son más difíciles de controlar y usan aún más
exploits que WannaCry.

La detención de MalwareTech

Luego de haber ayudado enormemente a que WannaCry no siguiera expandiéndose por

el mundo Marcus Hutchins fue detenido en Estados Unidos por el FBI, “así es como un
héroe pasa a villano en cuestión de días”
Marcus Hutchins con 22 años de edad fue arrestado en el aereopuerto internacional de
las vegas la noche del miércoles 2 de agosto, a pesar de que este joven fue un héroe un
par de meses atrás al ponerle fin a la amenaza del ransomware WannaCry hoy se ve en
serios apuros y se enfrenta al menos a 6 cargos, entre ellos el estar involucrado en
Hackeos entre el año 2014 y 2015, Marcus había sido invitado a Defcon y el BlackHat
donde pretendía relatar su experiencia desactivando WannaCry.
En primera instancia fue trasladado a Nevada mientras tanto la Agencia de
ciberseguridad Nacional del Reino Unido declaraba que Marcus no forma parte de su
equipo más ha colaborado con ellos.

12
Wired consiguió una acusación completa hacía
Marcus donde se menciona que el joven fue el
responsable del potencial desarrollo del troyano
bancario Kronos el cual fue utilizado para robar
cuentas de banco, códigos PIN y credenciales para
realizar fraudes, así como para modificar los
portales de los bancos desde cualquier navegador.
Además, se le acusa de "conspiración criminal" por
vender el troyano por 3.000 dólares en webs
ilícitas.

Después de haber detenido el ransomware esto le

trajo tanta popularidad que los medios trataron de
descubrir un poco más de su vida personal a lo cual
se llegó a la idea de su relación con el troyano. Así
mismo se levantó una acusación más en contra de
Marcus ya que 6 meses después de la puesta en
venta del malware Marcus volvió a trabajar en
mejoraras y actualizaciones para el troyano.

13
DEFINICIÓN
Es un ramsomware reportado por la empresa
Heise Security. Petya se esparce como troyano
usando el popular sistema de archivos en la nube
Dropbox. Mientras la mayoría de los malware de
secuestro de computadoras selecciona los archivos
a encriptar, Petya aumenta el daño potencial al
impedir el arranque de la computadora.
FUNCIONAMIENTO
Utiliza ingeniería social para convencer a usuarios
de descargar un archivo que al abrirlo se auto
extrae y ejecuta el troyano. Al ejecutarse aparece
una alerta de Windows. Si el usuario prosigue,
Petya se aloja el registro de arranque principal de
la computadora de la víctima, desactiva el modo de
inicio seguro de Windows y el equipo se reinicia. Al
reiniciar, aparecen ventanas de alerta indicando
que el equipo ha sido secuestrado y cómo acceder
al sitio de los secuestradores para pagar el rescate
antes del vencimiento de un plazo de tiempo. Al
vencerse el plazo de tiempo, el monto del rescate
se duplica.
RESOLUCIÓN DEL PROBLEMA
Lo primero que debe hacer una víctima de
secuestro de computadora es apagar el equipo,
dado que mientras esté encendido el malware
podría encriptar más archivos. Se ha reportado que
es posible reiniciar desde otro disco diferente del
infectado y recuperar los archivos del disco
comprometido. En los sistemas revisados por Heise
Security no se observó encriptación de archivos,
solo del registro de arranque principal

14
CONTACTO
Esta ha sido la primera edición de nuestra revista. Esperamos y la haya disfrutado, según
los alcances de la misma se estará publicando una cada mes y en cada edición más
contenido, así como una mejor vista de la revista.
Si usted o algún equipo gustan apoyar con notas o desean que sea colocado algún anuncio
favor de contactarnos al correo reldsec@gmail.com o bien mediante nuestras redes
sociales que aparecen en la parte inferior de esta página.

15