- El ID-09/19 está disponible en la parte privada de su portal.
- Este tipo de código dañino tiene unas características particulares, entre las que destaca la creación de una nueva capa de envoltura JavaScript para la aplicación, permitiéndole acceder a nuevas características y APIS de forma directa.
- El CERT Gubernamental Nacional incluye dentro de este informe las reglas Snort, YARA e IOC.
El CCN-CERT del Centro Criptológico Nacional ha publicado en la parte privada de su portal el Informe de Código Dañino CCN-CERT_ID-09-19_JSDealer. Este documento recoge el análisis de la familia de troyanos para dispositivos Android identificada como JSDealer, la cual se trata de una evolución del troyano SMSPremium. Este malware presenta unas características particulares, entre las que destaca la creación de una nueva capa de envoltura JavaScript para la aplicación, permitiéndole acceder a nuevas características y APIS de forma directa. Además, se suscribe a mensajes premium de forma automática y sin la autorización del usuario.
Como es habitual en este tipo de Informes, el CCN-CERT incluye las siguientes secciones:
- Características del código dañino
- Detalles generales
- Procedimiento de infección
- Características Técnicas
- Ofuscación
- Persistencia en el sistema
- Conexiones de red
- Archivos relacionados
- Detección y desinfección
- Información del atacante
- Referencias
- Reglas de detección
Algunas de las características más destacadas de este código dañino son que simula una aplicación de postales románticas, solicita acceso a los SMS y a la cámara, envía mensajes de texto SMS, extrae información del dispositivo y que contiene ofuscación del C&C.
Para detectar si un dispositivo está, o ha estado infectado para cualquiera de sus usuarios, se recomienda utilizar alguna de las herramientas de Mandiant como el "Mandiant IOC Finder" o el colector creado por RedLine con los indicadores de compromiso generados para su detección. Además, el documento incluye las reglas de detección (Snort y Yara) e Indicadores de Compromiso (IoC) correspondientes.
De haber resultado infectado, el CCN-CERt aconseja la utilización de herramientas antivirus actualizadas, así como la desinstalación de la aplicación y la desactivación del servicio premium. En última instancia, es recomendable el formateo y la reinstalación completa del sistema operativo, incluyendo los dispositivos USB conectados (siguiendo lo indicado en las guías CCN-STIC correspondientes) de todos aquellos dispositivos en los que se haya detectado algún indicador de compromiso o encontrado algún archivo o clave de registro indicados.
Pueden acceder a los informes en la sección de Informes de Código Dañino del portal del CCN-CERT.
CCN-CERT (03/06/2019)
CCN-CERT_ID-09-19_JSDealer
- Nueva Guía CCN-STIC 883 del Centro Criptológico Nacional sobre el Esquema Nacional de Seguridad.
- El objetivo de esta guía es servir de ayuda a las entidades locales para que adopten las medidas adecuadas para gestionar la seguridad de la información y cumplir con el Esquema Nacional de Seguridad, aplicando una metodología que prioriza los resultados y la agilidad.
- La Guía viene a sumarse al libro de recomendaciones: “Itinerario de adecuación al Esquema Nacional de Seguridad” editado en 2017 en colaboración con la Federación Española de Municipios y Provincias, FEMP.
El Centro Criptológico Nacional ha hecho público la ‘Guía CCN-STIC 883 de Implantación del ENS para Entidades Locales’, donde se recogen una serie de pasos necesarios para adoptar las medidas adecuadas dentro de una organización para que permitan asegurar la gestión de la seguridad de la información, a través del Esquema Nacional de Seguridad.
La guía desarrolla las etapas de un plan que establece con precisión la secuencia de pasos para alcanzar la órbita de Cumplimiento del ENS, aplicando para ello una metodología que prioriza la obtención de resultados y la agilidad para gestionar la seguridad de la tecnología.
El documento recoge las claves y un paso a paso para implantar el Esquema Nacional de Seguridad en Ayuntamientos. Asimismo, describe las fases de implantación del sistema de gestión para el ENS dividiéndose en 4 fases: inicio, despegue, aceleración y órbita de cumplimiento.
Por último, la Guía facilita un desarrollo de normativas de seguridad generado a través de todas las guías que se han ido emitiendo durante los últimos años e incluye a modo de ejemplo algunas de las normativas principales. Normativa de clasificación y tratamiento de la información, de acceso lógico y la gestión de la formación, sensibilización y concienciación son algunos de estos apartados. Del mismo modo, se incluye un capítulo de gestión de las redes de comunicaciones, del parque de puesto de trabajo digital y la gestión de los logs de los sistemas.
CCN-CERT (30/05/2019)
Guía CCN-STIC 883 de Implantación del ENS para Entidades Locales
- El ID-08/19, disponible en la parte privada de su portal, es uno de los nueve informes de código dañino recientemente publicados.
- El objetivo de este código dañino es recolectar información de los navegadores, así como de las aplicaciones instaladas, y realizar la descarga de otros códigos dañinos.
- El CCN-CERT del Centro Criptológico Nacional incorpora al final del documento las reglas de detección Snort, YARA e IOC correspondientes.
El CCN-CERT del Centro Criptológico Nacional ha publicado en la parte privada de su portal el Informe de Código Dañino CCN-CERT_ID-08-19_Buhtrap. Este documento, uno de los nueve de este tipo recientemente publicados, analiza la familia de troyanos identificada como “Buhtrap”, la cual ha sido diseñada para recolectar información de los navegadores y las aplicaciones instaladas y realizar la descarga de otros códigos dañinos.
Al igual que en los anteriores informes de código dañino, el documento está estructurado en función de los siguientes contenidos:
- Características del código dañino
- Detalles generales
- Procedimiento de infección
- Características Técnicas
- Ofuscación
- Persistencia en el sistema
- Conexiones de red
- Archivos relacionados
- Detección y desinfección
- Información del atacante
- Referencias
- Reglas de detección (Snort, YARA e IOC)
Algunas de las principales características de este malware son su capacidad de cargar las funciones en tiempo de ejecución, descifrar una lista de ejecutables y una gran lista de dominios o leer el historial de navegación y las bases de datos de Firefox y Opera, entre otras.
Para saber si un equipo ha estado o está infectado por este troyano, el CCN-CERT recomienda el uso de alguna de las herramientas de Mandiant como el "Mandiant IOC Finder" o el colector creado por RedLine con los indicadores de compromiso generados para su detección. Asimismo, es recomendable iniciar sesión con un usuario que posea privilegios administrativos en el sistema.
En caso de estar infectado, para desinfectar el equipo se aconseja la utilización de herramientas antivirus. En última instancia, se recomienda el formateo y la reinstalación completa del sistema operativo, incluyendo los dispositivos USB conectados (siguiendo lo indicado en las guías CCN-STIC correspondientes) de todos aquellos equipos en los que se haya detectado algún indicador de compromiso o encontrado algún archivo o clave de registro relacionados.
Por último, como viene siendo habitual en estos informes, el documento incluye los anexos referentes a las reglas de detección (Snort y Yara) e Indicadores de Compromiso (IoC).
Este informe de código dañino y todos los anteriores publicados por el CCN-CERT se pueden consultar en la sección Informes de Código Dañino de su portal.
CCN-CERT (29/05/2019)
CCN-CERT_ID-08-19_Buhtrap
- El ID-07/19 está disponible en la parte privada de su portal.
- Este malware ha sido diseñado para infectar sistemas Windows, tomar su control y extraer información.
- El CERT Gubernamental Nacional incluye en el informe las reglas Snort, YARA e IOC correspondientes.
El CCN-CERT del Centro Criptológico Nacional ha publicado en la parte privada de su portal el Informe de Código Dañino CCN-CERT_ID-07-19_IcedID, en el que se recoge un análisis de este malware. El documento se centra en la familia de troyanos identificada como “IcedID”, también conocida como “Bokbot”, diseñada para infectar sistemas Windows, tomar su control y extraer información, como puede ser el robo de credenciales.
Como es habitual en este tipo de Informes, el CCN-CERT incluye las siguientes secciones:
- Características del código dañino
- Detalles generales
- Procedimiento de infección
- Características Técnicas
- Ofuscación
- Persistencia en el sistema
- Conexiones de red
- Archivos relacionados
- Detección y desinfección
- Información del atacante
- Referencias
- Reglas de detección
Para detectar si un equipo se encuentra infectado o lo ha estado en algún momento, para cualquiera de sus usuarios, se recomienda utilizar la herramienta Autoruns.exe de Microsoft Windows Sysinternals. También se puede usar alguna de las herramientas de Mandiant como el "Mandiant IOC Finder" o el colector generado por RedLine con los indicadores de compromiso generados para su detección.
Asimismo, el documento incluye diversos Anexos con reglas de detección (Snort y Yara) e Indicadores de Compromiso (IoC).
En cuanto a la desinfección del equipo, se aconseja la utilización de herramientas antivirus actualizadas y, en última instancia, el formateo y la reinstalación completa del sistema informático, utilizando para ello lo indicado en las guías CCN-STIC correspondientes.
Pueden acceder a los informes en la sección de Informes de Código Dañino del portal del CCN-CERT.
CCN-CERT (28/05/2019)
CCN-CERT_ID-07-19_IcedID