Abrir sesión
logo

DEFENSA FRENTE A LAS CIBERAMENAZAS

ÚLTIMA HORA


barra-separadora

ADA

Plataforma de análisis avanzado de malware

AMPARO

Implantación de seguridad y conformidad del ENS

ANA

Automatización y normalización de auditorías

CARLA

Protección y trazabilidad del dato

CARMEN

Defensa de ataques avanzados/APT

CCNDroid

Seguridad para Android

CLARA

Auditoría de Cumplimiento ENS/STIC en Sistemas Windows

CLAUDIA

Herramienta para la detección de amenazas complejas en el puesto de usuario

microCLAUDIA

Centro de vacunación

ELENA

Simulador de Técnicas de Cibervigilancia

EMMA

Visibilidad y control sobre la red

GLORIA

Gestor de logs para responder ante incidentes y amenazas

INES

Informe de Estado de Seguridad en el ENS

IRIS

Estado de la ciberseguridad

LORETO

Almacenamiento en la nube

LUCIA

Gestión de Ciberincidentes

MARIA

Sistema Multiantivirus

MARTA

Análisis avanzados de ficheros

MÓNICA

Gestión de eventos e información de seguridad

PILAR

Análisis y Gestión de Riesgos


REYES

Intercambio de Información de Ciberamenazas

ROCIO

Inspección de Operación. Auditoría de configuraciones de dispositivos de red

VANESA

Grabaciones y emisiones online

CURSOS CCN-STIC

IV Curso STIC Cibervigilancia

Del 30 de agosto al 3 de septiembre (Fase asíncrona: 25h.)

Del 6 al 10 de septiembre, de 15:30 a 20:30 horas (Fase síncrona: 25h.)

 

V Curso Básico de Auditorías de Seguridad TIC

Del 13 al 24 de septiembre, de 9:00 a 14:00 horas

 

ver +

SERIES CCN-STIC

Índice de Guías (octubre 2021)

Última guía serie 800 (ENS)


CCN-STIC-885ES Escenario de nube para el manejo de información sensible en Microsoft Office 365

Última guía

 

CCN-STIC-1610 Procedimiento de empleo seguro de KATUA SDI Platform
 
ver +

INFORMES

Informes de Código Dañino (ID)

CCN-CERT ID-12/21 RansomEXX_Linux ransomware

Informes de Amenazas (IA)

CCN-CERT IA-17/21 Informe Anual 2020. Hacktivismo y Ciberyihadismo

Informes de Buenas Prácticas (BP)

CCN-CERT BP/13 Desinformación en el Ciberespacio
ver +
ver +

AVISOS Y ALERTAS

Alerta:

CCN-CERT AL 08/21 Vulnerabilidades en Apache

Aviso:

CCN-CERT AV 24/21 Actualización de seguridad para Google Chrome

VULNERABILIDADES

ver +

Vulnerabilidad:
CCN-CERT-2110-32770

TMUI XSS vulnerability CVE-2021-23037


Soporte de vulnerabilidades

EMPRESAS

Catálogo de Servicios

Sistema de Alerta Temprana, SAT de Internet 

Detección en tiempo real de amenazas e incidentes existentes en el tráfico que fluye entre la red interna a Internet

Detección de patrones de distintos tipos de ataque y amenazas mediante el análisis de tráfico y sus flujos.

Guías SCADA

Los sistemas SCADA o sistemas de Supervisión, Control y Adquisición de Datos, comprenden todas aquellas soluciones de aplicación que recogen medidas y datos operativos de equipos de control locales y remotos. Los datos se...

ver +

Seguridad al día

Nueva guía CCN-STIC 1420 sobre procedimiento de empleo seguro de Sonicwall SonicOS

Actualizado el catálogo de Productos de Seguridad de las Tecnologías de la Información y la Comunicación

ver +
blue-balls

  • Este documento puede consultarse en la parte privada del portal del CCN-CERT.
  • El informe ‘CCN-CERT ID-22/19’ recoge el análisis de la familia de troyanos identificada como Rarog. Este código dañino, escrito en Microsoft Visual C++ y activo desde abril de 2018, se ha visto involucrado en ataques de minado de criptomonedas.
  • Entre los apartados más destacados que incluye este documento se encuentra el referente a las características del código dañino, procedimiento de infección, características técnicas, ofuscación, persistencia en el sistema, conexiones de red, archivos relacionados, detección, desinfección e información del atacante. Asimismo, se incluyen las reglas de detección Snort, IOC y YARA.

El Informe de Código Dañino CCN-CERT ID-22/19 “Rarog" ya se puede consultar en la parte privada del portal del CERT del Centro Criptológico Nacional (CCN-CERT). Este documento recoge el análisis de la familia de troyanos identificada como Rarog. Este código dañino, escrito en Microsoft Visual C++ y activo desde abril de 2018, se ha visto involucrado en ataques de minado de criptomonedas.

Algunas de las principales características que presenta ‘Rarog’ son que recolecta información del sistema, que cifra el dominio del C&C en su interior, que mantiene conexiones con un panel de control y que puede llevar a cabo descargas de otros códigos dañinos o módulos.

En cuanto al procedimiento de infección del sistema, este se produce al ejecutar el fichero que contiene el código dañino. Una vez que comienza su ejecución, es capaz de realizar las siguientes acciones en el dispositivo de la víctima:

  • Carga cadenas de texto relacionadas con un módulo de log de Rarog.
  • Inicia la recolección de información acerca del sistema.
  • Busca el proceso “explorer.exe” entre los procesos.
  • Ejecuta una rutina generación de nombres aleatorios
  • Crea un directorio en ProgramData donde copia el código dañino.
  • Realiza la extracción de la hora y fecha y aglutina la información en un array.
  • Una rutina de descifrado genera el nombre del dominio del C&C.
  • Se identifica un User-Agent.
  • Crea una tarea programada con ShellExecuteA.
  • Crea una tarea programada con CreateProcessW.
  • Realiza peticiones a Internet.
  • Trata de borrarse a sí mismo.

Para la desinfección del equipo de forma automática se aconseja la utilización de herramientas antivirus actualizadas. Una vez localizadas las aplicaciones dañinas, se elige la opción de desinfección. Si se opta por una desinfección manual, habría que revisar si el código dañino ha generado persistencia, mediante la revisión de la tarea programada recogida en el apartado de persistencia en el informe. Tras identificar el proceso dañino, sería posible finalizarlo desde el administrador de tareas y eliminando o deshabilitando la ejecución desde la herramienta de Task Scheduler de Windows. En última instancia, se aconseja el formateo y la reinstalación completa, siguiendo lo indicado en las guías CCN-STIC correspondientes.

Además de las características, el procedimiento de infección y desinfección, así como la persistencia, el documento también incluye otros apartados de interés, tales como la ofuscación, conexiones de red, archivos relacionados, información del atacante y tres reglas de detección para comprobar si el sistema se encuentra infectado por el troyano: mediante regla Snort, indicador de compromiso (IOC) y utilizando sobre la memoria de un equipo la firma YARA.

CCN-CERT (11/10/2019)

Informe de Código Dañino CCN-CERT ID-22/19 “Rarog"

 

  • El Centro Criptológico Nacional (CCN) continúa ampliando la sección de ‘Ciberconsejos’ de su portal.
  • El objetivo de este nuevo contenido es divulgar, a través de una infografía, medidas de seguridad basadas en un modelo más preventivo y orientado al dato y al usuario, para aplicarlas en redes corporativas.
  • Deshabilitar los protocolos de administración remota no cifrados que se utilizan en la infraestructura de red, desactivar los servicios innecesarios y realizar copias de seguridad de las configuraciones y almacenarlas fuera de la red son las principales recomendaciones que se ofrecen.

La sección de ‘ciberconsejos’ del portal del Centro Criptológico Nacional (CCN) sigue ampliándose. En este caso, se suma al resto de contenido una infografía para implementar Zero Trust en redes corporativas, un modelo de seguridad de las Tecnologías de la Información que requiere una verificación de identidad estricta para cada persona y dispositivo que intente acceder a los recursos de una red.

El modelo tradicional basado en el concepto de perímetro, donde se protege el acceso desde fuera y el usuario interno es de confianza, ya no es válido. La deslocalización de los datos en distintos centros de datos y nubes, así como el acceso de terceros (proveedores e invitados) desde dentro y fuera de la red hace más difícil definir un perímetro.

Por este motivo, es de especial importancia la capa de acceso. Para implementar un modelo Zero Trust, se debe tener visibilidad y control de la electrónica de red para después aplicar medidas de seguridad. Si un atacante accede a la red, tiene reinado libre sobre todo lo que hay dentro, por lo que es importante tomar una serie de medidas de seguridad:

  • Deshabilitar los protocolos de administración remota no cifrados que se utilizan en la infraestructura de red.
  • Desactivar los servicios innecesarios.
  • Realizar copias de seguridad de las configuraciones y almacenarlas fuera de la red.

Aplicadas estas medidas, es importante monitorizar y verificar continuamente las configuraciones para asegurar que no se están llevando a cabo cambios no deseados.

Con esta nueva infografía, el Centro Criptológico Nacional continúa fomentando el conocimiento y el uso seguro de las nuevas tecnologías, tanto en el Sector Público como en la ciudadanía en general, en su firme apuesta por una cultura de la ciberseguridad entre todos los usuarios.

CCN-CERT (10/10/2019)

Ciberconsejos

 

  • El Centro Criptológico Nacional ha hecho público, dentro de su serie de ciberconsejos, un decálogo de recomendaciones con el fin de ayudar a adoptar buenas prácticas en el empleo de la tecnología.
  • Proteger las redes sociales, utilizar siempre versiones actualizadas, no conectarse a redes públicas, no interaccionar con archivos adjuntos procedentes de correos desconocidos o usar contraseñas complejas y únicas son algunos de los principales consejos ofrecidos.

El Centro Criptológico Nacional (CCN), siguiendo con su compromiso de promover la concienciación y adoptción de buenas prácticas en ciberseguridad, ha elaborado una serie de consejos para hacer un uso seguro de la tecnología. Estas recomendaciones, que pretenden ayudar a todos los usuarios a crear una primera y esencial barrera de protección frente a ciberamenazas, se unen al resto de “ciberconsejos” disponibles en su portal web.

Concretamente, este nuevo contenido elaborado por el CCN consiste en decálogo de consejos generales sobre cómo evitar riesgos cuando se emplean las tecnologías:

  • No interaccionar con archivos adjuntos procedentes de correos sospechosos.
  • Mantener el sistema operativo actualizado y no descargar aplicaciones extrañas.
  • No conectarse a redes públicas y, en su lugar, emplear una VPN.
  • Ajustar la privacidad de los perfiles en redes sociales.
  • Ser cauto a la hora de conectar dispositivos extraíbles a un equipo cuando provienen de terceros.
  • Avisar de los incidentes de seguridad.
  • Saber que hasta los smartphones apagados pueden ser rastreados.
  • Mantener todos los plugins y extensiones del navegador actualizados.
  • Usar contraseñas complejas y únicas.
  • Eliminar documentación sensible de los dispositivos mediante herramientas de borrado seguro.

Ciberconsejos

Esta serie de ciberconsejos elaborada por el CCN tiene como principal misión concienciar sobre el uso responsable de las Tecnologías de la Información y la Comunicación (TIC). En ella, los usuarios pueden informarse, a través de infografías, vídeos e informes, sobre cómo proteger sus perfiles sociales y cuentas corporativas o cómo evitar ser víctimas de una campaña de desinformación. Asimismo, se ofrecen recomendaciones generales en materia de ciberseguridad.

CCN-CERT (09/10/2019)

Ciberconsejos

 

  • El CCN-CERT publica un informe de amenazas en la parte pública del portal del CCN-CERT.
  • El objetivo del informe IA-51/19 es divulgar las medidas necesarias para prevenir la campaña de acción por parte del código dañino EMOTET, la cual está afectando de forma significativa a los sistemas de la información.
  • Entre los principales puntos que se incluyen se encuentra el vector de ataque, las consecuencias, los mecanismos de prevención aplicables a través de los documentos de seguridad CCN-STIC para el ENS en su categoría alta, dispersión y movimientos literales, así como otras medidas.

El CERT del Centro Criptológico Nacional (CCN-CERT) ha publicado un nuevo Informe de Amenazas en la parte pública de su portal. El documento IA-51/19 tiene como principal misión la prevención de la campaña de código dañino EMOTET con medidas técnicas de las guías CCN-STIC de ENS nivel ALTO.

El punto de entrada o infección del código malicioso EMOTET se produce mediante la ejecución de código embebido desde un documento ofimático a través de aplicaciones tales como MS Word. Algunas de las consecuencias, una vez que la acción maliciosa se ha producido, son el proceso de secuestro del sistema mediante el cifrado del contenido, el robo y exfiltración de contenido sensible o formar parte de una red de tipo “botnet”.

Como prevención, el CCN-CERT recomienda que se tomen en consideración todas aquellas medidas que, siendo de aplicación en los sistemas de la información, quedan recogidas en las guías técnicas de seguridad CCN-STIC que mejoran la seguridad y podrían prevenir su actuación. Específicamente, las medidas de seguridad a tener en cuenta están recogidas en las guías CCN-STIC-599A18 y CCN-STIC-585.

Adicionalmente, no deben desdeñarse otras potenciales medidas que ofrecerían la protección adecuada, como:

  • Aplicar mecanismos integrales de protección Endpoint con análisis y protección frente a comportamientos dañinos que ofrezcan una medida preventiva adicional a la detección basada en firmas.
  • Aplicar mecanismos de protección en el perímetro, con prevención frente a conexiones internas a sitios de contenido malicioso o de mando y control.

CCN-CERT (08/10/2019)

Informe CCN-CERT IA-51/19 Prevención de la campaña de código dañino EMOTET con medidas técnicas de las guías CCN-STIC de ENS nivel ALTO

 

Volver
logo-gobierno logo-cni ccn-logo
certauth-logo first-logo tfcsirt-logo egc-logo egc-logo Foro Nacional de Ciberseguridad CSIRTes
© 2021 Centro Criptológico Nacional, Argentona 30, 28023 MADRID

Telegram Vimeo

Este sitio web utiliza cookies propias y de terceros para el correcto funcionamiento y visualización del sitio web por parte del usuario, así como la recogida de estadísticas. Si continúa navegando, consideramos que acepta su uso. Puede cambiar la configuración u obtener más información. Modificar configuración