- El ID-08/19, disponible en la parte privada de su portal, es uno de los nueve informes de código dañino recientemente publicados.
- El objetivo de este código dañino es recolectar información de los navegadores, así como de las aplicaciones instaladas, y realizar la descarga de otros códigos dañinos.
- El CCN-CERT del Centro Criptológico Nacional incorpora al final del documento las reglas de detección Snort, YARA e IOC correspondientes.
El CCN-CERT del Centro Criptológico Nacional ha publicado en la parte privada de su portal el Informe de Código Dañino CCN-CERT_ID-08-19_Buhtrap. Este documento, uno de los nueve de este tipo recientemente publicados, analiza la familia de troyanos identificada como “Buhtrap”, la cual ha sido diseñada para recolectar información de los navegadores y las aplicaciones instaladas y realizar la descarga de otros códigos dañinos.
Al igual que en los anteriores informes de código dañino, el documento está estructurado en función de los siguientes contenidos:
- Características del código dañino
- Detalles generales
- Procedimiento de infección
- Características Técnicas
- Ofuscación
- Persistencia en el sistema
- Conexiones de red
- Archivos relacionados
- Detección y desinfección
- Información del atacante
- Referencias
- Reglas de detección (Snort, YARA e IOC)
Algunas de las principales características de este malware son su capacidad de cargar las funciones en tiempo de ejecución, descifrar una lista de ejecutables y una gran lista de dominios o leer el historial de navegación y las bases de datos de Firefox y Opera, entre otras.
Para saber si un equipo ha estado o está infectado por este troyano, el CCN-CERT recomienda el uso de alguna de las herramientas de Mandiant como el "Mandiant IOC Finder" o el colector creado por RedLine con los indicadores de compromiso generados para su detección. Asimismo, es recomendable iniciar sesión con un usuario que posea privilegios administrativos en el sistema.
En caso de estar infectado, para desinfectar el equipo se aconseja la utilización de herramientas antivirus. En última instancia, se recomienda el formateo y la reinstalación completa del sistema operativo, incluyendo los dispositivos USB conectados (siguiendo lo indicado en las guías CCN-STIC correspondientes) de todos aquellos equipos en los que se haya detectado algún indicador de compromiso o encontrado algún archivo o clave de registro relacionados.
Por último, como viene siendo habitual en estos informes, el documento incluye los anexos referentes a las reglas de detección (Snort y Yara) e Indicadores de Compromiso (IoC).
Este informe de código dañino y todos los anteriores publicados por el CCN-CERT se pueden consultar en la sección Informes de Código Dañino de su portal.
CCN-CERT (29/05/2019)
CCN-CERT_ID-08-19_Buhtrap
- El ID-07/19 está disponible en la parte privada de su portal.
- Este malware ha sido diseñado para infectar sistemas Windows, tomar su control y extraer información.
- El CERT Gubernamental Nacional incluye en el informe las reglas Snort, YARA e IOC correspondientes.
El CCN-CERT del Centro Criptológico Nacional ha publicado en la parte privada de su portal el Informe de Código Dañino CCN-CERT_ID-07-19_IcedID, en el que se recoge un análisis de este malware. El documento se centra en la familia de troyanos identificada como “IcedID”, también conocida como “Bokbot”, diseñada para infectar sistemas Windows, tomar su control y extraer información, como puede ser el robo de credenciales.
Como es habitual en este tipo de Informes, el CCN-CERT incluye las siguientes secciones:
- Características del código dañino
- Detalles generales
- Procedimiento de infección
- Características Técnicas
- Ofuscación
- Persistencia en el sistema
- Conexiones de red
- Archivos relacionados
- Detección y desinfección
- Información del atacante
- Referencias
- Reglas de detección
Para detectar si un equipo se encuentra infectado o lo ha estado en algún momento, para cualquiera de sus usuarios, se recomienda utilizar la herramienta Autoruns.exe de Microsoft Windows Sysinternals. También se puede usar alguna de las herramientas de Mandiant como el "Mandiant IOC Finder" o el colector generado por RedLine con los indicadores de compromiso generados para su detección.
Asimismo, el documento incluye diversos Anexos con reglas de detección (Snort y Yara) e Indicadores de Compromiso (IoC).
En cuanto a la desinfección del equipo, se aconseja la utilización de herramientas antivirus actualizadas y, en última instancia, el formateo y la reinstalación completa del sistema informático, utilizando para ello lo indicado en las guías CCN-STIC correspondientes.
Pueden acceder a los informes en la sección de Informes de Código Dañino del portal del CCN-CERT.
CCN-CERT (28/05/2019)
CCN-CERT_ID-07-19_IcedID
- Esta nueva edición se celebrará el próximo 30 de mayo en el Círculo de Bellas Artes de Madrid.
- Además de su apoyo, el Centro Criptológico Nacional (CCN) estará presente en la mesa redonda “Esquema Europeo de Certificación en ciberseguridad: CIbersecurity Act”, que tendrá lugar a las 12:30, en el track c: Sala Valle-Inclán.
- Estas Jornadas están organizadas por la Asociación Española para el Fomento de la Seguridad de la Información, ISMS Forum Spain, cuyo objetivo es promover el desarrollo, conocimiento y cultura de la Seguridad de la Información en España y actuar en beneficio de toda la comunidad implicada en el sector.
Este jueves, 30 de mayo, el Círculo de Bellas Artes de Madrid acoge la vigesimoprimera edición de las Jornadas Internacionales de Seguridad de la Información organizada por el ISMS Forum. El objetivo de este evento, que cuenta con el apoyo institucional del Centro Criptológico Nacional (CCN), es servir como punto de encuentro de discusión y debate entre representantes de todos los actores implicados en el sector: expertos, profesionales, instituciones y empresas.
Además de ofrecer su apoyo, el CCN estará presente en la mesa redonda “Esquema Europeo de Certificación en ciberseguridad: CIbersecurity Act”, que tendrá lugar a las 12:30 en el track c: Sala Valle-Inclán.
Estas Jornadas, organizadas por la Asociación Española para el Fomento de la Seguridad de la Información, ISMS Forum Spain, congregan a ponentes nacionales e internacionales de primer nivel para abordar los temas de mayor actualidad y especial relevancia de la Seguridad de la Información.
Bajo el título "Cyber Risk Appetite in the new Digital Revolution", durante toda la jornada se sucederán ponencias y debates que explicarán las claves para afrontar el nuevo contexto de ciberamenazas y el impacto de las políticas de ciberseguridad y protección de datos.
A través de su apoyo a este evento, al que se espera que acudan más de 600 profesionales, el CCN pone en valor el intercambio de conocimientos entre expertos en ciberseguridad.
Más información e inscripciones
CCN-CERT (27/05/2019)
- El evento se celebrará durante los días 29, 30 y 31 de mayo en el Pabellón 8 del IFEMA (Madrid).
- Ambos organismos, adscritos al Centro Nacional de Inteligencia, disponen del stand número C13C.
- La Feria Internacional de Defensa y Seguridad (FEINDEF) es un encuentro profesional único en el que se darán cita Fuerzas Armadas y Fuerzas y Cuerpos de Seguridad del Estado, empresas, Universidad y Centros de Investigación para conocer in situ plataformas y nuevos desarrollos tecnológicos.
Los próximos 29, 30 y 31 de mayo se celebra la primera edición de la Feria Internacional de Defensa y Seguridad (FEINDEF), un evento que tiene por objetivo servir como punto de encuentro de empresas, Fuerzas Armadas y Fuerzas y Cuerpos de Seguridad del Estado, Universidad y Centros de Investigación para conocer in situ plataformas y nuevos desarrollos tecnológicos.
FEINDEF, que será la primera muestra de estas características que se desarrolle en España, contará con la presencia del Centro Criptológico Nacional (CCN) y la Oficina Nacional de Seguridad (ONS), ambos dependientes del Centro Nacional de Inteligencia. Ambos organismos disponen del stand C13C del Pabellón 8 de IFEMA, Madrid, donde se desarrollará esta feria.
En este espacio se incluye una amplia zona expositiva de 14.000 metros cuadrados en la que se darán cita un total de 150 expositores. Asimismo, se espera que acudan alrededor de 8.000 visitantes profesionales, los cuales podrán asistir a numerosas ponencias a cargo de expertos de primer nivel, quienes aportarán análisis y debate sobre el presente y futuro de las tecnologías propias del sector y de su uso dual.
Igualmente, un aspecto a destacar de FEINDEF será la presencia de delegaciones oficiales de un importante número de misiones comerciales provenientes de países de especial interés de todo el mundo.
Este evento está organizado por TEDAE y AESMIDE, las dos asociaciones empresariales del sector, con el apoyo del Ministerio de Defensa.
CCN-CERT (24/05/2019)
Más información