Publicado el informe de código dañino sobre JRAT_Packer

• Informe de Código Dañino

• El documento se encuentra disponible en la parte privada del portal del CCN-CERT.
• El informe ‘CCN-CERT ID-06/19’ recoge el análisis del empaquetador utilizado actualmente por la familia de troyanos identificada como jRAT.
• Procedimiento de infección, características técnicas, ofuscación, persistencia en el sistema, conexiones de red, archivos relacionados, detección, desinfección e información del atacante son los principales puntos que incluye el documento.

El Informe Código Dañino CCN-CERT ID-06/19 “JRAT-Packer” se ha publicado recientemente en la parte privada del portal del CERT del Centro Criptológico Nacional (CCN-CERT). Este documento recoge el análisis del empaquetador utilizado actualmente por la familia de troyanos identificada como jRAT, la cual es posible de identificar de igual manera tras los nombres de AdWind o JBifrost.

Este troyano, que se encuentra escrito en Java y ha sido utilizado desde sus primeras versiones en 2012, sigue bajo las actualizaciones constantes de parte de su desarrollador, contando en la actualidad con varias versiones anuales que publica en la página web del proyecto. La última versión disponible se trata de la “6.0.0-rc.1” publicada el 20 de julio de 2018. Una de las cosas más destacables de este troyano es la utilización de multitud de métodos destinados a dificultar su análisis, así como el uso de varios empaquetadores o sistemas de ofuscación basados en codificaciones y varios algoritmos de cifrado conjuntos.

Entre los principales puntos tratados en el informe se encuentra el que resume las principales características del código dañino. Estas serían que permite la ejecución de código JavaScript, que realiza acciones de cifrado, que ejecuta y alberga nuevas cargas maliciosas en su interior, que posee funciones de downloader y que posee archivos de configuración cifrados.

Por otro lado, el documento también señala que la infección se produce tras la ejecución de un fichero que contiene el código dañino. Asimismo, se incluyen otros apartados de interés como las características técnicas, ofuscación, persistencia en el sistema, conexiones de red, archivos relacionados, detección y desinfección. Para esto último, se aconseja la utilización de herramientas antivirus actualizadas y, en última instancia, el formateo y reinstalación completa del sistema informático, siguiendo lo indicado en las guías CCN-STIC correspondientes.

Finalmente, el informe recoge la información del atacante y tres reglas de detección para comprobar si el sistema se encuentra infectado por el troyano JRat: mediante regla Snort, indicador de compromiso (IOC) y utilizando sobre la memoria de un equipo la firma YARA.

CCN-CERT (23/05/2019)

Informe Código Dañino CCN-CERT ID-06/19 “JRAT-Packer”

Disponible la Guía CCN-STIC 653 sobre seguridad en Check Point

• Guías CCN-STIC

• El nuevo documento pude consultarse en la parte privada del portal del CCN-CERT.
• Las amenazas actuales, arquitectura Check Point, configuración básica, plano de control de acceso, plano de prevención de amenazas, funcionalidades de gestión y seguridad en entornos de movilidad son algunos de los principales contenidos que se pueden encontrar en esta guía.
• La Guía CCN-STIC-653 tiene por objeto servir como guía en la instalación, configuración y mantenimiento de los cortafuegos Check Point, cubriendo todas las funcionalidades de seguridad que ofrecen.

El CCN-CERT del Centro Criptológico Nacional ha publicado en su portal web una nueva guía sobre seguridad en Check Point. En la Guía CCN-STIC-653, disponible en la parte privada del portal, se detalla cómo realizar la instalación y el mantenimiento de la solución completa de los cortafuegos Check Point para prevenir amenazas avanzadas (NGTX: Next Generation Threat Extraction), cubriendo todas las funcionalidades de seguridad que ofrecen.

Concretamente, esta solución incluye funciones de seguridad como Firewall, IPS, Anti-Bot, Antivirus, Control de aplicaciones y Filtrado de URL para hacer frente a ciberataques y amenazas conocidas, además de la solución de emulación y extracción de amenazas, SandBlast, para una protección contra amenazas más sofisticadas y vulnerabilidades de día cero.

La información recogida en el documento se basa en la versión Gaia R80.10, sistema operativo de los cortafuegos Check Point, que es la última disponible en el momento de la escritura inicial de esta guía.

Entre los contenidos más destacados de esta nueva guía se encuentran las amenazas actuales, la arquitectura Check Point, información sobre la configuración básica a la hora de desplegar el dispositivo, el plano de control de acceso y de prevención de amenazas, las funcionalidades de gestión, así como la seguridad en entornos de movilidad.

Por último, el documento incluye un anexo (Anexo A) sobre la interfaz de línea de comando (CLI) utilizada por Gaia, de gran utilidad para la ejecución de varios comandos que están estructurados con las mismas reglas sintácticas.

CCN-CERT (22/05/2019)

Guía CCN-STIC-653

Guía de implementación de seguridad en Microsoft SQL Server 2016

• Guías CCN-STIC

• La Guía CCN-STIC-575 puede consultarse en la parte pública del portal del CCN-CERT.
• La configuración de permisos y cuentas de servicio, la protección de archivos, configuración de red, autenticación, autorización y protección de datos, cifrado de datos, auditoría y registro son los principales contenidos incluidos en el nuevo documento.
• El propósito de esta guía es proporcionar los procedimientos para la implementación, establecer la configuración y realizar tareas de administración maximizando las condiciones de seguridad del servicio Microsoft SQL Server 2016 en su versión Standard, Enterprise o Datacenter en un servidor miembro de una infraestructura de dominio.

Ya está disponible, en la parte pública del portal del CCN-CERT, la Guía CCN-STIC-575 de implementación de seguridad en Microsoft SQL Server 2016 sobre Microsoft Windows Server 2016. El objetivo principal de este documento es proporcionar los procedimientos para la implementación, establecer la configuración y realizar tareas de administración maximizando las condiciones de seguridad del servicio Microsoft SQL Server 2016 en su versión Standard, Enterprise o Datacenter en un servidor miembro de una infraestructura de dominio.

El escenario en el que se basa el documento tiene las siguientes características técnicas:

• Un único bosque de Directorio Activo.
• Un único dominio dentro del bosque de Directorio Activo.
• Nivel funcional del bosque y del domino en Windows Server 2016.
• Un controlador de dominio basado en Windows Server 2016.
• Un servidor miembro del dominio basados en Windows Server 2016 Standard.
• La instalación de SQL Server 2016 se realiza en modo limpio, es decir no se contemplan procedimientos de migración desde versiones anteriores.
• No se contemplan mecanismos de alta disponibilidad ni balanceo de carga en el escenario planteado.

En cuanto a los contenidos que se incluyen en la guía, algunos de los más destacados son los mecanismos para la implementación de la solución y la aplicación de configuraciones, la descripción de la seguridad en Microsoft SQL Server 2016, una guía paso a paso y otra de administración, una lista de comprobación y consideraciones en implementaciones con firewall.

El documento dispone de las siguientes configuraciones divididas en dos grandes anexos, los cuales se definen a continuación:

• Anexo A: En este anexo se define la configuración necesaria para adaptar los sistemas Microsoft Windows Server 2016 en su versión Standard con el rol de Exchange Server 2016 a las necesidades requeridas por el Esquema Nacional de Seguridad (ENS). Se encuentra disponible en la parte pública del portal del CCN-CERT.
• Anexo B: En este anexo se define la configuración necesaria para adaptar los sistemas Microsoft Windows Server 2016 en su versión Standard con el rol de SQL Server 2016 a las necesidades requeridas en los entornos clasificados. Este documento se puede consultar en la parte privada.

CCN-CERT (21/05/2019)

Guía CCN-STIC-575