{"id":1214,"date":"2019-03-13T15:51:25","date_gmt":"2019-03-13T15:51:25","guid":{"rendered":"http:\/\/blogs.uo.edu.cu\/seginf\/?p=1214"},"modified":"2019-03-13T15:51:25","modified_gmt":"2019-03-13T15:51:25","slug":"miles-de-servidores-cc-de-malware-expuestos-por-una-vulnerabilidad","status":"publish","type":"post","link":"https:\/\/blogs.uo.edu.cu\/seginf\/?p=1214","title":{"rendered":"Miles de servidores C&C de malware expuestos por una vulnerabilidad."},"content":{"rendered":"

\n\t\"\" Una vulnerabilidad en un software<\/em> utilizado por los cibercriminales ha permitido revelar la ubicación de miles de servidores de mando y control o C&C (del inglés ‘command and control’<\/em>) de malware.\n<\/p>\n

<\/p>\n

\n\tCobalt Strike es una herramienta legítima de prueba de penetración con una arquitectura cliente-servidor<\/strong>, utilizada por los investigadores de seguridad para probar la resistencia de una organización contra ataques dirigidos. En los últimos años, Cobalt Strike se ha convertido en parte del kit de herramientas utilizado por desarrolladores de <\/strong>malware<\/strong><\/em> y grupos cibercriminales<\/strong> como FIN6 y FIN7 (Carbanak<\/em>) o APT29 (Cozy Bear<\/em>). Los atacantes aprovechan Cobalt Strike para alojar sus servidores de C&C de malware<\/em> que se comunican con los equipos infectados a través de ‘beacons’<\/em>.\n<\/p>\n

\n\tSin embargo una vulnerabilidad en este software ha resultado clave para descubrir las ubicaciones de miles de servidores de comando y control de <\/strong>malware<\/strong><\/em> (C&C)<\/strong>. El fallo se encontraba en el código de NanoHTTPD, un servidor web de código abierto basado en Java, al agregar un espacio en blanco adicional después del código de estado de las respuestas HTTP.<\/strong> Dicha particularidad en las respuestas del servidor ha sido utilizada por investigadores de la empresa de seguridad Fox-IT para detectar las comunicaciones entre los ‘beacons’ <\/em>y sus servidores C&C desde 2015.\n<\/p>\n

\n\t \n<\/p>\n

\n\tEspacio en blanco adicional en la respuesta HTTP\n<\/p>\n

\n\tDesde ese año hasta el pasado mes de enero de 2019, cuando los desarrolladores de Cobalt Strike corrigieron el error, los investigadores de Fox-IT han observado un total de 7718 servidores de Cobalt Strike<\/strong>. Aunque, como cabe esperar, muchos de ellos son legítimos también se incluyen servidores C&C de <\/strong>malware<\/strong><\/em> vinculados a la unidad de piratería gubernamental APT10 de China, del troyano bancario <\/strong>Bokbot<\/strong><\/em>, y <\/strong>Carbanak<\/strong><\/em>.\n<\/p>\n

\n\tLos investigadores de seguridad han revelado una lista de direcciones IP que alojaban o siguen alojando servidores C&C de Cobalt Strike.\n<\/p>\n

\n\tKnownSec 404 Team, una empresa china de seguridad IT ha confirmado el descubrimiento de Fox-IT al identificar 3643 servidores basados \u200b\u200bde Cobalt Strike operativos (un 86% de los cuales se corresponden con la lista suministrada por Fox-IT).\n<\/p>\n

\n\tSegún aventuran los investigadores de Fox-IT, el truco de la exploración del espacio en blanco cada vez redundará en un menor número de resultados debido a que los servidores legítimos se están actualizando a la versión 3.13, con la vulnerabilidad corregida. Sin embargo también opinan que, debido a que los delincuentes cibernéticos tienden a utilizar versiones no legítimas de software, estas se quedarán sin recibir la actualización y por tanto los servidores de C&C de malware podrán seguir siendo rastreados. Al menos durante un tiempo.\n<\/p>\n

\n\tMás información:<\/strong>\n<\/p>\n

\n\tIdentifying Cobalt Strike team servers in the wild
\n\thttps:\/\/blog.fox-it.com\/2019\/02\/26\/identifying-cobalt-strike-team-servers-in-the-wild\/<\/a>\n<\/p>\n

\n\tHistorical list of {Cobalt Strike,NanoHTTPD} servers
\n\thttps:\/\/github.com\/fox-it\/cobaltstrike-extraneous-space\/<\/a>\n<\/p>\n

\n\tArrestado el líder detrás de Cobalt y Carbanak
\n\thttps:\/\/unaaldia.hispasec.com\/2018\/03\/arrestado-el-lider-detras-de-cobalt-y-carbanak.html<\/a>\n<\/p>\n

\n\tFuente: Segurmática<\/a>\n<\/p>\n

\n\t <\/p>\n

Im\u00e1genes Relacionadas:<\/h3>","protected":false},"excerpt":{"rendered":"

Una vulnerabilidad en un software utilizado por los cibercriminales ha permitido revelar la ubicación de miles de servidores de mando y control o C&C (del inglés ‘command and control’) de malware. Im\u00e1genes Relacionadas:<\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"ngg_post_thumbnail":0,"footnotes":""},"categories":[6,15,40],"tags":[],"class_list":["post-1214","post","type-post","status-publish","format-standard","hentry","category-codigos-malignos","category-informaciones","category-vulnerabilidades"],"_links":{"self":[{"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/posts\/1214","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1214"}],"version-history":[{"count":1,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/posts\/1214\/revisions"}],"predecessor-version":[{"id":1215,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/posts\/1214\/revisions\/1215"}],"wp:attachment":[{"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1214"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1214"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1214"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}