OSINT OFENSIVO

 

OSINT OFENSIVO

OSINT por si mismo no es ni bueno ni malo; simplemente es. Lo cual el profesional realice con los datos puede ser luego descrita como algo bueno o malicioso. Las personas utilizan OSINT de diversas maneras, con propósito de ayudar y por muy buenas razones éticas.

Ciberataque: El reconocimiento es el sello distintivo de un excelente ciberataque. Realizar OSINT sobre objetivos y víctimas potenciales puede ayudar a los ciberatacantes ganen acceso hacia cuentas en línea, conocer patrones de las víctimas, y recolectar información importante para su uso posterior en futuros ataques de phishing, vishing, pretexting, y robo de identidad. Los ciberatacantes pueden encontrar información en internet sobre cuales sistemas de cómputo utilizan los objetivos, cuantos existen, como están configurados, y sus posibles debilidades.

Robo: Las funcionalidades de actividad en línea como publicación y geolocalización permiten a los ciberatacantes conocer donde están las víctimas y donde no. Existen ataques documentados contra la propiedad de usuarios utilizando software para rastreo de actividad.

Extorsión: Utilizando la información recolectada en línea, los ciberatacantes pueden descubrir información sensible, información privada sobre las víctimas, e intentar utilizarla para influir en las victimas.

Asalto/Secuestro: Con la vasta cantidad de datos de registro para geolocalización publicados por los usuarios en internet, los ciberatacantes pueden encontrar patrones en sus comportamientos, y utilizar estas observaciones para reunirse con sus víctimas para herirlas o secuestrarlas.

Crimen organizado: Encontrar objetivos quienes puedan aceptar sobornos o ser fácilmente coaccionados, es solo una de las razones por la cual las organizaciones criminales podrían utilizar OSINT.

Terrorismo: Desde la detección de patrones de tráfico e imágenes digitales sobre una localización física, hasta la comprensión de cuando ocurrirán ciertos eventos y las oportunidades para reclutamiento, los terroristas utilizan la OSINT para alcanzar sus metas.

Acoso, hostigamiento, intimidación y delitos contra la propiedad. Se tienen diversos métodos para rastrear las actividades de las personas, y algunas veces descubrir información privada sobre ellas. Los acosadores y quienes desean dañar a otros pueden aprovechar esta misma información para encontrar vulnerabilidades en sus víctimas y explotarlas.

Fuentes: https://digistream.com

https://www.bellingcat.com

La nueva cara de PowerShell: ransomware potenciado por ataques basados ​​en PowerShell

 

La nueva cara de PowerShell: ransomware potenciado por ataques basados ​​en PowerShell

 

Resumen

 

PowerShell es una forma habitual de escribir código malicioso. Anteriormente, PowerShell solía desempeñar un papel secundario, como la ejecución de cmdlets o cargadores. Sin embargo, esta tendencia está cambiando. Crear un ransomware utilizando exclusivamente PowerShell es algo nunca visto, y recientemente se descubrieron muchos ejemplos, lo que me animó a investigar lo sucedido.

 

Análisis de la técnica

 

Las muestras de ransomware PowerShell tienen las mismas capacidades, como eliminar sombras, detener procesos que interfieren, deshabilitar el defensor, propagarse a la red y agregar persistencia del registro, etc.; todo esto lo hace un solo PowerShell.

 

Esquema de cifrado de software de terceros

Uno de los ransomware de PowerShell utiliza un software gratuito de cifrado de terceros llamado VeraCrypt para ayudar a cifrar los datos de la unidad; se descargará desde la dirección remota https[:]//Launchpad[.]net/veracrypt/trunk/1.25.9/+download/VeraCrypt_Setup_x64_1.25.9[.]msi e instalará VeraCrypt cuando se ejecute PowerShell.

El hash MD5 de muestra: 982433cb4f485fb6f3cd9fb32cce3bb2

Fig.1 Esquema de VeraCrypt de terceros mediante PowerShell

Los hashes MD5 de muestra:

f3b663ef29fd2f8b41cdcf17b4a4300d

ffef1e40446902adc8071354fd39c1c6

Fig.2 Esquema de VeraCrypt de terceros mediante PowerShell

 

Esquema de cifrado RSA y AES

Uno de los propósitos del ransomware PowerShell es cifrar los datos de las posibles víctimas combinando los algoritmos RSA y AES, una solución común entre otros grupos de ransomware. Sin embargo, aquí no se abordan los detalles del cifrado, como cómo guardar la clave AES y el IV, ni cómo usar la clave pública.

Los hashes MD5 de muestra:

118bd1887d7a1f825826e3a00f06b98e

4e7fd80028d4d0b227d48da1843762ab

Fig.3 Esquema RSA+AES de PowerShell

 

 

Conclusión

Como saben, al igual que otro grupo de ransomware, su código fuente se filtró, y posteriormente surgirán más actores de amenazas. Los scripts de PowerShell se volverán más populares para escribir código malicioso más potente. Obviamente, se utilizarán más, y su función, antes secundaria, también cambiará a medida que se detecten más casos. Y en aquellas muestras sin ninguna técnica de ofuscación, esto cambiará.

 

COI

Archivos:

982433cb4f485fb6f3cd9fb32cce3bb2

f3b663ef29fd2f8b41cdcf17b4a4300d

ffef1e40446902adc8071354fd39c1c6

118bd1887d7a1f825826e3a00f06b98e

4e7fd80028d4d0b227d48da1843762ab

 

Fin.

Representaciones gráficas de notas de rescate