Hola a todos. Sé que hace mucho tiempo de mi anterior entrada, pero han ido surgiendo cosas, temas personales y familiares que al final te alejan de lo que quieres hacer y los días se escapan como los segundos de un reloj.
Pero hoy vengo a contaros una movida de las que me gustan: cómo se han unido técnica, habilidad, procedimiento e ingeniería social para hacer bypass a casi todas las medidas de seguridad que podamos tener montadas en la empresa, usando el correo electrónico. Es algo que estoy viendo en el trabajo (y que puedo contar porque es público) y algunas cosas sueltas que parecen no tener sentido hasta que las unes.
Y es sobre lo que parece ser la nueva (y más elaborada) campaña de spam lanzada por la botnet Emotet, una vieja conocida por todos los que trabajamos leyendo logs de sistemas de correo y que, en mi limitada experiencia en seguridad, me parece una buena cabeza de playa para un APT.
Voy a dividir el post en tres partes:
- Resumir el entorno alrededor del correo electrónico.
- Hablar de los adjuntos maliciosos en correos electrónicos y describir superficialmente dos de las variantes (que me he encontrado) que nos llevan al ataque actual.
- Ver qué medidas de seguridad vulneran y por qué puede ser tan efectivo.
Y como no puede ser de otra forma, os lo voy a contar desde el punto de vista de Operación y de la forma más general posible: no deciros qué hay que hacer en un entorno concreto pero sí daros algunos conceptos que podáis utilizar a la hora de enfrentaros a este problema u otros similares en el futuro.
Así que vamos a por ello. Comencemos con una nueva entrada de Soportando y Sysadministrando.
