Buscar este blog

martes, 7 de abril de 2015

Como prevenir el Cryptolocker con APT de Watchguard




El dia 31 de marzo hubo un gran ataque masivo, del virus de Cryptolocker , Gracias , nuestro amigo Guillermo Fernandez de Watchguard, nos envio las pruebas para poder ver como funciona correctamente el APT de Watchguard.

Lo primero nos llega el correo falso de la entidad de correos:


Entrando en el enlace, te carga una página web falsa. En mi caso no me remitió a correos24.net. sino que lo hizo a correos-espana.biz, este dominio cambia continuamente , y no se puede bloquear por estos dominios.


Al entrar dentro de la misma e introducir el captcha, te descarga el zip con el ejecutable del cryptolocker, esto cambia , a veces se baja directamente un .exe sin comprimir.

Primero lo que hice fue subir el archivo a virustotal para ver si después de 24h, cuántos antivirus lo cogían:


La mayoria de los antivirus no lo detectan, los antivirus no valen para este tipo de virus, son virus camuflados y sobre todo que se encapsulan y en muy dificil de detectar , el problema es que cambian de fichero cada dia o cada muy poco tiempo.

Posteriormente reactivé el HTTPs con DPI para que lo analizase:

2015-04-01 20:43:03 Allow 192.168.21.3 64.235.151.43 http/tcp 51062 443 21-AP200_ZAMAK 6-ONT ProxyAllow: HTTP Request categories   (HTTPS-proxy-00) HTTP-Client ZAMAK.1 proc_id="http-proxy" rc="590" msg_id="1AFF-0021" proxy_act="HTTP-Client ZAMAK.1" cats="Personal Network Storage and Backup" op="GET" dstname="copy.com:443" arg="/uFzlJZEcUtDLyjzO/carta_certificada_26558.zip"       Traffic

2015-04-01 20:43:20 Allow 192.168.21.3 64.235.151.43 http/tcp 51062 443 21-AP200_ZAMAK 6-ONT ProxyAllow: HTTP File submitted to APT analysis server   (HTTPS-proxy-00) HTTP-Client ZAMAK.1 proc_id="http-proxy" rc="590" msg_id="1AFF-0036" proxy_act="HTTP-Client ZAMAK.1" host="copy.com" path="/uFzlJZEcUtDLyjzO/carta_certificada_26558.zip" md5="89f64c23d41aadb2cef500cf7065cd16" task_uuid=""             Traffic

El fichero lo tienen almacenado en copy.com, y era 0day, por lo que nadie aún lo había subido a Lastline.

Pasados unos minutos volví a mirar a ver qué había visto en el fichero y nada más volver a intentar descargarlo, ya me lo bloqueaba:

2015-04-01 21:18:19 Deny 192.168.21.3 64.235.151.42 http/tcp 51440 443 21-AP200_ZAMAK 6-ONT ProxyDrop: HTTP APT detected   (HTTPS-proxy-00) HTTP-Client ZAMAK.1 proc_id="http-proxy" rc="594" msg_id="1AFF-0034" proxy_act="HTTP-Client ZAMAK.1" host="copy.com" path="/uFzlJZEcUtDLyjzO/carta_certificada_26558.zip" md5="89f64c23d41aadb2cef500cf7065cd16" task_uuid="3213a9b351574241a9224f8ff357d46b" threat_level="high"          Traffic

Y por supuesto, catalogado como amenaza alta:



Esta claro que el APT lo detecta, APT analiza el comportamiento de los ficheros que no se fia, los sube al servidor de lastline, que es la empresa que firma el APT de Watchguard, y si no lo conoce analiza el comportamiento del fichero, esta claro que un Word , o una Excell no deberian de tocar registro, o ficheros del sistema, y asi mismo los ficheros ejecutables.

Muchas Gracias por la Colaboracion en este de post de Guillermo Fernandez ....


Saludos.



sábado, 21 de marzo de 2015

APT Blocker mucho mas que un antivirus ... Watchguard


APT Blocker , Watchguard Licencia.


APT Blocker es una nueva licencia que se puede comprar para instalar en los firewall de Watchguard.

APT Blocker, bloquea una amenaza que actualmente esta en uso para ataques personalizados o ataques que tu antivirus todavia no reconoce .

La idea es que este software analiza todo nuestro trafico de la red, y ve si existe algun software mal intencionado y , el firewall analiza si este fichero, ataca a partes del sistema, y analiza y compara con una base de datos , si este fichero existe y es malo , automaticamente ve que el fichero es malo, corta la comunicaciones.

Adicionalmente si teneis el RED, ( Reputation Authority ) en vuestro firewall, podeis activarlo para adicionalmente saber si la ip desde donde se produce el ataque esta sucia o no tiene una buena reputacion.

APT Blocker es realmente economico, si lo compara con el Cryptolocker o algun virus parecido, que nos puede realizar mucho daño en la red.

Os deja mucha mas informacion sobre APT Blocker
http://www.watchguard.com/wgrd-products/security-modules/apt-blocker


Esta semana , realizaremos un 10% de dto, a todo el mundo que nos haga referencia al blog , si tiene algun firewall con la licencia activa, al comprar la licencia de APT Blocker.

Un saludo
Luis Gimenez

Pd. Ya por fin en Puerto de Navacerrada, 18



domingo, 1 de febrero de 2015

Nueva Ubicacion y Fiesta de Inaguracion !!!




SPW al completo y falta ...


Next !!!



SPW tiene nueva ubicacion , muy cerca , En Puerto de Navacerrada, 18 , ahi tenemos nuestra nueva oficina 100 metros, para poder daros el mejor servicio,

En la oficina tendremos mucho mas sitio, para poder afrontar nuestro nuevos servicios y poder ayudaros lo mejor posible.

La oficina contara con las ultimas novedades de tecnologia, Ruckus, Watchguard, Barracuda, Cyberoam, y QNAP, Airtigth y demas fabricantes que llevamos , no dejeis de preguntarnos por las soluciones que tenemos son muchas y cubren todos los sectores.



Nos vemos pronto en la nueva oficina ..:-)

Gracias.

spw@spw.es



sábado, 13 de diciembre de 2014

Hyper -V , Vmware y porque no QNAP ??





Todo el mundo actualmente esta comprando soluciones de Virtualizacion, de grandes importes, incluyendo una costosa cabina de discos.

El fabircante Qnap lleva muchos años con nosotros , es una solucion de NAS que ultimanente aporta hasta tarjetas  a 10 Gb, esta creando cada dia mas aplicaciones que se pueden ejecutar dentro del propio QNAP .

El catalogo de QNAP de Aplicaciones es inmenso, y sobre todo las funciones de red, cada dia van mejorando, Las funciones de QNAP, tienen muchos servicios, como compartir ficheros con MAC , SMB , WINDOWS, Active Directory, servidor de LOG, y ISCSI, asi como poderse replicar entre ellos , si los qnap pueden replicarse entre ellos de manera que si uno se cae el otro funciona correctamente y tienes los datos actualizados a traves de Rsync.

Los Servidores de QNAP funcionan como maquina del tiempo de MAC, y sobre todo se pueden ir ampliando a necesidad.

Ahora , una sola aplicacion la VIRTUALIZATION STATION, es una aplicacion que convierte al servidor de QNAP en una servidor de maquinas virtuales totalmente independiente, y soluciona muchos problema de tener que montar un servidor, cabina y demas, se puede espejar el almacen de maquinas virtuales, para poder ejecutarlas en otro qnap.

http://www.qnap.com/i/station/es/virtualization.php

Solo algunas unidades admiten esta funcionalidad y acordaros de que tienen que tener mas memoria ram que las habituales , porque necesitan 2 Gb por cada maquina virtual como minimo.

Cualquier duda no dejeis de preguntarnos

spw@spw.es


lunes, 24 de noviembre de 2014

BACKUP - en Appliance - Solucion de Barracuda


BARRACUDA BACKUP EN APPLIANCE 




Ahora  que Symantec abandona los appliance en backup NetBackup.

Barracuda lanza una solucion de backup en red, bastante buena para todos los usuarios de "casi" todos los sistemas operativos.

Barracuda backup, se configura desde la nube de barracuda, y puedes tener varios appliance para poder replicar copias en diferentes sitios.

Las unidades de backup , hace copia de todos los equipos Vmware, HyperV y servidores Windows y Linux, de las maquinas virtuales, hace copia de todo, siendo posible recuperar un fichero de una maquina virtual.

El sistema aporta tambien recuperacion Bare-Metal, que es una recuperacion desde hardware diferente, en Windows esta opcion es muy importante por si tenemos un backup y tenemos que restaurar en un entorno mucho mas moderno con hardware mas reciente.

Toda la solucion funciona con un unico agente en Windows, que hace copia de aplicaciones como SQL Server o Exchange .

Podemos dejaros una unidad demo para que probeis, y ver la facilidad del producto, para realizar backup y olvidarse un poco de los problema de las diferentes plataformas y diferentes soluciones de servidor.

Cualquier duda no dejeis de contactar con nosotros.

LuisG
spw@spw.es



domingo, 2 de noviembre de 2014

Cambiando a la Nube - Google Apps





Migrando hacia la nube ... GOOGLE APPS


Cada vez mas clientes nos piden y nos piden migrar  a la nube, la verdad que cada dia tiene menos sentido tener un servidor de correo corporativo, teniendo cada dia menos personal en Informatica, y sobre todo teniendo que cubrir cada dia  mas horarios internacionales y cada dia cubrir mas horario en españa, fines de semana incluido.

El sistema de la nuble de Google APPS es un sistema que se basa en la nube, esta creado por y para la nube, la integracion con sistemas tradicionales es perfecto, la importacion desde outlook no deja dudas es sencilla e intuitiva y sobre todo , funciona perfectamente con terminales android , actualmente la version mas economica de android tiene un coste de 40 Euros/usuario/año, lo que creo es economico, teniendo en cuenta que 30 gb es ideal para un usuario pequeño de 2 años de correo, y compatible con el 99% de equipos informaticos.

Pues nosotros a partir de ahora ya SOMOS GOOGLE PARTNERS,  podeis contratar con nosotros el correo electronico y la cuenta de google APP, sin que por ello tenga mayor coste, el coste es el mismo y nos encargarmos de migrar todos los usuarios a la nueva plataforma.

Existe un administrador de la empresa, que es el que controla todas las cuentas del dominio o dominios y puede controlar las contraseñas de todos los usuarios.

Un salto sencillo y facil , gracias a al gente de google que siempre estan dispuestos a ayudarnos y a enviarnos ejemplos y ayudas.

Cualquier duda no dejeis de decirmelo ....


Un saludo  y nos vemos la semana que viene,...




Luis Gimenez


martes, 21 de octubre de 2014

Barracuda Archiver - Adios a los PST de Outlook



BARRACUDA ARCHIVER 

El adios definitivo a los PST de Outlook


La verdad es que la caja encierra una pequeña maravilla de la tecnica de barracuda, los ficheros PST siempre han sido un problema desde los tiempos de Exchange 5.5 , los ficheros PST se utilizan para el almacenamiento de los mensajes de correo, estos ficheros funcionan correctamente hasta que se llenan o bien ocupan los 2 Gb de maximo que tenian en el 2003  , el problema es que el personal quiere tener todos los correos ONline, y eso es dificil.

Pero barracuda tiene una solucion muy buena, para solventar este problema, es pasar los ficheros PST a un base de datos SQL , el equipo tiene muy buenas prestaciones, tiene un plugin para el outlook el cual es ideal para que la gente vea sus correos historicos sin salir del outlook, adicionalmente el equipo tiene muchas funciones de importacion de ficheros PST, y una carpeta SMB donde puede enviar ficheros PST , para que se importen solo a la unidad de barracuda .

Se pueden crear usuarios, dentro de la unidad de Archiver y decirle que correos son los que permite visualizar, la verdad es que comprime muchos los correos y funciona perfectamente.

Otra idea no menos importante es para todo la gente que tiene sus correos en la nube como google app o office 365 , se puede crear una cuenta para que envie todos los correos a la unidad de barracuda y tener una copia en local de todos los correos recibidos y enviados.


En breve todo esto sera obligatorio, muchas empresas ya lo tienen para asegurar las comunicaciones...