Temas

Aquí os dejo el Unhackme para que podáis echarle un vistazo a vuestros equipos en busca de rootkits de sistema.
Incluye la versión portable, solo hay que registrarlo y listo para usar.

Os aconsejo el enlace de descarga desde torrent:

Link: https://crackingpatching.com/2018/02/unhackme-9-60-build-660-incl-patch-portable.html

Saludos.

.
Características: ProcessMgmt (Módulo / Hilo / Mango / Memoria / Ventana / Enganches, etc.), File + RegistryMgmt, Devolución de llamadas del Kernel / Análisis de enganches, Usermode-Hook-Scans, Depuración simple de Kernel, etc.

Windows Kernel Explorer es compatible con 32/64 Bit, hasta Win10

Link: https://github.com/AxtMueller/Windows-Kernel-Explorer



Saludos.

[Jiska Classen] y [Dennis Mantz] crearon una herramienta llamada Internal Blue que pretende ser una navaja suiza para jugar con Bluetooth en un nivel inferior. La base de su herramienta se basa en tres funciones que son comunes a todos los conjuntos de chips Broadcom Bluetooth: una que le permite leer memoria arbitraria, que le permite ejecutarla y otra que le permite escribirla. Bueno, eso fue fácil. El resto de su trabajo fue analizar este código y aprender a reemplazar el firmware con su propia versión. Eso les llevó unos meses de duro trabajo de reversión.

Al final, Internal Blue les permite ejecutar comandos en una capa más profunda, la capa LMP, que permite monitorear e inyectar fácilmente. En una serie de demostraciones en vivo (¡y exitosas!), Exploran un Nexus 6P de un Nexus 5 modificado en su escritorio. Aquí es donde comenzaron a buscar en la pila de Bluetooth de otros dispositivos con conjuntos de chips Broadcom, y ahí es donde empezaron a encontrar errores.

Como suele ser el caso, [Jiska] solo estaba hurgando y encontró un controlador de código externo que no hacía la verificación de límites. Y eso significaba que podía ejecutar otras funciones en el firmware simplemente pasando la dirección. Ya que esencialmente están llamando a funciones en cualquier ubicación de la memoria, encontrar qué funciones llamar con qué argumentos es un proceso de prueba y error, pero las ramificaciones de esto incluyen al menos un bloqueo y restablecimiento del módulo Bluetooth, pero también pueden generar tales trucos. como poner el módulo Bluetooth en el modo "Dispositivo a prueba", que solo debería ser accesible desde el propio dispositivo. Todo esto es antes de vincularse con el dispositivo: solo pasar por allí es suficiente para invocar funciones a través del controlador de buggy.

[youtube=640,360]https://youtu.be/4_nI9ok7iQg[/youtube]

Más información: https://hackaday.com/2018/12/30/finding-bugs-in-bluetooth/

Saludos.

En Linux tienes un Backup (Bookmarks.bak) de tus marcadores en la ruta: ".config/google-chrome/Default/" y en Windows: "AppData\Local\Google\Chrome\UserData\Default"






Saludos.

Puertos abiertos, usuarios y contraseñas.

[youtube=640,360]https://youtu.be/7QCBh9Enl2M[/youtube]


Instalación: ./install.sh
Uso: brutex target <port>
Docker: docker build -t brutex .
docker run -it brutex target <port>

Saludos.

https://www.osi.es/sites/default/files/docs/quienes_son_los_ciberdelincuentes_y_que_buscan.pdf

Saludos.

Este nuevo ransomware, que recibe el nombre de 'JungleSec', fue detectado en Noviembre y esta diseñado para infectar servidores Linux con IPMI (Intelligent Platform Management Interface) no securizado.

IPMI es un conjunto de especificaciones de interfaces que proporcionan capacidades de administración y monitorización en un ordenador independientemente de la CPU, firmware y sistema operativo. Esta incluido en las placa base de los servidores, aunque también puede instalarse como una tarjeta adicional si no la incluye la placa base.

Una interfaz IPMI no configurada, puede dar acceso remoto al sistema a los atacantes, lo que les daría control total sobre el servidor.

Investigadores de BleepingComputer que detectaron este malware, afirman que descubrieron que los atacantes habían usado una interfaz IPMI para acceder a los servidores y posteriormente instalar el malware. En algunos casos, la interfaz IPMI estaba configurada con la contraseña por defecto. En otros casos, las víctimas afirman que el usuario 'Admin' de la interfaz estaba desactivado, por lo que se sospecha que los atacantes pudiesen acceder usando alguna vulnerabilidad en el sistema IPMI.

Los atacantes, una vez accedían al sistema a través de la interfaz IPMI, descargaban y compilaban ccrypt, que finalmente usaban para cifrar todos los ficheros del servidor. Una vez cifrados los archivos, los atacantes dejaban un fichero llamado 'ENCRYPTED.md' con las instrucciones para realizar el pago del rescate.

IoCs
Nombres de Ficheros:
ENCRYPTED.md
key.txt
Direcciones de correo electrónico:
junglesec@anonymousspeech.com

Más información:
Fuente:
https://securityaffairs.co/wordpress/79219/malware/junglesec-ransomware-ipmi.html
https://www.bleepingcomputer.com/news/security/junglesec-ransomware-infects-victims-through-ipmi-remote-consoles/

Aqui os dejo una página donde podréis descargar muestras de malware.
Sólo a través de .onion:

Link: http://iec56w4ibovnb4wc.onion



A disfrutar, saludos.

El kit Magnitude exploit es uno de los kits de herramientas de navegación más antiguos entre los que aún se usan. Después de su inicio en 2013, disfrutó de la distribución mundial con un gusto por el ransomware. Finalmente, se convirtió en una operación privada que tenía un enfoque geográfico estrecho.

Durante 2017, Magnitude entregó el ransomware Cerber a través de una puerta filtrante conocida como Magnigate, solo a unos pocos países asiáticos seleccionados. En octubre de 2017, el operador del kit de explotación comenzó a distribuir su propia raza de ransomware, Magniber. Ese cambio llegó con un giro interesante: los autores del malware hicieron todo lo posible para limitar las infecciones a Corea del Sur. Además del filtrado del tráfico a través de cadenas de publicidad maliciosa específicas del país, Magniber solo se instalaría si se devolviera un código de país específico, de lo contrario se eliminaría a sí mismo.

En abril de 2018, Magnitude comenzó inesperadamente a empujar el creciente ransomware de GandCrab, poco después de haber adoptado un nuevo flash día cero (CVE-2018-4878). Lo que pudo haber sido una campaña de prueba no duró mucho, y poco después, Magniber estaba de vuelta otra vez. En nuestras recientes capturas de Magnitude, ahora vemos el último exploit de Internet Explorer (CVE-2018-8174) que se usa principalmente, que se integró después de una interrupción de tráfico de una semana.

En esta publicación, echamos un vistazo a algunos cambios notables con Magniber. Su código fuente ahora es más refinado, aprovechando varias técnicas de ofuscación y ya no depende de un servidor de Comando y Control o clave codificada para su rutina de cifrado. Además, aunque anteriormente Magniber solo se enfocaba en Corea del Sur, ahora ha expandido su alcance a otros países de Asia Pacífico.

Extrayendo la carga útil

loader DLL: https://www.virustotal.com/#/file/6e57159209611f2531104449f4bb86a7621fb9fbc2e90add2ecdfbe293aa9dfc/details

Magniber's core DLL: https://www.virustotal.com/#/file/fb6c80ae783c1881487f2376f5cace7532c5eadfc170b39e06e17492652581c2/details

Hay varias etapas antes de descargar y ejecutar la carga final. Después de la redirección 302 de Magnigate (Paso 1), vemos un javascript ofuscado Base64 (Paso 2) utilizado para iniciar la página de aterrizaje de Magnitude, junto con un VBScript codificado en Base64. (Ambas versiones originales de los scripts están disponibles al final de esta publicación en los IOC.) Después de la explotación de CVE-2018-8174, se recupera el Magniber cifrado con XOR.







Funcionalmente, este shellcode es un descargador simple. Descarga la carga ofuscada, la decodifica mediante XOR con una clave y luego la despliega:



La carga útil descargada (72fce87a976667a8c09ed844564adc75) no es, sin embargo, el núcleo de Magniber, sino un cargador de etapa siguiente. Este cargador descomprime el DLL principal de Magniber (19599cad1bbca18ac6473e64710443b7) y lo inyecta en un proceso.

Ambos elementos, el cargador y el núcleo de Magniber, son archivos DLL con el resguardo del Cargador Reflectivo, que se cargan en un proceso actual utilizando la técnica de inyección Reflective DLL.

Análisis del comportamiento
Las acciones realizadas por Magniber no han cambiado mucho; cifra los archivos y al final arroja una nota de rescate llamada README.txt.



Los enlaces proporcionados conducen a una página .onion que es única por víctima y similar a muchas otras páginas de ransomware:



Más información: https://blog.malwarebytes.com/threat-analysis/2018/07/magniber-ransomware-improves-expands-within-asia/

Saludos.

Vulnerabilidad detectada en #VMware que podría permitir a un atacante la lectura de memoria fuera de límites en aquellas máquinas virtuales, Windows, que tengan las tools instaladas y la compartición de ficheros activada.

Riesgo:  Alto Sistemas afectados:
VMware Tools 10.x y anteriores.

http://www.csirtcv.gva.es/es/alertas/vulnerabilidad-detectada-en-vmware.html
https://www.vmware.com/security/advisories/VMSA-2018-0017.html

Saludos.

Servidores DNS rápidos, fáciles de recordar y algunos con funcionalidades de seguridad.

1.1.1.1  Cloudflare
1.0.0.1  Cloudflare
8.8.8.8  Google
8.8.4.4  Google
9.9.9.9  Quad9
9.9.9.10  Quad9
209.244.0.3  Level3
209.244.0.4  Level3
208.67.222.222  OpenDNS
208.67.220.220  OpenDNS

Saludos.

Pues eso, al publicar temas en el foro, me salta ésta adverténcia:

Web Application Firewall (WAF) Blocked

::CAPTCHA_BOX::
Una regla de seguridad ha sido aplicada. Si crees que es un error (falso positivo) contacta con webmaster@elhacker.net. Gracias.

Alguien sabe porqué.

PD: Ha sido al crear un tema en el foro de hacking avanzado, el link es éste:

https://www.hackplayers.com/2018/07/inyecciones-sql-como-dios.html

Creo que al insertar algun tipo de inyección en las etiquetas de código salta el WAF...


Saludos.

Miles de credenciales para cuentas asociadas con el servicio de almacenamiento de archivos Mega basado en Nueva Zelanda se han publicado en línea, según ha podido saber ZDNet.

El archivo de texto contiene más de 15.500 nombres de usuario, contraseñas y nombres de archivos, lo que indica que se ha accedido incorrectamente a cada cuenta y se han eliminado los nombres de los archivos.

Patrick Wardle, director de investigaciones y cofundador de Digita Security, encontró el archivo de texto en junio después de que un usuario supuestamente en Vietnam lo había cargado al sitio de análisis de malware VirusTotal unos meses antes.

Wardle pasó los datos a ZDNet.

Verificamos que los datos pertenecían a Mega, el sitio de intercambio de archivos propiedad del empresario de Internet Kim Dotcom al contactar a varios usuarios, quienes confirmaron que la dirección de correo electrónico, la contraseña y algunos de los archivos que les mostramos se usaron en Mega. (Puede leer más aquí sobre cómo verificamos las violaciones de datos).

Los listados se remontan al debut del servicio en la nube en 2013, y tan recientemente como en enero.

Enviamos los datos a Troy Hunt, que ejecuta el sitio de notificación de violación de datos que me han enviado, para analizar. Su análisis apuntó al relleno de credenciales, donde los nombres de usuario y las contraseñas son robadas de otros sitios y corren contra otros sitios, en lugar de una violación directa de los sistemas de Mega. Dijo que el 98 por ciento de las direcciones de correo electrónico en el archivo ya habían estado en una violación anterior recogida en su base de datos.

Alrededor del 87 por ciento de las cuentas en el archivo Mega se encontraron en una colección masiva de 2,844 violaciones de datos que cargó en el servicio en febrero, dijo Hunt.

De los contactados, cinco dijeron que habían usado la misma contraseña en diferentes sitios.

Más información: https://www.zdnet.com/article/thousands-of-mega-logins-dumped-online-exposing-user-files/

Saludos.

La gente apesta a contraseñas basadas en texto. ¿Hay una mejor manera? ¿Qué pasaría si simplemente pudiéramos contar una historia que solo conocemos usando imágenes?

Los humanos están optimizados para el reconocimiento de imágenes y patrones, no del alfabeto. Es por eso que iniciamos a los niños en libros ilustrados, en lugar de War and Peace.

Pero las contraseñas son varias capas de abstracción para los humanos. Están los propios personajes abstractos, luego arreglan las letras, los números y la puntuación en un patrón sin palabras, y luego recuerdan el patrón. Las contraseñas están diseñadas para NO jugar con las fortalezas humanas.

En los días de los terminales ASCII y las interfaces de línea de comando, las contraseñas tenían algún sentido. Pero hoy en día, la interfaz principal en línea es un dispositivo móvil rico en gráficos.

Entonces, ¿por qué seguimos atascados con contraseñas alfanuméricas? Esa es la pregunta formulada por Ilesanmi Olade et. al en el documento SemanticLock: un método de autenticación para dispositivos móviles que utilizan imágenes vinculadas semánticamente.

LA GRAN IDEA
En lugar de organizar alfanuméricos arbitrarios en una cadena no obvia (y no memorable), comience con un grupo de imágenes y seleccione algunas que cuenten una historia que sea significativa y memorable para usted. La historia puede ser tan simple como "como desayuno con café".

Entonces, cuando desbloqueas tu teléfono o, con suerte, un sitio web, simplemente eliges de un grupo de íconos gráficos para contar tu historia. Las pantallas más grandes de hoy podrían acomodar de 12 a 20 iconos. A medida que se utilizan iconos, otros íconos podrían tomar su lugar, expandiendo la cantidad de combinaciones posibles.

Más información: https://www.zdnet.com/article/can-graphical-passwords-keep-us-secure-online/

Saludos.

Malware, ramsonware o ciberataques a criptomonedas y sistemas electorales serán algunos de los principales riesgos de la seguridad digital.

Vivimos en una era de la información y de la globalización en la que los más de 10.000 millones de dispositivos conectados pueden servir como puerta de entrada a la ciberdelincuencia. Los ciberataques se han ido desarrollando en paralelo a las medidas de seguridad de empresas y gobiernos. Las vulnerabilidades de los equipos y redes, así como la posibilidad del anonimato del atacante, lo convierten en una práctica en aumento.

Sin embargo, unidades como ElevenPaths, responsables de la ciberseguridad global del Grupo Telefónica, aprovechan a su vez las tecnologías en desarrollo, como el blockchain y el machine learning, para proporcionar soluciones innovadoras que abarquen la prevención, la detección y la respuesta a las amenazas diarias en nuestro mundo digital.

Por eso, en este artículo te mostramos la tipología de los ataques más comunes, y la situación que se espera para este año 2018:

Más información: https://blogthinkbig.com/seis-tendencias-ciberataques-2018

Saludos.

Nuestro IoT Smart Checker permite a los usuarios identificar si los dispositivos conectados (por ejemplo, enrutadores, dispositivos de almacenamiento conectados a la red, cámaras IP e impresoras) en una red determinada son vulnerables a vulnerabilidades y riesgos de seguridad, como los relacionados con Mirai, Reaper y WannaCry.

IoT Smart Checker reúne datos de la solución Trend Micro ™ Home Network Security y del escáner HouseCall ™ for Home Networks. HouseCall for Home Networks es una herramienta gratuita que cuenta con reconocimiento de dispositivos y escaneo de vulnerabilidades en redes de usuarios y dispositivos conectados. Home Network Security es una solución conectada a los enrutadores de los usuarios que protege los dispositivos conectados de posibles ataques cibernéticos. Actualmente, IoT Smart Checker admite múltiples sistemas operativos, incluidos Linux, Mac, Windows, Android, iOS y otras plataformas de kit de desarrollo de software (SDK).

Este blog aborda el malware VPNFilter recientemente famoso y si los dispositivos desplegados son vulnerables a él y otras vulnerabilidades. VPNFilter es un malware multietapa recientemente descubierto (detectado por Trend Micro como ELF_VPNFILT.A, ELF_VPNFILT.B, ELF_VPNFILT.C y ELF_VPNFILT.D) que afecta a muchos modelos de dispositivos conectados. Inicialmente reportado a fines de mayo que infectó al menos 500,000 dispositivos de red en 54 países, incluidos los de Linksys, MikroTik, Netgear y TP-Link, para robar credenciales de sitios web e incluso inutilizar dispositivos, el malware ahora se ve orientado más dispositivos para entregar exploits e incluso anular los reinicios. El Buró Federal de Investigaciones (FBI) incluso lanzó un anuncio de servicio público (PSA, por sus siglas en inglés), advirtiendo que es obra de actores de amenazas extranjeros que buscan comprometer dispositivos en red en todo el mundo.

Diferentes marcas y modelos afectados por VPNFilter y más
Se sabe que VPNFilter afecta a más de diez marcas y 70 modelos de dispositivos. IoT Smart Checker puede identificar otras vulnerabilidades conocidas públicamente dirigidas a los dispositivos como se enumeran a continuación

Más información: https://blog.trendmicro.com/trendlabs-security-intelligence/vpnfilter-affected-devices-still-riddled-with-19-vulnerabilities/?utm_source=trendlabs-social&utm_medium=smk&utm_campaign=0718_vpn-filter

Saludos.

Una nueva estafa de phishing pretende ser facturas MYOB, pero realmente contiene un troyano bancario novedoso.

El recientemente descubierto troyano bancario DanaBot está dando vueltas en una campaña de phishing dirigida a víctimas potenciales con facturas falsas de la compañía de software MYOB.

Los correos electrónicos pretenden ser facturas de MYOB, una corporación multinacional australiana que ofrece software de impuestos, contabilidad y otros servicios comerciales para pequeñas y medianas empresas. Pero, en realidad, las misivas contienen un archivo dropper que descarga el troyano bancario DanaBot, que una vez descargado roba información privada y confidencial, y envía capturas de pantalla del sistema y el escritorio de la máquina al servidor de Comando y Control.

"Los ciberdelincuentes están atacando víctimas en compañías australianas e infectándolas con troyanos bancarios sofisticados de múltiples etapas, componentes múltiples y furtivos como DanaBot para robar su información privada y sensible", dijeron los investigadores de Trustwave en un post sobre la campaña, el viernes. "En esta campaña, los atacantes enviaron correos electrónicos de phishing dirigidos en forma de mensajes falsos de facturas MYOB con enlaces de facturas que apuntaban a servidores FTP comprometidos que alojaban el malware DanaBot".

Según los investigadores de Trustwave, Fahim Abbasi y Diana Lopera, se han detectado una serie de fraudes por correo electrónico de phishing dirigidos a clientes australianos de MYOB. Los correos electrónicos de suplantación de identidad utilizaban la plantilla estándar de factura html tipo MYOB para convencer a los usuarios de que son reales; decirle al cliente que se debe pagar una factura y pedirle que "Ver la factura" a través de un botón en la parte inferior del correo electrónico.

Karl Sigler, el gerente de inteligencia de amenazas SpiderLabs en Trustwave, dijo a Threatpost que los delincuentes probablemente compraron o tal vez generaron su propia lista de posibles clientes de MYOB. "Dada la cantidad de información que las personas comparten públicamente, especialmente en las redes sociales, estas listas no son difíciles de conseguir", dijo. Trustwave no tenía información sobre cuántas víctimas fueron específicamente atacadas por la campaña.

Más información: https://threatpost.com/danabot-trojan-targets-bank-customers-in-phishing-scam/133994/

Saludos.

WannaCry, como sabemos, ha sido uno de los ejemplos de ransomware más peligrosos y con más víctimas. Se calcula que esta variedad afectó a más de 300.000 organizaciones en todo el mundo. La similitud de la nueva versión de GandCrab con Wannacry es que utiliza también el protocolo SMB para atacar a usuarios de Windows.



Ataca a la víctima a través de sitios web comprometidos. Según los investigadores, este nuevo ransomware se actualiza diariamente para atacar a víctimas de diferentes países. Los atacantes rastrean Internet en busca de páginas vulnerables donde poder llevar a cabo sus ataques. La nueva versión cuenta ya con una larga lista de páginas que se han visto comprometidas.

Los atacantes han utilizado un algoritmo pseudoaleatorio para seleccionar una palabra predefinida para completar la URL de cada sitio. La URL final se genera en formato "www.{Nombre}.com/data/tmp/sokakeme.jpg".



Como hemos mencionado, los expertos creen que esta nueva variante del ransomware GandCrab logra propagarse a través de un exploit SMB. Este fue el mismo exploit que utilizó WannaCry y también Petya durante el año pasado.

Esto lo han logrado gracias a que han reescrito todo el código del ransomware. Los expertos en seguridad indican que ahora este ransomware está utilizando exploits de la Agencia de Seguridad Nacional de Estados Unidos de EternalBlue para atacar rápidamente.
Cómo protegernos de la nueva variante de GandCrab
Las medidas que tenemos que tomar no son muy diferentes a la de cualquier ransomware o malware en general. Hay que mencionar que desde Microsoft se han puesto manos a la obra y han lanzado el parche de seguridad MS17-010. Es por ello que es vital que nuestro equipo esté actualizado a la última versión. De esta manera podremos evitar la vulnerabilidad que permite penetrar a la nueva variante de GandCrab.

Realizar copias de seguridad es lo más recomendable para muchos posibles problemas, pero más aún para el ransomware. Como sabemos, su objetivo es cifrar los documentos y archivos y pedir un rescate. Es importante realizar una copia donde tengamos todos esos archivos guardados. De esta manera, en caso de sufrir un hipotético ataque, siempre tendremos un respaldo de todos esos archivos.

Más información: https://fossbytes.com/gandcrab-ransomware-smb-vulnerabilities-attack-faster/

Saludos.

Aprendamos: Descifrando la última plantilla de cadena de cargador "TrickBot" y la nueva comunicación del servidor Tor Plugin

Objetivo: Documentar la presencia del nuevo servidor de complementos TrickBot Tor y desofuscar la última plantilla de cadena de malware TrickBot Loader.
Trick Loader MD5: 6124c863c08f92732da180d4cf7cbf38

I. Antecedentes
II. Nuevo descubrimiento: Tor Plugin Server en Config
III. TrickBot Loader Deobfuscation Tutorial
IV. Análisis del descargador TrickBot difuso
  A. Comprueba la presencia de los procesos de la máquina virtual y las DLL de análisis
  B. Proceso inyectado
  C. DLL importado
  D. Argumentos de la línea de comando a través de
  cmd.exe y PowerShell -DisableRealtimeMonitoring
  E. Controles de procesos
  F. Almacenamiento de configuración
  G. Nombre del directorio en% APPDATA%
  H. rarezas

I. Antecedentes
Al analizar una de las últimas muestras de TrickBot del suplantador de Danske Bank (gracias a @ dvk01uk para la muestra), decidí profundizar en TrickBot Loader.
II. Nuevo descubrimiento: Tor Plugin Server en Config
El equipo de TrickBot implementó recientemente una comunicación de servidor de complemento a través de Tor .onion en el puerto: 448 para buscar módulos de malware.
Es una técnica novedosa para TrickBot; es probable que estén experimentando con el conector Tor para mejorar y / o mantener el módulo de primera capa y la resiliencia del servidor proxy. También es posible que el conector Tor sea una nueva norma para que el equipo de TrickBot no solo busque módulos sino también comunicaciones entre el cliente y el servidor de manera similar a como se realiza en las otras variantes de malware como Gozi ISFB Botnet "4000".
III. TrickBot Loader Deobfuscation Tutorial
A. Recupere la primera carga útil TrickBot desempaquetada autoinyectada en la memoria y vacíela como un ejecutable y disco.
B. Ubique la plantilla de cadena codificada en OllyDBG y configure un punto de interrupción de hardware en el acceso (DWORD), y ejecútelo hasta que vea la clave y la ejecución de la plantilla.



Más información: http://www.vkremez.com/2018/07/lets-learn-trickbot-new-tor-plugin.html

Saludos.

Una máquina virtual (VM) de Windows es una de las herramientas más importantes disponibles para analizar malware. Una VM permite la flexibilidad para depurar malware en vivo sin temor a infectar a su host. Si la VM está infectada, puede volverse rápidamente a una instantánea limpia para continuar el análisis.

Tradicionalmente, los analistas de malware han tenido que mantener sus propias máquinas virtuales con una colección de herramientas de análisis. Pero todo esto cambió en 2017 con el lanzamiento del excelente proyecto FLARE-VM. FLARE-VM está construido sobre el administrador de paquetes Chocolatey para Windows y proporciona administración central para el software de Windows. Hemos ampliado la idea detrás del proyecto FLARE-VM y hemos creado un instalador específico OALabs-VM que configurará automáticamente una máquina virtual completa con las herramientas que necesita para seguir nuestros tutoriales de análisis de malware.

Este tutorial proporciona instrucciones para la instalación y configuración de una máquina virtual de Windows 7 gratuita con el instalador de OAlabs-VM. Los siguientes pasos serán cubiertos en detalle.

Instalando VirtualBox
Descargar una VM de Windows 7 (x86) GRATIS de Microsoft
Importación de la máquina virtual de Windows 7 en VirtualBox y configuración de la configuración
Descargando y ejecutando la secuencia de comandos del instalador OALabs-VM
Una descripción general de las herramientas de OLabs y su ubicación en la máquina virtual
Configuración de una máquina virtual de 64 bits para su uso con el desensamblador IDA gratuito
Mire nuestro tutorial de instalación aquí: Malware Analysis VM Setup Tutorial

[youtube=640,360]https://youtu.be/gFxImi5t37c[/youtube]

Más información:
https://oalabs.openanalysis.net/2018/07/16/oalabs_malware_analysis_virtual_machine/

Saludos.

Investigadores montan un exitoso ataque de suplantación GPS contra los sistemas de navegación en carretera.

Los académicos dicen que han montado un exitoso ataque de suplantación GPS contra los sistemas de navegación de la carretera que puede engañar a los humanos para que conduzcan a ubicaciones incorrectas.

La investigación es notable porque los ataques anteriores de suplantación GPS no han podido engañar a los humanos, quienes, en experimentos anteriores, a menudo recibían instrucciones de manejo maliciosas que no tenían sentido o no estaban sincronizadas con la infraestructura vial, por ejemplo, girando a la izquierda en una carretera recta.

Una nueva investigación engaña exitosamente a los humanos
Pero un equipo de investigación formado por académicos de Virginia Tech y de la Universidad de Ciencia y Tecnología Electrónica de China, junto con expertos de Microsoft Research, han presentado un método mejorado para llevar a cabo ataques de suplantación GPS que tienen en cuenta el diseño de la carretera.

Para llevar a cabo el ataque, los investigadores desarrollaron un algoritmo que funciona casi en tiempo real, junto con un dispositivo portátil de suplantación GPS que cuesta alrededor de $ 223, que se puede conectar fácilmente a un automóvil o subir a un vehículo que alcanza el auto del objetivo a distancias de hasta a 50 metros.



Más información: https://www.bleepingcomputer.com/news/security/researchers-mount-successful-gps-spoofing-attack-against-road-navigation-systems/

Saludos.

Les comparto este buen curso en español (y tambien en ingles) sobre ingenieria inversa, creado por el uruguayo Martin Balao (https://www.linkedin.com/in/martinuy/), me pareció un curso bien estructurado y muy practico ya que incluye buenos laboratorios para probar los conocimientos adquiridos.



Link: https://comunidad.dragonjar.info/discussion/9807/curso-de-ingenieria-inversa-por-martin-balao

Saludos.

DorkMe es una herramienta diseñada por blueudp con el objetivo de acelerar la búsqueda de vulnerabilidades con google.

Dependencias:

Código [Seleccionar] Expandir

pip install google
pip install argparse

Se recomienda agregar más dorks para una búsqueda efectiva,

Uso:

python DorkMe.py --help example:python DorkMe.py --url bible-history.com --dorks vulns -v (recommended for test) python DorkMe.py --url bible-history.com --dorks Deprecated,Info -v (multiple dorks) python DorkMe.py --url bible-history.com --dorks all -v (test all)

Link: https://github.com/blueudp/DorkMe

Saludos.

Dont Hijack Esta es una herramienta anti-hacker para reparar todo el daño causado por el malware. Activa los componentes de Windows desactivados. Elimina por completo todas las infecciones de bots / virus / malware.

[youtube=640,360]https://youtu.be/Hznk_wxS870
[/youtube]





Próximamente:
Anti Rootkit
Anti Adware (mejorado)
Visor de procesos ocultos

Caracteristicas
Repara el daño causado por el malware
Elimina adware / bots / malware
Restaura la conexión a Internet
Anti Hacker
Restaura los componentes de Windows
Corrige las vulnerabilidades del sistema

Link: https://sourceforge.net/projects/donthijackthis/?source=directory

Saludos.

Una herramienta para bloquear virus en memoria flash / disco USB de funcionamiento automático. Cuando se inserta un disco USB, esta herramienta no solo bloquea el archivo "autorun.inf", sino que también bloquea todos los virus relacionados con la ejecución automática y otros archivos sospechosos.





Link: https://sourceforge.net/projects/noautorun/?source=directory

Saludos.

En resumen
Los delincuentes atacaron el dinero móvil y la banca por Internet para desviar el dinero, lo que obligó a los bancos a suspender las plataformas.
El director ejecutivo de la Asociación de Banqueros de Kenia, Habil Olaka, refutó los informes de la piratería, diciendo que estaban destinados a causar pánico en el sector bancario.
Un reciente estudio de fraude financiero de Kenia realizado por el especialista en tecnología Myriad Connect relacionó el aumento del fraude financiero con la rápida adopción de la tecnología en los mercados financieros del país.

Se cree que los bancos de Kenia han perdido al menos $ 860,000 para los piratas informáticos en el último mes, lo que ha provocado que dos prestamistas cancelen temporalmente sus servicios de banca móvil y en línea.

El este africano ha descubierto que uno de los bancos fue golpeado por última vez durante el mes como piratas informáticos, que intentaron mover $ 1 millón de sus sistemas. El banco logró recuperar $ 630,000. Fue atacado nuevamente la semana pasada con un golpe de $ 120,000, del cual solo se recuperó la mitad.

"Estos fondos se transfirieron a través del dinero móvil y la plataforma en línea que desde entonces ha visto la suspensión temporal de los servicios mientras el banco realiza una auditoría y una actualización de los sistemas", dijeron a The EastAfrican.

También se informó que los hackers robaron $ 910,000 en la tercera semana de junio de un segundo banco a través de su sistema de banca por Internet, pero el banco logró recuperar $ 500,000.

"La piratería sucedió a través de la plataforma de banca por Internet entre las 5:00 p.m. y las 7:00 p.m. del 21 de junio, pero el banco detectó esto y actuó rápidamente para evitar más pérdidas". Esto también interrumpió la plataforma de banca de dinero móvil del banco.

Más información: http://www.theeastafrican.co.que/business/Two-Kenyan-banks-lose-to-hackers/2560-4663272-mfv6oy/index.html

Saludos.

Link: https://crackmes.one/

Saludos.

Malwarebytes ya ofrece una aplicación de seguridad decente para Android, pero la compañía nunca tuvo una versión para iOS, hasta ahora.

Mientras que los usuarios de iPhone e iPad corren menos riesgo de malware que sus contrapartes de Android, gracias al jardín amurallado de Apple, no son necesariamente completamente seguros: la amenaza de llamadas de spam, sitios web fraudulentos, textos fraudulentos y anuncios malos sigue en pie.

Malwarebytes para iOS, ofrece cuatro funciones de seguridad para que las experiencias móviles de los usuarios sean más rápidas, seguras y privadas. Está disponible como descarga gratuita en la App Store de Apple, con funciones adicionales adicionales disponibles si es necesario.

Los usuarios obtienen una versión de prueba gratuita de 30 días de las características premium, y si desea seguir utilizándolas, puede suscribirse para obtener una suscripción de $ 1.49 por mes, o $ 11.99 por año.

Las características en oferta son:

Versión Premium
Web Protection mantiene a los usuarios a salvo de ataques de suplantación de identidad (phishing) y destinos fraudulentos, estafas en línea y otras amenazas transmitidas por la web mientras navegan en Safari.
La protección de llamadas proporciona advertencias de identificación de llamadas o bloquea las llamadas entrantes de estafadores conocidos y sospechosos, incluidas las llamadas "falsificadas" que hacen que su número parezca similar al suyo.
Versiones premium y gratuitas
Bloqueo de anuncios bloquea anuncios intrusivos en Safari. La aplicación también ofrece protección contra los rastreadores de anuncios que miran y registran el historial y el comportamiento en línea de un usuario.
El filtrado de mensajes de texto envía textos fraudulentos de estafadores o textos conocidos que contienen enlaces de suplantación de identidad a una carpeta de basura residente, lo que minimiza el correo no deseado invasivo y molesto.
"Nuestros clientes confían en las soluciones de Malwarebytes para mantenerlos a salvo y nos complace ofrecer un nuevo producto para ayudar a proteger contra estafas y otras molestias que afectan a sus dispositivos iOS", dijo Thomas Reed, director de Mac y dispositivos móviles de Malwarebytes. "Nos complace poder ofrecer un producto móvil único que va más allá de la simple protección de navegación. Esta nueva oferta es el único software de seguridad de iOS que combina protección contra llamadas fraudulentas, mensajes fraudulentos y sitios web maliciosos en una aplicación conveniente, a la vez que bloquea anuncios intrusivos y rastreadores de anuncios que invaden su privacidad ".

Malwarebytes para iOS requiere iOS 11 o posterior. La aplicación actual y su conjunto completo de funciones y funcionalidades están optimizados para los clientes de iPhone, pero los usuarios de iPad e iPod también pueden aprovechar la protección web y el bloqueo de anuncios.

Las actualizaciones futuras incluirán mejoras de la interfaz de usuario destinadas para usuarios de iPad y iPod touch.

Puede descargar la aplicación desde la tienda de iTunes aquí. Es EE.UU. solo por ahora.

Link: https://fileforum.betanews.com/detail/Malwarebytes-for-iOS/1186760019/4

Saludos.

Aquí el informe para el análisis de PDF con 'SettingContent-ms' incorporado.
Mira cómo funciona en Windows 10
Payload es cargador para #AmmyRat (http: //169.239.129 [.] 117 / cal)
C2: 185.99.132 [.] 119: 443
PDF-> Deeplink-> PS-> WMI-> Loader-> AmmyRAT

Link: https://app.any.run/tasks/fd85b41b-8274-4ac9-bb19-b2c246dfad50

Saludos.

Dirhunt es un web crawler optimizado para buscar y analizar directorios. Esta herramienta puede encontrar cosas interesantes si el servidor tiene habilitado el modo "index of", aunque también es útil si el listado de directorios no está habilitado. También detecta directorios con errores 404 "falsos", directorios donde se ha creado un archivo de índice vacío para ocultar cosas y mucho más.

Código [Seleccionar] Expandir

$ dirhunt http://website.com/

Dirhunt no usa fuerza bruta. Pero tampoco es solo un crawler. Esta herramienta es más rápida que otras porque minimiza las solicitudes al servidor. En general, esta herramienta tarda entre 5-30 segundos, dependiendo del sitio web y del servidor.

Características

- Procesa uno o múltiples sitios a la vez.
- Procesa páginas de 'index of' y reporta archivos interesantes.
- Detecta redirecciones.
- Detecta index en blanco creados en directorios para ocultar cosas.
- Procesa algunos archivos html en busca de nuevos directorios.
- Páginas de error 404 y detectar errores 404 falsos.
- Filtrar resultados por flags.
- Analiza los resultados al final.

Instalación:

Código [Seleccionar] Expandir

$ pip install dirhunt


o desde el repositorio:

Código [Seleccionar] Expandir

$ git clone git://github.com/Nekmo/dirhunt
$ curl  -OL https://github.com/Nekmo/dirhunt/tarball/master
$ python setup.py install

Uso:
Usage: dirhunt [OPTIONS] [URLS]...

  :param int threads: :type exclude_flags: list

Options:
  -t, --threads INTEGER           Number of threads to use.
  -x, --exclude-flags TEXT        Exclude results with these flags. See
                                  documentation.
  -i, --include-flags TEXT        Only include results with these flags. See
                                  documentation.
  -e, --interesting-extensions TEXT
                                  The files found with these extensions are
                                  interesting
  -f, --interesting-files TEXT    The files with these names are interesting
  --stdout-flags TEXT             Return only in stdout the urls of these
                                  flags
  --progress-enabled / --progress-disabled
  --timeout INTEGER
  --version
  --help                          Show this message and exit.

Ejemplos:

Escanear dos urls:

Código [Seleccionar] Expandir

$ dirhunt http://domain1/blog/awesome-post.html http://domain1/admin/login.html http://domain2/

Indicar extensiones a buscar (por defecto busca php, zip, sh, asp, csv y log)

Código [Seleccionar] Expandir

$ dirhunt http://domain1/blog/ -e php,zip,sh

Buscar ficheros interesantes

Código [Seleccionar] Expandir

$ dirhunt http://domain1/blog/ -f access_log,error_log

o cargarlos desde un fichero:

Código [Seleccionar] Expandir

$ dirhunt http://domain1/blog/ -f /home/user/dict.txt,./files.txt

Excluir algunas flags:

Código [Seleccionar] Expandir

$ dirhunt http://domain1/blog/ -x http,not_found,index_of.nothing,300-500

o incluirlas:

Código [Seleccionar] Expandir

$ dirhunt http://domain1/blog/ -i html,300-500

Indicar el número de hilos (por defecto usa 5)

Código [Seleccionar] Expandir

$ dirhunt http://domain1/blog/ --threads 10

Modificar el timeout de respuesta a cada petición (por defecto 10 seg):

Código [Seleccionar] Expandir

$ dirhunt http://domain1/blog/ --timeout 15

Volcar el resultado a un fichero de texto:

Código [Seleccionar] Expandir

dirhunt www.domain.com/path > directories.txt

También se puede especificar las flags que queremos que se guarden:

Código [Seleccionar] Expandir

dirhunt www.domain.com/path --stdout-flags blank,not_found.fake,html > directories.txt

O usar la salida estándar para ejecutar otros programas para usar fuerza bruta:

Código [Seleccionar] Expandir

for url in $(dirhunt www.domain.com/path); do
    other.py -u "$url";
done

Github: https://github.com/Nekmo/dirhunt

Site: http://docs.nekmo.org/dirhunt/readme.html

Demo- video: http://www.hackplayers.com/2018/07/dirhunt-encuentra-directorios-web-sin.html

Saludos.

"Nota: Encuesta de correo electrónico y contraseña como Re-Captcha, necesitamos saber que no eres un bot"
Totalmente suena legítimo ...
😂
Además, no estoy seguro de qué pensar de que el sitio web es eslovaco, la GUI es inglés y los mensajes son en turco.

Análisis VirusTotal: https://www.virustotal.com/es/file/1ebc5b4ec2f5d29043b1c8d57ff26e9631e455c35c02ced9583b8f0f66cc07c5/analysis/1531304324/

Saludos.

El troyano Hancitor, también conocido como Chanitor, es un programa de descarga que se observó por primera vez en 2014. En aquel entonces, distribuía su carga útil a través de un archivo adjunto de documentos electrónicos de Microsoft Word con macros maliciosos incrustados. Con los años, se han visto varios sabores en la naturaleza con una variedad de técnicas de infección. Algunos ejemplos:

Una macro en un documento adjunto contiene shellcode codificado y usa llamadas API nativas dentro de Visual Basic (VB) para pasar la ejecución, crear y descifrar el malware incrustado.
Otro sabor que se ve en la naturaleza implica un archivo adjunto malicioso que descarga una carga adicional para descargar el malware sin archivos Pony / Evil Pony o los ejecutables Zeus / Vawtrak, que luego roba datos y se conecta a un servidor C2.
El troyano Hancitor generalmente usa correos electrónicos de phishing como método de infección. Varias campañas de correo electrónico de phishing entregaron notificaciones falsas de tickets de estacionamiento. El mensaje solicita al destinatario que haga clic en el enlace para pagar su boleto y dirige a la víctima a un documento malicioso de Microsoft Word.

Otro spam de correo electrónico común que se ve se origina en Intuit o HalloFax, alienta al usuario a descargar un fax, que luego desencadena la infección.



[youtube=640,360]https://youtu.be/x1ksI-Mya9c[/youtube]

Recientes URL de distribución de Hancitor:

hxxp://altilium.com
hxxp://altilium.net
hxxp://autoaccidentplaintiff.com
hxxp://braininjuryplaintiff.com
hxxp://dryerventwizardcanada.co
hxxp://dryerventwizardcanada.net
hxxp://dryerventwizardcanada.org
hxxp://getlintout.mobi
hxxp://getlintout.net
hxxp://getlintout.org
hxxp://getthelintout.info
hxxp://keystoneacres.org
hxxp://newjerseyplaintiff.com
hxxp://newyorkplaintiff.com
hxxp://pbtmail.com
hxxp://slipandfallplaintiff.com
hxxp://thedryerventwizard.biz
hxxp://thedryerventwizard.ca
hxxp://wegetthelintout.ca
hxxp://wegetthelintout.net
hxxp://autoaccidentplaintiff.com
hxxp://beaconhcg.com
hxxp://bingjcarbone.com
hxxp://dryerventwizard.biz
hxxp://dryerventwizardcanada.co
hxxp://dryerventwizardcanada.info
hxxp://dryerventwizardcanada.net
hxxp://getlintout.info
hxxp://getlintout.net
hxxp://getlintout.org
hxxp://leadershipinstyle.com
hxxp://lightstonemed.com
hxxp://lightstonemedical.com
hxxp://myventbiz.com
hxxp://newjerseyplaintiff.com
hxxp://newyorkplaintiff.com
hxxp://theventwizards.com
hxxp://ventwizards.com
hxxp://woundsuckers.com

HANCITOR C2
hxxp://onerefrepnot.com/4/forum.php
hxxp://talighutsin.ru/4/forum.php
hxxp://undsuphesgot.ru/4/forum.php
hxxp://heghihedning.com/4/forum.php
hxxp://parhowtorshim.ru/4/forum.php
hxxp://leftsihemper.ru/4/forum.php

PONY / EVILPONY / PANDA BANKER PAYLOAD URLS
hxxp://aakaii.com/wp-content/plugins/post-thumbnail-editor/2
hxxp://aakaii.com/wp-content/plugins/post-thumbnail-editor/1
hxxp://aakaii.com/wp-content/plugins/post-thumbnail-editor/3

PONY / EVIL PONY C2
hxxp://onerefrepnot.com/mlu/forum.php
hxxp://onerefrepnot.com/d2/about.php

Saludos.

Aquí dejo el link:

https://github.com/chubin/cheat.sh

Saludos.

Un hacker ha obtenido acceso a la cuenta npm de un desarrollador e inyectado código malicioso en una popular biblioteca de javascript, código que fue diseñado para robar las credenciales npm de los usuarios que utilizan el paquete envenenado dentro de sus proyectos.

El paquete de javascript (npm) que se vio comprometido se llama eslint-scope, un submódulo del ESLint más famoso, un kit de herramientas de análisis de código javascript.

Hacker obtuvo acceso a la cuenta npm de un desarrollador
El ataque se realizó la noche del 11 al 12 de julio, según los resultados de una investigación preliminar publicada en GitHub hace unas horas.

"Uno de nuestros mantenedores observó que se generó una nueva ficha npm durante la noche (dicho mantenedor estaba dormido)", dijo Kevin Partington, miembro del proyecto ESLint.

Partington cree que el pirata informático usó el token npm recién generado para autenticar e insertar una nueva versión de la biblioteca eslint-scope en el repositorio npm de paquetes javascript.

La versión maliciosa fue eslint-scope 3.7.2, que los responsables del repositorio npm han desconectado recientemente.

El código malicioso roba las credenciales npm
"El código publicado parece robar credenciales npm, por lo que recomendamos que cualquiera que haya instalado esta versión cambie su contraseña npm y (si es posible) revoque sus tokens npm y genere nuevos," Partington recomienda a los desarrolladores que usaron esling-scope .

En un correo electrónico a Bleeping Computer, npm CTO C.J. Silverio puso el incidente en perspectiva.

"Determinamos que se podrían haber obtenido tokens de acceso para aproximadamente 4,500 cuentas antes de actuar para cerrar esta vulnerabilidad. Sin embargo, no hemos encontrado evidencia de que se hayan obtenido o usado tokens para acceder a ninguna cuenta de npmjs.com durante esta ventana", dijo Silverio. dijo.

"Como medida de precaución, npm ha revocado cada token de acceso que se había creado antes de las 2:30 p. M. UTC (7:30 a.m. hora de California) de hoy. Esta medida requiere que cada usuario registrado de npm se vuelva a autenticar en npmjs.com y genere nuevos tokens de acceso, pero aseguran que no hay forma de que la vulnerabilidad de esta mañana persista o se propague. Además, estamos llevando a cabo un análisis forense completo para confirmar que no se haya accedido ni utilizado ninguna otra cuenta para publicar código no autorizado.

"El incidente de esta mañana no ocurrió debido a una violación de npmjs.com, sino a causa de una violación en otro lugar que expuso las credenciales de npm de un editor. Para mitigar este riesgo, alentamos a cada usuario de npmjs.com a habilitar la autenticación de dos factores, con la cual el incidente de la mañana hubiera sido imposible ", agregó Silverio.

El desarrollador que tuvo el compromiso de su cuenta cambió su contraseña npm, habilitó la autenticación de dos factores y generó nuevos tokens para acceder a sus bibliotecas npm existentes.

El incidente es de gran importancia porque las credenciales de npm robadas se pueden usar de manera similar a lo que sucedió ahora. El hacker puede usar cualquiera de las credenciales de npm robadas para envenenar otras bibliotecas de javascript que están disponibles a través de npm - a.k.a. el Administrador de paquetes de nodo, el administrador de paquetes semioficial para el ecosistema de javascript.

Más información: https://www.bleepingcomputer.com/news/security/compromised-javascript-package-caught-stealing-npm-credentials/

Saludos.

Cisco también parchó tres fallas de seguridad media en sus ofertas de seguridad de red; y, emitió una solución para un error de alta gravedad en su plataforma para enrutadores de operadores móviles, StarOS.

Una gama de clientes empresariales podría verse afectada por una falla de seguridad de alta gravedad descubierta en los teléfonos VoIP de Cisco. El vendedor emitió un parche el miércoles.

Cisco también parchó hoy dos fallas de seguridad media en su plataforma de administración FireSIGHT para la seguridad de la red; y un problema de gravedad media en Web Security Appliance. Finalmente, emitió una solución para un error de alta gravedad en su plataforma para enrutadores de operador móvil, StarOS.

El más crítico de los defectos, CVE-2018-0341, permitiría la inyección de comandos y la ejecución remota de códigos en teléfonos IP, incluidos los modelos de gama más alta que tienen la funcionalidad de llamadas de video HD. El aviso dijo que gracias a la validación de entrada insuficiente, un usuario autenticado podría enviar comandos de shell especialmente diseñados a un campo de entrada de usuario específico utilizando la interfaz de usuario basada en web que se vincula a los teléfonos. Eso podría resultar en la capacidad de inyectar y ejecutar comandos de shell arbitrarios, abriendo la puerta para que los atacantes escuchen conversaciones, intercepten datos de medios sofisticados, realicen llamadas telefónicas y más.

La vulnerabilidad, encontrada internamente por el proveedor, afecta a los dispositivos de la serie IP Phone 6800, 7800 y 8800 que ejecutan una versión de firmware multiplataforma anterior a la versión 11.2 (1). Aún no se han visto exploits en la naturaleza, dijo Cisco, y el requisito de que un atacante inicie sesión en la interfaz de usuario para lanzar un ataque mitiga de alguna manera la gravedad del problema.

Cisco también envió soluciones para dos fallas de severidad media en el software del sistema Cisco FireSIGHT, que brinda administración centralizada para seguridad de red y funciones operativas para Cisco ASA con servicios FirePOWER y dispositivos de seguridad de red Cisco FirePOWER. Automáticamente agrega y correlaciona la información de amenazas cibernéticas para los usuarios comerciales.

El primer problema es una vulnerabilidad de omisión de políticas de archivos (CVE-2018-0383), que se encuentra en el motor de detección de FireSIGHT. Un atacante remoto no autenticado podría enviar una conexión FTP creada con fines malintencionados para transferir un archivo a un dispositivo afectado; ese archivo podría contener malware creado para desactivar los mecanismos de detección en el sistema o llevar a cabo otras acciones nefastas.

Más información: https://threatpost.com/cisco-patches-high-severity-bug-in-voip-phones/133905/

Saludos.

Detección y respuesta basadas en Ciberinteligencia. Parte 1: Los pilares básicos

Las operaciones de seguridad de hoy en día se asemejan a un "¿Dónde está Wally?" a escala masiva. El extenso y complejo enjambre de sistemas, alertas y ruido general, complica exponencialmente la acción de encontrar la aguja en el pajar. Y por si esto no fuera suficiente, nos encontramos con la problemática de la visibilidad: los operadores ni siquiera disponen de la imagen completa, ya que carecen de parte de la información relativa a la actividad de su infraestructura; o la "mutabilidad de Wally": el cambio y sofisticación continua de las técnicas de los atacantes (Cybercrime as a service) dificulta aún más las posibilidades de encontrar a "nuestro Wally".

Con la llegada de GDPR, la mayoría de organizaciones tenemos la obligación de comunicar los incidentes y su impacto asociado dentro de nuestro ecosistema y, además, asumimos el riesgo derivado de las fuertes penalizaciones económicas que prevé la nueva regulación y que exige cambios rápidos e importantes, y.

Desde ElevenPaths, hemos definido una estrategia para afrontar estos retos, construyendo una serie de productos, servicios y capacidades que ponemos a disposición de nuestros clientes para ayudarles a dar respuesta a este nuevo y complejo escenario.

En primer lugar, resolveremos el problema de visibilidad. Para ello, el mejor punto de partida es el endpoint, un campo donde verdaderamente se gana o se pierde la batalla en la mayoría de las ocasiones, siendo el lugar en el que se almacena la información de las organizaciones más anhelada por los atacantes. Son fácilmente atacables e infectables (email, web, programas, disco USB, red local, etc.), e incluso en la mayoría de ocasiones se encuentran fuera del control del IT de nuestra empresa (escenarios de movilidad, conexión a redes no confiables, uso personal, BYOD, etc.).

Actualmente, la mayoría de compañías emplean solamente antivirus tradicionales para proteger sus endpoints. Estos elementos de seguridad han llevado a cabo su función correctamente (bloquear amenazas conocidas) durante muchos años, pero en el escenario actual de sofisticación y mutación de los ataques actuales necesitan un complemento. Aquí es donde entra la nueva generación en protección de endpoint, los denominados sistemas de Endpoint Detection & Response (EDR).

Un EDR ofrece:
Visibilidad completa de lo que está ocurriendo en el endpoint: actividad sobre procesos, memoria, registro, ficheros, actividad en red, etc.
Detección post-ejecución de malware o exploits desconocidos basada en análisis de comportamiento y el empleo de técnicas de inteligencia artificial.
Capacidades de extracción de información forense completa para analizar incidentes, y acciones de respuesta manual y automática (aislar un endpoint, matar procesos/servicios, extraer un fichero o memoria del endpoint, actualización de programas, etc.).
Por tanto, el EDR debe ser, sin ninguna duda, un elemento indispensable dentro de la estrategia de defensa de cualquier organización, pero no el único. Conocer y comprender a nuestros adversarios es crucial si queremos anticipar y detectar nuevos ataques que se escapan de nuestras soluciones defensivas. En este punto entra en juego la inteligencia de amenazas que nos proporciona la información necesaria para poder perfilar y divisar a nuestro particular "Wally".

Más información: http://blog.elevenpaths.com/2018/07/deteccion-respuesta-ciberinteligencia.html

Saludos.

Armar la vulnerabilidad de ejecución de código AppleKari WebKit (CVE-2018-4192) en el navegador web Safari desde un solo clic de una víctima desprevenida



Más información: http://blog.ret2.io/2018/07/11/pwn2own-2018-jsc-exploit/

Saludos.

¿Recuerdas Timehop, la aplicación de "nostalgia digital"?

No, ni nosotros, pero la compañía todavía tiene una base de datos de aproximadamente 21,000,000 de usuarios que le han dado permiso a la aplicación para revisar sus fotos digitales y publicaciones en las redes sociales, incluso si ya no usan activamente el servicio Timehop.

La idea es que la aplicación se convierta todos los días en un aniversario, recordándole lo que estaba haciendo en este día del año pasado, hace tres años, hace cinco años, y así sucesivamente.

La aplicación fue brevemente popular hace unos años, antes de que Facebook construyera una función similar, conocida como On This Day, en su propia red social.



La buena noticia es que una aplicación de terceros como Timehop ​​no puede funcionar sin su permiso.

La aplicación Timehop ​​debe ser autorizada por usted y provista con claves criptográficas (conocidas en la jerga como tokens de acceso) para acceder a los diversos servicios en línea desde donde desea que raspe fotos y publicaciones.

Los tokens de este tipo de acceso por usuario y por servicio son una gran idea (en particular, este sistema significa que nunca tendrá que compartir sus contraseñas reales con un tercero), siempre y cuando la compañía que tenga los tokens no permita que los ladrones se desvíen y robarlos.

La mala noticia es que Timehop ​​acaba de anunciar una violación de datos.

El 4 de julio de 2018, Timehop ​​experimentó una intrusión en la red que provocó la violación de algunos de sus datos. Nos enteramos de la infracción mientras todavía estaba en curso, y pudimos interrumpirla, pero se tomaron datos. Mientras continúa nuestra investigación sobre este incidente (y la posibilidad de que ocurran otros anteriores), estamos escribiendo para proporcionar a nuestros usuarios y socios toda la información relevante lo más rápido posible.

Timehop ​​dice que la siguiente información fue robada:

Acceda a tokens a sus redes sociales y servicios de fotos en línea. (Todos los 21,000,000 usuarios afectados)
Cualquiera o todos sus nombres de registro, dirección de correo electrónico y número de teléfono. (No todos los usuarios completaron todos estos campos. Por ejemplo, solo 4.7 millones de usuarios, menos de una cuarta parte, entregaron sus números de teléfono).
Timehop ​​ya ha invalidado todos los tokens de acceso que tenía en el archivo, desconectando de manera efectiva cada cuenta de Timehop ​​de cada servicio y evitando que se haga más daño.

Si usted es un usuario de Timehop ​​y desea que la aplicación siga funcionando, deberá volver a conectarla a los diversos servicios que elija.

La compañía dice que no hay evidencia de que ninguno de los datos robados haya sido utilizado con fines delictivos, aunque, por supuesto, cualquier dirección de correo electrónico y número de teléfono robados podrían ser objeto de abuso en el futuro, arrojados en línea gratis o vendidos a otros ladrones a su debido tiempo. curso.

Más información: https://nakedsecurity.sophos.com/2018/07/09/your-social-media-memories-may-have-been-compromised/

Saludos.

En el último Security Day, celebrado el pasado 30 de mayo, ElevenPaths anunció la adquisición de una nueva start-up del sector: Dinoflux. El "dino" es una herramienta de ciberseguridad que genera inteligencia para combatir las diferentes amenazas de malware actuales.

Hoy día nos encontramos con el ambicioso reto de reforzar los dispositivos de seguridad de nuestras infraestructuras. Mantener actualizados los IDS, IPS, firewalls, SIEM, endpoints, etc., es un objetivo primordial para que las alertas contengan la información necesaria para responder antes las amenazas de manera rápida y eficaz.



Más información: http://blog.elevenpaths.com/2018/07/elevenpaths-adquiere-dinoflux-malware-ciberseguridad.html

Saludos.

Los piratas informáticos han violado el sitio web de VSDC, una popular empresa que ofrece software gratuito de edición y conversión de audio y video.

Se han registrado tres incidentes diferentes durante los cuales los piratas informáticos modificaron los enlaces de descarga en el sitio web de VSDC con enlaces que iniciaron descargas desde los servidores operados por los atacantes.

A continuación se muestra una línea de tiempo de los hacks y los swaps de enlaces, según la firma china de seguridad Qihoo 360 Total Security, cuyos expertos detectaron los secuestros la semana pasada.

Primer hack: 18 de junio
Enlace de descarga intercambiado con: hxxp: //5.79.100.218/_files/file.php

Segundo hack: 2 de julio
Enlace de descarga intercambiado con: hxxp: //drbillbailey.us/tw/file.php

Tercer hack: 6 de julio
Enlace de descarga intercambiado con: hxxp: //drbillbailey.us/tw/file.php
Los expertos de Qihoo dijeron que el primer y el tercer secuestro fueron los que afectaron a la mayoría de los usuarios.

Usuarios infectados con tres cepas de malware diferentes
Los usuarios que descargaron el software VSDC en esos días han sido infectados con tres cepas de malware diferentes. Qihoo dice que las víctimas recibieron un archivo javascript disfrazado como software VSDC. Este archivo descargaría un script de PowerShell, que, a su vez, descargaría otros tres archivos: infostealer, keylogger y un troyano de acceso remoto (RAT).

Infostealer es capaz de recuperar contraseñas de cuenta de Telegram, contraseñas de cuenta de Steam, chats de Skype, datos de monedero Electrum, y también puede tomar capturas de pantalla de la PC de la víctima. Todos los datos recopilados se cargan en el servidor de un atacante en system-check.xyz

El keylogger no tiene nada de especial, recolecta las pulsaciones de teclas y las carga en wqaz.site.

Qihoo describe el tercer archivo como un módulo VNC que otorga al atacante control sobre la PC de un usuario infectado. Pero aunque Qihoo no identificó específicamente este malware, Ivan Korolev, un investigador de seguridad con Dr.Web, dice que el archivo era una versión de DarkVNC, una RAT menos conocida.

Más información: https://www.bleepingcomputer.com/news/security/popular-software-site-hacked-to-redirect-users-to-keylogger-infostealer-more/

Saludos.

En muchas ocasiones, necesitamos un sandbox (caja de arena) de nuestro sistema de ficheros, para poder analizar qué ficheros crea, lee o modifica una determinada aplicación o herramienta.

Esto es muy útil para poder realizar diferentes pruebas, en un entorno seguro. De esta manera, podemos analizar desde aplicaciones en las que estemos trabajando, hasta herramientas que hayamos descargado, siendo muy amplio el abanico de posibilidades que nos ofrece.

En Linux, tenemos multitud de formas de hacer esto. Una herramieta, que aún estando en estado Alpha, promete bastante, es FSSB (https://github.com/adtac/fssb). Utiliza un mecanismo bastante curioso:

Primero, intercepta las llamadas al sistema para la apertura, creación, modificación, renombrado, y borrado de ficheros.
Detiene la ejecución del binario en cuestión, crea el fichero en un contenedor (crea un directorio en /tmp por cada ejecución)
Devuelve el control al binario, haciéndole ver que, el fichero que intentaba crear, modificar, abrir, etc. es ese.
Una vez que el binario termina su ejecución, en el contenedor creado, tendremos los diferentes ficheros que ha creado la herramienta. Además, dado que los nombres son aleatorios, tendremos otro con un mapeo de los mismos.


Para instalarlo, en el caso de distribuciones basadas en Debian, bastará con disponer de OpenSSL en el sistema. Necesitaremos instalar libssl-dev. En otros sistemas, en principio, con instalar el paquete correspondiente para disponer de las cabeceras y demás de OpenSSL para C, debería ser suficiente.

Hecho esto, bastará clonar el repositorio y compilar el binario:

Código [Seleccionar] Expandir

git clone https://github.com/adtac/fssb
cd fssb
make

Una vez compilado, su utilización es muy sencilla. Por ejemplo:

Código [Seleccionar] Expandir

./fssb -m -- binario

Dispone de varias opciones, que podemos consultar con ./fssb -h:
-d <nombre_fichero> Con esta opción nos va a crear un fichero que contendrá todas las llamadas al sistema que ha realizado el binario.
-o <nombre_fichero> Para grabar la salidas del propio fssb en un fichero.
-r Elimina los ficheros temporales creados al finalizar.
-m Imprime el contenido del fichero con el mapeo realizado.

Un ejemplo de uso:

Primero creamos un archivo, por ejemplo "programa.py", con el siguiente contenido:

Código [Seleccionar] Expandir

with open("prueba", "w") as f: 
    f.write("Feliz Martes!")       

with open("prueba", "r") as f: 
    print(f.read())

Puede observarse que es un pequeño programa en python que crea un fichero llamado prueba en el directorio actual y, después, lo abre e imprime el contenido. Al ejecutar programa.py, la salida sería:

Código [Seleccionar] Expandir

$ python programa.py
Feliz Martes!

Podemos comprobar que ha creado un archivo:

Código [Seleccionar] Expandir

$ cat prueba
Feliz Martes!

Ejecutamos fssb:

Código [Seleccionar] Expandir

$ ./fssb -m -- python programa.py
Feliz Martes!
fssb: child exited with 0
fssb: sandbox directory: /tmp/fssb-1
    + 25fa8325e4e0eb8180445e42558e60bd = prueba

Podemos comprobar que no hay ningún fichero creado:

Código [Seleccionar] Expandir

$ cat prueba
cat: prueba: No such file or directory

El archivo se ha creado en un directorio temporal:

Código [Seleccionar] Expandir

$ cat /tmp/fssb-1/25fa8325e4e0eb8180445e42558e60bd
Feliz Martes!

Aún le faltan muchas llamadas al sistema por implementar y portarlo a otras arquitecturas (sólo está disponible para x86_64, por ahora). Aún así, me ha resultado muy interesante la forma que han tenido de resolver el sandbox. Veamos cómo evoluciona el proyecto.

Saludos.

La mayoría de administradores de sistemas tienen una regla de oro y esta es, si funciona... no lo toques, no es lo más recomendado, pero es bastante extendida y existen muchas razones para que sea tan popular, una de las más comunes es la rotación en el mundo de IT, donde hay poco personal bien formado y los buenos profesionales son arrebatados de una empresa a otra a punta de cartera, esto genera una especie de teléfono roto donde una persona recibe el trabajo de otra, la mayoría de las veces sin mayores indicaciones y con la premisa de que funcione.

Conozco pocos profesionales que se atrevan a bloquear en su red conexiones salientes a puertos como el 80 o el 443, protocolos como el DNS o el ICMP y por eso es común que nos encontremos con escenarios idóneos para probar técnicas de bypass como la que presentaremos el día de hoy (si les llama la atención este contenido, podríamos generar otros bypass camuflando tráfico por el protocolo DNS u otros), que puede ser usada para saltarnos controles como el de portales cautivos, filtros de navegación o incluso sistemas de monitoreo.

Imagen 1: Topología de estudio.


Como se observa en la Imagen 1, la topología por utilizar consiste en:

KL Interno: Host virtualizado con Kali Linux (versión 2018.1)
KL Externo: Host virtualizado con Kali Linux (versión 2018.1)
RA: Router Cisco (IOS Versión 15.2)
RB: Router Cisco (IOS Versión 15.2)
SWA: Sin configuraciones.
SWB: Sin configuraciones.
En los hosts "KL Interno" y "KL Externo", se descargó (imagen 2) e instaló "Hans – IP over ICMP". A continuación, se puede observar el proceso realizado en el host "KL Interno".

Descarga desde https://sourceforge.net/projects/hanstunnel/

Imagen 2: Descarga de Hans desde sourceforge.


Descompresión de los archivos (imagen 3).


Compilación de archivos (imagen 4).


Configuraciones Routers
Se realiza la configuración de RA e ISP (imagen 5).




ICMP (Internet Control Message Protocol)

Es utilizado para realizar notificaciones y diagnostico entre otras funciones en redes IPv4, definido en la RFC 792. El formato de los mensajes ICMP se puede observar en la imagen 6:



Los valores asignados para los campos "Tipo" y "Código", son responsabilidad de la IANA (https://www.iana.org/assignments/icmp-parameters/icmp-parameters.xhtml).



Ejemplo mensaje ICMP enviado desde KL Interno a RA:

En este ejemplo (imagen 7) se enviaron 5 mensajes de prueba (echo request) y se recibieron 5 respuestas (echo reply).



Se realizó la captura de estos mensajes en el segmento ubicado entre RA y KL Interno como se observa en la Imagen 8.



En la Imagen 9 se puede apreciar los 5 mensajes enviados, con sus correspondientes respuestas.



Al analizar el primer mensaje enviado, se puede observar que este corresponde a un mensaje del tipo 8 (Echo Request) – Código 0. Además, se puede observar que existe un campo de relleno donde se le agrega carga al mensaje ICMP:

Más información: https://www.dragonjar.org/creando-un-tunel-ipv4-sobre-icmp-para-bypassear-controles.xhtml

Saludos.

En este año 2018 ha aparecido un nuevo tipo de malware: los ataques Gen V: ciberamenazas que utilizan tecnología militar robada y que son masivas y multivectoriales. A la vista de este nuevo tipo de amenazas, Check Point ha querido dara conocer,en su informe Security Report 2018, las nuevas tendencias entre los ciberdelincuentes:

El futuro de las empresas está en los smartphones
Con la explosión del BYOD, los dispositivos móviles forman ya parte de las empresas de todo el mundo y, sin embargo, no están tan protegidos como deberían. En los próximos meses seguirán descubriéndose fallos en sus sistemas operativos, por lo que las organizaciones necesitan desplegar en ellos sistemas de seguridad avanzada.

El malware móvil también seguirá proliferando, especialmente los troyanos bancarios, ya que la tendencia de malware como servicio (MaaS), que facilita los ataques, sigue evolucionando y creciendo.

Además, podemos esperar ver a los ciberdelincuentes usar los smartphones y tablets para minar criptomonedas de forma ilegal. Hasta ahora, el criptojacking han afectado a los servidores web y a los PC, pero como la seguridad móvil está menos desarrollada, es probable que se convierta en el nuevo objetivo de estos ataques.

La nube, en peligro permanente
Aunque los entornos cloud son cada vez más comunes entre las empresas, siguen siendo una tecnología relativamente nueva y en constante evolución. Esto proporciona a los ciberdelincuentes una serie de backdoors mediante los que acceder a las redes corporativas.

Otra de las causas de los ataques exitosos a la nube es que se tiene un concepto erróneo sobre los niveles de protección necesarios. Además, muchas organizaciones no tienen claro quién es el responsable de la protección de la nube, dejando la puerta abierta de par en par a las brechas de seguridad.

Más información: https://globbsecurity.com/estos-son-los-ciberataques-a-tener-en-cuenta-este-verano-43434/

Saludos.

¿Qué es un bot? ¿Y un chatbot?

Bot, chatbot, talkbot, chatterbot, asistente conversacional, asistente virtual etc no son más que distintas formas de ponerle nombre a programas informáticos que se comunican con nosotros como si fueran humanos. Así, los bots pueden hacer muchas tareas, algunas buenas, como comprar entradas para un concierto, desbloquear la cuenta de un usuario, u ofrecer opciones para reservar una casa de vacaciones en unas fechas concretas;  y otras no tanto, como realizar ciberataques, o provocar una catástrofe financiera realizando operaciones bursátiles a alta velocidad.

Los bots (diminutivo de "robot") pueden estar diseñados en cualquier lenguaje de programación y funcionar como cliente, como servidor, como agente móvil etc. Cuando se especializan en una función específica se les suele llamar "Sistemas Expertos".

Al igual que ocurrió en su día con el desarrollo de la interfaz gráfica frente a la línea de comandos pura y dura, los bots suponen una manera de hacer accesible a cualquier usuario, herramientas y servicios que antes requerían un mayor nivel de competencia digital. Además, como veremos más adelante, son capaces de aprender de nosotros, y tomar decisiones basadas en la información que les proporcionemos.

Los chatbots o bots conversacionales son sistemas de inteligencia artificial que simulan una conversación con una persona utilizando el lenguaje natural. Por ejemplo, son capaces de mantener una conversación de mensajería instantánea de forma muy similar a como lo haría un humano. Así, si estás preparando tus vacaciones en una agencia de viajes online, muy probablemente aparezca una ventana de chat en la esquina inferior derecha ofreciéndote ayuda para resolver cualquier duda que tengas.  A tu disposición 24 horas al día, todos los días del año. Es por ello que su potencial es tan grande. Además, el chat es canal preferido por el público en general, y por los Millennials en particular.

Muchos chatbots están orientados a reemplazar las famosas FAQ (Frecuently Asked Questions) y, por tanto, aparentemente no agregan un gran valor diferencial con respecto al uso de otros canales como la página web o aplicación móvil. Pero, como veremos en este caso práctico, incluso los que realizan esta función, son muchas veces capaces de aprender y aportar valor.

Los bots no son sólo capaces de comprender e imitar el lenguaje escrito. Google Duplex, y Microsoft XiaoIce, por ejemplo, son capaces de realizar llamadas telefónicas para hacer una reserva en un restaurante, pedir una cita en el dentista,  etc como lo haría una persona. Aura, el asistente virtual de Movistar+, te hace recomendaciones en base a tus gustos y te permite ver el partido, buscar una serie, o  cambiar de canal simplemente hablando o chateando con ella. Estas tecnologías también tienen un gran campo de aplicación en entornos empresariales, pudiendo usarse para organizar reuniones de negocio, establecer llamadas de ventas, dar soporte técnico de primer nivel etc.

Más información: https://data-speaks.luca-d3.com/2018/07/como-crear-un-bot-de-forma-sencilla.html

Saludos.

El desafío para un autor de malware hoy tiene más que ver con la creatividad que con un conocimiento técnico profundo. Hay muchas buenas herramientas de construcción de troyanos para facilitar el trabajo. Pero una vez que el autor tiene una creación terminada, el gran desafío es cómo llevar el producto terminado a las víctimas.

Incrustar malware dentro de un documento de Word es ahora un lugar común. Por lo general, se trata de una Macro lanzada por la función 'habilitar contenido', también conocida como la función 'Por favor, infecta mi máquina'. Los autores de malware han dado el siguiente paso lógico utilizando un documento PDF como punto de partida.

Un PDF no es solo un documento legible fijo. Tiene muchas más características como dibujar y crear formularios. Es importante destacar que para los autores de malware, un documento PDF puede interpretar javascript. Echemos un vistazo al análisis de malware donde el autor creó un documento PDF incrustado con javascript que crea un documento de Microsoft Word con un VBScript incrustado para ejecutar Jaff Ransomware.

Análisis de Jaff Ransomware
Después de cargar el archivo "nm.pdf" de aspecto inocente al VMRay Analyzer, obtuvimos un puntaje extremadamente alto de VTI (VMRay Threat Identifier): 100/100. Para entender por qué el puntaje es tan alto, comenzamos mirando la Información de VTI.



La segunda entrada sugiere lo que el título del blog ya ha insinuado: "Cambiar el nombre de varios archivos de usuario". Este es un indicador para un intento de cifrado. Ciertamente estamos lidiando con el ransomware.

pero como funciona? El documento PDF no se puede ejecutar como un archivo ejecutable. En el informe de VMRay Analyzer, podemos volver a la página de resumen y mirar el gráfico del proceso.



Esto nos muestra un comportamiento realmente nuevo al abrir un documento PDF.

Primero, para abrir el archivo "nm.pdf", se inicia el proceso de Acrobat Reader "acrord32.exe" y se carga el PDF. Luego aparece un mensaje y solicita abrir un archivo "EQV6A.docm". Este mensaje nos advierte sobre la necesidad de abrir este archivo porque podría dañar nuestra computadora.



Esto funciona porque el documento PDF tiene un javascript incrustado que se inicia cuando se abre el documento.

Código [Seleccionar] Expandir

<<
/Type/Catalog/Pages 9 0 R/Names 13 0 R/OpenAction
<< /S/javascript/JS(submarine();) >>
>>

Más información: https://www.vmray.com/cyber-security-blog/jaff-ransomware-hiding-in-a-pdf-document/

Saludos.