Temas

Con solo unos pocos clics, G DATA Clean up limpia su sistema de adware, barras de herramientas y complementos de navegador así como de los conocidos como "programas potencialmente no deseados" (PUPs) que no pueden ser desinstalados con los métodos convencionales. La herramienta se puede usar sin necesidad de instalación.

[youtube=640,360]https://www.youtube.com/watch?v=Y9hajljaiXY[/youtube]

Web: https://www.gdata.es/descargas#Herramientas
D.Directa: https://secure.gd/dl-gdcleanup
Peso: 17 MB

Saludos.

G DATA Meltdown & Spectre Scanner comprueba si su sistema es vulnerable a los ataques recientes de Meltdown y Spectre. Después de la comprobación de archivos, se le informará sobre el estado de seguridad de su sistema y las posibles contramedidas.

Requisitos del sistema: Windows 10, Windows 8.1, Windows 8, Windows 7 SP1, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 o Windows Server 2008 R2 SP1. G DATA Meltdown & Specter Scanner requiere .NET Framework 4 o superior, el cual viene preinstalado a partir de Windows 8 o Windows Server 2012. Si está utilizando Windows 7 SP1 o Windows Server 2008 R2 SP1, instale primero .NET Framework 4.7.1.

Web: https://www.gdata.es/descargas#Herramientas
D.Directa: https://secure.gd/dl-mss
Peso: 0,8 MB

Saludos.

Los investigadores de RIPS Technologies GmbH descubrieron hace siete meses una vulnerabilidad en el conocido CMS WordPress que permite a un usuario con bajos privilegios poder secuestrar todo el sitio web y ejecutar código arbitrario a nivel del servidor.

A pesar de todo el tiempo transcurrido, en la actualidad todas las versiones de WordPress, incluida la 4.9.6, siguen afectadas por el fallo de seguridad descubierta por los investigadores, que reside en una de las funciones principales de WordPress y se ejecuta en segundo plano cuando un usuario borra de forma permanente una miniatura o una imagen subida.

La función de eliminación de miniaturas acepta entradas de usuario sin sanitizar, permitiendo a usuarios con privilegios restringidos, a partir de los autores, borrar cualquier fichero alojado en el almacenamiento web, algo que solo tendría que poder realizar los administradores del servidor o el sitio web. El requerir al menos una cuenta de autor reduce la gravedad del fallo hasta cierto punto, que puede ser explotado por cualquier colaborador o hacker que obtenga las credenciales de un autor mediante ataque de phishing, reutilización de contraseña u otros tipos de ataques.

Los investigadores avisan de que el actor malicioso podría terminar borrando ficheros críticos como ".httaccess" del servidor web, que contiene ciertas configuraciones relacionadas con la seguridad, en un intento de inhabilitar la protección. Otra posibilidad es borrar el fichero "wp-config.php", abriendo así al puerta a que se vuelva a iniciar el instalador y poder así reconfigurar el sitio web con los parámetros que el hacker crea conveniente y obtener así control total.

Aquí es importante tener en cuenta una cosa, y es que el hacker no tiene acceso directo al fichero "wp-config.php", así que no puede obtener parámetros de configuración como el nombre del base de datos, el nombre de usuario de MySQL y la contraseña de dicho usuario de MySQL, por lo que no le queda otra que reconfigurar utilizando un base de datos remota que esté bajo su control. Una vez terminado el proceso de instalación, el atacante podrá hacer lo que quiera con el sitio web, incluso ejecutar código arbitrario.

Los investigadores han publicado un parche propio para corregir este problema, mientras el equipo de seguridad de WordPress todavía busca una manera de parchearlo en la próxima versión de mantenimiento del CMS.

Fuente: The Hacker News

Gentoo es una de las distribuciones Linux (aunque también hay una implementación con FreeBSD) con más historia, y destaca por la instalación de una gran cantidad de paquetes y aplicaciones mediante la compilación del código fuente a través de una gestión de los paquetes realizada por Portage, cuya implementación para línea de comandos se llama Emerge

Según informan nuestros compañeros de MuyLinux, la comunidad que está detrás de esta distribución anunció ayer que una cuenta de uno de los encargados del repositorio de GitHub fue hackeada. Esto fue utilizado por parte de los ciberdelincuentes para comprometer el código alojado ahí, modificando los árboles de Portage y musl-dev con versiones maliciosas de los ebuilds en un intento de eliminar todos los ficheros de los usuarios.

Ebuild es un conjunto de scripts en Bash creados por los desarrolladores de Gentoo que se encarga de automatizar los procesos de compilación e instalación de los paquetes de software, siendo un componente fundamental junto con Portage. Si bien se sabe exactamente qué componentes terminaron comprometidos, los encargados de Gentoo han preferido marcar el repositorio de GitHub como totalmente comprometido.

Sin embargo, parece que los atacantes no fueron muy listos si querían provocar un gran perjuicio a los usuarios de esta distribución Linux, ya que el repositorio de GitHub no es más que un espejo (mirror) y no el repositorio principal. La mayoría de los usuarios utilizan el repositorio alojado en el sitio web oficial y otros espejos, así que el impacto de este ataque ha terminado siendo mínimo.

Como medida de precaución y tras recuperar el control sobre la cuenta hackeada, los encargados de Gentoo han decidido borrar o inhabilitar el repositorio en GitHub, que ahora da un código 404 cuando es visitado mediante un navegador web.

En caso de haber obtenido Gentoo desde GitHub, lo recomendable es hacer una copia de seguridad de los datos, a ser posible utilizando otra distribución que funcione en live, para reinstalar el mismo Gentoo descargado desde el sitio web oficial.

Saludos.

McAfee Mobile Research ha descubierto 15 aplicaciones en la Play Store relacionadas con una campaña para esparcir un malware llamado Sonvpay.

Después de ser instalado, Sonvpay se encarga de gestionar las notificaciones necesarias para funcionar. Algunas veces, según lo que se esté instalando en el dispositivo Android, aparecen notificaciones emergentes y en otras ninguna, dependiendo de la configuración. Lo que hace el malware es escuchar las entrantes que contienen los datos que necesita para llevar a cabo un fraude en la facturación, añadiendo cargos adicionales al usuario para generar ingresos para los ciberdelincuentes.

Una vez hayan recibido los datos, los actores maliciosos llevan a cabo un fraude en la facturación del móvil mediante el despliegue de una falsa notificación de actualización al usuario, la cual solo despierta sospechas si se ve la frase "Haga clic en Omitir para aceptar" en uno de los pasos. En caso de cumplimentarlo correctamente, Sonvpay entra en acción, suscribiendo al usuario de forma fraudulenta a un servicio de facturación WAP o SMS.



Las 15 aplicaciones maliciosas utilizadas para la campaña de Sonvpay fueron descargas unas 50.000 veces y ya han sido eliminadas de la Play Store por Google tras ser notificada por McAfee, siendo la lista completa la siguiente:

Wifi-Hostpot
Cut Ringtones 2018
Reccoder-Call
Qrcode Scanner
QRCodeBar Scanner APK
Despacito Ringtone
Let me love you ringtone
Beauty camera-Photo editor
Flashlight-bright
Night light
Caculator-2018
Shape of you ringtone
Despacito for Ringtone
Iphone Ringtone
CaroGame2018
Para evitar este tipo de engaños es muy importante fijarse en los términos de uso y en los permisos que solicitan las aplicaciones. En caso de que los términos de uso contengan partes sospechosas o la aplicación pida un permiso que no tenga sentido para su propósito, lo recomendable es no instalarla.

En caso de tener ya instaladas una o varias de las aplicaciones encargadas de escarpir Sonvpay, lo más recomendable es restaurar los parámetros de fábrica del dispositivo Android para asegurarse de que el malware se elimine totalmente.

Saludos.

Sabemos que los medios de comunicación y la tecnología desempeñan un papel importante en los eventos políticos de un país, de ahí la importancia de reflexionar sobre la relevancia de estos actores en la sociedad, sobre todo en tiempos electorales.

Los medios condicionan nuestra percepción del mundo; por supuesto, esta influencia se extiende hacia nuestra capacidad de ejercer decisiones en lo político. Expertos en seguridad informática del Instituto Internacional de Seguridad Cibernética comentan que, en una elección, sólo el 40% de los votantes tienen decidido su voto por un candidato en particular, mientras que 35% siguen indecisos y el restante 25% puede ser condicionado con diferentes técnicas estadísticas y de mercadotecnia a lo largo de la campaña electoral.

Existen muchas formas diferentes en las que los medios y la tecnología tratan de convencernos o de influir en nuestras preferencias políticas, intervención en seguridad informática, vigilancia masiva, monitoreo de cuentas de Twitter y Facebook, y campañas de marketing son algunos de los recursos utilizados con la intención de ejercer dicha influencia. Expertos en seguridad informática señalan cuatro principales métodos empleados para influir en una elección con el uso de estos recursos electrónicos: cambiando el voto, manipulando información que pueda cambiar el voto, obstruyendo el voto, y atentando contra la confianza en el voto.



CÓMO INFLUENCIAR Y HACKEAR EL PROCESO ELECTORAL
La influencia en las decisiones políticas implica un largo proceso, comenzando alrededor de dos años antes de las elecciones. Este trabajo requiere el uso de:

1. Vigilancia masiva.
2. Acumulación de datos sobre palabras clave y metadatos.
3. Análisis geográfico y segmentación poblacional.
4. Identificación de actores de la oposición.
5. Geomarketing, utilizando medios tradicionales y digitales enfocados en grupos de gente identificados previamente.

Más información:
http://noticiasseguridad.com/importantes/como-influir-un-proceso-electoral-y-hackear-las-elecciones-gubernamentales/

Saludos.

Investigadores en seguridad de Kaspersky Lab han descubierto un nuevo adware escrito en Python llamado PythonBot dirigido contra los usuarios de Windows.

PythonBot, también conocido como PBot, no solo muestra publicidad no deseada a los usuarios de los ordenadores infectados, sino que también instala un minero malicioso y extensiones de publicidad en los navegadores web. Fue descubierto hace un año y con el paso del tiempo ha ido incorporando nuevas capacidad hasta alcanzar sus posibilidades actuales. Solo en abril, los expertos de Kasperksy Lab descubrieron 50.000 intentos de instalación de este malware en computadoras Windows, siendo los países más afectados Kazajistán, Letonia, Ucrania y Rusia.

Conforme fueron avanzando las iteraciones en las versiones se ha complicado la ofuscación de los scripts. Sobre la última versión, destaca por la presencia de un módulo que actualiza los scripts y descarga nuevas extensiones para los navegadores, que son usados para mostrar banners indeseados en las páginas visitadas por las víctimas con el fin de generar ingresos para los ciberdelincuentes. A todo eso hay que sumar el minero malicioso, que utiliza la potencia de CPU del ordenador para generar criptomonedas. Básicamente, lo que intenta hacer PythonBot es generar ingresos a toda costa y explotando buena parte de las vías posibles.

PBot está siendo distribuido a través de sitios web pertenecientes a socios de los ciberdelincuentes (también actores maliciosos) que redirigen a los visitantes a enlaces patrocinados, los cuales llevan a la página de descarga de PBot. Al hacer clic en el enlace aparece un fichero con extensión ".hta" que se encarga de instalar el malware en Windows. Con el fin de generar más ingresos, recurre a software que es instalado a escondidas.

Aunque el mercado de sistema operativos se ha diversificado, sobre todo a partir de la expansión de los smartphones, Windows sigue siendo el sistema operativo más afectado y acosado por el malware, quizá posiblemente porque la mayoría de sus usuarios utilizan por defecto una cuenta de administrador, algo que facilita mucho los procesos de infección.

Fuente: https://www.muyseguridad.net/2018/06/28/pythonbot-adware-contra-windows-minero-malicioso/

Saludos.

Aquí os dejo éste pdf de la mano de ElevenPaths y subido a ExploitDB.

Link:
https://www.exploit-db.com/docs/english/44947-discovering-and-plotting-hidden-networks-created-with-usb-devices.pdf

Saludos.

[Add Text:]

Add Text:
El nombre no lo puede dejar más claro, ¿verdad? Con Add Text podemos añadir textos a nuestras imágenes. La plataforma aporta diferentes tipos de letra, así como tamaños personalizados. Esta página web está pensada, sobre todo, para hacer los característicos memes de manera rápida y sencilla. De hecho, permite crear varias capas de texto para colocarlo donde más guste.
Es realmente básico este gestor de imágenes, aunque te puede sacar de más de un apuro si lo que necesitas es algo superficial

Link: https://addtext.com/

Be Funky:
Para nosotros, uno de los mejores: Be Funky. El anterior presentado era muy simple, pero con Be Funky vas a poder realizar muchos comandos ya conocidos si manejas Photoshop. Por ejemplo, puedes recortar fotografía, ajustar la exposición de la imagen (brillos, sombras, etc.), controlar la saturación y todos sus parámetros (colores, tonalidades, etc.) y ajustar el enfoque de la imagen.
Así mismo, también es compatible con teléfonos móviles, por lo que puedes editar la fotografía tanto desde tu PC como desde el smartphone.

Link: https://www.befunky.com/

Image Blur:
Quizás meter a Image Blur como editor de imágenes es bastante osado, aunque no deja de ser eso... pero de una manera especial. Con este portal lo que conseguimos es erradicar cualquier dato que tenga nuestra fotografía. Seguro que sabes a lo que estamos haciendo referencia: es esa parte borrosa que suelen tener muchas imágenes en cuanto aparece información personal.
Por lo general, esta herramienta se suele emplear en los medios de comunicación, donde es imprescindible difuminar algunas secciones de una imagen para que se vea borrosa.

Link: https://imageblur.io/

Pic Monkey:
Cuatro o cinco comandos claves, pero que te pueden salvar la vida. Eso es Pic Monkey, un editor de imágenes para las situaciones estándar de nuestro día a día. Esto es retocar, introducir rótulos, cambiar la iluminación y poco más. Para nuestro gusto se queda un peldaño por debajo del nivel medio, pero es bastante socorrido y, por supuesto, gratuito (que esto es muy importante).

Link: http://www.picmonkey.com/

Pixlr:
El más completo de todo este listado: Pixlr. Casi con total seguridad has escuchado hablar de él si te gusta el mundo de la fotografía, ya que posee todas las herramientas (o casi) de Adobe Photoshop. Piceles, tampones de clonar, exposición, saturación, lazos, filtros, trabajar por capas, controles de luz... Las posibilidades de Pixlr son tan grandes que es probable que se convierta en tu app favorita a poco que la uses.
La plataforma tiene una modalidad gratuita disponible para todo el público, aunque también existe una opción PRO que potencia las características.

Link: https://pixlr.com/editor/

editor.pho.to:
Otro editor de fotos muy completo. Efectos, retoque facial, corrector, caricaturas , etc.

Link: http://editor.pho.to/es/edit/

Espero os sean de utilidad.

Saludos.

El 6 de junio se hizo pública la vulnerabilidad CVE-2018-0296 que afecta a la interfaz web de los Cisco ASA (Adaptive Security Appliance) y aunque el fabricante lo describe como una vulnerabilidad que "podría permitir a un atacante remoto no autenticado provocar que el dispositivo se reinicie (DoS) y, en ciertas versiones de software, ver información sensible del sistema sin autenticación mediante el uso de técnicas de path traversal", lo realmente importante es ésto último, la falta de de validación de entrada y control de acceso a algunas URLs:
"/+CSCOU+/../+CSCOE+/files/file_list.json?path=/"
"/+CSCOU+/../+CSCOE+/files/file_list.json?path=%2bCSCOE%2b"
"/+CSCOU+/../+CSCOE+/files/file_list.json?path=/sessions/"
"/+CSCOE+/logon.html"
...
Sin embargo los polacos de Sekurak lo explican perfectamente en su artículo: "Error description CVE-2018-0296 - bypassing authentication in the Cisco ASA web interface":

ASA organiza sus recursos en dos directorios: /+CSCOU+/ y /+CSCOE+/ . Las subpáginas dentro de /+CSCOE+/ pueden requerir autenticación, mientras que las ubicadas en el medio /+CSCOU+/ autenticación nunca la requieren.

Como se muestra a continuación, si se intenta acceder a cualquier recurso /+CSCOE+/files/file_list.json de manera estándar se nos redireccionará a la página de logon:



Pero si se reemplaza en la petición /+CSCOE+/ por /+CSCOU+/ el resultado es sorprendente:



Así de sencillo. Esa a la manera de eludir la autenticación.

Como veis también, con file_list.json se pueden listar los archivos visibles desde la interfaz web. El catálogo de sesiones parece interesante, y después de entrar a una de esas sesiones, se puede averiguar cuál es el ID de usuario que está asociado, por lo que se puede averiguar fácilmente cual es la contraseña que hay que intentar romper.

Más información:
https://blog.segu-info.com.ar/2018/06/vulnerabilidad-de-path-traversal-en.html

Saludos.

Los investigadores de ESET descubrieron una nueva familia de RAT de Android (Herramientas de administración remota), que ha estado abusando del protocolo de Telegram para comando y control, y exfiltración de datos.

Investigando lo que al principio parecía ser una actividad incrementada por parte de IRRAT y TeleRAT informados anteriormente, identificamos una familia de malware completamente nueva que se ha extendido desde al menos agosto de 2017. En marzo de 2018, su código fuente se puso a disposición de forma gratuita en Telegram. pirateando canales, y como resultado, cientos de variantes paralelas del malware han estado circulando en la naturaleza.

Una de estas variantes es diferente del resto: a pesar del código fuente disponible libremente, se ofrece a la venta en un canal dedicado de Telegram, comercializado bajo el nombre HeroRat. Está disponible en tres modelos de precios según la funcionalidad, y viene con un canal de video de soporte. No está claro si esta variante se creó a partir del código fuente filtrado, o si es el "original" cuyo código fuente se filtró.

Los atacantes atraen a las víctimas para que descarguen la RAT al difundirla bajo varias apariencias atractivas, a través de tiendas de aplicaciones de terceros, redes sociales y aplicaciones de mensajería. Hemos visto el malware distribuido principalmente en Irán, como aplicaciones que prometen bitcoins gratis, conexiones a internet gratuitas y seguidores adicionales en las redes sociales. El malware no se ha visto en Google Play.



Más información y fuente:

https://www.welivesecurity.com/2018/06/18/new-telegram-abusing-android-rat/

Saludos.

Hoy me trajeron un portátil con Mac OS, tenía una cuenta de administrador la cual no sabíamos la contraseña.

Lo solucioné de la siguiente manera:
Reiniciar el equipo y seguidamente pulsar las teclas cmd y s

A continuación escribir el siguiente comando:
Mount -uw / y presionar enter

A continuación escribir :
Rm /var/db/.AppleSetUpDone y presionar enter

A continuación escribir:
Shutdown -h now

El portátil se apagará.
Lo volvemos a encender y ahora nos aparecerán los formularios a rellenar como si fuese la primera vez que encendemos el portátil.
Entre otros datos se nos pedirá rellenar de nuevo la contraseña de administrador.
Ahora si quieres puedes eliminar la cuenta de administrador en la cual no tenías la contraseña y listo.

Saludos.

Los atacantes están usando un tipo de archivo engañosamente simple para evitar AV y engañar a los usuarios para que descarguen y ejecuten scripts maliciosos a través de Excel.

Detalles clave:

¿Qué esta pasando?
Las nuevas campañas de spam utilizan archivos adjuntos .iqy para eludir AV e infectar a las víctimas con un troyano de acceso remoto.

¿Qué son los archivos .iqy?
Los archivos de Excel Web Query (.iqy) se utilizan para descargar datos de Internet directamente a Excel. Son extremadamente simples (solo unas pocas líneas de texto), pero también de gran alcance. Los archivos .iqy utilizados en estas campañas descargan un script de PowerShell, que se inicia a través de Excel y pone en marcha una cadena de descargas maliciosas.

¿Cómo se ven los correos electrónicos no deseados?
Actualmente, están disfrazadas como alertas de "factura no pagada", que parecen haber sido enviadas por alguien dentro de la organización de la víctima. Ej .: random.name@victimsdomain.com.

¿Cuál es la carga útil?
Actualmente, un troyano de acceso remoto (RAT) llamado FlawedAmmyy. Basado en el código fuente filtrado para el software de escritorio remoto Ammyy Admin, efectivamente da a los atacantes acceso completo a las máquinas infectadas.

¿Qué hace que esto sea diferente de otros ataques?
Si bien los investigadores ya han escrito sobre el potencial del uso indebido de archivos .iqy, esta puede ser la primera vez que se ve en una importante campaña de spam en la naturaleza. Como resultado, y debido a que los archivos .iqy tienen casos de uso legítimos, están pasando por alto la mayoría de los filtros y AV. La capacidad de estos archivos para abrir Excel y (si los usuarios eligen ignorar las advertencias) descargar cualquier dato de Internet los hace extremadamente peligrosos.

¿Cómo me protege Barkly de estos ataques? A diferencia de las soluciones antivirus, Barkly no se limita a bloquear archivos maliciosos basados ​​en firmas o atributos. También bloquea la actividad sospechosa del sistema y los patrones de proceso. En este caso, se ve a Excel intentando ejecutar cmd.exe para iniciar powershell.exe, y bloquea ese comportamiento antes de que pueda dar lugar a cargas descargadas de Internet.

Se detectó una ola más pequeña posterior el 5 de junio de 2018.

El cuerpo del correo electrónico está en blanco, pero como se explicó anteriormente, el archivo adjunto .iqy es donde las cosas se ponen interesantes.

Como se mencionó, los escáneres AV claramente no están preparados para archivos .iqy. El archivo adjunto incluido en la campaña del 5 de junio tuvo cero detecciones de acuerdo con VirusTotal. Un día después, las detecciones totales aumentaron a solo cinco.

Cuando se abre, el archivo .iqy se inicia a través de Excel (su programa predeterminado) e intenta obtener datos de la URL incluida en el interior. Como señala Jon Wittwer en su explicación de los archivos de Excel Web Query, en su forma básica, un archivo .iqy es increíblemente simplista.

Abierto en el Bloc de notas, el archivo .iqy incluido en la segunda ola de correos electrónicos no deseados, por ejemplo, simplemente se ve así:



Eso es. Con esa instrucción simple, Excel intenta extraer datos de esa URL, que, en este caso, pasa a ser una secuencia de comandos de PowerShell.



El script de PowerShell descarga un segundo archivo de script (1.dat):



Ese script descarga un archivo .xls, que en realidad es un archivo .exe disfrazado. La carga final es FlawedAmmyy, una RAT que tiene una historia de fondo interesante por sí misma.



Creado a partir del código fuente filtrado del popular software de escritorio remoto Ammyy Admin, FlawedAmmyy ofrece a los atacantes muchas de las capacidades que ofrece la herramienta legítima. En otras palabras, esencialmente les otorga a los atacantes acceso completo a las máquinas de las víctimas, lo que les permite robar archivos y credenciales, secuestrar las computadoras para enviar más correos electrónicos no deseados, y más.



Fuente:

https://blog.barkly.com/iqy-file-attack-malware-flawedammyy
http://www.kernelmode.info/forum/viewtopic.php?f=16&t=5032

Saludos.

Una cuenta más bien anónima se comunicó conmigo en Twitter pidiendo ver una muestra "aterradora y realmente desagradable".
Resultó ser RedEye ransomware, una nueva variedad o variante del mismo creador de Annabelle ransomware, que descubrí en febrero a principios de este año.

Este ransomware se llama "RedEye" por el autor "iCoreX".

Lo primero que se nota sobre este archivo es el enorme tamaño del archivo: 35.0 MB (36657152 bytes). Esto se debe a varios archivos multimedia, específicamente imágenes y archivos de audio, integrados en el binario.

Contiene tres archivos ".wav":
child.wav
redeye.wav
suicide.wav
Los tres archivos de audio reproducen un sonido "escalofriante", destinado a asustar al usuario.



Fuente:
https://bartblaze.blogspot.com/2018/06/redeye-ransomware-theres-more-than.html
http://www.kernelmode.info/forum/viewtopic.php?f=16&t=5029

Muestra:
https://www115.zippyshare.com/v/pQucCsqX/file.html
Password: infected

Saludos.

Los intrusos también accedieron a 1,2 millones de registros de datos personales, como nombres, direcciones o direcciones de correo electrónico, en lo que se perfila como una de las brechas de datos más grandes de Gran Bretaña en una sola compañía.

El minorista de electrónica con sede en Reino Unido, Dixons Carphone, reveló una importante brecha de datos que involucra 5,9 millones de detalles de tarjetas de pago y 1,2 millones de registros de datos personales, según un comunicado de la compañía y un informe de la BBC.

Dixons Carphone dijo que una revisión de sus sistemas y datos ha descubierto "el acceso no autorizado a ciertos datos en poder de la empresa". La firma dijo que, mientras se lleva a cabo una investigación, ha encontrado lo que llama "un intento de poner en peligro" 5,9 millones de tarjetas en uno de los sistemas de procesamiento de sus tiendas Currys PC World y Dixons Travel.

Según BBC, la intrusión se remonta a julio de 2017, pero no fue descubierta hasta la semana pasada.

El minorista dijo que 5,8 millones de las tarjetas de pago tienen protección de chip y pin. "Los datos a los que se accede con respecto a estas tarjetas no contienen códigos pin, valores de verificación de la tarjeta (CVV) ni datos de autenticación que permitan la identificación del titular de la tarjeta o una compra", dijo la compañía. Sin embargo, el incidente también ha comprometido alrededor de 105,000 tarjetas de pago emitidas fuera de la UE sin protección de chip y pin.

Fuente:

https://www.welivesecurity.com/2018/06/14/major-breach-british-retailer-dixons-carphone-nearly-six-million-bank-cards/

Saludos.

El 1 de junio de 2018, el equipo de respuesta avanzada a amenazas de 360 Core Security descubrió un ataque con una nueva vulnerabilidad Flash de 0 días a escala global. Los piratas informáticos construyeron cuidadosamente un documento de Office que cargó la vulnerabilidad de Flash de forma remota. Cuando se abrió el documento, todo el código de explotación y la carga maliciosa se entregó a través de servidores remotos. Este ataque se dirige principalmente al Medio Oriente. Esta vulnerabilidad es la segunda vulnerabilidad Flash de 0 day descubierta en 2018 y actualmente afecta a Adobe Flash Player 29.0.0.171 y versiones posteriores



A través del análisis, podemos ver que el ataque usó una vulnerabilidad de 0 day independientemente del costo. El atacante desarrolló planes sofisticados en la nube y pasó al menos tres meses preparándose para el ataque. El contenido detallado del ataque de phishing también se adaptó al objetivo de ataque. Todas las pistas muestran que este es un ataque típico de APT. Sugerimos a todas las organizaciones y usuarios relevantes que actualicen su Flash a las últimas versiones de manera oportuna.

Más información y fuente:

http://blogs.360.cn/blog/cve-2018-5002-en/
http://www.kernelmode.info/forum/viewtopic.php?f=20&t=5036

PD: Lo podría haber colocado en la sección de noticias, si algun MOD lo ve haga el favor de cambiarlo, gracias.

Saludos.

CrowdInspect está organizado en columnas, en la que podemos ver la siguiente información: si un proceso tiene conexiones de red abiertas, el programa escaneará su tipo, estado, puertos e IPs, tanto a nivel local, como a nivel remoto. Otra columna muestra el marcador de confianza para cada IP remota (lo que puede ayudarte a detectar una conexión no deseada, aunque no se haya iniciado por malware).

La característica que resulta más útil a primera vista es una columna con el marcador de VirusTotal para cada archivo. Para identificar las posibles amenazas en ella, el programa usa un código de colores. Haciendo clic con el botón derecho encima de cualquier proceso nos permite ver el informe detallado en la web.

Web: https://www.crowdstrike.com/resources/crowdinspect/
D.Directa: http://download.crowdstrike.com/crowdinspect/CrowdInspect.zip
Tipo: Portable
Peso: 1,07 MB

Saludos.

Pienso en este tema muy a menudo y acabo llegando a ala conclusión de que los antivirus siempre irán por detrás en la detección de amenazas. La detección pro activa tampoco es un problema para el malware en general, ya que se puede eludir sin mucho esfuerzo en cuanto a código se refiere.Hace un tiempo, leí un articulo de Kaspersky donde tratan los antivirus por hardware, y eso me alentó a pensar un poco más, sobre todo  porque serían más eficaces de lo que son a día de hoy. El articulo lo podeis encontrar aquí:

https://www.genbeta.com/actualidad/kaspersky-patenta-un-sistema-antivirus-mediante-hardware

dispositivo que contaría con procesador y memoria RAM propia, y que trabajaría entre la CPU y la unidad de almacenamiento, bloqueando la escritura de datos en el disco duro para proteger el equipo. Una solución que no consumiría recursos propios del sistema donde estuviera instalado, ni por supuesto dependería del Sistema Operativo que usemos.

Bajo mi punto de vista, en un futuro no muy lejano, los antivirus se venderán como un  tipo de procesador añadido a la placa base con algún tipo de socket para poder insertarlos en la placa base del ordenador.
Estos nuevos tipos de antivirus, podrían manejar fácilmente todo tipo amenazas, ya que podría acceder sin dificultad a los diferentes anillos del sistema operativo y erradicar la amenaza.
Estos se venderían como un procesador añadido a la placa base y a un precio asequible para el consumidor, o sea nosotros. La idea sería que un fabricante como Intel por ejemplo, fabricara estos tipos de procesadores para la diferentes casas de antivirus que hay en el mercado. Se que esto podría parecer un monopolio para algunos, pero alguien tiene que fabricarlos. Esta idea me surgió al ver una peíicula llamada "Paranoia 1.0" donde en algunos trozos de ésta se puede ver como podrían llegar a ser los antivirus del futuro.

Que opináis al respecto? Como creéis que serán los antivirus del futuro?

Saludos.

Programa usado para revisar el pc a fondo en busca de rootkits, para ver los procesos y servicios ejecutados, conexiones de red, sistema de archivos, entradas del registro, reporte para foros, entradas del kernel, etc.

Es muy completo, nos da mucha información acerca de como tenemos el sistema de seguro, viendo en todo momento lo que sucede en nuestra computadora.

PD: Si se bloquea y no responde en algún momento al listar alguna pestaña, dejadlo hacer y esperar unos segundos, no tardará más.

Aquí algunas capturas:



Reporte para subir al foro:



Descarga: http://www.xuetr.com/download/
Descarga directa: http://www.xuetr.com/download/PCHunter_free.zip
Peso: 7,1 MB (incluye la versión de 32 y 64 bits)

Compatible con todas las versiones de Windows en 32 y 64 bits (menos Windows Server 64 bits).

Son algo viejos pero tampoco hay muchos circulando.
Incluye el source y un video, aquí dejo el link:

Link: https://mega.nz/#!U0JnHABB!RSW9m0cRENhWjW1s0T5KwhM0JXs80kqKafswuUUrr0w
Peso: 7 MB
Fuente: https://ebfes.wordpress.com/2010/03/27/anti-bootkit-v-0-8-5/

Capturas:





Añado el link de otros dos antibootkit:

Link: https://mega.nz/#!F85xWDhA!Rg2wKS1KH4ABmgFeU6wUWjY940yrZxOeibfiiRIMolg
Peso: 450 KB

Link: https://mega.nz/#!R8xx0DTZ!RxKGUJaWwVLZvFnRsne4Re2BeYc3T4opHF2jJk-kYIA
Peso: 44 KB

Saludos.

Parece que los embaucadores en Google Play han encontrado otra manera de hacer que sus aplicaciones engañosas parezcan más confiables para los usuarios, es decir, al menos a primera vista.

El truco se aprovecha del hecho de que, aparte del icono y el nombre de la aplicación, hay un elemento más que el usuario ve al navegar por las aplicaciones: el nombre del desarrollador, que se muestra justo debajo del nombre de la aplicación. Y dado que los nombres desconocidos de los desarrolladores no sirven para aumentar la popularidad de todos modos, algunos autores de aplicaciones han estado configurando grandes cantidades de instalaciones ficticias como sus nombres de desarrolladores, en un esfuerzo por parecerse a desarrolladores establecidos con bastas bases de usuarios.

Hemos descubierto cientos de aplicaciones que usan este y trucos similares para engañar a los usuarios. Las aplicaciones que hemos analizado engañan a los usuarios sobre su funcionalidad o no tienen ninguna funcionalidad, pero la mayoría muestran muchos anuncios.



Figura 1 - Aplicaciones cargadas a Google Play con el nombre de desarrollador "100 millones de descargas"
La libertad de establecer cualquier número de opciones como nombre de desarrollador ha inspirado algunas afirmaciones notablemente ambiciosas: un desarrollador de juegos, por ejemplo, desea que los usuarios crean que sus juegos se han instalado más de cinco mil millones de veces. (Nota: las aplicaciones de más alto rango en términos de cantidad de instalaciones caen en la categoría "1,000,000,000+" en el momento de la redacción, esta categoría incluye Google Play, Gmail, Facebook, WhatsApp, Skype, etc.)

Más información y fuente:
https://www.welivesecurity.com/2018/06/11/android-popularity-faking-tricks-google-play/

Saludos.

Descargar MacOS MOjave:
https://drive.google.com/file/d/16u0y2tLjU0xsQoDReaPUQtHgB579P-iK/view

Códigos a introducir desde la cmd de windows:
https://drive.google.com/file/d/1jS06CR_H0GohN_OcaUEBIRQHAy8hwN1x/view





Para un buen rendimiento sería necesario dar 4 GB de ram:







Aquí, insertar los comandos adjuntos arriba:




Más información aquí:
https://techsviewer.com/install-macos-10-14-mojave-on-virtualbox-on-windows/

Si lo prefieres, puedes instalar MacOS Mojave para VMWare desde aquí:
https://techsviewer.com/install-macos-10-14-mojave-vmware-windows/

Saludos.

Disponible la última versión de este sistema operativo.

Link: https://www.qubes-os.org/downloads/
Imágen ISO: https://mirrors.edge.kernel.org/qubes/iso/Qubes-R4.0-x86_64.iso
Torrent: https://mirrors.edge.kernel.org/qubes/iso/Qubes-R4.0-x86_64.torrent
Documentación: https://www.qubes-os.org/doc/
Guía de instalación: https://www.qubes-os.org/doc/installation-guide/
Peso: 4,27 GB

Saludos.

Esta extensión es Universal Bypass, la cual es open source. Está disponible para Mozilla Firefox y Google Chrome, y permite saltarse estas webs intermedias del tipo Adf.ly, Adfoc.us, Linkbucks, Linkshrink o GemPixel, entre otras. Gracias a ella, no tenemos que interactuar con estas páginas y podemos ir directamente a la página de destino.

Universal bypass puede saltarse los siguientes acortadores:

Adf.ly (All domains)

Adfoc.us

LinkShrink.net

Shorte.st (All domains + Embed)

LinkBucks.com (All domains)

AdLinkFly Template (used by Dz4link and many others)

GemPixel Premium URL Shortener Template (Used by Al.ly, L.ly and many others)

Soralink Plugin

Safelink Template

Other Templates

GetsURL (All domains)

Linkvertise (All domains)

OpenLoad (All domains)

Viid.su (All domains)

KuroSafe (All domains)

SafeLinkReview (All domains)

Clictune.com (All domains)

Sub2Unlock.com

Ur.ly

Short.am

CShort.org

CPMlink.net

AdMy.link

Ysear.ch

Link.tl

1ink.cc


Link: https://universal-bypass.org/


Saludos.

Interesante video tutorial sobre el análisis de este tipo de malware, desde la RootedCon.

[youtube=640,360]https://www.youtube.com/watch?v=cnHmOw1Q6SI[/youtube]

Fuente: Snifer@l4b´s

Saludos.

Curso para iniciarse desde cero con IDA.
Consta de 9 partes comprimidas con 7-zip.

Link: https://drive.google.com/drive/folders/0B13TW0I0f8O2X192M3VyajRjZUk

Saludos.

Versión 9 del EC-Council.Certified.Ethical.Hacker.

Info: https://secureninja.com/training-courses/ceh-ethical-hacking-certification-bootcamp.html

Link: https://mega.nz/#F!JhxXGZaL!dgSo9iXHJQW0dKKr_dYmVg

Saludos.

El 21 de junio de 2016, Mark Zuckerberg, el CEO de Facebook, publicó un mensaje en la red social para celebrar un nuevo récord de Instagram. La plataforma para compartir fotografías y vídeos, propiedad de la empresa de Zuckerberg, ya contaba con más de 500 millones de usuarios activos mensuales.

Zuckerberg escribió: "Este es un homenaje a la visión de Kevin Systrom y Mike Krieger, y a todas las personas que han abierto una ventana a su mundo: desde grandes eventos hasta los momentos cotidianos. Gracias por hacer de Instagram un lugar tan hermoso".

Hasta aquí todo parece ir bien y sobran motivos para que la estrella de la red social esté feliz. Sin embargo, este momento trascendental quedó rápidamente en segundo plano. ¿Por qué? Porque la publicación resultó tener una interesante imagen adjunta donde Zuckerberg sostiene un marco que simula una fotografía de Instagram.

Una vez más, parecería algo bastante rudimentario. Sin embargo, detrás de él, sobre el escritorio, se ve una MacBook personal, que suponemos es la suya, y que no solo tiene tapado el enchufe de audio con cinta adhesiva, sino también la cámara web integrada. Está de más decir que esta imagen provocó una gran conmoción online.
(In)Seguridad en cámaras web: un problema muy real

La comprensión colectiva de la seguridad cibernética está mejorando en forma lenta pero segura. Esto es algo positivo, ya que la amenaza de la ciberdelincuencia crece día a día. Tanto es así que los profesionales de seguridad y ciertas autoridades han admitido que están muy preocupados por su rápido crecimiento.

No obstante, definitivamente aún hay falta de concientización entre los usuarios de computadoras. Una de las consecuencias positivas que tuvo la publicación viral de Zuckerberg en Facebook es que aumentó la toma de conciencia sobre la seguridad en cámaras web y otras vulnerabilidades asociadas, que hace muy poco tiempo se ha convertido en un área de preocupación real en los círculos fuera de la industria de la seguridad informática.

Por otra parte, en la Internet de hoy, donde todo está mucho más conectado mediante la Internet de las Cosas, este problema va a ser cada vez mayor. Por eso es importante que aprovechemos este súbito incremento en la atención que está recibiendo la seguridad en cámaras web, por cortesía del pionero en redes sociales.

Seguir leyendo:

http://www.welivesecurity.com/la-es/2016/11/02/seguridad-en-camaras-web/

Durante la pasada edición de ekoparty en Buenos Aires, Argentina, pudimos atestiguar increíbles exposiciones de la mano de grandes oradores internacionales que presentaron sus hallazgos en materia de ciberseguridad. Ciertamente, uno de los speakers que dejó una muy buena impresión entre el público fue Martin Vigo, ingeniero en seguridad oriundo de Galicia, España.

Tras un pequeño curso introductorio que bien podría haberse titulado "Cómo identificar a un gallego 101" más algunos desopilantes chistes y acompañado de un aire distendido, muy similar a otro investigador español que ya todos conocemos, Martin se puso manos a la obra para probar cómo es posible convertir un iPhone y una Mac en un verdadero equipo de ciberespionaje, comenzando su charla Do-it-Yourself Spy Program: Abusing Apple's Call Relay Protocol.

Seguir leyendo la noticia:

http://www.welivesecurity.com/la-es/2016/11/01/protocolo-call-relay-apple-ciberespionaje/

[imghttp://www.welivesecurity.com/wp-content/uploads/2016/10/shutterstock_348650459-623x410.jpgimg]

El reino de Internet ha cambiado mucho en los últimos años. Antes, navegar significaba usar motores de búsqueda hasta llegar a contenidos específicos, o leer artículos en tus sitios de noticias favoritos. Hoy, las redes sociales, los videos y la mensajería instantánea son centrales para la experiencia online de un usuario, especialmente en la generación más joven.

Pero la comodidad de interactuar con amigos y conocidos tiene su precio. Una nueva serie de riesgos ha aparecido y a pesar de que las redes sociales están haciendo un esfuerzo importante, con frecuencia es la negligencia de los usuarios la que lleva a que se comprometa su seguridad.

Dado que octubre es el mes de la ciberseguridad en Europa y ESET lo apoya publicando contenidos para profundizar la concientización de los usuarios, es hora de listar algunos consejos que te ayudarán a protegerte en estos populares servicios.
1. Actualiza todo tu software y mantén tus dispositivos seguros

Tu sistema operativo y aplicaciones, así como todo tu software (especialmente los navegadores) deben estar al día. Además, para mantener a los villanos lejos de ti, usa una solución de seguridad completa y confiable tanto en tu computadora como en tus dispositivos móviles.
2. Usa contraseñas fuertes

Esta práctica no solo aplica para las redes sociales, sino también para el reino cibernético en general. Recuerda que tus contraseñas deben ser fuertes, robustas y únicas, de modo que no se repitan en distintos servicios; combina mayúsculas, minúsculas, números y caracteres especiales, y ten en cuenta que no es necesario preocuparte por tener que memorizarlas todas, ya que puedes usar un gestor de contraseñas para evitar que te fatiguen los asuntos de seguridad.

El siguiente video te muestra cómo crear una contraseña segura a través de un ejemplo práctico:

[youtube=640,360]https://youtu.be/I8AhGbzzego[/youtube]

3. Revisa la configuración de tus cuentas

Tu prioridad principal al crear un nuevo perfil es revisar las opciones de seguridad y privacidad que ofrezca el servicio y configurarlas correctamente. Asegúrate de que tus publicaciones solo sean visibles para tus amigos cercanos o para el grupo que tenías en mente, y no para cualquiera. Si añades detalles a tu perfil, como datos personales, escóndelos de extraños y posibles estafadores para que no los puedan extraer; podrían tratar de usarlos para adivinar tus contraseñas o robar tu identidad.

Si no sabes por dónde empezar, tenemos más consejos para revisar los ajustes de tus redes sociales. Y recuerda que las compañías los cambian en forma periódica, por lo que es importante que les prestes atención cada tanto.
4. Piensa dos veces antes de publicar

Aún cuando mantengas la mayor privacidad posible en tus ajustes, capturas de pantalla de tu perfil, publicaciones o mensajes podrían terminar diseminadas por la Web si alguien en quien confías tiene malas intenciones y se lo propone. Por lo tanto, piensa siempre antes de publicar un texto, foto, opinión, mensaje personal o video. Una vez online, será difícil retirarlo por completo.
5. Sé escéptico

Una regla general: "Si algo suena demasiado bueno para ser cierto, probablemente lo sea". Así que si alguieran te ofrece un nuevo auto, computadora o smartphone a cambio de información sensible como fecha o lugar de nacimiento, documento o teléfono, es proable que sea una trampa. Recuerda que los engaños en la Web pueden presentarse en múltiples formas y se valen de la vieja y conocida Ingeniería Social para pescar víctimas.

Mantén tus datos sensibles en privado y, antes de proporcionarlos en algún sitio o participar de sorteos y concursos, verifica su autenticidad.
6. Evita a los extraños

¿Acabas de recibir un mensaje instantáneo de alguien atractivo? ¿Lo conoces o has visto a esa persona? Si no, ten cuidado. El ciberespacio puede proporcionarles anonimato y "camuflaje" a los actores maliciosos, lo que les permite manipular a sus víctimas para que ejecuten acciones que normalmente no aceptarían. Para mantenerte protegido, limita la cantidad de personas que pueden contactarte y, si es posible, interactúa solo con quienes realmente conoces.

Fuente: http://www.welivesecurity.com/la-es/2016/10/12/consejos-fanaticos-de-las-redes-sociales/

En algunas ocasiones, en las auditorías de seguridad, es posible encontrarse frente a un escenario en el cual todo se gestiona correctamente, lo que significa que los parches de seguridad, las políticas, la segmentación de redes, el antivirus y la concientización a los usuarios, entre otros muchos cuidados, estén bien aplicados. Es entonces cuando, para continuar el análisis desde la perspectiva de investigador o consultor de seguridad, la Ingeniería Social y algunas otras herramientas como las que veremos a lo largo del post comienzan a tener un valor más importante, siendo quizá las únicas que permitirán penetrar al sistema objetivo.

Se trata de hardware mayormente diseñado para proyectos o investigaciones de seguridad. A continuación, te presentamos las 10 herramientas que todo hacker ético necesita.
#1 Raspberry Pi 3



Estamos ante la tercera generación de estas computadoras de bajo presupuesto, que pueden ser utilizadas con múltiples fines. Un clásico ejemplo en auditorías de seguridad es utilizar una Raspberry Pi con sus baterías apropiadas, una distribución como Kali Linux y aplicaciones como FruityWifi, que se convertirán en la navaja suiza del pentesting.
#2 WiFi Pineapple*

Este conjunto de herramientas para pruebas de penetración inalámbrica es muy útil para distintos tipos de ataques, como ejemplo el clásico Man-In-The-Middle. Mediante una interfaz web intuitiva, permite la conexión con cualquier dispositivo como smartphones o tablets. Se destaca su facilidad de uso, el manejo del flujo de trabajo, la información detallada que brinda y la posibilidad que brinda de emular distintos ataques avanzados, que están siempre a un par de clics de distancia.

Como plataforma, la WiFi piña permite numerosos módulos que se van desarrollando en la comunidad y que añaden características que amplían sus funcionalidades. Afortunadamente, estos módulos se instalan de forma gratuita directamente desde la interfaz web en cuestión de segundos.



Seguir leyendo:

http://www.welivesecurity.com/la-es/2016/10/07/10-gadgets-hacker-etico/

Algunos usuarios del servicio de streaming de música Spotify Free, que se mantiene a base de publicidad, recibieron más anuncios de los que esperaban.

Todo empezó el pasado martes 4 de octubre, cuando alguien reportó un problema en el foro de la aplicación diciendo:

    Está sucediendo algo bastante alarmante en Spotify Free. Esto empezó hace varias horas. Si tienes Spotify Free abierto, ejecutará – y seguirá ejecutando – el navegador de Internet por defecto de la computadora para acceder a diferentes tipos de sitios con malware / virus. Algunos ni siquiera requieren acción del usuario para poder causar daño.

    Tengo 3 sistemas (computadoras) diferentes que están libres de infecciones y todas están haciendo esto, todas a través de Spotify – estoy considerando que son los anuncios publicitarios en Spotify Free.

En cuestión de horas, usuarios de Twitter se hicieron eco de estas conjeturas e indicaron que navegadores en Windows 10, Mac OS X y Ubuntu estaban ejecutando los avisos sospechosos. Luego, AppleInsider reportó que los sitios dudosos estaban distribuyendo ejecutables javascript y Flash  infecciosos; por su parte, Engadget y TrustedReviews consultaron a Spotify sobre el tema.

La compañía reconoció el problema y emitió el siguiente comunicado:

    Un pequeño número de usuarios ha experimentado un problema con pop-ups de sitios web cuestionables en sus navegadores por defecto, como resultado de un problema aislado con un anuncio en nuestro segmento gratuito. Ya hemos identificado la fuente del problema y lo hemos cerrado. Continuaremos monitoreando la situación.

Así, indicó que un anuncio publicitario fue el responsable de la producción y reproducción de múltiples avisos maliciosos.

Spotify se vio afectada por un incidente similar en 2011, cuando una publicidad que aparecía directamente en su software de escritorio de Windows instalaba un falso programa antivirus. En ese entonces, Spotify aclaró que los usuarios que tuvieran instalada una solución de seguridad completa estaban protegidos.

En 2014, la compañía sufrió una fuga de datos. Si bien fue un incidente altamente aislado, ya que solo se logró acceder a los datos de un usuario, se lo tomó seriamente. En ese momento, declaró: "Nos tomamos estos asuntos muy seriamente y como precaución general le pediremos a ciertos usuarios de Spotify que vuelvan a ingresar su nombre de usuario y contraseña para iniciar sesión en los próximos días. Como medida de seguridad adicional, vamos a guiar a los usuarios de la app de Android para que actualicen en los próximos días".

Fuente: http://www.welivesecurity.com/la-es/2016/10/06/spotify-free-anuncios-infectados/

Existen muchas herramientas que permiten analizar rápidamente el comportamiento de las muestras móviles, con el objeto de facilitar la tarea de analistas, testers y pentesters. En el caso de Android, una de esas aplicaciones es AppMon, que a través de la instrumentación de código permite acceder al registro de funciones utilizadas y sus respectivos parámetros.

A lo largo de este artículo echaremos un vistazo a su funcionalidad.
¿Cómo funciona AppMon?

Esta aplicación hace uso de potente entorno de instrumentación dinámica multiplataforma del cual ya hemos hablado en pasadas ocasiones: Frida. Con base en esta plataforma, AppMon incluye una serie de scripts que permitirán a los analistas espiar los eventos que la aplicación estudiada va generando en el sistema, cuyos resultados podrán luego ser visualizados a través de una interfaz web con filtros de búsqueda y ordenamiento.

Además, AppMon incluye scripts que permiten realizar una intrusión dentro de la aplicación modificando su normal curso de acción, como se muestra en el siguiente video. Claro que cada analista podrá también incluir sus propios scripts en la herramienta.

[youtube=640,360]https://youtu.be/QjLRaIB-97E[/youtube]

Sigue el hilo desde la web:

http://www.welivesecurity.com/la-es/2016/09/30/analisis-de-apk-appmon/

Saludos.

Curso de ethical hacking versión  8.


EC-Council.Certified.Ethical.Hacker.CEH.v8.Tools.DVD1
Link: https://mega.nz/#!d9pAhSCZ!Bi1yYel-SzgZ-VBC3TNkn2TBuEtKO74NwnQ-PeG2AaQ
Peso: 4.3 GB

EC-Council.Certified.Ethical.Hacker.CEH.v8.Tools.DVD2
Link: https://mega.nz/#!BshHHKxA!LZPcjQVMHGLIPQag6K0TzEUtSlM-jq2KH0YmYeFHKXI
Peso: 4.35 GB

EC-Council.Certified.Ethical.Hacker.CEH.v8.Tools.DVD3
Link: https://mega.nz/#!wsR1jAyR!pv52v6W-o6wx8xuS-NGyQhlc3SMpPAVqBcBY2z_Tnsw
Peso: 3.73 GB

EC-Council.Certified.Ethical.Hacker.CEH.v8.Tools.DVD4
Link: https://mega.nz/#!FoZGjJbC!n9nHpoO58Ia7FnW6pQz-0m11qON0f53au7rAfVJ0YP4
Peso: 3.88 GB

EC-Council.Certified.Ethical.Hacker.CEH.v8.Tools.DVD5
Link: https://mega.nz/#!1g4jETpJ!RK4JWZ-pUj24CvqtHovPKPurVygveiJ96276QW1mpyk
Peso: 3.63 GB

EC-Council.Certified.Ethical.Hacker.CEH.v8.Tools.DVD6
Link: https://mega.nz/#!l8BymI5J!xnbeL_agBOGuixBlfLv23xMvTU9bUJIse3IGiHaq9V4
Peso: 3.66 GB



Courseware Lab (pdf)
Link: https://mega.nz/#!ck4SzY4Z!PjPSneCof5KPKfblDed_pWlYO-Ss9k8nuNCUeQPVytI
Peso: 2.49 GB


Aquí más tutoriales interesantes desde la web oficial:

https://www.eccouncil.org/resources/whitepapers/



Saludos.

Hoja de ruta: Debe primero seguir los tutoriales de 1 a 4 para establecer la configuración del laboratorio. A continuación, cada tutorial se aborda un tema independiente y se puede completar por separado (cada uno tendrá sus propias instrucciones de configuración de laboratorio).


Malware Analysis Tutorial 1- A Reverse Engineering Approach (Lesson 1: VM Based Analysis Platform)
Link: http://fumalwareanalysis.blogspot.com/2011/08/malware-analysis-tutorial-reverse.html

Malware Analysis Tutorial 2- Introduction to Ring3 Debugging
Link: http://fumalwareanalysis.blogspot.com/2011/08/malware-analysis-tutorial-reverse_31.html

Malware Analysis Tutorial 3- Int 2D Anti-Debugging .
Link: http://fumalwareanalysis.blogspot.com/2011/09/malware-analysis-3-int2d-anti-debugging.html

Malware Analysis Tutorial 4- Int 2D Anti-Debugging (Part II)
Link: http://fumalwareanalysis.blogspot.com/2011/10/malware-analysis-tutorial-4-int2dh-anti.html

Malware Analysis Tutorial 5- Int 2D in Max++ (Part III) .
Link: http://fumalwareanalysis.blogspot.com/2011/10/malware-analysis-tutorial-5-int2d-anti.html

Malware Analysis Tutorial 6- Self-Decoding and Self-Extracting Code Segment .
Link: http://fumalwareanalysis.blogspot.com/2011/12/malware-analysis-tutorial-6-analyzing.html

Malware Analysis Tutorial 7: Exploring Kernel Data Structure .
Link: http://fumalwareanalysis.blogspot.com.es/2011/12/malware-analysis-tutorial-7-exploring.html

Malware Analysis Tutorial 8: PE Header and Export Table .
Link: http://fumalwareanalysis.blogspot.com/2011/12/malware-analysis-tutorial-8-pe-header.html

Malware Analysis Tutorial 9: Encoded Export Table .
Link: http://fumalwareanalysis.blogspot.com/2011/12/malware-analysis-tutorial-9-encoded.html

Malware Analysis Tutorial 10: Tricks for Confusing Static Analysis Tools .
Link: http://fumalwareanalysis.blogspot.com/2012/01/malware-analysis-tutorial-10-tricks-for.html

Malware Analysis Tutorial 11: Starling Technique and Hijacking Kernel System Calls using Hardware Breakpoints .
Link: http://fumalwareanalysis.blogspot.com/2012/01/malware-analysis-tutorial-11-starling.html

Malware Analysis Tutorial 12: Debug the Debugger - Fix Module Information and UDD File .
Link: http://fumalwareanalysis.blogspot.com/2012/01/malware-analysis-tutorial-12-debug.html

Malware Analysis Tutorial 13: Tracing DLL Entry Point .
Link: http://fumalwareanalysis.blogspot.com/2012/01/malware-tutorial-13-tracing-dll-entry.html

Malware Analysis Tutorial 14: Retrieve Self-Decoding Key .
Link: http://fumalwareanalysis.blogspot.com/2012/01/malware-analysis-tutorial-14-retrieve.html

Malware Analysis Tutorial 15: Injecting Thread into a Running Process .
Link: http://fumalwareanalysis.blogspot.com/2012/02/malware-analysis-tutorial-15-injecting.html

Malware Analysis Tutorial 16: Return Oriented Programming (Return to LIBC) Attack .
Link: http://fumalwareanalysis.blogspot.com/2012/02/malware-analysis-tutorial-16-return.html

Malware Analysis Tutorial 17: Infection of System Modules (Part I: Randomly Pick a Driver).
Link: http://fumalwareanalysis.blogspot.com/2012/02/malware-analysis-tutorial-17-infecting.html

Malware Analysis Tutorial 18: Infecting Driver Files (Part II: Simple Infection) .
Link: http://fumalwareanalysis.blogspot.com/2012/02/malware-analysis-tutorial-18-infecting.html

Malware Analysis Tutorial 19: Anatomy of Infected Driver
Link: http://fumalwareanalysis.blogspot.com/2012/03/malware-analysis-tutorial-19-anatomy-of.html

Malware Analysis Tutorial 20: Kernel Debugging - Intercepting Driver Loading .
Link: http://fumalwareanalysis.blogspot.com/2012/03/malware-analysis-tutorial-20-kernel.html

Malware Analysis Tutorial 21: Hijacking Disk Driver
Link: http://fumalwareanalysis.blogspot.com/2012/03/malware-analysis-tutorial-21-hijack.html

Malware Analysis Tutorial 22: IRP Handler and Infected Disk Driver
Link: http://fumalwareanalysis.blogspot.com/2012/03/malware-analysis-tutorial-22-irp.html

Malware Tutorial Analysis 23: Tracing Kernel Data Using Data Breakpoints
Link: http://fumalwareanalysis.blogspot.com/2012/03/malware-tutorial-analysis-23-tracing.html

Malware Analysis Tutorial 24: Tracing Malicious TDI Network Behaviors of Max++ 
Link: http://fumalwareanalysis.blogspot.com/2012/04/malware-analysis-tutorial-24-tracing.html

Malware Analysis Tutorial 25: Deferred Procedure Call (DPC) and TCP Connection
Link: http://fumalwareanalysis.blogspot.com/2012/04/malware-analysis-tutorial-25-deferred.html

Malware Analysis Tutorial 26: Rootkit Configuration
Link: http://fumalwareanalysis.blogspot.com/2012/04/malware-analysis-tutorial-26-rootkit.html

Malware Analysis Tutorial 27: Stealthy Loading of Malicious Driver 
Link: http://fumalwareanalysis.blogspot.com/2012/05/malware-analysis-tutorial-27-stealthy.html

Malware Analysis Tutorial 28: Break Max++ Rootkit Hidden Drive Protection
Link: http://fumalwareanalysis.blogspot.com/2012/05/malware-analysis-tutorial-28-break-max.html

Malware Analysis Tutorial 29: Stealthy Library Loading II (Using Self-Modifying APC)
Link: http://fumalwareanalysis.blogspot.com/2012/06/malware-analysis-tutorial-29-stealthy.html

Malware Analysis Tutorial 30: Self-Overwriting COM Loading for Remote Loading DLL
Link: http://fumalwareanalysis.blogspot.com/2012/06/malware-analysis-tutorial-30-loading.html

Malware Analysis Tutorial 31: Exposing Hidden Control Flow
Link: http://fumalwareanalysis.blogspot.com/2012/08/malware-analysis-tutorial-31-exposing.html

Malware Analysis Tutorial 32: Exploration of Botnet Client
Link: http://fumalwareanalysis.blogspot.com/2012/08/malware-analysis-tutorial-32.html

Malware Analysis Tutorial 33: Evaluation of Automated Malware Analysis System I (Anubis) 
Link: http://fumalwareanalysis.blogspot.com/2012/09/malware-analysis-tutorial-33-evaluation.html

Malware Analysis Tutorial 34: Evaluation of Automated Malware Analysis Tools CWSandBox, PeID, and Other Unpacking Tools
Link: http://fumalwareanalysis.blogspot.com/2012/10/malware-analysis-tutorial-34-evaluation.html

Author: Dr. Xiang Fu

Saludos

Leeme (pdf): https://mega.nz/#!x85w2LCY!ZmBgQpjg5SARFPrw1ha5r60mFbUFawN-t6FHOYF99us
Peso: 269 KB

Sesion 1 Introduccion
Link: https://mega.nz/#!8kwllZBR!EO9ycAUXd7ETpk0k6xZftxKFIlaJuzJENog8d7bLkuk
Peso: 71 MB

Sesion 2 Footprinting
Link: https://mega.nz/#!UwgGRCpR!57uh1rwJtWo5mIA9Afx7QOTzv3WyaHIdWz2OGxT8I64
Peso: 109 MB

Sesion 3. Scanning
Link: https://mega.nz/#!QsJAQTZR!vIf-rpA-f7DXD9PdEold8VuTvN08GGHOSj114LbJrcw
Peso: 126 MB

Sesion 4 Anonimato y privacidad
Link: https://mega.nz/#!c0ID0JJY!5-UnPpcabCfF0OZtjyitQGKY5JdnbeAcORPXRwZZ4TM
Peso: 101 MB

Sesion 5 Enumeracion
Link: https://mega.nz/#!lphRlJIL!oMB00QReteTUbBxpiLnsx4xHrnIYoacEpA-3yWXxCBk
Peso: 61 MB

Sesion 6 Ganando acceso
Link: https://mega.nz/#!0kJ0FL6L!dPrXilAns6rWfGoL8TQtbnLvNZf2yvWTZEVPxMsUPCY
Peso: 71 MB

Sesion 7 Escalando privilegios
Link: https://mega.nz/#!Mxx0mCzI!kmInoAzl-C_HyQVXAECIaqI3XC8EhSVOeFc7ePLgvO0
Peso: 79 MB

Sesion 8 Hardering
Link: https://mega.nz/#!hsIACZYB!SiP263P-K9puV5Y_6MWKMsxHbyJF1mjZY5pKcV0EZTM
Peso: 48 MB

Sesion 9 Introduccion al hacking avanzado
Link: https://mega.nz/#!lxIUlL6J!C1kJ10iGf4JgPP09qI5K_QvSzpxKzw6X5mAJEosgaSg
Peso: 6.6 MB

Sesion 10. Protocolos y servicios
Link: https://mega.nz/#!Io4CDaZQ!n0mkrV5ujCy4fYCt7_e9Cte4mllWLJ1Lg2aSBKacMug
Peso: 88 MB

Sesion 11. Reconocimiento y scanning
Link: https://mega.nz/#!h9ZDASDC!e8gCXbOk9b-4LpfnsoqBozCrvwUitMaMcAJhvgiWrPQ
Peso: 174 MB

Sesion 12. Enumeracion y vulnerabilidades
Link: https://mega.nz/#!UshijQDI!-vqolIqGhEEmXsng_xMEyXoM8jakRwRAzI4liRwFH8w
Peso: 67 MB

Sesion 13. System hacking
Link: https://mega.nz/#!N15ChSTY!Zj79-HP1_hfdPskicZ_4mkEwf9WXMnEoWfwEnQwzu0s
Peso: 59 MB

Sesion 14. Troyanos y backdoors
Link: https://mega.nz/#!o1JRULhD!T670FjvW2Gj87u70AQ66Qb1odX8-sk6XpCBsOXaH01k
Peso: 87 MB

Sesion 15. Virus y gusanos
Link: https://mega.nz/#!ZtIyTCIL!HYVt3h8C-_yDvmkQeIFSpKcoRGr3nDJDvF0wqpSFDFY
Peso: 91 MB

Sesion 16. Denegacion de servicio
Link: https://mega.nz/#!c5onzSST!kSyuoiYuysD0s7weLV0sCs5Ae-JWWjfUQ_bWzOiUAMg
Peso: 51 MB

Sesion 17. Hacking wireless
Link: https://mega.nz/#!hhZQxZTZ!qsWBCw0-wo6nL4S-HBvvD_jLGlMman4Af7mkMfwyI04
Peso: 248 MB

Sesion 18. Sql injection
Link: https://mega.nz/#!otZEyTzR!QYUDg4R6hykDybnczaBzOubb9G3HJeSZySdSAqaRusI
Peso: 46 MB

Sesion 19. Honeypots y honeynets
Link: https://mega.nz/#!dlxhGIYZ!e7KosOOrOlFRuMqdN25F3O4pG9YKsWmsbhCTG_KqFuk
Peso: 124 MB

Sesion 20. Seguridad en vpn
Link: https://mega.nz/#!clYWRZCT!Q_Mb2iPj61Y-15gObqDarPkYxRCZWX8EIFBHlhsY5xs
Peso: 22 MB

Sesion 21. Linux hacking
Link: https://mega.nz/#!ctIimAgC!VaPb8pFq3Oev4gmFPT07pLeX_ORiMQwGSGt6fLtXens
Peso: 72 MB

Sesion 22. Buffer overflow
Link: https://mega.nz/#!V4o3WD4Z!kCIptkUty7hF0_a3V_POb1yo-RdWZCtIESdGQcVbbD0
Peso: 24 MB

Sesion 23. Vulnerabilidades web
Link: https://mega.nz/#!w8IFxAgD!gsvL8EYE1QwI-8sYmbrzp2p0y3sMIWmc2DA24JgaUzI
Peso: 36 MB

Sesion 24. Criptografia - cifrado de datos
Link: https://mega.nz/#!k8JTRQYL!Flc2_X8VifpivGfu1fyAybgHZVuWByIHSGAYRTCZMlc
Peso: 607 MB

Sesion 25. Codigo virico
Link: https://mega.nz/#!RhQzCSLK!LFEPTWLR7veDcbd6MwyOJg_ms0es7FYVxBeQx_7_ZKA
Peso: 256 KB

Sesion 26. Escritura de exploits
Link: https://mega.nz/#!J4o2yZia!zP0d2EQLDL-rVIzn6RQ6y3NNgZXJmmPRcyVMa52M_68
Peso: 30 MB

Sesion 27. IDS y HIDS
Link: https://mega.nz/#!IgYCiQwC!Ua_vZcS9Qhv4Crciio8AYX7JlHq203CnVofvkXKrxrY
Peso: 70 MB

Extra:

Sesion Extra Analisis de trafico Metodo Sniffing
Link: https://mega.nz/#!9gJkgCwR!H6ZUW6BFhfMBlncMzti46pXF_WHA9fBrWp1uhZqdkpY
Peso: 60 MB

Saludos (:

[Tools videos howto :]

Hola aquí os dejo un curso de ethical hacking.

CEH v7 Instructor Slides_VeriSign.Encrypted.iso
Peso: 382 MB
Link: http://ns2.elhacker.net/aio/Tutoriales/hacking/ethical%20hacking%20CEH%20v7/CEH%20v7%20Instructor%20Slides_VeriSign.Encrypted.Sig.rar

CEHv7 Lab Prerequisites
Peso: 324 MB
Link: http://ns2.elhacker.net/aio/Tutoriales/hacking/ethical%20hacking%20CEH%20v7/CEHv7%20Lab%20Prerequisites.iso

CEHv7 - Module 02 - Footprinting and Reconnaissance
Peso: 525 MB
Link: http://ns2.elhacker.net/aio/Tutoriales/hacking/ethical%20hacking%20CEH%20v7/CEHv7%20-%20Module%2002%20-%20Footprinting%20and%20Reconnaissance.iso

CEHv7 - Module 03 - Scanning Networks
Peso: 1.1 GB
Link: http://ns2.elhacker.net/aio/Tutoriales/hacking/ethical%20hacking%20CEH%20v7/CEHv7%20-%20Module%2003%20-%20Scanning%20Networks.iso

CEHv7 - Module 04 - Enumeration
Peso: 808 MB
Link: http://ns2.elhacker.net/aio/Tutoriales/hacking/ethical%20hacking%20CEH%20v7/CEHv7%20-%20Module%2004%20-%20Enumeration.iso

CEHv7 - Module 05 - System Hacking
Peso: 1.5 GB
Link: http://ns2.elhacker.net/aio/Tutoriales/hacking/ethical%20hacking%20CEH%20v7/CEHv7%20-%20Module%2005%20-%20System%20Hacking.iso

CEHv7 - Module 07 - Viruses and Worms
Peso: 1.5 GB
Link: http://ns2.elhacker.net/aio/Tutoriales/hacking/ethical%20hacking%20CEH%20v7/CEHv7%20-%20Module%2007%20-%20Viruses%20and%20Worms.iso

CEHv7 - Module 08 - Sniffers
Peso: 680 MB
http://ns2.elhacker.net/aio/Tutoriales/hacking/ethical%20hacking%20CEH%20v7/CEHv7%20-%20Module%2008%20-%20Sniffers.iso

CEHv7 - Module 09 - Social Engineering
Peso: 3.6 MB
Link: http://ns2.elhacker.net/aio/Tutoriales/hacking/ethical%20hacking%20CEH%20v7/CEHv7%20-%20Module%2009%20-%20Social%20Engineering.iso

CEHv7 - Module 10 - Denial of Service
Peso: 186 MB
Link: http://ns2.elhacker.net/aio/Tutoriales/hacking/ethical%20hacking%20CEH%20v7/CEHv7%20-%20Module%2010%20-%20Denial%20of%20Service.iso

CEHv7 - Module 11 - Session Hijacking
Peso: 17 MB
Link: http://ns2.elhacker.net/aio/Tutoriales/hacking/ethical%20hacking%20CEH%20v7/CEHv7%20-%20Module%2011%20-%20Session%20Hijacking.iso

CEHv7 - Module 12 - Hacking Webserver
Peso: 1.6 GB
Link: http://ns2.elhacker.net/aio/Tutoriales/hacking/ethical%20hacking%20CEH%20v7/CEHv7%20-%20Module%2012%20-%20Hacking%20Webserver.iso

CEHv7 - Module 13 - Hacking Web Applications
Peso: 1.4 GB
Link: http://ns2.elhacker.net/aio/Tutoriales/hacking/ethical%20hacking%20CEH%20v7/CEHv7%20-%20Module%2013%20-%20Hacking%20Web%20Applications.iso

CEHv7 - Module 14 - SQL Injection
Peso: 619 MB
Link: http://ns2.elhacker.net/aio/Tutoriales/hacking/ethical%20hacking%20CEH%20v7/CEHv7%20-%20Module%2014%20-%20SQL%20Injection.iso

CEHv7 - Module 15 - Hacking Wireless Networks
Peso:
Link: http://ns2.elhacker.net/aio/Tutoriales/hacking/ethical%20hacking%20CEH%20v7/CEHv7%20-%20Module%2015%20-%20Hacking%20Wireless%20Networks.iso

CEHv7 - Module 16 - Evading IDS, Firewalls and Honeypots
Peso:
Link: http://ns2.elhacker.net/aio/Tutoriales/hacking/ethical%20hacking%20CEH%20v7/CEHv7%20-%20Module%2016%20-%20Evading%20IDS,%20Firewalls%20and%20Honeypots.iso

CEHv7 - Module 17 - Buffer Overflows.iso
Peso: 74 MB
Link: http://ns2.elhacker.net/aio/Tutoriales/hacking/ethical%20hacking%20CEH%20v7/CEHv7%20-%20Module%2017%20-%20Buffer%20Overflows.iso

CEHv7 - Module 18 - Cryptography
Peso: 296 MB
Link: http://ns2.elhacker.net/aio/Tutoriales/hacking/ethical%20hacking%20CEH%20v7/CEHv7%20-%20Module%2018%20-%20Cryptography.iso

CEHv7 - Module 19 - Penetration Testing
Peso: 557 MB
Link: http://ns2.elhacker.net/aio/Tutoriales/hacking/ethical%20hacking%20CEH%20v7/CEHv7%20-%20Module%2019%20-%20Penetration%20Testing.iso

CEH Linux Build
Peso: 1.2 GB
Link: http://ns2.elhacker.net/aio/Tutoriales/hacking/ethical%20hacking%20CEH%20v7/CEH%20Linux%20Build.iso


Tools videos howto :

Lab Setup Demo
Peso: 45 MB
Link: http://ns2.elhacker.net/aio/Tutoriales/hacking/ethical%20hacking%20CEH%20v7/tools%20videos%20howto/Lab%20Setup%20Demos.rar

Module 02 - Footprinting and Reconnaissance
Peso: 224 MB
Link: http://ns2.elhacker.net/aio/Tutoriales/hacking/ethical%20hacking%20CEH%20v7/tools%20videos%20howto/Module%2002%20-%20Footprinting%20and%20Reconnaissance.rar

Module 03 - Scanning Networks.rar

Peso: 297 MB
Link: http://ns2.elhacker.net/aio/Tutoriales/hacking/ethical%20hacking%20CEH%20v7/tools%20videos%20howto/Module%2003%20-%20Scanning%20Networks.rar

Module 04 - Enumeration.rar

Peso: 67 MB
Link: http://ns2.elhacker.net/aio/Tutoriales/hacking/ethical%20hacking%20CEH%20v7/tools%20videos%20howto/Module%2004%20-%20Enumeration.rar


Module 05 - System Hacking

Peso: 281 MB
Link: http://ns2.elhacker.net/aio/Tutoriales/hacking/ethical%20hacking%20CEH%20v7/tools%20videos%20howto/Module%2005%20-%20System%20Hacking.rar

Module 06 - Trojans and Backdoors

Peso: 127 MB
Link:  http://ns2.elhacker.net/aio/Tutoriales/hacking/ethical%20hacking%20CEH%20v7/tools%20videos%20howto/Module%2006%20-%20Trojans%20and%20Backdoors.rar

Module 07 - Viruses and Worms

Peso: 63  MB
Link:  http://ns2.elhacker.net/aio/Tutoriales/hacking/ethical%20hacking%20CEH%20v7/tools%20videos%20howto/Module%2007%20-%20Viruses%20and%20Worms.rar

Module 08 - Sniffers.rar

Peso: 166 MB
Link: http://ns2.elhacker.net/aio/Tutoriales/hacking/ethical%20hacking%20CEH%20v7/tools%20videos%20howto/Module%2008%20-%20Sniffers.rar

Module 09 - Social Engineering

Peso: 11 MB
Link: http://ns2.elhacker.net/aio/Tutoriales/hacking/ethical%20hacking%20CEH%20v7/tools%20videos%20howto/Module%2009%20-%20Social%20Engineering.rar

Module 10 - Denial of Service  

Peso: 8.9 MB
Link: http://ns2.elhacker.net/aio/Tutoriales/hacking/ethical%20hacking%20CEH%20v7/tools%20videos%20howto/Module%2010%20-%20Denial%20of%20Service.rar

Module 11 - Session Hijacking

Peso: 4.2 MB
Link: http://ns2.elhacker.net/aio/Tutoriales/hacking/ethical%20hacking%20CEH%20v7/tools%20videos%20howto/Module%2011%20-%20Session%20Hijacking.rar

Module 12 - Hacking Webservers

Peso: 3.2 MB
Link: http://ns2.elhacker.net/aio/Tutoriales/hacking/ethical%20hacking%20CEH%20v7/tools%20videos%20howto/Module%2012%20-%20Hacking%20Webservers.rar

Module 13 - Hacking Web Applications

Peso: 18 MB
Link: http://ns2.elhacker.net/aio/Tutoriales/hacking/ethical%20hacking%20CEH%20v7/tools%20videos%20howto/Module%2013%20-%20Hacking%20Web%20Applications.rar

Module 15 - Hacking Wireless Networks

Peso: 38 MB
Link: http://ns2.elhacker.net/aio/Tutoriales/hacking/ethical%20hacking%20CEH%20v7/tools%20videos%20howto/Module%2015%20-%20Hacking%20Wireless%20Networks.rar

Module 16 - Evading IDS, Firewalls, and Honeypots

Peso: 30 MB
Link: http://ns2.elhacker.net/aio/Tutoriales/hacking/ethical%20hacking%20CEH%20v7/tools%20videos%20howto/Module%2016%20-%20Evading%20IDS,%20Firewalls,%20and%20Honeypots.rar

Un saludo.

Supongo ya muchos de los users hayan leido los tutoriales.  Está mas bien orientado para aquel que empiece en este mundillo.

Trojan magazine:
Link: https://mega.nz/#!l8ZwABII!fnvlDk0AFC6fJL3IYpeCPw6hLOA_hSzGFc2R18GoGC8
Tamaño: 4,6 MB

Hack Hispano:
Link: https://mega.nz/#!YgZQQBiJ!GK1QA7YoTnJgamE2IDEdwEggoe1iGCZW9fLH8BML1iE
Tamaño: 11 MB

Hackxcrack varios:
Link: https://mega.nz/#!A55VmayS!IhFUaPdlivSZR8WAUSCxyfiymTSbkHZBW0n9fIJdTDc
Tamaño: 14 MB

HDMagazine:
Link: https://mega.nz/#!Ah51HBQS!_ojg8BfvHw4fBHw_9UexlFTv4D9_Ga6-hC6GEmyU9ok
Tamaño: 14 MB

Curso Hackxcrack:
Link: https://mega.nz/#!Yo5V0ZaS!Y_994sn8uU2d33hEOgUxFc0mKkWQnOQDc8BT4JFxRO4
Tamaño: 663 MB

Curso HackerHighSchool:
Link: https://mega.nz/#!psJBSLhC!xkUMtXbnHUQ6GDNGcBTmRGWeXCz4SE0XzW44vhHNHIE
Tamaño: 6.9 MB

El libro negro del Hacker.-.Black.Hack:
Link: https://mega.nz/#!t0ZzkCDQ!-DVWW9nlvlZ0CKhw1p-s3XmarmXDus170LLCDwWEGd4
Tamaño: 1.7 MB

Hacking Wh1t3 H4ck:
Link: https://mega.nz/#!59pzlTqI!7bCEXvYvjr1ikv7gAW-vKIwarJDFMj0v0AMhq6k4dto
Tamaño: 6 MB

Penetration Testing and Network Analyzer:
Link: https://mega.nz/#!kgoA2KzZ!dsyvJCZRjbyy2FrxLlUrMQh-DUXT8gdJmlHX9-Rl1Z8
Tamaño: 14 MB

The Original Hacker:
Link: https://mega.nz/#!4gIFEK6S!dyuMXBri8-ee34fXZDVzYvDcVORX6VUI0iIx2u1ZyTE
Tamaño: 9.6 MB

Tutoriales Hakin9:
Link: https://mega.nz/#!B0QxHT7Q!Wy8uG9RuDRWNtMVQMhKCDU4CzmDlnFhvpCcyHCCnqhE
Tamaño: 80 MB

Revistas HackXCrack:
Link: https://mega.nz/#!09QnDAKA!nfn9O6Il_LFJPSwErU3sK8ydOxxvuSost_NN4dN82qs
Tamaño: 389 MB

Hacking Exposed MadHacking:
Link: https://mega.nz/#!cxZkmY4B!jVfhifw-WSSlZrPnFU_SlMvUDNFMyMoBhstOwlJ1nt0
Tamaño: 48 MB

Curso Full Hack:
Link: https://mega.nz/#!MxoBTIjA!SYhT2OqfqEggox1a_XWRK3ym6IUuSIk8gCBYntwxlzo
Tamaño: 1.7 GB

Grey Hat Hacking:
Link: https://mega.nz/#!0ghCma6Z!5KqXw2LlhzPsFYKDyjt66IYdnuiPezwy62By8Dzhd6s
Tamaño: 24 MB

Creación de exploits:
Link: https://mega.nz/#!ZxREFIya!6iHtyOh2wQY12Sn9S0jimFSeYaV8qwZ5YlyjRBrHNc0
Tamaño: 6.9 MB


En este tema podréis ver muchos video tutoriales:

Link: http://foro.elhacker.net/seguridad/conferencias_y_charlas_def_con_campusparty_rootedcon_blackhat-t439320.0.html;msg2029642#msg2029642



En construcción.
Actualizado: 10.11.2016

Surprise, nombre que ha recibido este ransomware por la extensión que añade a todos los archivos infectados, es un nuevo malware detectado por primera vez el 9 de marzo por unas pocas firmas antivirus, desarrollado a partir del proyecto libre EDA2, un ransomware de código abierto.
EDA2 fue publicado por un estudiante turco y con fines educativos pero que, como ocurre siempre, está siendo utilizado para hacer el mal y, si bien el proyecto ha sido abandonado, está sido utilizado como base para otros ransomware, incluyendo Magic y .locked.

Este ransomware ha llegado, como su nombre indica, por sorpresa a todos los usuarios. Las víctimas del mismo se han encontrado con que, de repente, de un día para otro todos sus ficheros habían sido cifrados añadiendo la extensión ".surprise" en todas las fotos, documentos y archivos personales del sistema. Una vez finalizada la infección, el malware deja en el escritorio 3 archivos con las instrucciones necesarias para recuperarlos. El autor de este ransomware se esconde tras dos cuentas de correo, una en ProtonMail y otra en Sigaint (nowayout@).

Este ransomware utiliza un algoritmo AES-256 para cifrar los archivos con una clave maestra RSA-2048, la cual se almacena en un servidor remoto de control. Este malware es capaz de detectar 474 formatos de archivos diferentes para cifrarlos, borrarlos de forma segura e impedir su recuperación mediante las copias de seguridad, salvo que estas se almacenen idénticas en una unidad externa desconectada del equipo en el momento de la infección.

Para recuperar los archivos, el delincuente pide un pago de 0.5 Bitcoin, unos USD 200, sin embargo, según el tipo y el número de archivos que se hayan cifrado, el pago puede ascender hasta los 25 Bitcoin, unos 10.000 euros.

El ransomware en sí no es ninguna sorpresa, ya que a grandes rasgos es como cualquier otro. Lo realmente curioso de él es la forma de infectar a los usuarios. Aunque al principio no había nada claro, según aumentó el número de víctimas se pudo observar un patrón, y es que todas ellas tenían instalada la herramienta de control remoto TeamViewer v10.0.47484 en sus sistemas. Analizando los registros de esta herramienta, todas las víctimas han podido ver cómo un usuario no autorizado se había conectado a sus equipos, había descargado un fichero llamado "surprise.exe" (el ransomware) y lo había ejecutado manualmente, dando lugar así a la infección. No se sabe cómo el delincuente informático logró conectarse a los servidores TeamViewer para distribuir Surprise.

La primera de ellas, aunque un poco complicada, es que exista una vulnerabilidad zero-day que le permita conectarse de forma remota a cualquier servidor TeamViewer. Los responsables de seguridad de TeamViewer han auditado su herramienta tras las primeras infecciones y aseguran que esto no es posible, lo que nos lleva a la segunda opción.

La segunda de ellas, y probablemente más probable, es que utiliza una herramienta de escaneo de red para detectar cualquier servidor TeamViewer conectado y, posteriormente, consigue acceder a los sistemas de sus víctimas mediante ataques de fuerza bruta.

Tanto las empresas de seguridad como Bleeping Computer y los responsables de seguridad de TeamViewer están estudiando el caso para poder arrojar luz sobre cómo ha sido posible que un pirata informático haya podido distribuir este nuevo ransomware a través de esta herramienta de control remoto.

Tal como recomienda directamente TeamViewer, si queremos evitar cualquier sorpresa, es recomendable proteger las sesiones de TeamViewer con una contraseña compleja, activar la doble autenticación, mantener el servidor actualizado a la última versión (y descargado siempre de la web oficial) y, por último, asegurarnos de que el ataque informático no viene por ninguna otra rama (por ejemplo, otro malware instalado en el sistema).

Los responsables de esta herramienta de control remoto también recomiendan a todas las víctimas acudir a sus correspondientes departamentos de policía con el fin de poner una denuncia y poder ayudar, en todo lo posible, a la identificación de los responsables.

También es recomendable no pagar ya que, aunque lo hagamos no tenemos la garantía de recuperar nuestros archivos, especialmente cuando los últimos pings contra el servidor C&C no han devuelto respuesta.

Actualización: Balaban de Privacy-PC explica en su post que se ha descubierto que la cuenta de TeamViewer ID 479440875 fue utilizada en varios de los sistemas infectados, pero no en todos ellos, por lo que se sigue recomendando cambiar la clave y activar la doble autenticación.

Actualización 2: el C&C del malware está caído lo que imposibilita que se almacen nuevas claves generadas en la infección pero también imposibilita la recuperación de los archivos por parte de las víctimas.

Fuente: http://blog.segu-info.com.ar/2016/03/surprise-nuevo-ransomware-propagado-por.html

El ransomware se está transformando en una pesadilla. Luego del ataque a usuarios de OSX de la semana pasada, este miércoles se reveló que algunos de los sitios de noticias más importantes de internet fueron atacados con malvertising y Exploit Kits, que a través de un anuncio instalaba un ransomware cuando se hacía clic en ellos.

Como reveló el martes Malwarebytes, los sitios web de BBC, The New York Times, MSN, AOL y la NFL, entre otros importantes medios y servicios, fueron víctimas de este ataque. Estos sitios tienen un tráfico que, sumado, supera los 2.000 millones de usuarios únicos mensuales, añade la empresa. El ataque ocurrió el fin de semana pasado y, según la BBC, fue dirigido especialmente a usuarios en Estados Unidos.

The Guardian añade que los avisos maliciosos fueron publicados a través de varias "ad-networks" –plataformas que venden la publicidad que aparece en los espacios que los sitios web destinan para ese fin–, y que usaban varias vulnerabilidades en Adobe Flash y Microsoft Silverlight a través del Exploit Kit Angler y Magnitude.
The Next Web cuenta que las ad-networks son cada vez son mejores bloqueando el malware y la publicidad engañosa pero esto no alcanza y los delincuentes se siguen aprovechando de ellos.

Trustwave asegura que esta campaña tuvo éxito porque los avisos lograron camuflarse en un dominio que se utiliza para servir publicidad legítima, y que por eso aparece en las listas blancas de la ad-networks. La BBC dice que algunas de las redes de publicidad usadas por los delincuentes informáticos ya han tomado medidas para evitar mostrar nuevamente los avisos.

Este problema refuerza el argumento a favor del uso de bloqueadores de publicidad, pues pone de manifiesto los riesgos de seguridad que corren los usuarios sin ningún beneficio adicional.

Por otra parte, también le pone otro clavo al ataúd de Adobe Flash, un software que lleva años muriendo sin terminar de expirar del todo. Aunque ya no es permitido por Google y algunas otras empresas que venden publicidad en línea, queda claro que aun sigue por ahí haciendo daños y siendo un riesgo de seguridad para los usuarios.

Fuente: http://blog.segu-info.com.ar/2016/03/publicidad-en-bbc-nyt-y-msn-afectada.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+exclusivasseguridadinformatica+%28Exclusivas+de+Segu-Info%29

Ransomware Removal Kit (270 MB):
Link: https://bitbucket.org/jadacyrus/ransomwareremovalkit/downloads#tag-downloads
Descarga: https://bitbucket.org/jadacyrus/ransomwareremovalkit/get/1b5b95ca4d69.zip
Contiene:
- kaspersky-coinvault-decryptor
- BitCryptor
- CryptoDefense
- CryptoLocker
- FBIRansomWare
- TeslaCrypt
- PCLock
- TorrentLocker
- TrendMicro Ransomware RemovalTool


Apocalypse:
Link: http://now.avg.com/dont-pay-the-ransom-avg-releases-six-free-decryption-tools-to-retrieve-your-files/
Descarga: http://files-download.avg.com/util/avgrem/avg_decryptor_BadBlock64.exe
Descarga: http://files-download.avg.com/util/avgrem/avg_decryptor_ApocalypseVM.exe


BadBlock:
Link: http://now.avg.com/dont-pay-the-ransom-avg-releases-six-free-decryption-tools-to-retrieve-your-files/
Descarga: http://files-download.avg.com/util/avgrem/avg_decryptor_BadBlock32.exe
Descarga: http://files-download.avg.com/util/avgrem/avg_decryptor_BadBlock64.exe


Crypt888:
Link: http://now.avg.com/dont-pay-the-ransom-avg-releases-six-free-decryption-tools-to-retrieve-your-files/
Descarga: http://files-download.avg.com/util/avgrem/avg_decryptor_Crypt888.exe


Legion:
Link: http://now.avg.com/dont-pay-the-ransom-avg-releases-six-free-decryption-tools-to-retrieve-your-files/
Descarga: http://files-download.avg.com/util/avgrem/avg_decryptor_Legion.exe


SZFLocker:
Link: http://now.avg.com/dont-pay-the-ransom-avg-releases-six-free-decryption-tools-to-retrieve-your-files/
Descarga: http://files-download.avg.com/util/avgrem/avg_decryptor_SzfLocker.exe


TeslaCrypt:
Link: http://now.avg.com/dont-pay-the-ransom-avg-releases-six-free-decryption-tools-to-retrieve-your-files/
Descarga: http://files-download.avg.com/util/avgrem/avg_decryptor_TeslaCrypt3.exe


Link: http://now.avg.com/dont-pay-the-ransom-avg-releases-six-free-decryption-tools-to-retrieve-your-files/
Descarga:


Jigsaw:
Link: http://www.welivesecurity.com/la-es/2016/04/15/jigsaw-ransomware-mas-agresivo-nuevas-capacidades/
Descarga: https://download.bleepingcomputer.com/demonslay335/JigSawDecrypter.zip


Hidden Tear Decryptor (Pompous Ransomware):
Link: http://www.bleepingcomputer.com/news/security/pompous-ransomware-dev-gets-defeated-by-backdoor/
Descarga: https://www.dropbox.com/s/tym00s23hgkxfrp/hidden-tear-decrypter.exe?dl=0


Emsisoft Harasom Decrypter:
Link: http://www.malwareremovalguides.info/how-to-use-emsisoft-decrypt_harasom-exe/
Descarga: http://tmp.emsisoft.com/fw/decrypt_harasom.exe


TorLocker: http://support.kaspersky.com/viruses/disinfection/11718
Descarga: http://media.kaspersky.com/utilities/VirusUtilities/EN/ScraperDecryptor.zip


KeRanger (Mac OSX):
Link: http://www.bleepingcomputer.com/news/security/information-about-the-keranger-os-x-ransomware-and-how-to-remove-it-/
Link: http://researchcenter.paloaltonetworks.com/2016/03/new-os-x-ransomware-keranger-infected-transmission-bittorrent-client-installer/
Descarga: http://download.bleepingcomputer.com/mac/KeRanger-Removal-Tool.zip


Criptowall:
Link: http://www.bleepingcomputer.com/virus-removal/cryptowall-ransomware-information
Descarga: http://www.bleepingcomputer.com/download/listcwall/


Trend Micro™ Anti-Ransomware Tool:
Link: https://esupport.trendmicro.com/en-us/home/pages/technical-support/1105975.aspx
Descarga: http://solutionfile.trendmicro.com/solutionfile/1105975/AR20_build14.exe
Descarga: http://solutionfile.trendmicro.com/solutionfile/1105975/AR4USB_build11.rar


Panda Ransomware Decrypt:
Web: http://www.pandasecurity.com/spain/homeusers/support/card?id=1675
Descarga: http://www.pandasecurity.com/resources/tools/pandaunransom.exe
Guía: http://www.pandasecurity.com/spain/homeusers/support/card?id=1675


Avira Ransom File Unlocker:
Link: https://www.avira.com/es/support-for-home-knowledgebase-detail/kbid/1253
Descarga: https://www.avira.com/files/support/FAQ_KB_Download_Files/EN/ransom_file_unlocker.zip


Ransomware Detection Service:
Link: https://ransomwaredetectionservice.codeplex.com/
Descarga: https://ransomwaredetectionservice.codeplex.com/downloads/get/1555054


XoristDecryptor:
Link: http://support.kaspersky.com/viruses/utility#
Descarga: http://media.kaspersky.com/utilities/VirusUtilities/EN/xoristdecryptor.exe


RectorDecryptor:
Link: http://support.kaspersky.com/viruses/utility#
Descarga: http://media.kaspersky.com/utilities/VirusUtilities/EN/rectordecryptor.exe


RannohDecryptor:
Link: http://support.kaspersky.com/viruses/utility#
Descarga: http://media.kaspersky.com/utilities/VirusUtilities/EN/rannohdecryptor.exe


Rakhni Decryptor Tool:
Link: https://support.kaspersky.com/sp/viruses/disinfection/10556
Descarga: http://media.kaspersky.com/utilities/VirusUtilities/RU/rakhnidecryptor.exe


RsynCrypto:
Link: http://rsyncrypto.lingnu.com/index.php/Home_Page
Descarga: http://heanet.dl.sourceforge.net/project/rsyncrypto/rsyncrypto/1.12/Rsyncrypto-x86-1.12.msi
Video: https://www.youtube.com/watch?v=3yHD9Ht2-l4


Radamant:
Link: http://www.tripwire.com/state-of-security/latest-security-news/ransomware-author-insults-creator-of-decryption-tool-in-malwares-embedded-strings/
Descarga: http://emsi.at/DecryptRadamant


HydraCrypt:
Link: http://blog.emsisoft.com/2016/02/12/decrypter-for-hydracrypt-and-umbrecrypt-available/
Descarga: http://emsi.at/DecryptHydraCrypt


DMALocker:
Link: http://www.bleepingcomputer.com/news/security/dma-locker-ransomware-targets-unmapped-network-shares/
Descarga: http://emsi.at/DecryptDMALocker


TeslaDecrypt:
Link: http://blogs.cisco.com/security/talos/teslacrypt.
Descarga: https://github.com/vrtadmin/TeslaDecrypt/blob/master/Windows/TeslaDecrypter.exe
Descarga: http://labs.snort.org/files/TeslaDecrypt_exe.zip
Descarga: http://download.bleepingcomputer.com/BloodDolly/TeslaDecoder.zip

Ransomware decryptor:
Link: https://noransom.kaspersky.com/
Descarga: https://noransom.kaspersky.com/static/CoinVaultDecryptor.zip


CrypInfinite:
Link: http://www.bleepingcomputer.com/forums/t/596691/decryptormax-or-cryptinfinite-ransomware-crinf-extension-support-topic/
Descarga: http://emsi.at/DecryptCryptInfinite


UnlockZeroLocker :
Link: http://vinsula.com/security-tools/unlock-zerolocker/
Descarga: http://vinsula.com/tools/UnlockZeroLocker.zip


TorrentUnlocker:
Link: http://www.bleepingcomputer.com/forums/t/547708/torrentlocker-ransomware-cracked-and-decrypter-has-been-made/
Descarga: http://download.bleepingcomputer.com/Nathan/TorrentUnlocker.exe


LeChiffre Decryptor Tool:
Link: http://www.bleepingcomputer.com/news/security/emsisoft-releases-decrypter-for-the-lechiffre-ransomware/
Descarga: http://emsi.at/DecryptLeChiffre


DecryptGomasom Tool
Link: http://www.bleepingcomputer.com/news/security/gomasom-crypt-ransomware-decrypted/
Descarga: http://emsi.at/DecryptGomasom


Locker Unlocker
Link: http://www.bleepingcomputer.com/virus-removal/locker-ransomware-information
Descarga: https://easysyncbackup.com/Downloads/LockerUnlocker.exe



Programas para la prevención de infecciones por algunos de estos Ransomware:

CryptoPrevent:
Link: https://www.foolishit.com/cryptoprevent-malware-prevention/?ModPagespeed=noscript
Descarga: https://www.foolishit.com/?enc_dl_action=process&file=t8jI9%2BLO3SYWwFknM0g%3D

Malwarebytes anti-ransomware:
Link: https://forums.malwarebytes.org/topic/177751-introducing-malwarebytes-anti-ransomware/
Descarga: https://malwarebytes.app.box.com/s/uluqe6ms2l36bsxkudurlr7yr8lp6d8g


Hitman Pro:
Link: http://www.surfright.nl/en/hitmanpro
Descarga (32 bits): http://files.surfright.nl/hitmanpro.exe
Descarga (64 bits): http://files.surfright.nl/hitmanpro_x64.exe

Antiransom:
Link: http://www.security-projects.com/?Anti_Ransom
Link: http://www.securitybydefault.com/2014/06/anti-ransom-v2-beta.html
Descarga: http://dl.bintray.com/yjesus/AntiRansom/AntiRansom2.0.zip
Beta: https://bintray.com/artifact/download/yjesus/AntiRansom/AntiRansom.zip

BDAntiRansomware:
Link: https://labs.bitdefender.com/2016/03/combination-crypto-ransomware-vaccine-released/
Descarga: http://download.bitdefender.com/am/cw/BDAntiRansomwareSetup.exe



A petición del usurio DhM incluyo este tutorial en pdf donde se explica como afecta al sistema infectado incluyendo herramientas de soporte para descifrar archivos:

https://www.ccn-cert.cni.es/pdf/informes-de-ciberseguridad-ccn-cert/informes-ccn-cert-publicos/1384-ccn-cert-ia-01-16-medidas-de-seguridad-contra-ransomware/file.html


En construcción - Actualizado: 06.07.2016

En estas capturas teneis lo necesario para fabricaros el medidor propuesto en el tema.
Incluye serigrafía y negativo para fabricar la placa de circuito:















Se irán añadiendo más pácticas con otros instrumentos reales que os pueden hacer un buen uso y con coste casi cero, en algunos casos.
Espero les sea de utilidad, saludos.

Desde estos servicios web podréis ver casi en tiempo real ataques diversos, ciertas páginas se enfocan a diferentes tipos de ataques, otras a investigar (honeypots), etc:

http://map.ipviking.com

https://cybermap.kaspersky.com

https://www.fireeye.com/cyber-map/threat-map.html

http://globalsecuritymap.com

http://map.honeynet.org

http://www.digitalattackmap.com

http://globe.cyberfeed.net

http://www.akamai.com/html/technology/dataviz1.html

http://sicherheitstacho.eu

http://www.trendmicro.com/us/security-intelligence/current-threat-activity/global-botnet-map/

http://globe.f-secure.com

http://worldmap3.f-secure.com

PD: Se irán añadiendo más...

Saludos.

Hemos presentado nuestros hallazgos iniciales sobre la investigación que realizamos sobre la familia de malware Win32/Potao durante junio, durante la presentación que realizamos en la CCCC 2015 en Copenhagen. Hoy estamos lanzando un whitepaper sobre el malware Potao con hallazgos adicionales, las campañas de ciberespionaje en las que fue empleado y su conexión a un backdor que fue incluido en una versión modificada del software de cifrado TrueCrypt.

Como BlackEnergy, el malware utilizado para el grupo de APT Sandworm (también conocido como Quedagh), Potao es un ejemplo de malware de espionaje dirigido principalmente a blancos en Ucrania y otros países post-Soviéticos incluyendo a Rusia, Georgia y Bielorussia.



Imagen 1- Estadísticas de detección para Win32/Potaode acuerdo a ESET LiveGrid®
Línea de tiempo de ataques

Los ataques llevados a cabo utilizando la familia de malware Win32/Potao se remontan a 5 años atrás, con las primeras detecciones ocurriendo en 2011. De todas maneras, los atacantes aún se mantienen muy activos, dado que ESET ha detectado intentos de intrusión en julio de 2015.

La línea de tiempo debajo lista una selección de campañas de ataque de Potao y otros eventos relacionados (en inglés):



Imagen 2 – Línea de tiempo de campañas de Potao

Dentro de las víctimas identificadas, los objetivos más valorables incluyen al gobierno ucraniano, entidades militares y una de las agencias de noticias más grandes de Ucrania. El malware fue también utilizado para espiar a miembros de MMM, un popular esquema Ponzi de Rusia y Ucrania.
Técnicas de Malware

Cuando los criminales cambiaron su foco desde atacar objetivos en Rusia a otros en Ucrania, comenzaron a enviar mensajes SMS personalizados a sus víctimas potenciales para conducirlos a páginas que alojaban el malware, disfrazándolas de sitios de rastreo postal.

No hemos advertido que Win32/Poteo emplee ningún exploit ni que el malware sea particularmente avanzado desde lo tecnología. Sin embargo, contiene varias técnicas interesante para "realizar el trabajo", como un mecanismo para lograr la propagación vía USB y también el hecho de disfrazar ejecutables como documentos de Word y Excel, como los siguientes ejemplos



Imagen 3 – droppers de Potao con iconos de MS Word y nombres de archive utilizados en ataques contra objetivos importantes de Ucrania
TrueCrypt Troyanizado

Es interesante que exista una familia de malware APT relativamente no ha llamado la atención en cinco años y también ha sido utilizada para espiar a objetivos gubernamentales y militares de Ucrania. Quizás el descubrimiento que llamó más la atención está relacionado con el caso cuando observamos una conexión con TrueCrypt, el popular software de cifrado de código abierto.

Descubrimos que el sitio web truecryptrussia.ru ha estado proveyendo de versiones modificadas del software de cifrado que incluía un backdoor para algunos objetivos seleccionados. Versiones "limpias" de la aplicación son entregadas a visitantes normales del sitio web (por ejemplo gente que no son del interés de los atacantes). ESET detecta el TrueCrypt troyanizado como Win32/FakeTC. El dominio ruso de TrueCrypt también era utilizado como servidor para el panel de Comando y Control (C&C) del malware.



Imagen 4 – sitio web ruso de TrueCrypt

La conexión con Win32/Potao, que es una familia de malware diferente a Win32/FakeTC, que este último fue usado para llevar a Potao a los sistemas de las víctimas.

De todos modos, FakeTC no es meramente un vector de infección de Potao (y posiblemente otro malware), sino que es un peligroso y funcional backdoor diseñado para extraer archivos desde los discos cifrados de las víctimas de espionaje.



Además de la selección de blancos (decidiendo a quién enviarle la versión troyanizada en lugar de la versión limpia), el código del backdoor contenía además varios disparadores que activaban la funcionalidad maliciosa de robo de información en caso que se trataran de usuarios de larga data de TrueCrypt. Estos fueron algunos de los factores que hicieron que el malware pasara desapercibido por tanto tiempo.

En el whitepaper que hemos publicado podrán encontrar tanto de Win32/Potao y Win32/FakeTC, incluyendo un análisis técnico del malware, descripción de plugins, vectores de infección, el protocolo de comunicación del C&C y otras campañas de propagación no mencionadas en este post.

PDF: http://www.welivesecurity.com/wp-content/uploads/2015/07/1507-Operacion-Potao-Express.pdf

Fuente: WeLiveSecurity

Los dispositivos móviles modernos constituyen un conjunto de equipos eficientes que operan bajo sistemas operativos con complejas capacidades de almacenamiento de datos. Para realizar un análisis forense completo de estos terminales, se torna necesario abarcar tanto la recolección de datos no volátiles almacenados en medios removibles, como también información volátil presente mayormente en la memoria RAM del dispositivo.

A lo largo de esta publicación nos dedicaremos a conocer algunas herramientas para el análisis de memoria volátil.
¿Por qué analizar la memoria volátil?

La memoria RAM resulta un recurso crítico ya que contiene piezas de datos que se perderán tan pronto como el teléfono sea apagado. Los datos volátiles deben ser recolectados mientras el dispositivo aún está en ejecución y, por tanto, esto representa un ambiente donde el analista posee mucho menos control sobre las variables influyentes.

En compensación, la información que puede obtenerse es altamente preciada: datos de aplicación; fragmentos de comunicaciones; claves de cifrado; procesos; archivos abiertos; estructuras de red, de aplicación y del sistema operativo, entre otros. Estos elementos abren las puertas a nuevos escenarios de análisis en situaciones de respuesta a incidentes y estudio de códigos maliciosos avanzados que no interactúan con medios de almacenamiento no volátiles.
Volcando la memoria del sistema

Para capturar correctamente todos los contenidos de la memoria RAM del equipo podemos acudir a la utilización de LiME Forensics: una herramienta capaz de extraer la memoria de un sistema basado en Linux. Este utilitario es un Loadable Kernel Module (LKM) capaz de volcar el contenido directamente a la tarjeta SD o a través de la red mediante Android Debug Bridge (adb). Por ser un LKM, debe ser compilado para el kernel específico del dispositivo que constituirá la estación forense.

LiME (del inglés, Linux Memory Extractor) reduce al mínimo la interacción entre el espacio de usuario y el kernel del sistema. Permite conocer los rangos de direcciones de memoria física para la RAM del sistema, traducirlos a direcciones virtuales, y leer todas las páginas en cada rango para escribirlas en un fichero en la tarjeta SD o socket TCP.

Este módulo brinda tres modalidades para almacenar las capturas de la imagen de memoria en el disco:

    El formato raw concatena los rangos de memoria RAM del sistema.
    El formato padded incluye además rangos de direcciones no pertenecientes al sistema, comenzando por la dirección física cero y reemplazando el contenido de esos rangos por valores nulos.
    Por último, el formato lime; este ha sido diseñado para trabajar sinérgicamente con el entorno de trabajo Volatility.

Una vez que se ha producido exitosamente el volcado de memoria, a través de Volatility podremos realizar consultas como si se tratase de un sistema Linux de escritorio. Para ver los diferentes aplicativos que pueden utilizarse sobre el archivo podemos invocar el comando que se ilustra en la siguiente figura.



Para esta redacción se utilizó el kernel del emulador provisto con el Android SDK, conocido bajo la denominación de "Golfish". Por ello, para emitir comandos con Volatility deberemos utilizar la siguiente sintaxis desde la carpeta donde tenemos la herramienta instalada:

python vol.py –profile=LinuxGolfish-2_6_29ARM -f <ruta_dump> <nombre_complemento>

Algunas de las opciones de complementos que están a nuestro alcance incluyen:

    linux_pslist: listado de procesos;
    linux_netstat: listado de conexiones de red;
    linux_ifconfig: listado de interfaces del dispositivo que permite ver si el equipo ha sido conectado a través de WiFi (eth0, eth1, ...), 3G/4G (rmnet0, ...), USB, etcétera;
    linux_route_cache: tabla de enrutamiento con la lista de direcciones IP consultadas;
    linux_arp: tabla ARP con las direcciones MAC;
    linux_proc_maps: listado de correlaciones entre procesos y direcciones de memoria;
    linux_mount: listado de los sistemas de archivos montados en el dispositivo incluyendo permisos (lo que puede servir para determinar si el equipo está rooteado examinando si /system es o no una ubicación de sólo lectura);
    linux_tmpfs: listado de sistemas de archivos temporales o "tmpfs" (almacenados solo en memoria);
    linux_find_file: recupera archivos tmpfs desde su ruta;
    linux_lsof: listado de archivos abiertos;
    linux_pstree: imprime el árbol jerárquico entre procesos padres e hijos desde la inicialización del sistema;
    linux_psaux: permite conocer el comando que inició el proceso y la fecha en que esto ocurrió;
    linux_psxview: permite comparar listas de procesos del kernel, de la tabla hash de PID y de la estructura de sistema kmem_cache, para encontrar así irregularidades que podrían denotar procesos escondidos por un rootkit;
    linux_check_afinfo: evalúa estructuras de datos dinámicos de red que puedan presentar hooks por rootkits;
    linux_check_fop: evalúa las estructuras de operaciones con archivos para hallar posible malware escondido por técnicas de hooking;
    linux_lsmod: listado de módulos cargados en el kernel;
    linux_check_modules: examina la lista de módulos listados en el sistema de archivos del sistema y en el kernel para hallar irregularidades;
    linux_yarascan: soporte para la ejecución de reglas de Yara;
    Muchos otros complementos.

En las siguientes imágenes veremos el resultado de ejecutar alguno de estos comandos.





En la siguiente captura podemos ver fragmentos de algunos mensajes SMS que han sido enviados con el móvil y el número telefónico al que fueron enviados. En particular, fueron el resultado de ejecutar la siguiente regla de Yara:

python vol.py –profile=LinuxGolfish-2_6_29ARM -f ~/lime.dump linux_yarascan –yara-rules="mensaje"



Para visualizar mejor estos resultados podemos utilizar YaVol, una herramienta que funciona como un interfaz para el análisis de datos producidos por Volatility y Yara.

Estos complementos permiten recuperar archivos y sistemas de archivos desde la memoria, datos en texto plano que son el resultado de descifrar datos en memoria no volátil, historial de la navegación web y otros archivos que por deber ser accedidos rápidamente deben permanecer en memoria, mensajes SMS, correos electrónicos, contactos, archivos APK y DEX instalados en el sistema, y un gran número de otros elementos.

La capacidad de obtener archivos binarios desde memoria crea la posibilidad de analizar cómo cambian muestras de malware capaz de mutar dinámicamente.
En resumen...

Las técnicas de recolección de datos en memoria que hemos visto a lo largo de este artículo sirven a la identificación de comportamientos maliciosos en dispositivos móviles, pero también nos permiten prever riesgos para la confidencialidad de nuestros datos mientras estos son procesados.

Como medida de protección, el cifrado de los datos que se encuentran en la memoria RAM (ya sea por hardware o software) y la utilización de sistemas de cifrado ligados a la CPU (que cifren los datos sin que estos deban ser previamente almacenados en la memoria RAM) constituyen dos medidas preventivas para reducir la superficie de ataque.

Créditos imagen: © Maria Elena/Flickr