- Bienvenido a Test Foro de elhacker.net SMF 2.1.
Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.
#271
Noticias / ¿Quiénes son los ciberdelincuentes y qué buscan?
31 Diciembre 2018, 07:00 AM #272
Noticias / Un nuevo ransomware infecta servidores Linux a través de IPMI
31 Diciembre 2018, 06:51 AM
Este nuevo ransomware, que recibe el nombre de 'JungleSec', fue detectado en Noviembre y esta diseñado para infectar servidores Linux con IPMI (Intelligent Platform Management Interface) no securizado.
IPMI es un conjunto de especificaciones de interfaces que proporcionan capacidades de administración y monitorización en un ordenador independientemente de la CPU, firmware y sistema operativo. Esta incluido en las placa base de los servidores, aunque también puede instalarse como una tarjeta adicional si no la incluye la placa base.
Una interfaz IPMI no configurada, puede dar acceso remoto al sistema a los atacantes, lo que les daría control total sobre el servidor.
Investigadores de BleepingComputer que detectaron este malware, afirman que descubrieron que los atacantes habían usado una interfaz IPMI para acceder a los servidores y posteriormente instalar el malware. En algunos casos, la interfaz IPMI estaba configurada con la contraseña por defecto. En otros casos, las víctimas afirman que el usuario 'Admin' de la interfaz estaba desactivado, por lo que se sospecha que los atacantes pudiesen acceder usando alguna vulnerabilidad en el sistema IPMI.
Los atacantes, una vez accedían al sistema a través de la interfaz IPMI, descargaban y compilaban ccrypt, que finalmente usaban para cifrar todos los ficheros del servidor. Una vez cifrados los archivos, los atacantes dejaban un fichero llamado 'ENCRYPTED.md' con las instrucciones para realizar el pago del rescate.
IoCs
Nombres de Ficheros:
ENCRYPTED.md
key.txt
Direcciones de correo electrónico:
junglesec@anonymousspeech.com
Más información:
Fuente:
https://securityaffairs.co/wordpress/79219/malware/junglesec-ransomware-ipmi.html
https://www.bleepingcomputer.com/news/security/junglesec-ransomware-infects-victims-through-ipmi-remote-consoles/
#273
Análisis y Diseño de Malware / Muestras de malware muy variado
25 Diciembre 2018, 02:18 AM
Aqui os dejo una página donde podréis descargar muestras de malware.
Sólo a través de .onion:
Link: http://iec56w4ibovnb4wc.onion
A disfrutar, saludos.
Sólo a través de .onion:
Link: http://iec56w4ibovnb4wc.onion
A disfrutar, saludos.
#274
Noticias / Re: ¡Felices Fiestas a tod@s!
24 Diciembre 2018, 21:56 PM
Felices fiestas y un buen año nuevo para todos 
A pasarlo bien en familia y con los amigos que es lo más importante.
Saludos
A pasarlo bien en familia y con los amigos que es lo más importante.
Saludos
#275
Análisis y Diseño de Malware / Magnime ransomware mejora, se expande dentro de Asia
18 Julio 2018, 01:01 AM
El kit Magnitude exploit es uno de los kits de herramientas de navegación más antiguos entre los que aún se usan. Después de su inicio en 2013, disfrutó de la distribución mundial con un gusto por el ransomware. Finalmente, se convirtió en una operación privada que tenía un enfoque geográfico estrecho.
Durante 2017, Magnitude entregó el ransomware Cerber a través de una puerta filtrante conocida como Magnigate, solo a unos pocos países asiáticos seleccionados. En octubre de 2017, el operador del kit de explotación comenzó a distribuir su propia raza de ransomware, Magniber. Ese cambio llegó con un giro interesante: los autores del malware hicieron todo lo posible para limitar las infecciones a Corea del Sur. Además del filtrado del tráfico a través de cadenas de publicidad maliciosa específicas del país, Magniber solo se instalaría si se devolviera un código de país específico, de lo contrario se eliminaría a sí mismo.
En abril de 2018, Magnitude comenzó inesperadamente a empujar el creciente ransomware de GandCrab, poco después de haber adoptado un nuevo flash día cero (CVE-2018-4878). Lo que pudo haber sido una campaña de prueba no duró mucho, y poco después, Magniber estaba de vuelta otra vez. En nuestras recientes capturas de Magnitude, ahora vemos el último exploit de Internet Explorer (CVE-2018-8174) que se usa principalmente, que se integró después de una interrupción de tráfico de una semana.
En esta publicación, echamos un vistazo a algunos cambios notables con Magniber. Su código fuente ahora es más refinado, aprovechando varias técnicas de ofuscación y ya no depende de un servidor de Comando y Control o clave codificada para su rutina de cifrado. Además, aunque anteriormente Magniber solo se enfocaba en Corea del Sur, ahora ha expandido su alcance a otros países de Asia Pacífico.
Extrayendo la carga útil
loader DLL: https://www.virustotal.com/#/file/6e57159209611f2531104449f4bb86a7621fb9fbc2e90add2ecdfbe293aa9dfc/details
Magniber's core DLL: https://www.virustotal.com/#/file/fb6c80ae783c1881487f2376f5cace7532c5eadfc170b39e06e17492652581c2/details
Hay varias etapas antes de descargar y ejecutar la carga final. Después de la redirección 302 de Magnigate (Paso 1), vemos un javascript ofuscado Base64 (Paso 2) utilizado para iniciar la página de aterrizaje de Magnitude, junto con un VBScript codificado en Base64. (Ambas versiones originales de los scripts están disponibles al final de esta publicación en los IOC.) Después de la explotación de CVE-2018-8174, se recupera el Magniber cifrado con XOR.
Funcionalmente, este shellcode es un descargador simple. Descarga la carga ofuscada, la decodifica mediante XOR con una clave y luego la despliega:
La carga útil descargada (72fce87a976667a8c09ed844564adc75) no es, sin embargo, el núcleo de Magniber, sino un cargador de etapa siguiente. Este cargador descomprime el DLL principal de Magniber (19599cad1bbca18ac6473e64710443b7) y lo inyecta en un proceso.
Ambos elementos, el cargador y el núcleo de Magniber, son archivos DLL con el resguardo del Cargador Reflectivo, que se cargan en un proceso actual utilizando la técnica de inyección Reflective DLL.
Análisis del comportamiento
Las acciones realizadas por Magniber no han cambiado mucho; cifra los archivos y al final arroja una nota de rescate llamada README.txt.
Los enlaces proporcionados conducen a una página .onion que es única por víctima y similar a muchas otras páginas de ransomware:
Más información: https://blog.malwarebytes.com/threat-analysis/2018/07/magniber-ransomware-improves-expands-within-asia/
Saludos.
Durante 2017, Magnitude entregó el ransomware Cerber a través de una puerta filtrante conocida como Magnigate, solo a unos pocos países asiáticos seleccionados. En octubre de 2017, el operador del kit de explotación comenzó a distribuir su propia raza de ransomware, Magniber. Ese cambio llegó con un giro interesante: los autores del malware hicieron todo lo posible para limitar las infecciones a Corea del Sur. Además del filtrado del tráfico a través de cadenas de publicidad maliciosa específicas del país, Magniber solo se instalaría si se devolviera un código de país específico, de lo contrario se eliminaría a sí mismo.
En abril de 2018, Magnitude comenzó inesperadamente a empujar el creciente ransomware de GandCrab, poco después de haber adoptado un nuevo flash día cero (CVE-2018-4878). Lo que pudo haber sido una campaña de prueba no duró mucho, y poco después, Magniber estaba de vuelta otra vez. En nuestras recientes capturas de Magnitude, ahora vemos el último exploit de Internet Explorer (CVE-2018-8174) que se usa principalmente, que se integró después de una interrupción de tráfico de una semana.
En esta publicación, echamos un vistazo a algunos cambios notables con Magniber. Su código fuente ahora es más refinado, aprovechando varias técnicas de ofuscación y ya no depende de un servidor de Comando y Control o clave codificada para su rutina de cifrado. Además, aunque anteriormente Magniber solo se enfocaba en Corea del Sur, ahora ha expandido su alcance a otros países de Asia Pacífico.
Extrayendo la carga útil
loader DLL: https://www.virustotal.com/#/file/6e57159209611f2531104449f4bb86a7621fb9fbc2e90add2ecdfbe293aa9dfc/details
Magniber's core DLL: https://www.virustotal.com/#/file/fb6c80ae783c1881487f2376f5cace7532c5eadfc170b39e06e17492652581c2/details
Hay varias etapas antes de descargar y ejecutar la carga final. Después de la redirección 302 de Magnigate (Paso 1), vemos un javascript ofuscado Base64 (Paso 2) utilizado para iniciar la página de aterrizaje de Magnitude, junto con un VBScript codificado en Base64. (Ambas versiones originales de los scripts están disponibles al final de esta publicación en los IOC.) Después de la explotación de CVE-2018-8174, se recupera el Magniber cifrado con XOR.
Funcionalmente, este shellcode es un descargador simple. Descarga la carga ofuscada, la decodifica mediante XOR con una clave y luego la despliega:
La carga útil descargada (72fce87a976667a8c09ed844564adc75) no es, sin embargo, el núcleo de Magniber, sino un cargador de etapa siguiente. Este cargador descomprime el DLL principal de Magniber (19599cad1bbca18ac6473e64710443b7) y lo inyecta en un proceso.
Ambos elementos, el cargador y el núcleo de Magniber, son archivos DLL con el resguardo del Cargador Reflectivo, que se cargan en un proceso actual utilizando la técnica de inyección Reflective DLL.
Análisis del comportamiento
Las acciones realizadas por Magniber no han cambiado mucho; cifra los archivos y al final arroja una nota de rescate llamada README.txt.
Los enlaces proporcionados conducen a una página .onion que es única por víctima y similar a muchas otras páginas de ransomware:
Más información: https://blog.malwarebytes.com/threat-analysis/2018/07/magniber-ransomware-improves-expands-within-asia/
Saludos.
#276
Noticias / Vulnerabilidad detectada en VMware que podría permitir a un atacante...
17 Julio 2018, 23:44 PM
Vulnerabilidad detectada en #VMware que podría permitir a un atacante la lectura de memoria fuera de límites en aquellas máquinas virtuales, Windows, que tengan las tools instaladas y la compartición de ficheros activada.
Riesgo: Alto Sistemas afectados:
VMware Tools 10.x y anteriores.
http://www.csirtcv.gva.es/es/alertas/vulnerabilidad-detectada-en-vmware.html
https://www.vmware.com/security/advisories/VMSA-2018-0017.html
Saludos.
Riesgo: Alto Sistemas afectados:
VMware Tools 10.x y anteriores.
http://www.csirtcv.gva.es/es/alertas/vulnerabilidad-detectada-en-vmware.html
https://www.vmware.com/security/advisories/VMSA-2018-0017.html
Saludos.
#277
Sugerencias y dudas sobre el Foro / Re: Error WAF al publicar temas en el foro...
17 Julio 2018, 16:47 PM
Grácias por contestar Shell Root, me imaginaba que podía ser la inclusión de los diferentes comando para realizar inyecciones. Lo postaré sin las inyecciones y que vean el tema desde la fuente.
Saludos.
Saludos.
#278
Diseño Gráfico / Re: ¿Alguien me hecha un cable?.
17 Julio 2018, 16:45 PM
Se agradece el post, un saludo.
#279
Ingeniería Inversa / Re: Descargar crackmes para mejorar tus habilidades de ingeniería inversa
17 Julio 2018, 09:53 AM
Gracias Flamer, no me había fijado bien.
Saludos.
Saludos.
#280
Redes / Servidores DNS rápidos, fáciles de recordar y algunos con funcionalidades de seg
17 Julio 2018, 02:12 AM
Servidores DNS rápidos, fáciles de recordar y algunos con funcionalidades de seguridad.
1.1.1.1 Cloudflare
1.0.0.1 Cloudflare
8.8.8.8 Google
8.8.4.4 Google
9.9.9.9 Quad9
9.9.9.10 Quad9
209.244.0.3 Level3
209.244.0.4 Level3
208.67.222.222 OpenDNS
208.67.220.220 OpenDNS
Saludos.
1.1.1.1 Cloudflare
1.0.0.1 Cloudflare
8.8.8.8 Google
8.8.4.4 Google
9.9.9.9 Quad9
9.9.9.10 Quad9
209.244.0.3 Level3
209.244.0.4 Level3
208.67.222.222 OpenDNS
208.67.220.220 OpenDNS
Saludos.