Mensajes

La mayoría de administradores de sistemas tienen una regla de oro y esta es, si funciona... no lo toques, no es lo más recomendado, pero es bastante extendida y existen muchas razones para que sea tan popular, una de las más comunes es la rotación en el mundo de IT, donde hay poco personal bien formado y los buenos profesionales son arrebatados de una empresa a otra a punta de cartera, esto genera una especie de teléfono roto donde una persona recibe el trabajo de otra, la mayoría de las veces sin mayores indicaciones y con la premisa de que funcione.

Conozco pocos profesionales que se atrevan a bloquear en su red conexiones salientes a puertos como el 80 o el 443, protocolos como el DNS o el ICMP y por eso es común que nos encontremos con escenarios idóneos para probar técnicas de bypass como la que presentaremos el día de hoy (si les llama la atención este contenido, podríamos generar otros bypass camuflando tráfico por el protocolo DNS u otros), que puede ser usada para saltarnos controles como el de portales cautivos, filtros de navegación o incluso sistemas de monitoreo.

Imagen 1: Topología de estudio.


Como se observa en la Imagen 1, la topología por utilizar consiste en:

KL Interno: Host virtualizado con Kali Linux (versión 2018.1)
KL Externo: Host virtualizado con Kali Linux (versión 2018.1)
RA: Router Cisco (IOS Versión 15.2)
RB: Router Cisco (IOS Versión 15.2)
SWA: Sin configuraciones.
SWB: Sin configuraciones.
En los hosts "KL Interno" y "KL Externo", se descargó (imagen 2) e instaló "Hans – IP over ICMP". A continuación, se puede observar el proceso realizado en el host "KL Interno".

Descarga desde https://sourceforge.net/projects/hanstunnel/

Imagen 2: Descarga de Hans desde sourceforge.


Descompresión de los archivos (imagen 3).


Compilación de archivos (imagen 4).


Configuraciones Routers
Se realiza la configuración de RA e ISP (imagen 5).




ICMP (Internet Control Message Protocol)

Es utilizado para realizar notificaciones y diagnostico entre otras funciones en redes IPv4, definido en la RFC 792. El formato de los mensajes ICMP se puede observar en la imagen 6:



Los valores asignados para los campos "Tipo" y "Código", son responsabilidad de la IANA (https://www.iana.org/assignments/icmp-parameters/icmp-parameters.xhtml).



Ejemplo mensaje ICMP enviado desde KL Interno a RA:

En este ejemplo (imagen 7) se enviaron 5 mensajes de prueba (echo request) y se recibieron 5 respuestas (echo reply).



Se realizó la captura de estos mensajes en el segmento ubicado entre RA y KL Interno como se observa en la Imagen 8.



En la Imagen 9 se puede apreciar los 5 mensajes enviados, con sus correspondientes respuestas.



Al analizar el primer mensaje enviado, se puede observar que este corresponde a un mensaje del tipo 8 (Echo Request) – Código 0. Además, se puede observar que existe un campo de relleno donde se le agrega carga al mensaje ICMP:

Más información: https://www.dragonjar.org/creando-un-tunel-ipv4-sobre-icmp-para-bypassear-controles.xhtml

Saludos.

En este año 2018 ha aparecido un nuevo tipo de malware: los ataques Gen V: ciberamenazas que utilizan tecnología militar robada y que son masivas y multivectoriales. A la vista de este nuevo tipo de amenazas, Check Point ha querido dara conocer,en su informe Security Report 2018, las nuevas tendencias entre los ciberdelincuentes:

El futuro de las empresas está en los smartphones
Con la explosión del BYOD, los dispositivos móviles forman ya parte de las empresas de todo el mundo y, sin embargo, no están tan protegidos como deberían. En los próximos meses seguirán descubriéndose fallos en sus sistemas operativos, por lo que las organizaciones necesitan desplegar en ellos sistemas de seguridad avanzada.

El malware móvil también seguirá proliferando, especialmente los troyanos bancarios, ya que la tendencia de malware como servicio (MaaS), que facilita los ataques, sigue evolucionando y creciendo.

Además, podemos esperar ver a los ciberdelincuentes usar los smartphones y tablets para minar criptomonedas de forma ilegal. Hasta ahora, el criptojacking han afectado a los servidores web y a los PC, pero como la seguridad móvil está menos desarrollada, es probable que se convierta en el nuevo objetivo de estos ataques.

La nube, en peligro permanente
Aunque los entornos cloud son cada vez más comunes entre las empresas, siguen siendo una tecnología relativamente nueva y en constante evolución. Esto proporciona a los ciberdelincuentes una serie de backdoors mediante los que acceder a las redes corporativas.

Otra de las causas de los ataques exitosos a la nube es que se tiene un concepto erróneo sobre los niveles de protección necesarios. Además, muchas organizaciones no tienen claro quién es el responsable de la protección de la nube, dejando la puerta abierta de par en par a las brechas de seguridad.

Más información: https://globbsecurity.com/estos-son-los-ciberataques-a-tener-en-cuenta-este-verano-43434/

Saludos.

¿Qué es un bot? ¿Y un chatbot?

Bot, chatbot, talkbot, chatterbot, asistente conversacional, asistente virtual etc no son más que distintas formas de ponerle nombre a programas informáticos que se comunican con nosotros como si fueran humanos. Así, los bots pueden hacer muchas tareas, algunas buenas, como comprar entradas para un concierto, desbloquear la cuenta de un usuario, u ofrecer opciones para reservar una casa de vacaciones en unas fechas concretas;  y otras no tanto, como realizar ciberataques, o provocar una catástrofe financiera realizando operaciones bursátiles a alta velocidad.

Los bots (diminutivo de "robot") pueden estar diseñados en cualquier lenguaje de programación y funcionar como cliente, como servidor, como agente móvil etc. Cuando se especializan en una función específica se les suele llamar "Sistemas Expertos".

Al igual que ocurrió en su día con el desarrollo de la interfaz gráfica frente a la línea de comandos pura y dura, los bots suponen una manera de hacer accesible a cualquier usuario, herramientas y servicios que antes requerían un mayor nivel de competencia digital. Además, como veremos más adelante, son capaces de aprender de nosotros, y tomar decisiones basadas en la información que les proporcionemos.

Los chatbots o bots conversacionales son sistemas de inteligencia artificial que simulan una conversación con una persona utilizando el lenguaje natural. Por ejemplo, son capaces de mantener una conversación de mensajería instantánea de forma muy similar a como lo haría un humano. Así, si estás preparando tus vacaciones en una agencia de viajes online, muy probablemente aparezca una ventana de chat en la esquina inferior derecha ofreciéndote ayuda para resolver cualquier duda que tengas.  A tu disposición 24 horas al día, todos los días del año. Es por ello que su potencial es tan grande. Además, el chat es canal preferido por el público en general, y por los Millennials en particular.

Muchos chatbots están orientados a reemplazar las famosas FAQ (Frecuently Asked Questions) y, por tanto, aparentemente no agregan un gran valor diferencial con respecto al uso de otros canales como la página web o aplicación móvil. Pero, como veremos en este caso práctico, incluso los que realizan esta función, son muchas veces capaces de aprender y aportar valor.

Los bots no son sólo capaces de comprender e imitar el lenguaje escrito. Google Duplex, y Microsoft XiaoIce, por ejemplo, son capaces de realizar llamadas telefónicas para hacer una reserva en un restaurante, pedir una cita en el dentista,  etc como lo haría una persona. Aura, el asistente virtual de Movistar+, te hace recomendaciones en base a tus gustos y te permite ver el partido, buscar una serie, o  cambiar de canal simplemente hablando o chateando con ella. Estas tecnologías también tienen un gran campo de aplicación en entornos empresariales, pudiendo usarse para organizar reuniones de negocio, establecer llamadas de ventas, dar soporte técnico de primer nivel etc.

Más información: https://data-speaks.luca-d3.com/2018/07/como-crear-un-bot-de-forma-sencilla.html

Saludos.

El desafío para un autor de malware hoy tiene más que ver con la creatividad que con un conocimiento técnico profundo. Hay muchas buenas herramientas de construcción de troyanos para facilitar el trabajo. Pero una vez que el autor tiene una creación terminada, el gran desafío es cómo llevar el producto terminado a las víctimas.

Incrustar malware dentro de un documento de Word es ahora un lugar común. Por lo general, se trata de una Macro lanzada por la función 'habilitar contenido', también conocida como la función 'Por favor, infecta mi máquina'. Los autores de malware han dado el siguiente paso lógico utilizando un documento PDF como punto de partida.

Un PDF no es solo un documento legible fijo. Tiene muchas más características como dibujar y crear formularios. Es importante destacar que para los autores de malware, un documento PDF puede interpretar javascript. Echemos un vistazo al análisis de malware donde el autor creó un documento PDF incrustado con javascript que crea un documento de Microsoft Word con un VBScript incrustado para ejecutar Jaff Ransomware.

Análisis de Jaff Ransomware
Después de cargar el archivo "nm.pdf" de aspecto inocente al VMRay Analyzer, obtuvimos un puntaje extremadamente alto de VTI (VMRay Threat Identifier): 100/100. Para entender por qué el puntaje es tan alto, comenzamos mirando la Información de VTI.



La segunda entrada sugiere lo que el título del blog ya ha insinuado: "Cambiar el nombre de varios archivos de usuario". Este es un indicador para un intento de cifrado. Ciertamente estamos lidiando con el ransomware.

pero como funciona? El documento PDF no se puede ejecutar como un archivo ejecutable. En el informe de VMRay Analyzer, podemos volver a la página de resumen y mirar el gráfico del proceso.



Esto nos muestra un comportamiento realmente nuevo al abrir un documento PDF.

Primero, para abrir el archivo "nm.pdf", se inicia el proceso de Acrobat Reader "acrord32.exe" y se carga el PDF. Luego aparece un mensaje y solicita abrir un archivo "EQV6A.docm". Este mensaje nos advierte sobre la necesidad de abrir este archivo porque podría dañar nuestra computadora.



Esto funciona porque el documento PDF tiene un javascript incrustado que se inicia cuando se abre el documento.

Código [Seleccionar] Expandir

<<
/Type/Catalog/Pages 9 0 R/Names 13 0 R/OpenAction
<< /S/javascript/JS(submarine();) >>
>>

Más información: https://www.vmray.com/cyber-security-blog/jaff-ransomware-hiding-in-a-pdf-document/

Saludos.

Info:
https://en.wikipedia.org/wiki/Carbanak
https://latam.kaspersky.com/resource-center/threats/carbanak-apt

Link: https://s3-eu-west-1.amazonaws.com/malware-research.org/blogposts/carbanak_leak/carbanak_source_code_leak_maybe.zip
Pass: f1Up$zD%QY*p5@!&

Saludos.

La botnet Hide 'N Seek de Internet of Things (IoT) recientemente ha agregado soporte para más dispositivos y también puede infectar los servidores de bases de datos OrientDB y CouchDB, dicen los investigadores de NetLab de Qihoo 360.

Cuando se detallaron por primera vez en enero de este año, la botnet estaba evolucionando y extendiéndose rápidamente, atrapando a decenas de miles de dispositivos en cuestión de días. Dirigido a numerosas vulnerabilidades, el malware era capaz de exfiltración de datos, ejecución de código e interferencia con el funcionamiento del dispositivo.

A principios de mayo, el malware infectó más de 90,000 dispositivos, agregó código para atacar más vulnerabilidades y también adoptó la persistencia, pudiendo sobrevivir al reinicio. El módulo de persistencia, sin embargo, solo se activaría si la infección se realizó a través del servicio Telnet.

Una red zombi de igual a igual (P2P), Hide 'N Seek ha seguido evolucionando, y actualmente está apuntando a aún más vulnerabilidades que antes. El botnet ahora también incluye exploits para dispositivos AVTECH (cámara web) y enrutadores Cisco Linksys, revela NetLab de Qihoo 360.

Además, el malware ahora incluye 171 direcciones de nodo P2P codificadas, ha agregado un programa de minería criptodinámica a su código, y también se ha convertido en una amenaza multiplataforma, con la adición de soporte para los servidores de bases de datos OrientDB y CouchDB.

El mecanismo de propagación de la botnet incluye un escáner tomado de Mirai, dirigido al puerto TCP fijo 80/8080/2480/5984/23 y otros puertos aleatorios.

Para la infección, el malware intenta la ejecución remota de código utilizando explotaciones dirigidas a enrutadores TPLink, enrutadores Netgear (también segmentados por Reaper botnet y la variante Mirai Wicked), cámaras AVTECH, enrutadores Cisco Linksys, JAW / 1.0, OrientDB y Apache CouchDB.

Más información: https://www.securityweek.com/hide-n-seek-iot-botnet-can-infect-database-servers

Saludos.

Este ransomware acaba de agregar nuevos trucos para propagarse más rápido e infectar PC con Windows XP.

Un cambio en el mecanismo de cifrado y la capacidad de atacar máquinas con Windows XP a través de una vulnerabilidad SMB mejora la capacidad de proliferación de GandCrab.

Una de las formas más activas de ransomware se ha actualizado con un nuevo medio de cifrado de datos como la pandilla detrás del aspecto del malware para garantizar que siga siendo lo más dañino posible.

GandCrab ransomware apareció por primera vez en enero de este año y rápidamente se convirtió en una de las formas más populares del malware de bloqueo de archivos. Se vende a bajo precio en la web oscura como 'malware como servicio' y regularmente recibe actualizaciones de sus desarrolladores.

Ahora se ha lanzado la última versión del ransomware y contiene lo que los investigadores de Fortinet describen como "una revisión en términos de la estructura del código", y algunos trucos nuevos bajo la manga.

Uno de los mayores cambios en la versión 4 de GandCrab es que el mecanismo de cifrado pasó del RSA-2048 a un cifrado de flujo Salsa20 mucho más rápido, permitiendo que los archivos se cifren más rápidamente que antes. El mecanismo Salsa20 ya había sido implementado por Petya ransomware.

Esta versión de GandCrab se sirve a las víctimas a través de sitios web comprometidos de WordPress que alientan a los usuarios a descargar herramientas del sistema a través de enlaces que resultan en la descarga del malware. Los investigadores dicen que el malware ejecutable y los enlaces de descarga se actualizan regularmente. Sin embargo, no determinan cómo se distribuirá una vez más mediante correos electrónicos de phishing en algún momento en el futuro.

Más información: https://www.zdnet.com/article/this-ransomware-just-added-new-tricks-to-spread-faster-and-infect-windows-xp-pcs/

Saludos.

Descubierto por Aleksandar Nikolic de Cisco Talos
Visión de conjunto
Hoy, Talos está publicando detalles de nuevas vulnerabilidades dentro de Adobe Acrobat Reader DC. Adobe Acrobat Reader es el lector de PDF más popular y rico en características. Tiene una gran base de usuarios, generalmente es un lector de PDF predeterminado en los sistemas y se integra en los navegadores web como un complemento para la renderización de archivos PDF. Como tal, engañar a un usuario para visitar una página web maliciosa o enviar un archivo adjunto de correo electrónico especialmente diseñado puede ser suficiente para desencadenar estas vulnerabilidades.

TALOS-2018-0569 - Adobe Acrobat Reader DC Collab.drivers Remote Code Execution Vulnerability (CVE-2018-12812)

Un código javascript específico incrustado en un archivo PDF puede provocar confusión en el tipo de objeto al abrir un documento PDF en Adobe Acrobat Reader DC 2018.011.20038. Con una cuidadosa manipulación de la memoria, esto puede llevar a la ejecución de código arbitrario. Para activar esta vulnerabilidad, la víctima debería abrir el archivo malicioso o acceder a una página web maliciosa. La información detallada de vulnerabilidad se puede encontrar aquí.

https://www.talosintelligence.com/vulnerability_reports/TALOS-2018-0569

Más información: https://blog.talosintelligence.com/2018/07/vuln-spotlight-adobe-reader.html?utm_source=dlvr.it&utm_medium=twitter&utm_campaign=Feed%3A+feedburner%2FTalos+%28Talos%E2%84%A2+Blog%29

Saludos.

Microsoft lanza actualizaciones de parches para 53 vulnerabilidades en su software.

Es hora de adaptar sus sistemas y software para las últimas actualizaciones de parches de seguridad de julio de 2018.
Microsoft lanzó hoy actualizaciones de parches de seguridad para 53 vulnerabilidades, que afectan a Windows, Internet Explorer (IE), Edge, ChakraCore, .NET Framework, ASP.NET, PowerShell, Visual Studio y Microsoft Office y Office Services, y Adobe Flash Player.
De las 53 vulnerabilidades, 17 se clasifican como críticas, 34 importantes, una moderada y una de baja gravedad.
Este mes no hay una vulnerabilidad crítica parchada en el sistema operativo Microsoft Windows y, sorprendentemente, ninguno de los defectos reparados por el gigante tecnológico este mes aparece como públicamente conocido o bajo ataque activo.
Errores críticos parcheados en los productos de Microsoft
La mayoría de los problemas críticos son fallas de corrupción de memoria en IE, navegador Edge y motor de scripts Chakra, que si se explota con éxito, podría permitir a un atacante remoto no autenticado ejecutar código arbitrario en un sistema específico en el contexto del usuario actual.
"Si el usuario actual inicia sesión con derechos administrativos de usuario, un atacante que explotara con éxito la vulnerabilidad podría tomar el control de un sistema afectado. Un atacante podría entonces instalar programas, ver, cambiar o eliminar datos, o crear cuentas nuevas con usuario completo. derechos ", explica Microsoft.
Uno de estos defectos críticos (CVE-2018-8327), informado por los investigadores de Casaba Security, también afecta a los Servicios Editor de PowerShell que podrían permitir a un atacante remoto ejecutar código malicioso en un sistema vulnerable.
A continuación, puede encontrar una breve lista de todas las vulnerabilidades críticas que Microsoft ha parcheado este mes en sus diversos productos:

Scripting Engine Memory Corruption Vulnerability (CVE-2018-8242)
Edge Memory Corruption Vulnerability (CVE-2018-8262)
Edge Memory Corruption Vulnerability (CVE-2018-8274)
Scripting Engine Memory Corruption Vulnerability (CVE-2018-8275)
Scripting Engine Memory Corruption Vulnerability (CVE-2018-8279)
Chakra Scripting Engine Memory Corruption Vulnerability (CVE-2018-8280)
Scripting Engine Memory Corruption Vulnerability (CVE-2018-8283)
Chakra Scripting Engine Memory Corruption Vulnerability (CVE-2018-8286)
Scripting Engine Memory Corruption Vulnerability (CVE-2018-8288)
Chakra Scripting Engine Memory Corruption Vulnerability (CVE-2018-8290)
Scripting Engine Memory Corruption Vulnerability (CVE-2018-8291)
Chakra Scripting Engine Memory Corruption Vulnerability (CVE-2018-8294)
Scripting Engine Memory Corruption Vulnerability (CVE-2018-8296)
Chakra Scripting Engine Memory Corruption Vulnerability (CVE-2018-8298)
Microsoft Edge Memory Corruption Vulnerability (CVE-2018-8301)
Microsoft Edge Information Disclosure Vulnerability (CVE-2018-8324)
PowerShell Editor Services Remote Code Execution Vulnerability (CVE-2018-8327)

Más información: https://thehackernews.com/2018/07/microsoft-security-patch-update.html?utm_source=dlvr.it&utm_medium=twitter

Saludos.

Resumen
Facebook Messenger para Android se puede bloquear a través de la verificación de estado de la aplicación. Esto puede ser explotado por un atacante de MITM interceptando esa llamada y devolviendo una gran cantidad de datos. Esto sucede porque esta comprobación de estado no se realiza a través de SSL y la aplicación no contiene lógica para verificar si los datos devueltos son muy grandes.

El vendedor no tiene planes inmediatos para solucionar este problema.

Detalles de vulnerabilidad
Facebook Messenger para Android es una aplicación de mensajería proporcionada por Facebook. Al monitorear el tráfico de red de un dispositivo de prueba que ejecuta Android, observamos que la aplicación realiza llamadas de red para verificar el estado del servidor. Esta llamada se realizó a través de HTTP sin el uso de SSL / TLS. URL de ejemplo:

http://portal.fb.com/mobile/status.php
Tuvimos éxito al bloquear la aplicación al inyectar un paquete grande porque la aplicación no maneja datos grandes que regresan correctamente y no usa SSL para esta llamada.

También es importante tener en cuenta que esto le permitiría a alguien bloquear el uso de Messenger pero sin que los usuarios se den cuenta de que están siendo bloqueados, ya que atribuirán la falla de la aplicación a un error en lugar de a un bloqueo.

Más información:
http://seclists.org/fulldisclosure/2018/Jul/37?utm_source=feedburner&utm_medium=twitter&utm_campaign=Feed%3A+seclists%2FFullDisclosure+%28Full+Disclosure%29
https://wwws.nightwatchcybersecurity.com/2018/07/09/advisory-crashing-facebook-messenger-for-android-with-an-mitm-attack/

Saludos.