Mensajes

Creo que lo tienes crudo, no creo que puedas localizar un dispositivo con el IMEI solamente.
Haría falta un software intermediario para poder localizarlo.

Espera a ver más respuestas...

Saludos.

Una nueva aplicación vuelve a poner a Facebook en el centro de las críticas respecto al mal uso de los datos de sus usuarios. Los que tienen un perfil hace una década podrán recordar el furor que fueron los tests de personalidad, en donde el usuario respondía unas preguntas y a cambio la plataforma te decía a qué jugador de fútbol te parecías o qué princesa de Disney eras.



Esta última es la que llamó la atención de Inti De Cukelaire, un experto en seguridad informática que expuso como la aplicación NameTests[.]com filtró datos de sus usuarios durante años con la vista gorda de la red social.

La plataforma acumulaba información de más de 120 millones de usuarios cada mes y, desde hace dos años, permitía que cualquiera pueda tener acceso a la información de los que iniciaron el test.

Apenas se abría el test, la app era capaz de hacer un barrido de la información privada, se hubieran dados permisos o no. El otro grave error de seguridad de la plataforma era que esos datos estaban disponibles en un archivo que podía consultarse o que se compartía con terceros a través de los sitios visitados por los usuarios.

Desde Facebook reconocieron el error y confirmaron que ya trabajaron para corregir la vulnerabilidad. "Para estar seguros, revocamos los tokens de acceso para todos los que se hayan registrado para usar esta aplicación. Entonces la gente tendrá que volver a autorizar la aplicación para poder seguir usándola", indicó la red social en una publicación.

El experto en seguridad informática que descubrió la falla creó un video explicando cómo funcionaba el error. Hasta el momento no hay evidencia que permita asegurar si la información expuesta por Nametests fue utilizada por otros y cuantá gente ya lo había descubierto al error. Para Ceukelaire, la falla es muy sencilla de detectar para especialistas.

Más información: http://www.businessinsider.com/nametestscom-may-have-exposed-facebook-data-of-120-million-users-2018-6

Saludos.

Escape de SHELLcatraz: ruptura de las capas restringidas de Unix:

Tutorial tipo slide, más información:

https://speakerdeck.com/knaps/escape-from-shellcatraz-breaking-out-of-restricted-unix-shells

Saludos.

Este artículo tiene como objetivo explicar qué es exactamente el virus .KRAB y luego ayudar a las víctimas a eliminar el ransomware y restaurar potencialmente los archivos cifrados.

.KRAB Files Virus Cómo eliminar GANDCRAB V4 y restaurar los datos sensorstechforum

El virus .KRAB es una nueva versión del armario de datos ransomware de GandCrab. La amenaza se ha lanzado recientemente en campañas de ataque activo contra usuarios de computadoras en todo el mundo. Su nombre es un derivado de la extensión de archivo específico .KRAB colocado al final de todos los archivos dañados. Luego del cifrado, este nuevo GANDCRAB V4 arroja una nota de rescate para instruir a las víctimas sobre cómo pagar la clave única de descifrado que recuperará los archivos .KRAB. Al llegar al final del artículo, sabrá cómo eliminar la amenaza y encontrará algunos métodos alternativos de recuperación de datos que pueden ayudarlo a restaurar archivos .KRAB sin pagar el rescate.



Nombre: .KRAB Files Virus

Tipo: Ransomware, Cryptovirus

Breve descripción: Versión 4 de la familia del virus del rescate de GandCrab. cifra sus archivos y le pide que pague un rescate por una clave de recuperación única.

Síntomas: Los archivos cifrados se renombran con la extensión .KRAB. Permanecen inutilizables hasta que se utiliza una solución de recuperación eficiente. Se deja caer una nota de rescate, llamada CRAB-DECRYPT.txt en su PC.

Método de distribución: Correo electrónico no deseado, archivos adjuntos de correo electrónico

Herramienta de detección: Consulte si su sistema ha sido afectado por Virus .KRAB Files

Este producto escanea los sectores de unidades para recuperar los archivos perdidos y es posible que no recupere el 100% de los archivos cifrados, pero solo unos pocos, dependiendo de la situación y de si ha reformateado la unidad.:

https://sensorstechforum.com/stellar-phoenix-windows-data-recovery-software-review/

Saludos.

Introducción: extracción de datos de contraseña de usuario con Mimikatz DCSync:

Mimikatz proporciona una variedad de formas para extraer y manipular credenciales, pero probablemente una de las formas más útiles y atemorizantes sea utilizar el comando DCSync. Este ataque simula el comportamiento de un controlador de dominio y le pide a otros controladores de dominio que repliquen información utilizando el Protocolo remoto de servicio de replicación de directorios (MS-DRSR). Básicamente, le permite pretender ser un controlador de dominio y solicitar datos de contraseña de usuario. Lo que es más importante, esto se puede hacer sin ejecutar ningún código en un controlador de dominio, a diferencia de las otras formas en que Mimikatz extraerá los datos de contraseña. Esto puede ser utilizado por los atacantes para obtener el hash NTLM de cualquier cuenta, incluida la cuenta KRBTGT, que permite a los atacantes crear Boletos Dorados. La parte más difícil de este ataque es que aprovecha una función válida y necesaria de Active Directory, por lo que no se puede desactivar o deshabilitar.

¿Quién puede realizar un ataque DCSync?
Realizar una DCSync es bastante simple. El único requisito previo para preocuparse es que tenga una cuenta con derechos para realizar la replicación del dominio. Esto está controlado por los permisos de Replicación de cambios establecidos en el dominio. Tener el permiso Duplicar cambios y Duplicar cambios en el directorio le permitirá realizar este ataque.



De forma predeterminada, esto se limita a los grupos Administradores de dominio, Administradores de empresa, Administradores y Controladores de dominio. Si desea buscar rápidamente a cualquier usuario que pueda realizar el ataque DCSync fuera de estos permisos predeterminados, la siguiente secuencia de comandos lo ayudará. Esto enumerará todos los permisos de dominio para cualquier dominio y encontrará todos los permisos otorgados con un RID superior a 1000, que excluirá todos los permisos predeterminados.



Running this will output an entry for each permission given to a user or group who probably shouldn't be there:



Más información: https://blog.stealthbits.com/extracting-user-password-data-with-mimikatz-dcsync/

Saludos.

En este video demuestran la posibilidad de reutilizar una shellcode existente y así bypasear el antivirus (en concreto Windows Defender):

[youtube=640,360]https://youtu.be/dRkQiANI138[/youtube]

Saludos.

Firejail es una herramienta fácil de usar, que nos permite realizar una especie de jaula con aplicaciones, especialmente útil para navegadores, clientes de correo electrónico, etc.

Instalación

$ sudo pacman -Syu firejail

Para que el funcionamiento de la herramienta sea óptimo debemos utilizar un kernel con el user-namespaces habilitado. En el caso de Arch, se recomienda utilizar en conjunción con el kernel linux-grsec, que lleva los parches grsecurity y habilitada esta opción o el kernel linux-usernd (disponible en el AUR).


Además, podemos añadir los siguientes paquetes (del AUR), con utilidades y perfiles predefinidos:

$ yaourt -S firetools firejail-profiles firejail-extras firectl

Existen diferentes formas de lanzar firejail:

Linea de comandos

$ firejail nombre_aplicación

Desde los menus

En este caso hay que modificar el .desktop asociado. Por orden de preferencia, sería:
   ~/.local/share/applications/aplicacion.desktop

     /usr/local/share/applications/aplicacion.desktop

    /usr/share/applications/aplicacion.desktop

Añadiremos en el fichero deseado firejail en la cláusala "Exec".

Si solo queremos que lo use el usuario actual, editaríamos/crearíamos el primero.

Si lo queremos por defecto para todos los usuarios, el segundo.
El tercero corresponde al paquete, por lo que se sobreescribe en cada actualización y, en todo caso, lo usaremos como plantilla para crear los .desktop de la primera y segunda opción.

Si se tratase de una aplicación que queremos que se ejecute en el inicio, el .desktop quedará ubicado en:

~/.config/autostart/

Entre las opciones disponibles para ejecutar firejail, disponemos de dos interesantes:

firejail –seccomp aplicación

Con la opción seccomp añadimos seguridad adicional.

firejail –seccomp –private aplicación

Con la opción private, no monta dentro del contenedor ningún directorio del usuario, muy útil para, por ejemplo, navegar por sitios "peligrosos" sin correr riesgos. Una vez se cierra la aplicación, no quedan "rastros" en el disco.

Según la aplicación a ejecutar, se usará un perfil predefinido que indica qué se debe añadir al contenedor para que funcione correctamente. En el caso de no existir un perfil para la misma, se utiliza uno genérico. Es por ello que hemos instalado los paquetes firejail-profiles y firejail-extras.

Veamos un ejemplo con firefox:

Si queremos ejecutarlo desde la línea de comandos, usaremos:

$ firejail firefox

Se lanzará con su perfil (todos los perfiles disponibles los tenemos en /etc/firejail/).

Bien, si queremos que no haya ningún cambio en disco, es decir, que sea totalmente transparente su ejecución, usaremos:

$ firejail –seccomp –private firefox

Sin embargo, esto es engorroso, si queremos utilizar por defecto firejail. Pare ello disponemos de varias opciones:

– Crear un enlace simbólico: 

ln -s /usr/bin/firejail /usr/local/bin/firefox

De esta forma, cada vez que lancemos firefox, lo hará con firejail. Esto funciona siempre que no se utilicen rutas absolutas y el path /usr/local/bin tenga preferencia o esté en la variable PATH (por defecto, para los usuarios es así).

Una herramienta que nos facilita la creación de estos enlaces es firecfg.

Sin embargo, es posible que queramos ejecutar con la opción –seccomp. Bien, para ello, podemos crear un pequeño scritp en bash. Siguiendo el ejemplo, creamos el fichero /usr/local/bin/firefox, con el siguiente contenido.

firejail –seccomp /usr/bin/firefox $@

y le damos permisos de ejecución:

sudo chmod +x /usr/bin/firefox

De esta manera, podemos añadir las opciones personalizas que deseemos.

– Modificar los .desktop:

Si lanzamos la aplicación desde el menú del escritorio en el que nos encontremos, probablemente, no se ejecutará enjaulado. El motivo es que porque se suele utilizar la ruta completa, con lo que el paso anterior es ignorado. Parar evitar problemas, eliminamos los enlaces simbólicos anteriores antes de utilizar este médoto. Siguiendo el ejemplo anterior, vamos a hacer lo siguiente:

sudo mkdir -p /usr/local/share/applications/

sudo cp /usr/share/applications/firefox.desktop /usr/local/share/applications/

Si solo lo queremos disponible para nuestro usuario:

cp /usr/share/applications/firefox.desktop ~/share/applications/

Ahora editamos el fichero y buscamos todas las ocurrencias de "Exec", cambiando el contenido por:

Exec=firejail –seccomp firefox %u

Con esto estaría todo lo necesario para aplicaciones, pero... ¿y para daemons? Bueno, dado que estamos utilizando systemd, deberemos modificar la unidad correspondiente. Para evitar que sea sobreescrita, realizarmos lo siguiente:

sudo mkdir /usr/lib/systemd/system/unidad_a_sobreescribir.service.d

Y crearemos un fichero dentro de ese directorio, con la configuración nueva, con la extensión conf (por ejemplo firejail.conf):

[Service]

ExecStart=

ExecStart=firejail –seccomp binario

Sustituyendo "binario" por el contenido del ExecStart original, disponible en /usr/lib/systemd/system/unidad_a_sobreescribir.service.

Es importante la opción "ExecStart=" ya que, de no ponerla, se ejecutarán la original y la sobreescrita.

De esta forma, aunque reinstalemos el paquete afectado, esta configuración no se perderá.

Hecho esto, debemos recargar la lista de daemons:

sudo systemctl daemon-reload

Y ya podemos lanzar el servicio en cuestión.

Ahora ya sabemos cómo lanzar las aplicaciones con firejail. Toca ver cómo monitorizarlas. Es por ello que instalamos firetools.

Si lanzamos firetools, veremos que se nos abre una especie de dock, con varios iconos. Son lanzadores de aplicaciones con perfil de firejail, detectadas en nuestro sistema. Por supuesto, estos lanzadores podemos editarlos y añadir opciones personalizadas.

En cualquier caso, la utilidad real se encuentra pulsando sobre "Firetools". Se nos abrirá una ventana donde podemos ver una lista de aplicacicones enjauladas, su árbol de procesos, podremos navegar por su sistema de ficheros, etc. Sin duda, una utilidad bastante interesante si vamos a usar esta herramienta de sandboxing.





Más información: https://firejail.wordpress.com/documentation-2/firefox-guide/

Saludos.

Análisis de seguridad de la capa dos:

Nuestro análisis de seguridad del estándar de comunicación móvil LTE (Long-Term Evolution, también conocido como 4G) en la capa de enlace de datos (denominada capa dos) ha descubierto tres nuevos vectores de ataque que permiten diferentes ataques contra el protocolo. Por un lado, presentamos dos ataques pasivos que demuestran un ataque de mapeo de identidad y un método para realizar huellas dactilares en el sitio web. Por otro lado, presentamos un ataque criptográfico activo llamado ataque LTEr que permite a un atacante redirigir las conexiones de red realizando la suplantación DNS debido a una falla de especificación en el estándar LTE. A continuación, proporcionamos una descripción general de la huella dactilar del sitio web y el ataque aLTE, y explicamos cómo los realizamos en nuestra configuración de laboratorio. Nuestro trabajo aparecerá en el Simposio IEEE 2019 sobre Seguridad y Privacidad y todos los detalles están disponibles en una versión previa a la impresión del documento.

https://alter-attack.net/#paper

Consecuencias
¿Qué tan prácticos son los ataques? Realizamos los ataques en una configuración experimental en nuestro laboratorio que depende de un hardware especial y un entorno controlado. Estos requisitos son, por el momento, difíciles de cumplir en redes LTE reales. Sin embargo, con un poco de esfuerzo de ingeniería, nuestros ataques también pueden realizarse en la naturaleza.
¿Que puede pasar? Presentamos tres ataques individuales: para mapear identidades de usuario en la celda de radio (ver el artículo para más detalles), para saber a qué sitios web accedió un usuario y para realizar un ataque de alteración (por ejemplo, en tráfico DNS) que se puede usar para redireccionar y secuestro de conexiones de red.
¿Me puede pasar esto a mí? En teoría sí, pero espera que el esfuerzo sea alto. Las víctimas más probables de tales ataques dirigidos en la práctica son personas de especial interés (por ejemplo, políticos, periodistas, etc.).
¿Quién sabe sobre los ataques? Informamos a instituciones relevantes tales como la Asociación GSM (GSMA), el Proyecto de Asociación de Tercera Generación (3GPP) y las compañías telefónicas en un proceso de revelación responsable antes de publicar este trabajo.

Más información: https://alter-attack.net/

Saludos.

El malware sin archivos aprovecha exploits para ejecutar comandos maliciosos o ejecutar scripts directamente desde la memoria utilizando herramientas legítimas del sistema como Windows Powershell. Code Red y SQL Slammer fueron los pioneros del malware sin archivos que datan de principios de la década de 2000. Actualmente, este tipo de malware está aumentando una vez más.



La charla de la ciudad durante la primera mitad del año en la comunidad de Seguridad Cibernética es el término ataque "sin archivos". Es una técnica de ataque que no requiere descargar ni arrojar archivos maliciosos al sistema para ejecutar su comportamiento malicioso, sino que aprovecha los exploits para ejecutar comandos maliciosos o ejecutar scripts directamente desde la memoria a través de herramientas legítimas del sistema. De hecho, ataques como los gusanos Code Red y SQL Slammer a principios de la década de 2000 no se guardan en ningún disco sino que almacenan su código malicioso únicamente en la memoria.

Sin embargo, el término "sin archivos" también puede ser un nombre inapropiado ya que existen ataques que pueden implicar la presencia de archivos en la computadora, como la apertura de archivos adjuntos de correos electrónicos no deseados. Una vez ejecutado, aún puede guardar un archivo en el disco y luego usar técnicas sin archivos para reunir información en el sistema y propagar la infección a través de la red. Estas técnicas pueden ser en forma de exploits e inyecciones de código para ejecutar código malicioso directamente en la memoria, almacenar scripts en el registro y ejecutar comandos a través de herramientas legítimas. Solo en 2017, el 13% del malware recopilado utiliza PowerShell para comprometer el sistema.
Las herramientas legítimas del sistema como PowerShell e Instrumental de administración de Windows están siendo objeto de abuso por actividades maliciosas, ya que estas son todas las herramientas integradas que se ejecutan en el sistema operativo Windows. Una familia de malware conocida que usa PowerShell para descargar y ejecutar archivos maliciosos es el descargador de Emotet.
Incluso hay malwares antiguos que cambiaron su técnica y ahora usan ataques sin archivos. Estos malwares pretenden ser más efectivos en términos de infectar máquinas y evitar la detección como Rozena.
Rozena es un programa malicioso de puerta trasera capaz de abrir una conexión de shell remota que conduce al autor del malware. Una conexión exitosa con el autor del malware genera numerosas preocupaciones de seguridad no solo para la máquina afectada, sino también para otras computadoras conectadas en su red.
Esto se vio por primera vez en 2015 y reapareció en marzo de 2018. El viejo y nuevo malware Rozena todavía se dirige a los sistemas operativos Microsoft Windows, pero lo que marcó la diferencia es la nueva adaptación a la técnica sin archivos que utiliza scripts de PowerShell para ejecutar su intención maliciosa. . Una encuesta realizada por Barkly y el Ponemon Institute, que encuestó a 665 líderes de TI y seguridad, descubrió que los ataques sin archivos tienen una probabilidad 10 veces mayor de tener éxito que los ataques basados ​​en archivos. Esta podría ser la razón probable por la que los autores de malware siguen el camino sin archivos.

Más información: https://www.gdatasoftware.com/blog/2018/06/30862-fileless-malware-rozena

El malware denominado OSX.Dummy utiliza un método de infección poco sofisticado, pero los usuarios que son atacados con éxito abren sus sistemas hasta la ejecución de código remota. Este malware tiene como objetivo ususarios que utilizan criptomonedas y que, además, utilizan plataformas como Slack y Discord. El investigador y experto en ciberseguridad Patrick Wardle comentó que el malware tiene privilegios de root, por lo que cuando éste conecta con el C2, se tiene un entorno privilegiado.

También comentó Wardle que se han visto varios ataques de malware en macOS que se originan en grupos de chats de Slack o Discord. Los atacantes seducen a los usuarios para que ejecuten un script que a su vez descarga el malware de 34 MB OSX.Dummy a través de cURL. La descarga se guarda en el directorio de macOS /tmp/script y luego se ejecuta. El archivo es un gran binario de 34 MB, el cual tiene 0 de 60 en VirusTotal. El script solía engañar a las víctimas para descargar el OSX.Dummy. El binario no está firmado, indica Wardle, agregando que el malware puede eludir Gatekeeper. Es curioso que este binario sería bloqueado por Gatekeeper, pero al ser un binario descargado y ejecutado desde la terminal de comandos, Gatekeeper no entra en juego, por lo que se permite ejecutar el software sin firmar.



A medida que se ejecuta el código binario, se hace uso de sudo, por lo que se necesita que el usuario introduzca sus credenciales en el terminal. A partir de ahí, el malware arroja código en varios directorios macOS, incluido /Library/LaunchDaemons/com.startup.plist, lo cual le proporciona a OSX.Dummy la persistencia. El script bash intenta conectarse a una dirección IP, la cual es 185.243.115.230 al puerto 1337. Wardle señala que si el ataque tiene éxito y el malware puede conectarse al C2, el atacante puede tomar el control del sistema objetivo.

Más información: https://threatpost.com/macos-malware-targets-crypto-community-on-slack-discord/133254/

Saludos.