[SOLUCIONADO] Paquete Canvas filtrado en VitusTotal

Hola que tal banda,les cuento estaba en la cama a punto de descansar y como ritual antes de dormir miro las noticias de ciberseguridad y me encontre con un noticion ,se filtro una base de canvas en la plataforma virustotal con unos 800 hermosos exploit,canvas es un marco como msf pero de pago y segun lei mucho mejor,no he podido encontrar mas informacion y por eso pregunto alguien sabe algo mas del tema.Lo que yo sepa los mantendre informado

Hasta donde sé, es que han sacado una versión que incluye un exploit, dentro de su kit de pentesting, para explotar  y constatar la vulnerabilidad de Spectre.

Es una compañía que se dedica a comprar exploit, o a realizarlos, para comercializar sus kit´s en aras de la seguridad informática.
En muchas ocasiones, es una estrategia de publicidad, el "crear ruido" y llamar la atención con filtraciones, sobre la compañía y vender sus productos.

Es una estrategia de marketing muy empleada en el mundo de la seguridad informática, ya sea en hardware / software, así como en servicios. Incluso, ellos mismos crean la fuga, para regar la voz en los Foros o medios noticiosos.

Bueno, he indagado  en esta información.

Resulta que la "supuesta" fuga es de diciembre 2020.

Y no se está compartiendo, sino se está vendiendo una de las versiones que no era la definitiva, al fin y al cabo, y en algunos Foros norteamericanos (dicen algunos de sus integrantes), y uno israelita (supuestamente).

"Los exploits in-the-wild vinculados se cargaron en VirusTotal el mes pasado como parte de un paquete más grande" **

Fíjense en el detalle "de testeo", que es una archiconocida técnica de marketing, comparada a la de los supermercados, que dan a probar una ración o porción de un producto.

Se me queda el sabor a publicidad (compartida y en complicidad incluso), como le expliqué, que muchas veces las propias compañías crean (y hasta pagan) por una "supuesta fuga" de uno de sus productos insignia, para ganar el estrellato y publicidad que atraiga a nuevos clientes.

Otro detalle: las principales compañías que se dedican a la ciberseguridad y sus servicios, líderes a nivel mundial, ni tan siquiera alertan sobre el asunto (kit profesional de pentesting en manos profanas) para tomar medidas preventivas y de mitigación.

Un asunto como este a una compañía la puede hacer quebrar por demandas e irresponsabilidad.
Si se dijera, que fue un kit hecho por un hacker y lo compartió, o libremente lo está vendiendo.
No; es una compañía que tiene el pentesting y sus herramientas como negocio. Ese aspecto tiene serias implicaciones.


Es mi opinión y experiencia.

**
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Pues escéptico... me disculpo por el sentimiento.

Pero sí, al parecer es una versión funcional... y la están compartiendo gratis (y vendida también).

Me gustaría darle un cierre apropiado a la solicitud y pedido, de este kit de pentesting, interesantísimo, pues trae sus propios exploit creados por la compañía.

El asunto es que, cuando este tipo de herramientas se filtran hay que "pillarlas al vuelo", porque una vez que pasa de mano en mano es un riesgo enorme, dada la naturaleza de la propia herramienta, que es muy difícil ver si trae compromisos serios de seguridad en su uso. Dicho en otras palabras, puede costarle "carísimo".

Buscándolo, ya tarde, pues no me enteré de la filtración hasta las noticias, y me mostré escéptico (he tenido experiencias previas), me topo con que el admin del Foro "No tienes permitido ver los links. Registrarse o Entrar a mi cuenta", lo sube y comparte.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Este es un hacker que le asiste cierta trayectoria y reputación, por lo que me animé a descargarlo. Como él mismo declara, lo obtiene de RaidForums.

Al descargarlo me percato de que el zip tiene clave.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Y él no la pone. Por lo que se deduce que no lo probó, sino se hubiera percatado del detalle al poner el link... cierto?

Busco en la fuente "RaidForums", donde tuve que abrirme una cuenta.

Aquí destaco, para los intrépidos, que existen distintos tipos de Foros dadas sus intenciones o visión creadora (así como riesgos).

Por ejemplo:

-Nuestro Foro está enfocado "al conocimiento", en la mayoría de sus apartados, a excepción del de pedidos y dudas generales.
-El Foro de "No tienes permitido ver los links. Registrarse o Entrar a mi cuenta" (así como muchos otros) su principal misión está en responder interrogantes, dudas, etc., en todos sus apartados, no quita que aparezca un post dedicado a exponer un trabajo, herramienta, o forma de hacer novedosa; o se entremezclen.
-Y "RaidForums"... tiene cierto enfoque mercantilista, en el cual se vende y compra "básicamente", y así giran los intereses. Muy polémico, como se verá.

Me encuentro con que el post que comparte el Immunity Canvas 7.26 ya está cerrado, así como caído sus links (ver imagen: #1).

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El hacker que lo comparte, llevaba cierta trayectoria en el Foro, al parecer obtiene de primera mano la fuga del Immunity Canvas.

Es versado y sabe de lo que habla. Asiste en los problemas que se les presenta a los usuarios: con las dependencias, versión de python, etc.

Pero se complica con un trato de negocios, en el cual le pagan por una herramienta de geolocalización de números de móviles, que aún no estaba terminada; pasa el tiempo, y el cliente no obtiene lo que pagó; da la impresión que "deseaba zafarse" estando ya el dinero de su lado, y viene un reclamo de estafa en el Foro, que fue donde se realizaron los acuerdos, con la exposición de la evidencia. El hacker sale en su defensa, alegando razones e intenciones opuestas y, "el final del culebrón" es que, el staff lo banea permanentemente (ver imagen: #2), debido a que, al fin y al cabo, no cumplió con sus obligaciones. Orgulloso, soberbio y dolido, elimina todos los links de las herramientas que había compartido, entre los cuales se encontraba el Canvas.

Él cuando comparte el Canvas, en un punto cambia el Link de descarga y el zip con clave, al parecer en ese hilo fue que "el-brujo" admin y propietario de"No tienes permitido ver los links. Registrarse o Entrar a mi cuenta", lo copia y descarga.

Se abre otro post con igual intensión:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Y con idéntico resultado: links caídos.

Uno con pinta de pillo, en las respuestas, sugiere la herramienta compartida por el GitHub:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Y un usuario, que es "gato redondo", como la mayoría de los que por allí deambulan, destaca el riesgo de estar copiando de fuentes desconocidas y aleatorias, por las "sorpresitas" que implican.

Y con ese pensamiento le pongo fin al tema (e investigación), para aquellos que desean y se animan a la aventura de obtener el kit.

Por favor, no obvien los riesgos ni se regalen.

Como diría mi gato:

"desconfíen primero... y desconfíen después,
que nunca el desconfiar fue delito"