Menú

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Temas - Gabriela

Páginas 1 2 3 4 ... 6
#41
Debates, Reviews y Opiniones / [WP] Wireless. Resumen
Enero 22, 2017, 11:28:34 PM

El tema del día de hoy en el grupo de Whatsapp es: Wireless

Como cada día, podéis dejar en este post aportes, documentación, reflexiones/cuestionamientos referidos al tema, dudas, etc.

Saludos
Gabriela


Nuevamente hoy, gracias a la colaboración de @No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, podemos resumir lo que encontrareis en este post sobre el tema.

-Conceptos básicos y teóricos de Redes Wireless. Routers.
-Un ejemplo de ataque a una red WiFi
-Una visión para la protección de la  red Wireless

Saludos
Gabriela
#42
Debates, Reviews y Opiniones / [WP] SQLi || XSS. Resumen
Enero 22, 2017, 02:36:53 PM

El tema del día de hoy en el grupo de Whatsapp es: SQLi || XSS
Podéis dejar aportes o documentación en este post.

Saludos
Gabriela



Resumen. Gracias a los aportes de @No tienes permitido ver los links. Registrarse o Entrar a mi cuenta  podemos sintetizar que en este post encontrarás:

-Un marco teórico mínimo de los ataques SQLi y algunos ejemplos prácticos.
-Funcionamiento y vulnerabilidad de SQLi.

-Ataque XSS. Conceptos teóricos: qué y cómo funcionan. Consejos para evitarlos o mitigarlos.

-Documentación.

#43
Debates, Reviews y Opiniones / [WP] Anonimato en la red. Resumen
Enero 21, 2017, 12:10:40 AM

El tema del día de hoy en el grupo de Whatsapp es: Anonimato.
Es un tema muy interesante, no solo por la privacidad sino que el hacking se implica directamente con él, aún sabiendo que el anonimato 100 por 100 no existe; podemos potenciarlo.

Os animo a participar en el debate y dejar vuestros aportes.
Si hay movimiento, al final del día, hago una síntesis de lo que se postee aquí.

Saludos

Gabriela



Resumen: A lo largo de este post podréis encontrar:

Reflexión. Anonimato: sinónimo de "sin identidad ni lugar".

Herramientas:

-Red TOR: Configuración y uso.

-Whonix:  Sistema Operativo virtualizado que permite aislar el sistema donde el user trabaja. Características e instalación.

-I2P (Invisible Internet Project): Proyecto para construir y mantener una red de comunicación segura y anónima, en la que todos los datos se envuelven en varias capas de cifrado. Características, instalación y configuración.

-Sugerencias, diferencias y prácticas para el anonimato: Proxys Tunel SSH, Red TOR, ORBot (Android), Privoxy, I2P (Invisible Internet Project), VPN.

Gracias a los que aportaron!!! :)

Saludos,
Gabriela


#44
Debates, Reviews y Opiniones / [WP] Antenas
Enero 19, 2017, 01:42:41 AM

El tema del debate de hoy, en el grupo de WhatsApp ,es Antenas!

En este post podéis compartir opiniones, documentación, dudas, y hasta ideas de antenas caseras que es  muy interesante.
Al final del día, si hay aportes, haré un resumen aquí.

Saludos

Gabriela
#45
Debates, Reviews y Opiniones / [WP] ASM (Ensamblador o Assembler). Resumen
Enero 17, 2017, 12:51:39 AM

El tema del día de hoy es el lenguaje de programación ASM (ensamblador o assembler). Al finalizar el día, haremos un resumen de todo lo que se haya posteado en el foro. 



Reseña del Lenguaje Ensamblador:


El lenguaje ensamblador, o assembler (en inglés assembly language y la abreviación asm), es un lenguaje de programación de bajo nivel. Consiste en un conjunto de mnemónicos que representan instrucciones básicas para los computadores, microprocesadores, microcontroladores y otros circuitos integrados programables. Implementa una representación simbólica de los códigos de máquina binarios y otras constantes necesarias para programar una arquitectura de procesador y constituye la representación más directa del código máquina específico para cada arquitectura legible por un programador.

Cada arquitectura de procesador tiene su propio lenguaje ensamblador que usualmente es definida por el fabricante de hardware, y está basada en los mnemónicos que simbolizan los pasos de procesamiento (las instrucciones), los registros del procesador, las posiciones de memoria y otras características del lenguaje. Un lenguaje ensamblador es por lo tanto específico de cierta arquitectura de computador física (o virtual).
Un programa utilitario llamado ensamblador es usado para traducir sentencias del lenguaje ensamblador al código de máquina del computador objetivo.

El ensamblador realiza una traducción más o menos isomorfa (un mapeo de uno a uno) desde las sentencias mnemónicas a las instrucciones y datos de máquina. Esto está en contraste con los lenguajes de alto nivel, en los cuales una sola declaración generalmente da lugar a muchas instrucciones de máquina.

Muchos sofisticados ensambladores ofrecen mecanismos adicionales para facilitar el desarrollo del programa, controlar el proceso de ensamblaje, y la ayuda de depuración. Particularmente, la mayoría de los ensambladores modernos incluyen una facilidad de macro (descrita más abajo), y se llaman macro ensambladores.

Fue usado principalmente en los inicios del desarrollo de software, cuando aún no se contaba con potentes lenguajes de alto nivel y los recursos eran limitados. Actualmente se utiliza con frecuencia en ambientes académicos y de investigación, especialmente cuando se requiere la manipulación directa de hardware, alto rendimiento, o un uso de recursos controlado y reducido.

También es utilizado en el desarrollo de controladores de dispositivo (en inglés, device drivers) y en el desarrollo de sistemas operativos, debido a la necesidad del acceso directo a las instrucciones de la máquina. Muchos dispositivos programables (como los microcontroladores) aún cuentan con el ensamblador como la única manera de ser manipulados.

Características de Assembler:


- El código escrito en lenguaje ensamblador posee una cierta dificultad de ser entendido ya que su estructura se acerca al lenguaje máquina, es decir, es un lenguaje de bajo nivel.

- El lenguaje ensamblador es difícilmente portable, es decir, un código escrito para un microprocesador, puede necesitar ser modificado, para poder ser usado en otra máquina distinta. Al cambiar a una máquina con arquitectura diferente, generalmente es necesario reescribirlo completamente.

- Los programas hechos por un programador experto en lenguaje ensamblador son generalmente mucho más rápidos y consumen menos recursos del sistema (memoria RAM y ROM) que el programa equivalente compilado desde un lenguaje de alto nivel. Al programar cuidadosamente en lenguaje ensamblador se pueden crear programas que se ejecutan más rápidamente y ocupan menos espacio que con lenguajes de alto nivel.

- Con el lenguaje ensamblador se tiene un control muy preciso de las tareas realizadas por un microprocesador por lo que se pueden crear segmentos de código difíciles y/o muy ineficientes de programar en un lenguaje de alto nivel, ya que, entre otras cosas, en el lenguaje ensamblador se dispone de instrucciones del CPU que generalmente no están disponibles en los lenguajes de alto nivel.

- También se puede controlar el tiempo en que tarda una rutina en ejecutarse, e impedir que se interrumpa durante su ejecución.


Fuente de la información: Wikipedia


Documentación:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta



Gracias a los que participaron en el post: @No tienes permitido ver los links. Registrarse o Entrar a mi cuenta (arregla en link que dejaste); @No tienes permitido ver los links. Registrarse o Entrar a mi cuenta ; @No tienes permitido ver los links. Registrarse o Entrar a mi cuenta ; aportando información y/o documentación.

Saludos!

Gabriela
#46
Underc0de / Grupo de WhatsApp de Underc0de
Diciembre 30, 2016, 02:51:54 PM

Hemos creado un grupo de WhatsApp con la finalidad de conocernos mejor, compartir novedades de seguridad y hacer nuevas amistades.

Las reglas para permanecer en el grupo son las siguientes:

- No insultar ni faltar el respeto
- No hacer comentarios políticos
- No hacer comentarios religiosos ni otros que impliquen discriminaciones raciales, sexo, nacionalidad, o cualquier tipo de acoso moral.
- No plantear dudas, consultas o preguntas técnicas. Para eso tenemos la Sección de Dudas Generales en el foro.
- No hacer Spam de otros sitios
- No es para publicar compra/ventas

El incumplimiento de estas reglas provocará la expulsión del grupo.

Para poder ingresar, solo basta como acceder al siguiente link:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#47
Off Topic / Tiempo de fiestas y 2017
Diciembre 24, 2016, 01:02:24 PM

Finaliza un ciclo.
Tiempos de cierre, celebraciones, compartir con amigos y familia.

La Comunidad de Underc0de les agradece toda la participación y acompañamiento en este calendario que se agota, deseándoles alegría en estas fiestas y  un estupendo 2017!!!

Planes, proyectos, sueños y deseos, se concreten con los mejores éxitos en el año nuevo a comenzar.

Un brindis para y con todos.  :)



#48
Análisis y desarrollo de malwares / Exploit Kit Stegano se esconde en publicidad maliciosa. Análisis
Diciembre 12, 2016, 12:21:45 AM

En un extensa, detallada y profunda investigación, los amigos de WeLiveSecurity, plantean   el análisis del exploit kit Stegano. Por una parte, diseccionan paso a paso el malware y por otra despejan todo el montaje de una muy prolija ingeniería social, basada fundamentalmente, en la esteganografía para los procesos de infección.

Sobre el malware, comentar su  particularizado comportamiento si detecta  (o no) entornos controlados , monitoreos, entre otras cosas; inhibiéndose en el primer caso. La cabeza del equipo  creador tuvo presente que ese tipo de escenarios son los usados por los analistas de malware y en consecuencia, vendrá luego las soluciones de seguridad que menoscaban en gran parte la propagación de la infección. Sin omitir decir hasta el estudio de mercado o países para colar el malware.

La propia autoprotección del atacante en las diversas fases de la infección es otro punto a destacar.  Se indica que: "Una variante anterior de este escurridizo exploit kit se ha estado ocultando ante los ojos de todos por lo menos desde 2014". No es poca cosa que lleve casi tres años sobreviviendo a expertos y soluciones de seguridad, aún con variantes.

Se me podrá decir que esto es ciberdelincuencia, y entiendo que lo es; pero no obsta a reconocer los méritos de programación y montaje admirables. Algo que nos aleja de las actividades  de simple delincuentes haciendo uso de tools o picando código ajeno. La diferencia, en mi opinión, es notoria; más allá de mi incontrolable  fascinación por el estudio del malware en sí y sus modos de propagación.

Por último señalar y en relación a la ingeniería social,  el cuidado en el diseño de la estrategia, alejándose de lo burdo y notorio que hasta un user común puede advertirlo. Desde mi perspectiva, en un buen ejemplo de la vigencia de la herramienta por excelencia del hacking, del saber hacer del malware y sus técnicas de infección.



Millones de usuarios que visitaron conocidos sitios web de noticias han sido atacados por una serie de anuncios publicitarios maliciosos que redirigían a un exploit kit que busca aprovecharse de diversas vulnerabilidades en Flash. Por lo menos desde comienzos de octubre, los usuarios se han encontrado con anuncios que promocionaban aplicaciones que se llamaban a sí mismas "Browser Defence y "Broxu", utilizando banners similares a estos:



Estos anuncios fueron alojados en un dominio remoto con las URL No tienes permitido ver los links. Registrarse o Entrar a mi cuenta y No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Sin que sea necesaria la interacción del usuario, el script inicial reporta información sobre el equipo de la víctima al servidor remoto del atacante. Luego, basándose en una lógica del lado del servidor, se le presenta a la víctima ya sea una imagen "limpia" o su casi imperceptible y modificado gemelo malvado.

La versión maliciosa de la imagen tiene un script cifrado en su alpha channel, que define la transparencia de cada pixel. Dado que la modificación es pequeña, el tono de la imagen es apenas diferente al de la versión limpia.


Utilizando la conocida vulnerabilidad de Internet Explorer CVE-2016-0162, el script cifrado intenta verificar si no está siendo ejecutado en un entorno monitoreado como por ejemplo el equipo de un analista de malware.

Si el script no detecta ninguna señal de monitoreo, redirige a la landing page del exploit kit Stegano, a través del servicio TinyURL. Esta página carga un archivo Flash que permite explotar tres vulnerabilidades diferentes (CVE-2015-8651, CVE-2016-1019, CVE-2016-4117), dependiendo de la versión de Flash que se encuentre en el sistema de la víctima.


Luego de la explotación exitosa, el shell code ejecutado recolecta información de los productos de seguridad instalados y realiza otro chequeo para verificar que no está siendo monitoreado. Si los resultados son favorables, intentará descargar desde el mismo servidor el payload cifrado "disfrazado" de una imagen GIF.

El payload es luego descifrado y ejecutado a través de regsvr32.exe o rundll32.exe. Los payloads  detectados hasta el momento incluyen backdoors, troyanos bancarios, spyware, ladrones de archivos y varios trojan downloaders.


Análisis técnico del exploit kit Stegano

Una variante anterior de este escurridizo exploit kit se ha estado ocultando ante los ojos de todos por lo menos desde 2014, cuando fue advertido atacando consumidores holandeses. En 2015 los atacantes se focalizaron en la República Checa y ahora han cambiado su foco hacia Canadá, Reino Unido, Australia, España e Italia.

En campañas anteriores, en un esfuerzo por enmascararse como un anuncio publicitario, el exploit kit utilizaba nombres de dominios que comenzaban con "ads*." y nombres de URL que contuvieran watch.flv, media.flv, delivery.flv, player.flv, o mediaplayer.flv.

En la presente campaña, los atacantes han mejorado sus tácticas de manera significativa. Al parecer, el hecho de que Stegano esté apuntado a países específicos es el resultado de la posibilidad de aprovecharse de redes publicitarias que tuvieron los atacantes.

Podemos decir que incluso los exploits kits más importantes, como Angler y Neutrino, han sido superados por Stegano en términos de referencias, esto es, sitios web en los que han logrado instalar los banners maliciosos. Hemos observado dominios muy importantes, que incluyen sitios de noticias visitados por millones de personas por día, actuando como "referencias" que alojan estos anuncios.

Al llegar al espacio publicitario, el navegador muestra un banner ordinario al lector. Pero hay mucho más que una publicidad.


Publicidad esteganográfica

En la mayoría de los casos, el anuncio promocionaba un producto llamado "Browser Defence" y solo recientemente se ha detectado que aparecieron banners que promocionan el software "Broxu". De todas maneras, para mantenerlo simple y porque las campañas son prácticamente idénticas (aparte del banner y el dominio, por supuesto), solo la campaña de "Browser Defence" se analiza debajo.

Los anuncios estaban alojado en el dominio No tienes permitido ver los links. Registrarse o Entrar a mi cuenta con una estructura URI similar al siguiente (notar el https):
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


El index.html carga countly.min.js y le brinda los parámetros iniciales al script. Este countly, no es la librería de la plataforma open source de analítica web y mobile que podrías descargar de github. Es una versión totalmente modificada y ofuscada, con algunas partes eliminadas y con código agregado.

Este último es el responsable del chequeo del entorno inicial. La información ambiental es reportada al servidor como parámetros XOR cifrados del archivo gif 1×1, tal como se ve en la imagen anterior.

La siguiente información del entorno es enviada:   systemLocale^screenResolution^GMT offset^Date^userAgent^pixelRatio

Luego de eso, el script solicita el banner publicitario. El servidor responderá ya sea con una versión limpia o con una maliciosa, dependiendo principalmente del chequeo del entorno previo.

El script luego intentará cargar el banner y leer la estructura RGBA. Si una versión maliciosa de la imagen fuera recibida, ejecutará algunos Javascript y variables del alpha channel.

La esteganografía es implementada de la siguiente manera: dos valores alpha consecutivos representan los diez y unos de un character code, cifrado como una diferencia de 255 (el full alpha). Además, para hacer más difícil la detección del cambio, la diferencia es minimizada usando un offset de 32.

Por ejemplo, si los primeros alpha bytes contenían los valores 239, 253, 237, 243, 239, 237, 241, 239, 237, 245, 239, 247, 239, 235, 239 y 237, descifrarán la palabra "function". En este ejemplo, los primeros dos alpha values 239,253 nos dan una 'f':


Una mirada más de cerca a los banners limpios y a aquellos con el código Stegano muestra una sutil diferencia.

Imagen limpia||Imagen maliciosa||Imagen maliciosa creada para ilustrar la diferencia

El alpha channel de los pixels inutilizados están llenos de valores pseudoaleatorios, para hacer que el "ruido alpha" esté distribuido de manera pareja y sea más difícil de advertir.

Luego de una extracción exitosa, se chequea la integridad del código JS frente al hash cifrado al final de la imagen, para luego ser ejecutado.

Después de esto, el nuevo script intenta chequear el entorno del navegador y del equipo utilizando una conocida vulnerabilidad de Internet Explorer, CVE-2016-0162. En particular, está focalizado en revisar la presencia de captura de paquetes, sandboxing y software de virtualización, así como también varios productos de seguridad. Además revisa varios drivers gráficos y de seguridad para verificar si está siendo corrido en una máquina de verdad. Más detalles pueden ser encontrados en el Apéndice 1.

Si no hay ningún indicio de que exista un monitoreo, se crea un iframe (solo un pixel de tamaño) por fuera de la pantalla, y establece su propiedad No tienes permitido ver los links. Registrarse o Entrar a mi cuenta (este nombre será utilizado más adelante) y redirige a TinyURL vía https. TinyURL luego redirige a una landing page que contiene exploit, vía http. El referente al sitio original se pierde durante este proceso.


El exploit

Luego de la redirección exitosa, la landing page chequea el userAgent buscando a Internet Explorer, carga un archivo Flash y ajusta los parámetros FlashVars a través de un archivo JSON cifrado. La landing page, además, oficia como un intermediario para Flash y el servidor a través de ExternalInterface, y provee funciones básicas de cifrado y descifrado
.
El archive Flash contiene otro archive Flash embebido y, parecido al exploit kit Neutrino, viene con 3 exploits diferentes basados en la versión de Flash.

El archivo Flash del segundo estadío descifra el FlashVars, que contiene un archivo JSON con URI para el reporte de errores, nombres de función para ExternalInterface, el nombre de la función callback y algunos datos no utilizados:

Código: php
{"a":"\/e.gif?ts=1743526585&r=10&data=","b":"dUt","c":"hML","d":true,"x":"\/x.gif?ts=1743526585&r=70&data="}


Subsecuentemente, invoca un JS a través de No tienes permitido ver los links. Registrarse o Entrar a mi cuenta() que chequea la versión de Flash y se lo comunica al servidor vía la landing page. Esto es realizado a través de un parámetro URI cifrado de un pedido para un archivo GIF. El algoritmo de cifrado es simple, y utiliza el No tienes permitido ver los links. Registrarse o Entrar a mi cuenta del anuncio:


La respuesta es una imagen GIF de la cual los primeros bytes son descartados y el resto es descifrado usando el mismo algoritmo y luego pasado a Flash.


La respuesta es un JSON que contiene una letra que denota qué exploit utilizar (CVE-2015-8651, CVE-2016-1019 o CVE-2016-4117), una contraseña con el exploit correspondiente y un Shell code listo con el URI para el payload.


El shell code

El shell code es descifrado en la última etapa durante la fase de explotación. Intentará descargar un payload cifrado, el cual también está disfrazado como una imagen GIF. Pero antes, realiza otro chequeo en búsqueda de signos que pudieran sugerir que está siendo analizado.


Está particularmente interesado en la presencia de software que contenga los siguientes strings en su nombre de archivo:

-exe
-exe
-exe
-dll
-DLL
-exe
-exe
-exe
-exe
-exe
-exe
-exe
-eset*, kasper*, avast*, alwil*, panda*, nano a*, bitdef*, bullgu*, arcabi*, f-secu*, g data*, escan*, trustp*, avg*, sophos*, trend m*, mcafee*, lavaso*, immune*, clamav*, emsiso*, superanti*, avira*, vba32*, sunbel*, gfi so*, vipre*, microsoft sec*, microsoft ant*, norman*, ikarus*, fortin*, filsec*, k7 com*, ahnlab*, malwareby*, comodo*, symant*, norton*, agnitu*, drweb*, 360*, quick h

Si detecta algo sospechoso, no intentará descargar el payload.

El payload

Si el payload es recibido, los primeros 42 bytes del GIF son descartados, el resto es descifrado y guardado en un archivo, utilizando los siguientes métodos:

Código: php
CreateFile, WriteFile
CreateUrlCacheEntryA(*" http://google.com/",,,,), CreateFileA, CreateFileMappingA, MapViewOfFile, {loop of moving bytes}, FlushViewOfFile, UnmapViewOfFile


El payload es luego lanzado a través de regsvr32.exe o rundll32.exe.

Durante nuestra investigación, hemos visto los siguientes payloads descargados por el exploit kit Stegano:

Código: text
Win32/TrojanDownloader.Agent.CFH
Win32/TrojanDownloader.Dagozill.B
Win32/GenKryptik.KUM
Win32/Kryptik.DLIF


Luego de un análisis detallado de los Downloaders y Kryptiks (estos últimos son las detecciones de ESET de variantes ofuscadas), hemos encontrado que contenían o descargaban los códigos maliciosos Ursnif y Ramnit.

Ursnif tiene una multitud de módulos para robar credenciales de correo electrónico, contiene un backdoor, keylogger, hace capturas de pantalla, crea videos, inyecta código en Internet Explorer/Firefox/Chrome modificando el tráfico http, y puede robar archivos del equipo de la víctima.

De acuerdo a los archivos de configuración encontrados en las muestras analizadas, parecen estar apuntando al sector corporativo, focalizándose en servicios e instituciones de pago.

Ramnit es un infector de archivos que también ha estado apuntándole al sector bancario, utilizando sus variadas capacidades tales como la exfiltración de información, la creación de capturas de pantalla, ejecución de código y mucho más.


Conclusión


El exploit kit Stegano ha estado intentando pasar desapercibido por lo menos desde 2014. Sus autores han puesto bastante esfuerzo en implementar varias técnicas para alcanzar el ocultamiento.

En una de las campañas más recientes que detectamos, que pudimos rastrear hacia comienzos de octubre de 2016, los atacantes estuvieron distribuyendo el kit a través de banners publicitarios utilizando la esteganografía y realizando varios chequeos para confirmar que no estaban siendo monitoreados.

En caso de que la explotación fuera exitosa, los sistemas vulnerables de las víctimas han sido dejados expuestos a ser comprometidos a varios payloads maliciosos tales como backdoors, spyware y troyanos bancarios.

La explotación a través del kit Stegano, o por cualquier otro exploit kit conocido, puede ser evitada utilizando software actualizado y utilizando una solución de seguridad confiable.


Apéndice 1 – Strings explorados por el exploit kit Stegano

Productos de seguridad

Código: text
C:\Windows\System32\drivers\vmci.sys
C:\Program Files\VMware\VMware Tools\vmtoolsd.exe
C:\Program Files (x86)\VMware\VMware Tools\vmtoolsd.exe
C:\Windows\System32\drivers\vboxdrv.sys
C:\Windows\System32\vboxservice.exe
C:\Program Files\Oracle\VirtualBox Guest Additions\VBoxTray.exe
C:\Program Files (x86)\Oracle\VirtualBox Guest Additions\VBoxTray.exe
C:\Windows\System32\drivers\prl_fs.sys
C:\Program Files\Parallels\Parallels Tools\prl_cc.exe
C:\Program Files (x86)\Parallels\Parallels Tools\prl_cc.exe
C:\Windows\System32\VMUSrvc.exe
C:\Windows\System32\VMSrvc.exe
C:\Program Files\Fiddler\Fiddler.exe
C:\Program Files (x86)\Fiddler\Fiddler.exe
C:\Program Files\Fiddler2\Fiddler.exe
C:\Program Files (x86)\Fiddler2\Fiddler.exe
C:\Program Files\Fiddler4\Fiddler.exe
C:\Program Files (x86)\Fiddler4\Fiddler.exe
C:\Program Files\FiddlerCoreAPI\FiddlerCore.dll
C:\Program Files (x86)\FiddlerCoreAPI\FiddlerCore.dll
C:\Program Files\Charles\Charles.exe
C:\Program Files (x86)\Charles\Charles.exe
C:\Program Files\Wireshark\wireshark.exe
C:\Program Files (x86)\Wireshark\wireshark.exe
C:\Program Files\Sandboxie\SbieDll.dll
C:\Program Files (x86)\Sandboxie\SbieDll.dll
SbieDll.dll
C:\Program Files\Invincea\Enterprise\InvProtect.exe
C:\Program Files (x86)\Invincea\Enterprise\InvProtect.exe
C:\Program Files\Invincea\Browser Protection\InvBrowser.exe
C:\Program Files (x86)\Invincea\Browser Protection\InvBrowser.exe
C:\Program Files\Invincea\threat analyzer\fips\nss\lib\ssl3.dll
C:\Program Files (x86)\Invincea\threat analyzer\fips\nss\lib\ssl3.dll
InvGuestIE.dll
InvGuestIE.dll/icon.png
sboxdll.dll
InvRedirHostIE.dll
C:\Windows\System32\PrxerDrv.dll
PrxerDrv.dll
C:\Program Files\Proxifier\Proxifier.exe
C:\Program Files (x86)\Proxifier\Proxifier.exe
C:\Windows\System32\pcapwsp.dll
pcapwsp.dll
C:\Program Files\Proxy Labs\ProxyCap\pcapui.exe
C:\Program Files (x86)\Proxy Labs\ProxyCap\pcapui.exe
C:\Windows\System32\socketspy.dll
socketspy.dll
C:\Program Files\Ufasoft\SocksChain\sockschain.exe
C:\Program Files (x86)\Ufasoft\SocksChain\sockschain.exe
C:\Program Files\Debugging Tools for Windows (x86)\windbg.exe
C:\Program Files (x86)\Debugging Tools for Windows (x86)\windbg.exe
C:\Program Files\Malwarebytes Anti-Exploit\mbae.exe
C:\Program Files (x86)\Malwarebytes Anti-Exploit\mbae.exe
mbae.dll
C:\Program Files\Malwarebytes Anti-Malware\mbam.exe
C:\Program Files (x86)\Malwarebytes Anti-Malware\mbam.exe
C:\Windows\System32\drivers\hmpalert.sys
C:\Program Files\EMET 4.0\EMET_GUI.exe
C:\Program Files (x86)\EMET 4.0\EMET_GUI.exe
C:\Program Files\EMET 4.1\EMET_GUI.exe
C:\Program Files (x86)\EMET 4.1\EMET_GUI.exe
C:\Program Files\EMET 5.0\EMET_GUI.exe
C:\Program Files (x86)\EMET 5.0\EMET_GUI.exe
C:\Program Files\EMET 5.1\EMET_GUI.exe
C:\Program Files (x86)\EMET 5.1\EMET_GUI.exe
C:\Program Files\EMET 5.2\EMET_GUI.exe
C:\Program Files (x86)\EMET 5.2\EMET_GUI.exe
C:\Program Files\EMET 5.5\EMET_GUI.exe
C:\Program Files (x86)\EMET 5.5\EMET_GUI.exe
C:\Python27\python.exe
C:\Python34\python.exe
C:\Python35\python.exe
C:\Program Files\GeoEdge\GeoProxy\GeoProxy.exe
C:\Program Files (x86)\GeoEdge\GeoProxy\GeoProxy.exe
C:\Program Files\geoedge\geovpn\bin\geovpn.exe
C:\Program Files (x86)\geoedge\geovpn\bin\geovpn.exe
C:\Program Files\GeoSurf by BIscience Toolbar\tbhelper.dll
C:\Program Files (x86)\GeoSurf by BIscience Toolbar\tbhelper.dll
C:\Program Files\AdClarity Toolbar\tbhelper.dll
C:\Program Files (x86)\AdClarity Toolbar\tbhelper.dll
XProxyPlugin.dll
C:\Program Files\EffeTech HTTP Sniffer\EHSniffer.exe
C:\Program Files (x86)\EffeTech HTTP Sniffer\EHSniffer.exe
C:\Program Files\HttpWatch\httpwatch.dll
C:\Program Files (x86)\HttpWatch\httpwatch.dll
httpwatch.dll
C:\Program Files\IEInspector\HTTPAnalyzerFullV7\HookWinSockV7.dll
C:\Program Files (x86)\IEInspector\HTTPAnalyzerFullV7\HookWinSockV7.dll
C:\Program Files\IEInspector\HTTPAnalyzerFullV6\HookWinSockV6.dll
C:\Program Files (x86)\IEInspector\HTTPAnalyzerFullV6\HookWinSockV6.dll
C:\Program Files\IEInspector\IEWebDeveloperV2\IEWebDeveloperV2.dll
C:\Program Files (x86)\IEInspector\IEWebDeveloperV2\IEWebDeveloperV2.dll
HookWinSockV6.dll/#10/PACKAGEINFO
HookWinSockV7.dll/#10/PACKAGEINFO
C:\Program Files\NirSoft\SmartSniff\smsniff.exe
C:\Program Files (x86)\NirSoft\SmartSniff\smsniff.exe
C:\Program Files\SoftPerfect Network Protocol Analyzer\snpa.exe
C:\Program Files (x86)\SoftPerfect Network Protocol Analyzer\snpa.exe
C:\Program Files\York\York.exe
C:\Program Files (x86)\York\York.exe
C:\Windows\System32\drivers\pssdklbf.sys
C:\Program Files\Andiparos\Andiparos.exe
C:\Program Files (x86)\Andiparos\Andiparos.exe
C:\Program Files\IEInspector\HTTPAnalyzerStdV7\HTTPAnalyzerStdV7.exe
C:\Program Files (x86)\IEInspector\HTTPAnalyzerStdV7\HTTPAnalyzerStdV7.exe
C:\Program Files\IEInspector\HTTPAnalyzerFullV7\HttpAnalyzerStdV7.exe
C:\Program Files (x86)\IEInspector\HTTPAnalyzerFullV7\HttpAnalyzerStdV7.exe
C:\Program Files\HTTPDebuggerPro\HTTPDebuggerUI.exe
C:\Program Files (x86)\HTTPDebuggerPro\HTTPDebuggerUI.exe
C:\Program Files\OWASP\ed Attack Proxy\AP.exe
C:\Program Files (x86)\OWASP\ed Attack Proxy\AP.exe
C:\Program Files\Iarsn\AbpMon 9.x\AbpMon.exe
C:\Program Files (x86)\Iarsn\AbpMon 9.x\AbpMon.exe
C:\Program Files\AnVir Task ManagerAnVir.exe
C:\Program Files (x86)\AnVir Task ManagerAnVir.exe
C:\Program Files\rohitab.com\API Monitor\apimonitor-x64.exe
C:\Program Files (x86)\rohitab.com\API Monitor\apimonitor-x64.exe
C:\Program Files\Chameleon Task Manager\manager_task.exe
C:\Program Files (x86)\Chameleon Task Manager\manager_task.exe
C:\Program Files\Free Extended Task Manager\Extensions\ExtensionsTaskManager.exe
C:\Program Files (x86)\Free Extended Task Manager\Extensions\ExtensionsTaskManager.exe
C:\Program Files\Kozmos\Kiwi Application Monitor\Kiwi Application Monitor.exe
C:\Program Files (x86)\Kozmos\Kiwi Application Monitor\Kiwi Application Monitor.exe
C:\Program Files\PerfMon4x\PerfMon.exe
C:\Program Files (x86)\PerfMon4x\PerfMon.exe
C:\Program Files\Process Lasso\ProcessLasso.exe
C:\Program Files (x86)\Process Lasso\ProcessLasso.exe
C:\Program Files\Uniblue\ProcessQuickLink 2\ProcessQuickLink2.exe
C:\Program Files (x86)\Uniblue\ProcessQuickLink 2\ProcessQuickLink2.exe
C:\Program Files\Psymon\Psymon.exe
C:\Program Files (x86)\Psymon\Psymon.exe
C:\Program Files\LizardSystems\Remote Process Explorer\rpexplorer.exe
C:\Program Files (x86)\LizardSystems\Remote Process Explorer\rpexplorer.exe
C:\Program Files\Security Process Explorer\procmgr.exe
C:\Program Files (x86)\Security Process Explorer\procmgr.exe
C:\Program Files\System Explorer\SystemExplorer.exe
C:\Program Files (x86)\System Explorer\SystemExplorer.exe
C:\Program Files\Iarsn\TaskInfo 10.x\TaskInfo.exe
C:\Program Files (x86)\Iarsn\TaskInfo 10.x\TaskInfo.exe
C:\Program Files\What's my computer doing\WhatsMyComputerDoing.exe
C:\Program Files (x86)\What's my computer doing\WhatsMyComputerDoing.exe
C:\Program Files\VMware\VMware Workstation\vmware.exe
C:\Program Files (x86)\VMware\VMware Workstation\vmware.exe
C:\Program Files\Oracle\VirtualBox\VirtualBox.exe
C:\Program Files (x86)\Oracle\VirtualBox\VirtualBox.exe
C:\Windows\System32\VBoxControl.exe
C:\Windows\System32\VBoxTray.exe
C:\Windows\System32\vmms.exe
C:\Program Files\HitmanPro.Alert\hmpalert.exe
C:\Program Files (x86)\HitmanPro.Alert\hmpalert.exe


Drivers y librerías

(Necesita encontrar por lo menos uno)

Código: text
C:\Windows\System32\drivers\igdkmd64.sys
C:\Windows\System32\drivers\atikmdag.sys
C:\Windows\System32\drivers\nvlddmkm.sys
C:\Windows\System32\drivers\igdkmd32.sys
C:\Windows\System32\drivers\nvhda64v.sys
C:\Windows\System32\drivers\atihdmi.sys
C:\Windows\System32\drivers\nvhda32v.sys
C:\Windows\System32\drivers\igdpmd64.sys
C:\Windows\System32\drivers\ATI2MTAG.SYS
C:\Windows\System32\drivers\igdpmd32.sys
C:\Windows\System32\OpenCL.dll
C:\Windows\System32\igdumd32.dll
C:\Windows\System32\igd10umd32.dll
C:\Windows\System32\igdumd64.dll
C:\Windows\System32\igd10umd64.dll
C:\Windows\System32\igdusc64.dll
C:\Windows\System32\igdumdim64.dll
C:\Windows\System32\igdusc32.dll
C:\Windows\System32\igdumdim32.dll
C:\Windows\System32\atibtmon.exe
C:\Windows\System32\aticfx32.dll
C:\Windows\System32\nvcpl.dll
C:\Windows\System32\nvcuda.dll
C:\Windows\System32\aticfx64.dll
C:\Windows\System32\nvd3dumx.dll
C:\Windows\System32\nvwgf2umx.dll
C:\Windows\System32\igdumdx32.dll
C:\Windows\System32\nvcuvenc.dll
C:\Windows\System32\amdocl64.dll
C:\Windows\System32\amdocl.dll
C:\Windows\System32\nvopencl.dll
C:\Windows\System32\ATI2CQAG.DLL
C:\Windows\System32\ati3duag.dll
C:\Windows\System32\ATI2DVAG.DLL
C:\Windows\System32\ativvaxx.dll
C:\Windows\System32\ATIKVMAG.DLL
C:\Windows\System32\OEMinfo.ini
C:\Windows\System32\OEMlogo.bmp
C:\Windows\System32\nvsvc32.exe
C:\Windows\System32\nvvsvc.exe
C:\Windows\System32\nvsvc.dll
C:\Windows\System32\nview.dll


(No debe encontrar ninguno de estos)

Código: text
C:\Windows\System32\drivers\ehdrv.sys
C:\Windows\System32\drivers\eamon.sys
C:\Windows\System32\drivers\eamonm.sys
C:\Windows\System32\drivers\klif.sys
C:\Windows\System32\drivers\klflt.sys
C:\Windows\System32\drivers\kneps.sys
ie_plugin.dll
ToolbarIE.dll
C:\Windows\System32\drivers\tmtdi.sys
C:\Windows\System32\drivers\tmactmon.sys
C:\Windows\System32\drivers\tmcomm.sys
C:\Windows\System32\drivers\tmevtmgr.sys
tmopieplg.dll


Strings no referenciados

Código: text
mhtml:file:///Program Files\asus/
mhtml:file:///Program Files\acer/
mhtml:file:///Program Files\apple/
mhtml:file:///Program Files\dell/
mhtml:file:///Program Files\fujitsu/
mhtml:file:///Program Files\hp/
mhtml:file:///Program Files\lenovo/
mhtml:file:///Program Files\ibm/
mhtml:file:///Program Files\sumsung/
mhtml:file:///Program Files\sony/
mhtml:file:///Program Files\toshiba/
mhtml:file:///Program Files\nero/
mhtml:file:///Program Files\abbyy/
mhtml:file:///Program Files\bonjour/
mhtml:file:///Program Files\divx/
mhtml:file:///Program Files\k-lite codec pack/
mhtml:file:///Program Files\quicktime/
mhtml:file:///Program Files\utorrent/
mhtml:file:///Program Files\yahoo!/
mhtml:file:///Program Files\ask.com/
mhtml:file:///Program Files\the bat!/
mhtml:file:///Program Files\atheros/
mhtml:file:///Program Files\realtek/
mhtml:file:///Program Files\synaptics/
mhtml:file:///Program Files\creative/
mhtml:file:///Program Files\broadcom/
mhtml:file:///Program Files\intel/
mhtml:file:///Program Files\amd/
mhtml:file:///Program Files\msi/
mhtml:file:///Program Files\nvidia corporation/
mhtml:file:///Program Files\ati technologies/



Apéndice 2 – Hashes (sha1)

countly.min.js

Código: text
24FA6490D207E06F22A67BC261C68F61B082ACF8


Código del banner

Código: text
A57971193B2FFFF1137E083BFACFD694905F1A94


banner.png con stegano

Código: text
55309EAE2B826A1409357306125631FDF2513AC5
67799F80CEF4A82A07EFB3698627D7AE7E6101AB
09425B3B8BF71BA12B1B740A001240CD43378A6C
4528736618BBB44A42388522481C1820D8494E37
FE841DF1ACD15E32B4FFC046205CAAFD21ED2AB2
7BE0A9387F8528EC185ACC6B9573233D167DF71B
A5BC07E8E223A0DF3E7B45EEFD69040486E47F27
EC326BA5CD406F656C3B26D4A5319DAA26D4D5FE
3F1A5F624E0E974CAA4F290116CE7908D360E981
33F921C61D02E0758DCB0019C5F37A4D047C9EC7
2FF89048D39BE75F327031F6D308CE1B5A512F73
9A0D9EBC236DF87788E4A3E16400EB8513743233
F36C283B89C9F1B21A4AD3E384F54B0C8E7D417A
17787879D550F11580C74DA1EA36561A270E16F7
9090DB6731A8D49E8B2506087A261D857946A0EB
45B3EE46ADA9C842E65DCF235111AB81EF733F34
F56A878CA094D461BDF0E5E0CECED5B9903DB6E0
6C74A357B932CF27D5634FD88AA593AEF3A77672
0C3C22B8AA461C7DE4D68567EEA4AE3CD8E4D845
5A5A015C378159E6DC3D7978DAD8D04711D997F8
B2473B3658C13831C62A85D1634B035BC7EBD515
9638E1897B748D120149B94D596CEC6A5D547067
0195C8C7B687DD4CBF2578AD3CB13CD2807F25CB
FEC222095ABD62FC7635E2C7FA226903C849C25C
0FCB2B3ED16672A94CD003B4B53181B568E35912
03483E4039839F0807D7BEC08090179E62DBCC60


Landing page con el exploit kit Stegano

Código: text
67E26597CF1FF35E4B8300BF181C84015F9D1134
CD46CEE45F2FC982FBA7C4D246D3A1D58D13ED4A
191FFA6EB2C33A56E750BFFEFFE169B0D9E4BBE4
4B2F4C20CC9294F103319938F37C99C0DE7B4932
3FCEA1AFDA9888400D8DE5A232E4BF1E50D3380F
CA750F492691F4D31A31D8A638CE4A56AF8690D0
1374EE22D99ECFC6D68ADE3ACE833D4000E4705B
6BF1A2B7E8CA44E63E1A801E25189DC0212D71B9
B84AB2D5EAD12C257982386BC39F18532BF6939E
476A0455044B9111BDA42CDB7F4EA4E76AA7AB2D
0C1CA7D9C7E4B26A433946A6495782630EF6FD18
29B6DD92FBDF6070B171C38B1D3CA374F66E4B66
89DA7E7A88F9B6CBBFAF7F229BFEA8767220C831
CEE32C8E45A59D3084D832A9E6500AE44F75F7B5
A152AB43BEDCD8F6B7BFB67249C5599CF663D050
3AC722AC0D4764545A3E8A6DF02059C8A164CA17
25E0474E4F8D7D3053278B45A9C24380275B4705
35FB5F3C2957B4525A0330427397915AEEFDDD91
19EEE9745E25194DD573423C6DB0F5AF5D8CFE1D
E88B2B7A08322738C74B29C4CA538741F85A0B7F
A388A2A241339489685CB4AD22EBA9E04B72CD67


Archivos Flash

Código: text
BADAE04BFF7AFD890C3275E0434F174C6706C2C6
6EF95ACB8AA14D3BA8F1B3C147B7FB0A9DA579A2
10840AEB8342A26DFC68E0E706B36AC2B5A0D5B2
093B25B04FE21185BFEEAFD48F712942D3A3F0C6
C680734AF8670895F961C951A3629B5BC64EFE8E
EEDBBB65A441979974592343C6CA71C90CC2550F
DE288CADE8EE3F13D44719796A5896D88D379A1E
9488CDBB242BE50DF3D20B12F589AF2E39080882
B664365FC8C0B93F6A992C44D11F44DD091426DD
7557B5D987F0236FF838CD3AF05663EFA98EBC56
24B7933A8A8F6ED50FBAF2A5021EF47CE614A46F
11BA8B354001900ED79C43EA858F1BC732961097


Apéndice 3 – muestras de URL

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Código: text
/jf67ejb
/jqp7efh
/j56ks2b
/gplnhvm
/gwwltaf
/hgnsysa
/hvfnohs


Landing pages del exploit kit Stegano

Código: text
hxxp://conce.republicoftaste.com/urq5kb7mnimqz/3dyv72cqtwjbgf5e89hyqryq5zu60_os24kfs1j3u_i
hxxp://compe.quincephotographyvideo.com/kil5mrm1z0t-ytwgvx/g7fjx4_caz9
hxxp://ntion.atheist-tees.com/v2mit3j_fz0cx172oab_eys6940_rgloynan40mfqju6183a9a4kn/f
hxxp://entat.usedmachinetools.co/6yg1vl0q15zr6hn780pu43fwm5297itxgd19rh54-3juc2xz1t-oes5bh
hxxp://connt.modusinrebus.net/34v-87d0u3
hxxp://ainab.photographyquincemiami.com/w2juxekry8h9votrvb3-k72wiogn2yq2f3it5d17/j9r
hxxp://rated.republicoftaste.com/6t8os/lv-pne1_dshrmqgx-8zl8wd2v5h5m26m_w_zqwzq
hxxp://rence.backstageteeshirts.com/qen5sy/6hjyrw79zr2zokq1t4dpl276ta8h8-/3sf9jlfcu0v7daixie_do6zb843/


Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#49
Android / Spade: herramienta para incorporar un backdoor a aplicaciones de Android
Noviembre 30, 2016, 02:57:11 AM

Spade es el sueño de cualquier script kiddie que quiera comprometer un dispositivo Android en pocos minutos, pero también una oportunidad para cualquiera que tenga propósitos didácticos y quiera revisar el código en Python y ver como bindear un apk embebiendo un backdoor con un payload de Android de Metasploit.

Spade es una herramienta totalmente gratuita que nos permitirá incorporar un backdoor en cualquier aplicación .APK de Android, una vez infectada la aplicación con este backdoor, si lo subimos a una tienda de aplicaciones de terceros y alguien se la descarga, o simplemente se la enviamos a alguien, tendremos el control del smartphone.

Requisitos para ejecutar Spade

Los únicos requisitos para hacer funcionar esta aplicación es tener instalado Python, Metasploit, y las librerías lib32stdc++6, lib32ncurses5 and lib32z1. Gracias a la herramienta Metasploit, podremos inyectar un payload en una aplicación .apk que nosotros queramos, en este payload tendremos toda la información de la sesión inversa con meterpreter como por ejemplo la IP y puerto de la máquina del atacante donde llegará toda la información de la víctima.

¿Cómo funciona Spade?

Spade es una herramienta escrita en Python, simplemente debemos clonar el repositorio oficial de Spade en Github, y a continuación ejecutar el programa pasándole por parámetro el APK que queramos infectar:

Código: bash
git clone https://github.com/suraj-root/spade.git 
cd spade/
./spade.py archivo.apk



Para infectar una aplicación .apk, antes deberemos habérnosla descargado de cualquier tienda de aplicaciones, una vez que nos la hayamos descargado debemos ejecutar la siguiente orden:

Código: bash
./spade.py archivo.apk


Una vez ejecutada, nos saldrá un pequeño asistente donde deberemos seleccionar el payload que nosotros queramos, como por ejemplo reverse_http, reverse_https y reverse_tcp tanto para shell como para una sesión de meterpreter. A continuación, seleccionamos la dirección IP del atacante y el puerto que usaremos para recibir todos los datos.

Una vez realizado todos estos pasos, cogerá la aplicación y le añadirá el backdoor, añadiendo también todos los permisos para tener un control total del smartphone. En el siguiente vídeo tenéis una demostración completa de cómo funciona esta herramienta:


Podéis acceder al No tienes permitido ver los links. Registrarse o Entrar a mi cuenta donde encontraréis el código fuente y más la información.

Nunca instales aplicaciones .apk de dudosa procedencia

Teniendo en cuenta lo fácil y rápido que supone añadir un completo backdoor a una aplicación Android, es fundamental que nunca instaléis aplicaciones de dudosa procedencia, porque es posible que lleven una "feature" adicional que ni siquiera sabíais que existía...



Fuentes: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta||redeszone.net

#50
Noticias Informáticas / Hackers venden kits de phishing con puerta trasera por YouTube
Noviembre 30, 2016, 01:43:29 AM


YouTube en los últimos tiempos se está convirtiendo en una de las plataformas más utilizadas por los ciberdelincuentes para vender y distribuir sus herramientas, de eso ya son conscientes muchos internautas, llegados a este punto, lo curioso del tema es que ni siquiera los propios hackers pueden fiarse de sus «compañeros», como veremos a continuación.

Decimos estos porque una empresa de seguridad llamada Proofpoint ha descubierto en las últimas horas una campaña que se dedica a la venta de kits con herramientas para llevar a cabo phishing, todo ello a través de la mencionada plataforma de vídeos. La diferencia con respecto a otras propuestas similares es que en este caso dichas herramientas de ciberataque vienen con una puerta trasera preparada para enviar de vuelta toda la información relativa al ataque phishing realizado por el comprador.

Los ciberdelincuentes están vendiendo este software tan peculiar en YouTube, donde prometen ayudar a los aspirantes a hackers a lanzar ataques de phishing a terceros. Aunque estos kits son eficientes y realizan su tarea inicial, es decir, están capacitados para realizar los ataques de phishing prometidos por los vendedores, también incluyen puertas traseras que recogen los datos de dichos ataques y lo envían al vendedor. Resumiendo, que podemos afirmar que son los propios ciberdelincuentes los que en este caso atacan a otros ciberdelincuentes, en teoría algo más novatos.

De hecho, desde la mencionada empresa de seguridad y tras inspeccionar uno de estos kits, afirman que "cuando decodificamos la muestra, encontramos que la dirección de Gmail del autor estaba codificada para recibir los resultados del phishing cada vez que se usaba el kit adquirido, independientemente de quién lo use". Además en el mismo conjunto de herramientas han encontrado una dirección de correo electrónico secundario que es la encargada de recibir los resultados robados con estas, aunque aún no está claro si esta segunda dirección pertenece al mismo que el correo primario o si por el contrario se agregó posteriormente para después redistribuir las aplicaciones.

Por el momento YouTube aún no ha eliminado estos vídeos, algo que sorprende, es algo que ya está disponible en el mismo portal desde hace meses, por lo que el servicio de detección de vídeos maliciosos parece que falla en este caso, ya que no ha eliminado los contenidos de manera automática. Cabe mencionar que la mayoría de ellos incluyen tutoriales o demos de uso del kit además de contener una serie de enlaces que conducen a sitios web que tienen más información y detalles para su compra.

Aunque en un principio esto pueda considerarse como un claro ataque contra los propios atacantes, sin duda los mayores perjudicados aquí vuelven a ser las víctimas del phishing, ya que son los que al final sufrirán las consecuencias del robo de credenciales.


Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta




Es el problema cuando no se usa la cabeza propia. El facilismo de usar herramientas ajenas, (que no es malo cuando se sabe cómo, por qué y para qué funcionan),  el querer soluciones a puro del clic en actividades de hacking, lleva a lo que la noticia nos relata.

De pena, no por el engaño (ya conocemos las reglas de este mundillo y de la ingeniería social), sino porque el titulo original de la noticia  no habla de n00bs o lamers para referirse a los compradores, sino de "hackers que atacan a otros hackers", y desde luego esa calificación (a los compradores) en mi opinión, les queda grande.

Saludos
Gabriela
#51
Noticias Informáticas / Bug de Facebook permite insertar imágenes para infectarte con ransomware
Noviembre 28, 2016, 03:43:32 PM

Cuidado con descargar imágenes JPG de Facebook, puede ser ransomware

Investigadores han descubierto que es posible compartir ransomware a través de Facebook con lo que parecen simples imágenes.

Compartir malware a través de Facebook no es fácil; la red social tiene sus propias medidas para evitar que cualquier archivo sospechoso pase por sus servidores y hasta los usuarios.

Sin embargo, algunos hackers parecen haberse saltado esas medidas, y están compartiendo ransomware a través de Facebook; si los usuarios abren esos archivos, acabarán infectados. A esta técnica se le conoce como ImageGate.

ImageGate, un método para compartir ransomware a través de Facebook

Lo interesante es que a simple vista el archivo parece una imagen; los usuarios que han sufrido el ataque inicialmente recibieron una imagen de uno de sus amigos a través de Facebook Messenger (también funciona en LinkedIn). A primera vista parece una imagen JPG normal y corriente.


Si hacemos click en la imagen para verla más grande, nos aparecerá el mensaje de Windows para guardar el archivo; sólo entonces nos daremos cuenta de que tiene una extensión extraña. Se sabe que algunas de las extensiones usadas son .hta, svg o js. Recientemente también se ha añadido la extensión .zzzzz.

Pero claro, es muy fácil que no nos fijemos en la extensión del archivo una vez que hemos pulsado para descargarlo; sobre todo si inicialmente parecía que tenía la extensión .jpg.


Finalmente, si hacemos click en el archivo (o en la barra de descargas del navegador) para ver la imagen a tamaño completo, seremos infectados. Locky es el ransomware más usado por los atacantes que usan este vector de ataque.

En qué consisten las vulnerabilidades:



Cómo podemos evitar infectarnos usando Facebook

Locky funciona como la mayoría de ransomware; cifra todos nuestros archivos y a continuación pide un pago en Bitcoin para conseguir la clave que los descifre. Los expertos recomiendan no pagar a los atacantes, porque nunca hay ninguna certeza de que realmente recuperaremos los archivos.

Por esto, No tienes permitido ver los links. Registrarse o Entrar a mi cuenta recomiendan tomar dos pasos para protegernos:

* Si pulsas en una imagen y te pide guardar un archivo, no lo hagas; todas las imágenes que comparten contigo en Facebook deberían verse en el propio navegador.

* No abras "imágenes" con extensiones extrañas, sin importar de dónde las hayas conseguido.


Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


#52
Análisis y desarrollo de malwares / Análisis del ransomware Crysis y herramienta de descifrado
Noviembre 28, 2016, 01:14:12 PM

La industria del ransomware avanza, ya sea porque se modifican  antiguos códigos maliciosos o porque se lanzan nuevos.  Lo que no quedan dudas que es actualmente una de las amenazas que ocupan a los expertos de seguridad.

En esta ocasión, los amigos de WeliveSecurity -en una impecable disección- analizan a CRYSIS; un ransomware que anotan como una clase de código malicioso del tipo Filecoder,  que emplea los cifrados  RSA y AES  para cifrar la información.  Como en casi todos los ransomware, el  objetivo es solicitar el pago de una suma de dinero a cambio de las llaves para recuperar la información.

En cuanto a los medios de propagación, Crysis utiliza diversos vectores de infección que van desde el e-mail hasta las redes sociales.

Por otra parte, los expertos nos dejan gratuitamente la  herramienta para descifrar los archivos y recuperar la información de aquellos que pudieran verse afectados.


Algunas características de Crysis

El ransomware no es más ni menos que un archivo ejecutable que no se encuentra protegido por un packer, lo cual se puede comprobar fácilmente en la cabecera del archivo:


Haciendo un análisis estático podemos llegar a identificar algunas de las principales características de esta familia de códigos maliciosos. Una de las primeras acciones que intentará el ransomware es crear copias de sí mismo en los siguientes directorios, para lograr persistir en el equipo:

* C:\Users\Victim\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
* C:\Windows\System32

El primer directorio es utilizado por el sistema operativo para ejecutar todas las aplicaciones que se encuentren dentro de esta carpeta una vez que haya iniciado sesión el usuario. Claro está que de esta manera la amenaza se asegura cifrar archivos recientemente creados.


En el segundo directorio, el ransomware evita que el usuario se dé cuenta de su presencia, ocultándose en una carpeta nativa y esencial de Windows.


Una de las particularidades que tiene Crysis es eliminar las copias de seguridad creadas por el servicio "Volume Shadow Copy Service", aplicación incorporada en Windows desde su versión XP.

En pocas palabras, el servicio VSS tiene como tarea crear copias ocultas (shadow copies) de archivos cada vez que ocurra una variación en el sistema como consecuencia de la instalación o actualización de un software. Como podemos ver en la captura, la amenaza ejecutará en consola una serie de comandos específicos para eliminar el backup, en caso de que hubiese.


A continuación, podremos ver cómo continúa el flujo de ejecución del código malicioso, en donde en las primeras instrucciones se encuentran las llamadas a las funciones antes mencionadas. También observamos que en determinados offset se alojan los strings que utilizará para renombrar los archivos cifrados y, además, una lista de extensiones de archivos, lo cual nos da indicios de cuáles son los buscados por esta amenaza para ser cifrados.


Luego se crearán los archivos con los pasos a seguir para recuperar los archivos, lo cual varía dependiendo del ransomware, pero Crysis utilizará archivos de texto e imágenes para guiar al usuario.


Una de las últimas acciones que realiza la amenaza, luego de cifrar la información del usuario, es enviar información como el nombre del equipo y un código identificador, haciendo uso del protocolo HTTP. Cabe destacar que los sitios a los que se conecta la amenaza son sitios comprometidos, por lo general servidores con alguna versión vulnerable de WordPress.


Herramienta para recuperar los archivos cifrados

En el siguiente enlace se encuentra la No tienes permitido ver los links. Registrarse o Entrar a mi cuenta (gratuita).

Indican los expertos que la tool se desarrolló utilizando las No tienes permitido ver los links. Registrarse o Entrar a mi cuenta recientemente publicadas.



La información técnica, imágenes y herramienta tienen fuente en : No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


#53
Off Topic / 24/09: Feliz Cumpleaños, ANTRAX!!!!
Septiembre 24, 2016, 01:05:49 AM

@No tienes permitido ver los links. Registrarse o Entrar a mi cuenta , seguramente hoy es un día diferente para ti. También lo es para nosotros -la Comunidad de Underc0de- que celebra junto a ti el aniversario de tu nacimiento.

Te deseo estupendos momentos, muchísimos regalos y multitud de deseos cumplidos, junto a tu familia y afectos!!

Un brindis, un abrazo gigante y una caja llena de :-*

Gabriela
#54
Noticias Informáticas / Las menciones de WhatsApp ya están activas
Septiembre 20, 2016, 05:17:26 PM

Mientras que WhatsApp se sigue preparando para las videollamadas, la autenticación en dos pasos y otras funciones que ya hemos visto que se trae entre manos, acaba de actualizar la aplicación tanto para dispositivos iOS como Android con otra de las características esperadas por los usuarios. Y es que a partir de ahora, ya es posible mencionar a los miembros de un grupo a la hora de enviar un mensaje.

Sin duda una función que va a ser muy bien recibida por todo el mundo, pero sobre por aquellos que forman parte de muchos grupos de WhatsApp. Recordemos que los chats en grupo de la aplicación de mensajería pueden llegar a ser un verdadero caos cuando todo el mundo envía mensajes a discreción sin ningún orden y sin saber en muchos casos si van dirigidos a todos o a alguien en concreto. Por no decir que en ocasiones resulta casi indescifrable una conversación cuando llegamos tarde y tenemos decenas de mensajes sin leer.


A partir de ahora, estar conversaciones podrán ser mucho más organizadas si hacemos uso de las menciones, ya que podremos hacer mención a uno o varios de los miembros del grupo si nos queremos dirigir a ellos en el mensaje o seguir como hasta ahora si lo que escribimos es para todo el grupo.

Para comenzar a hacer uso de esta nueva función, debemos actualizarnos con la última versión de WhatsApp en Google Play y App Store, ya que las menciones han llegado a la versión final de ambas plataformas y todo el mundo puede empezar a usarlas. Una vez que nos hayamos actualizado, sólo tenemos que ir a un chat de grupo y ver como con sólo escribir una "@" en la caja donde escribimos los mensajes, nos aparecerá un listado de los miembros del grupo para que elijamos a quién queremos mencionar.


Si el grupo tiene muchos usuarios, podemos ir escribiendo el nombre de la persona que queremos mencionar y poco a poco irá filtrando los contactos con ese nombre. Un vez seleccionado y escrito el mensaje ya lo podremos mandar y ahora ya no habrá excusas para decir que no habían leído nuestro mensaje o no lo habían oído porque lo tenían silenciado.

Y es que al enviar un mensaje con mención, el destinatario recibirá una notificación aunque tenga el grupo silenciado para que sepa que alguien se está refiriendo a él en uno de los mensajes enviados en ese grupo. Esperamos que a partir de ahora las conversaciones en los chats de grupo sean más llevaderas.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta



#55
Noticias Informáticas / Seis nuevos troyanos para Linux descubiertos en los últimos 30 días
Septiembre 16, 2016, 12:36:48 PM

Comienza a ser habitual que los usuarios que hagan uso de distribuciones Linux tengan que tener cierta precaución a la hora de llevar a cabo la descarga de contenidos. En esta ocasión, expertos en seguridad de varias firmas de seguridad han detectado el troyano Linux.DDoS.93 infectando estos dispositivos y utilizándolos para llevar a cabo ataques de denegación de servicio.

Los encargados de descubrir la amenaza indican que esta llega a los equipos a través de la vulnerabilidad Shellshock, que tal y como suele ser habitual, aún existe una gran cantidad de dispositivos que no han parcheado este fallo de seguridad detectado hace ya mucho tiempo.

Cuando el troyano llega al dispositivo lleva a cabo la modificación del archivo var/run/dhcpclient-eth0.pid para conseguir persistencia siempre que el dispositivo se reinicie. En el caso de no existir este fichero, el troyano llevará a cabo su creación de forma automática con el código necesario.

Cuando el sistema se inicia, el troyano dispone de dos procesos: el primero de ellos es el encargado de establecer y gestionar las comunicaciones con el servidor de control, mientras el segundo se encarga que el proceso padre y siempre esté en ejecución.

Hasta 25 subprocesos en el sistema Linux infectado

Además de establecer la comunicación con un servidor de control y comprobar el estado de la conexión a Internet, es capaz de descargar e instalar actualizaciones, enviar paquetes haciendo uso de diferentes protocolos, eliminarse a si mismo o desinstalar e instalar otras versiones existentes. Para ellos, los expertos en seguridad han detectado que del proceso padre cuelgan al menos 25 procesos que no provocan ningún tipo de mal funcionamiento del sistema operativo, buscando sobre todo pasar desapercibido.

Ejecución selectiva en función del sistema

Expertos en seguridad han sido capaces de analizar el comportamiento de la amenaza, observando que nada más llegar se produce un análisis del entorno y en el caso de detectar alguna de las siguientes palabras:

privmsg
getlocalip
kaiten
brian krebs
botnet
bitcoin mine
litecoin mine
rootkit
keylogger
ddosing
nulling
hackforums
skiddie
script kiddie
blackhat
whitehat
greyhat
grayhat
doxing
malware
bootkit
ransomware
spyware
botkiller

Tal y como se puede observar, la inmensa mayoría de las palabras citadas pertenecen a herramientas de seguridad, pretendiendo de alguna forma evitar que se realice ingeniería inversa y descubrir los entresijos de la amenaza. Durante el proceso, también se produce una búsqueda de otras versiones de la amenaza, llevando a cabo su desinstalación para dejar aquella más reciente.

En las últimas semanas las distribuciones Linux se ha convertido en un hervidero de malware, apareciendo cada poco tiempo algún troyano cuya intención no es otra que llevar a cabo ataques de denegación de servicio haciendo uso del equipo infectado, en su mayoría servidores.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#56
Noticias Informáticas / DarkTrack, uno de los mejores RAT gratuitos
Septiembre 14, 2016, 12:52:25 PM

Aunque es un modelo de negocio complicado de ver, aún hay unos pocos que hacen uso de él. Los creadores de DarkTrack, un troyano que permite el acceso remoto, son de los pocos que aún confían en este. Los ransomware han acaparado toda la atención y gracias a ellos la distribución de amenazas se ha convertido en un negocio que se ha extendido como la pólvora en el último año.

Pero frente a este tipo, los troyano que permiten el control remoto de los dispositivos aún tienen mucho que decir. Pero encontrar un software de estas características, gratuito y de calidad es algo extraño, ya que en la mayoría de los casos los programas publicados están obsoletos o bien no funcionan de forma correcta, pudiendo exponer incluso la identidad del ciberdelincuente.

Los expertos en seguridad creyeron que se encontraban ante una amenaza de pago, algo que no es así, incorporando funciones dignas de una aplicación a la venta por unos cuentos cientos de dólares.

Aunque no ha llamado mucho la atención en Internet, DarkTrack ya se encuentra en la versión 4.0 y sus desarrolladores ya han abierto hilos en diferentes foros para aquellos que quieran probar la 4.1 dentro de una beta limitada a unos pocos usuarios.




DarkTrack distribuido en Internet

El atrevimiento de los desarrolladores de la misma es máximo, ya que en la mayoría de los casos esta se suele publicitar y vender en el lado oscuro de de Internet, algo que no es así, abriendo incluso perfiles de Facebook, Google+ o Twitter para aumentar la distribución de la misma.

Además de ubicar su distribución en Turquía, hay que apuntar que la amenaza equipa un keylogger muy potente, permitiendo incluso controlar el equipo para llevar a cabo ataques de denegación de servicio dirigidos, incluyendo incluso un software encargado de escanear los puertos o permitir la modificación del registro del sistema operativo Windows.


Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#57
Noticias Informáticas / Phishing Web: a puro clic
Septiembre 07, 2016, 02:32:12 PM

El phishing como un servicio: esta web permite hacerlo a cualquiera sin conocimientos técnicos

Efectivamente, has leído bien: ya no es necesario contar con conocimientos avanzados para hacer phishing y suplantar la identidad de determinados servicios, sino que la firma Fortinet acaba de descubrir un sitio que permite a cualquiera hacerlo de un modo escalofriantemente sencillo.

En concreto se trata de Fake Game, un portal ruso que ya en su descripción se jacta de ser "el lugar para secuestrar cuentas". De hecho, asegura (en el momento de escribir estas líneas) haberlo logrado ya con más de 700 mil. Una cifra que actualiza en tiempo real y que, no obstante haber afectado ya a cientos de usuarios de productos de empresas de la talla de Facebook, Google y otros muchos, sigue activa.


En qué consiste Fake Game


Así con ella, todo aquel que quiera "jugar a ser un ciberdelincuente" ya puede hacerlo. Sí, porque esta página y según explica la citada empresa de seguridad, ha convertido el phishing en una suerte de servicio que, por cierto, lleva activo desde hace más de un año y que cuenta con el número nada desdeñable de 60 mil usuarios activos.

Y no es de extrañar si tenemos en cuenta (además del amplio abanico de personas malintencionadas) lo fácil que es ponerlo en marcha –incluso cuenta con videotutoriales específicos y un bot de asistencia técnica-. Para empezar, eso sí, la plataforma solicita a los interesados que se registren, momento a partir del cual podrán empezar a explotar sus (cuestionables) posibilidades.



El siguiente paso, tal y como explica Fortinet, será entonces elegir qué tipo de credenciales (de qué servicio) se quieren hackear. Las páginas de phishing se encuentran disponibles, además de para las citadas herramientas, para Warface, Steam, Wargaming, Google, No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, Yandex y Classmates. Una lista que deberías tener en cuenta si crees que podrías haber sido víctima de este tipo de ataque. Pero vayamos con un caso concreto.


De esta manera, si el cliente decide simular la herramienta de phishing de Gmail, el servicio automáticamente genera un enlace que contiene el subdominio gmail. El link incluye un identificador para cada usuario, de manera que puede saberse (e incluso hacer un seguimiento) si las cuentas robadas han sido obra de una misma persona.


Para ponerlo en marcha, por supuesto, tendrá que hacérselo llegar al potencial afectado. El aspecto que tendrá la página sería el que se muestra justo arriba de este párrafo. Una vez que este introduzca los credenciales, el interesado recibirá este aviso. Además, la web Fake Game cuenta con una función que verifica la validez de la información obtenida. De no serlo, muestra un mensaje de error y vuelve a cargar la supuesta web, llevando al objetivo al primer paso.





Para acabar y con el fin de ayudar a los cibercriminales novatos a sacar provecho de la plataforma, esta les proporciona un hipervínculo que les redirige a otro sitio ruso donde pueden vender las credenciales que han robado por un precio que ronda entre los 0,015 dólares y los 15,39. La web también les permite ponerse en contacto con otros usuarios para intercambiar opiniones.

Dicho lo cual y analizado su funcionamiento, Fake Game es un ejemplo clásico de "delincuencia como prestación", una clase de servicios que permiten a los aspirantes a delincuentes cibernéticos participar en actividades ilícitas no obstante carecer de conocimientos técnicos específicos.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta






La descripción de los amigos de No tienes permitido ver los links. Registrarse o Entrar a mi cuenta no solamente es clara, sino que evidencia lo simple que es montar un phishing. Esto, desde mi perspectiva tiene dos puntos de análisis; por un lado la necesidad de educar al usuario común en seguridad (observando en enlace es fácilmente detectable el engaño), y por otro, este tipo de servicios fomenta las actividades lamers.

Posiblemente, de la mano de puros clics, no faltarán h4x0r5 [modo irónico ON], que ocupen el servicio (alcanza ver el número de registrados que cita la noticia) no solo para el engaño; sino para imputarse conocimientos de los que carecen. Bastante lamentable para los auténticos profesionales de la seguridad y el hacking.

Saludos

Gabriela.
#58
Noticias Informáticas / Ransomware Cerver se actualiza y se distribuye a través de publicidad maliciosa
Septiembre 05, 2016, 02:36:03 PM

Cuando hablamos de amenazas para nuestros dispositivos, seguro que hoy en día se nos viene a la cabeza ransomware, ya que este tipo de malware se ha vuelto el más popular, sobre todo en el último año. Como todos sabemos, se trata de un software malicioso que además de infectar nuestro equipo para cifrarnos determinada información a la que no podremos tener acceso, nos solicitará que paguemos una cantidad económica si queremos recuperarla. Normalmente no podemos deshacernos de este tipo de malware así como así, con los habituales antivirus, sino que sólo es posible con alguna herramienta diseñada específicamente para descifrar los archivos infectados por este malware.

Durante este último año, Cerber ha sido uno de los ransomware más populares y peligrosos, y es que los responsables de esta amenaza no paran de mejorarla y lanzar nuevas cepas. Concretamente, ha comenzado a distribuirse la versión v3 de este popular ransomware seguramente como respuesta a la herramienta desarrollada por un equipo de investigadores de IntSights y Check Point , que era capaz de descifrar los archivos infectados por la anterior versión de Cerber.

Parece que estoy no ha sentado bien al equipo de desarrollo detrás de Cerber, que se ha puesto manos a la obra para poner en marcha la versión v3 de Cerber. Una nueva cepa de este popular ransomware que no es posible descifrar con la herramienta desarrollada para la versión anterior, aunque seguro que los investigadores ya están intentando hacer frente a esta nueva versión, pero habrá que esperar a ver si lo consiguen.



De momento, Cerber v3 ya está haciendo de las suyas y según los investigadores de Trend Micro, esta nueva versión está siendo distribuida a través de publicidad maliciosa en lugar de utilizar los habituales mensajes de correo. Por lo tanto, ya no es suficiente estar pendiente de los correos que recibimos por si cuentan con este tipo de malware, ahora podremos infectarnos simplemente haciendo clic donde no debemos mientras navegamos.

En el momento en que Cerber 3 se instala en nuestro equipo, conseguirá cifrar muchos de nuestros archivos añadiendo la extensión .cerber3 y será en ese momento cuando dejen de estar accesibles para la víctima. A continuación, y gracias a una función TTS (text to speech), veremos como una voz sale de nuestro ordenador para leernos la nota de rescate en voz alta e informarnos de cómo hay que proceder para realizar el pago por el rescate de los datos cifrados.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#59
Off Topic / Cursos Online gratis: informática-programación, a comenzar en septiembre 2016
Agosto 31, 2016, 01:32:37 PM

Los amigos deNo tienes permitido ver los links. Registrarse o Entrar a mi cuenta postean un recopilatorio de cursos online totalmente gratuitos en diversas áreas del conocimiento; a comenzar en el mes de septiembre.
Extracté los que pueden ser de interés informático/programación , a saber:

-   No tienes permitido ver los links. Registrarse o Entrar a mi cuenta : curso de la Universidad Nacional Autónoma de México que comienza el 5 de septiembre.

-   No tienes permitido ver los links. Registrarse o Entrar a mi cuenta : curso del Tecnológico de Monterrey que comienza el 5 de septiembre.

-   No tienes permitido ver los links. Registrarse o Entrar a mi cuenta : curso de la Universitat Autònoma de Barcelona para los que quieran aprender a construir sus propios circuitos. Empieza el 5 de septiembre.

-   No tienes permitido ver los links. Registrarse o Entrar a mi cuenta : curso introductorio de la Universitat Autònoma de Barcelona para aprender todo lo que hay detrás del desarrollo de un juego. A partir del 5 de septiembre.

-   No tienes permitido ver los links. Registrarse o Entrar a mi cuenta : última parte de la especialización en desarrollo de videojuegos de la Universitat Autònoma de Barcelona. Empieza el 19 de septiembre.

-   No tienes permitido ver los links. Registrarse o Entrar a mi cuenta : el 5 de septiembre la University of Edinburgh comienza un curso para los que quieran empezar a programar con buen pie.

-   No tienes permitido ver los links. Registrarse o Entrar a mi cuenta : El Tecnológico de Monterrey nos enseña a usar el nuevo lenguaje de programación de Apple desde el 5 de septiembre.


Por más información sobre otros cursos ver: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Saludos
Gabriela
#60
Noticias Informáticas / Dropbox, hackeado de nuevo: más de 68 millones de cuentas comprometidas
Agosto 31, 2016, 12:48:42 PM


La semana pasada Dropbox empezó a pedir a aquellos usuarios que usan su aplicación desde antes de 2012 que modifiquen su contraseña, una medida preventiva que, según indicaron entonces, no tenía nada que ver con que nuestros credenciales hubieran sido robados o con que se hubiera producido ningún tipo de acceso no autorizado.

Pues bien, cinco días después de ese comunicado y tal y como ha informado el medio especializado Motherboard, la aplicación ha vuelto a ser hackeada. Una acción que ha filtrado los datos personales de más de 68 millones de usuarios de la plataforma. Pero, ¿cómo ha ocurrido exactamente?

El hackeo de Dropbox

De esta manera, parece que estas cuentas se han visto comprometidas como consecuencia de un fallo acontecido, precisamente, en 2012. Un error que, de acuerdo con la citada publicación ha afectado a 68.680.741 usuarios. Una cifra nada desdeñable que hace saltar todas las alertas.

De los 60 millones de contraseñas de usuario, alrededor de 32 son seguras gracias a la función de hashing bcrypt. No obstante, las 36 restantes tienen un hash SHA1 que no es tan seguro, aunque Dropbox añadió un cifrado adicional. Según Motherboard, este paquete de contraseñas no parece ser vulnerable.

TechCrunch, por otra parte, dice que los hackers habrían accedido a la red corporativa de Dropbox a través de la contraseña de un empleado de la entidad. El mismo cifrado que, por cierto, este utilizaría en LinkedIn, recientemente comprometida.

Otras filtraciones

Por otra parte, cabe mencionar que esta filtración no es única en su especie sino que ya en 2014 la plataforma dio a conocer que los datos de acceso de hasta 7 millones de personas podrían haberse visto comprometidos. Un caso que si bien inicialmente se atribuyó a un hackeo de la plataforma, finalmente acabó explicando Dropbox, asegurando que las cuentas publicadas habían sido obtenidos por un servicio de terceros.

Ese mismo año, por otra parte, el mismísimo Snowden llegó a afirmar que, de usarla, estaríamos poniendo en peligro nuestra privacidad. "Es un socio de PRISM, lo que lo convierte en un sitio muy hostil para la privacidad", comentó entonces. Unas acusaciones ante las que la empresa no tardó en defenderse (asegurando que no tenía ningún tipo de compromiso con PRISM), pero que ha quedado grabada en la memoria de muchos.

En 2012, asimismo, encontramos otro caso flagrante para la empresa de almacenamiento en la nube: una brecha de seguridad permitió que los usuarios recibieran SPAM a través de las cuentas que empleaban para el servicio. Unos correos basura que algunos clientes de la entidad se encargaron de reportar inicialmente en el hilo de los foros de la comunidad y de anunciar a plena voz en redes sociales.


Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


#61
Noticias Informáticas / La página de login de Google puede llevar a la descarga de malware
Agosto 31, 2016, 12:22:53 PM

Google puede tener un problema de seguridad bastante serio si no hace algo pronto. Un investigador de seguridad británico descubrió que hay un problema en la página de inicio de sesión de Google que permite a cualquier atacante colocar malware que se descargue automáticamente cuando el usuario pulsa el botón de 'iniciar sesión'.

Desde Mountain View se detectó un problema de seguridad al implementar el sistema actual de login en su página principal. Este problema permitía que el botón de 'continuar', más concretamente su link, podía ser cambiado por cualquier URL, con lo que un atacante inteligente podría dirigir al usuario en cuestión a donde él quisiera. Como Google anticipó que este parámetro podía dar problemas, lo que hizo fue limitar su uso a dominios No tienes permitido ver los links. Registrarse o Entrar a mi cuenta usando la regla '*.google.com', donde * es un comodín en donde cabe de todo.

Pero Google no se dio cuento que esto no era una barrera insalvable para los posibles atacantes. De hecho, ha sido este investigador británico llamado Aidan Woods quien ha encendido la alarma explicando que cualquiera puede subir malware a Google Drive o Google Docs y que ambos servicios de Google tienen dominio No tienes permitido ver los links. Registrarse o Entrar a mi cuenta.


Google no admite que tenga un problema con el malware

Según Woods, un atacante inteligente podría perfectamente cargar software malicioso en su cuenta de Google Drive o Google Docs, coger la URL y ocultarla en el interior del botón de login de la página de inicio de la empresa del buscador. Así, los usuarios que recibieran el enlace dentro de un correo electrónico de phising podrían llegar a pensar que es la verdadera URL de acceso a Google. De hecho, un archivo llamado 'Login_Challenge.exe' o 'Two-Factor-Authentication.exe', podría engañar perfectamente a los usuarios, por lo que al conectarse a la página automáticamente se descargaría el malware al ordenador del usuario simplemente con dar al botón de 'iniciar sesión'.

Pues bien, Google parece que no tiene en cuenta las advertencias de Woods y, de momento, va a seguir tal y como está. Según las explicaciones que da Google al aviso de Woods, este no cumple con los requisitos para ser llamado 'problema de seguridad'. Así las cosas, desde Mountain View prefieren mirar para otro lado pensando que este fallo de seguridad no es gran cosa.



Quizá tengan razón o quizá no, pero lo que es preocupante es que se puedan saltar los sistemas de seguridad de Google de una manera tan fácil.


Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#62
Seguridad web y en servidores / Herramienta para auditar servidores SSH: ssh-audit
Agosto 30, 2016, 12:28:02 PM

Los principales servidores SSH que se utilizan ampliamente hoy en día son OpenSSH y también Dropbear SSH. OpenSSH es utilizado normalmente en ordenadores y servidores, mientras que Dropbear es el servidor SSH de routers, puntos de acceso y otros dispositivos de red que requieren que consuma pocos recursos. ssh-audit es una herramienta que nos ayudará a configurar de una manera segura nuestro servidor SSH.

ssh-audit es una herramienta totalmente gratuita, escrita en Python y que se encargará de escanear la configuración de nuestro servidor SSH y nos indicará si las diferentes configuraciones que hemos aplicado son seguras, o si por el contrario son débiles y hay que realizar cambios en la configuración de dicho servidor SSH.

Principales características de ssh-audit

Las principales características de ssh-audit es que es capaz de auditar todas y cada una de las partes del servidor SSH, podrá detectar el banner de inicio de sesión, detectará si estamos utilizando un protocolo totalmente inseguro como ssh1 e incluso si estamos utilizando compresión con la librería zlib.

A nivel de cifrado de comunicaciones, es capaz de verificar los algoritmos de intercambio de claves, la clave pública del host, el cifrado simétrico cuando ya se ha establecido la comunicación, y también los mensajes de autenticación de la información. Una vez que ha analizado todos y cada uno de estos parámetros, nos sacará un completo informe indicándonos desde cuando está disponible dicha opción, si ha sido eliminado o deshabilitado, si es inseguro, débil o si es seguro.

La herramienta nos marcará en diferentes colores cuando un determinado algoritmo es inseguro, débil o seguro, de esta manera podremos identificar rápidamente donde tenemos que intervenir para solucionarlo cuanto antes.


Otras características de esta herramienta es que nos permite mostrar la versión utilizada de SSH en base a la información de los algoritmos, además, tiene un histórico de OpenSSH y Dropbear para proporcionarnos la versión en la que se hizo un determinado cambio (se introdujo un nuevo cifrado, se quitó otro etc.).

Por último, ssh-audit no requiere dependencias, únicamente necesitamos instalado Python2 o Python3 en nuestro sistema operativo.

Utilización de ssh-audit

Lo primero que tenemos que hacer es bajarnos el archivo .py del No tienes permitido ver los links. Registrarse o Entrar a mi cuenta ,a continuación lo ejecutaremos como cualquier otra herramienta Python de la siguiente manera:

Código: bash
python ssh-audit.py [-nv] host[:port]


El argumento -n deshabilitará los diferentes colores en la salida de toda la información, y el -v nos mostrará absolutamente toda la información.

Os recomendamos visitar el  No tienes permitido ver los links. Registrarse o Entrar a mi cuenta donde encontraréis toda la información sobre esta herramienta.


Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#63
Análisis y desarrollo de malwares / ID ransomware: herramienta online
Agosto 28, 2016, 01:28:55 PM


Leyendo temas informáticos, en ADSLZONE recuerdan al sitio Web No tienes permitido ver los links. Registrarse o Entrar a mi cuenta , donde se brinda  herramienta gratuita de análisis de ransomware online.

La tools no elimina la infección pero colabora en su detección, esto es,  identifica el malware que afecta a nuestro dispositivo,  lo que nos encamina para la limpieza del mismo.

Asimismo, tenemos la posibilidad de subir el archivo de la nota de rescate  y una muestra de archivo cifrado. Si el malware es identificado, según dicen en el sitio Web, los resultados se eliminan de inmediato. En cuanto a los resultados, pueden aparecer más de uno en el proceso de identificación, debido a que muchos ransomware comparten firma digital, códigos y extensión. Si es el caso, se le muestran al usuario varias opciones.



Evidentemente, la variabilidad y mutación acelerada del ransomware (más rápido que cualquier herramienta de detección) derivará en la circunstancia de que el ransomware que ha cifrado nuestros archivos, no sea identificado. En este último caso, el file será almacenado y compartido con empresas de seguridad que colaboren o cooperen en la búsqueda de soluciones.

A la fecha, la lista de ransomware identificado que contiene su base de datos es la siguiente:

Código: php
777, 7ev3n, 7h9r, 8lock8, 
ACCDFISA v2.0, Alfa, Alma Locker, Alpha, AMBA, Apocalypse, Apocalypse (Unavailable), ApocalypseVM, AutoLocky, AxCrypter, 
BadBlock, Bandarchor, BankAccountSummary, Bart, BitCrypt, BitCrypt 2.0, BitCryptor, BitMessage, BitStak, Black Shades, Blocatto, Booyah, Brazilian Ransomware, Bucbi, BuyUnlockCode, 
Cerber, Cerber 2.0, Chimera, Coin Locker, CoinVault, Coverton, Cryakl, CryFile, CrypMic, Crypren, Crypt0L0cker, Crypt38, CryptInfinite, CryptoDefense, CryptoFinancial, CryptoFortress, CryptoHasYou, CryptoHitman, CryptoJoker, CryptoMix, CryptorBit, CryptoRoger, CryptoShocker, CryptoTorLocker, CryptoWall 2.0, CryptoWall 3.0, CryptoWall 4.0, CryptXXX, CryptXXX 2.0, CryptXXX 3.0, CryptXXX 4.0, CrySiS, CTB-Faker, CTB-Locker, 
DEDCryptor, DirtyDecrypt, DMA Locker, DMA Locker 3.0, DMA Locker 4.0, Domino, 
ECLR Ransomware, EduCrypt, El Polocker, Encryptor RaaS, Enigma, 
Fantom, 
GhostCrypt, Globe, Gomasom, 
Herbst, Hi Buddy!, HolyCrypt, HydraCrypt, 
Jager, Jigsaw, JobCrypter, JuicyLemon, 
KeRanger, KEYHolder, KimcilWare, Kozy.Jozy, KratosCrypt, Kriptovor, KryptoLocker, 
LeChiffre, Locky, Lortok, 
Magic, Maktub Locker, MirCop, MireWare, Mischa, Mobef, 
NanoLocker, NegozI, Nemucod, Nemucod-7z, 
ODCODC, OMG! Ransomcrypt, 
PadCrypt, PayForNature, PClock, PowerLocky, PowerWare, Protected Ransomware, R980, RAA-SEP, 
Radamant, Radamant v2.1, Razy, REKTLocker, RemindMe, Rokku, Russian EDA2, 
SamSam, Sanction, Satana, ShinoLocker, Shujin, Simple_Encoder, Smrss32, SNSLocker, Sport, SuperCrypt, Surprise, SZFLocker, 
TeslaCrypt 0.x, TeslaCrypt 2.x, TeslaCrypt 3.0, TeslaCrypt 4.0, TowerWeb, ToxCrypt, Troldesh, TrueCrypter, 
UCCU, UmbreCrypt, Unlock92, Unlock92 2.0, Uyari, 
VaultCrypt, VenusLocker, 
WildFire Locker, WonderCrypter, 
Xorist, Xort, XRTN, 
zCrypt, ZimbraCryptor, Zyklon


Otra punto a tener en cuenta, de acuerdo a la misma información que da el sitio,  es que los archivos se cargan a través de SSL, lo que dificultaría que la conexión pueda ser interceptada por terceros.


Por herramientas, entre otros,  podéis ver este post: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Saludos

Gabriela

#64
Noticias Informáticas / Troyano a través de la publicidad de Google puede robar datos bancarios
Agosto 17, 2016, 11:16:55 AM

Si hay algo que todavía preocupa o da reparo a muchos usuarios, es sin duda el hecho de tener que introducir las credenciales que le dan acceso a sus datos bancarios en Internet, ya sea desde el ordenador o desde el móvil. Y es que hoy en día, estamos acostumbrados a ver cómo de manera frecuente aparecen nuevos malware que tratan de robar tus datos de acceso al banco para conseguir un beneficio.

Pues bien, según acabamos de conocer, un grupo de investigadores de seguridad de la compañía Kaspersky, ha descubierto una nueva cepa de un malware que ataca a dispositivos con sistema operativo Android, el sistema operativo de Google, y que utiliza su red de publicidad AdSense para propagarse.

Concretamente se trata de un troyano que responde al nombre de Trojan-Banker.AndroidOS.Svpeng.q. que es capaz de robar los datos de acceso a la información bancaria de usuarios en Internet a través de diferentes métodos y que también cuenta con la capacidad de leer y borrar mensajes de texto enviados por los bancos a teléfonos móviles de los clientes.

Según los investigadores, este malware se puede descargar a través de AdSense, la propia red de publicidad de Google, por lo que millones de sitios web en Internet que utilizan esta red, pueden ser un foco para ser infectados con este troyano. Un malware que se descarga de forma automática en cuanto el usuario visita la web que contiene el anuncio infectado, sin que el usuario se dé cuenta de nada.

Lo único que nos puede hacer sospechar de su descarga es que se nos muestre una actualización del navegador, que es como intenta engañar a los usuarios este troyano. Sin embargo, si el malware se instala en nuestro móvil, desaparecerá de la lista de aplicaciones instaladas, pero el hecho de que va a conseguir permisos de administrador nos pone en riesgo, ya que va a ser capaz de robarnos información sobre las tarjetas bancarias que utilicemos a través de nuestro móvil.

Para ello, el malware se comporta de manera similar al de otros troyanos bancarios, ya que utiliza determinadas técnicas de phising para engañar a los usuarios y hacerles introducir los datos de acceso a sus datos bancarios para hacerse con ellos.

Además, según los informes, este troyano puede recopilar también información personal del usuario como su historial de llamadas, contactos, mensajes de texto y multimedia, así como sus sitios favoritos del navegador.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


#65
Cursos, manuales y libros / Libros free actualizados de programación e informática en GitHub
Agosto 15, 2016, 04:00:13 PM

Por falta de material actualizado que no quede. El sitio web de lamiradadelreplicante, comenta sobre un proyecto en GitHub, dirigido por Victor Felder, donde se comparte un repositorio actualizado de más de 1000 libros de programación e informática.

Asimismo, está abierta la posibilidad de cualquier interesado de contribuir.

Los enlaces en GitHub apuntan a descargas gratuitas o bien a la lectura online.

Aquí os dejo:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Saludos
Gabriela
#66
Noticias Informáticas / Lady.1, un troyano que utiliza equipos Linux para minar criptomonedas
Agosto 11, 2016, 03:25:07 PM

Lo curioso de esta amenaza es que está programada haciendo uso del lenguaje de programación Google Go, para muchos desconocido. El troyano Lady.1 está afectando a equipos que poseen cualquier distribución Linux instalada, utilizando estos equipos para de alguna forma proceder al minado de criptomonedas.

Sí que es verdad que aún seguimos sin ver muchas amenazas de Windows para sistemas operativos Linux, pero no es la primera vez que encontramos un troyano que afecta a estos equipos buscando de alguna forma minar criptomonedas y así obtener ganancias.

Aunque el minado de estas ha perdido importancia entre los usuarios con respecto a años anteriores, hay que decir que todavía algunos siguen entusiasmados por esto, sobre todo si hablamos de ciberdelincuentes.

Expertos en seguridad han detectado que estos se están valiendo de equipos Linux que poseen bases de datos Linux mal configuradas, sirviendo esto como vía de entrada al sistema y así proceder a la instalación del software que sea necesario.

Linux.DownLoader.196 también es digno de mención en esta ocasión, ya que los ciberdelincuentes no proceden a la distribución del troyano en un primer momento, sino que distribuyen esta para de alguna forma comprobar si el equipo posee algún mecanismo de defensa, evitando que la amenaza sea analizada. Además de esto, hay que decir que esta no se ejecuta en entorno virtualizados, utilizados para esto mismo que acabamos de mencionar.

Lady.1 se comunica con un servidor de control remoto

Expertos en seguridad han detectado que tras la instalación en el equipo esta comienza a comunicarse con un servidor remoto del que se descargarán algunos archivos de configuración complementarios para proceder al minado y posteriormente el envío de estas a un monedero remoto.

También hay que decir que la amenaza posee mecanismos propios de propagación, buscando unidades de red activas o bien servicios FTP.


Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#67
Noticias Informáticas / Un fallo grave en el protocolo TCP de Linux permite secuestrar el tráfico
Agosto 11, 2016, 03:19:50 PM

Para que las conexiones a Internet puedan establecerse es necesario hacer uso de diferentes protocolos de conexión que permiten la comunicación y el intercambio de datos entre dos puntos. Uno de los protocolos más utilizados es el TCP, protocolo fundamental en Internet y que debe estar implementado en los diferentes sistemas operativos para poder comunicarse con otras máquinas a través de la red. Sin embargo, un fallo en la implementación de este protocolo puede exponer los datos y la seguridad de los usuarios, tal como ha ocurrido recientemente con la implementación del mismo en los sistemas Linux.

Recientemente, se ha dado a conocer una nueva vulnerabilidad en la implementación del protocolo TCP de los sistemas operativos Linux, concretamente en la versión más reciente lanzada en 2012 con la versión 3.6 del Kernel Linux (y que afecta incluso a la reciente versión 4.7), que puede permitir a un atacante identificar los hosts con los que nos comunicamos y, en último lugar, atacar dicho tráfico. Según los investigadores, este fallo se debe a la introducción de las respuestas ACK y a la imposición de un límite sobre el control de paquetes TCP.

Para poder llevar a cabo este ataque y explotar esta vulnerabilidad no es necesario que el atacante esté en la misma red ni en el mismo flujo de datos, sino que, debido a su naturaleza, puede ser explotado perfectamente mediante un ataque MITM, por lo que en ningún momento se necesita intervención de la víctima.


Esta vulnerabilidad en la implementación del protocolo TCP en Linux expone seriamente la seguridad de millones de sistemas

Aunque por el momento no se han facilitado demasiados datos técnicos sobre la vulnerabilidad, esta ha sido ya registrada con el código CVE-2016-5696. Según los investigadores, la tasa de éxito para explotar esta vulnerabilidad es de entre el 88% y el 97%. Además, explotar esta vulnerabilidad y tomar el control del tráfico lleva menos de un minuto.

Cuando un atacante accede a este tráfico, aunque esté supuestamente cifrado, es capaz de tomar el control sobre él e incluso inyectar paquetes modificados en los que se puede incluir, por ejemplo, exploits o malware. Esta vulnerabilidad afecta incluso a las conexiones de la red Tor. De todas formas, un atacante no podrá determinar si existe o no conexión entre dos puntos sin estar llevando a cabo un ataque man-in-the-middle, residiendo aquí el mayor desafío para esta vulnerabilidad.

El número de dispositivos afectados por esta vulnerabilidad es incalculable, ya que prácticamente cualquier sistema basado en Linux, ya sean ordenadores, televisores, smartphones, tablets o dispositivos IoT, está afectado. Se espera que, a lo largo del día de hoy, los investigadores del USENIX Security Symposium expliquen en más profundidad la vulnerabilidad y proporcionen instrucciones sobre cómo poder solucionarla o, al menos, mitigar sus efectos.


Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#68
Off Topic / Código y algoritmo, qué es más importante...
Agosto 11, 2016, 02:03:05 PM


En el tema de aprender a programar cada quien tiene sus mecanismos o estrategias.

Es usual que se nos indique la  creación de un algoritmo previo a la instrumentación del código, cualquiera sea el lenguaje que se emplee.

Las preguntas que planteamos:

¿Es más importante el diseño del algoritmo o el código en sí?

¿Ambos tienen igual trascendencia?

o

Simplemente, codeo directamente sin diseñar algoritmos.


Votad y comentad vuestras razones de la elección.


Gabriela
#69
Noticias Informáticas / Ransomware que se camufla como proceso de activación de Win y solución
Agosto 08, 2016, 03:08:22 PM

De nuevo un ransomware y los sistemas operativos de Redmond van de la mano. En esta ocasión, expertos en seguridad han detectado que una amenaza se está camuflando como el proceso de activación de los sistemas operativos Windows. Este nuevo malware se está distribuyendo sobre todo haciendo uso de páginas de Internet que se han visto comprometidas.

Pero hay que decir que se trata de un ransomware bastante peculiar con respecto a lo que hemos visto hasta el momento. Si habitualmente nos encontramos con amenazas que cifran los archivos y piden una recompensa por realizar el descifrado de los mismos, este lo que lleva a cabo es el bloqueo del equipo Windows y simula que ha caducado la licencia existente, mostrando una pantalla en la que se indica un número de teléfono al que llamar para realizar la compra.

¿Cómo puedo eliminar este ransomware?

Tal y como se puede imaginar, se trata de un proceso que se arranca en el inicio del equipo y que no permite que el usuario interactúe con el resto de programas. Iniciando el equipo en modo a prueba de fallos y correr una herramienta de seguridad debería ser más que suficiente para eliminar este ransomware por completo y recobrar el funcionamiento habitual de nuestro equipo.

Otra opción que disponemos si no perdemos muchos datos es recurrir a copias de seguridad existentes o puntos de restauración en el caso de los sistemas operativos de los de Redmond.

Otro método mucho más sencillo

Expertos en seguridad de Symantec han descubierto que tecleando el número 8716098676542789 en la casilla que aparece se puede desbloquear la pantalla y de esta forma proceder a la eliminación del programa de forma manual, siendo necesario buscar en el listado de aplicaciones instaladas alguna que resulte sospechosa.

Además de ser un número de tarificación especial, al usuario se le pedirá el abono de una cantidad para obtener una clave de producto que no servirá para nada.

Esta diseñado para afectar a todas las versiones de Windows por igual, sin embargo, los ciberdelincuentes se han valido de un fondo de escritorio de Windows 10 para crear el virus, lo cual a muchos usuarios les costará creer y les hará dudar.



Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#70
Noticias Informáticas / [Actualizado c/desmentido] Vulnerabilidad QuadRooter afecta dispositivos Android
Agosto 08, 2016, 02:51:45 PM

Android es el sistema operativo más utilizado a nivel mundial tanto en dispositivos móviles, como en tablets y otros dispositivos. Al ser el sistema operativo más utilizado, también es uno de los más atacados por los piratas informáticos y auditados por investigadores de seguridad, quienes cada poco tiempo dan a conocer nuevas vulnerabilidades que afectan al sistema operativo y que exponen la seguridad y privacidad de los usuarios, como es el caso del nuevo conjunto de vulnerabilidades denominado QuadRooter.

QuadRooter es un conjunto de 4 nuevas vulnerabilidades críticas descubiertas en todas las versiones de Android, incluida Android 6.0 Marshmallow, que afecta a todos los dispositivos con procesadores Qualcomm (una vez más) y que puede permitir a un atacante conseguir permisos de root fácilmente.

Según los cálculos iniciales, esta vulnerabilidad afecta alrededor de 900 millones de smartphones y tablets con el sistema operativo de Google y, como dato aún más preocupante, esta vulnerabilidad, probablemente, nunca será solucionada.

Las vulnerabilidades que dan lugar a QuadRooter son:

-CVE-2016-2503, una vulnerabilidad en el driver de las GPU Qualcomm, solucionada por los boletines de Android de julio de 2016.

-CVE-2016-2504, una vulnerabilidad similar a la anterior y solucionada en los boletines de agosto de 2016.

-CVE-2016-2059, una vulnerabilidad en el módulo del kernel de Qualcomm y solucionada, supuestamente, en abril, pero aún no se conoce el estado del parche.

-CVE-2016-5340, una vulnerabilidad en el driver de las GPU Qualcomm, supuestamente solucionada, pero de la que se desconoce el estado del parche.


Qualcomm es el mayor fabricante a nivel mundial de chipsets LTE con más de un 65% de cuota de mercado. Algunos de los dispositivos afectados por QuadRooter son:

-Samsung Galaxy S7 y Edge

-Sony Xperia Z Ultra

-OnePlus One, OnePlus 2 y OnePlus 3

-Google Nexus 5X, Nexus 6 y Nexus 6P

-Blackphone 1 y Blackphone 2

-HTC One, HTC M9 y HTC 10

-LG G4, LG G5 y LG V10

-Moto X

-BlackBerry Priv

-Huawei (EMUI 4.0 y anteriores)

Si un smartphone está afectado por una sola de estas vulnerabilidades, un atacante podría aprovecharla para conseguir permisos de root en el dispositivo y poder llevar a cabo prácticamente cualquier ataque. Para poder llevar a cabo un ataque aprovechándose de una de las vulnerabilidades de QuadRooter, el pirata informático debe crear una aplicación y ocultar en ella el código (exploit) necesario para explotar una o varias de las vulnerabilidades.

Cuando la víctima instala la aplicación, automáticamente esta consigue permisos de root en el dispositivo y permite al pirata informático tener el control completo sobre él.

Cómo comprobar si nuestro smartphone es vulnerable a QuadRooter y cómo protegernos


Si queremos comprobar si nuestro smartphone es vulnerable podemos utilizar la aplicación No tienes permitido ver los links. Registrarse o Entrar a mi cuenta , disponible de forma gratuita en la Play Store.


Lo único que podemos hacer para solucionar la vulnerabilidad es instalar la última versión del sistema operativo que incluya los parches de Google más actualizados, sin embargo, no es nada nuevo que muchos fabricantes no actualizan sus dispositivos y los usuarios quedan afectados por la vulnerabilidad de forma indefinida. En este caso, recomendamos instalar CyanogenMod, ya que este sistema operativo sí suele incluir los parches de Google mucho antes que cualquier fabricante y nos ayuda a mantener nuestro smartphone o tablet seguros.

Protegernos de esta vulnerabilidad es bastante simple y, salvo que los piratas informáticos consigan colarse en la Play Store (algo nada nuevo, la verdad), para evitar vernos afectados por este nuevo vector de ataque bastará con evitar instalar aplicaciones desde fuentes externas o de desarrolladores desconocidos.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta




Días después en otro portal de noticias...


¿Hay de verdad 900 millones de dispositivos Android amenazados por QuadRooter? Desde ComputerWorld han intentado contrarrestar la voz de alarma dada por Check Point en su momento.

JR Raphael se encarga de desmontar los argumentos expuestos por Check Point. La compañía de seguridad dijo que "sin una detección avanzada de amenazas y soluciones de mitigación para los dispositivos Android, hay pocas opciones de que el usuario pueda sospechar sobre algún comportamiento malicioso". Recordamos que QuadRooter permite tener acceso a root explotando una de cuatro vulnerabilidades en Android Marshmallow o anterior, siempre y cuando el dispositivo use un chipset de Qualcomm.

Como respuesta, JR Raphael argumenta que Check Point solo está defendiendo su negocio al insinuar que "solo una solución de detección de amenazas y mitigación avanzada" puede detener la amenaza de QuadRooter. Por otro lado, comenta que la herramienta descrita entre comillas ya está presente en esos 900 millones de dispositivos Android supuestamente amenazados, siendo una parte nativa de Android llamada Verify Apps, presente en el sistema desde 2012 y que se encarga de detener la instalación de cualquier aplicación que pueda comprometer el dispositivo, además de avisar al usuario si alguna aplicación existente está empezando a realizar actividades sospechosas. Esta característica está presente en Android 2.3 o superior, abarcando así más del 99% de los dispositivos en funcionamiento. En lo que respecta a tomar medidas concretas, Google ya ha confirmado que Verify Apps está pendiente de QuadRooter.


Después de desmontar, según sus argumentos, la posición de Check Point en torno a QuadRooter, JR Raphael recuerda que desde hace años Android cuenta con un sistema de seguridad multicapa, el propio sistema es capaz de monitorizar señales basados en engaños a través de SMS y Chrome para Android avisa sobre los sitios web potencialmente peligrosos. También recuerda que Google se encarga de liberar mensualmente parches de seguridad.

En resumidas cuentas, lo que quiere decir JR Raphael es que Android tiene suficientes mecanismos de defensa como para frenar QuadRooter, y que debido a estos no hay 900 millones de dispositivos amenazados por QuadRooter. Por otro lado, recuerda que es bueno tener presente quien está detrás de la voz de alarma, porque posiblemente sea una empresa que pretenda vendernos algo que no necesitamos.


Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#71
Hacking / Fping3: herramienta de ping con más funcionalidades
Agosto 08, 2016, 02:33:24 PM

La herramienta fping es un programa para sistemas operativos Linux que nos permite enviar mensajes ICMP (Internet Control Message Protocol) como el típico ping. La herramienta ping nos permite enviar también mensajes ICMP, pero tiene una cantidad de opciones muy limitada, fping incorpora una gran lista de opciones, ideal para administradores de sistemas y redes.

Principales características de fping3


La principal característica de fping es que nos permite especificar un determinado número de objetivos en la propia línea de comandos, el típico comando ping únicamente nos permite especificar un objetivo. Además, también podremos importar un fichero de texto que contenga un listado completo de los objetivos para realizar un ping. En lugar de ir objetivo por objetivo, fping lo que hará es enviar un paquete a un determinado host y pasará posteriormente al siguiente, al más puro estilo Round-Robin.

Fping tiene varios modos de funcionamiento, en el modo por defecto, si un objetivo responde nos avisará y lo eliminará de la lista de objetivos a comprobar, si no responde durante varios intentos se marcará con un error (el típico timeout, unreachable etc).



Fping también soporta el envío de un determinado número de pings hacia un objetivo, e incluso ponerlo de manera contínua. Fping también se ha diseñado con el objetivo de usarse en scripts, por lo que la salida de todos los mensajes son muy fáciles de parsear por ejemplo con awk o sed. Fping3 está diseñado específicamente para redes IPv4, pero también existe fping6 que está diseñado específicamente para redes IPv6.


Algunos argumentos que puedes utilizar en fping3

Si por ejemplo utilizamos el argumento "-a", se nos mostrarán todos los hosts que estén respondiendo a nuestros pings, además, si utilizamos "-A" se nos mostrarán los host por la dirección IP en lugar de por el nombre DNS del equipo. Otro argumento interesante es "-b" ya que nos permite enviar un mínimo de 12 bytes en el ping, y un máximo de hasta 64K (aunque debemos tener en cuenta que la mayoría de sistemas limitarán este valor). El argumento "-B" nos permite enviar un ping y esperar un determinado tiempo cada vez mayor para la respuesta del host, por defecto el valor es 1.5. El argumento "-c" nos indica el número de paquetes enviados a cada host objetivo, y el argumento "-C" es similar pero las estadísticas en milisegundos nos la muestra automáticamente en un formato fácil de parsear para su posterior tratamiento.

Os recomendamos visitar la  No tienes permitido ver los links. Registrarse o Entrar a mi cuenta donde encontraréis toda la información necesaria de esta herramienta. En la No tienes permitido ver los links. Registrarse o Entrar a mi cuenta tenéis el código fuente y también instrucciones de cómo compilarlo.
También podéis visitar la página  No tienes permitido ver los links. Registrarse o Entrar a mi cuenta   donde conoceréis todos los argumentos de fping3.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#72
Hacking / Crea un Access Point falso con WiFi-Pumpkin
Agosto 03, 2016, 02:45:00 PM

WiFi-Pumpkin es un framework que nos permite montar un Rogue AP, esto es, crear un  punto de acceso falso donde los clientes se conectarán a nosotros y hacer un ataque Man In The Middle para capturar todo el tráfico de red.

De uso bajo los sistemas Linux,  presenta algunas funcionalidades interesantes a saber, según describen en No tienes permitido ver los links. Registrarse o Entrar a mi cuenta :

Características


•   Rogue Wi-Fi Access Point

•   Deauth Attack Clients AP

•   Probe Request Monitor

•   DHCP Starvation Attack

•   Credentials Monitor

•   Transparent Proxy

•   Windows Update Attack

•   Phishing Manager

•   Partial Bypass HSTS protocol

•   Support beef hook

•   Mac Changer

•   ARP Poison

•   DNS Spoof


Como se puede leer, además de la característica anotada, destacamos que WiFi-Pumpkin tiene otras funciones tales como mandar ataques de desautenticación (Deauth Attack Clients AP)  a los clientes que están conectados a otros AP, para que sus dispositivos se conecten directamente a nosotros.

Asimismo, es de señalarse el  ataque  denominado DHCP Starvation, consiste en llenar de solicitudes un determinado servidor DHCP para que posteriormente nosotros seamos quienes hagamos de servidor DHCP, de esta forma los clientes se conectarán directamente a nosotros.

WiFi-Pumpkin también incorpora los ataques ARP Poisoning que es uno de los más típicos y DNS Spoof para redirigir a los usuarios que se conecten a nuestro servidor DNS y poder redirigirles a cualquier web.

Esta herramienta, consta también de plantillas para realizar phishing, permite hacer un bypass parcial del protocolo HSTS, capturar los credenciales de usuario, y también ver todos los logs en un fichero HTML para facilitar su lectura.

La tools y más información sobre la misma se encuentra en: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta y  podéis descargarla o clonarla. Como único requisito se necesita tener instalado Python 2.7 en el sistema operativo.

En mi caso,  la cloné:




Código: bash
git clone https://github.com/P0cL4bs/WiFi-Pumpkin.git
cd WiFi-Pumpkin
./installer.sh --install





Una vez culminada esta sencilla instalación, la podéis lanzar escribiendo en el terminal, lo que se ve en la siguiente captura:



Y a dedicarse a explorar, jugar y hacer pruebas desde la creatividad de cada uno.

Saludos

Gabriela


Fuentes para la elaboración del post: GitHub|Redeszone.net






#73
Noticias Informáticas / FossHub ha sido hackeado con programas que contienen virus y como solucionarlo
Agosto 03, 2016, 12:57:32 PM

Fosshub es uno de los mayores repositorios open-source de la red, y es el sitio al que redirigen la mayoría de programas de código abierto, algunos tan famosos y populares como qBittorrent, Audacity, Classic Shell, MKVToolNix, Calibre, HWiNFO o IrfanView. Todos estos programas se han visto comprometidos con virus muy peligrosos que incluso bloquean el arranque del ordenador.

Un grupo de hackers bajo el nombre de PeggleCrew ha conseguido acceso al sitio, y han podido modificar los archivos que descargaban los usuarios e introducir malware en ellos. Los atacantes aseguran que consiguieron acceder gracias a "un servicio de red sin autenticación que estaba expuesto a Internet". A partir de ahí, accedieron al código fuente y credenciales de acceso de la web, lo cual les permitió acceder a la infraestructura de FossHub.

El grupo de hackers ha estado comentando todos los problemas que han tenido los usuarios a raíz de esto, y mofándose de ellos. Además, han comentado que han accedido al correo personal del administrador de la web, y aunque no han hecho pública ninguna información personal, aseguran que las contraseñas no estaban cifradas.


Todos los programas del sitio web fueron sustituidos

Inicialmente, los hackers sólo sustituyeron  los instaladores de Audacity y Classic Shell, subiéndolos a través de la interfaz de la que disponen los desarrolladores para subir su contenido. El instalador de Classic Shell ocupa 6.88 MB, mientras que el infectado ocupaba 6.81 MB. Mismo nombre, mismo icono, y prácticamente el mismo tamaño. La única diferencia es que el archivo infectado no ejecutaba ningún instalador.

Una vez los administradores de FossHub lo descubrieron, revirtieron los cambios, y aquí es cuando Cult of Peggle reemplazó todos los ejecutables de los servidores de FossHub con un reemplazador de MBR. Este código malicioso pasa prácticamente desapercibido por los antivirus por ser nuevo.

Cuando los usuarios ejecutaban e instalaban el programa descargado de la web y reiniciaban el ordenador, se encontraban con un mensaje que los atacantes habían escrito, y no se podía iniciar el ordenador. Esto es debido a que el malware reescribía el código MBR (Master Boot Record), que es una sección que se encuentra en la unidad de inicio (SSD o HDD) y que es clave para el arranque del ordenador.


A pesar de que querían instalar un rootkit para tener acceso de administrador al sistema, no lo consiguieron, y simplemente se limitaron a crear este virus que bloqueaba el inicio del ordenador.


En el caso de que os hayáis visto infectados por esto, aquí tenéis un vídeo de cómo eliminar el malware. Tan sólo hay que iniciar en reparación del sistema antes del boot. En opciones avanzadas, vamos a Símbolo del sistema, y escribimos:

bootrec /fixmbr

Reiniciamos, y ya quedará arreglado.

Al parecer la web vuelve a estar en pie, y el problema habría quedado solucionado, aunque de momento os recomendamos que no descarguéis nada.

Fuente:No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#74
Hacking / QRLJacking: hackeando el código QR de WhatsApp y otros
Agosto 02, 2016, 03:08:24 PM

Varios sitios webs se hacen eco de una prueba de concepto publicada hace pocos días en No tienes permitido ver los links. Registrarse o Entrar a mi cuenta en la cual se plantea una técnica de ataque llamada QRLJacking que permite evadir sistemas de seguridad e inicio de sesión SQRLs (Secure QR Logins). 

¿Qué es QRLJacking?

QRLJacking o Quick Response Code Login Jacking, según se lee (en inglés)  en  No tienes permitido ver los links. Registrarse o Entrar a mi cuenta  es  un vector de ataque -ingeniería social mediante- que afecta a todas las aplicaciones que permitan iniciar sesión a través del escaneo de un código QR y  cuyo  objetivo es secuestrar dicha sesión del usuario por el atacante.

Hay que señalar que para que este tipo de ataque pueda funcionar es necesario que tanto el atacante como la víctima estén conectados al mismo tiempo.  Asimismo, basado en la ingeniería social, es indispensable suplantar la identidad de las páginas web reales para que la víctima escanee el código QR malicioso, esto es, el que fue modificado por el atacante.

Esta técnica, conocida como secuestro QR basado en sistema de acceso, plantea una serie de etapas que pueden resumirse en:

-   El atacante ingresa al sitio que utiliza el código QR (por ejemplo WhatsApp web). El sitio muestra el código generado.

-   El atacante clona/copia del código QR de inicio de sesión en una página de phishing creada por él.

-   Esta página se envía a la víctima.

-   Si la víctima "cae", escanea el código QR, en nuestro ejemplo, con WhatsApp.

-   La aplicación móvil envía un token secreto al servicio web para completar el proceso de autenticación.

-   Como resultado, el atacante inicia la sesión cliente y obtiene el control sobre la cuenta de la víctima, esto es, el servicio inicia el intercambio de todos los datos de la víctima con la sesión del navegador del atacante.

-   Para llevar a cabo un resultado exitoso, el atacante debe refrescar continuamente (cada N segundos) el código generado en la página falsa.

Citar"Lo que los atacantes necesitan hacer para llevar a cabo con éxito un ataque QRLJacking es escribir un script para clonar periódicamente los códigos QR expirables y refrescar los que aparezcan en la página web de phishing creada, porque como sabemos un proceso QR Login bien implementado debe tener una intervalo de caducidad para los códigos QR"

Se puede apreciar el esquema en la siguiente imagen:




Este escenario, no solo aplica al WhatsApp, sino que se puede replicar en  WeChat, AirDroid, Weibo, Yandex, Alibaba y cualquier otro proyecto que utilice código QR como método de autenticación.



Por otra parte, en GitHub leemos (en inglés):

¿Cuáles  son los requisitos para lograr un ataque QRLJacking  con éxito?


El ataque  QRLJacking consta de dos partes:

1-   Del lado del servidor: Se necesita un script del lado del servidor para mostrar a la víctima la página desde que atacaremos.

2-   Del lado del cliente: Desde donde clonaremos el código QR, llevándolo a nuestra página de phishing, ya que cuando la víctima intenta acceder a la web, por ejemplo, de WhatsApp, lo que estará haciendo en cargar la web maliciosa y el script oculto en  el servidor nos enviará el token de acceso a nuestro servidor, a través del cual podremos acceder a la cuenta de la víctima.


Configuración del Servidor (Hosting del atacante)

1.   Subir el archivo " qrHandler.php " al servidor, este archivo php se utiliza para convertir la cadena de código QR base 64 en un archivo .JPG válido. Una vez que tenemos  una imagen válida generada QR , la nombramos como  " tmp.jpg " , la cual se localizará en la misma carpeta raíz de los archivos  y  se actualizará cada vez que se llame ese archivo php.

2.   A continuación, actualizar el archivo " phishing.html " del código fuente de  la página de phishing preferida.


Configuración del lado del cliente (browser del atacante) :

1.   Abrir el navegador Firefox.

2.   Clic en "opciones" y escribe No tienes permitido ver los links. Registrarse o Entrar a mi cuenta Dar clic en aceptar: "Tendré cuidado, lo prometo".

3.   Buscar "security.csp.enable" y cambiar el valor a "false" haciendo doble clic en él y así permitir la realización de una solicitud XHR sobre un dominio diferente. Se recomienda que después de las pruebas restablecer el valor original).

4.   Instalar el Greasemonkey addon  [   url=No tienes permitido ver los links. Registrarse o Entrar a mi cuenta] addon/Greasemonkey[/url]   ] y asegurarse que el archivo del modulo   "WhatsAppQRJackingModule.js"  se carga y está corriendo.

5.   Ahora vayamos No tienes permitido ver los links. Registrarse o Entrar a mi cuenta y esperar el inicio de sesión del WhatsApp. Greasemonkey  deberá inyectar nuestro archivo en el módulo de WhatsApp.

6.   Enviar el enlace directo de la última página de phishing a una víctima.  Una vez escaneada la QR , la sesión de la víctima será nuestra.




En GitHub se comparte, también un video demo de la POC



Más información y recursos en el sitio No tienes permitido ver los links. Registrarse o Entrar a mi cuenta



Sed buenos  :)

Gabriela

PD: Hay que comentar que con acceso físico al dispositivo, esta técnica de secuestro del código QR, ya se hablaba desde hace tiempo. En el youtube hay videos de 2014/2015.


Fuentes para la elaboración del post: GitHub|segu-info.com.ar|hackplayers.com




#75
Análisis y desarrollo de malwares / Sitio web: No More Ransom [Tools para descrifrar ransomware]
Julio 26, 2016, 01:18:26 PM

El ransomware es en la actualidad una de las amenazas de mayor preocupación para los expertos en seguridad. De expansión en contante progresión creciente, se ha transformado en la industria de la ciber-delincuencia por la que se obtienen importantes sumas de dinero a cambio de liberar archivos o sistemas secuestrados.

Si bien se aconseja no pagar los rescates, tenemos noticias de hospitales que han terminado pagando el rescate, por lo que este malware florece cada vez más. Se modifican los códigos, aparecen nuevos, pero el objetivo sigue siendo el mismo, y parece que no hay dudas que un sector de infectados paga por recuperar sus archivos o sistemas.

A raíz de esta problemática, se unen los esfuerzos conjuntos de Europol, la Policía Nacional Holandesa y las firmas de seguridad Intel Security y Kaspersky Lab para la en la creación de un sitio web: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta .

El portal mencionado  brinda información a los usuarios sobre los riesgos de este tipo de malware, se leen consejos, soluciones y se ofrecen No tienes permitido ver los links. Registrarse o Entrar a mi cuenta de descifrado de algunas familias de ransomware. El sitio nos permite reportar casos de ransomware y es posible también  subir un archivo infectado   y ver si puede ser descifrado con alguna de las 160.000 claves que ofrece su base de datos.

Nota: La información para redactar este post se obtuvo de varios portales informáticos (tanto en inglés como en español).

Gabriela
#76
Noticias Informáticas / Detectan 110 servidores maliciosos en la red Tor
Julio 26, 2016, 12:16:34 PM

La red Tor es una red distribuida creada especialmente para permitir a los usuarios más preocupados por su privacidad navegar de forma totalmente anónima por Internet. Aunque esta red es, aparentemente, segura, en muchas ocasiones se ha visto comprometida por usuarios malintencionados y organismos gubernamentales que buscan acabar con la privacidad que aporta esta red. Con el fin de poder ofrecer la máxima seguridad posible, muchos expertos de seguridad suelen analizar periódicamente la red en busca de cualquier indicio de que esta ha sido comprometida.

Recientemente, dos expertos de seguridad han estado llevando a cabo un experimento en el que han analizado más de 1500 servidores dentro de la red Tor y, de los cuales, han encontrado un total de 110 servidores maliciosos que probablemente estaban siendo utilizados por piratas informáticos o gobiernos para comprometer el tráfico de esta red.

Estos investigadores introdujeron en la red Tor una serie de sistemas trampa, llamados HOnions, que ejecutaban una serie de macros cuando detectaban un tráfico anormal en la red. Tras 72 días, los investigadores recuperaron los registros de estos servidores trampa y demostraron como se habían encontrado un total de 110 servidores con un comportamiento fuera de lo normal.

La mayoría de estos servidores tan solo intentaban recuperar datos sobre la configuración del servidor, por ejemplo, la ruta a la raíz del servidor, los archivos .json o la página del estado de Apache, sin embargo, algunos de ellos sí que tenían un comportamiento malicioso, por ejemplo, intentando llevar a cabo ataques SQL Injection.

Además, el 25% de estos servidores maliciosos eran nodos de salida de la red Tor, por lo que los responsables de los mismos podían llevar a cabo ataques más complejos directamente contra los usuarios permitiendo, por ejemplo, que estos puedan llevar a cabo ataques MITM y controlar el tráfico de los usuarios.

La red Tor protege la privacidad de los usuarios, pero la atacan a menudo

La red Tor, por defecto, es una red segura que en teoría protege la seguridad y privacidad de sus usuarios, sin embargo, en la práctica no lo es tanto. Desde hace mucho tiempo, piratas informáticos, cuerpos y fuerzas de seguridad y organismos gubernamentales buscan por igual distintas formas de comprometer la seguridad y el anonimato de los usuarios que utilizan esta red. Además, estas búsquedas de poder se realizan indiscriminadamente a todos los usuarios, ya quieran estos tan solo saltarse la censura regional de su país o utilizar dicha red para el tráfico de armas. A ojos de los gobiernos, todos son iguales.

Por suerte, poco a poco, investigadores de seguridad desinteresados suelen llevar a cabo este tipo de experimentos para ayudar a los responsables de esta red a identificar y bloquear estos servidores y nodos maliciosos con el fin de permitir a los usuarios que confíen en esta red hacer un uso de ella lo más seguro posible.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#77
Noticias Informáticas / Atentos jugadores de World of Warcraft:línea de código compromete a sus usuarios
Julio 26, 2016, 12:01:41 PM

World of Warcraft es uno de los juegos online más jugados actualmente. Prácticamente desde el inicio de este juego, ambientado en el universo Warcraft de Blizzard, se han estado llevando a cabo todo tipo de estafas en las que un atacante vende oro u objetos por dinero real (algo prohibido por los términos del juego) aprovechándose de las diferentes técnicas de ingeniería social, sin embargo, recientemente ha aparecido un nuevo vector de ataque que, además de basarse en ingeniería social, se aprovecha del mal uso de una característica no documentada en la interfaz del WoW.

Lo primero que debe hacer el atacante es engañar a los usuarios para que le acepten en un clan (por ejemplo) alegando, por ejemplo, que va a compartir determinados objetos raros e interesantes. Una vez dentro, lo único que le queda por hacer es engañar a los usuarios objetivo para que ejecuten en su chat la siguiente línea:


Código: php
/run RemoveExtraSpaces=RunScript



Una vez ejecutado dicho comando (que explicamos más adelante), todos los demás comandos que se envíen a través del chat serán procesados como comandos LUA en lugar que mensajes, por lo que el atacante podrá controlar por completo la interfaz de la víctima.

Cómo funciona esta vulnerabilidad de World of Warcraft

Toda la interfaz del juego está escrita en lenguaje LUA, por lo que al introducir el comando anterior, este en lugar de procesarse se está ejecutando en ella debido a que todos los comandos son comandos legítimos del lenguaje LUA:


  • /run es un comando que indica a la interfaz que interprete lo siguiente como script.

  • RemoveExtraSpaces es una función que elimina los espacios innecesarios de texto

  • RunScript es una función que se encarga de ejecutar todo el texto como código LUA.

Una vez ejecutado el comando, se sobrescribe la función original de la interfaz y a partir de ese momento todo lo que recibamos será procesado y ejecutado como código. Por ejemplo, un atacante puede utilizar la función "message" para mostrar una ventana con un mensaje personalizado por el atacante o establecer nuevos canales de comunicación para poder seguir controlando la interfaz tras reiniciar el juego sin que en nuestro chat aparezca el más mínimo mensaje, ya que todo se ejecutará de forma oculta.




Qué daños puede causar un atacante con estos ataques

Lo primero, y más importante, es que con esta técnica el atacante puede localizar a la víctima en cualquier parte del mundo digital. Esto, unido a las funciones de comercio del World of Warcraft y a la posibilidad de controlar la interfaz de forma remota puede permitir a un atacante situarse dentro del radio de interacción de la víctima, abrir de forma remota una ventana de comercio, añadir todos sus objetos y el oro a dicha ventana y, finalmente, aceptar el intercambio mediante los comandos remotos que se están ejecutando.

Lo único que podemos hacer para evitar que los piratas informáticos controlen nuestra cuenta de esta manera es no ejecutar la primera línea de código (ni otros scripts) en el chat. La solución definitiva de la vulnerabilidad depende de Blizzard, sin embargo, al utilizarse solo funciones nativas del lenguaje LUA es muy complicado que la vulnerabilidad pueda solucionarse. Sin embargo, como medida preventiva, la compañía ha añadido en su último parche del World of Warcraft un mensaje de advertencia que aparece a todos los usuarios que intentan ejecutar scripts personalizados desde el chat de manera que, al menos, sean conscientes de los peligros que esto supone.


Fuente:No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#78
Análisis y desarrollo de malwares / CrypMIC, el ransomware que imita a CryptXXX
Julio 25, 2016, 03:28:52 PM


Los expertos de seguridad, y más precisamente un informe de Trend Micro, alertan de un ransomware (CrypMIC)que clona casi a la perfección a CryptXXX;  ejercitando de esta manera, la  reutilización de código.

Llamado CryptMIC, la reutilizada amenaza imita con bastante acierto a CryptXXX: utiliza las mismas notas de rescate, la misma interfaz de usuario del sitio web de pago de rescate, igual cifrado y los mismos métodos de distribución ya que emplea el exploit Neutrino por medio de publicidad maliciosa o sitios web comprometidos, y hasta exige la misma suma como pago de rescate. Utiliza un  servidor de control personalizado, estableciendo comunicaciones periódicas y asignación de identificadores individuales con víctimas infectadas.

La tabla siguiente, muestra con mayor detalle la comparación de las capacidades de  CryptMIC y CryptXXX








Por otra parte, los expertos anotan como diferencias que CryptMIC, dirige su acción al borrado de copias de seguridad del sistema comprometido, como forma compulsiva de obligar al pago del rescate. No obstante, las similitudes referidas, los expertos señalan que no estamos ante una copia perfecta, ya que entre otras cosas, le falta la capacidad de infectar y cifrar unidades no asignadas de red, la función de bloqueo de pantalla y de robo de contraseñas.

De momento, no hay herramienta de recuperación de archivos.

NOTA: La información (en inglés) y la tabla se obtuvo de No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
La traducción, no es literal.

Gabriela

#79
Análisis y desarrollo de malwares / Qué es un backdoor y cómo se diferencia de un troyano
Julio 25, 2016, 01:59:40 PM

A menudo, y más desde las revelaciones de Edward Snowden, oímos hablar de puertas traseras utilizadas para que alguien acceda a los sistemas y espíe o realice actividades maliciosas en ellos. No obstante, muchos usuarios aún no terminan de comprender qué es un backdoor y la funcionalidad de este tipo de códigos (que no tienen por qué ser maliciosos, como veremos más adelante) y por eso hemos escrito esta breve guía sobre backdoors.

¿Son backdoors y troyanos lo mismo?

Según nuestra definición de Glosario, se define a un backdoor como:

CitarTipo de troyano que permite el acceso al sistema infectado y su control remoto. El atacante puede entonces eliminar o modificar archivos, ejecutar programas, enviar correos masivamente o instalar herramientas maliciosas.

Esto significa que backdoors y troyanos no son exactamente lo mismo aunque, a día de hoy, muchos troyanos incorporan funcionalidades de backdoor para poder acceder a la máquina infectada cuando lo desee el atacante, para seguir realizando sus actividades maliciosas. Sin embargo, los backdoors puros pueden venir previamente instalados en el sistema o aplicaciones utilizadas por el usuario, ya sea porque los desarrolladores se les olvidó quitar o bloquear esa función o se dejó así a propósito.

Por hacer un símil con la realidad, un backdoor sería como una entrada secreta a una fortaleza, oculta para la mayoría pero que unos pocos conocen y pueden aprovecharla para entrar sin ser vistos y realizar sus acciones. Por su parte, un troyano (o caballo de Troya) sería, tal y como la referencia mitológica de su nombre indica, algo que dejamos acceder a nuestra fortaleza y que, una vez dentro nos causa algún daño.

Tipos de backdoors; ¿son necesariamente peligrosos?

Como hemos indicado en el punto anterior, el uso de backdoors en la actualidad suele verse integrado dentro de los troyanos. Gracias a esta usabilidad, un atacante puede conectarse siempre que quiere a los sistemas infectados, actualizar o cambiar los malware instalados para que realicen todo tipo de actividades o robar información sin que el usuario se dé cuenta, entre otras cosas.

No obstante, quizás el tipo que más preocupa es el de aquellos que permanecen ocultos a la vista durante largos períodos de tiempo y que vienen ya instalados en algunos sistemas o aplicaciones. Esto permite a quien conozca de su existencia tener un gran poder sobre los sistemas afectados, para hacerse con el control de los mismos.

También hay que señalar que no todos los backdoors presentes en sistemas y aplicaciones tienen por qué ser peligrosos, puesto que muchos están instalados a propósito para realizar tareas de mantenimiento o actualización en un dispositivo. Siempre que estén bien configurados y solo permitan el paso de usuarios legítimos, no habrá problemas.

Pensemos por ejemplo en el elevado número de dispositivos que tenemos actualmente conectados y que pertenecen al Internet de las Cosas. Algunos de ellos reciben actualizaciones sin interacción del usuario e incluso permiten que un técnico acceda remotamente y trate de solucionar problemas que hayan aparecido. Esto es posible gracias a estas puertas traseras que están instaladas y que evitan que el usuario tenga que configurar y permitir cada uno de estos accesos.

Uso malicioso de los backdoors

Sin embargo, empresas, organizaciones y gobiernos a veces cruzan la raya en la instalación y uso de backdoors y realizan actividades maliciosas en los sistemas de los usuarios. Mucho se ha hablado en los últimos meses de su inclusión en todo tipo de sistemas, e incluso la herramienta de cifrado TrueCrypt estuvo en el punto de mira tras su repentina despedida, al pensarse que incluía puertas traseras de la NSA -sospecha que se ha demostrado falsa tras haber completado la auditoría de su código.

Lo cierto es que no deberíamos extrañarnos de la inclusión de este tipo de puertas traseras en los tiempos que vivimos, puesto que la recopilación de información de todo tipo de usuarios resulta vital para empresas y gobiernos. Otra cosa es la legalidad de estas prácticas; está muy bien que se pretenda luchar contra amenazas actuales como el terrorismo Yihadista o la pornografía infantil, e incluso que se utilicen herramientas que permitan controlar remotamente las actividades de los sospechosos, pero siempre que se solicite previamente una autorización judicial que salvaguarde los derechos de los ciudadanos.

Sabemos que los delincuentes no tienen escrúpulos a la hora de explotar cualquier herramienta a su alcance para conseguir su objetivo (fundamentalmente, dinero) e incluso han habido casos en los que se han estado aprovechando de fallos de seguridad que permitían utilizar una puerta trasera en ciertas aplicaciones o sistemas en su propio beneficio.

Lo que está claro es que se pueden tener muy buenas intenciones para justificar la presencia de un backdoor pero la realidad es que, si no se protege de forma adecuada, esa puerta trasera puede traer muchos dolores de cabeza a los usuarios, no solo de ordenadores, sino también de dispositivos móviles o de cualquier otro dispositivo conectado.

¿Cómo protegerte frente a los backdoors?

En este punto, ahora que sabes qué es un backdoor, es importante volver a diferenciar entre aquellos que se intentan instalar en nuestro sistema (fundamentalmente utilizando troyanos) y los que vienen ya incluidos en él o en alguna aplicación de confianza.

Los primeros son relativamente fáciles de eliminar, puesto que un análisis del tráfico de nuestra red o incluso del propio binario puede sacar a la luz funcionalidades no deseadas. Un antivirus actualizado o, si preferimos entrar nosotros mismos en materia, un análisis profundo con una herramienta de desensamblaje pueden revelar funciones ocultas de backdoor que no se ven a primera instancia.

El problema viene con aquellas aplicaciones o sistemas que lo llevan incluido en su sistema. En esos casos es cuando debemos confiar en la comunidad de usuarios que lo revisan, en el caso de utilizar software libre, o cruzar los dedos y confiar en las buenas intenciones de la empresa a la que hemos dado nuestra confianza.


Conclusión

A día de hoy, los backdoor son una de las herramientas más utilizadas (de forma maliciosa o no) para acceder a los sistemas de los usuarios. Como hemos visto en este post, es probable que tengamos uno instalado y sea perfectamente normal. Sin embargo, debemos permanecer alertas para evitar que alguno no deseado haga de las suyas y cause problemas.


Fuente:No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


#80
Off Topic / Comenta sobre Pokemon Go
Julio 07, 2016, 01:04:38 PM

La expectativa del lanzamiento de Pokemon Go ha sido inmensa (casi tanto como lo que el juego envicia  ;D ) .
Por eso abrimos este post para comentar todo lo que quieras del juego: tips, experiencias, curiosidades, etc.

Saludos

Gabriela
Páginas 1 2 3 4 ... 6