Menú

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Mensajes - Unname

#2
Dudas y pedidos generales / Re:Pwn phone
Enero 26, 2018, 02:29:02 PM
Lo mejor será que lo flashees nuevamente, yo he probado con ésta: hammerhead-m4b30z-factory-625c027b y funciona de maravillas. Si lo deseas puedes googlear y encontrar el zip enseguida. No necesitas nada para flashearlo, un .bat que viene incluido y listo.
#3
Dudas y pedidos generales / Re:Duda con ssh
Enero 25, 2018, 11:15:58 AM
Buenas,

Desde otra pc conectada en tu red interna, llegas al ssh?

Si tienes la VM bien configurada y alcanzas dentro de la red interna el puerto el próximo paso es como te lo dijo atr0m, necesitas hacer un portforwarding en tu router para accederlo desde fuera, para que cuando conectes a tu ip_pública:port desde fuera redirija la conexión a tu vm ip_server:22.

PD: en tu router no utilices puertos comunes para hacer forward de puertos. Utiliza FreeDNS o algo así para no estar cambiando la dirección de conexión.
#4
Dudas y pedidos generales / Re:VPN en Redes Moviles?
Enero 25, 2018, 10:48:59 AM
Buenas,

No entendí lo que quieres hacer  :( , podrás explicar un poco más por favor?

Por las dudas te aviso, para utilizar una VPN en el celular sin estar en el alcance de tu router, necesitas conexión a internet (datos, wifi, etc). A no ser que que tengas una repetidora con antena  Highlander de tu router y consigas señal  ;D
#5
Buenas,

Como te dijo puntoCL, las veces que ejecutes el payload en la victima será la cantidad de sesiones que tengas nuevas, en tu consola del exploit handler podrás ver las activas con el comando "sessions" y recuerda que si lo que quieres hacer es un reverse_tcp_shell debes cargar en el payload  tu ip ya que lo que quieres es una conexión reversa.

Me quedó una duda, consigues meterpreter o no? 

PD: si lo tuyo fue un ejecutable pasale un shikata_ga_nai quizas sea el antivirus de la pc victima que te corta.
#6
Dudas y pedidos generales / Re:Pwn phone
Enero 25, 2018, 10:22:16 AM
Buenas,

Es solo la ROM del Nexus o quieres ponerle algo más adentro? :)
#7
Dudas y pedidos generales / Re:Outlook 2016
Enero 25, 2018, 09:57:20 AM
Buenas,

Es un pst nuevo que querés abrir? Uno que ya tenías abierto en el correo? o es tu cuenta por defecto ("ost")?

- Si es el .ost (cuenta por defecto) podés renombrar el que ya tenés para que te cargue el nuevo desde el server: vas a C:\Users\%username%\AppData\Local\Microsoft\Outlook y renombras la extensión de tu ost a .v2 por ej.

- Si es un nuevo PST y no podés abrirlo por daño, podés utilizar SCANPST.EXE que lo debes tener en la carpeta de instalación de Microsoft Office.

Tenés más data?


#8

En los últimos meses, Golan Ben-Oni ha sentido que grita hacia el vacío. El 29 de abril alguien atacó a su empleador, IDT Corporation, con dos ciberarmas que le fueron robadas a la Agencia de Seguridad Nacional (NSA, por su sigla en inglés).

Ben-Oni, el director de información global del IDT, pudo repelerlas pero el ataque lo dejó consternado. En 22 años de lidiar con hackers de todo tipo, nunca había visto nada parecido. ¿Quién estaba detrás de eso? ¿Cómo pudieron evadir todas sus defensas? ¿Cuántos más habían sido atacados pero no estaban conscientes de eso?

Desde entonces, Ben-Oni ha expresado su preocupación llamando a cualquiera que lo escuche en la Casa Blanca, el Buró Federal de Investigación (FBI, por su sigla en inglés) y las compañías más importantes de ciberseguridad para advertirles sobre un ataque que aún podría estar dañando invisiblemente a víctimas por todo el mundo.

Dos semanas después de lo sucedido en IDT, el ciberataque conocido como WannaCry causó estragos en hospitales de Inglaterra, universidades de China, sistemas ferroviarios de Alemania e incluso plantas automotrices de Japón. Sin duda fue muy destructivo.

Sin embargo, lo que Ben-Oni atestiguó fue mucho peor y, con todas las miradas puestas en la destrucción causada por WannaCry, pocas personas se han fijado en el ataque contra los sistemas de IDT... y otros similares que seguramente se han producido en otros lugares.

El ataque a IDT, un conglomerado cuyas oficinas centrales tienen una gran vista del horizonte de Manhattan, fue similar a WannaCry en un sentido: los hackers encriptaron los datos de IDT y exigieron un rescate para desbloquearlos. No obstante, la exigencia del rescate solo fue una cortina de humo para ocultar un ataque mucho más invasivo que se robó las credenciales de los empleados.

Con esas credenciales, los hackers podrían haber circulado libremente por la red informática de la empresa, llevándose información confidencial o destruyendo los equipos.

Lo peor es que el ataque, que nunca antes se había reportado, no fue detectado por algunos de los productos de ciberseguridad líderes en Estados Unidos ni por los principales ingenieros de seguridad de las compañías tecnológicas más grandes ni por los analistas gubernamentales de inteligencia.

Si no hubiera sido por una caja negra digital que grabó todo lo que sucedió en la red de IDT, y por la tenacidad de Ben-Oni, el ataque pudo haber pasado inadvertido. Los escaneos realizados a las dos herramientas usadas en contra de IDT indican que la empresa no está sola. De hecho, las mismas armas de la NSA tuvieron acceso ilegal a decenas de miles de sistemas de cómputo en todo el mundo.

Ben-Obi y otros investigadores de seguridad temen que muchas de esas computadoras infectadas estén conectadas a redes de transporte, hospitales, plantas de tratamiento de agua y otros servicios. Un ataque a esas redes, advierte el experto en informática, podría poner en riesgo muchas vidas.

"El mundo está escandalizado con WannaCry, pero esto es una bomba nuclear en comparación con WannaCry", dijo Ben-Oni. "Esto es distinto. Es mucho peor. Se roba las credenciales. No puedes atraparlo y está sucediendo frente a nuestros ojos". Y añadió: "El mundo no está preparado para esto".


Ataque al centro neural

En IDT, Ben-Oni se ha topado con cientos de miles de hackers de todo tipo de causas y niveles de habilidad. Según calcula, los negocios que trabajan con IDT experimentan cientos de ataques al día, pero quizá solo cuatro incidentes le preocupan cada año.

Sin embargo, ninguno se compara con el ataque sufrido en abril. Al igual que el ataque WannaCry de mayo, el realizado contra IDT fue hecho con ciberarmas desarrolladas por la NSA que fueron filtradas en línea por un misterioso grupo que se hace llamar Shadow Brokers, que se piensa que está integrado por ciberdelincuentes respaldados por Rusia, un infiltrado en la NSA o por ambos.

El ataque con WannaCry —que tanto la NSA como los investigadores de seguridad han vinculado a Corea del Norte— usó una ciberarma de la NSA; el ataque a IDT usó dos.

Las oficinas de la NSA en Fort Meade, Maryland. Decenas de miles de sistemas computaciones han sido "hackeados" con herramientas desarrolladas por esta agencia que fueron robadas en abril.

Tanto en WannaCry, como en el incidente de IDT utilizaron una herramienta de hackeo que la agencia llamó EternalBlue. Esa aplicación se aprovechó de los servidores de Microsoft que no tenían las actualizaciones de seguridad para propagar automáticamente el programa malicioso de un servidor a otro, de tal manera que en 24 horas los hackers ya habían contagiado su ransomware a más de 200.000 servidores en todo el planeta.

El ataque a IDT fue un paso más allá: usó otra ciberarma robada a la NSA llamada DoublePulsar. La NSA la desarrolló para infiltrarse en sistemas informáticos sin activar las alarmas de seguridad. Eso permitió que los espías de la NSA pudieran inyectar sus herramientas al centro neural del sistema informático de un objetivo, llamado kernel o núcleo, que gestiona la comunicación entre el hardware y el software de una computadora.

En el orden jerárquico de un sistema de cómputo, el núcleo está en la cima, por lo que permite que cualquiera que tenga acceso secreto a él pueda tomar el control total de un equipo. También es un peligroso punto ciego para la mayor parte del software de seguridad, pues permite a los atacantes hacer lo que quieran sin ser detectados.

Luego los hackers activaron el programa de secuestro (ransomware) como una pantalla para cubrir su motivo real: un acceso más amplio a los negocios de IDT. Ben-Oni se enteró del ataque cuando una contratista, que trabajaba desde casa, prendió su computadora y se dio cuenta de que todos sus datos estaban encriptados y los atacantes exigían un rescate para desbloquearlos. Ben-Oni pudo haber supuesto que se trataba de un simple caso de programa de secuestro.

Sin embargo, le pareció peculiar. Para empezar, estaba perfectamente sincronizado con el sabbat. Los atacantes entraron a la red de IDT a las 18:00 en punto de un sábado, dos horas y media antes de que terminara el sabbat y por lo tanto un momento en que la mayoría de los empleados de IDT —el 40%o de los cuales se identifican como judíos ortodoxos— estaban descansando. Además, los atacantes se infiltraron en la computadora de la contratista a través del módem de su casa, lo cual se le hizo muy extraño.

."Hay que entender que esto es, en realidad, una guerra: con la ofensiva de un lado e instituciones, organizaciones y escuelas del otro, defendiéndose de un adversario desconocido".

La especie de caja negra, un dispositivo de grabación de la red fabricado por la empresa israelí de seguridad Secdo, muestra que primero los atacantes se robaron las credenciales de la contratista. Se las arreglaron para evitar todos los mecanismos de detección de seguridad con los que se encontraron. Finalmente, antes de salir, encriptaron su computadora con un programa de secuestro y le exigieron 130 dólares para desbloquearla. Así encubrieron el ataque, mucho más invasivo, que habían realizado en su computadora.

Ben-Oni calcula que ya habló con 107 expertos e investigadores de seguridad sobre este ataque, incluyendo a los directores de casi todas las principales compañías de ciberseguridad y los jefes de inteligencia contra amenazas de Google, Microsoft y Amazon.

Con excepción de Amazon, que encontró que algunas de las computadoras de sus clientes habían sido escaneadas por la misma computadora que atacó IDT, nadie había visto ningún rastro del ataque antes de que Ben-Oni les avisara. "Comencé a sentir que éramos el conejillo de indias", dijo. "Pero lo grabamos".

Desde el ataque a IDT, Ben-Oni se ha puesto en contacto con muchos de sus contactos para advertirles de un ataque que aún podría estar sucediendo, sin ser detectado, a través de los sistemas de las víctimas. "Se está acabando el tiempo", dijo Ben-Oni. "Hay que entender que esto es, en realidad, una guerra: con la ofensiva de un lado e instituciones, organizaciones y escuelas del otro, defendiéndose de un adversario desconocido".

Nadie se está haciendo cargo

Desde que los Shadow Brokers filtraron las codiciadas herramientas de ataque en abril, los hospitales, escuelas, ciudades, departamentos de Policía y compañías alrededor del mundo han tenido que arreglárselas por sí mismos para defenderse o protegerse ante las armas desarrolladas por el atacante más sofisticado del mundo: la NSA.

En marzo, Microsoft lanzó un parche para software con el fin de que los equipos pudieran defenderse de las herramientas de ataque informático de la NSA, lo que sugiere que la agencia le había avisado a la compañía. No todas las empresas lo instalaron a tiempo y fueron afectadas por WannaCry. Ben-Oni dijo que instaló los parches de Microsoft en cuanto estuvieron disponibles pero los atacantes lograron tener acceso al módem de la casa de la contratista de IDT.

Hace seis años, Ben-Oni se encontró con un empleado de la NSA en una conferencia y le preguntó cómo defenderse ante las amenazas cibernéticas actuales. El hombre le aconsejó "ejecutar tres de todo": tres cortafuegos, tres antivirus, tres sistemas de detección de intrusión. Y así lo implementó.

Pero en este caso, los sistemas de detección y las actualizaciones no detuvieron el ataque a IDT. Tampoco lo hicieron con ninguno de los 128 proveedores de inteligencia contra amenazas públicamente disponibles a los que IDT está suscrito. Ni siquiera lo notaron los diez proveedores de inteligencia contra amenazas en las que su empresa gasta medio millón de dólares anuales por información urgente. Desde entonces ha dicho que podrían regresarles sus productos.

"A nuestra industria le gusta trabajar con problemas conocidos", dijo Ben-Oni. "Este es un problema desconocido. No estamos preparados para él".

No ha hablado con nadie que sepa si ha sufrido un ataque, pero ahora hay videos en YouTube que les enseñan a los criminales cómo atacar sistemas usando las mismas herramientas de la NSA empleadas en contra de IDT, y Metasploit, una herramienta de ataques informáticos automatizada, permite que cualquiera realice estos ataques con solo un clic.

Lo que es peor, dijo Ben-Oni, es que "nadie se está haciendo cargo".

En mayo, él mismo le presentó un resumen al analista del FBI encargado de investigar el ataque con WannaCry. Le dijo que la agencia se había centrado en WannaCry y que, a pesar de que el ataque a su empresa era más invasivo y sofisticado, técnicamente era algo distinto, y por lo tanto el FBI no podía atender su caso. (El FBI no respondió a nuestras solicitudes de comentarios).

Así que Ben-Oni le ha dado seguimiento, en gran medida, por sus propios medios. Su equipo en IDT pudo rastrear parte del ataque a un teléfono Android personal en Rusia, y ha estado proporcionando sus hallazgos a Europol, la agencia europea con sede en La Haya.

"A nuestra industria le gusta trabajar con problemas conocidos. Este es un problema desconocido. No estamos preparados".

Las probabilidades de que IDT haya sido la única víctima de este ataque son pocas. Sean Dillon, un analista sénior en RiskSense, una compañía de seguridad de Nuevo México, fue de los primeros analistas de seguridad en escanear el internet en busca de la herramienta DoublePulsar de la NSA. Encontró decenas de miles de computadoras huéspedes infectadas, que los atacantes pueden usar a su antojo.

"Una vez que DoublePulsar está en el equipo, nada puede evitar que otro llegue y entre por la puerta trasera", dijo Dillon. Es aún más preocupante que Dillon probó los principales productos antivirus contra la infección de DoublePulsar, pero 99 por ciento de ellos no pudieron detectarlo.

"Hemos revisado las mismas computadoras infectadas con DoublePulsar durante dos meses y no sabemos cuántos programas maliciosos hay en esos sistemas", dijo Dillon. "En este momento no tenemos idea de qué ha sido infiltrado en estas organizaciones".

En el peor de los casos, dijo Dillon, los atacantes podrían usar esas puertas secretas para desatar el programa maligno destructivo en infraestructura crucial, inmovilizar sistemas ferroviarios, causar apagones en hospitales o incluso paralizar los servicios de electricidad.

¿Podría avecinarse un ataque así? Los Shadow Brokers volvieron a salir a la luz en mayo, cuando prometieron un cargamento fresco de herramientas de ataque de la NSA e incluso se las ofrecieron a los suscriptores que pagaran mensualmente.

Ben-Oni está convencido de que IDT no es la única víctima y de que estas herramientas pueden usarse —y se usarán— para hacer mucho más daño. "Creo que esta situación es de vida o muerte", dijo. "Hoy somos nosotros, pero mañana puede ser alguien más".


Fuente: New York Times
#9
Off Topic / Re:!!Regrese hermanos !!!!
Febrero 13, 2017, 04:36:15 PM
Welcome back!

A ver si te haces querer esta vez :P

Suerte!

BR,
U.
#10
Buenas,

Miré un pequeño corto de un holandés (Anthony Van de Meer) que modificó su teléfono android con Cerberus (aplicación antirrobo que te permite controlar el teléfono de manera remota), se dejó robar el celular en una estación de tren y luego durante semanas realizó un seguimiento de todos los pasos del ladrón, fotos, videos, mensajes, etc., está entretenido  ;).



BR,
U.
#11
@No tienes permitido ver los links. Registrarse o Entrar a mi cuenta,

Pregunta boba: Has creado algún Custom View dentro de log Security? Allí podrás filtrar por pc, user, etc..sin tener que ver todo...
#12
Buenas @No tienes permitido ver los links. Registrarse o Entrar a mi cuenta,

No terminé de entender bien si lo que quieres es ver los permisos de usuarios sobre los archivos o administrar esos permisos?

Si es lo segundo, te recomiendo que te hagas de algún sistema de administración de dominio, puedes utilizar Active Directory para poder aplicar todas las políticas de red que quieras, crear objetos como usuarios, equipos, grupos, etc., controlar todas las sesiones y mucho más todo desde un sistema de administración donde podrás controlar todo y no andar carpeta por carpeta otorgando permisos y controlando herencias...

BR,
U.
#13
Off Topic / Re:Si fuese el fin del mundo...
Noviembre 23, 2016, 09:37:02 AM
#14
Buenas @No tienes permitido ver los links. Registrarse o Entrar a mi cuenta,

Admiro a la gente que estudia por el sacrificio que conlleva hacerlo, pero la gran parte del conocimiento la consigues fuera del Universidad/Instituto/etc., no quiero ahondar en detalles pero si puedo decirte que como autodidacta y sin títulos también puedes llegar muy lejos y ser muy bueno en el área de la informática. El mundo de hoy te exige que demuestres lo que sabes, no lo que dices saber.

BR,
U.
#15
@No tienes permitido ver los links. Registrarse o Entrar a mi cuenta campeón! Felicidades bro!

BR,
U.
#16
@No tienes permitido ver los links. Registrarse o Entrar a mi cuenta,

Los SP (Store Procedure) son sentencias Transact-SQL, puede ser una o muchas, lo que hacen es ejecutar operaciones en la base de datos. Tú le pasas parámetros y ellos te devuelven valores. Si buscas en internet encontrarás miles de SP genéricos, tienen mil ventajas, son para mejorar las transmisiones entre cliente y servidor, te dan un mejor rendimiento en la BD, ganas en velocidad, más seguridad ya que vos controlas las actividades de este proceso, los bloques de códigos que generes los podés actualizar y compilar desde la BD sin tocar la app, un sysadmin diría que un mantenimiento más sencillo ;D, lo que haces desde la app es realizar la llamada al SP pasandole los parámetros que hayas dispuesto y listo, con esto también evitas sql injection.

Si se me ocurre algo más te lo comento.

Cualquier cosa me avisas numeritos  ;).

BR,
U.
#17
Hola numeritos (@No tienes permitido ver los links. Registrarse o Entrar a mi cuenta),

No son mejoras de rendimiento pero te puede servir algún consejo por arriba?, todo depende de lo que vayas a publicar  :D

Servidores distintos para Servidor web y Motor de base de datos.

Limitar los tamaños de disco y separar por unidades las instalaciones.

Borrar logs del IIS (ocupan mucho), siempre y cuando no los necesites auditar en este caso zipealos y dejalos en otro lado. App de procesamiento = Ej: 7 días y borras Task (Forfiles -p "C:\inetpub\logs\LogFiles\W3SVC1" -s -m *.* /d -7 /c "cmd /c del /q @No tienes permitido ver los links. Registrarse o Entrar a mi cuenta"). App de transacciones bancarias, no borro nada (te salvan vida  ;D).

SQL, procedimientos almacenados, uso limitado a usuarios en la tablas, bkps transaccional.

Algo más me puedes pedir.

BR,
U.
#18
Dudas y pedidos generales / Re:que
Octubre 13, 2016, 10:41:14 AM
Buenas @No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, Bienvenido a Underc0de!

Para que tu post sea tomado como tal tienes que tener presente los siguientes puntos:

1° Detallar el tema a tratar en el asunto para poder referenciar de manera correcta tu POST.
2° No veo ninguna consulta en tu mensaje, solo un enunciado.
3° No se acostumbra a realizar "tareas domiciliarias" en los POST, te pueden brindar ayuda y guía para que tú puedas realizarlo pero nadie te va hacer el trabajo  ;D

Recomendación. Detalla un poco más lo que deseas aprender/resolver para que sea tomado en cuenta, así demuestras que tienes interés en ello.  ;)

Animo!

BR,
U.
#19
Hola @No tienes permitido ver los links. Registrarse o Entrar a mi cuenta !

Me encantan este tipo de noticias, por el mismo sentimiento que compartíamos la última vez que hablamos. Que se les cruza en la cabeza a estos tipos! Esta vez va mensaje por voz, por si no te das cuenta... ;D

Yo en uno de mis OS utilizo AxCrypt para guardar algo de "mis cosas", quedan con extensión .axx y al parecer por lo que vi esta extensión no la afecta el cerber3. Se salvarán?  :(

Sigue así Brujita!

BR,
U.
#20
Buenas a todos,

Desde el primer día en este foro respiré respeto y humildad en las personas que lo llevaban adelante, al día de hoy (conociéndolos un poco más) refuerzo lo dicho y señalo que tienen todo mi apoyo para seguir adelante.  ;)

BR,
U.