This site uses cookies own and third. If you continue to browse consider to accept the use of cookies. OK More Info.

Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

Messages - AXCESS

Pages: 1 2 [3] 4 5 ... 91
41
Dudas y pedidos generales / Re: ayuda con descarga de torrents
« on: May 28, 2022, 06:47:45 pm »
No entendió bien me parece:
Cuando descarga el link obtiene un archivo; ese archivo es el que abre con el descargador (qBitorrent en el ejemplo) que es el que le brinda el contenido y le gestiona la descarga sobre la VPN.

42
Dudas y pedidos generales / Re: ayuda con descarga de torrents
« on: May 28, 2022, 05:10:27 pm »
En Europa el asunto de los torrents es un tanto complicado al igual que en USA.
No obstante, con una VPN (que soporte la plataforma de descarga para torrents P2P) no debe tener problemas porque su ISP y gobierno no lo pueden ver.

ProtonVPN en su modalidad gratuita “me parece” que no soporta el tráfico P2P y lo bloquea. Desconozco si han cambiado ese aspecto de permisividad en la actualidad.

Cuando descarga el link magnético (magnet link) este lo que le descarga es el archivo torrent y no el contenido.

You are not allowed to view links. Register or Login

Una vez que tiene el archivo debe cargarlo con un gestor de descarga para torrent de los muchos que hay, con la VPN levantada y que este soporte P2P:

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login


43
Dudas y pedidos generales / Re: imposible captura de handshake
« on: May 20, 2022, 05:09:59 pm »
Ya veo… es bastante pesado…

Pero bueno, sabe lo que hace y tiene su experiencia, que eso ayuda.

44
Dudas y pedidos generales / Re: imposible captura de handshake
« on: May 19, 2022, 03:21:15 pm »
Y tiene noción del pass por defecto de esos router?
O sea es de 8 digitos o superior aleatorio?
Por qué tantos días?

45
You are not allowed to view links. Register or Login

Reza la frase que: “para que el mundo sea mundo… tiene que haber de todo”; pero esto ya es el colmo.

El Departamento de Justicia de EE. UU. acusó el lunes “a un cardiólogo” venezolano “de 55 añosde ser el autor intelectual del ransomware Thanos; lo acusó del uso y la venta de la herramienta maliciosa y de celebrar acuerdos de participación en las ganancias.

You are not allowed to view links. Register or Login

Se alega que Moisés Luis Zagala González, también conocido por los apodos de Nosophoros, Aesculapius y Nabuchadnezzar, desarrolló y comercializó el ransomware a otros ciberdelincuentes para facilitar las intrusiones y obtener una parte del pago de bitcoin.

Si es declarado culpable, Zagala enfrenta hasta cinco años de prisión por intento de intrusión informática y cinco años de prisión por conspiración para cometer intrusiones informáticas.

"El médico multitarea trató a los pacientes, creó y nombró su herramienta cibernética después de la muerte, se benefició de un ecosistema global de ransomware en el que vendió las herramientas para realizar ataques de ransomware, entrenó a los atacantes sobre cómo extorsionar a las víctimas y luego se jactó de los ataques exitosos. , incluso por parte de actores maliciosos asociados con el gobierno de Irán", dijo el fiscal estadounidense Breon Peace.

El esquema de ransomware-as-a-service (RaaS) involucraba el cifrado de archivos pertenecientes a empresas, entidades sin fines de lucro y otras instituciones, y luego exigía un rescate a cambio de la clave de descifrado.

En esencia, Thanos es un desarrollador de ransomware privado que permite a sus compradores (también conocidos como afiliados) crear su propio software de ransomware personalizado, que luego podrían usar o arrendar a otros actores, ampliando efectivamente el alcance de los ataques.

Un análisis realizado por Recorded Future en junio de 2020 reveló que el constructor viene con 43 opciones de configuración diferentes, llamándolo la primera familia de ransomware que aprovecha la técnica RIPlace para evitar las funciones de protección contra ransomware integradas en Windows 10.

Fuente:
The Hacker News
You are not allowed to view links. Register or Login

46
Debates, Reviews y Opiniones / Re: Día Internacional del internet
« on: May 17, 2022, 11:09:20 pm »
El Li-Fi  lleva ya un tiempo en el mercado como concepto y producto ,y no ha despegado según se esperaba.

El punto es que aun está limitada la tecnología (por el concepto de haz de luz) a espacios cerrados y a cortas distancias.
Las mejoras son muy dependientes de un entorno modernizado led que solo es posible en países desarrollados y reclama inversiones.

Hasta el momento, si no hay progresos sustanciales en el Li-Fi, no suplantará el actual sistema Wifi. E incluso la tecnología Powerline, que transmite por el cableado eléctrico existente, que está teniendo muy buena acogiida como extensores.

Así que… el hacking Wireless aún no ha muerto Srta. ;)


47
Dudas y pedidos generales / Re: imposible captura de handshake
« on: May 17, 2022, 10:45:25 pm »
Ya eso es otra historia Que lo refiere al principio con el tipo de cifrado que usa: CCMP, y es posible los ataques por fuerza bruta, diccionarios, etc., al handshake.

Si nota que el usuario no lo personalizó mucho puede, para su clave de acceso, crear un diccionario de 8 dígitos., si hay referencias de que esa es su clave por defecto. Esto es fácil. Y recuerde corroborar que el hadshake tiene sus cuatro paquetes.

Con el WPS, hay versiones de Routers WPA2 relativamente modernos que aunque esté activado, no admiten modo promiscuidad. Algunos con intentos de unlock sí, pero es lento, El punto es que si le permite la asociación con Reaver… por ahí se va. Si no se lo permite, el Router cambiará el canal, o bloqueará el WPS.

También está la claves por defecto del panel de control del Router: admin admin, etc. que incluso puede levantar la Hydra y correrle un diccionario con pass por defecto.

Todo esto es sí el propietario no personalizó...

48
Dudas y pedidos generales / Re: Gamut Botnet
« on: May 17, 2022, 10:28:26 pm »
Para estar en el mismo plano :

En el GitHub:
You are not allowed to view links. Register or Login

Si escribe en su buscador: “Spambot
Encontrará los diseños actualizados de ese tipo de malware que de hecho es ya viejito.

You are not allowed to view links. Register or Login

No soy especializado en ese tipo de asuntos, pero da la coincidencia que recién he buscado si hay anti-spambots a modo de plugins, y sí los hay muy buenos.

49
Dudas y pedidos generales / Re: imposible captura de handshake
« on: May 15, 2022, 03:20:50 pm »
Reconsiderando...

No le recomiendo intentar nada.

La cuestión es que esos Routers tiene muy buenos firewalls actualizados que detectan redirecciones y manipulación de tráfico como lo es un MITM. Y por ende bloquean, registran, y avisan.

50
Dudas y pedidos generales / Re: imposible captura de handshake
« on: May 14, 2022, 11:21:51 pm »
Si tiene el password y está asociado al Router, esto no significa que tenga la clave de acceso al Router; y debe tenerla para acceder a su panel y obtener el WPS. 

Existen trucos que básicamente consiste en expulsar a los clientes o bloquearle el acceso a internet, redireccionándolos hacia una falsa web de logueo del router para obtener su clave. Es un MITM .

 Debe ser muy cuidadoso en escoger el tipo de MITM pues la seguridad está actualizada.  Y debe informarse sobre el registro del WPS en la generación del WPA3 que tiene sus peculiaridades.

Lo pueden pillar, asi que cuidado.

51
Hola Denisse

Esto de los implantes de chips es el futuro.

Pienso que llegará un momento en que los pasaportes estarán muy relacionados a ellos, entre otros servicios integrativos, como los seguros médicos, bancarios, o de seguridad personal.

También el que por reservas se niegue a usarlos, tendrá problemas en el natural desenvolvimiento en sociedad. Algo como los ancianos, que son renuentes al uso de los móviles, o aquellos que no aparecen en las redes sociales.
Esto dependerá del grado de desarrollo de la nación en que se encuentren que por lo general son los llamados del primer mundo: USA, Noruega, Suecia, Suiza, Bélgica, Japón, Corea del Sur, etc.

Por experiencia les digo que mi gato tiene un implante de rastreo en la oreja. Es un chip como el que describe.

Antes usaba un collar con un GPS, pero era antiestético y causaba problemas.
Me permite donde quiera que esté, desde mi móvil, rastrearlo.


Sin dudarlo, es el futuro, esto de los implantes de chip y serán un desafío en la seguridad y privacidad personal. Sobre todo por la tendencia hacia el control que impone la era moderna por parte de gobiernos, compañías, privados, etc.

52
Dudas y pedidos generales / Re: imposible captura de handshake
« on: May 14, 2022, 10:22:36 pm »
No verifico el modelo del Router, pero por los detalles que refiere y sus pruebas, es moderno y soporta WPA3. Esto incluye todo un espectro de seguridad en el que el ataque por el handshake y para diccionario es inútil, así por el WPS. No le desanimaré con los detalles pues está en internet con las características del WPA3. Esto es sólido, y solo es vulnerable al ataque DragonBlood, y cuyos P0C que he visto dejan mucho que desear (ninguno me ha funcionado) y el original lo tiene su descubridor Mathy Vanhoef que no suelta…

You are not allowed to view links. Register or Login

En resumen: WPA3: nada que hacer (que sepa... y por ahora)

Un Evil Twin no le funcionaría pues el cliente tiene un ID de anclaje directo al AP. Le reitero: es sólida la seguridad.

53
Dudas y pedidos generales / Re: Gamut Botnet
« on: May 13, 2022, 11:06:22 pm »
You are not allowed to view links. Register or Login

escriba en el GitHub: "Spambot" y encontrará los derivados actualizados en diseño

54
Dudas y pedidos generales / Re: Configuración para John the Ripper
« on: May 13, 2022, 10:53:50 pm »
Beginners Guide for John the Ripper (Part 1 + 2 )

You are not allowed to view links. Register or Login


You are not allowed to view links. Register or Login

55
Seguridad Wireless / Script de ataque KRACK
« on: May 13, 2022, 04:15:41 am »
You are not allowed to view links. Register or Login

En el 2016 los investigadores belgas Mathy Vanhoef y Frank Piessens de la Universidad de Leuven, descubren una grave vulnerabilidad en el protocolo Wi-Fi denominándolo: KRACK (Ataque de Reinstalación de Clave)



Este no es más, un grave ataque de repetición. El ataque apunta al apretón de manos (handshake) de cuatro vías usado para establecer un nonce (un tipo de "secreto compartido") en el protocolo WPA2. El estándar para WPA2 anticipa desconexiones WiFi ocasionales, y permite reconectar utilizando el mismo valor del tercer apretón de manos (para una rápida reconexión y continuidad). Ya que el estándar no requiere una clave distinta para ser utilizada en este tipo de reconexion, la cual podría ser necesitada en cualquier momento, un ataque de repetición es posible.

Un atacante puede re-enviar repetidamente el tercer apretón de manos de la comunicación de otro dispositivo para manipular o reiniciar la clave de encriptación de WPA2. Cada reinicio provoca que los datos sean encriptados usando los mismos valores, de manera que bloques con el mismo contenido pueden ser vistos y emparejados, trabajando de manera invertida para identificar partes del conjunto de claves que fueron usados para encriptar aquel bloque de datos. Repetidos reinicios exponen gradualmente más del conjunto de claves hasta que finalmente se conoce la clave completa, y el atacante puede leer todo el tráfico del objetivo en esa conexión.

La debilidad está en el propio estándar Wi-Fi, y no en implementaciones o productos individuales. Por tanto, cualquier implementación correcta de WPA2 es probable que sea vulnerable. La vulnerabilidad afecta a todas las plataformas de software importantes, incluyendo Microsoft Windows, macOS, iOS, Android, y Linux.

La implementación ampliamente usada de código abierto wpa_supplicant, utilizada por Linux, Android, y OpenBSD, es especialmente susceptible ya que puede ser manipulada para instalar una clave de encriptacion de todo-ceros, anulando eficazmente la protección WPA2 en un ataque man-in-the-middle.

Algunos usuarios de WPA2 pueden contrarrestar el ataque actualizando el cliente y el software del punto de acceso del dispositivo Wi-Fi, si tienen dispositivos para los que están disponibles parches del proveedor. Aun así, muchos dispositivos antiguos pueden no ser actualizados, o recibir una actualización retrasada.

Se reitera, este tipo de vulnerabilidad está parcheada en su mayoría y en el sector empresarial fundamentalmente.
Un detalle a tener en cuenta es que esta vulnerabilidad y ataque no revela la clave Wifi, pues no ataca al cifrado, sino al proceso de asociación (handshake).

Este tipo de ataque marca un antes y un después en la seguridad Wireless, y en el longevo protocolo WPA2 que tantos años se mantuvo invicto.

El descubridor, Mathy Vanhoef, expone los detalles de su investigación y publica en el GitHub una herramienta de testeo para los dispositivos Wifi que recrea este tipo de ataque:

You are not allowed to view links. Register or Login

Como bien declara:

You are not allowed to view links. Register or Login

¡Recuerde que nuestros scripts no son scripts de ataque! Necesitará las credenciales de red adecuadas para probar si un punto de acceso o cliente se ve afectado por el ataque KRACK.

No obstante, generó mucho interés por otros investigadores que crearon sus proyectos para “sí recrear un script de ataque" que no necesitara las credenciales previamentes adjudicadas a la herramienta:

You are not allowed to view links. Register or Login

Un ejemplo de Prueba de Concepto (PoC) bien logrado:



You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login


Es notorio como diversas Suite de Pentesting como Kali Linux o el célebre WifiSlax no incluyen aun este interesantísimo script en su arsenal.
Paso que es dado por otras compañías de pentesting de pago que sí incluyen este y otros tipos de ataques posteriores en su repertorio.

Tal es el caso de la Suite de Pentesting Immunity Silica:

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

Específicamente el KRACK se encuentra en la versión 7.32 del Immunity Silica

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

Esta Suite con el KRACK viene en una máquina virtual de Ubuntu

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

Y es de pago:

You are not allowed to view links. Register or Login

Al introducir las credenciales previamente adquiridas, la máquina virtual necesita conexión a internet y comienza a descargar librerías que son los scripts y dependencias propiamente dichos. En otras palabras, la máquina virtual ofrecida es la plataforma, pero sin las herramientas, que se descargan y activan una vez corroboradas las credenciales.

Uno que declara haber crackeado la Suite establecía la observación que la vía estaba en la propia máquina virtual.

Yo intenté clonar la VM hacia otro dispositivo (junto a otros trucos) y no me funcionó, a no ser en el previamente registrado.

De cualquier modo, es una Suite muy interesante:

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

Immunity Silica - WiFi Assessment:

Download Link de la VM con el KRACK (1.4G)
You are not allowed to view links. Register or Login
[Libre de Virus - VM sin las credenciales de Registro]

Fuentes:
Consultas varias sobre internet:
-Wikipedia
-GitHub
-Mathy Vanhoef
-Immunity Silica

56
You are not allowed to view links. Register or Login

Los actores de amenazas han lanzado el 'Proyecto Eternity', un nuevo malware como servicio en el que los actores de amenazas pueden comprar un conjunto de herramientas de malware que se puede personalizar con diferentes módulos según el ataque que se realice.

El kit de herramientas de malware es modular y puede incluir un ladrón de información (stealer), un minero de monedas, un clipper, un programa de ransomware, un esparcidor de gusanos y, pronto, también un bot DDoS (denegación de servicio distribuida), cada uno de los cuales se compra por separado.

You are not allowed to view links. Register or Login

Todo lo anterior se promociona en un canal de Telegram dedicado que cuenta con más de 500 miembros, donde los autores publican notas de lanzamiento para actualizaciones, instrucciones de uso y discuten sugerencias de funciones.

Aquellos que compraron el kit de malware pueden utilizar Telegram Bot para construir el binario automáticamente después de seleccionar qué funciones desean activar y pagarlas con cryptos.


Herramientas en detalle

Comenzando con el ladrón de información (stealer), que se vende por $260 al año, esta herramienta arrebata contraseñas, tarjetas de crédito, marcadores, tokens, cookies y datos de autocompletado almacenados en más de veinte navegadores web.

Además, puede robar información de extensiones de criptomonedas o incluso monederos fríos, y también se dirige a diez administradores de contraseñas, clientes VPN, mensajeros y clientes de juegos.

El módulo minero cuesta $ 90 / año y presenta ocultación del administrador de tareas, reinicio automático cuando se elimina y persistencia de inicio de inicio.

El clipper se vende por $110 y es una utilidad que monitorea el portapapeles en busca de direcciones de billeteras de criptomonedas para reemplazarlas con billeteras bajo el control del operador.

El desarrollador vende Eternity Worm por $ 390, lo que le da al malware la capacidad de propagarse por sí solo a través de controladores USB, redes locales compartidas, archivos locales, unidades en la nube, proyectos de Python (a través del intérprete), cuentas de Discord y cuentas de Telegram.

Finalmente, el ransomware Eternity, el módulo más caro, cuesta $490. Admite el cifrado fuera de línea mediante una combinación de AES y RSA y apunta a documentos, fotos y bases de datos.

Los autores afirman que es FUD (totalmente indetectable), una afirmación que supuestamente está respaldada por los resultados de Virus Total, donde la cepa arroja cero detecciones.

Curiosamente, el módulo de ransomware ofrece una opción para configurar un temporizador que hace que los archivos sean completamente irrecuperables cuando caduca. Esto ejerce una presión adicional sobre la víctima para que pague el rescate rápidamente.

You are not allowed to view links. Register or Login

¿Real o estafa?


Los analistas de Cyble que descubrieron el Proyecto Eternity declararon que, si bien aún no tuvieron la oportunidad de examinar todos los módulos, vieron muestras del malware que circula y se usa en la naturaleza, y todos los comentarios de los usuarios en Telegram apuntan a ser verdadero y una amenaza real.

Al examinar el módulo Stealer, los analistas de Cyble encontraron varias similitudes con Jester Stealer, ambas probablemente derivadas de un proyecto de GitHub llamado DynamicStealer:

You are not allowed to view links. Register or Login

Como tal, el "Eternity Stealer" probablemente sea una copia de ese código, seguido de modificaciones y cambios de marca para venderlo en Telegram con fines de lucro.

Incluso si se trata de "skidware", los módulos adicionales, la atención al cliente, la construcción automatizada y las instrucciones detalladas sobre cómo usar el malware, lo convierten en un arma poderosa en manos de piratas informáticos no calificados y una grave amenaza para los usuarios de Internet.

Fuente:
BleepingComputer
You are not allowed to view links. Register or Login

57
You are not allowed to view links. Register or Login

 La fuerte caída de Bitcoin en los últimos meses (más de un 50% desde sus máximos históricos) puede ser dolorosa para inversores, sobre todo aquellos que no pueden permitirse aguantar sin vender esperando una posible subida futura. Pero para nadie puede ser tan mala noticia como para El Salvador, el primer país del mundo en aceptarlo como moneda de curso legal desde septiembre de 2021.

Nayib Bukele, presidente del país, decidió hacer un all-in a esta criptomoneda desarrollando su propia billetera electrónica, Chivo Wallet, y haciendo acopio de bitcoins para dar bonos a la ciudadanía, el equivalente a 30 dólares por persona en el momento de su entrega. La idea tras este movimiento, según el gobierno salvadoreño, era abrir oportunidades de negocio reduciendo costes y atrayendo turistas. Sin embargo, la apuesta no está saliendo bien en este primer año. Y las cosas podrían ponerse peores en 2023.

Bonos hundiéndose

Según un estudio realizado por el National Bureau of Economic Research, solo una quinta parte de los salvadoreños que descargaron la aplicación Chivo Wallet la siguieron usando una vez gastado el bono de 30 dólares entregado por el gobierno.

Sin embargo, el gobierno continuó anunciando planes en esta línea, como los "bonos volcán" basados en blockchain con los que financiarse para comprar más criptomonedas —paralizados por el poco interés mostrado en ellos— o la 'Bitcoin City', una ciudad costera sin impuestos a la renta ni a las contrataciones con su propia central geotérmica para minar bitcoins sin apenas coste energético. El minado utilizando energía volcánica ya fue puesto en marcha aprovechando las instalaciones existentes, aunque no fue demasiado rentable.

Estos tropiezos iniciales unidos a la caída de valor de la criptomoneda (un 40% desde que se puso en marcha como moneda de curso legal, que también ha servido para que el gobierno compre 500 más) han derivado en otra caída, la de los precios de su deuda soberana.

El hundimiento de sus bonos se acerca al 30%, un 40% en el caso de los que vencen en 2032, una señal de que los mercados perciben esta deuda como de alto riesgo y con un posible escenario de impago. Solo Ucrania, país en guerra por la invasión rusa, ha sufrido una caída mayor en sus bonos de deuda.

Espalda institucional y crediticia

Fitch Ratings ya redujo drásticamente la calificación de la deuda de El Salvador pasándola del nivel B- a CCC, el más bajo previo al de la calificación de pura especulación. Un escenario de impago de sus deudas, conocido como "entrar en default", implicaría perder el acceso a la financiación en los mercados, como ocurrió con Grecia en 2012 (138.000 millones de dólares) o Lehman Brothers en 2008 en el sector privado (600.000 millones de dólares que hicieron caer la economía mundial como si fuese la primera ficha de un dominó).

Moody's le dio un mínimo margen de confianza para poder afrontar el pago de bonos de 2023, 800 millones de dólares dentro de siete meses, aunque manteniendo un nivel de riesgo elevado, ya que se mantiene a la espera de los detalles sobre la reforma del sistema de pensiones anunciada en los últimos meses, algo que podría oxigenar la economía como para hacer frente a las deudas a costa de la pérdida de poder adquisitivo de sus pensionistas.

Ya en las semanas previas a la entrada en vigor de la criptomoneda como moneda nacional acompañando al dólar estadounidense hubo protestas en las calles, tanto por la volatilidad inherente a Bitcoin desde su nacimiento como por el posible blanqueo de capitales que temían que pudiese generar. Ninguna de las dos monedas nacionales son emitidas por el propio país.

El primer factor, que dispara la incertidumbre sobre el valor real de los ahorros de los salvadoreños, se ha hecho notar desde entonces, aunque podría revertir su situación en el caso de una hipotética subida de su valor que multiplique su cotización en dólares, como ocurrió a finales de 2017 o de 2020.

El FMI no tardó en recomendar revertir la decisión de nacionalizar el bitcoin, algo que además encaja en sus intereses como organismo central estabilizador de las divisas, y advirtió de que podría incurrir en un incumplimiento de las condiciones que fija a los países que piden préstamos, que incluyen superar los problemas que le llevaron a esa situación y que sirvan para garantizar la devolución de lo prestado. Algo que el FMI entiende que no sucede con una economía basada en una criptomoneda, y que por tanto puede derivar en la imposibilidad de acceder a más financiación, incluso si no se entrase en default.

El Banco Mundial, por su parte, también rechazó asistir al país en el despliegue de Bitcoin. Un veto institucional que no ayuda a su futuro, y menos con los bonos Bitcoin que no han atraído a un solo inversor. La inestabilidad financiera de la que advertían esas instituciones globales tenía riesgos que se están recrudeciendo.

Fuente:
Xataka
You are not allowed to view links. Register or Login

58
You are not allowed to view links. Register or Login

Se ha filtrado una base de datos con 21 millones de registros en Telegram que expone las direcciones de correo electrónico y las contraseñas cifradas de los usuarios de varias VPN.
 
Según lo que se conoce hasta ahora, el volcado SQL fue publicado en Telegram el 7 de mayo de 2022.

Esta información expone a los usuarios de varios servicios de VPN, incluyendo GeckoVPN, SuperVPN y ChatVPN, y se puso inicialmente a la venta en la DarkWeb en 2021 y ahora se ha publicado de forma gratuita en Telegram. GeckoVPN, SuperVPN y ChatVPN son proveedores de servicios VPN gratuitos.

Estas son las informaciones descubiertas

La brecha contiene 21 millones de registros, contando con 10 GB de datos, exponiendo a unos 21 millones de personas (los registros parecen ser únicos), según lo que se conoce hasta ahora.

En general, la base de datos contiene:

direcciones de correo electrónico;
nombres de usuario; nombres completos;
nombres de países;
cadenas de contraseñas generadas aleatoriamente;
y datos de facturación.

El 99,5% de las direcciones de correo electrónico eran cuentas de Gmail, un porcentaje muy superior a la media. Esto también puede significar que el grupo que filtró el volcado compartió un subconjunto de los datos y no el volcado completo. Vpnmentor pudo ver la información y de ahí extrajo estas conclusiones, pero afirma que, por razones éticas, no se han conservado los datos y solo guarda una muestra a efectos de la investigación.

Los hackers pueden llegar a hacer phishing con la información conseguida. Además, que pueden tener acceso a las contraseñas, podrían hacerse con la cuenta de un usuario y aprovecharse para contactar a otras personas o conocer aún más datos.

Fuente:
Genbeta
You are not allowed to view links. Register or Login

59
You are not allowed to view links. Register or Login

Un malware de puerta trasera (backdoor) recientemente descubierto llamado BPFdoor ha estado apuntando sigilosamente a los sistemas Linux y Solaris sin ser notado durante más de cinco años.

BPFdoor es una puerta trasera de Linux/Unix que permite a los actores de amenazas conectarse de forma remota a un shell de Linux para obtener acceso completo a un dispositivo comprometido.

El malware no necesita abrir puertos, no puede ser detenido por firewalls y puede responder a comandos desde cualquier dirección IP en la web, lo que lo convierte en la herramienta ideal para el espionaje corporativo y los ataques persistentes.

Analizando paquetes 'mágicos'

BPFdoor es una puerta trasera pasiva, lo que significa que puede escuchar en uno o más puertos los paquetes entrantes de uno o más hosts, que los atacantes pueden usar para enviar comandos de forma remota a la red comprometida.

El malware utiliza un rastreador Berkeley Packet Filter (el BPF en el nombre de la puerta trasera), que funciona en la interfaz de la capa de red y puede ver todo el tráfico de la red y enviar paquetes de envío a cualquier destino.

Debido a su posicionamiento en un nivel tan bajo, BPF no cumple con ninguna regla de firewall.

Tiene versiones para sistemas Linux y Solaris SPARC, pero también podría ser portado a BSD.

El investigador de seguridad Kevin Beaumont, declaró que los operadores usan una contraseña "mágica" para controlar las acciones del implante.

BPFdoor analiza solo los paquetes ICMP, UDP y TCP, comprobándolos en busca de un valor de datos específico y también una contraseña para los dos últimos tipos de paquetes.

Lo que hace que BPFDoor se destaque es que puede monitorear cualquier puerto para el paquete mágico, incluso si esos puertos son utilizados por otros servicios legítimos, como servidores web, FTP o SSH.

Si los paquetes TCP y UDP tienen los datos "mágicos" correctos y una contraseña correcta, la puerta trasera entra en acción ejecutando un comando compatible, como configurar un enlace o un shell inverso.

You are not allowed to view links. Register or Login

Beaumont declaró que los paquetes ICMP no necesitan una contraseña, lo que le permitió escanear Internet para ejecutar implantes BPFdoor usando la función ping.

"La función de ping le permite especificar una dirección IP y un puerto para que responda, por lo que pude hacer que los implantes de las víctimas respondieran a una IP completamente diferente que yo controlaba" - Kevin Beaumont

El investigador pudo encontrar actividad de BPFdoor en redes de organizaciones en varias geografías, sobre todo en EE. UU., Corea del Sur, Hong Kong, Turquía, India, Vietnam y Myanmar.

Sorprendentemente, descubrió 11 servidores Speedtest infectados con BPFdoor. El investigador dijo que no está claro cómo se comprometieron estas máquinas, especialmente porque se ejecutan en un software de código cerrado.

Omitir el cortafuegos local

Rowland señala en un informe técnico completo sobre BPFdoor que el malware emplea algunas tácticas inteligentes contra la evasión:

    Reside en la memoria del sistema y despliega una acción anti-forense (borra el entorno del proceso, aunque sin éxito, ya que lo deja vacío)
    Carga un sniffer de Berkeley Packet Filter (BPF) que le permite trabajar frente a cualquier firewall que se ejecute localmente para ver los paquetes.
    Modifica las reglas de 'iptables' al recibir un paquete relevante para permitir la comunicación del atacante a través del firewall local
    Enmascara el binario bajo un nombre similar a un demonio común del sistema Linux
    Cambia el nombre y se ejecuta a sí mismo como /dev/shm/kdmtmpflush
    Cambia la fecha del binario (timestomping) al 30 de octubre de 2008, antes de eliminarlo

Rowland cree que una explicación para el control de tiempo, como una técnica anti-forense en este caso, podría ser que el atacante intente proteger el binario en caso de que falle su eliminación.

El investigador dice que el propósito de la fecha falsa podría ser ocultar el malware de una búsqueda en busca de nuevos archivos en el sistema.

Cambiar las reglas del firewall es de particular importancia porque permite a los atacantes comunicarse con la puerta trasera a través del tráfico que los firewalls no pueden marcar como sospechoso.

Rowland explica que cuando el host infectado recibe un paquete BPFdoor especial, el malware "generará una nueva instancia y cambiará las reglas locales de iptables para realizar una redirección desde el host solicitante al puerto shell".

Por ejemplo, el implante puede redirigir todo el tráfico del atacante usando el puerto TCP 443 (web cifrada) al shell. Externamente, el tráfico parecerá tráfico TLS/SSL pero, de hecho, el atacante está interactuando con un shell raíz remoto en el sistema” - Craig Rowland, Sandfly Security

Para aclarar aún más, Rowland dice que para un shell local, el malware modifica la configuración de 'iptables' para redirigir todo el tráfico proveniente del atacante a través de un puerto legítimo a un rango de puertos definido en el malware.

De esta manera, el atacante puede elegir una conexión sobre cualquier puerto porque se enrutaría al shell detrás del firewall.

You are not allowed to view links. Register or Login

Comandos y detección


Otro análisis técnico sobre BPFdoor de Tristan Pourcelot de la empresa de respuesta a incidentes e inteligencia de amenazas ExaTrack, señala que el malware viene con varios nombres codificados que coinciden con las cadenas de comandos dentro de los paquetes relevantes:

    justtryit, justrobot y justforfun para establecer un shell de enlace en los puertos 42391 a 42491
    socket o sockettcp para configurar un shell inverso a una dirección IP presente en el paquete

Parte de las técnicas de BPFdoor para evadir la detección es cambiar el nombre del binario para que aparezca como un demonio normal de Linux utilizando las siguientes opciones:

/sbin/udevd-d
/sbin/mingetty /dev/tty7
/usr/sbin/console-kit-daemon --no-daemon
hald-addon-acpi: escucha en la interfaz del núcleo acpi /proc/acpi/event
dbus-daemon --sistema
medio corredor
recogida -l -t fifo -u
avahi-daemon: ayudante de chroot
/sbin/auditoría -n
/usr/lib/systemd/systemd-journald

Pourcelot dice que el actor de amenazas actualizó BPFdoor regularmente, mejorando cada versión con diferentes nombres para comandos, procesos o archivos.

Por ejemplo, las variantes más nuevas del implante pasaron de usar palabras clave de comando a hashes MD5, probablemente en un intento de evitar la detección trivial.

Hay al menos 21 versiones de BPFdoor actualmente detectadas en la plataforma de escaneo Virus Total, las primeras enviadas en agosto de 2018.

Si bien la tasa de detección de este implante mejoró, especialmente después de que Beaumont, Rowland y Pourcelot publicaran sus hallazgos, el malware se volvió prácticamente invisible durante mucho tiempo.

Una variante de BPFdoor para Solaris de 2019 pasó desapercibida hasta al menos el 7 de mayo. Hoy, 28 motores antivirus la marcan como maliciosa.

En algunos casos, las detecciones son genéricas y marcan incorrectamente la variante de Solaris anterior como malware de Linux, aunque no es un binario de Linux.

Tristan Pourcelot dice que, si bien BPFdoor no usa técnicas novedosas o complicadas, se las arregló para mantenerse sigiloso durante un período prolongado.

Esto podría explicarse por el hecho de que la tecnología de monitoreo de malware no es tan común en entornos Linux como en Windows. Además, "los proveedores tienen una visibilidad significativamente menor", dijo Beaumont.

Craig Rowland está de acuerdo en que este es un gran problema. Incluso si existe un monitoreo, las personas no saben qué buscar o utilizan el enfoque incorrecto para encontrar malware de Linux.

El investigador nos dijo que algunos administradores usan hashes criptográficos para escanear el sistema en busca de malware o archivos maliciosos. Esto no funciona bien porque el cambio más pequeño en el archivo da como resultado un nuevo hash.

Además, EDR [Detección y respuesta de punto final] quiere cargar agentes por todas partes y los agentes rompen Linux, por lo que a menudo no son una buena opción. Entonces, la gente vuela desnuda con Linux a menudo y suceden cosas como esta "- Craig Rowland, refiriéndose particularmente a los sistemas Linux más antiguos

Rowland dice que la búsqueda de BPFdoor es fácil, al menos para la versión de Linux que analizó, ya que sus tácticas muestran claramente que "son maliciosos listos para usar".

Florian Roth, el creador del escáner THOR APT de Nextron Systems, encontró el código fuente de una versión anterior de BPFdoor de 2018. El código ahora está disponible públicamente en Pastebin:

Red Menshen BPFDoor Source Code
You are not allowed to view links. Register or Login

Fuente:
BleepingComputer
You are not allowed to view links. Register or Login

60
You are not allowed to view links. Register or Login

NVIDIA ha publicado el código fuente de sus módulos del kernel de Linux para el controlador R515, lo que permite a los desarrolladores brindar una mayor integración, estabilidad y seguridad para las distribuciones de Linux.

El código fuente se ha publicado en el repositorio GitHub de NVIDIA bajo un modelo de licencia dual que combina las licencias GPL y MIT, lo que hace que los módulos sean legalmente redistribuibles.

You are not allowed to view links. Register or Login

Los productos compatibles con estos controladores incluyen todos los modelos creados en la arquitectura Turing y Ampere, lanzados después de 2018, incluidas las series GeForce 30 y GeForce 20, GTX 1650 y 1660, y la serie A de grado de centro de datos, Tesla y Quadro RTX.

Según el fabricante de GPU, este es un paso hacia la mejora de la experiencia de sus productos en la plataforma Linux, la simplificación del proceso de integración en las distribuciones de Linux, la depuración y el aumento de la actividad de contribución.

"Los desarrolladores pueden rastrear las rutas del código y ver cómo la programación de eventos del kernel interactúa con su carga de trabajo para una depuración más rápida de la causa raíz. Además, los desarrolladores de software empresarial ahora pueden integrar el controlador sin problemas en el kernel de Linux personalizado configurado para su proyecto". - Nvidia.

NVIDIA ha sido duramente criticada en el pasado por negarse a seguir un enfoque más abierto y colaborativo con la comunidad de código abierto, por lo que este movimiento se produce después de muchos años de presión.

Red Hat, SUSE y Canonical, el fabricante de Ubuntu, han emitido declaraciones breves para celebrar este desarrollo y resaltar los beneficios que traerá a sus usuarios y clientes.

Los nuevos módulos de núcleo de GPU de código abierto de NVIDIA simplificarán las instalaciones y aumentarán la seguridad para los usuarios de Ubuntu, ya sean desarrolladores de IA/ML, jugadores o usuarios de la nube”, comentó Cindy Goldberg, vicepresidenta de alianzas de silicio en Canonical. “Como creadores de Ubuntu, el sistema operativo basado en Linux más popular para desarrolladores, ahora podemos brindar un soporte aún mejor a los desarrolladores que trabajan en la vanguardia de AI y ML al permitir una integración aún más estrecha con las GPU NVIDIA en Ubuntu”.

You are not allowed to view links. Register or Login

Lo que esto significa para Linux

Si bien este es el movimiento más amigable con el código abierto que NVIDIA haya tomado, muchos argumentan que no es lo que parece, ya que gran parte del código se movió al firmware antes del código abierto.

Además, los controladores de modo de usuario seguirán siendo de código cerrado y se publicarán con binarios preconstruidos, por lo que, cuando se evalúan en general, una gran parte del controlador de gráficos moderno sigue siendo de código cerrado.

El desarrollo no hace que los controladores de NVIDIA formen parte del kernel de Linux y no puede ocurrir una integración ascendente. Sin embargo, esto no significa que el movimiento de NVIDIA sea insignificante para el mundo Linux.

El código fuente publicado puede ayudar a los desarrolladores del controlador Nouveau, el controlador de gráficos de código abierto para las tarjetas de video NVIDIA, a mejorar su código y mejorar considerablemente su rendimiento.

Anteriormente, estos desarrolladores tenían que confiar en la ingeniería inversa y muchas conjeturas. Ahora, pueden analizar las funcionalidades de la GPU, como el reloj y la gestión térmica, e implementar mejoras específicas en el controlador de código abierto.

El director de gráficos de Red Hat, Christian Schaller, ha publicado una publicación de blog en la que explica que la medida de NVIDIA no tendrá un gran impacto en los controladores y las distribuciones de Linux inicialmente.

Sin embargo, a largo plazo, el controlador binario (de código cerrado) comenzará a aprovechar las API exclusivas de GPL en el kernel, y el soporte listo para usar para nuevos conjuntos de chips en distribuciones de Linux mejorará enormemente.

En cuanto al piloto Nouveau, Schaller no espera beneficios inmediatos, pero se presentarán muchos aspectos positivos a largo plazo.

Para la comunidad de código abierto, significa que ahora tendremos un controlador de kernel y un firmware que permite cambiar el reloj de la GPU para brindar el tipo de rendimiento que la gente espera de la tarjeta gráfica NVidia, y significa que tendremos una -controlador de origen que tendrá acceso a las actualizaciones de firmware y kernel desde el primer día para las nuevas generaciones de hardware de NVidia. - Blog de GNOME

Fuente:
BleepingComputer
You are not allowed to view links. Register or Login

Pages: 1 2 [3] 4 5 ... 91