Sin duda las redes TOR han adquirido un protagonismo considerable en estos últimos años. Ya debemos saber que no siempre TOR, se usa para realizar actos delictivos sino también para evadir censuras en países autoritarios y dónde la democracia y libertad de expresión es un lujo escaso.

No obstante, nosotros siempre nos centramos en las posibilidades que puedan dar las redes TOR, tanto ofensivamente como defensivamente.

Hoy toca ser defensivos, y vamos a ver como poder parar de forma simple, visitas desde redes TOR a un servicio apache nuestro, publicado en Internet. Las reglas pararán cualquier intento de conexión pero utilizaremos apache como sonda de prueba.

La idea me surgió hace tiempo pero hoy he podido plasmarla en el artículo. Y es que entrando en pequeños debates de como mejorar servicios de Firewalls conocidos, con un gran profesional al que aprovecho y le mando saludos, me propuse hacer algo básico para trasladar mi idea y/o ponerla en práctica. Empecemos pues:

La idea: No permitir accesos desde redes TOR a nuestro servidor y de paso, bloquear IPs que hayan sido reportadas o estén listadas en repositorios dedicados a recopilar esto.

¿Qué vamos a usar?

• IPTables
  
• IPSet
  
• Feeds de IPs/Maliciosas y TOR
  
• Script base de trick77(Github: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login)
  

Lo primero que haremos será instalarnos IPSet. IPSet es un "añadido" del kernel de Linux. Permite configurar diferentes IPs, MACs, puertos, etc... para cargarlas desde IPTables. El por qué de usarlo es porque permite cargar miles de direcciones IP y solamente cargarla con una línea de IPTables. Sino usáramos esto, tendría que ser el proceso a "manopla" y es inviable a no ser que tengáis mucho tiempo u os montéis un script, que es lo que hacemos nosotros.

El proceso es el de siempre para instalar en Debian/Kali:

apt-get install ipset

Una vez hecho esto, procederemos a la descarga de un script que funciona a las mil maravillas, además de completo, de trick77. Con este programita solucionaremos gran parte del "problema" por lo que seguiremos parte del README aunque haremos algunas aclaraciones para que sea todo 100% operativo así como alguna modificación del código inicial.

Código: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Guardamos en una ruta "popular" de nuestro equipo o VM aunque lo ideal para ponerlo en producción es meterlo en la ruta /usr/local/sbin/.Es un script de Shell de Bash por lo que la extesión será .sh.

Una vez decidido dónde queremos tener alojado nuestro script vamos a otorgarle permisos de ejecución con:

chmod +x /ruta/torblock/script.sh

Creamos una carpeta nueva dónde alojaremos la carpeta principal de IPSet:

mkdir -p /etc/ipset-blacklist

A continuación procedemos a descargar el fichero de configuración que contiene las premisas en las que se basarán nuestros bloqueos.

Podemos descargarlo de: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login y lo situaremos en /etc/ipset-blacklist/

Decir que el fichero de configuración ipset-blacklist.conf contendrá feeds de diferentes tipos de IPs (maliciosas, TOR, spam, etc...)



Estas líneas pueden comentarse para que no realicen la descarga del listado de IPs que queramos excluir. Personalmente, creo que no está de más tener toda la lista en funcionamiento para bloquear la mayoría de IPs que su origen sea dudoso. Nosotros vamos a dejarlo como está, aunque si queréis cambiar o añadir otros servicios, también es válido.

Hecho esto, procederemos a ejecutar el script para que empiece a descargar listados de IPs y trasladarlos a nuestro fichero ipset-blacklist.restore

Usaremos:

./torblock.sh /etc/ipset-blacklist/ipset-blacklist.conf

En la anterior captura se aprecia la ejecución del script que, como decimos, descarga listados de IPs tanto TOR, maliciosas, de SPAM, etcétera... También se ocupa automáticamente de crear el contenedor IPSet, que es un almacenamiento que albergará dichas IPs. Básicamente emplea un comando para crear este contenedor parecido a:

ipset create blacklist [b]hash[/b]:net hashsize 4096

También el script si analizáis el código, añade automáticamente esto:

[i]iptables -I INPUT 1 -m set –match-set blacklist src -j DROP[/i]

Qué es la regla IPTables que llama al contenedor "blacklist" y hace un bloqueo total del contenedor, el cual, como venimos diciendo, contiene las miles de IPs maliciosas.



En esta captura se aprecia una pequeña muestra de la cabecera del fichero que contiene las IPs que hemos descargado de los repositorios.

Hemos llamado el script de trick77 como You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login para que sea más identificativo a la hora de identificarlo y/o configurarlo de forma automática. No obstante hemos modificado algunas premisas para adaptarse mejor a los aplicativos en dónde tenemos esto testeando. La siguiente ruta que aparece junto a la llamada del script, es indicarle la configuración que tomará el script para su ejecución.

Importante: Una de las modificaciones que hemos hecho en el código es añadir una simple línea llamada:

ipset restore < /etc/ipset-blacklist/ip-blacklist.restore

¿Por qué?¿Qué hace esto?

Por la sencilla razón de que si lo integramos, al cronearlo, automáticamente también se actualiza el "contenedor" IPSet. Lo que hace esta línea de código es coger del fichero .restore las nuevas IPs y refrescar la lista.

¿Y si quiero anular el efecto de bloqueo?

• iptables –D INPUT X donde X es el número del listado de las reglas que tengas. Nosotros en el servidor de pruebas tenemos 1, pues sería 1 solo. Otros servidores pueden tener cientos.
  

Recopilemos:

• Tenemos un script llamado You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login que nos actualiza las IPs maliciosas (TOR, Spam, etc...) nos genera el contenedor IPSet donde irán dichas IPs y generará una regla IPTables para bloquear.
  

Mejoras:

– Meter el script de actualización en /etc/rc.local para asegurar su ejecución al inicio del sistema.
– Crontab: Meterle una línea al Cron para que cada X tiempo se ejecute y tenga actualizadas las listas de IPs

Directorio de pruebas:



Visitando el sitio con Firefox con IP Pública:



Visitando el sitio con TorBrowser:



Con esto ya no hay excusa para impedir accesos a nuestros servidores o sitios publicados en Internet. Si no necesitamos/interesa visitas desde redes de anonimato ¿por qué permitirle el acceso?
Estamos, de paso, realizando uno de los pasos importantes a la hora de securizar cualquier dispositivo/servidor, que es reducir la superficie de exposición de ataques.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Es la de PLATA, porque es la única que mantiene lo de las dos mentiras y una verdad. Es la que concuerda en que la de oro mienta ya que dice que esta la foto en su caja y que la de plata dice que en ella no esta la foto, la una que dice la verdad es la de plomo porque dice que en la de oro no esta. 

@You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login ahora que te han dado una orientación a tu problema y crees que podrás seguir adelante, pienso que es mejor cerrar el tema y darlo como "solucionado", si crees que has descubierto algo no dudes en mandarme un MP para reabrir el tema y seguir colaborando para solventarlo.

Un saludo

Increíble lo que llega hacer la tecnología...
Gracias por compartirlo!

Saludos

Yo estoy utilizando ahora You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
, permite multi upload y puedes crear una cuenta para crear álbumes.

Saludos

Perdona pero creo que no nos explicamos bien, creo que ahora lo entenderás con la siguiente captura que he hecho:



¿Lo ves? Tienes que clicarle en "Random" para generar una nueva clave de registro. Solamente tienes que modificar esto cuando intentes infectar el mismo PC dos veces, para que la clave sea distinta. Vuelvo a insistir que esto no es del todo necesario ya que yo siempre he podido infectar el mismo PC en varias ocasiones.

Puedes probar de realizas un test de puertos para salir de dudas, eMule (P2P) por ejemplo tiene un escaner de puertos muy fiable, sigue probando y nos cuentas. Por cierto, Spy-Net en la versión 2.6 lo he estado probando años atrás y nunca tuve errores de DLL

Saludos

¿Enserio 1.000$ un SSD? Yo me he comprado uno de 250GB y me ha costado 74€ (Que serán unos 75$).

Saludos

¿Tipeando manualmente los comandos funciona la instalación y configuración? 

Se me ocurre crear un menú, primera opción instala la aplicación y sale del Script, y en segunda opción los comandos de configuración.

Saludos

Yo no he sido capaz de encontrar nada, pero quiero que sepas que crear un generador de Runpe no es nada sencillo ya que no es seguir 4 pasos... Si buscas un poco por Google verás que la gran mayoría optan por Moddear el Source, porque es la mejor forma para indetectarlo y que funcione correctamente. Crear uno desde 0 a parte de ser complicado tendrías que hacer muchas pruebas para que su funcionamiento sea correcto, no rompa los archivos y además que sea compatible con los distintos sistemas operativos.

Creo que lo mejor es eso, descargas un Source y Moddearlo.

Un saludo

Buenas,

Yo he encontrado esto en Python:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Añado, debes tener descargado y ejecutado DUC No-IP para tener constantemente actualizado el host con tu dirección IP pública.

Saludos

En primer lugar, lo del mutex es para generar un nuevo Server, es decir, en la configuración generas un nuevo mutex para que sea distinto y luego creas el Server y vuelves a infectar la máquina de pruebas.

La opción "persistente" es para que el Server no pierda la conexión una vez se reinicia el que PC o que esté cierre el proceso y no vuelva a ejecutarse por si solo. Es por eso que se recomienda activar esta opción.

Respecto a los errores que te dan te recomendaría otro RAT, por ejemplo Cybergate no te daría errores en Windows XP o Windows 7.

Sigue probando y nos comentas.

Saludos

Podrías crear un Script para vaciarlo.

<?php
$fa=fopen("/carpeta/archivo.txt" "w+");
fwrite($fa,"");
fclose($fa);
?>

Saludos

La mejor forma de desinfectarte es desde el cliente del RAT, una vez infectado verás que hay opciones de "desinstalar server" o "eliminarlo".

Lo mejor es como dice ANTRAX generando un nuevo Server para que el mutex sea distinto,  aunque antes prueba con el mismo porque yo antiguamente hacia pruebas con un solo Server y nunca tuve problemas.

Si necesitas desinfectarte puedes analizar con Malwarebytes el registro de Windows, con eso es suficiente y sino manualmente lo borras desde regedit.


Un saludo

Puedes optar por poner otro router, hay gente que los vende de otro proveedor, ya te serviría. Sino puedes comprar uno a tu gusto 

PD: también es posible flashearlo...

Saludos

En los medios siempre aparece twitter como red social preferida para debatir o para seguir un evento, es curioso lo que se comenta en esta noticia, también hay que decir que WhatsApp siendo el número 1 en mensajería se ha caído mil veces más.

Quizás no es la red social preferida por el resto de usuarios porque no encuentran lo que otras como Facebook o Instagram dan, la fotografía. A mí personalmente me gusta Twtitter porque es única, es una red social para debatir, para ver publicaciones de última hora, temas calientes, etc.


Saludos

Es muy sencillo de crear, en el directorio raíz tienes que crear un archivo que se llame "autorun.inf" y dentro tienes que escribir lo siguiente:

[autorun]
open=NombreArchivo.exe
icon=NombreIcono.ico // Por si quieres ponerle un icono

Si el archivo ejecutable estuviera dentro de una carpeta tendrías que colocar la ruta completa.

Incluso hay softwares como "AutoRun Pro Enterprise" que te lo genera automáticamente.

Saludos

Aunque tu Fake tenga la misma dirección MAC el usuario tendrá que acceder manualmente a la Red e introducir la clave WiFi. Automáticamente no se conectará.

La propia herramienta debería tirar la conexión y cuando vaya a conectarse de nuevo verá la Red fake y si tiene buen alcance la víctima se conectaría a esa Red.


Saludos

Exactamente, lo tienes todo perfecto a simple vista. No te preocupes por la dirección IP pública porque dándole click en Refresh te la asignará automáticamente.

Sobretodo no uses un puerto el cual se esté utilizando para otra cosa,  en principio si es de un juego mientras no esté en uso lo podrás usar para el RAT.

Y en principio eso es todo, sigue probando y otra cosa a tener en cuenta...  Activa la opción "persistente"  en la configuración del Server.


Saludos

Hola!

Cuando se realiza un ataque DDoS tiene que ser constante, no puedes lanzarlo y quitarlo. Yo te recomiendo que uses la técnica de Linset.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Además te dejo este vídeo-tutorial:



Saludos