Suscribete a Mi Canal en YOUTUBE , da Click --> AQUÍ.

Canal acádemico donde se enseñará como atacan los ciberdelincuentes y como protegerse de estos ataques.

miércoles, 16 de agosto de 2017

PORTIA: automatiza el escalado de privilegios durante un pentest.

Portia es un género de araña saltadora que se alimenta de otras arañas y es conocida por su comportamiento de caza inteligente y su capacidad de resolución de problemas que por lo general sólo se encuentra en animales más grandes.

Por esa razón, Keith Lee (@keith55) de Spiderlabs eligió ese nombre para una herramienta que presentó en la Defcon 25 y que tiene como objetivo automatizar una serie de técnicas comúnmente realizadas en pruebas internas de intrusión de red después de que una cuenta con privilegios bajos haya sido comprometida
Escalado de privilegiosMovimiento lateralMódulos convenientesPortia permite proporcionar un nombre de usuario y una contraseña que haya capturada y crackeada previamente, así como en rangos IP, subredes o listas de direcciones IP. La herramienta encuentra su camino alrededor de la red e intenta obtener acceso a los hosts, encuentra y descarga las contraseñas/hashes y las reutiliza para comprometer otros hosts en la red. En resumen, la herramienta ayuda con los movimientos laterales en la red y la automatización de la escalada de privilegios, así como encontrar datos sensibles que residen en los hosts.

Dependencias

apt-get update apt-get install -y autoconf automake autopoint libtool pkg-config freetds-dev pip install pysmb tabulate termcolor xmltodict pyasn1 pycrypto pyOpenSSL dnspython netaddr python-nmap cd /opt git clone https://github.com/CoreSecurity/impacket python setup.py install cd /opt git clone https://github.com/libyal/libesedb.git && cd libesedb ./synclibs.sh ./autogen.sh cd /opt git clone https://github.com/csababarta/ntdsxtract && cd ntdsxtract python setup.py install pip install git+https://github.com/pymssql/pymssql.git cd /opt git clone https://github.com/volatilityfoundation/volatility && cd volatility python setup.py install cd /opt git clone https://github.com/SpiderLabs/portia
Demo 

Url del video:https://asciinema.org/a/45ry3g26devqcabpugwyz4to5

Fuentehttps://github.com/SpiderLabs/portia

________________________________
Tomado de: http://www.hackplayers.com/2017/08/portia-automatiza-el-escalado-de-privilegios.html?m=1#more
Se Respetan Derechos de Autor.

sábado, 5 de agosto de 2017

PAFISH (Paranoid Fish): Herramienta de detección de entornos virtualizados.

Con el fin de ser capaces de detectar si se está ejecutando un software dentro de: un depurador, una máquina virtual (VM) o una sandbox, hay algunos proyectos bien conocidos de código abierto que son capaces de lograr esto. Son a menudo utilizados por los desarrolladores de malware, uno de los más conocidos se llama Pafish (Paranoid Fish). 

Pafish es una herramienta para detectar entornos de análisis de malware, replicando las acciones que el malware hará normalmente para detectar si está siendo analizado. Viene con una serie de controles genéricos y específicos para revelar la presencia de ciertos productos de seguridad. Esto permite a los desarrolladores y usuarios de tales herramientas de análisis identificar y si es posible, mitigar sus debilidades en términos de detectabilidad. Desafortunadamente, la mitigación no siempre es posible ya que algunos mecanismos de detección buscarán efectos secundarios inevitables de la tecnología de monitoreo aplicada. Por ejemplo, si la herramienta de análisis se basa en llamadas de función de Hooking, es relativamente trivial detectar la modificación de memoria resultante y probablemente no es posible mitigarlo.

Es importante señalar que la detección de la máquina virtual ya no es tan relevante para los autores de malware como lo había sido en el pasado, y su relevancia puede desaparecer completamente en los próximos años a medida que la virtualización se convierta en una parte omnipresente de los entornos de producción empresarial. Sin embargo, todavía existe una gran cantidad de malware heredado que se niega a funcionar correctamente cuando se ejecuta dentro de una máquina virtual. Para ciberamenazas complejas modernas, es más relevante ocultar los artefactos específicos de la propia solución de seguridad, porque esto es lo que realmente diferencia el entorno de análisis, de una máquina de víctimas reales. Dependiendo de la tecnología subyacente, puede llegar a ser difícil, o incluso imposible alcanzar este objetivo: cuanto más interviene el componente de monitorización en el entorno de análisis, más complejo se vuelve esconder completamente sus pistas. Esa es una de las razones por las que los sistemas de análisis sin agentes son tan potentes.

Si un código malicioso se ejecuta dentro de un depurador, VM o sandbox debe desviarse de su ruta original y hacer algo legítimo o terminar de inmediato. Si no se está ejecutando en ninguno de estos entornos, debería ejecutar el código malicioso e infectar el sistema.

Pafish está escrito en C y puede ser construido con MinGW (gcc + make). Es posible ver el código fuente del proyecto, que tiene diferentes archivos, cada uno utilizado para diferentes propósitos de detección:


  • Detectar un depurador: “debuggers.c”. 
  • Detectar una caja de seguridad: “gensandbox.c”. 
  • Detectar funciones Hooking: “hooks.c”. 
  • Detectar VirtualBox: “vbox.c”. 
  • Detectar VMWare: “vmware.c”. 
  • Detectar Qemu: “qemu.c”. 
  • Detectar Bochs: “bochs.c”. 
  • Detectar Cuckoo: “cuckoo.c”. 
  • Detectar Sandboxie: “sandboxie.c”.
  • Detectar vino: “wine.c”. 

Pafish sólo contiene detecciones de depurador muy simples utilizando dos funciones de la API de Windows: IsDebuggerPresent() y OutputDebugString() . Dado que la mayoría de las sandbox de malware no utilizan la depuración en la máquina, estas comprobaciones son inútiles para detectarlas. Además de las rutinas Pafish, hay muchos métodos más sofisticados para detectar depuradores, ya sea genérica o específicamente.

Pafish utiliza diferentes comprobaciones para detectar la presencia de una máquina virtual y un hipervisor de hardware subyacente, que se basan en las propiedades de la CPU:


  • El primer método utiliza el contador de marcas de tiempo (TSC) de alto rendimiento. Para ello, la instrucción rdtsc se ejecuta más adelante y se calcula la diferencia entre las dos marcas de tiempo resultantes. Si esta secuencia se ejecuta en una máquina virtual y el hipervisor intercepta las ejecuciones rdtsc , la diferencia de tiempo resultante es mucho mayor que en un sistema regular. Sin embargo, si uno tiene control total sobre el propio hipervisor, el ataque puede ser fácilmente frustrado. La CPU sólo tiene que ser configurado para permitir a los invitados la ejecución de la instrucción rdtsc sin ser capturada en el hipervisor. 
  • El segundo ataque basado en la CPU es una versión ligeramente más sofisticada que la primera. En lugar de utilizar rdtsc, pafish  usa para medir el tiempo de ejecución de la instrucción cpuid . El truco aprovecha el hecho de que en la mayoría de las CPU x86 esta instrucción siempre atrapa al hipervisor. En las CPUs Intel este comportamiento no se puede cambiar en absoluto y en AMD su desactivación da lugar a otros problemas y formas de detectar la VM. Sin embargo, las CPUs modernas permiten un cálculo preciso del tiempo necesario para instrucciones como vmenter, vmexit o cpuid. Este conocimiento se puede utilizar para ocultar de forma transparente los ciclos de reloj que se consumen fuera de la máquina invitada y por lo tanto hacer el hipervisor imposible de ser detectado. 
  • La tercera comprobación trata de inferir la existencia de un hipervisor leyendo el bit presente de hipervisor dedicado a las CPUs: CPUID.1: ECX.HV [bit 31] . Sin embargo, al tener un hipervisor personalizado es fácil desactivar simplemente ese bit en particular, porque es únicamente informativo. 
  • La comprobación final lee la cadena del proveedor de la CPU utilizando la instrucción cpuid y luego la compara con el conjunto: "KVMKVMKVMKVM",  "Microsoft Hv", "VmwareVMware" y "XenVMMXenVMM". Obviamente, estas cadenas pertenecen a los bien conocidos hipervisores: KVM, Hyper-V, VMWare y XEN . De nuevo, si se aplica un hipervisor personalizado, es realmente fácil devolver valores válidos que se asemejan a los mismos resultados que cuando se ejecuta en un sistema real. 


Se pueden hacer detecciones genéricas de sandbox que prueban la presencia de ciertos artefactos y efectos secundarios que a menudo existen en entornos de análisis. Pafish está equipado con 10 controles genéricos diferentes para ese propósito.

La primera prueba comprueba si la posición del ratón cambia en dos segundos y si no se detecta ningún movimiento, el sistema se marca como una sandbox. Esto obviamente no es una prueba confiable, porque también los usuarios reales a menudo no mueven el ratón durante dos segundos o más. VMRay proporciona simulación de usuario sofisticada que, entre otros, simula movimientos de ratón y entradas de teclado. Sin embargo, puede ocurrir que durante la ejecución de Ppafish el ratón no se mueva durante más de dos segundos; Al igual que en un sistema real. Por lo tanto, Pafish detecta a veces VMRay de esta manera, al igual que lo hace con las estaciones de trabajo de usuario real. Sin embargo, mientras sigue siendo inútil contra el malware real, sería posible simular constantemente el movimiento del ratón.

Aparte de eso, pafish examina la configuración de varios recursos de hardware y detecta configuraciones que son poco comunes para los sistemas de usuarios finales reales. Por ejemplo, el tamaño de la memoria física se comprueba por ser menor o igual a 1 GB, y el tamaño del disco duro se compara con 60 GB. Además, se obtiene el número de núcleos de CPU existentes y se comprueba que es igual a uno solo. Los entornos de análisis de VMRay pueden personalizarse completamente para utilizar configuraciones típicas del sistema de usuario final. Por lo tanto, es realmente fácil superar este tipo de detecciones.

Un error trivial, pero a menudo muy visto, es dejar huellas obvias en las máquinas de análisis. Pafish comprueba si el nombre de usuario actual es SANDBOX, VIRUS o MALWARE, si la ruta de acceso ejecutable contiene SAMPLE, VIRUS o SANDBOX, y si no se puede extraer la unidad de almacenamiento que contiene un archivo denominado sample.exe o malware.exe en su directorio raíz. Las correcciones a esta detección son obvias y directas.

Los recursos de Sandbox son escasos en relación con la gran cantidad de archivos que necesitan ser analizados y por lo tanto el tiempo dedicado a cada análisis a menudo tiene que estar limitado a sólo unos minutos. Los programas maliciosos explotan a menudo esta limitación estancando la ejecución de la carga útil malintencionada durante cierto tiempo. Las sandbox podrían contrarrestar esto remendando llamadas a la API Sleep () , es decir, acelerando artificialmente el tiempo. Sin embargo, esto puede ser fácilmente detectado por el malware al consultar otras fuentes de tiempo y comparar los resultados. Como ejemplo Pafish utiliza el API GetTickCount () para ese fin. Sólo si se tiene un control total sobre todos los temporizadores internos dentro de la CPU (y probablemente algunos otros dispositivos también), está habilitado para saltar adelante el tiempo de forma transparente y no detectable. Para ser una parte interna del hipervisor y tener un control total sobre todos los dispositivos, lo coloca en esta poderosa posición.

QEMU es un simulador común de código abierto que se utiliza en muchos sistemas de análisis. El uso tradicional es emular un sistema informático completo, que da control total sobre todo, pero es dolorosamente lento. Otro uso es combinarlo con un hipervisor asistido por hardware, como KVM , y utilizar sólo las partes que simulan los dispositivos de hardware. No importa qué escenario de uso se elija, todos los dispositivos simulados contienen cadenas de proveedores e identificadores que facilitan la detección de la presencia de QEMU. Para ello, Pafish comprueba los valores de las dos claves del registro:


  • "HARDWAREDEVICEMAPScsiScsi Puerto 0Scsi Bus 0Target Id 0Logical Unit Id 0Identifier" 
  • "HARDWAREDescriptionSystemSystemBiosVersion" 

Una vez más, si uno es parte integral del hipervisor y por lo tanto está habilitado para modificar todas las partes de él libremente, es una tarea fácil eliminar todos los artefactos relacionados con QEMU de los nombres de los dispositivos y sus configuraciones de registro resultantes.

Pafish comprueba  la cadena de la marca de la CPU, que es devuelta por cpuid . Si contiene el valor QEMU Virtual CPU , está claro que se utiliza un simulador. También esta cadena devuelta se puede modificar fácilmente si el hipervisor está bajo control total de la ejecución de la instrucción cpuid.
Similar a las detecciones QEMU descritas anteriormente, Pafish contiene más métodos para identificar software específico como Sandboxie, Wine, VirtualBox, VMware, Bochs o Cuckoo Sandbox . Todos los controles relacionados apuntan a artefactos específicos y en su mayoría no extraíbles que son causados por el uso de los productos de software en particular. Obviamente, VMRay no puede ser detectado por ninguno de estos métodos. Sin embargo, es posible rastrear todos los intentos de detección por sí mismos, ya que estés intentos aumenta la sospecha de la pieza de software analizada.

Pafish es una gran herramienta para endurecer un entorno de análisis de malware, aunque esto no es posible en todos los casos debido a los efectos secundarios no remediables de ciertas tecnologías. Mientras que en el pasado la detección de máquinas virtuales solía ser un poderoso mecanismo para que el malware ocultara su comportamiento real, la eficacia de este enfoque está disminuyendo constantemente debido al uso omnipresente de la virtualización en sistemas productivos, tanto de servidor como de cliente. En contraste con que el malware es más frecuentemente apuntando a la detección de artefactos de sandbox, como modificaciones del sistema operativo o configuración inusual de software y hardware . Para disminuir la superficie de ataque es necesario tener poco entretejido entre el sistema sandbox  y el entorno de análisis.

Más información y descarga de  Pafish:
https://github.com/a0rtega/pafish

__________________________________________________________
Tomado de: www.gurudelainformatica.es/2017/08/herramienta-de-deteccion-de-entornos.html
Se Respetan Derechos de Autor.

miércoles, 2 de agosto de 2017

66 CURSOS ONLINE GRATUITOS QUE INICIAN EN AGOSTO 2017.

Conoce la oferta de cursos online gratuitos que comienzan en agosto y te permiten adquirir nuevas habilidades en distintas áreas.

Hoy les presentamos nuestra recopilación de los principales cursos en línea gratuitos que inician en agosto. Tenemos un nutrido repertorio de contenidos educativos para distintas especialidades del ámbito profesional.

Los cursos que presentamos cuentan con el aval y reconocimiento de las universidades mejor rankeadas del mundo, una razón más para sentirse tentado a participar.

Sólo tienes que explorar la lista de enlaces que compartimos más abajo para acceder a la agenda de cursos y los pasos necesarios para registrarte de forma gratuita. Aunque la mayoría de cursos cuenta con la posibilidad de solicitar una acreditación oficial que certifique tu formación, este beneficio tiene un costo de entre 30 y 50 dólares americanos. Pero claro, la certificación es opcional, por lo tanto, podremos acceder a los cursos y todo el material audiovisual de forma gratuita.

Sin más preámbulos, aquí les presentamos cada uno de los cursos que inician en agosto y les dejamos los enlaces correspondientes. Recuerda compartir y recomendar este post en tus redes sociales.

Cursos online de Ciencias Sociales

 

#1. Principios de la microeconomía
Impartido por: University of Illinois
Enlace: Ir al curso

#2. Geopolítica y gobernanza global: riesgos y oportunidades
Impartido por: ESADE Business and Law School
Enlace: Ir al curso

#3. Diseño de proyectos para promover el bienestar
Impartido por: Universidad de los Andes
Enlace: Ir al curso

#4. Hacia una práctica constructivista en el aula
Impartido por: Pontificia Universidad Católica de Chile
Enlace: Ir al curso

#5. El desafío de Innovar en la Educación Superior
Impartido por: Universidad de Chile
Enlace: Ir al curso

#6. Sexualidad y educación
Impartido por: Universidad de los Andes
Enlace: Ir al curso

#7. Introducción a los derechos humanos
Impartido por: Universidad de Ginebra
Enlace: Ir al curso

#8. Democracia y decisiones públicas
Impartido por: Universidad Nacional Autónoma de México
Enlace: Ir al curso

#9. Introducción a las Ciencias de la Comunicación
Impartido por: Universidad de Ámsterdam
Enlace: Ir al curso

#10. Sexualidad…mucho más que sexo
Impartido por: Universidad de los Andes
Enlace: Ir al curso

#11. Introducción al derecho penal internacional
Impartido por: Universidad Case Western Reserve
Enlace: Ir al curso

Cursos online de Arte y Humanidades:

 

#12. El Mundo Moderno, Primera Parte: Historia Global desde 1760 a 1910
Impartido por: University of Virginia
Enlace: Ir al curso

#13. El Valle de los Reyes
Impartido por: Universitat Autònoma de Barcelona
Enlace: Ir al curso

#14. El terrorismo y el contraterrorismo: comparación de la teoría con la práctica
Impartido por: Universiteit Leiden
Enlace: Ir al curso

#15. América Latina en los cambios internacionales: amenazas y oportunidades.
Impartido por: Universidad de Chile
Enlace: Ir al curso

#16. Los Griegos de la Antiguedad
Impartido por: Universidad Wesleyana
Enlace: Ir al curso

#17. Egiptología
Impartido por: Universitat Autònoma de Barcelona
Enlace: Ir al curso

#18. El Surgimiento del Medio Oriente Moderno
Impartido por: Tel Aviv University
Enlace: Ir al curso

#19. Gabriel García Márquez entre el poder, la historia y el amor
Impartido por: Universidad de los Andes
Enlace: Ir al curso

#20. Prehistoria, Propósito y Futuro Político de la Biblia
Impartido por: Universidad Emory
Enlace: Ir al curso

#21. Introducción a la Filosofía
Impartido por: Universidad de Edimburgo
Enlace: Ir al curso

#22. ¿Cómo persuadir? Jugando con palabras, imágenes y números
Impartido por: Universitat Autònoma de Barcelona
Enlace: Ir al curso

#23. Pensamiento Científico
Impartido por: Universidad Nacional Autónoma de México
Enlace: Ir al curso

#24. Representaciones culturales de las sexualidades
Impartido por: Universitat Autònoma de Barcelona
Enlace: Ir al curso

#25. Arte y Actividades: Estrategias Interactivas para Comprometerse con el Arte
Impartido por: The Museum of Modern Art
Enlace: Ir al curso

#26. Introducción a la guitarra
Impartido por: Berklee, Banco Interamericano de Desarrollo
Enlace: Ir al curso

#27. La Música de los Beatles
Impartido por: Universidad de Rochester
Enlace: Ir al curso

#28. Producción Musical y su Efecto en la Composición
Impartido por: Berklee, Banco Interamericano de Desarrollo
Enlace: Ir al curso

Cursos online de Negocios:

 

#29. Claves para Gestionar Personas
Impartido por: IESE Business School
Enlace: Ir al curso

#30. Gestión de Compañías de Bebida y Comida
Impartido por: Università Bocconi
Enlace: Ir al curso

#31. La gestión de personas y equipos
Impartido por: IESE Business School
Enlace: Ir al curso

#32. Administración Estratégica y Emprendedora
Impartido por: Universidad de Nuevo México
Enlace: Ir al curso

#33. ¿Qué hacen los buenos directivos? Prioridades de la Alta Dirección
Impartido por: IESE Business School
Enlace: Ir al curso

#34. La gestión en la empresa familiar
Impartido por: ESADE Business and Law School
Enlace: Ir al curso

#35. Modelos de empresa familiar: del capitán al grupo inversor
Impartido por: ESADE Business and Law School
Enlace: Ir al curso

#36. Finanzas Personales
Impartido por: Universidad Nacional Autónoma de México
Enlace: Ir al curso

#37. Fundamentos de Finanzas Empresariales
Impartido por: Universidad de los Andes
Enlace: Ir al curso

#38. Introducción a la Contabilidad Financiera
Impartido por: IESE Business School
Enlace: Ir al curso

#39. Marketing en un Mundo Digital
Impartido por: Universidad de Illinois
Enlace: Ir al curso

#40. Marketing Verde
Impartido por: Universidad de los Andes
Enlace: Ir al curso

#41. Patrocinio Deportivo
Impartido por: Universitat Autònoma de Barcelona
Enlace: Ir al curso

#42. Gestión Empresarial Exitosa para Pymes
Impartido por: Pontificia Universidad Católica de Chile
Enlace: Ir al curso

#43. Más allá de Silicon Valley: crecimiento de emprendedores en economías de transición
Impartido por: Universidad Case Western Reserve
Enlace: Ir al curso

#44. Decodificando Silicon Valley: cultura, innovación y emprendimiento
Impartido por: Pontificia Universidad Católica de Chile
Enlace: Ir al curso

#45. Emprender la emprendeduría
Impartido por: Universitat de Barcelona
Enlace: Ir al curso

Cursos online de Ciencias de la Computación:

 

#46. ¡A Programar! Una introducción a la programación
Impartido por: Universidad ORT Uruguay
Enlace: Ir al curso

#47. Introducción a la programación en Python I
Impartido por: Pontificia Universidad Católica de Chile
Enlace: Ir al curso

#48. La Web Semántica
Impartido por: Pontificia Universidad Católica de Chile
Enlace: Ir al curso

#49. Detección de objetos
Impartido por: Universitat Autònoma de Barcelona
Enlace: Ir al curso

#50. Ludificación
Impartido por: Universidad de Pensilvania
Enlace: Ir al curso

#51. Sistemas Digitales: De las puertas lógicas al procesador
Impartido por: Universitat Autònoma de Barcelona
Enlace: Ir al curso

Cursos online de Desarrollo Personal:

 

#52. Aprendiendo a aprender: Poderosas herramientas mentales con las que podrás dominar temas difíciles
Impartido por: Universidad de California
Enlace: Ir al curso

#53. Chino para Principiantes
Impartido por: Universidad de Pekín
Enlace: Ir al curso

#54. Aprender
Impartido por: Universidad Nacional Autónoma de México
Enlace: Ir al curso

#55. Bienestar, equidad y derechos humanos
Impartido por: Universidad de los Andes
Enlace: Ir al curso

#56. Introducción a la negociación
Impartido por: Universidad de Chile
Enlace: Ir al curso

#57. Cómo enfrentar la primera experiencia laboral.
Impartido por: Universidad de Chile
Enlace: Ir al curso

#58. Formadores de Ciudadanía
Impartido por: Universidad de los Andes
Enlace: Ir al curso

Cursos online de Ciencias Físicas e Ingeniería:

 

#59. Electrones en Acción: Electrónica y Arduinos para tus propios Inventos
Impartido por: Pontificia Universidad Católica de Chile
Enlace: Ir al curso

#60. Técnicas Microscópicas de Caracterización
Impartido por: Universitat de Barcelona
Enlace: Ir al curso

#61. Robótica
Impartido por: Universidad Nacional Autónoma de México
Enlace: Ir al curso

#62. Introducción a la sostenibilidad
Impartido por: Universidad de Illinois
Enlace: Ir al curso

#63. Nuestro Futuro Energético
Impartido por: Universidad de California
Enlace: Ir al curso

#64. Análisis de Sistemas de Transporte
Impartido por: Pontificia Universidad Católica de Chile
Enlace: Ir al curso

#65. Oceanografía: una clave para entender mejor nuestro mundo
Impartido por: Universitat de Barcelona, Fundació Navegació Oceànica Barcelona
Enlace: Ir al curso

#66. Tesoros de la Física y sus Descubridores I
Impartido por: Universidad de los Andes
Enlace: Ir al curso

______________________________
Tomado de: http://eleternoestudiante.com/cursos-online-gratis-agosto-2017/
Se Respetan Derechos de Autor.

martes, 1 de agosto de 2017

FLARE VM: entorno virtualizado para analizar malware.

Son muchas las empresas de seguridad que utilizan entornos virtualizados para analizar las amenazas informáticas existentes y extraer conclusiones para confeccionar utilidades software o actualizar las herramientas de seguridad existentes. FireEye ha desarrollado FLARE VM, una máquina virtual equipada con utilidades software que permiten la evaluación de malware.
Para todos aquellos que ya hayan utilizado en algún momento las herramientas existente en Linux, se trata de una imagen de Windows que está personalizada con herramientas, de la misma forma que lo está por ejemplo Kali Linux.

Todas las herramientas existente permitirán evaluar de una forma mucho más precisa las amenazas. Además, han incorporado algunas soluciones software para evaluar la seguridad de otros equipos.
Sobre todo, destacar aquellas herramientas que permitirán realizar ingeniería inversa con el software, lo que permitirá en muchas ocasiones alcanzar el código fuente y analizar el comportamiento o buscar credenciales de acceso a recursos, algo que acostumbra a ser bastante habitual.

Instalación de FLARE VM

Hemos dicho que se trata de un software que está basado en Windows. Pero no hay que equivocarse. La instalación de Windows la debe ofrecer el usuario. Para ello, tendremos que recurrir a un software de virtualización con al menos Windows 7 o cualquier otra versión superior, aunque se recomienda Windows 7 y la versión para arquitecturas de 64 bits.

Una vez realizada la instalación, tendremos que acceder a una página utilizando Internet Explorer. Esto desencadenará el comienzo del proceso de instalación, que se prolongará durante al menos 40 minutos. Este dato depende de las prestaciones a nivel del hardware del equipo.

Una vez completado el proceso, es recomendable realizar un primer snapshot. Esto permitirá al usuario restablecer la máquina siempre y cuando sea necesario, algo que será habitual, sobre todo si se tiene pensado analizar malware, esquivando de esta forma las modificaciones que realicen los virus informáticos.

Una herramienta avanzada

Obviamente, aunque es gratuita, el paquete que contiene todas las herramientas ofrece opciones avanzadas, sobre todo a nivel de programación y seguridad. Por este motivo, desde FireEye recomiendan sobre todo su utilización para usuarios con conocimientos avanzados.

Conviene indicar que el punto negativo es la instalación de Windows y encontrar una licencia, aunque existen bastantes alternativas. En la actualidad, existían bastante opciones si hablábamos de Linux, pero ninguna en el caso de Windows. Por este motivo, será un conjunto de aplicaciones a tener en cuenta, sobre todo si se quiere evaluar el comportamiento de una amenaza en un equipo y diseccionar el código fuente para encontrar fallos en la programación y ofrecer soluciones.

El usuario podrá personalizar la instalación de las aplicaciones, eligiendo cuáles instalar y crear de esta forma un listado personalizado. En la mayoría de las situaciones, el usuario optará por dejar la lista por defecto confeccionada por el personal de FireEye.

Instalar Flare

Simplemente se debe descargar y ejecutar el siguiente script de PowerShell:
https://raw.githubusercontent.com/fireeye/flare-vm/master/flarevm_malware.ps1

Fuente: Security Week
_______________________________________________________________
Tomado de: http://blog.segu-info.com.ar/2017/08/flare-vm-entorno-virtualizado-para.html#flare-vm-entorno-virtualizado-para
Se Respetan Derechos de Autor.


domingo, 23 de julio de 2017

Pentesting de web services con WS-Attacker.

WS-Attacker es un framework modular para realizar pruebas de intrusión contra servicios web. Es desarrollado por la Cátedra de Seguridad de Redes y Datos de la Universidad Ruhr de Bochumm(Alemania) y la empresa 3curity GmbH.

La idea básica detrás de WS-Attacker es proporcionar la funcionalidad para cargar archivos WSDL y enviar mensajes SOAP a los end points del Servicio Web (que se ejecuta utilizando el marco SoapUI subyacente). Esta funcionalidad puede ampliarse utilizando varios plugins y librerías para crear ataques específicos contra los web services. Pueded encontrar más información sobre la arquitectura de WS-Attacker y su extensibilidad en su paper.


Características

En la versión actual WS-Attacker soporta los siguientes ataques:

- SOAPAction spoofing: ver http://www.ws-attacks.org/index.php/SOAPAction_Spoofing
- WS-Addressing spoofing: ver http://www.ws-attacks.org/index.php/WS-Addressing_spoofing
- XML Signature Wrapping: ver http://nds.rub.de/media/nds/arbeiten/2012/07/24/ws-attacker-ma.pdf
- Ataques DoS basados en XML: ver https://www.nds.rub.de/research/publications/ICWS_DoS
- Nuevos ataques adaptables e inteligentes de denegación de servicio (AdIDoS)
- Ataques de cifrado XML: consultar este blogpost (http://web-in-security.blogspot.de/2015/05/how-to-attack-xml-encryption-in-ibm.html) para obtener una visión general de los ataques y referencias adicionales a  trabajos científicos

Instalación

Para usarlo necesitarás Java 7 o superior, maven y git. Luego puedes descargar el archivo ZIP o clonar el repositorio correspondiente desde Github:

$ git clonehttps://github.com/RUB-NDS/WS-Attacker.git 

A continuación, ve al directorio de WS-Attacker y utiliza maven para crear y empaquetar los archivos:

$ cd WS-Attacker
$ mvn clean package -DskipTests

Después, ya puedes ir al directorio runnable y ejecutar WS-Attacker:

$ cd runnable
$ java -jar WS-Attacker-1.9-SNAPSHOT.jar


Uso

Puedes encontrar la documentación más reciente sobre XML Signature Wrapping y DoS aquí: http://sourceforge.net/projects/ws-attacker/files/WS-Attacker%201.3/Documentation-v1.3.pdf/download

La documentación sobre ataques de cifrado XML está actualmente en desarrollo, pero puedes encontrar mucha información sobre el plugin XML Encryption y sobre los ataques de cifrado XML aquí: http://web-in-security.blogspot.de/2015/05/ Cómo-atacar-xml-encryption-in-ibm.html

Si deseas probar los ataques y no tienes ningún servicio web, te recomiendo que utilices el framework de Apache Rampart. Este framework proporciona varios ejemplos de Web Services y es vulnerable a la mayoría de los ataques proporcionados, incluyendo XML Signature Wrapping y los ataques al cifrado XML.

Echa un vistazo a esta entrada sobre cómo usar WS-Attacker para atacar Apache Rampart Web Services con Firmas XML: http://web-in-security.blogspot.de/2015/04/introduction-to-ws-attacker-xml.html. Conceptos similares se aplican a los ataques con XML Encryption.
  


Githubhttps://github.com/RUB-NDS/WS-Attacker

____________________________________

Tomado de: http://www.hackplayers.com/2017/07/pentesting-de-web-services-con-ws-attacker.html?m=1

Se Respetan Derechos de Autor.