Suscribete a Mi Canal en YOUTUBE , da Click --> AQUÍ.

Canal acádemico donde se enseñará como atacan los ciberdelincuentes y como protegerse de estos ataques.

viernes, 20 de octubre de 2017

Androl4b, una máquina virtual para análisis forense de apps de Android.


Gracias al análisis forense de aplicaciones y sistemas es posible detectar posibles fallos y vulnerabilidades de manera que los desarrolladores puedan solucionarlas antes de que den con ellas los piratas informáticos. Para poder llevar a cabo estas técnicas es necesario contar con un entorno especializado y una serie de aplicaciones listas para funcionar. En el caso del análisis forense de Android, uno de los entornos más completos para este análisis de malware es Androl4b.
Androl4b es una máquina virtual segura basada en Ubuntu Mate diseñada para permitir a los expertos en seguridad informática realizar un análisis detallado, forense, de las aplicaciones para Android. Esta máquina virtual cuenta por defecto con un gran número de aplicaciones, herramientas, frameworks e incluso tutoriales pensados especialmente para permitirnos llevar a cabo las pruebas de seguridad y los análisis que queramos para las aplicaciones.
Androl4b

Herramientas incluidas en Androl4b

Esta máquina virtual cuenta por defecto con un gran número de aplicaciones y herramientas incluidas para facilitar el trabajo forense. Entre otras, estas aplicaciones son:
  • Radare2, un framework Unix de ingeniería inversa que nos permite utilizar varias herramientas en el terminal.
  • Frida, una herramienta que inyecta código JavaScript para permitirnos analizar aplicaciones de Windows, macOS, Linux, iOS, Android y QNX.
  • ByteCodeViewer, un descompilador, editor y depurador (Decompiler, Editor, Debugger) de aplicaciones APK de Android para hacer ingeniería inversa.
  • Mobile Security Framework (MobSF), una herramienta para hacer pentesting automático a las aplicaciones de Android.
  • Drozer, un framework con multitud de herramientas y recursos de seguridad para Android.
  • APKtool, herramienta para hacer ingeniería inversa a las aplicaciones de Android.
  • Android Studio IDE, el entorno de desarrollo por excelencia de Android.
  • BurpSuite, conjunto de aplicaciones de seguridad.
  • Wireshark, analizador de paquetes y protocolos de red.
  • MARA, Framework para ingeniería inversa y análisis de aplicaciones móviles.
  • FindBugs-IDEA, herramienta para analizar código y buscar fallos en Java.
  • Qark, herramienta utilizada para analizar y detectar fallos de seguridad en aplicaciones de Android.
  • AndroBugs Framework, escáner de vulnerabilidades en Android que ayuda a investigadores a encontrar posibles vulnerabilidades incluso desconocidas.
Drozer Androl4b
Además de estas aplicaciones, Androl4b cuenta con un gran número de laboratorios de pruebas con manuales, muestras y aplicaciones vulnerables para Android, como, por ejemplo:
  • DIVA, (Damn Insecure and vulnerable App for Android), una aplicación vulnerable para realizar pruebas.
  • InsecureBankv2, otra aplicación vulnerable para realizar más pruebas en Android.
  • Android Security Sandbox, una muestra de aplicación con varias medidas y técnicas de seguridad para mejorar la calidad de las apps de Android.
  • GoatDroid, un entorno de prácticas totalmente funcionar para poder realizar pruebas de todo tipo relacionadas con la seguridad de Android.
  • Sieve, un gestor de contraseñas para Android con muchas vulnerabilidades.
Todo este proyecto es totalmente gratuito y de código abierto, por lo que si queremos utilizarlo, podemos descargarlo de forma totalmente gratuita desde su proyecto oficial en GitHub. La última versión, v3, incluye las últimas versiones de las aplicaciones y los laboratorios de pruebas, además de estar ya actualizada a Ubuntu Mate 17.04.
Cuando descargamos este entorno de pruebas bajaremos a nuestro ordenador una OVA lista para importar en VMware o VirtualBox. Cuando pongamos en marcha la máquina virtual, el usuario y la contraseña de la misma será “andro” mientras que el PIN del emulador de Android será “1234”.

________________________________________________________________
Tomado de: https://www.redeszone.net/2017/10/15/androl4b-analisis-forense-android/
Se Respetan Derechos de Autor.

lunes, 16 de octubre de 2017

KRACK: Grave debilidad en WPA/WPA2.


En los últimos días, ha sonado una alerta sobre una forma de vulnerar el protocolo WPA2. Básicamente, lo que los expertos han explicado es que mediante la ejecución de ataques dirigidos conocidos como KRACK (Key Reinstallation AttaCK), es posible acceder a cualquier red WiFi y desde ahí, por supuesto, atacar de forma directa los ordenadores y dispositivos conectados a la red.

Con esta vulnerabilidad, los atacantes podrían acceder a la red WiFi con cualquier protocolo: WPA-TKIP, AES-CCMP, y GCMP y sin requerir contraseña. Los investigadores en seguridad han afirmado "si tu dispositivo soporta Wi-Fi, es muy probable que esté afectado. Durante nuestra investigación inicial hemos descubierto que Android, Linux, Apple, Windows, OpenBSD, MediaTek, Linksys y otros están afectados por alguna variante de los ataques".

La parte principal del ataque es llevado a cabo contra el handshake de 4 vías del protocolo WPA2. Este "saludo" se ejecuta cuando un cliente desea unirse a una red Wi-Fi protegida, y se utiliza para confirmar que tanto el cliente como el AP poseen las credenciales correctas (por ejemplo, la contraseña precompartida de la red). Al mismo tiempo, el saludo de 4 vías también negocia una nueva clave de cifrado que se utilizará para cifrar todo el tráfico subsiguiente. Actualmente, todas las redes Wi-Fi utilizan este protocolo de enlace de 4 vías. Esto implica que todas estas redes se ven afectadas por (alguna variante de) este ataque. Por ejemplo, el ataque funciona contra redes Wi-Fi personales y empresariales, contra WPA y el último estándar WPA2, e incluso contra redes que solo usan AES.

Afortunadamente para que los ataques KRACK se lleven a cabo, hay algunos requisitos. El primero es que el atacante debe dominar y saber explotar la vulnerabilidad. Si bien las herramientas son semiautomáticas, requiere poder interceptar los paquetes necesarios que permitirán el acceso a una red en particular. Aquí hay una demo y las herramientas serán publicadas en el futuro.

Lo segundo, es que el atacante debe estar en el rango de cobertura de la red para poder perpetrar los ataques.

Una forma de reducir el riesgo para los que gestionan datos sensibles, es la utilización de una VPN (Virtual Private Network) que cifre los datos y los ofusque tu conexión incluso para el ISP.

El equipo investigador asegura que existe una forma de solucionar el inconveniente mediante un parche al protocolo, no necesariamente una actualización a un WPA3. Los parches los debe emitir el fabricante del router o el dispositivo que emite la red WiFi.

La investigación será presentada en las conferencias Computer and Communications Security (CCS) y Black Hat Europe. Quienes deseen conocer las especificaciones técnicas de esta vulnerabilidad y las herramientas utilizadas en los ataques, pueden dirigirse a esta web.

Ataques que se pueden hacer:
  • El adversario puede descifrar paquetes arbitrariamente.
  • El adversario puede obtener los números de secuencia TCP de una conexión y secuestrar esas conexiones.
  • El adversario puede reproducir tramas de broadcast y multicast.
  • El adversario puede descifrar e inyectar paquetes arbitrarios (solo TKIP o GCMP)
  • El adversario puede obligar al cliente a usar una clave de cifrado "all-zero" (ANDROID 6.0+ y LINUX)
Ataques que no pueden hacerse:
  • El adversario no puede recuperar la contraseña de WPA.
  • El adversario no puede inyectar paquetes en AES-CCMP.
Aquí se puede realizar un seguimiento del avance de la respuesta de cada vendor.

Fuente: KRACK (Key Reinstallation AttaCK)

_____________________________________________________________
Tomado de: http://blog.segu-info.com.ar/2017/10/krack-seria-debilidad-en-wpa2.html#krack-seria-debilidad-en-wpa2
Se Respetan Derechos de Autor.

domingo, 8 de octubre de 2017

Un botnet DDoS de 2015 aumenta su actividad en las últimas semanas.

Un botnet DDoS descubierto por primera vez en 2015 ha aumentado la actividad durante el verano y es responsable de más de 900 ataques DDoS durante los últimos cuatro meses, el mayor de los cuales alcanzó 45 Gbps. Se le conoce como Flusihoc. El malware detrás de este botnet apunta a equipos con Windows y fue detectado por primera vez por Microsoft y otros proveedores de antivirus en 2015. Sin embargo, nuevas versiones han aparecido en forma regular, la más reciente el mes pasado.

Botnet DDos de 2015

Arbor Networks, una empresa que mantiene un ojo en el panorama DDoS, dice que ha habido una afluencia de nuevas versiones este año. Después de excavar en torno a la historia de la botnet ha encontrado más de 154 servidores de comando y control diferentes utilizados para administrar la infraestructura botnet. De ellos, 48 estaban todavía activos el mes pasado.
Los investigadores hallaron más de 500 diferentes versiones de Flusihoc. Todas ellas fueron detectadas en los últimos dos años y sugieren que el malware fue creado por un usuario con sede en China.



Además, los investigadores encontraron muchas cadenas de depuración que contienen palabras y caracteres chinos, mientras que muchos servidores de C & C y ataques de DDoS estaban basados en China.
“El análisis sugiere que esta botnet es parte de un servicio regional DDoS basado en la variedad de los objetivos”, dijo TJ Nelson, analista de Arbor Networks.

Mayor actividad de Flusihoc

No es ninguna sorpresa que Arbor haya notado una mayor actividad de Flusihoc. Las investigaciones publicadas hace dos meses por Cisco Talos relacionaron el aumento repentino de los servicios DDoS-for-hire (de alquiler) basados en China con la fuga de una plataforma booster de DDoS que los expertos creen que alguien tradujo al chino y ofreció en foros de hacking clandestinos chinos.
Los operadores del botnet Flusihoc podrían haber aumentado la actividad con la liberación de nuevas herramientas para mantenerse al día con la creciente competencia.


Arbour explica que detectó 909 ataques DDoS lanzados por Flusihoc desde junio de 2017, con una media de 14,66 ataques por día. Mientras que el mayor ataque alcanzó un máximo de 45,08 Gbps, el promedio de ataques fue de sólo 603,24 Mbps, lo cual es más que suficiente para reducir sitios web que no ejecutan un servicio de mitigación DDoS.



Este botnet DDoS, a pesar de estar lejos de otros más grandes, Flusihoc no es un mero malware amateur. Según un análisis del código Flusihoc, Arbor dice que los equipos infectados pueden lanzar nueve tipos de ataques DDoS diferentes, como SYN, UDP, ICMP, TCP, HTTP, DNS, CON y dos tipos de inundaciones CC.

Mayor capacidad

Además, a partir de abril de 2017, Flusihoc recibió la capacidad de descargar y ejecutar binarios de terceros. Mientras que este mecanismo se utiliza para auto-actualizar el bot Flusihoc DDoS, los operadores botnet pueden usarlo en cualquier momento para descargar otros tipos de malware en hosts infectados, tales como troyanos bancarios o ransomware.
Debido a los peligros crecientes que provienen de esta amenaza, Arbour ha lanzado hoy las reglas de YARA para que otros investigadores de seguridad puedan rastrear muestras recientes de Flusihoc y agregar reglas de detección para sus productos y redes internas.

___________________________________________________________________
Tomado de: https://www.redeszone.net/2017/10/05/botnet-ddos-2015-aumenta-actividad-las-ultimas-semanas/
Se Respetan Derechos de Autor.

domingo, 1 de octubre de 2017

CCleaner: Descubren esparcimiento de malware usando la puerta trasera de este aplicativo..

La conocida herramienta de limpieza para Windows CCleaner dio hace unos días uno de los sustos del año al conseguir un grupo de hackers introducir una puerta trasera que podía ser utilizada para instalar malware, keyloggers y ransomware. El hecho de que Windows suela funcionar con privilegios de administrador ayuda bastante a los actores maliciosos.

Tras ser reportado, los desarrolladores de CCleaner lanzaron de forma de rápida una versión parcheada de la aplicación y los investigadores que descubrieron las versiones troyanizadas descartaron un segundo escenario, sin embargo, esto último ha sido refutado hace poco, ya que investigadores de Talos Group, perteneciente a Cisco, han encontrado evidencias de una carga útil hallada en el fichero GeeSetup_x86.dll, que fue enviado a listas específicas de computadoras basadas en nombres de dominios locales.

La lista predefinida fue hallada en el servidor de mando y control de los desarrolladores de la puerta trasera introducida en CCleaner, y estaba diseñada para encontrar computadoras conectadas a redes pertenecientes a grandes empresas de tecnología, las cuales serían el objetivo de esta carga útil. Las empresas objetivo eran las siguientes:
  • Google
  • Microsoft
  • Cisco
  • Intel
  • Samsung
  • Sony
  • HTC
  • Linksys
  • D-Link
  • Akamai
  • VMware
En la base de datos del servidor de mando y control se han encontrado a cerca de 700.000 ordenadores en las cuales se ha conseguido instalar la puerta trasera y al menos 20 (unidades) que fueron infectadas con la carga útil.

Las 20 computadoras infectadas con la carga útil fueron halladas utilizando nombre de dominio, dirección IP y nombre de host. Esto ha llevado a los investigadores de Talos Group a llegar a la conclusión de que podría tratarse de un malware creado para propósitos de espionaje industrial.

Un grupo de hackers chino podría estar detrás del ataque

La compañía de ciberseguridad Kaspersky Lab ha señalado que el autor de la puerta trasera y la carga útil sería un experto grupo de hackers chino llamado Axiom, que también habría actuado bajo nombres como APT17, Group 72, DeputyDog, Tailgater Team, Hidden Lynx y AuroraPanda. Esa es la conclusión a la que ha llegado tras encontrar en el malware distribuido mediante CCleaner código utilizado por el mencionado grupo.

Los investigadores de Cisco han encontrado un fichero de configuración en el servidor de los atacantes que establecía un horario perteneciente a una zona de China. Aunque esto no resulta en sí mismo concluyente para determinar que Axiom estuviera detrás de toda esta operación maliciosa, podría ser interpretado como una evidencia. Por otro lado, han notificado a las compañías afectadas nada más realizar su descubrimiento.

La carga útil no se elimina actualizando CCleaner

La puerta trasera podía ser eliminada mediante la actualización de la aplicación, pero no se puede decir lo mismo la carga útil, la cual solo puede ser eliminada mediante el uso de un antimalware o bien restaurando imágenes previas del sistema pertenecientes a un algún momento anterior a la instalación de la carga útil.

_____________________________________________________
Tomado de: https://www.muyseguridad.net/2017/09/21/esparcimiento-malware-puerta-trasera-ccleaner/
Se Respetan Derechos de Autor.

Un viejo bug de Linux, un problema de seguridad !


Un viejo bug de Linux aparentemente sin importancia era en realidad un problema de seguridad


Todos los grandes proyectos de software arrastran una gran cantidad de bugs, algunos de los cuales pueden terminar presentes durante años debido a que su resolución no resulta una prioridad por su bajo impacto.
Sin embargo, a veces se termina subestimando la importancia de esos bugs cuya solución se ha ido posponiendo una y otra vez. Es lo que le ha pasado al kernel Linux, en el que un bug descubierto por un empleado de Google en 2015 ha sido reclasificado recientemente como un grave problema de seguridad.
En el análisis inicial no se contempló la posibilidad de que el bug pudiese ser utilizado como un vector de ataque, por lo que fue parcheado como un fallo estándar a través de las correcciones lanzadas para Linux 4.0, que destacó sobre todo por facilitar las actualizaciones en caliente.
Los mantenedores del kernel Linux portaron el parche a las ramas 3.X con el lanzamiento de la versión 3.10.77, sin embargo, debido a que el bug fue etiquetado como menor, el parche no fue incluido en muchas ramas LTS de Linux, las cuales están destinadas sobre todo a empresas y entornos de alta disponibilidad en los cuales no se puede el software con frecuencia. Pasado un tiempo tras su lanzamiento, esas ramas del kernel terminan recibiendo solo actualizaciones de seguridad para mantener la confiabilidad.
Obviamente, la mayoría de los usuarios de escritorio Linux no están afectados por este problema, ya que suelen usar versiones del kernel más o menos recientes y pertenecientes a la rama 4, por lo que ya tienen implementado el parche que corrige este problema de seguridad.
Según Qualys, “todas las versiones de CentOS 7 anteriores a la 1708 (lanzada el 13 de septiembre de 2017), todas las versiones de RHEL 7 anteriores de la 7.4 (lanzada el 1 de agosto de 2017) y todas las versiones de CentOS 6 y RHEL 6 son explotables.”

¿Qué tipo de fallo de seguridad no se descubrió en su momento?

El código del bug es CVE-2017-1000253 y a recibido a nivel de gravedad una puntuación de 7,8 sobre 10 por parte de CVSSv3, la cual resulta bastante alta.
Básicamente se trata de una escalada de privilegios, un fallo de seguridad muy común en Linux, que podía ser explotada mediante ficheros ELF maliciosos construidos como Ejecutables de Posición Independientes (PIE). Cuando el kernel Linux cargaba un binario malicioso no le asignaba la cantidad de memoria suficiente.
En consecuencia, parte de los segmentos de datos de la aplicación son alojados fuera del área de memoria reservada para ese conjunto, pudiendo provocar una corrupción de memoria y abriendo la puerta a que un usuario local sin privilegios pueda acceder a un binario PIE SUID para usarlo como una herramienta de escalada de privilegios en el sistema.
Se recomienda encarecidamente la actualización de todo sistema operativo Linux que haga uso de un kernel perteneciente a la rama 3.X, ya sea una versión LTS o bien una que siga teniendo soporte por parte de los responsables de la distribución, destacando aquí a Debian, CentOS y Red Hat Enterprise Linux.

______________________________________________________________
Tomado de: https://www.muyseguridad.net/2017/09/28/viejo-bug-linux-problema-seguridad/
Se Respetan Derechos de Autor.