Suscribete a Mi Canal en YOUTUBE , da Click --> AQUÍ.

Canal acádemico donde se enseñará como atacan los ciberdelincuentes y como protegerse de estos ataques.

martes, 28 de abril de 2015

COLECCIÓN DE HERRAMIENTAS DE SEGURIDAD EN POWERSHELL.

Powershell lleva unos años de moda y cada vez más se ven herramientas en el mundo de la seguridad que hacen uso de este lenguaje de script para Windows. Por ese motivo y a modo de referencia, me gustaría compartir con vosotros algunos proyectos que hacen uso de este lenguaje para automatizar tareas en los análisis de seguridad y auditorias.

Algunas de estas herramientas son realmente prácticas y una vez nos hemos familiarizado con ellas se hace difícil hacer algunas tareas sin ellas.

El recopilatorio también es útil si queremos aprender como otros autores han solucionado problemas en este lenguaje utilizando en muchas ocasiones funciones y métodos de bajo nivel.
  • https://github.com/Veil-Framework/PowerTools/tree/master/PowerUp: múltiples herramientas para la escalada de privilegios en Windows: identificación de servicios vulnerables, DLL hijacking, errores en permisos de ficheros y registro, etc. Hoy en día una herramienta básica en cualquier análisis de seguridad o hacking ético que involucre Windows.
Pero no es todo, hay decenas de ejemplos y utilidades más que crecen día a día en el repositorio de Microsoft o en webs como github. ¿Ya eres experto en powershell? ¿A qué esperas?

___________________________________________________
Tomado de: http://www.securitybydefault.com/2015/04/coleccion-de-herramientas-de-seguridad.html
Se respetan Derechos de Autor.

jueves, 23 de abril de 2015

Bug en FlashPlayer permite acceso a WebCam y Microfono, Parchea !!!

Un bug en Flash Player permite acceder al micro y la webcam

Un investigador de seguridad informática ha detectado un bug identificado como CVE-2015-3044, que afecta las versiones anteriores a la 17.0.0.169 de Flash Player, y que permite acceder al micrófono y la webcam.
Aprovechando esta vulnerabilidad del plugin de Flash Player, que los usuarios tienen instalado en el navegador de manera habitual para visualizar contenidos de las páginas web, un hacker puede espiar a cualquier persona de una manera discreta.
El ataque permitiría registrar el audio y vídeo sin permiso del usuario y sin que éste sea consciente. Solamente sería perceptible por la luz LED de la webcam, que aparecería iluminada.
Si quieres saber más acerca de cómo se produce el ataque, echa un vistazo al vídeo que ha publicado el investigador que ha detectado el bug.

El panel de configuración de Flash Player permite crear una lista de sitios que pueden acceder al micrófono incorporado en el equipo, así como a la webcam.
El usuario puede habilitar una opción para recibir una alerta cada vez que una web solicite el permiso de acceso a estos componentes, para aprobarla o denegarla de manera manual.
Sin embargo, al visitar un portal con un código malicioso, estas notificaciones quedarían anuladas y se podría manipular la lista de sitios autorizados, de manera que los ciberdelincuentes podrían espiar al usuario infectado a través de su micrónofo y su webcam.
Fallo en Flash Player entrega control de PCs, Macs a hackers
La víctima del ataque sólo podría ser consciente de que está siendo espiada si se da cuenta de que la luz LED de la webcam están encendida. Sin embargo, no todos los dispositivos cuentan con esta luz, y tampoco hay ningún signo en el equipo que indique si el micrófono está activado.
Este fallo de seguridad se produce en todas las plataformas y sistemas operativos, pero sólo afecta a las versiones anteriores a la 17.0.0.169. Actualiza a la última versión de Flash Player para evitar sufrir este tipo de espionaje.

___________________________________________________________
Tomado de: http://computerhoy.com/noticias/software/bug-flash-player-permite-acceder-micro-webcam-27325
Se respetan derechos de autor.

jueves, 16 de abril de 2015

Trend Micro, Microsoft y Kaspersky cooperan con Interpol para desmanterlar botnets mediante operación Simda.

Nueva iniciativa global para frustar botnet masivos. SIMDA es una iniciativa para eliminar un botnet masivo global que ha infectado a más de 770.000 equipos informáticos en todo el mundo.

Además de esta iniciativa, los expertos de Trend Micro están presentes por primera vez en INTERPOL World 2015 que se celebra en Singapur entre los días 14 y 16 de abril, para mostrar sus soluciones de seguridad para las fuerzas del orden y organismos de seguridad.

“La colaboración entre expertos en tecnología y seguridad y los responsables del cumplimiento de la ley es fundamental para anticiparse a la sofisticación de los ciberataques amparados por estados y organizaciones criminales”, afirma Eva Chen, CEO de Trend Micro. “Operación SIMDA refuerza nuestra posición histórica de unir fuerzas con otras organizaciones cuando sea posible establecer un frente unido contra aquellos que utilizan la tecnología de manera perjudicial y dañina. Además, tenemos el honor de participar en el histórico evento INTERPOL World 2015 junto a otros expertos para compartir nuestra visión de trabajar para lograr que el mundo sea más seguro para el intercambio de información digital. Como expertos en defensa de amenazas, esperamos compartir nuestro conocimiento y experiencia para aunar esfuerzos para combatir el cibercrimen”.

Operación SIMDA es una iniciativa para eliminar un botnet masivo global que ha infectado a más de 770.000 equipos informáticos en todo el mundo. SIMDA ha sido utilizada por los ciberdelincuentes para obtener acceso remoto a ordenadores que permiten el robo de información personal, incluyendo contraseñas bancarias, así como instalar y propagar otro tipo malware. Las redes de bots son una red de equipos comprometidos que se mueve muy rápidamente y son utilizados para lanzar ciberataques informáticos de forma remota o difundir spam. La desactivación de botnets requiere habilidad, precisión y coordinación para garantizar que la amenaza no se propague. Además de Trend Micro e INTERPOL, entre los participantes que contribuyen a la desarticulación se encuentran Microsoft y Kaspersky Labs.

INTERPOL World 2015 es el primer evento bienal de este tipo para mostrar innovación, logros conjuntos y potenciales entre sector público y privado en el ámbito de la seguridad. Dirige la creciente demanda de tecnología y cooperación público-privada para enfrentar los desafíos globales de seguridad en cuatro áreas principales: ciberseguridad, ciudades seguras, gestión de fronteras y seguridad de la cadena de suministro.

Proyecto 2020: El futuro del cibercrimen
Tratando de anticiparse al futuro de la ciberdelincuencia y permitir a gobiernos, empresas y ciudadanos prepararse ante desafíos y oportunidades de la próxima década, el Proyecto 2020 es una iniciativa de la Alianza Internacional de Protección de la Ciberseguridad (ICSPA, por sus siglas en inglés) apoyado por Trend Micro y Europol.

Con el tiempo, los ciberdelincuentes se han congregado en foros clandestinos y han desarrollado servicios, habilidades, modelos de negocio y plataformas para hacer del cibercrimen automatizado una realidad, incluso operando en la parte inescrutable de Internet, conocida como DeepWeb.

Más información sobre INTERPOL World 2015 en el sitio del evento.

________________________________________________________
Tomado de: http://diarioti.com/trend-micro-microsoft-y-kaspersky-cooperan-con-interpol-para-desmanterlar-botnets-mediante-operacion-simda/87175
Se respetan Derechos de Autor.

MS15-034: Vulnerabilidad crítica en IIS - Parchea de immediato!

Microsoft acaba de lanzar la actualización MS15-034 (CVE-2015-1635), que soluciona una vulnerabilidad crítica en el archivo http.sys utilizado Internet Information Services (IIS) y otros servicios de Windows. Dicha vulnerabilidad permite ejecución remota de código y denegación de servicio.

Algunos puntos importantes de la vulnerabilidad:
  1. Como esto no es un error específico de IIS, no aplica sólo a los servidores IIS, puede haber otros componentes afectados.
  2. En principio, el fallo afecta a casi cualquier software de Windows que utiliza http.sys para responder a las solicitudes HTTP. Todo tipo de software podría caer en esa categoría: sistemas de mensajería, logs, agentes de configuración; redes Peer-to peer, demoniios, servicios y hasta una infección de malware ya existente.
  3. El fallo permite la ejecución remota de código. El exploit puede disparar una petición HTTP en apariencia inocente y, en teoría, esto se podría convertir en un gusano lo fue SQL Slammer. Este (por ahora teórico) gusano se podría difundir sin tener que esperar ninguna acción del usuario.
  4. El fallo está en un componente del núcleo, y su explotación exitosa dá el atacante privilegios de System.
  5. El código de explotación y una Prueba de Concepto (PoC) ya puede encontrarse en Internet. Por ahora esta PoC no intenta explotar el bug ni hacer algo deliberadamente malintencionado. La PoC realmente provoca un desbordamiento de búfer.

Detalles

El error viene de agregar el siguiente encabezado a una solicitud HTTP como la siguiente:
Range:
bytes=0-18446744073709551615


Como puede ver, es sólo un desbordamiento de enteros (64-bit) estándar, donde el número 18446744073709551615 es igual a -1.
Un ejemplo sería:
$ telnet IP PORT
GET / HTTP/1.1
Host: www.site.com
Range: bytes=0-18446744073709551615


$ curl -v http://IP/ -H "Host: irrelevant" -H "Range: bytes=0-18446744073709551615"
$ wget --header="Range: bytes=18-18446744073709551615" http://IP/default.aspx
Cuidado: esta firma específica parece inofensiva, pero hay otras variaciones que pueden causar un problema serio e incluso una blue screen.
Sin embargo, sirve como prueba útil para comprobar si el servidor está parcheado. Si el servidor está sin parchear, devolverá el siguiente error:
HTTP/1.1 416 Requested Range Not Satisfiable

En cambio si la respuesta es la siguiente, la vulnerabilidad está parcheada:
The request has an invalid header name
Sin embargo, las pruebas no son concluyentes porque se pueden encontrar algunas respuestas vulnerables sin que el servidor lo sea o viceversa.

Metasploit ya ha lanzado un módulo para su explotación.

Mitigación especial para IIS

Si tienes un servidor IIS, se puede evitar el daño incluso antes de aplicar la actualización M15-034, usando una solución publicada por Microsoft:
Deshabilitar IIS kernel caching. Esta solución es específica de IIS y puede causar problemas de rendimiento.
Tenga en cuenta que Kernel caching está activado por defecto en IIS 7 y versiones posteriores. Así se puede desactivar en el web.conifg o machine.config.

[configuration]
[system.webServer]
[caching enableKernelCache="false"/]
[/system.webServer]
[/configuration]

Referencias adicionales

Existe online checker sobre cualquier sitio.

Recomendación: instalar de forma inmediata la actualización MS15-034.


____________________________________________________
Tomado de:  http://seguinfo.blogspot.com/2015/04/vulnerabilidad-critica-en-iis-parchea.html
Se respetan derechos de autor.

jueves, 9 de abril de 2015

Cyberprobe: motorización de redes contra ciberataques, compatible con Snort.

Cyberprobe es una arquitectura de software distribuido para la monitorización de redes contra ciberataques. Se puede integrar con el IDS Snort, de manera que los datos capturados de un ataque, se contrasta la dirección IP con los datos recogidos por Snort
El proyecto Cyberprobe es un código abierto distribuido arquitectura para la monitorización en tiempo real de las redes de contra ataque. El software consta de dos componentes:
  • Cyberprobe, una sonda que recoge los paquetes de datos y lo reenvía a través de una red en protocolos de transmisión estándar.
  • Cybermon, un monitor que recibe los paquetes de streaming, decodifica los protocolos e interpreta la información.
Estos componentes se pueden utilizar juntos o por separado. Para una configuración sencilla, se pueden ejecutar en el mismo host, para los entornos más complejos una serie de sondas puede alimentar a un solo monitor.

La sonda, Cyberprobe tiene las siguientes características:
  • Puede recoger los paquetes de una interfaz y remitirlos a una lista de direcciones IP configurable.
  • Permite configurarse para recibir alertas de Snort. En esta configuración, cuando se recibe una alerta de Snort, la dirección IP de origen asociado con la alerta está dirigida de forma dinámica por un período de tiempo. En esta configuración, el sistema recogerá datos de cualquier host de la red que desencadena una regla de Snort y por lo tanto se identifica como un potencial atacante.
  • La sonda puede opcionalmente ejecutar una interfaz de gestión que permite la interrogación remota del estado y la alteración de la configuración. Esto permite que la alteración dinámica del mapa focalización y la integración con otros sistemas.
  • La sonda se puede configurar para entregar datos en dos protocolos de transmisión estándar.
La herramienta de seguimiento, Cybermon tiene las siguientes características:
  • Recoge los paquetes entregados en los protocolos de streaming.
  • Decodifica protocolos y plantea eventos en tiempo real.
  • El usuario define mediante configuración cómo se maneja la información decodificada. Mediante un lenguaje de configuración sencilla (LUA) y con configuraciones de ejemplo que se proporcionan para controlar: los volúmenes de datos, hexdumps de datos de visualización y exportar los datos en archivos.
  • Técnicas de falsificación de paquetes, que permiten restablecer conexiones TCP y falsificar respuestas DNS. Con el fin de luchar contra los ataques a la red.
  • Soporta los protocolos IP, TCP, UDP, ICMP, HTTP y DNS.
El código de esta herramienta está destinado para la plataforma Linux, aunque es lo suficientemente genérico como para ser aplicable a otras plataformas.

Más información y descarga de Cyberprobe:
http://sourceforge.net/projects/cyberprobe/?source=directory

____________________________________________________
Tomado de: http://www.gurudelainformatica.es/2015/04/herramienta-de-motorizacion-de-redes.html
Se respetan Derechos de Autor.
 

El ciberespionaje patrocinado por Estados-nación: complejidad y modularidad versus funcionalidad

Las últimas plataformas, como EquationDrug, ahora están compuestas de muchos módulos complemento que les permite seleccionar y realizar una amplia gama de funciones, dependiendo de su objetivo y de la información que contienen.

Kaspersky Lab ha descubierto que el ciberespionaje patrocinado por Estados-nación es cada vez más sofisticado, se enfoca en usuarios cuidadosamente definidos y utiliza herramientas complejas modulares, y se mantiene oculto a los sistemas de detección cada vez más eficientes.

Esta nueva tendencia se confirmó durante un análisis detallado de la plataforma de ciberespionaje EquationDrug. Los especialistas de Kaspersky Lab encontraron que, después del éxito creciente de la industria para exponer a grupos de amenazas persistentes avanzadas (APT), los actores de las amenazas más sofisticadas ahora se centran en aumentar el número de componentes en su plataforma maliciosa para llamar menos la atención y aumentar su sigilo.

Las últimas plataformas ahora están compuestas de muchos módulos complemento que les permite seleccionar y realizar una amplia gama de funciones, dependiendo de su objetivo y de la información que contienen. Kaspersky Lab estima que EquationDrug incluye 116 complementos diferentes.

“Los Estados-nación atacantes buscan mejor estabilidad, invisibilidad, fiabilidad y universalidad en sus herramientas de ciberespionaje. Están enfocados en crear infraestructuras que envuelvan tal código en algo que se pueda personalizar en sistemas vivos y que proporcionen una manera segura para almacenar todos los componentes y datos en forma cifrada, inaccesible para los usuarios regulares”, explica Costin Raiu, Director del Equipo de Análisis e Investigación Global de Kaspersky Lab. “La sofisticación de la infraestructura hace que este tipo de actor sea diferente de los ciberdelincuentes tradicionales, ya que prefiere enfocarse en la carga y en las capacidades del malware que están diseñadas para obtener ganancias financieras directas”.

Otras formas en que estos Estados-nación atacantes diferencian sus tácticas de los ciberdelincuentes tradicionales incluyen:

- Escala. Los ciberdelincuentes tradicionales distribuyen en forma masiva correos electrónicos con archivos adjuntos maliciosos o infectan sitios web a gran escala, mientras que los actores Estados-nación prefieren ataques quirúrgicos altamente selectivos, que infecten sólo a un puñado de usuarios seleccionados.
- Enfoque individual. Mientras que los ciberdelincuentes típicos utilizan de manera reiterada código fuente públicamente disponible como por ejemplo los Troyanos Zeus o Carberb, los actores Estados-nación construyen malware único y personalizado, e incluso implementan restricciones que evitan el descifrado y la ejecución fuera de la computadora objetivo.
- Extracción de información valiosa. Los ciberdelincuentes en general intentan infectar a tantos usuarios como sea posible. Sin embargo, no tienen el tiempo o el espacio de almacenamiento para revisar manualmente todas las máquinas que infectan y saber quiénes son los propietarios, qué tipo de datos tienen almacenados y qué tipo de software están ejecutando – para luego transferir y almacenar todos los datos potencialmente interesantes.
- Como resultado codifican malware todo en uno que extraerá sólo los datos más valiosos como números de contraseñas y de tarjetas de crédito de las máquinas de las víctimas – actividad que rápidamente llamará la atención de cualquier software de seguridad instalado.
- Por otro lado, los Estados-nación atacantes tienen los recursos para almacenar todos los datos que sean necesarios. Para esquivar la atención y mantenerse invisibles para el software de seguridad, tratan de evitar la infección de usuarios al azar y en lugar de eso dependen de una herramienta genérica de administración remota del sistema que pueda copiar cualquier información que pudieran necesitar y en cualquier cantidad. Sin embargo, esto podría funcionar en su contra ya que la movilización de grandes cantidades de datos podría hacer muy lenta la conexión de la red y despertar sospechas.
“Puede parecer inusual que una plataforma de ciberespionaje tan poderosa como EquationDrug no proporcione la capacidad de robar la contraseña de Skype o ICQ como estándar en su núcleo de malware.

La respuesta es que prefieren copiar una base de datos en total y hacer el análisis sintáctico en el lado servidor. Sólo si han escogido vigilarlo a usted activamente y los productos de seguridad en sus máquinas han sido desarmados, recibirá un complemento (plugin) para rastrear en vivo sus conversaciones. Creemos que esto llegará a ser una marca registrada extraordinaria de Estados-nación atacantes en el futuro”, concluye Costin Raiu.

EquationDrug es la principal plataforma de espionaje desarrollada por el Grupo Equation. Ha estado en uso por más que una década aunque ahora sea reemplazada en gran parte por la plataforma aún más sofisticada GrayFish. Las tendencias en tácticas confirmadas por el análisis de EquationDrug fueron observadas por primera vez por Kaspersky Lab durante su investigación de las campañas de ciberespionaje Careto y Regin, entre otras.

___________________________________________________________
Tomado de: http://diarioti.com/el-ciberespionaje-patrocinado-por-estados-nacion-complejidad-y-modularidad-versus-funcionalidad/86490
Se respetan derechos de autor.