Suscribete a Mi Canal en YOUTUBE , da Click --> AQUÍ.

Canal acádemico donde se enseñará como atacan los ciberdelincuentes y como protegerse de estos ataques.

domingo, 11 de septiembre de 2016

Windows Exploit Suggester: Conoce qué vulnerabilidades y exploits afectan a tus sistemas Windows.

Windows Exploit Suggester es una herramienta de las que pueden ayudar a conocer el estado real de los sistemas Microsoft en cuanto a actualizaciones del sistema. La herramienta permite obtener un listado de paquetes de actualizaciones que faltan por instalar y, además, indica qué vulnerabilidades son las que afectan al sistema. Como nota diferenciadora nos indica qué exploits existen en exploit-db o qué módulos de Metasploit hay públicos para llevar a cabo una posible explotación. Es una herramienta bastante flexible y potente que automatiza la revisión de seguridad del sistema operativo con un toque de seguridad ofensiva.
La herramienta realiza una comparativa del número de parches o actualizaciones contra la base de datos de Microsoft. De esta forma se detecta, potencialmente, las actualizaciones que faltan en la máquina. Aunque, como dije anteriormente, lo que más llamó mi atención fue que te diera el nombre de los módulos de Metasploit que se pueden utilizar para explotar las vulnerabilidades del sistema, incluso de Internet Explorer, y los enlaces a exploit-db cuando no hay módulo de Metasploit para obtener el posible exploit. 
Para obtener la herramienta Windows Exploit Suggester se puede descargar desde su sitio de Github. Como nota añadir que en el sistema que ejecutemos la herramienta, pueden ser sistemas Windows, se necesita instalar la librería “xlrd” de Python para el manejo de los documentos xls.
Lo primero es obtener el fichero con la información de Microsoft sobre vulnerabilidades y los boletines de seguridad. Para ello, utilizamos el parámetro update, tal y como puede verse en la imagen. La ejecución de la instrucción Python windows-exploit-suggester.py –update nos proporcionará el fichero xls actualizado.
Hay que asumir que la herramienta analiza todos los paquetes de actualizaciones que faltan en el sistema por lo que se pueden obtener falsos positivos, ya que hay que tener claro que software hay instalado sobre el sistema. Por ejemplo, puede que la herramienta nos diga que faltan paquetes de actualizaciones que solventan problemas en IIS, e incluso que hay exploits para IIS, y puede que IIS no esté siendo ejecutado sobre el sistema. El ejemplo anterior puede ocurrir en un sistema operativo servidor.
¿Qué utiliza la herramienta para poder inferir las vulnerabilidades y ver qué exploits hay disponibles? Se utiliza un volcado de la información obtenida con el comando systeminfo. Gracias a la información recopilada en la ejecución del comando systeminfo la herramienta puede matchear qué paquetes de actualización falta y poder hacer la inferencia. 
La instrucción a ejecutar es Python windows-exploit-suggester.py –database [fichero vulnerabilidades XLS] –systeminfo [fichero systeminfo.txt]. Como se puede ver en la salida podemos encontrar líneas con “[E]”, esto quiere decir que hay un exploit o entrada en exploit-db. Las líneas que empiezan por “[M]” indican la existencia de un módulo para Metasploit. 
En el ejemplo anterior se puede leer, por ejemplo, en una línea “[M] MS13-009: Cumulative Security Update for Internet Explorer (2792100) – Critical”. En este caso es sencillo buscar en Metasploit para encontrar el módulo, aunque viendo que afecta a Internet Explorer ya sabemos que el módulo se alojará en exploit/windows/browser. 
Como se puede ver Windows Exploit Suggester es una herramienta que ayuda a encontrar vulnerabilidades y exploits en los sistemas de la organización. Puede ser útil para una auditoria de caja blanca, e incluso en auditoria caja gris, ya que se podría extrapolar la teoría de que si una máquina tiene X paquetes instalados, el resto podrían estar en un estado similar. 

____________________________________________________________________
 Tomado de: http://www.flu-project.com/2016/09/windows-exploit-suggester-conoce-que.html
Se Respetan Derechos de Autor.

Malware multiplataforma puede hackear Windows, Mac y Linux: Mokes.

Si hace 15 años Windows acaparaba casi el 100% de la informática doméstica, actualmente se puede decir que el mercado de los sistemas operativos se ha abierto y son varios los que acaparan el protagonismo, con iOS y Android en la movilidad y Windows, Mac y Linux en el escritorio.

El gran dominio de Windows sobre el resto de plataformas en el pasado hacía que casi el 100% del malware creado estuviese específicamente diseñado para infectar al sistema operativo de Microsoft, dejando a Mac y Linux inmunes ante esas amenazas. Sin embargo, el ascenso de los dos últimos está empujando a más desarrolladores a tener que apoyarse en tecnologías multiplataforma para poder abarcar los tres sistemas con los menores costes posibles, y de eso no se libran ni los que desarrollan malware.

Siguiendo la tendencia descrita en el anterior párrafo, investigadores de Kaspersky han descubierto un malware multiplataforma que puede infectar a Windows, Mac y Linux. Este malware ha recibido el nombre de Mokes y está escrito en C++ utilizando las librerías del framework Qt, el cual permite crear aplicaciones gráficas y de consola para todos los sistemas operativos mayoritarios: Windows, Android, iOS, OS X/macOS y Linux.

El pasado de mes de enero se descubrieron las variantes de Mokes para Windows y Linux, habiendo sido descubierta la variante para Mac recientemente. Al estar hecho con una tecnología multiplataforma se supone que todas las variantes comparten en un gran porcentaje el mismo código y por lo tanto pueden hacer lo mismo, estando entre sus posibilidades la de abrir puertas traseras para realizar capturas de vídeo y audio, capturar las pulsaciones del teclado y tomar pantallazos cada 30 segundos del ordenador de la víctima.

También es capaz de monitorizar la unidades de almacenamiento desmontables, pudiendo saber cuándo un USB es conectado y desconectado de la computadora; tiene la capacidad escanear documentos de Microsoft Office en formato .docx, .doc, .xlsx y .xls; y puede ejecutar órdenes procedentes de un servidor de mando y control sobre el ordenador de la víctima, utilizando para ello una conexión cifrada con AES-256. Sobre los tres sistemas el malware se dedica a copiarse así mismo para alojarse en las carpetas de configuración de usuario legítimas de aplicaciones como Skype, Dropbox y Firefox, aunque según el sistema también pueden estar las configuraciones de usuario del software para impresoras de HP, Acrobat Reader y Google Chrome.

No es la primera vez que cubrimos un malware multiplataforma, ya que anteriormente comentamos sobre Ransom32, un ransomware creado con JavaScript capaz de infectar con pocas modificaciones a Windows, Mac y Linux. Sin embargo, hay diferencias notables entre las tecnologías empleadas, mientras que JavaScript es interpretado y puede ejecutarse tal cual sobre cualquier plataforma, Qt es compilado, por lo que requiere ser compilado para cada una de las plataformas. También se podría emplear bytecodes (Java es la tecnología más conocida de las que emplean bytecodes), que pueden ejecutarse sobre cualquier sistema siempre y cuando tengan instalado la máquina virtual para ejecutarlos.

Con el mercado de sistemas operativos abierto, es muy probable que en un futuro malware como Ransom32 y Mokes se vuelvan mucho más comunes.

____________________________________________________________________
 Tomado de: http://muyseguridad.net/2016/09/08/malware-multiplataforma-windows-mac-linux/
Se Respetan Derechos de Autor.
 

El troyano bancario Gugi evoluciona y salta la protección de Android 6.


El troyano bancario Gugi, cuyo nombre formal es Trojan-Banker.AndroidOS.Gugi.c, ha evolucionado para poder saltarse la protección de Android 6 Marshmallow, el penúltimo sistema operativo móvil de Google.

Gugi se propaga sobre todo a través de spam enviado por SMS que redirige a los usuarios a aplicaciones que simulan ser de bancos, teniendo como resultado un ataque de phishing. Con el fin de hacer más atractivo el SMS, este puede notificar al usuario sobre la recepción de alguna fotografía con el fin de picar la curiosidad de la víctima.

Para mejorar la protección frente a troyanos y ransomware, Android 6 Marshmallow introdujo un requerimiento para las aplicaciones que solicitan permisos, colocando su ventana siempre por encima de las demás aplicaciones. Las versiones anteriores de Android permitían superponer de forma automática otras aplicaciones, ofreciendo así más posibilidades de poder ejecutar cosas sin que el usuario se enterase.
La meta final de Gugi es la de colocar supuestas aplicaciones de bancos superpuestas que se dedican a robar las credenciales de los usuarios, realizando así un ataque de phishing. Para cumplir con éxito sus propósitos también superpone la aplicación de Google Play para robar los detalles de las tarjetas de crédito. Gugi hace uso de la característica de seguridad de Android 6 para superponer la ventana de concesión de permisos y forzar a la víctima para concederlos. Cómo se puede apreciar, este malware lo que hace es engañar al usuario, más que explotar alguna vulnerabilidad en sí.

Una vez infectado, Gugi bloquea el dispositivo y pide a la víctima “activar” todos los permisos que necesita de forma forzada, pudiendo estar entre ellos el administrador, lo que podría dificultar la desinstalación de las aplicaciones maliciosas introducidas por Gugi. Conseguida la activación del administrador, el malware pedirá permisos para enviar y leer llamadas y mensajes de SMS. Por otro lado, también es capaz de sacar provecho de otras de las características de seguridad introducidas en Android 6 Marshmallow, la concesión dinámica de permisos, haciendo que las aplicaciones vayan pidiendo permisos en el momento en que sean necesarios, en lugar de concederlos todos del tirón en el proceso de instalación.
Gugi es a fin de cuentas el típico troyano bancario dedicado a engañar al usuario para robarle sus credenciales. Su impacto está siendo mucho mayor en Rusia que en cualquier otra zona del mundo, ya que el país euroasiático acumula el 93% de las víctimas por este malware.
___________________________________________________________
Tomado de: http://muyseguridad.net/2016/09/07/troyano-bancario-gugi-salta-proteccion-android-6/
Se respetan Derechos de Autor.