Tag Archives: seguridad

Todo lo que necesitas saber sobre Ransomware

El panorama del malware en la actualidad es enorme, y esta creciendo mas y se están poniendo mas sofisticados cada día. En la actualidad, hay una categoría de malware que se esta volviendo cada vez mas popular llamado “ransomware”. En este post, vamos a discutir que es el ransomware, que estrategias y técnicas se utilizan en la creación y propagación de esta nueva modalidad de ciberdelito en Internet.

ransomware-expert-tips-featured

¿Que es Ransomware y hace realmente?

El Ransomware es una categoría de software malicioso que básicamente deja sin funcionamiento una computadora mediante la restricción de acceso a la misma utilizando diferentes técnicas. A continuación se le exige un rescate (“ransom”) a pagar al autor del malware para recuperar el funcionamiento del sistema. Esta aplicación maliciosa normalmente bloquea la computadora y muestra varias imágenes de fuerzas del orden para intimidar y extorsionar a las victimas. Ademas de bloquear la computadoras algunos ransomware encriptarán y ocultaran los archivos personales de manera que la victima no pueda acceder nunca mas a ellos.

Un poco de historia…

El ransomware no es una novedad. La primer aparición de un ransomware fue en 1989 con un malware conocido como “Cyber Troya PC” (también conocido como Aids Info Disk (AIDS)). El infame troyano reemplazaba el archivo autoexec.bat por uno propio en la computadora infectada que contaba las veces que la maquina había sido booteada. Una vez que la cuenta llegaba a 90 el troyano ocultaba todos los directorios y encriptaba todos los nombres de los archivos en el Disco C: haciendo que el sistema sea inutilizable. Para restaurar la funcionalidad del sistema el troyano exigía a la victima el pago de u$s 189 a nombre de “PC Cyborg Corporation” en una casilla de correo en Panamá. Aunque los ataques de ransomware no son nuevos empezaron a aumentar drasticamente desde 2005. Los ataques de ransomware fueron inicialmente populares en Rusia, pero en los últimos años están creciendo de manera drástica en todo el mundo.

Continue reading

Una introducción al mundo de Social-Engineering Toolkit (SET)

En el mundo de la Seguridad IT no se puede dejar nunca de lado la ingeniería social.
La ingeniería social continúa siendo uno de los métodos de ataque más utilizados debido al alto nivel de eficacia logrado engañando al usuario.

Como dijo alguien “la cadena es tan fuerte como el eslabón mas débil que la componga” y, en más ocasiones de las que debiera, este eslabón no tiene nombre de hardware o software, si no el de alguna persona detrás de la PC o dispositivo.
Aunque no es nuevo y muchos ya lo conocemos, vamos a adentrarnos un poco en el mundo de SET (Social-Engineering Toolkit).

Que es SET?

De la manera mas resumida posible:

SET es un completo framework dedicado a la ingeniería social , que nos permite automatizar tareas que van desde el de envío de SMS (mensajes de texto) falsos, con los que podemos suplantar el numero telefónico que envía el mensaje, a clonar cualquier pagina web y poner en marcha un servidor para hacer phishing en cuestión de segundos.

El kit de herramientas SET está especialmente diseñado para realizar ataques avanzados contra el elemento humano. Originalmente, este instrumento fue diseñado para ser publicado con el lanzamiento de http://www.social-engineer.org y rápidamente se ha convertido en una herramienta estándar en el arsenal de los pentesters. SET fue escrito por David Kennedy (ReL1K) con un montón de ayuda de la comunidad en la incorporación de los ataques nunca antes vistos en un juego de herramientas de explotación.

SET integra muchas de las funciones de Metasploit, es más, muchas de las funciones de SET las saca de Metasploit, por tanto no se concibe SET sin previamente tener instalado Metasploit.

Quizás lo que mas nos ha llamado la atención de SET es su eficacia y agilidad a la hora de implementar su gran variedad de ataques.

Bueno basta de introducción, vamos a echar un vistazo rápido a SET y algunas de sus funciones. No podemos olvidar que tratar SET a fondo nos podría llevar mas de un post y por otra parte, no les quiero sacar la posibilidad de investigar por su cuenta sobre este increíble framework de ReL1k y su equipo.

Continue reading

Securizando WordPress con WPHardering

Wordpress-securityWPHardening es una herramienta para securizar los paquetes de WordPress, ya sea antes de su instalación o en un servidor de producción. La misma fue desarrollada por Daniel Maldonado.

WPHardening es una herramienta programada en Python y basada en la consola de comandos. Por defecto WordPress contiene muchos archivos innecesarios para su correcto funcionamiento y requiere de revisiones constantes.

WPHardening esta basado en las mejores practicas de seguridad y consejos que siempre leemos en diferentes papers y blogs pero que sin embargo nunca se implementa.

En esta primera version WPHardening incorpora la activación de flags para realizar diferentes tareas:

  • Cambio de permisos en directorios y archivos .
  • Eliminar archivos innecesarios como readme y licencias.
  • Creación del archivo robots.txt
  • Evadir el fingerprinting de varias herramientas como w3af y wpscan
  • Eliminar las funciones de enumeración de versiones de WordPress independientemente del Theme que se instale.
  • Recomendación y Descarga de diferentes plugins para mejorar la seguridad.
  • Finalmente permite evitar el listado de directorios incorporando archivos index.php y .htaccess

Para comenzar a trabajar con WPHardening es necesario descargar el código directamente desde el repositorio de GitHub de la siguiente manera:

Dentro del directorio wphardening que acabamos de descargar vamos a ver una serie de archivos, donde se encuentra el código fuente de toda la herramientas y algo de información sobre el desarrollo y licencias.

Todas las opciones que les comenté anteriormente se encuentran disponibles para implementarlas.

Para lograr utilizar la herramienta correctamente, es necesario especificar siempre con los flags -d o –dir el Path donde se encuentra nuestro proyecto de WordPress, en lo personal recomiendo realizar este tipo de hardening antes de la instalación de WordPress, pero también es posible realizarlo en un entorno de producción.

De esta forma podemos utilizar todos los flags disponibles como este ejemplo:

Link Descarga: WPHardering

OS X Auditor: Herramienta de análisis forense para Mac

apple-bajo-lupaOS X Auditor es una herramienta gratuita de análisis forense para Mac OS X. Está escrita en Python y parsea/hashea los siguientes elementos de un sistema en ejecución o una copia que quieras analizar:

  • Las extensiones del kernel
  • Los agentes del sistema y demonios
  • Agentes y demonios de terceros
  • Los viejos y obsoletos system y los elementos de inicio de terceros
  • Agentes de usuario
  • Archivos descargados de los usuarios
  • Las aplicaciones instaladas

Y luego extrae:

  • Archivos en cuarentena de los usuarios
  • Historial de los usuarios de Safari, descargas, topsites, bases de datos HTML5 y localstore
  • Cookies de Firefox, descargas, formhistory, permisos, lugares e inicios de sesión
  • Historial de los usuarios de Chrome y archivos de historial, cookies, datos de acceso, sitios más visitados, datos de webs, bases de datos HTML 5 y el almacenamiento local
  • Cuentas sociales y de correo electrónico de los usuarios
  • Los puntos de acceso WiFi señala a los que el sistema auditado se ha conectado(y trata de geolocalizarlos)

También busca palabras clave sospechosas en el archivo .plist.

Puede verificar la reputación de cada archivo en:

  • MHR Team Cymru
  • VirusTotal
  • Malware.lu
  • …su propia base de datos local

Por último, los resultados pueden ser:

  • Representados como un archivo de log txt sencillo (para que puedas hacer cat-pipe-grep en ellos … o simplemente grep )
  • Representados como un archivo de log HTML
  • Enviados a un servidor Syslog

Uso:

Link: https://github.com/jipegit/OSXAuditor

Pentesting: Fingerprinting para detectar SO

OS Fingerprinting es el proceso de recopilación de información que permite identificar el sistema operativo en el ordenador que se tiene por objetivo. El OS Fingerprinting activo se basa en el hecho de que cada sistema operativo responde de forma diferente a una gran variedad de paquetes malformados. De esta manera, utilizando herramientas que permitan comparar las respuestas con una base de datos con referencias conocidas, es posible identificar cuál es el sistema operativo. Nmap es una herramienta ampliamente utilizada para llevar acabo OS Fingerprinting activo.

A diferencia del activo, el OS Fingerprinting pasivo no se realiza directamente sobre el sistema operativo objetivo. Este método consiste en el análisis de los paquetes que envía el propio sistema objetivo a través de técnicas de sniffing. De esta forma, es posible comparar esos paquetes con una base de datos donde se tenga referencias de los distintos paquetes de los diferentes sistemas operativos y, por lo tanto, es posible identificarlos.

Tanto el OS Fingerprinting activo como el pasivo poseen diferentes cosas a favor y en contra. En el caso del activo, es mucho más directo y confiable, ya que la interacción se realiza directamente sobre el sistema operativo objetivo. Sin embargo este tipo de interacción origina tráfico de red sobre el objetivo, por lo que es posible que se generen sospechas. Caso contrario, el OS Fingerprinting pasivo es más silencioso en el sentido que no genera tráfico de red, sino que solo intercepta aquellos paquetes en la red del sistema objetivo. Sin embargo, este método puede ser más complejo a la hora de obtener un conjunto de paquetes que permitan realizar la distinción del sistema operativo con certeza.

A modo de ejemplo, se puede utilizar Nmap para realizar un OS Fingerprinting activo utilizando la la opción “–O” que permite habilitar la detección del sistema operativo. En la siguiente imagen puede visualizarse la detección:

Captura de pantalla de 2014-10-22 23-00-05

En el caso de OS Fingerprinting pasivo, se utilizó la herramienta P0f, la cual permite identificar el sistema operativo de los equipos de la red donde se está realizando el sniffing. Analizando el tráfico generado por el sistema objetivo y a partir de comparaciones, es posible determinar, en el mejor de los casos, la versión exacta del sistema operativo o la familia a la que pertenece. En la siguiente captura puede visualizarse que tipo de sistema operativo detectó a partir del propio tráfico generado por el sistema objetivo:

Captura de pantalla de 2014-10-22 23-04-49

Captura de pantalla de 2014-10-22 23-05-41

Para poder lograr este tipo de información, se debe envenenar la red para lograr interceptar todo el tráfico y así poder analizar los paquetes enviados desde el sistema objetivo.

Desde el punto de vista de un pentester (persona que realiza el Penetration Test), el método de OS Fingerprinting pasivo es una buena técnica para obtener información relevante sin atentar contra el sigilo en el análisis. La mayor ventaja que tiene este método es que es posible utilizarlo a pesar de que los sistemas objetivos cuenten con Firewalls, sistemas IDS/IPS u otros sistemas de protección de red. Asimismo, el OS Fingerprinting pasivo no dejará rastros en los logs del sistema objetivo. Sin embargo en la mayoría de los casos el OS Fingerprinting activo será más preciso a la hora de identificar el sistema operativo debido a que es un método más invasivo y directo.