Haka: parte II (reglas de seguridad)

14:36 0 Comments A+ a-


Hola amigos y lectores de Underc0de!

Hace unos días compartimos post sobre Haka, el nuevo lenguaje de seguridad informática. Hoy traemos una segunda parte sobre la sintaxis de sus reglas de seguridad.
...

Haka ofrece una forma sencilla de escribir reglas de seguridad para filtrar, modificar, crear e inyectar paquetes. Según expertos de auditoría de seguridad informática, cuando se detecta un flujo con algo malicioso, pueden informar los usuarios o pueden dejar el flujo. Los usuarios pueden definir escenarios más complejos para mitigar el impacto de un ataque. Por ejemplo, se puede alterar peticiones http y obligar a los navegadores obsoletos para actualizar o falsificar paquetes específicos para engañar herramientas de análisis de tráfico.
La siguiente regla es una regla de filtrado de paquetes básico que bloquea todas las conexiones de una dirección de red.
local ipv4 = require(“protocol/ipv4”)
local tcp = require(“protocol/tcp_connection”)
local net = ipv4.network(“192.168.101.0/24”)
haka.rule{
   hook = tcp.events.new_connection,
   eval = function (flow, pkt)
       haka.log(“tcp connection %s:%i -> %s:%i”,
           flow.srcip, flow.srcport,
           flow.dstip, flow.dstport)
       if net:contains(flow.dstip) then
           haka.alert{
               severity = “low”,
               description = “connection refused”,
               start_time = pkt.ip.raw.timestamp
           }
           flow:drop()
     end
   end
}
Las primeras líneas del código cargan los disectores de protocolo, Ipv4 y TCP explica profesor de hacking, Mike Stevens. La primera línea se encarga de paquetes IPv4. Después usamos un disector de TCP de estado que mantiene una tabla de conexión y gestiona flujos de TCP. Las siguientes líneas, definen la dirección de red que debe ser bloqueada.
La regla de seguridad se define a través de palabras clave haka.rule. Según expertos de servicios de auditoría informática las reglas de haka son muy útiles. Una regla de seguridad está hecha de un gancho y una función de evaluación eval. El gancho es un evento que activará la evaluación de la regla de seguridad. 
En este ejemplo, la regla de seguridad se evaluará en cada intento de establecimiento de conexión TCP. Los parámetros pasados a la función de evaluación dependen del evento explica el experto de servicios de seguridad informática. En el caso del evento new_connection, eval toma dos parámetros: flow y pkt. Lo primero de ellos tiene detalles sobre la conexión y el segundo es una tabla que contiene todos los campos del paquete TCP.
Según recomendación del profesor, en el núcleo de la regla de seguridad debemos registrar en haka.log primero alguna información acerca de la conexión actual. Luego, comprobamos si la dirección de origen pertenece a la gama de direcciones IP’s no autorizadas. Si la prueba tiene éxito, elevamos una alerta (haka.alert) y liberamos la conexión. Menciona asimismo, Roberto Talles,  que se tenga en cuenta que se informa sólo algunos detalles de la alerta. Se puede añadir más información, como el origen y el servicio de destino.
Utilizamos hakapcap herramienta para probar nuestra filter.lua regla en un archivo de pcap trace filter.pcap:
$ hakapcap filter.lua filter.pcap

De aquí en adelante, en los resultados sale algo de información sobre disectores cargados y reglas registrados. El resultado muestra que Haka logró bloquear conexiones dirigidas a dirección 192.168.101.62:
En el ejemplo anterior, hemos definido una sola regla para bloquear las conexiones. Uno puede escribir un conjunto de reglas de firewall usando la palabra clave haka.group . En este caso, la configuración, se puede elegir un comportamiento por defecto (por ejemplo, bloquear todas las conexiones) si ninguno de la regla de seguridad autoriza explícitamente el tráfico.
Fuente: noticiasseguridad.com
Visítanos en Underc0de

Vulnerabilidad permite hackear Linux: verifica tu distribución

14:52 1 Comments A+ a-


Dos investigadores de la Universidad Politécnica de Valencia han descubierto una vulnerabilidad tan extraña como grave en la mayoría de sistemas Linux

Pulsar 28 veces la tecla “Retroceso” durante el login del gestor de arranque produce el desbordamiento de una variable que acaba dándote acceso al sistema.

El bug afecta al gestor de arranque Grub2 desde la versión 1.98 (diciembre de 2009) hasta la 2.02 (diciembre de 2015), común en la mayoría de distribuciones de Linux

La vulnerabilidad afecta a “un número incalculable de dispositivos”según los propios investigadores. Cualquier persona con acceso local podría entrar al sistema sin necesidad de contraseñas.

Si el sistema es vulnerable a este error, el atacante puede acceder a la consola de rescate Grub y realizar lo que se conoce como un “ataque de día cero”: robar los datos del usuario, instalar software malicioso, destruir el sistema... Hacer, básicamente, lo que le dé la gana con el ordenador.

¿Te afecta esta vulnerabilidad? Como explican los expertos Héctor Marcó e Ismael Ripoll, puedes comprobarlo tú mismo presionando 28 veces la tecla “Retroceso” (o Backspace) cuando Grub te pide el nombre de usuario. Si se abre la consola de rescate o el ordenador se reinicia, el error te afecta.

En ese caso, hay una solución de emergencia mientras Grub saca una actualización oficial. Los dos investigadores españoles han programado un parche que puedes instalar tú mismo con este código:

$ git clone git://git.savannah.gnu.org/grub.git grub.git $ cd grub.git $ wget http://hmarco.org/bugs/patches/0001-Fix-CVE-2015-8370-Grub2-user-pass-vulnerability.patch $ git apply 0001-Fix-CVE-2015-8370-Grub2-user-pass-vulnerability.patch

Los desarrolladores de UbuntuRed Hat y Debian también han publicado sus propios parches de emergencia. 

Fuente: gizmodo.com

Compartimos exploit zero-day en WordPress

14:55 0 Comments A+ a-


Hola amigos y lectores de Underc0de!

Cómo sabéis WordPress, es una de las plataformas de gestión de contenidos más populares para la creación de blogs o sitios webs que se ejecuten en entornos MySQL y Apache.

La facilidad de instalación del software (libre) y su uso intuitivo hacen que sea una de las opciones preferidas al momento de montar una web o bitácora propia.

Sin embargo, el sistema de gestión  no está exento de vulnerabilidades que los profesionales de la seguridad detectan con más frecuencia de la deseable.

En esta línea de ideas,  les traemos un Zero-day (autor: indoushka) -de fecha de hoy (13/12/2015)- vinculado a una vulnerabilidad remote file inclusion en WordPress  Squirrel Theme versión 1.6.4, describiéndosela como de alto riesgo.

Aquí podéis obtener el exploit.

Esta publicación tiene fines de divulgación, test e investigación. No nos responsabilizamos por el mal uso del mismo.

Fuente del Zero-day: 0day.today


Visítamos en Underc0de .

Configurando EDA2

15:22 6 Comments A+ a-


Hola a todos, a petición de varios usuarios, he realizado un tutorial básico y rápido de como configurar EDA2.

EDA2, es la versión actualizada de Hidden Tears, podéis obtener más información en estos post:

https://underc0de.org/foro/malware/hidden-tear-el-primer-ransomware-open-source/

https://underc0de.org/foro/malware/configurando-hidden-tear-(offline)/

https://underc0de.org/foro/malware/configurando-hidden-tear-(online)/

Repositorio oficial: https://github.com/utkusen/eda2

Al igual que Hidden Tears, EDA2 es un ransomware opensource con las siguientes características:

  • Utiliza ambos algoritmos RSA y AES.
  • Se coordina desde un C&C
  • Utiliza CSPRNG y phplibsec
  • Los archivos cifrados se pueden descifrar con el software de la versión anterior.
  • Cambia el fondo de escritorio al ejecutarse.

Funcionamiento

1. El ransomware envía una solicitud POST al C&C con la variable del nombre de usuario.
2. El C&C crea la key RSA pública /privada y envía la clave pública para al ransomware y guarda la clave privada en la base de datos
3. El programa crea una clave aleatoria para el algoritmo AES
4. El ransomware encripta los archivos con el algoritmo AES
5. El ransomware encripta la clave AES con la clave pública RSA y la envía al C&C vía POST.

NO FUNCIONA A mi no me funcionó y tuve que reprogramarlo para el tutorial (más bien hice una chapuza rápida). Parece ser que envía los campos en blanco.

6. El C&C guarda la clave cifrada AES dentro de la base de datos.
NO FUNCIONA  Al no recibir nada, no lo guarda.

Configuración

1. Lo primero con lo que nos encontramos, es la siguiente linea:


Desde esta, podremos modificar la longitud de la clave RSA.

2. Acto seguido, deberemos modificar estas 2 urls por las de nuestro hosting (habiendo subido previamente el panel).


En la siguiente línea podremos modificar la imagen que se pondrá de fondo de escritorio al ejecutar el ransomware:


3. Podremos modificar el directorio desde donde empezará a cifrar los ficheros en esta linea:


4. Además, como en Hidden Tears, podremos modificar la extensión de nuestros ficheros cifrados.


5. Obviamente, podremos decidir que extensiones queremos cifrar, pudiendo añadir o eliminar de la lista que viene por defecto.


6. Además, podemos modificar el algoritmo de creación de la clave, pudiendo poner una por defecto si queremos.


Nota: EDA2 utiliza .NET Framework 4.5, podremos modificar la versión desde aquí:


7. Una vez tengamos el ransomware modificado, debemos crear la tabla dummy en una base de datos llamada panel (obviamente estos nombres se pueden modificar desde el código php, pero son los que vienen por defecto).:


8. Ahora deberemos crear los siguientes campos en nuestra tabla:


Nota: No es necesario darles ese "tipo" de campo, requiere mucho menos espacio.

9. Una vez hecho esto, podremos logearnos en el panel de administración, cuya url sería dominio.com/panel/login.php, utilizando las credenciales por defecto, test:test


10. Este será el dashboard de nuestro panel, donde veremos la información de los infectados.


11.  Verificamos que nuestros ficheros no están cifrados (pues no hemos ejecutado aún el ransomware).


12. Ejecutamos EDA2 y veremos como cambia nuestro fondo de pantalla (por el que hemos seleccionado antes) y nuestros ficheros están cifrados.  


13. Accedemos al panel de administración para obtener la clave para descifrar los ficheros.


14. Pulsamos sobre el botón que dice "Decipher" (Descifrar) y obtendremos la clave necesaria para hacerlo.


15. Utilizamos la clave en el software y listo!


Saludos!
Blackdrake

Haka: nuevo lenguaje de seguridad informática

11:13 0 Comments A+ a-


Haka es un lenguaje de seguridad orientado a código abierto que permite especificar y aplicar las políticas de seguridad Informática en el tráfico capturado en vivo. HAKA se basa en Lua y es un lenguaje sencillo, ligero y rápido. El alcance de Haka es doble explican consultores de empresa de seguridad informática y hacking ético. En primer lugar, permite la especificación de las normas de seguridad para filtrar flujos no deseados y reportar actividades maliciosas. 
Haka proporciona un API simple para la manipulación del tráfico corriente. Uno puede descartar paquetes o crear otros nuevos e inyectarlos. Haka también apoya la modificación de paquetes en la marcha. Esta es una de las principales características de Haka desde todas las tareas complejas tales como el cambio de tamaño de paquetes, ajuste correctamente de los números de secuencia. Esto se hace en vivo sin la necesidad de un proxy y se realiza todo de forma transparente para el usuario.
En segundo lugar, Haka permite la especificación de protocolos y estado subyacente de todo. Haka es compatible con ambos tipos de protocolos: protocolos basados en binario (por ejemplo, DNS) y protocolos basados en texto (por ejemplo, http). La especificación cubre los protocolos basados en paquetes, tales como IP, así como los protocolos basados en secuencias como http.
 Según consultores de empresas de seguridad informática y hacking ético, HAKA se encaja en un marco modular. Incluye varios módulos de captura de paquetes (pcap, nfqueue) que permiten a los usuarios finales a aplicar su política de seguridad informática en el tráfico capturado vivo. El marco proporciona el registro (syslog) y alerta de módulos (Syslog, Elasticsearch). 
Por último, el marco tiene módulos auxiliares, tales como un motor de búsqueda de patrones y un módulo de desensamblador de instrucciones. Estos módulos permiten escribir las reglas de seguridad informática de grano fino para detectar malware ofuscado. Haka fue diseñado de manera modular, permitiendo a los usuarios a ampliarlo con módulos adicionales.
Haka proporciona una colección de cuatro herramientas importantes para consultores de empresa de seguridad informática y hacking ético:
haka: Es el programa principal de la colección. Está diseñado para ser utilizado como un daemon para controlar los paquetes en el fondo. Los paquetes son disecados y filtrados de acuerdo con el archivo de políticas de seguridad especificadas. Haka toma como entrada un archivo de configuración. Este archivo script se carga disectores de protocolo típicamente incorporados o definidos por el usuario y define un conjunto de reglas de seguridad.
hakactl: Esta herramienta permite controlar daemon. Uno puede obtener estadísticas en tiempo real en los paquetes capturados, inspeccionar los registros o simplemente apagar/reiniciar el daemon.
hakapcap: Esta herramienta permite reproducir un archivo de política en una captura de paquetes utilizando el módulo pcap. Por ejemplo, esto es útil para realizar análisis forense y hacking ético de la red.
hakabana: Esta herramienta permite la visualización y monitoreo de tráfico de red en tiempo real utilizando Kibana y Elasticsearch según expertos de empresa de seguridad informática. Hakabana consiste en un conjunto de reglas de seguridad que lleva información sobre el tráfico que pasa a través de Haka en un servidor de elastisserach y muestra a través de una consola Kibana. Un panel adicional también está disponible para visualizar alertas de Haka.

Fuente: noticiasseguridad.com
Visítanos en Underc0de

No más espionaje

18:50 0 Comments A+ a-


Hola amigos y lectores de Underc0de!

En el Día Internacional de la Seguridad Informática, donde la ingeniería social sigue a la  orden del día, las infecciones se multiplican en ordenadores y dispositivos móviles, la privacidad y el anonimato es casi un mito, comentaros que EEUU  dice que dejará de  espiar  a sus ciudadanos.

La nueva legislación de los vecinos del norte (USA Freedom Act o Ley de Libertad), impide recopilar metadatos el forma masiva, indiscriminada y a ciegas.

Asimismo, según declaraciones de Obama, la  información  almacenada por la NSA durante los últimos cinco años,   se borrará -en forma segura- a partir de febrero.

Esta noticia podría hacernos pensar que se ha dado un  paso en la seguridad de las comunicaciones y un triunfo para los defensores de la privacidad.

Sin embargo, si se lee la letra chica, los programas de espionaje podrán seguir instrumentándose con un permiso judicial y  ante razones que los justifiquen; lo que permite una brecha para continuar con las habituales prácticas de enterarse de todo -si es que está "justificado"- sin olvidar que la expresión "seguridad nacional" puede englobar muchísimo. 

Más aún, nada se dice respecto a la recolección de información realizada por EEUU fuera de sus fronteras, y que Snowden reveló.

La información es poder, y difícilmente los gobiernos (no solo Estados Unidos) renuncien a ella por más leyes o declaraciones de cara a la galería. Esto es necesario tenerlo presente, precisamente, para ser conscientes de la importancia de la seguridad digital, cuyo día hoy conmemoramos. 

Visítanos en Underc0de

Usuarios de VPNs, atentos...

12:28 0 Comments A+ a-


Sin lugar a dudas es uno de los servicios que más se utiliza en la actualidad para proteger de alguna forma la privacidad y navegar por Internet de forma anónima. Pero estos no están libres de problemas y se ha detectado uno que afecta a todos los servicios VPN compartidos, permitiendo conocer la dirección IP pública real de los usuarios.
La vulnerabilidad ha sido descubierta por Perfect Privacy y afecta sin ningún tipo de excepción a todos los sistemas operativos y protocolos VPN. El interés por el cifrado de las comunicaciones ha ido en aumento, provocado sobre todo por los fallos de seguridad existentes y la delicada seguridad que existe a la hora de enviar y recibir datos a través de Internet. Si eres un usuario de BitTorrent sabes de qué estamos hablando, ya que en muchos países se ha prohibido el uso de este servicio, recurriendo a estos para recuperar el acceso y continuar con la descarga de contenidos.
Los usuarios persiguen la finalidad de ocultar su dirección IP real, sin embargo, este descubrimiento a truncado por el momento las expectativas de los usuarios y por lo tanto el funcionamiento de los servicios VPN compartidos.
A pesar de todo hay que decir que el atacante debe encontrarse en el mismo servicio para llevar a cabo el ataques y así desvelar esta información de los usuarios. Todos los protocolos VPN (incluidos OpenVPN y IPSec) están afectados por el problema y el problema se extrapola a los sistemas operativos.

Los servicios VPN compartidos que ofrecen “port fowarding” son los afectados

Para sacar provecho de la vulnerabilidad se debe utilizar una acción muy sencilla y conocida por muchos: el port fowarding. Desviando el tráfico hacia un puerto específico, el atacante podría conocer la dirección IP del tráfico. Utilizando un ejemplo, si un atacante utiliza BitTorrent y activa esta función y existen usuarios en el mismo servicio que también hacen uso de este programa este conocería la dirección real de estos, algo que como ya hemos puntualizado con anterioridad, solo sucede en aquellos en los que se comparta la dirección IP.

Private Internet Access (PIA), Ovpn.to y nVPN han solucionado el problema

Antes de hacerse pública la vulnerabilidad, se ha otorgado un tiempo prudencial a los propietarios de estos servicios para tomar medidas y resolver el fallo de seguridad, algo que algunos ya han realizado. Según detallan los responsables, resulta algo tan sencillo (entre comillas) como establecer unas reglas en el cortafuegos de los servidores del servicio para resolver el problema.
El problema es que no todos los servicios han prestado atención al reporte y muchos aún son vulnerables.
Fuente: redeszone.net


Vísítanos en Underc0de

¿El fin de la privacidad y el anonimato en la Deep Web?

15:28 0 Comments A+ a-


Hola lectores y amigos de Underc0de!

Las públicas noticias sobre la batalla cibernética de Anonymous contra el grupo yihadista ISIS, supuestos éxitos y fracasos de cada uno de los involucrados, ha puesto en escena la ya no desconocida Deep Web, en tanto se dice que ISIS ha migrado a la web oscura, ya que de esta forma se dificulta seguirle los pasos o interceptar sus comunicaciones.

 Pero no vamos a hablar de Anonymous (o su cruzada) ni ocupar una línea más en terroristas. La introducción obedece a que la idea de hoy es comentar  sobre MEMEX.

Todos sabemos que las páginas de la  Deep Web no están indexadas por motores de búsqueda como Google, Yahoo, o Bing,  y que los dominios .onion necesitan de un Browser como TOR para explorar  sus páginas.

En este escenario aparece MEMEX, un proyecto de EEUU liderado por la agencia  DARPA, al  que actualmente se ha integrado la NASA. Su nombre combina en inglés las palabras memoria e índice, memory e index.

Desarrolla un motor de búsqueda para la Deep Web, rastreando allí donde los buscadores convencionales no pueden indexar y cuyos resultados -se dice- que los presenta en forma gráfica para que los vínculos ocultos puedan ser identificados. Se valdrá de las imágenes,  metadatos, información de e-mails, entre otros, para el rastreo.

La justificación de los vecinos del norte, viene –como bien sabemos- por la búsqueda del bien común (sarcasmo modo on), esto es el combate a las actividades ciber- delictivas que se gestionan en el “lado oscuro” de internet.

¿Cómo funciona MEMEX?

Memex funciona mediante la utilización de web crawlers específicos para distintos dominios de internet usando los datos que recogen en forma única (pero requiriendo una lista de URL para indexar), pero construyendo un mapa de interconexiones, que interpretadas pueden revelar asociaciones útiles para la indagación de delincuentes informáticos. 

 Si MEMEX resulta exitoso, la web oscura se irá “iluminando” y el plus de privacidad que tienen sus usuarios desapareciendo. 

 El proyecto está en desarrollo, sin embargo ya se lee que es posible que el público en general pueda acceder a él a través del GitHub, con tan solo buscar: Memex-explorer.





Visítanos en Underc0de

Analiza el tráfico de la red TOR

16:39 2 Comments A+ a-


Torflow son un conjunto de scripts creados en python para estudiar la red tor, analizar su tráfico y medir la fiabilidad de los diferentes nodos de conexión, que ahora también podemos disfrutar de manera interactiva y ver en toda su magnitud gracias a un nuevo servicio web, que nos ofrece espectaculares mapas y una maravillosa visión del tráfico de la red.

Más allá de la belleza de la escena, con sus constelaciones de servidores y áreas de conexión, llama la atención que la mayoría de servicios de red estén concentrados en Europa Central y la escasez de los mismos en Asia, Australia o América Latina.
Dada la popularidad de Tor como la principal red de anonimato a nivel mundial, sería de esperar algo más de diversidad.

Además de observar las tendencias de tráfico actuales, TorFlow nos permite analizar los niveles de tráfico históricos –cuenta en la parte inferior con una barra de desplazamiento para el timeline– y filtrar los datos por paísestipos de servicios (ocultos o de tipo general), nodos o conexiones.
Más información en la web del proyecto y si estáis interesados en saber mas sobre la estadísticas del Proyecto Tor, este es el sitio donde buscar.
Fuente: lamiradadelreplicante.com
Vísitanos en Underc0de