Archive for septiembre 2015

Pupy, herramienta de administración remota (RAT)

10:52 0 Comments A+ a-



Pupy es una nueva herramienta para administrar remotamente cualquier equipo (RAT), este software hará las delicias de cualquier administrador de sistemas y también de los expertos en seguridad ya que es software libre y está escrito en Python, por lo que podremos en cualquier momento incorporar nuevas características para controlar al detalle todo el sistema.
Pupy es un software multiplataforma, puede ejecutarse tanto en sistemas Microsoft Windows y GNU/Linux, tan sólo deberemos tener instalado Python en nuestro sistema operativo para poder ejecutarlo. Los desarrolladores de Pupy lo han probado en Windows 7, Kali Linux y también Ubuntu, por lo que en principio en cualquier distribución basada en Debian también sería compatible. Dependiendo del sistema operativo donde lo usemos, tendremos unas características de administración remota u otras.

Características de Pupy en sistemas Windows

Una de las características más interesantes de Pupy para sistemas Windows es que el payload (carga útil) está compilado como un DLL de reflexión mientras el intérprete de python está cargado en memoria, por lo tanto Pupy no toca el disco duro en ningún momento, ideal para evitar los análisis forenses. En este sistema operativo Pupy permite grabar las pulsaciones de teclado (keylogger), además también permitiría realizar capturas de pantalla del propio sistema, por último permite la migración tanto de arquitectura x86 a x64 y viceversa, además es persistente por lo que podremos ponerlo al inicio del sistema de tal forma que al reiniciar el equipo se pueda seguir ejecutando automáticamente.

Principales características de Pupy

Otras características de Pupy que son comunes en todos los sistemas operativos compatibles es que puede migrar reflexivamente a otros procesos, además puede importar remotamente y desde memoria paquetes python (.py, .pyc) e incluso Python compilados (.pyd). Los módulos Python importados no tocan el disco duro ya que están específicamente diseñados para ello, aunque los Python compilador actualmente solo funcionando en Windows ya que para Linux no se ha implementado todavía.
Todas las comunicaciones desde el origen hasta el destino y viceversa se realizan a través de conexiones TLS inversas, de esta manera evitaremos que usuarios malintencionados sean capaces de leer la información de nuestro sistema. Si administramos un gran número de máquinas en la misma red, podremos ejecutar una misma orden en todas ellas sin necesidad de ir una por una, además se pueden programar las tareas en background para que no haya que estar continuamente entrando en los sistemas.
Algunos de los módulos implementados actualmente son:
  • Ejecución de comandos.
  • Descarga de archivos
  • Subida de archivos
  • Proxy SOCKS5
  • Reenvío de puertos local
  • Shell interactiva (cmd.exe, /bin/sh, /bin/bash…)
  • Shell interactiva de Python
Os recomendamos visitar el proyecto Pupy en el GitHub oficial donde encontraréis todo el código fuente y la última información sobre los desarrollos de más módulos.
No dejes de visitarnos en Underc0de

 Fuente: redeszones.net

Android: juegos infectados en la tienda de Google Play

16:23 0 Comments A+ a-


Hace poco, en ESET descubrimos un curioso ataque furtivo dirigido a usuarios de Android. Se trata de una aplicación que, a pesar de ser un juego normal, tiene un elemento adicional interesante: estaba empaquetada con otra aplicación llamada systemdata resourcea, lo que sin duda es bastante sospechoso. ¿Por qué un juego normal que se descarga desde la tienda oficial Google Play Store incluye otra aplicación llamada “datos del sistema”? Ciertamente, esta aplicación/juego en particular no es una aplicación del sistema, como su nombre intenta sugerir.
Aunque la aplicación empaquetada se coloca inadvertidamente en el dispositivo, necesita pedirle permiso al usuario para poder instalarse. La aplicación móvil que solicita permiso para la instalación se hace pasar por la aplicación “Manage Settings” (Administrar configuración). Tras su instalación, se ejecuta como un servicio en segundo plano.
ESET detecta los juegos que instalan este troyano como Android/TrojanDropper.Mapin y al troyano en sí como Android/Mapin. Según nuestros datos telemétricos, los usuarios de Android en la India son actualmente los más afectados, con el 73,58% de detecciones observadas.
El troyano backdoor toma el control del dispositivo y lo convierte en parte de una botnet, al mando del atacante. El troyano configura temporizadores que retrasan la ejecución del payload malicioso. De este modo, disimula el hecho de que el juego troyanizado es el responsable de la conducta sospechosa.
En algunas variantes de esta infiltración, por lo menos deben transcurrir tres días para que el malware alcance la funcionalidad completa de un troyano. Probablemente sea este retraso lo que le permitió al TrojanDownloader pasar tanto tiempo sin ser detectado por Bouncer, el sistema de prevención de malware de Google.
A continuación, el troyano pide derechos de administrador de dispositivos y empieza a comunicarse con su servidor de C&C remoto. Android/Mapin contiene múltiples funcionalidades, tales como impulsar diversas notificaciones, descargar, instalar e iniciar aplicaciones, y obtener información confidencial del usuario; sin embargo, su principal objetivo parece ser el de mostrar anuncios de pantalla completa en el dispositivo infectado.

Vectores de distribución: Google Play y compañía

Lo más interesante acerca de este troyano es que estuvo disponible para descargar desde fines de 2013 y durante 2014 simulando ser los siguientes juegos:
  • Hill Climb Racing
  • Plants vs Zombies 2
  • Subway Surfers
  • Traffic Racer
  • Temple Run 2 Zombies
  • Super Hero Adventure
El malware se subió a Google Play entre el 24 y el 30 de noviembre de 2013, y el 22 de noviembre de 2014. Según MIXRANK, Plants vs Zombies 2  se descargó más de 10.000 veces antes de que se eliminara del sitio.
En esas mismas fechas, System OptimizerZombie TsunamiTom Cat TalkSuper Hero AdventureClassic Brick Game y las aplicaciones ya mencionadas de Google Play Store, empaquetadas con el mismo backdoor y provenientes de los mismos desarrolladores, se subieron a varios mercados alternativos de aplicaciones para Android.
También se descubrió que el mismo backdoor se había empaquetado junto con otras aplicaciones subidas por el desarrollador PRStudio (no prStudio) en mercados alternativos para Android, en algunos de los cuales se hacía referencia a la tienda oficial Google Play Store. Este desarrollador subió al menos otras cinco aplicaciones con el troyano: Candy crush o Jewel crushRacing rivals,Super maria journeyZombie highway killer y Plants vs Zombies a diversos mercados para Android de terceros.
Todos estos juegos infectados aún están disponibles para descargar desde estos mercados. Las aplicaciones infectadas se descargaron miles de veces. A continuación podemos ver los íconos de los falsos juegos:

Aplicaciones infectadas


Infección: las víctimas deben instalar el malware 24 horas después de la ejecución

La forma en que se ejecuta este malware presenta algunas variaciones. En ciertos casos, se coloca el troyano en el dispositivo y, 24 horas después de que se ejecuta por primera vez la aplicación descargada, le pide a la víctima que lo instale. Este método le resulta menos sospechoso al usuarioy le hace creer que la solicitud para instalar la aplicación proviene del sistema operativo.
Otras versiones del troyano no esperan 24 horas, sino que se inician de inmediato. Todas las variantes se activan después de que cambia la conectividad, cuando se registra un nuevo receptorde transmisión en el manifiesto.
cambio de conectividad
Cuando se cambia la conexión, se le solicita al usuario que instale la “aplicación del sistema”. El malware se hace pasar por Google Play Update Manage Settings.

Si el usuario decide cancelar en lugar de instalar, la solicitud de instalación volverá a aparecer cada vez que se cambie la conexión. El usuario promedio se convencerá de que se trata de una actualización importante y es probable que en algún punto instale la aplicación, aunque más no sea para deshacerse de la notificación insistente. A continuación, el troyano inicia un servicio utilizando su propio receptor de transmisión registrado, a la espera de otro cambio en la conexión.
Cuando se establece una conexión, el malware intenta registrarse en los servidores de Google Cloud Messages (GCM) para poder recibir mensajes. Luego de registrarse en GCM, Android/Mapin registra el dispositivo infectado en su propio servidor. Para ello, envía el nombre de usuario, la cuenta de Google, el código IMEI, el ID de registro y su propio nombre.
Registro del dispositivo en el servidor atacante
Para evitar que lo desinstalen, el troyano exige que el usuario active el “administrador de dispositivos”:
Administrador de dispositivos

Luego, le notifica al servidor remoto si logró activar el administrador de dispositivos correctamente. A continuación, aparece una publicidad en una ventana emergente de pantalla completa (intersticial).  La publicidad intersticial se muestra cada vez que cambia la conectividad. Para entregar estas publicidades, usan indebidamente la aplicación legítima SDK AdMob.

Publicidades intersticiales

Comunicación a través de Google Cloud Messaging

El troyano se comunica con el servidor usando Google Cloud Messaging (GCM), ya que de esta forma puede responder a los comandos que recibe del servidor. Hoy en día, estos tipos de comunicaciones se están haciendo cada vez más frecuentes entre el malware.

Comandos


El troyano no implementa todas su funcionalidades en forma completa, y algunas de las implementadas no se utilizan. Existe la posibilidad de que esta amenaza esté todavía en desarrollo y que sus creadores sigan mejorando el troyano en el futuro. Su objetivo principal, controlado desde el servidor remoto, es entregarle anuncios al usuario final en forma agresiva, mientras que finge ser una aplicación del sistema.

También puede entregar otros programas maliciosos en el dispositivo del usuario. Cuenta con la capacidad de activar o desactivar publicidades intersticiales o de banner; cambiar el ID de editor para los anuncios mostrados; elegir si desea o no mostrarle anuncios al usuario; cambiar el tiempo de retardo entre los anuncios que se muestran; instalar, descargar e iniciar aplicaciones; impulsar notificaciones; revocar los derechos de administrador del dispositivo; cambiar el servidor con el que se comunica el malware; y crear accesos directos en la pantalla principal para direcciones URL que instalan las aplicaciones descargadas.
Después de ejecutar cada tarea recibida mediante GCM, el dispositivo cliente le informa al servidor remoto a través de HTTPS que la tarea se completó con éxito.

Conclusión

El troyano se logró subir sin problemas a la tienda Google Play Store, probablemente debido a que Bouncer no había implementado todas las técnicas de detección de malware pertinentes: en este caso, la emulación de un cambio en la conectividad de red.
Otra pregunta interesante es por qué Bouncer no analizó en forma estática el archivo ejecutable que se entregaba junto con los demás elementos del juego subido. Por este motivo, el troyano permaneció sin ser detectado y se distribuyó abiertamente a los usuarios. El desarrollador “SHSH” subió a la Play Store el juego infectado “Super Hero adventure”, y es posible que existan más aplicaciones suyas en la tienda oficial de Google.
Eventualmente, se eliminaron los troyanos de la tienda de Google Play, pero pasó casi un año y medio sin que fueran detectados. Tal vez debido a este y otros casos similares, Google anunció que, a partir de marzo de 2015, todas las aplicaciones y actualizaciones deben pasar por una revisión humana.
Las mejores prácticas para evitar la descarga de malware desde la tienda oficial de Google consisten en descargar aplicaciones provenientes de desarrolladores de confianza y leer los comentarios de personas que ya las estén usando. También hay que considerar si los permisos que solicita una aplicación para su instalación están justificados.
Fuente: welivesecurity.com

Jugadores de póker online: atentos!

18:59 0 Comments A+ a-


Hola lectores y usuarios de Underc0de ¿os gusta jugar el póker? Pues estad atentos al troyano Odlanor, diseñado para atacar a los jugadores de póker online ya que espía la cartas de los oponentes infectados.
Los amigos de Welive Security han hecho un análisis sobre Win32/Spy.Odlanor, el malware utilizado por su operador para hacer trampa en los juegos de póker online. Sus víctimas son específicamente los usuarios de dos de los sitios de póker en línea más grandes: PokerStars y Full Tilt Poker.

Modus Operandi: Odlanor toma capturas de pantalla de su víctima

El ataque parece funcionar de una manera simple: después de que el troyano infectó con éxito a la víctima, el creador del malware intenta participar de su juego. Como consecuencia, cuenta con una ventaja injusta, ya que es capaz de ver las cartas del oponente.
Vamos a explicar cada uno de estos pasos con mayor detalle, de la misma forma en que los fuimos descubriendo a través de nuestro análisis.
Al igual que todo típico troyano informático, los usuarios generalmente se infectan conWin32/Spy.Odlanor sin saberlo, al descargar alguna otra aplicación útil a partir de fuentes que no son los sitios web oficiales de los autores del software. Este malware se hace pasar por programas de instalación inofensivos para diversas aplicaciones de propósito general, como Daemon Tools o mTorrent.
En otros casos, el troyano se carga en el sistema de la víctima a través de diversos programas relacionados con el póker: bases de datos para los jugadores, calculadoras y así sucesivamente (como Tournament Shark, Poker Calculator Pro, Smart Buddy, Poker Office, entre otros).
Una vez ejecutado, el malware se utiliza para tomar capturas de pantalla de la ventana de los dos sitios de póker a los que se dirigen los ataques, PokerStars o Full Tilt Poker, cuando la víctima está usando cualquiera de ellos. Las capturas de pantalla luego se envían al equipo remoto del atacante.
Posteriormente, el criminal visualiza las imágenes para hacer trampa en el juego. Las capturas no solo revelan las cartas en la mano del oponente infectado, sino también el ID del jugador. Ambos sitios de póker permiten buscar jugadores por sus documentos de identidad, por lo tanto, el atacante puede conectarse fácilmente a las mesas de las víctimas que están jugando.
No estamos seguros de si el autor juega los juegos en forma manual o si lo hace de alguna manera automatizada.
En las últimas versiones del malware, se añadió la funcionalidad de robo de datos de propósito general mediante la ejecución de una versión de NirSoft WebBrowserPassView, integrada en el troyano Odlanor. Esta herramienta, detectada por ESET comoWin32/PSWTool.WebBrowserPassView.B, a pesar de ser una aplicación potencialmente no deseada, es un programa legítimo, y es capaz de extraer contraseñas de varios navegadores web.

Detalles técnicos de Odlanor

El troyano se comunica con su servidor de C&C, cuya dirección está codificada en forma rígida en el archivo binario, mediante HTTP. Parte de la información extraída, como la versión de malware e información de identificación del equipo, es enviada en los parámetros de la URL. El resto de la información recopilada, incluyendo un archivo comprimido con las capturas de pantalla o las contraseñas robadas, se envía en los datos de la solicitud POST.
Las capturas de pantalla de IDA Pro que aparecen a continuación muestran las partes del código del malware encargadas de buscar las ventanas de PokerStars y Full Tilt Poker:

Fuente: welivesecurity.com
Ir a Underc0de

Kali Linux 2.0: tips

13:43 0 Comments A+ a-


Hola usuarios y lectores de Underc0de !!!

Los chicos de Offensive Security (en inglés) han hecho una serie de sugerencias para Kali Linux 2.0. Creemos que es bueno tenerlas en consideración, por eso hice una síntesis y las traduje al castellano. Esperamos que os sirvan. 

1. Activa o desactiva la opción  de la barra lateral inteligente.

Mientras que algunos la odian otros les fascina, aunque en algunos casos pueda ser molesto.  


Podéis ver el vídeo en Desactivar/activar barra lateral

2. Agrega tu clave pública SSH en Kali


Otra alternativa es cambiar PermitRootLogin  ( yes )   y reiniciar el servidor SSH. Para el acceso a SSH  agregar la clave pública a  /root/.ssh/authorized_keys.

3. Instala los controladores de NVIDIA sólo si los necesitas, siguiendo las instrucciones  Controladores NVIDIA

4.  Si las necesitas, instala las herramientas para VMware o Virtual Box

5.  Desactiva la función de bloqueo de pantalla en Gnome


        Podéis ver el vídeo en Desactivar Gnome

   6.  Si  por alguna razón al instalar Kali, cuando se os preguntó  “use a network mirror", respondisteis  "no" , os pueden faltar algunas entradas  en el archivo  sources.list . Si este es el caso,  comprueba la lista oficial de respositorios . A pesar que algunas guías no oficiales indiquen que  deben agregarse, evita añadir repositorios adicionales al sources.list . No agreguéis  kali-dev, kali rolling, o cualquier otro repositorio de Kali, salvo que haya una motivo específico.  Si tenéis que agregar repositorios adicionales hacedlo en :  /etc/apt/sources.list.d/
  
    7. Añade un usuario no-root si no te sientes cómodo corriendo como root.


Solo tienes que cambiar "muts" por el nombre de usuario que elijas para tu cuenta.

8. Evita instalar Flash Player 

9. Mantiene al día las actualizaciones del Sistema Kali 


10. Evita las instalaciones manuales de herramientas en los directorios definidos por FSH para no entrar en conflictos con  el gestor de paquetes apt existente.

Ir a Underc0de 

Más sobre huellas y espías: supercookies. Verifica tu conexión

15:59 0 Comments A+ a-


Es moneda corriente nuestra preocupación por la privacidad, y no porque seamos paranoic@s (aunque nos tachen de tales). Sabemos que ninguna medida es poca cuando se trata de que nos espíen, porque ya no depende nada más de nosotros los sufridos usuarios, sino de SO (por ejemplo alcanza  pensar en Microsoft y su Win 10). 

Es más, hace unos días publicamos un post 'Te están espiando? Compruébalo'  para saber si nos espiaban a través de la conexión 3G o 4G en nuestro móvil. Pero la monitorización de servidores o de nuestro ISP, no pocas veces opera como un ojo del Gran Hermano que vigila lo que hacemos o no hacemos en internet; las cookies son buena herramienta para ello. 

Las cookies, esos archivos que la Wikipedia define como “Una cookie (o galleta informática) es una pequeña información enviada por un sitio web y almacenada en el navegador del usuario, de manera que el sitio web puede consultar la actividad previa del usuario.”  (puedes consultar más información al respecto en este post  cookies , en Underc0de ) abundando por toda la WEB, guías para que el usuario las configure, limite o elimine; lo que permite de alguna forma tener cierto o meridiano control sobre ellas. 

Ahora bien, las supercookies (archivo que contiene información similar a la cookies de toda la vida,) son mucho más agresivas que las "galletas" comunes; no solo porque almacena más información, sino que ésta es persistente ya que es implementada con tecnologías HSTS, de modo que la limpieza de caché y cookies no alcanzan para borrar nuestras huellas ni el navegador en modo privado escapa a ellas. 

Ya no es únicamente la conexión por móvil sino la desde nuestra propia casa la que nos controlan, aunque el ISP diga que es para “verificar el correcto y buen funcionamiento del servicio”. Seguro que nosotros vamos y lo creemos [sarcasmo].


Hice tests en estas web [modo de navegación privado] que me verifica la conexión ADSL del PC, aunque diga de la "línea móvil" y parecería que mi ISP no me está espiando. Probad vosotros.

TEST de ISP



En esta otra SUPERCOOKIES ESPÍAS



Visítanos en Underc0de

Cuidado: invasión forzada a la privacidad

13:36 0 Comments A+ a-


Circula por varios portales de la web que aquellos usuarios  de Windows que tengáis configurado las actualizaciones automáticas en Win 7 y Win 8, Microsoft te descarga -sin tu autorización-  el nuevo Win 10. Así como lo leéis  usuarios de Underc0de y visitantes.

Dejemos bien claro, que esa descarga automática (forzada) no es para los usuarios que optaron por la reserva antes del 29 de julio, sino que aunque no se haya reservado nada de igual forma se ha descargado de manera silenciosa  en tu ordenador.

Por tanto, si se cumplen los requisitos para instalar el sistema Win 10 y tienes activadas actualizaciones automáticas, pues  Microsoft te mete la actualización -y con un morro que se lo pisa-  declara que es  para que los users “estén preparados por si quieren actualizar” en un futuro.


Este actuar sibilino de Microsoft salió a la palestra  y según nos cuenta la web de Soft Zone cuando “un usuario denunció a la página web The Inquirer que había encontrado una carpeta llamada $Windows.~ BT que ocupaba 6 GB metida en la propia carpeta de descargas del sistema operativo de su ordenador. Curiosamente es la misma carpeta que se descargaba automáticamente cuando los usuarios se habían apuntado a la lista de espera para recibir Windows 10. El problema es que este usuario no se había apuntado a ninguna lista. Pero además, no solo se descargaba sino que se intentaba instalar cada vez que el equipo se iniciaba, según el propio usuario. Y claro, la molestia no era solo porque cada vez que se intentaba instalar el usuario en cuestión debía negarse, sino porque durante el tiempo que duró la descarga la conexión del usuario iba, como es natural si tenemos una mala conexión a internet, a una velocidad anormalmente lenta.



No deja de ser llamativo que Microsoft, sabiendo que los users somos sensibles al tema de la privacidad y con todas las críticas que sobre el punto a recibido Win 10, asuma esta práctica sin despeinarse.

Por si las dudas, en la PC que uso Win y pese a no tener configurado actualizaciones automáticas; miré con lupa por si no estaba como archivo oculto.  Por si acaso los que no queréis esta invasión a la privacidad, revisad.  Tengo que ver el tema de los juegos, porque el momento de usar solo Linux es cada vez más cercano.

No dejéis de visitar nuestra comunidad Underc0de


Descubre usuarios a través de su mail, red social o número de telefono

14:05 0 Comments A+ a-


 ¿Buscas  a alguien?
¿Solo tienes su mail?  ¿O su Facebook?  y tú no tienes FB, así que la posibilidad de agregarte como amigo no es posible...

Quién buscas no usa Skype, y tú tampoco... pero quieres contactar con es@ persona con que coincidiste alguna vez. Hay otra alternativa, lectores y usuarios de Underc0de Matrix.

Matrix, es un servicio basado en estándares abiertos que te permite chatear y realizar videollamadas. Puedes crear salas de charla persistentes, enviar y recibir mensajes cifrados. Esta última característica es optativa, aumentando la seguridad de las comunicaciones y frustrando a posibles cotillas (espías).

Este servicio, utiliza  tecnología WebRTC, de código abierto que permite la comunicación web en tiempo real desde el navegador (soportada por Firefox, Chrome, Opera), por lo que no necesita instalación y su uso es posible tanto desde ordenadores como de móviles.

Y lo bueno es que puedes  importar y descubrir usuarios a través de sus identidades en redes sociales, mails, y por supuesto números telefónicos.

¿Cómo usamos Matrix?
Es necesario  registrarnos (no es preciso email) y seleccionar alguno de sus clientes para chatear:
·        
       Matrix.org (cliente web)
·         Vector (cliente web)
·         Android
·         iOS
·         Weechat plugin para Linux, OS X y Windows

Para los que queráis investigar más, podéis visitar su web y el código en  en GitHub.

No dejéis de visitarnos en Underc0de

Para elaborar este post se obtuvo información de: lamiradadelreplicante.com




Instala automáticamente todas las herramientas de Kali Linux en tu distro preferida

12:57 1 Comments A+ a-




En este post, le traemos un breve tutorial de Katoolin, una herramienta desarrollada por Lionsec,  un compañero de Underc0de. Una tool que permite instalar en forma automática todas las herramientas de Kali Linux  (incluidos repositorios, menú, etc.) en otras distros, como Ubuntu o Mint. Nuestras distros preferidas podrán contar que el inmenso arsenal de kali, ahorrando tiempo en la selección manual. Desarrollada en Phyton y disponible gratuitamente en Github.

Instalación

Antes de iniciar la instalación, asegúrense de tener instalado Python 2.7.

sudo su
git clone https://github.com/LionSec/katoolin.git && cp katoolin/katoolin.py /usr/bin/katoolin
chmod +x /usr/bin/katoolin
sudo katoolin

O simplemente: sudo python katoolin.py

Al ejecutar el script, nos aparecen 5 opciones:


Para poder instalar las herramientas de Kali, primero hay que añadir sus repositorios, para eso seleccionamos la opción "1"



En primer lugar tenemos que ver el contenido del archivo sources.list para asegurarnos que aún no hemos añadido los repositorios, lo que evitará una duplicación que suele causar problemas a la hora de actualizar.

Una vez verificado el paso anterior, seleccionamos la opción "1":


A continuación, seleccionamos la "2":


Si todo sale bien, tecleamos "back" para volver atrás, y seleccionamos la opción "2".


Una vez aquí, podemos instalar directamente todas las herramientas incluidas en todas las categorías, presionando "0" . O seleccionar una categoría para elegir las herramientas que queremos instalar.

Por ejemplo, para instalar BeEF, una herramienta de explotación, seleccionamos la categoría "8".


Una vez más puedo seleccionar "0" para instalar todas las herramientas de esta categoría, o insertar el número de la tool que nos interesa para instalarla.

El comando "gohome" permite volver al menú principal.


Podéis  ver el video o consultar tus dudas en Underc0de

Suscribirse a: Entradas (Atom)