Archive for octubre 2015

Actualizad Joomla: vulnerabilidad que permite inyección de código SQL

16:14 1 Comments A+ a-


Que se publique una actualización o parche de seguridad no quiere decir que la totalidad de los usuarios hagan uso de él. Esto ha pasado con un problema detectado hace unos días en Joomla, publicando los responsables una solución a este que sin embargo no ha sido adoptada por la mayoría y ahora los ciberdelincuentes están atacando los sitios web que hacen uso del CMS.
Tal y como suele suceder, tanto la parte encargada de descubrir el fallo como la parte implicada y que debe emitir una actualización se ponen de acuerdo para no publicar los detalles hasta que la actualización sesté disponible. Sin embargo, el problema ha sido doble, ya que antes de que se publicase algunos sitios web que utilizaban este gestor de contenidos ya registraron los primeros ataques aprovechando esta vulnerabilidad que permitía la inyección de código SQL y como consecuencia conseguir el control de éste.
Los expertos en seguridad han confirmado que fueron varios los sitios web afectados pero que algunos tenían configurado de forma correcta un firewall que de alguna forma neutralizó el ataque llevado a cabo.
Desde el CMS han hecho un llamamiento a los usuarios y webmasters que utilicen éste para que actualicen cuanto antes a esta nueva versión para hacer frente al problema de seguridad detectado y que está provocando más problemas de los pensados en un primer momento.

Tal y como se puede ver en el gráfico anterior, el número de ataques realizados se ha incrementado prácticamente de forma exponencial.

Muchos aún no han actualizado a la última versión de Joomla

Aunque el primer problema haya sido el apogeo de estos mucho antes de la publicación de la solución, ahora la mayor preocupación es que no se actualice a esta última versión. Y es que ya es bastante habitual encontrar que los CMS no posean la última versión publicada. Esto supone evidentemente un ahorro de tiempo para los administradores de páginas web, sin embargo, la posibilidad de que los fallos de seguridad existentes sean utilizados por ciberdelincuentes para robar información o hacerse con el control de la página es mucho más alta que manteniendo el CMS al día en lo referido a las actualizaciones.
Tras la gráfica que hemos podido ver con anterioridad, podemos observar que tras el descubrimiento de un fallo de estas características los webmasters disponen solo de 24 horas antes de que los criminales realicen ataques masivos contra los sitios web.
Fuente; redeszone.net
Vísitanos en Underc0de

Ve enterándote: el oscuro funcionamiento de las llamadas del WhatsApp

13:50 1 Comments A+ a-



Todo era muy bonito para ser verdad. En los últimos meses WhatsApp, actualmente propiedad de Facebook, ha implementado un gran número de funciones, siendo dos de las más importantes un cifrado punto a punto de las comunicaciones y las llamadas de voz con las que pretenden plantar cara a los abusos de las teleoperadoras. Ambos servicios funcionan bien, aunque según un grupo de investigadores, no todo es tan bonito ni tan privado como parece ser.
El grupo de investigación forense de la Universidad de New Haven (University of New Haven’s Cyber Forensics Research & Education Group) han conseguido romper el cifrado de las comunicaciones del cliente de mensajería con el fin de poder analizar con más detalle el funcionamiento interno tanto de la comunicación cliente-servidor como del protocolo utilizado. Los investigadores de seguridad aseguran que tanto el tráfico de red como los datos que se almacenan en el dispositivo (historial de llamadas, conversaciones, datos de acceso, etc) están muy bien cifrado, y se requiere acceso completo a ambos para poder descifrarlo en una tarea bastante complicada.
Sin embargo, estos investigadores han conseguido descifrar todas las comunicaciones y conseguir acceso completo al tráfico que se establece entre el cliente y los servidores de WhatsApp para analizar, uno a uno, los paquetes que se intercambian entre ambos.
Analizando los datos se ha podido demostrar como la plataforma utiliza el protocolo FunXMPP (nada nuevo) para el intercambio de mensajes. También han querido comprender el funcionamiento del protocolo de las llamadas de voz, algo de lo que WhatsApp no ha facilitado demasiada información desde su lanzamiento, y por ello, al tener control sobre las comunicaciones sin cifrar de todo el proceso de las llamadas de voz, han podido averiguar con más detalle cómo funciona el protocolo, y, por desgracia, qué se oculta tras el proceso de autenticación con el servidor.

Las llamadas de WhatsApp: nuevos detalles sobre su (oscuro) funcionamiento

Entre los datos relevantes conseguidos con el análisis de los paquetes se ha podido comprobar cómo se envían paquetes con los números de teléfono, tanto del emisor como del receptor de la llamada, la duración de las mismas, fecha y hora de estas y una gran cantidad de metadatos más que no se sabe con certeza para qué se utilizan (probablemente para el control del servidor o para asociar los datos recopilados con los usuarios).
También se ha podido desvelar que el códec que se utiliza durante las llamadas es Opus, un códec libre que ofrece un excelente rendimiento (de ahí el buen funcionamiento de las llamadas), así como las direcciones IP de los servidores encargados de controlar estas llamadas.
Sin duda una valiosa información que demuestra, una vez más, la recolección de datos por parte del cliente de mensajería y que ayudará a otros investigadores de seguridad a poder analizar con más detalle tanto la seguridad como el funcionamiento de la plataforma. Tal como afirman estos investigadores de seguridad, esto es solo un primer paso, una puerta abierta a futuras investigaciones.
Tendremos que esperar a ver qué nueva información aparece en el futuro.
Fuente: redeszone.net

 Visítanos en Underc0de

Conexiones SSL ¿seguras o vulnerables? Compruébalo mediante test online

18:17 0 Comments A+ a-


Las conexiones SSL cada vez son más importantes para proteger la información que enviamos a través de Internet y evitar que esta pueda ser capturada en un punto intermedio entre nuestro ordenador de origen y el servidor de destino. Aunque muchas páginas web utilizan ya este protocolo, no todas las configuraciones son igual de seguras y aunque pensemos que nuestro tráfico está siendo protegido es posible que piratas informáticos, organizaciones u otros elementos puedan estar controlándolo.
Free SSL Test Server es una plataforma online, totalmente gratuita, que nos va a permitir comprobar la seguridad de las conexiones SSL de un servidor concreto, tanto por dominio (una web, por ejemplo) como por dirección IP.
Esta plataforma web lleva a cabo 4 tipos de tests diferentes:
  • Prueba de cumplimiento de las reglas NIST.
  • Prueba de cumplimiento de los requisitos PCI DSS.
  • Prueba de comportamiento frente a las debilidades y vulnerabilidades más recientes de SSL/TLS.
  • Prueba de diferente contenido de terceros que pueda comprometer la seguridad de las conexiones.
El uso de la plataforma es muy sencillo. Lo único que debemos hacer es acceder a su página web e introducir en ella el servidor con conexión SSL que queremos analizar. Si no queremos que nuestro análisis se guarde debemos marcar la opción que aparece debajo el cuadro de búsqueda.

Una vez elegido comenzamos el análisis, el cual puede durar un par de minutos en completarse según la carga de trabajo de los servidores de Free SSL Test Server. Una vez finalice el análisis podemos ver en la web un resumen del mismo y descargar los resultados en formato PDF para analizarlos con calma en nuestro ordenador y poder llevar a cabo las tareas de mantenimiento correspondientes. 

Como podemos ver, esta plataforma nos indicará, en primer lugar, si la conexión tiene posibles vulnerabilidades conocidas, analizará todos los aspectos importantes de la conexión SSL, nos mostrará toda la información relacionada con el certificado y nos indicará si tiene debilidades o si cumple correctamente con las reglas y requisitos de las diferentes organizaciones como NIST. 


La plataforma también nos permite ver los últimos análisis que se han realizado (siempre que no se haya marcado de opción de ocultar resultados durante la búsqueda) así como las notas que ha obtenido cada plataforma.


Como podemos ver, Free SSL Test Server es una completa plataforma que nos va a permitir comprobar hasta qué punto son seguras las conexiones que enviamos a través de los diferentes protocolos de Internet y, si somos los administradores de un servidor, conocer estas vulnerabilidades e intentar solucionarlas lo antes posible para garantizar la seguridad de los datos de los usuarios. 


Fuenteredeszone.net

Visítanos en Underc0de

Configurando Hidden Tear (Online)

18:35 0 Comments A+ a-



Siguiendo con las publicaciones sobre este ransomware de código abierto, si no has leído las anteriores, te recomiendo que lo hagas:

Configurando Hidden Tear Offline

Información sobre Hidden Tear

Para comenzar a configurar este malware, debemos descargar su código source, podemos hacerlo desde su repositorio oficial en github: https://github.com/utkusen/hidden-tear

Para poder modificarlo y compilarlo, necesitaremos Visual Studio. Abriremos el proyecto que hay en el directorio "hidden-tear", no tendremos problemas para entenderlo y modificar las cosas que queramos, pues el código está perfectamente comentado y muy bien estructurado.

Lo primero que vemos, es a que url enviará el ransomware la información del ordenador y la contraseña, para ello, debemos poner nuestra url y tener el archivo php que se encargue de recibir los datos correctamente creado y con los permisos adecuados.







Ambos ficheros deberán tener permisos de escritura.

En ese paso, podremos modificar la contraseña que queremos que cree aleatoriamente, aunque se puede modificar para dejarla fija.


Aquí podremos elegir que se envía a nuestro fichero php y por tanto se guarda en los logs.


El método de cifrado de ficheros y la extensión que se utilizará.


Extensiones que se encriptarán, podemos suprimir alguna o bien, añadir más.


En que directorio se guardará el txt con el mensaje que queremos dejar y empezará a ejecutar el ransomware, es muy importante que exista el directorio o dará un error cuando la víctima lo ejecute. 


Compilamos y se lo enviamos a la víctima.

Por desgracia, Hidden-Tear ya no es fud (Fully UnDetectable).


Como cualquier malware, se puede pasar por un crypter para evitar que sea detectado.




Ejecutamos Hidden Tear y comprobamos que nuestros ficheros se han cifrado con la extensión .locked


Vamos a nuestro fichero de logs y conseguimos la contraseña para recuperar nuestros ficheros.


Utilizando otro proyecto llamado hidden-tear-decrypter (también en github), podremos recuperar los ficheros, utilizando esta contraseña.

Nota: Si alguien le editó la extensión .locked, deberá modificar esta línea escribiendo la extensión que utilizó.




Y tenemos nuestros ficheros de nuevo!





Así pueden ver tu IP real en TOR

12:07 0 Comments A+ a-


Estamos seguros que todos sabéis lo que es Tor y cómo funciona, sin embargo aunque sabréis que Tor nos proporciona anonimato en la red, también hay técnicas que permite descubrir nuestra dirección IP real si no tomamos las medidas oportunas. En este artículo os vamos a contar cuáles son todas las formas posibles de perder el anonimato en Tor.
Los responsables del sitio Silk Road fueron detenidos y trabajaban en la “sombra” de Tor, sin embargo, los servicios de inteligencia consiguieron descubrirles. ¿Cómo lo consiguieron? Aún se desconoce cómo desenmascararon a los responsables del sitio, pero está claro que descubrieron un fallo de seguridad en la red Tor que explotaron con el fin de localizar a estos usuarios.
Hay dos tipos de ataques principalmente, los que se encuentran en el lado del cliente (Navegador web) y los que se encuentra en la red de servidores de Tor.

FALLOS DE SEGURIDAD EN EL LADO DEL CLIENTE

Se filtraron documentos de la NSA donde se hablaba sobre la explotación de vulnerabilidades en Mozilla Firefox, el navegador base del conocido Tor Browser, sin embago en estos documentos también se hablaba de que no se podía realizar un seguimiento contínuo debido a que las nuevas versiones del software no incorporaban los mismos fallos de seguridad, dependiendo de las versiones había unas vulnerabilidades u otras.
Otro fallo de seguridad que se descubrió es Adobe Flash, este plugin crea un canal de comunicación dedicado hacia el servidor y se puede capturar la dirección IP real del cliente, por lo que estaremos totalmente desenmascarados. Los desarrolladores de Tor Browser reaccionaron rápido y lo que hicieron fue directamente excluir Flash de su navegador con el fin de proteger a los usuarios.
Otro método reciente que permite descubrir la dirección IP real del cliente es el protocolo WebRTC, que en próximas entradas, postearemos como desactivarlo en los principales navegadores web.
HTML5 también nos ha traído unas imágenes “canvas” que están diseñadas para crear imágenes en mapa de bits con la ayuda de JavaScript. Al renderizar las imágenes se podría ver el navegador que está utilizando el usuario así como varios componentes hardware instalados, el sistema operativo utilizado y también diversas configuraciones software. Actualmente Tor Browser permite bloquear estas imágenes para no dejar ningún rastro.
Además también se recomienda deshabilitar JavaScript, pero hay muchas páginas web que no funcionan si no lo tenemos habilitado por lo tanto deberemos tener mucho cuidado por dónde navegamos, o usar Tails que incorpora protección adicional con un firewall basado en iptables.

FALLOS DE  SEGURIDAD EN LA RED DE SERVIDORES 

Estos fallos de seguridad no están en nuestra mano evitarlos, por lo que nos tendremos que fiar de los nodos Tor a los que estamos conectados.
Si un administrador de un nodo de Tor utiliza NetFlow para inspeccionar el tráfico tendrá una gran cantidad de metadatos de nuestra conexión. Sin embargo, deberán tener un gran número de nodos de Tor bajo su control para conseguir poner en peligro nuestra identidad. Esta técnica realmente es una línea de investigación.

Monitorización pasiva

En Tor tenemos nodos intermedios por donde la información va completamente cifrada, y también hay nodos finales donde es el punto débil de la comunicación ya que todo el tráfico se descifra y aquí es por dónde podría haber filtraciones y problemas de seguridad. En este nodo, cualquier usuario podría realizar una monitorización pasiva capturando todos los datos de los usuarios para su posterior estudio.

Monitorización activa

En los nodos de salida se puede inyectar código malicioso en los archivos binarios que pasan a través de ellos, gracias a que podrían realizar un Man In The Middle. De esta manera un usuario que navegue por Internet a través de Tor, le podrían hacer un MITM e inyectar código en su archivo descargado. Sin embargo, cualquier actividad de manipulación de tráfico en un nodo de salida es rápida y fácilmente identificado por diferentes herramientas automáticas, y el nodo de salida se incorpora a la lista negra por la comunidad Tor.
Fuente: redeszones.net

¿Te espía tu impresora?

16:21 0 Comments A+ a-



Parece ciencia-ficción, pero en realidad no lo es. Tras el descubrimiento de los espionajes masivos de las comunicaciones por parte de los gobiernos de todo el mundo gracias a las filtraciones de Edward Snowden, cada poco tiempo se han descubierto nuevos planes de espionaje mundiales, cada vez más complejos y difíciles de haber imaginado, utilizados por gobiernos y organizaciones para espiar las comunicaciones y a los usuarios. Uno de los dispositivos más inofensivos utilizado para espiar a los usuarios son las impresoras a color.
Un equipo de investigación liderado por la EFF (Electronic Frontier Foundation) ha conseguido romper el código oculto detrás de las pequeñas series de puntos que algunas impresoras láser a color imprimían en los documentos. Los servicios secretos de Estados Unidos ya habían admitido dicho espionaje utilizando impresoras para ello, aunque hasta ahora no era posible conocer la información ni el código que se utilizaba.
Según el grupo de investigadores han podido demostrar, los puntos que estas impresoras incluyen en cada documento son de color amarillo, de menos de un milímetro de diámetro y se repiten idénticos en cada página de un mismo documento. Analizando el patrón utilizado se ha podido ver que estos puntos indican la hora y la fecha del documento, así como un número de serie utilizado para el seguimiento.

Para poder ver estos puntos es necesario utilizar una lupa o un microscopio, ya que a simple vista es imposible apreciarlos.
Prácticamente todas las marcas conocidas de impresoras láser a color incluyen estos puntos de seguimiento, tales como Xerox, Canon, HP o Brother, entre otras. En el siguiente enlace os dejamos la lista completa de impresoras, por la EFF, que incluyen dichos códigos en las impresiones.
Por el momento la EFF solo ha conseguido romper el algoritmo utilizado por las impresoras Xerox. Según los servicios secretos, estos códigos se utilizan solo en investigaciones relacionadas con investigaciones penales falsificadas. Según Xerox, solo los servicios secretos son capaces de descifrar los códigos para evitar abusos por parte de los gobiernos, sin embargo, lo más seguro es que este seguimiento también haya sido utilizado en varias ocasiones por el gobierno de Estados Unidos y por la NSA.
Cada fabricante incluye su propio algoritmo y se lo facilita únicamente (en teoría) a los servicios secretos del país, por lo que cada código es diferente de los demás. La EFF sigue estudiando los códigos del resto de fabricantes que, poco a poco, se irá haciendo público según se consigan descifrar.
Como podemos ver, incluso los elementos más inofensivos son utilizados para espiar, ya sea con fines de control como con fines de investigación de delitos penales. Lo peor de todo esto, sin duda, es ver como las empresas privadas hacen pactos con los gobiernos y con organizaciones gubernamentales para, entre todos, beneficiarse a costa de la privacidad de los usuarios convencionales.
Fuente: redeszone.net

PEMCRACKER: Sofware gratuito para crackear archivos .PEM

7:15 0 Comments A+ a-


Un archivo .PEM es un certificado codificado en Base64 y que si lo abrimos está acotado con las líneas “—–BEGIN CERTIFICATE—–” y “—–END CERTIFICATE—–“. Un archivo .PEM puede contener certificados o claves privadas, el formato .PEM es ampliamente utilizado por ejemplo en servidores OpenVPNservidores web que utilicen HTTPS e incluso en servidores FTPES. Un detalle importante es que este formato .PEM sirve para almacenar el propio certificado del servidor así como la clave privada del mismo.
Pemcracker es un software gratuito y de código abierto que se puede instalar en cualquier sistema basado en linux para crackear los archivos .PEM y extraer la contraseña. La principal característica de este software es que nos permite utilizar todos los núcleos de nuestra CPU por lo que el procesamiento de las claves será lo más rápido posible.
Pemcracker utiliza una gran cantidad de llamadas OpenSSL para intentar dar con la contraseña correcta, por este motivo, en lugar de comprobar cada contraseña en el archivo .PEM alojado en el disco duro, primero copiaremos dicho archivo .PEM en la memoria RAM para aumentar el rendimiento lo máximo posible. Al ser este software multi-hilo, se copia un archivo .PEM a la memoria RAM del sistema por cada hilo de procesamiento.
Pemcracker nos permite crackear estas contraseñas alojadas en los archivos .PEM cargando el diccionario de palabras que nosotros queramos. En el GitHub oficial del proyecto premcracker tenéis el código fuente que deberéis compilar para vuestra plataforma, simplemente deberéis bajar el código fuente y realizar un “make” para tener el archivo ejecutable compilado para nuestra arquitectura.
Una vez que ya lo tengamos, la sintaxis de este software es realmente sencilla ya que le deberemos pasar únicamente dos parámetros, el fichero .PEM a crackear y posteriormente el diccionario de claves:

En el GitHub oficial del proyecto pemcracker tenéis disponibles todos los detalles sobre el software.
Fuente: redeszone.net

Atentos: Vulnerabilidad crítica en Flash

15:10 0 Comments A+ a-

Quizás eres uno de los muchos millones de personas que usan Adobe Flash en su computadora. Quizás estás al tanto de los muchos agujeros de seguridad que regularmente se encuentran en Flash y lo actualizaste debidamente esta semana cuando Adobe lanzó múltiples actualizaciones de seguridad, muchas de las cuales fueron categorizadas como críticas.
Quizás piensas que tu computadora está a salvo de atacantes que pudieran explotar fallas en Flash por un tiempo, ya que estás utilizando la última versión (19.0.0.207) del producto. Pero no es así.
Apenas unas horas después de lanzar su conjunto de parches regular, Adobe publicó otro boletín de seguridad advirtiendo sobre una vulnerabilidad crítica que está siendo explotada en forma activa por cibercriminales, para instalar malware en computadoras de sus blancos.
Una vulnerabilidad crítica (CVE-2015-7645) ha sido identificada en Adobe Flash Player 19.0.0.207 y versiones anteriores para Windows, Macintosh y Linux. La explotación exitosa podría causar un colapso y potencialmente permitir a un atacante tomar control del sistema afectado.
Adobe tiene conocimiento de un reporte de que un exploit para esta vulnerabilidad está siendo usado en ataques limitados y dirigidos. Adobe espera poner a disponibilidad una actualización la semana del 19 de octubre.

Se cree que el grupo que está explotando la falla es Pawn Storm, cuyos miembros secretos han estado realizando una sofisticada campaña de malware que tiene como blanco a organizaciones gubernamentales, militares y periodísticas de los Estados Unidos, Ucrania y alrededor de Europa.


La banda típicamente manda correos electrónicos cuidadosamente diseñados a sus víctimas elegidas, con documentos de Word tramposos adjuntos, o atrae a las más desprevenidas para que visiten sitios envenenados con exploit kits que apuntan a navegadores web desactualizados.
...
pawnTambién tiene los recursos para dejar al descubierto nuevas vulnerabilidades zero-day; así como esta falla en Flash, por ejemplo, se encontró este año que estaba explotando el primer zero-day en Java que se había descubierto en varios años.
Esto resultó en que muchas personas creyeran que Operation Pawn Storm es un ejemplo de cibercrimen apoyado por el Estado. Pero aunque no trabajes para un gobierno, la milicia, una organización de medios… aunque no seas un activista político que ha causado algo de revuelo… tiene sentido que mantengas tus sistemas protegidos y ejecutando la última versión de todo el software.
Desafortunadamente para los usuarios de computadoras, la vulnerabilidad está presente en la última versión de Adobe Flash Player, 19.0.0.207, así como en las anteriores para Windows y Macintosh. Perdón, amantes de Linux, también está en Flash 11.2.202.535 y anteriores para su plataforma.
Una medida que podrías tomar es considerar desinstalar por completo Flash de tu computadora. Esa es una decisión que muchos están empezando a tomar, pero sospecho que la mayoría no están del todo listos para hacerlo.

Con esta función habilitada, tu navegador no reproducirá contenido Flash potencialmente malicioso a menos que y hasta que le des permiso específico. En otras palabras, un archivo Flash con código malicioso no se ejecutará a menos que lo autorices, en vez de reproducirse en forma automática cuando visitas una página web.
Ten en cuenta que Flash también está integrado en Adobe AIR y Shockwave, y por lo tanto ambos pueden ser vulnerables a ataques. En el caso de Shockwave, ya casi no se usa, pero muchas personas todavía lo tienen acechando en sus computadoras. A menos que sepas que lo necesitas, mi recomendación es que lo desinstales.
A pesar de que tu computadora personal y red de trabajo no estén en la lista de objetivos de Pawn Storm, tarde o temprano vas a tener que solucionar el problema con Flash en todos tus equipos.
A pesar de que tu computadora personal y red de trabajo no estén en la lista de objetivos de Pawn Storm, tarde o temprano vas a tener que solucionar el problema con Flash en todos tus equipos.
Fuente: welivesecurity.com
Haz clic aquí para ver:  Como desinstalar Flash de los navegadores
Vísitanos en Underc0de

Backbox: tool the pentesting

11:36 0 Comments A+ a-


Penterters, , lectores y usuarios de Underc0de, aquí otra opción para test de penetración y otras cosillas...

BackBox Linux tiene una nueva versión actualizada, se trata de la versión 4.4 la cual ya es totalmente estable y la tenemos disponible para descargar y probar.
Ya habíamos hablado aquí alguna vez de BackBox Linux, la cual es una distro destinada a la seguridad y a realizar test de penetración para garantizar la seguridad de nuestros equipos(aunque haya algunos que lo usen para el mal). Ésta distribución está basada en Ubuntu 12.04.3 LTS y trae bastantes actualizaciones ésta vez.
Bien pues vamos a tratar en más profundidad todas las novedades que ofrece BackBox Linux:
  • Linux Kernel en su versión 3.19.
  • Ruby 2.1 ahora está por defecto.
  • Mejoras en el modo anónimo.
  • BackBox ahora hace una limpieza total de la memoria RAM al apagar el sistema y al arrancarlo.
  • Añadidas herramientas como OpenVas y Automotive Analysis.
  • Actualización de todos los paquetes que incluía la versión anterior.
  • Corregidos errores y fallos de seguridad.
Comos vemos las actualizaciones están destinadas principalmente a una mejora en la seguridad, éstas herramientas de penetración deben cumplir a rajatabla con todas las actualizaciones ya que en temas de seguridad informática es imprescindible estar a la última debido a la innovación y a la contínua aparición de bugs y agujeros de seguridad.Si sabes inglés y quieres ver más en profundidad las actualizaciones de la distribución las tienes en éste enlace.
BackBox demuestra que hay más distribuciones destinadas a la seguridad y a la penetración aparte de las típicas como puedan ser Kali Linux o WifiSlax. La verdad que BackBox es una gran alternativa a éstas distribuciones ya que es capaz de cumplir con su cometido a la perfección.
Para su descarga, acudiremos a la página oficial de BackBox Linux donde como viene siendo habitual podremos escoger entre una versión de 32 bits y una versión de 64 bits.
Fuente: linuxadictos.com
Visítamos en Underc0de

¿He sido hackeado?

15:05 0 Comments A+ a-


El día de hoy me escribió un lector del blog comentando la apertura de un nuevo servicio online. Se trata de un motor anónimo de búsqueda que permite comprobar si tu e-mail ha sido comprometido en algún tipo de fuga de seguridad y que haya sido expuesto públicamente.

screenshot1.png

Actualmente tiene una base de datos con más de 200 millones de correos indexados.
En caso de buscar tu correo y que aparezca ahí, lo recomendable es cambiar la password.

Además de esto, el sitio cuenta con una API para poder integrar esta funcionalidad con cualquier tipo de cliente que deseen usar: https://hesidohackeado.com/api_docs

Para comprobar si nuestro mail fue comprometido, solo debemos entrar al sitio:


Colocamos nuestro mail y eso es todo!

Configurando Hidden Tear (Offline)

9:51 2 Comments A+ a-






Sigo con las publicaciones sobre este ransomware de código abierto, si no has leído la anterior, te recomiendo que lo hagas, puedes acceder desde aquí.


Para comenzar a configurar este malware, debemos descargar su código source, podemos hacerlo desde su repositorio oficial en github: https://github.com/utkusen/hidden-tear


Para poder modificarlo y compilarlo, necesitaremos Visual Studio. Abriremos el proyecto que hay en el directorio "hidden-tear-offline", no tendremos problemas para entenderlo y modificar las cosas que queramos, pues el código está perfectamente comentado y muy bien estructurado.

Lo primero con lo que nos encontraremos, será donde se guardará la contraseña dentro del pc o usb, ya que el método que emplearemos es offline, en próximas publicaciones, explicaré en online.


A continuación, nos encontraremos con esta línea, en la que deberemos de escribir el nombre del fichero pdf que queremos que se abra, haciendo creer a la víctima, que realmente ha ejecutado el pdf.


En ese paso, podremos modificar la contraseña que queremos que cree aleatoriamente, aunque se puede modificar para dejarla fija.

Extensiones que se encriptarán, podemos suprimir alguna o bien, añadir más.


Este será el mensaje que dejaremos al usuario en el escritorio, dentro del fichero Read_it.txt


El método de cifrado de ficheros y la extensión que se utilizará.


Una vez sabemos como funciona, lo compilamos y comenzamos a probarlo.


Justo cuando lo ejecutamos, se nos abre nuestro fichero pdf (se me abre en el navegador pues en la virtual no tengo ningún visor.)




Una vez el malware hace su trabajo (dependiendo de los ficheros que tengamos, tardará más o menos), podremos comprobar que tenemos nuestros ficheros cifrados.


Puesto a que este es el método offline del ransomware, iremos al directorio de nuestro usuario, en mi caso: C:\Users\Pentesting y ahí encontraremos un txt con la contraseña que necesitamos para recuperar nuestros ficheros.




Utilizando otro proyecto llamado hidden-tear-decrypter (también en github), podremos recuperar los ficheros, utilizando esta contraseña.

Nota: Si alguien le editó la extensión .locked, deberá modificar esta línea escribiendo la extensión que utilizó.





Y tenemos nuestros ficheros de nuevo!




Agradecimientos: Windux por haberme pasado el enlace de github de este proyecto.

En la siguiente entrega, explicaré como modificar y configurar el malware con su método Online.

Suscribirse a: Entradas (Atom)