23 feb. 2018

OWASP Mobile Application Security Verification Standard (Español)

Con el tiempo, la industria ha conseguido un mejor control del panorama de amenazas móviles. Resulta que la seguridad móvil tiene que ver con la protección de los datos: las aplicaciones almacenan nuestra información personal, imágenes, grabaciones, notas, datos de cuentas, información empresarial, ubicación y mucho más. Actúan como clientes que nos conectan con los servicios que utilizamos a diario, y como centros de comunicación que procesan todos y cada uno de los mensajes que intercambiamos con otros.

Por lo tanto, un estándar de seguridad para aplicaciones móviles debe centrarse en la forma en
que las aplicaciones móviles manejan, almacenan y protegen la información sensible. A pesar de que los sistemas operativos móviles modernos como iOS y Android ofrecen buenas APIs para el almacenamiento y la comunicación de datos seguros, éstas deben ser incluidas en las aplicaciones y usadas correctamente para ser efectivas.

El Estándar de Verificación de Seguridad de Aplicaciones Móviles (MASVS) es un esfuerzo comunitario para establecer un marco de requisitos de seguridad necesarios para diseñar, desarrollar y probar aplicaciones móviles seguras en iOS y Android.

El objetivo general del MASVS es ofrecer una línea de base para la seguridad de las aplicaciones móviles (MASVS-L1), mientras que también permite la inclusión de medidas de defensa en profundidad (MASVS-L2) y protecciones contra las amenazas del lado del cliente (MASVS-R). El MASVS está pensado para lograr lo siguiente:
  • Proveer requerimientos para arquitectos y desarrolladores de software que buscan desarrollar aplicaciones móviles seguras;
  • Ofrecer un estándar para que la industria pueda utilizar en las revisiones de seguridad de aplicaciones móviles;
  • Clarificar el rol de los mecanismos de protección de software en la seguridad móvil y
  • proporcionar requerimientos para verificar su efectividad;
  • Proporcionar recomendaciones específicas sobre el nivel de seguridad que se recomienda para los diferentes casos de uso.
Esta traducción de MASVS al español de Martín Marsicano (@MarsicanoMartin) es la culminación del esfuerzo de la comunidad y la retroalimentación con la industria.

Los documentos se pueden descargar desde aquí

Secciones del documento

Esperamos que este estándar evolucione con el tiempo y agradecemos la retroalimentación de la comunidad.

Delincuentes añaden firma digital al malware para evadir protecciones

Debido a las cada vez mayores protecciones incorporadas en y a los sistemas operativos, los desarrolladores de malware se las tienen que ingeniar para saltárselas, y para alcanzar dicha meta no podían faltar los certificados digitales falsos para hacer pasar el malware por software legítimo, según un informe publicado por Recorded Future.

Los certificados falsos actúan como si fuesen legítimos, haciendo que el malware resulte invisible para una gran cantidad de soluciones antimalware. Desde Recorded Future reconocen que dichos certificados, que se venden en el mercado negro, no resultan baratos, pero su precio se justifica si se tiene en cuenta el aumento en la efectividad que proporcionan. De momento parece que el principal mercado se centra en Europa del Este, con los delincuentes rusos como principales clientes.

Hay que tener en cuenta que no estamos hablando de certificados robados, sino de otros que son creados por los cibercriminales utilizando información real procedente de las entidades certificadoras. Esto aumenta tanto la posibilidad de que puedan hacerse pasar por auténticos como su atractivo en el mercado negro, con hackers que están dispuestos a pagar con el fin de aumentar la efectividad del malware que desarrolla.

Sobre la capacidad de detectar certificados falsos, sus vendedores reconocen que la seguridad de Google Chrome es de largo más efectiva y poderosa, por lo que los cibercriminales son conscientes de que las posibilidades de éxito se reducen cuando se ataca a alguien que usa ese navegador web. Según parece, esto es debido a que Chrome tiene sus propias metodologías para diferenciar sitios web legítimos de otros que son falsos, permitiéndole bloquear o al menos advertir de un sitio web incluso si su actividad maliciosa está escondida detrás de un certificado.

De hecho, ya hay precedentes sobre malware cuya difusión ha sido un éxito gracias a la utilización de certificados falsos. Uno de estos es Stuxnet, que formó parte de los planes de ciberataques de Estados Unidos. Hace años los certificados falsos eran caros y solo los estados podían permitirse su compra, pero en la actualidad son más baratos y pueden ser usados por ciberdelincuentes con menos poder adquisitivo. Aun así su precio sigue siendo relativamente elevado y sin estar al alcance de todos los cibercriminales.

El 2017, un documento de la Universidad de Maryland resalta el problema y se muestra que el malware se firma y esto tiene varias derivaciones de seguridad de seguridad. Por ejemplo, el grupo showcased mostró cómo firmar código con certificados de las compañías Thawte, Comodo y Verisign.

Pese a todo, debido a que van dirigidos a organizaciones con un mayor poder adquisitivo, los certificados digitales no son más que una pequeña inversión que permite aumentar de forma notable las probabilidades de éxito de los ataques lanzados.

Por suerte, este tipo de certificados no está al alcance de todos debido a su precio. Hacerse con una firma digital [PDF] y con un certificado SSL fiable para una página web puede rondar desde los 299 dólares, en el modelo más básico, hasta los 1.799 dólares en el modelo más avanzado, una firma con Extended Validation (el máximo nivel de confianza) para el código y la conexión.

Las autoridades de certificación más utilizadas son Comodo, Thawte y Symantec.
Precios firmas digitales

Además, implementar el certificado digital no garantiza que nuestro malware vaya a evadir al antivirus, ya que esto solo ayudará a que lo haga, pero aun así tendremos que contar con otras medidas de seguridad y evasión para hacer que la amenaza pueda ser totalmente invisible.

Por ello, salvo en el caso de las grandes organizaciones de piratas informáticos que igual podrían permitirse la inversión para llevar a cabo ataques masivos, para un pequeño pirata informático, sin una fuente de ingresos segura, es una inversión considerable.

Fuente: RedesZone | CyberScoop

22 feb. 2018

Vulnerabilidad en Tinder y Facebook Accountkit permitía tomar control de cuentas

Expertos en seguridad de Appsecure descubrieron que un delincuente podía hacerse con el control de las cuentas de la aplicación de citas Tinder con tan solo obtener el número de teléfono del usuario. La empresa tras las aplicación ya ha modificado su sistema de acceso para protegerse de este ataque, del que no se tiene constancia que haya sido explotado activamente.
El ataque que permitía hacerse con una cuenta de Tinder se apoyaba en dos vulnerabilidades diferentes. Una de ellas afectaba al sistema Account Kit de Facebook, que es utilizado por Tinder para gestionar los accesos a su servicio mediante la aplicación. Desgraciadamente, el token generado con Account Kit quedaba expuesto y por lo tanto accesible a cualquiera que hiciera una simple solicitud de API con el número de teléfono asociado.

Nota: Account Kit te ayuda a registrarte rápidamente en las aplicaciones usando solo un número de teléfono o una dirección de correo electrónico (no es necesario ingresar la contraseña).

Sin embargo, lo descrito hasta aquí no es suficiente para hacerse con el control de una cuenta de Tinder. La segunda vulnerabilidad derivaba en cómo implementaba Tinder dicha tecnología, ya que el sistema de acceso de la aplicación no estaba verificando los tokens comparándolos con el ID de cliente asociado, abriendo así la puerta a tomar el control de la cuenta si se encadenaba con el fallo de seguridad anterior. Tras realizar los dos pasos con éxito, un atacante podía acceder al perfil del usuario y las conversaciones.
Appsecure reportó la vulnerabilidad a Facebook y Tinder a principios de año, habiendo recibido como recompensa 5.000 y 1.250 dólares respectivamente por parte de cada una y según lo especificado en sus programas de recompensas. La primera compañía ha comentado que corrigió la vulnerabilidad nada más ser reportada, mientras que la segunda ha hecho valer lo importante que es para ella la seguridad. Con solo tener la aplicación actualizada los usuarios ya no tendrían de qué preocuparse.

Fuente: The Verge

Cryptojacking y y phishing a través de scripts en documentos de Word

Los investigadores de seguridad informática de la firma Votiro han revelado que los scripts de criptomominería a través del código JavaScript pueden ser ejecutados también dentro de los archivos de Microsoft Word.

La vulnerabilidad está impulsada por una característica que ha sido incorporada en versiones recientes de Word, que les da la posibilidad a los usuarios de incrustar videos de Internet dentro de sus documentos sin necesidad de añadir un video directamente en el documento. De esta forma, cuando los usuarios copien y peguen el enlace dentro de una ventana emergente de Word, al video se mostrará en el documento la próxima vez que lo abran.

Ejemplos de algunos escenarios posibles están disponibles aquí y aquí
Sin embargo, los investigadores de la firma israelí Votiro han revelado que atacantes podrían aprovechar esta función de incrustación de video para agregar scripts de minería y minar Monero sin que el usuario se entere. En este sentido, el investigador Amit Dori, de Votiro, afirma que esto es posible gracias a que Word permite que sea insertado código iframe de cualquier sitio web, sin validar si se trata o no de un video.

Este iframe es código HTML que se ejecuta en segundo plano y la "imagen" es de hecho un elemento webVideoPr que admite código embeddedHTML que se ejecuta en el contexto del iframe.

<wp15:webVideoPr xmlns:wp15="http://schemas.microsoft.com/office/word/2012/wordprocessingDrawing" embeddedHtml="<marquee> What? </marquee>"/>

Además, Dori asegura que la ventana emergente donde se reproduce este video no es otra cosa más que una ventana de Internet Explorer. Un atacante podría aprovechar esta vulnerabilidad en Word al insertar un video que esté subido a su servidor en un documento Word, y cuando la víctima lo abra, Internet Explorer ejecutaría el código minero desde el servidor del delincuente.

Sin embargo, el informe de Votiro afirma que lo grave de este asunto no es que los delincuentes puedan minar criptomonedas a través de Word, ya que en ese caso, el video debe ser reproducido por mucho tiempo para que el atacante obtuviese algún beneficio. En concreto, el mayor problema es que esta vulnerabilidad puede abrir la puerta a otros ataques de phishing.
La compañía ha notificado el problema a Microsoft, sin embargo, Dori reveló que no se trata de un problema de seguridad grave, ya que incluso algunos antivirus lo detectan.

Fuente: CoinCrispy

21 feb. 2018

Intel publica actualizaciones para Meltdown y Spectre

Con Meltdown aparentemente bajo control, desde hace un tiempo los esfuerzos en el sector de la ciberseguridad se centran en aportar todas las mitigaciones posibles contra Spectre, que a día de hoy sigue sin poderse resolver de forma definitiva y no parece que vaya a haber una solución total, ya que el origen del vector de ataque está en un fallo de diseño de las CPU que no puede ser arreglado mediante firmware o software.
Que el foco mediático esté menos encima de Spectre no quiere decir que haya perdido peligrosidad. Debido a que los procesadores afectados, además de distintas arquitecturas, están muy difundidos, hará que decenas de millones de empresas y usuarios tengan que convivir con el riesgo de acabar atacados mediante la explotación de algunas de las dos vulnerabilidades que abarca Spectre.

Intel ha desarrollado y validado nuevos parches contra Spectre que pueden ser aplicados en sus procesadores de Intel Core de sexta, séptima y octava generación, además de Pentium, Celeron, Core X y los Xeon modelos D y Scalable (Skylake, Kaby Lake y Coffee Lake). Debido a problemas con los parches publicados el mes pasado, en esta ocasión la compañía ha comentado que ha realizado extensas pruebas junto con clientes y socios de la industria para garantizar su correcto funcionamiento en entornos de producción. Aunque Intel es una compañía con capacidad para superar este bache, da la sensación de que no puede permitirse muchos tropiezos más, sobre todo si tenemos que en cuenta que la competencia se ha librado casi en su totalidad de Meltdown, algo que está siendo aprovechando, al menos aparentemente, a nivel comercial.

Intel ya ha comenzado la distribución de su microcódigo actualizado para los OEM, por lo que su lanzamiento público tendría que estar cerca para fabricantes y proveedores de sistemas operativos. Sobre los parches y como ya hemos comentado, no resuelven Spectre de forma definitiva porque al menos de momento eso es imposible, así que los que quieran tener procesadores corregidos tendrán que esperar al lanzamiento Ice Lake, ya que todo apunta a que el problema seguirá sin estar resuelto en Cannon Lake.

Hay varias medidas de mitigación disponibles que pueden proporcionar protección contra estas explotaciones. Esto incluye "Retpoline", la tecnología de mitigación desarrollada por Google para la variante 2 de Spectre . Para aquellos interesados en más información sobre Retpoline y cómo funciona, Intel recientemente ha publicado un documento [PDF].
 
Intel inició hace un año un programa de recompensas en HackerOne por hallar vulnerabilidades en sus productos. Quizá debido al mal trago pasado desde inicios de año, Intel ha decidido actualizar su programa de recompensas en HackerOne para aumentar las cuantías, ofreciendo ahora hasta 250.000 dólares a quienes hallen vulnerabilidades en algunos de sus productos. Además, también lo ha abierto a cualquier persona que utilice la plataforma de HackerOne.


Fuente: Muy Seguridad

Tesla víctima de Cryptojacking en sus servidores

La minería en la nube es posible hace tiempo y el código malicioso para hacerlo en ordenadores de terceros sin permiso, también. Lo que se hizo en esta oportunidad fue justamente acceder a la cuenta en la nube de Tesla para minar criptomonedas.

Según lo relatado por el equipo de RedLock Cloud Security, los atacantes lograron infiltrarse en la consola de administración de Kubernetes (un sistema diseñado por Google para optimizar las aplicaciones en la nube) de Tesla, porque increíblemente no tenía contraseña.
El cryptojacking es un proceso en el cual se utiliza un código para explotar la capacidad de un CPU ajeno con la intención de extraer criptomonedas. Recientemente, vimos cómo más de 4.200 sitios fueron "secuestrados" para esta práctica.

De esta forma, se hicieron de las credenciales de Tesla para entrar a la cuenta en la nube de Amazon Web Services (AWS). Estando dentro, instalaron un software de minería y, según señala la firma, probablemente lo configuraron para usar solo una parte del procesamiento y no levantar sospechas. El método llamado cryptojacking también afectó a la aseguradora británica Aviva y el fabricante holandés SIM Gemalto. Desde Tesla se refirieron al incidente: "Abordamos esta vulnerabilidad a las pocas horas de conocerla. Nuestra investigación inicial no encontró indicios de que la seguridad del cliente o la seguridad de los vehículos se viera comprometida de alguna manera."

Desde RedLock, aunque no han especificado cuál fue la criptomoneda que minaron, declararon que el constante monitoreo es fundamental: "El mensaje de esta investigación es alto y claro: el inconfundible potencial de los entornos en la nube se ve seriamente comprometido por delincuentes. La seguridad es una responsabilidad compartida. Las organizaciones de todo tipo están obligadas a monitorear sus infraestructuras para configuraciones riesgosas, actividades anómalas del usuario, tráfico de red sospechoso y vulnerabilidades del host."

Los investigadores de Check Point descubrieron hace 18 meses la que podría ser la mayor campaña maliciosa de actividades de minado de criptodivisas, en la cual estuvo implicado un minero Open Source llamado XMRig que estaba siendo ejecutado en muchas versiones de Windows para realizar el clásico uso de recursos ajenos. El actor malicioso tras la campaña, que es de origen chino, ha decidido ahora cambiar de rumbo para centrarse en un conjunto de recursos mucho más poderoso: las implementaciones del servidor de Integración Continua Jenkins.

Jenkins es una de las soluciones Open Source de integración continua y orquestación de DevOps más usadas del mundo. Se estima que está siendo utilizada por un millón de usuarios, y desde Check Point creen que su gran difusión puede ser el principal motivo de por qué ha llamado la atención de los cibercriminales relacionados con el minado de criptodivisas. Obviamente, al apuntar esta campaña contra una tecnología de servidor, no utiliza los recursos de los ordenadores pertenecientes a los usuarios finales, sino que se aprovecha de la teórica mayor potencia de los servidores. Se estima que hasta ahora los cibercriminales han conseguido minar por un valor de 3 millones de dólares.

Sobre las características de este malware, al que han llamado JenkinsMiner desde Check Point, los investigadores de la mencionada empresa de ciberseguridad han descubierto que tiene similitudes con RubyMiner, otro minero utilizado con propósitos maliciosos. RubyMiner llegó en su momento a infectar a un 30% de las redes públicas del mundo y comparte con JenkinsMiner la posibilidad añadida de poder provocar denegaciones de servicio (DDoS) en las máquinas infectadas, algo que perjudicaría gravemente a las empresas tanto en su funcionamiento como a nivel económico. Al igual que Coinhive y buena parte del malware que se dedica a esa actividad, JenkinsMiner se dedica a minar la criptodivisa Monero.

Fuente:Fayerwayer | Muy Seguridad

20 feb. 2018

Dominios con puṇtos debajo de las letras utilizados para Phishing

El envío de emails con suplantación la identidad es una de las vías más comunes para realizar ataques de phishing, pero también para la creación de webs falsas, imitaciones que tratan de engañar a los usuarios para conseguir sus datos bancarios, o robar la información de inicio de sesión de la web legítima. La última técnica es utilizar caracteres latinos y con un punto sobre o debajo de la misma, que es difícilmente detectable, y que permite usar un nombre de dominio casi ịḍẹṅṭịcȯ.

La suplantación de identidad sobre páginas web de entidades bancarias, por ejemplo, es algo realmente frecuente. Se utilizan nombres de dominio parecidos, con una mínima diferencia ortográfica, para tratar de cazar a los más despistados. Por ejemplo, "Ciitbank" podría ser un clon de la página web real, que intenta captar los datos de inicio de sesión de los usuarios del portal legítimo para conseguir sus datos bancarios. Pero siguiendo esta técnica se puede utilizar el mismo nombre, idéntico, pero sólo con un punto bajo una letra o una vocal. Algo que es mucho más difícil de ver.

Aunque la URL parece la misma, y la web también, un pequeño punto marca la diferencia entre estafa y real. Consonantes como la "ṃ", "ṁ", "ḍ" o todas las vocales como "ị" o "ạ" pueden contar con un punto bajo o sobre la letra. Son caracteres latinos diacríticos comprendidos en Unicode como los caracteres U+1E04 hasta U+1EF5). Un ejemplo es el U+1E47 = ṇ

Ahora se han empezado a utilizar para engañar a usuarios con páginas web falsas que imitan a las verdaderas. Al ser tan pequeño el punto es mucho más difícil ver que estamos ante una estafa. Y en dispositivos móviles, con pantallas más pequeñas y generalmente una resolución de pantalla inferior, es todavía más difícil percibir ese pequeño punto que delata a una web falsa.
Por otro lado, en estas estafas se están usando certificados SSL para proteger la web con HTTPS y dar mayor confianza.

Fuente: ADSLZone

Facebook utiliza el 2FA por SMS para enviar spam

Facebook está desangrando usuarios. Investigadores externos estiman que la red social perdió 2.8 millones de usuarios estadounidenses menores de 25 años el año pasado. Esas pérdidas han llevado a Facebook a ser más agresivo en sus esfuerzos por recuperar a los usuarios, y la compañía ha comenzado a usar avisos de seguridad para alentar a los usuarios a iniciar sesión en sus cuentas.

El mes pasado Bloomberg informó que a veces, Facebook envía correos electrónicos a los usuarios advirtiéndoles que tienen problemas para iniciar sesión en sus cuentas: "Simplemente haga clic en el siguiente botón e iniciaremos la sesión. Si no estaba intentando iniciar sesión, infórmenos". Otras veces, Facebook pide el número de teléfono de un usuario para configurar la autenticación de dos factores y luego envía mensajes de notificación no deseados (spam).
Hay usuarios que reportan que recibían uno o dos mensajes de texto por mes, pero a medida que el perfil se estancaba, recibían más y más mensajes, incluso con alertas sobre las actividades de otros contactos. Los mismos usuarios dicen que los textos son una forma de correo particularmente desagradable, y en lugar de hacer que quieran reiniciar la sesión en Facebook, recuerdan por qué lo evitan.

Lo más frustrante es que Facebook ha adoptado una función de seguridad como la autenticación de dos factores por SMS, que brinda a los usuarios una protección valiosa contra el phishing y la adquisición de cuentas, y la ha convertido en una herramienta para el correo no deseado.

Esta es una decisión que prioriza la publicidad por sobre la seguridad y enseña a los usuarios que están experimentando con dos factores por primera vez que no vale la pena la molestia, en última instancia degradan la seguridad del usuario y de toda la comunidad que elige el segundo factor de seguridad como opción.

"Abusar de una tecnología de seguridad como 2FA convirtiéndola en una oportunidad de mercadeo es prácticamente lo más ingenioso que Facebook podría hacer", tuiteó irónicamente Matthew Green, un criptógrafo de la Universidad Johns Hopkins.

Ahora, si le das tu número de teléfono a Facebook para la autenticación de dos factores, no solo obtendrás una capa adicional de seguridad sino también un montón de textos de spam. Facebook también usa tu número para conectarte con "amigos potenciales": si alguien conocido ha subido los contactos de su teléfono a Facebook, la compañía lo combinará con tu número de autenticación de dos factores y te sugerirá la herramienta "Gente que puedes saber" .

Afortunadamente, se puede optar por no recibir estos textos. En la configuración de Facebook en la sección de "Notificaciones" se deben desactivar las notificaciones de texto.

También puede usar métodos alternativos de autenticación de dos factores, como una aplicación de generador de código, Google Authenticator o Latch.

Fuente: Gizmodo

APT Simulator: simula un equipo víctima de una APT

APT Simulator de Nextron Systems GmbH es un simple script en Batch para Windows que utiliza un conjunto de herramientas y archivos de salida para que el sistema parezca comprometido. Sus casos de uso son:
  • POC: agentes de detección de endpoint / herramientas de evaluación de compromiso
  • Poner a prueba las capacidades de detección y monitorización de la seguridad
  • Poner a prueba la respuesta de un SOC ante una amenaza que no sea un simple EICAR o un escaneo de puertos
  • Preparar un entorno para dar clases de forense
Hay que tener en cuenta que el objetivo de esta herramienta es simular la actividad de un atacante, no de malware.
Tienes otras herramientas más avanzadas como Caldera, Infection Monkey o Flightsim, pero para realizar pruebas rápidamente puede resultar una buena alternativa.

Instalación

Para instalarlo simplemente hay que descargar la última release, descomprimirla (contraseña apt) y ejecutar desde la línea de comandos como administrador APTSimulator.bat. El script en batch extraerá a continuación las herramientas y las shells del archivo 7z en tiempo de ejecución.

Técnicas

Las técnicas que realiza para la simulación son:
  1. dumps: guarda la salida de un listado de directorios y de pwdump al directorio de trabajo
  2. Recon: ejecuta el comando utilizado por los atacantes para obtener información sobre un sistema de destino
  3. DNS: busca varias direcciones conocidas de C2 para provocar solicitudes DNS y obtener las direcciones en el caché de DNS local
  4. Registro de eventos: crea entradas en el Eventlog que parecen haber ejecutado WCE
  5. Hosts: agrega entradas al archivo de hosts local (bloqueador de actualizaciones, entradas causadas por malware)
  6. Sticky Key Backdoor: intenta reemplazar sethc.exe con cmd.exe (se crea un archivo de backup). Intenta registrar cmd.exe como depurador para sethc.exe
  7. Ofuscación: coloca un archivo RAR oculto con extensión JPG
  8. Web Shells: crea un directorio web root y copia dentro webshells, incluido GIF
  9. Ncat alternativo: deja un Ncat en powershell en el directorio de trabajo
  10. Herramienta de ejecución remota: deja una herramienta de RCE en el directorio de trabajo
  11. Mimikatz: ejecuta una versión especial de mimikatz y deja la salida en el directorio de trabajo. Ejecuta también Invoke-Mimikatz en la memoria (descarga github, reflection)
  12. PsExec: vuelca una versión renombrada de PsExec al directorio de trabajo. Ejecuta PsExec para iniciar una consola en el contexto LOCAL_SYSTEM
  13. At Job: Crea una tarea at que ejecuta mimikatz y vuelca las credenciales al archivo
  14. Clave RUN: crea una nueva entrada de clave RUN sospechosa que vuelca la salida de "net user" en un archivo
  15. Ubicación sospechosa del archivo del sistema: suelta un ejecutable sospechoso con el nombre de archivo del sistema (svchost.exe) en la carpeta %PUBLIC%. Ejecuta ese programa sospechoso en la carpeta %PUBLIC%
  16. Usuario Invitado: Activa el usuario Invitado. Agrega usuarios invitados a los administradores locales
  17. LSASS DUMP: Vuelca la memoria de proceso de LSASS a una carpeta sospechosa
  18. Solicitudes de C2: Utiliza Curl para acceder a servidores C2 conocidos
  19. Agentes de usuario maliciosos: Utiliza agentes de usuario maliciosos para acceder a sitios web
  20. Creación de tareas programadas: crea una tarea programada que ejecuta mimikatz y vuelca el resultado a un archivo
  21. Descubrimiento de Nbtscan: escane 3 subredes privadas clase C de la dirección IP correspondiente y vuelca la salida al directorio de trabajo.

Herramientas integradas

Más info en: https://github.com/NextronSystems/APTSimulator

Fuente: HackPlayers

19 feb. 2018

Mejores prácticas de seguridad en AWS

El documento técnico "AWS Security Best Practices" [PDF] está destinado a clientes (existentes o potenciales) que están diseñando su infraestructura de seguridad y configuración para las aplicaciones que se ejecutan en Amazon Web Services (AWS).

Si bien es un documento publicado en 2016, proporciona una guía completa de las las mejores prácticas de seguridad que ayudan a definir un Sistema de Gestión de Seguridad de la Información (SGSI) y construir un conjunto de políticas y procesos de seguridad para la organización, buscando proteger los datos y activos en la nube de AWS.

Este documento técnico también proporciona una visión general de diferentes temas de seguridad tales como identificar, categorizar y proteger los activos en AWS, administrar el acceso a los recursos usando cuentas, usuarios y grupos y sugiere las mejores prácticas para proteger los datos, los sistemas operativos, aplicaciones e infraestructura general en la nube.
  • Prácticas recomendadas de seguridad para AWS (agosto de 2016) PDF | Kindle 
  • Prácticas recomendadas de AWS para la arquitectura en la nube (febrero de 2016) PDF | Kindle
  • Información general sobre Amazon Web Services (abril de 2017) PDF | Kindle
  • Información general sobre los servicios de almacenamiento de AWS (diciembre de 2016) PDF | Kindle
  • Marco de buena arquitectura de AWS (noviembre de 2017) PDF | Kindle
  • Información general sobre el marco de adopción de la nube de AWS (febrero de 2017) PDF | Kindle
  • Cómo calcular los precios de AWS (marzo de 2016) PDF | Kindle
  • El valor comercial de AWS para lograr una infraestructura empresarial de éxito en el s. XXI (junio de 2015) PDF 
En este enlace de Amazon Best Practices hay muchos más documentos que buscan asegurar los servicios en Amazon.