23 ago. 2019

El grupo de hackers Silence ataca a bancos de todo el mundo con nuevas tácticas y herramientas de ataque

El grupo de delincuentes Silence es uno de los grupos de actores de amenazas más activos que apunta a los sectores financieros. El grupo inicialmente atacó bancos en Rusia y ahora expandió su geografía.

Según el informe compartido por Group-IB [PDF] con GBHackers on Security, el grupo de atacantes ha infectado a más de 30 países de América, Europa, África y Asia.
El grupo también realizó una serie de cambios en su conjunto de herramientas para no ser detectados por las herramientas de seguridad y también han realizado cambios en sus alfabetos de cifrado, cifrado de cadenas y comandos para el bot y el módulo principal.
Se creía que el grupo había robado más de 4,2 millones de dólares estadounidenses entre junio de 2016 y junio de 2019. El grupo se dirige activamente a los sectores financieros.

Campañas del grupo Silence

El grupo Silence también usa el phishing como un vector de ataque, el correo electrónico enviado por el grupo Silence incluye una imagen o un enlace sin una carga maliciosa y el correo electrónico ha sido enviado a más de 85.000 usuarios.

A partir de octubre de 2018, el grupo comenzó a enviar correos electrónicos de reconocimiento para obtener una lista actualizada de la dirección de correo electrónico activa y para conocer las herramientas de ciberseguridad utilizadas en las empresas.
Un correo del Grupo Silence
Silence ha llevado a cabo al menos tres campañas utilizando correos electrónicos de reconocimiento, las campañas ya no se centraron solo en Rusia y los antiguos países soviéticos, sino que se extendieron por Asia y Europa. El grupo ha enviado más de 170.000 correos electrónicos de reconocimiento.
Correos para reconocimiento del Grupo Silence

Herramientas y tácticas

El grupo usa casi las mismas tácticas, todavía usan documentos de Microsoft Office con macros o exploits, archivos CHM y atajos de LNK como archivos adjuntos maliciosos.
"Los actores de amenazas han reescrito completamente el cargador TrueBot, el módulo de la primera etapa, del cual depende el éxito de todo el ataque del grupo. Los atacantes también comenzaron a usar Invoke, un cargador sin archivos y un agente EDA, ambos escritos en PowerShell".
Etapas de Ataque por Email del Grupo Silence
El éxito del ataque depende de la infección inicial, el cargador principal es Silence.Downloader (también conocido como TrueBot), Group-IB también observó el cargador PowerShell sin archivos de los actores de amenazas llamado Ivoke.

Silence.Main es la carga principal que contiene un conjunto completo de comandos C&C que se requieren para controlar la computadora comprometida y descargar módulos adicionales.
Con los ataques recientes, el grupo Silence descarga un agente de PowerShell basado en los proyectos de código abierto Empire y dnscat2, junto con eso el grupo también descarga otros servicios proxy para ocultar la comunicación de C&C.

La etapa final del ataque es obtener el control de los cajeros automáticos, el grupo usa el troyano Atmosphere que fue diseñado por ellos u otro programa llamado xfs-disp.exe para dispensar efectivo de los cajeros automáticos. El grupo ha estado activo desde 2016, cambiando sus estrategias de ataque de forma continua y ampliado su territorio.
Ataques y Herramientas del Grupo Silence
El análisis del grupo IB reveló que FlawedAmmyy.Downloader y Silence.Downloader es desarrollado por la misma persona, y el desarrollador es alguien que habla ruso y trabaja activamente en plataformas subterráneas. Los investigadores también creían que el desarrollador estaba vinculado a los ataques de TA505.

Traducción: Raúl Batista de la Redacción de Segu-Info
Autor: Gurubaran S
Fuente: GBHackers on Security

Herramientas y Recursos para Red Team (II)

Las organizaciones están comenzando a reconocer que las medidas de seguridad tradicionales, como las pruebas de penetración y los escaneos de vulnerabilidad, no cumplen con sus demandas de protección de la información. Es por eso que los Red Team están ganando popularidad.

Siguiendo con nuestro listado de herramientas para Red Team (I) aquí hay más de 20 recursos, desde discusiones hasta capacitación y herramientas, para ayudar a hacer exactamente eso.

Emad Shanab

Shanab es abogado y hacker ético. Su feed de Twitter incluye técnicas útiles para los equipos rojos, como escribir inyecciones SQL y falsificar tokens OAuth.

RingZer0

Este equipo de hackers opera un sitio web con ejercicios Capture-th-Flag lleno de desafíos diseñados para probar y mejorar los tipos de habilidades de programación que necesitan los miembros del Red Team. El grupo también tiene un feed de Twitter, donde ofrece consejos de hacking y consejos.

Bug reconnaissance

"Cómo hacer reconocimiento correcto antes de conseguir una recompensa en Bug Bounties" es un artículo de Hussnain Fareed, desarrollador web, entusiasta e investigador de seguridad en Pakistán. El paper habla sobre dónde probar el software para detectar vulnerabilidades y las herramientas que se pueden usar para descubrirlas. A pesar de su presentación caprichosa e informal, el artículo puede ser un recurso útil para los equipos rojos que planean una estrategia de reconocimiento.

Mitre ATT&CK

Las Tácticas, Técnicas de MITRE ATT&CK son una base de conocimiento sobre el comportamiento de los adversarios. Sigue las fases del ciclo de vida de los actores dañinos y las plataformas a las que se sabe que apuntan. Fue desarrollado por el líder del Red Team de MITRE, Blake Strom, quien se propuso crear un marco que detallara el comportamiento de un atacante después de comprometer una red.

"Podría haber cientos o miles de variantes de malware, incluidas puertas traseras, troyanos, herramientas de acceso remoto, etc., que los adversarios usan para ingresar a una red", explicó Strom en octubre de 2015. "Pero una vez que están adentro, exhiben muchos comportamientos comunes. Aprenden sobre su entorno, reúnen credenciales para usuarios y cuentas legítimos, y se trasladan a otros sistemas en la red para robar información o configurar alguna operación o efecto a largo plazo".

ATT&CK es muy útil para comprender los riesgos de seguridad y el comportamiento de los adversarios, planificar mejoras de seguridad y verificar que las defensas funcionan como se espera.

Will Schroeder

Schroeder es ingeniero en seguridad ofensiva en SpecterOps, que brinda servicios de Red Team a las empresas. Su especialidad es atacar el PowerShell de Microsoft, que discute con frecuencia en su feed de Twitter y blog. Su último escrito incluye una guía para atacar dominios en Active Directory y una discusión sobre evitar la lista blanca de aplicaciones y ejecutar código arbitrario sin firmar en winrm.vbs.

The Hacker Playbook

A pesar de estar distribuido en tecnología anacrónica, este manual para hackers sigue siendo una fuente popular de información para los profesionales de Red Team. Los temas tratados en el libro incluyen herramientas y tácticas de reconocimiento, consejos y trucos de movimiento lateral y descifrado de contraseñas. El autor Peter Kim también tiene un feed de Twitter donde ofrece consejos de hacking.

Nettitude Labs

Nettitude tiene un feed de Twitter donde publica consejos, trucos, herramientas y tutoriales de interés para los equipos de Red Team. También ofrece una serie de herramientas de hacking gratuitas diseñadas para hacer todo, desde descifrar contraseñas, explotar vulnerabilidades de WordPress y recopilar información de reconocimiento hasta crear un sistema de comando y control con PowerShell y diseñar payloads XSS.

Red Canary

Esta compañía ofrece servicios de seguridad basados ​​en la nube, pero tiene algunas ofertas gratuitas que merecen atención. Por ejemplo, ofrece una guía para la detección y respuesta, así como una serie de herramientas útiles para los equipos de Red Team que usan el marco ATT&CK. También proporciona un blog y Twitter feed con consejos e información de interés para los miembros del equipo.

SANS Digital Forensics and Incident Response

El Instituto SANS es un importante proveedor de capacitación en ciberseguridad. Su DFIR (análisis forense digital y respuesta a incidentes) contiene las últimas noticias sobre los cursos SANS y consejos de profesionales expertos. SANS DFIR también tiene un sitio web con una serie de herramientas de hackers que los miembros del FRed Team pueden encontrar útiles.

Diario del Red Team

El Red Team como concepto va más allá de la tecnología. Es una forma sistemática para que una organización incorpore el pensamiento crítico y contrario. Esa es la idea detrás de Red Team Journal. Tiene artículos orientados a la tecnología, como el trabajo en Red Teaming versus Pentesting, pero también tiene artículos de opinión, como "El Manifiesto del Teamers Rojo". RJT también tiene un feed de Twitter con muchas contribuciones animadas sobre los aspectos más importantes del trabajo de los equipos rojos.

PenTestIt

Este sitio web se anuncia a sí mismo como "la fuente de todas las cosas de seguridad de la información" y tiene algunos datos interesantes para los equipos rojos. Por ejemplo, tiene una lista de fuentes de malware, incluidos troyanos, RAT, keyloggers, ransomware, bootkits y paquetes de exploits. También tiene una página de consulta en Shodan, utilizado a menudo para descubrir bases de datos desprotegidas expuestas a Internet. Además, hay un artículo útil sobre herramientas de emulación de adversarios.

Awesome Red Teaming

Esta es una lista muy detallada de los recursos del Red Team mantenidos en GitHub. Desglosa todos los aspectos técnicos de la formación de equipos rojos, desde el acceso inicial, la ejecución y la persistencia hasta el movimiento lateral, la recolección y la exfiltración. También cubre gadgets, libros, capacitación y certificación.

17 consejos para un Red Team exitoso

Este artículo de Nasrumminallah Zeeshan, contiene un tutorial sobre "equipos de color", así como consejos específicos para Red Team. Otro artículo de Zeeshan de interés explica cómo crear una lista de archivos de logs que deben inspeccionarse regularmente por razones de seguridad.

Fuente: TechBeacon

Logran romper el esquema de cifrado del sistema de votación ruso basado en blockchain

Pierrick Gaudry, académico de la Universidad de Lorena e investigador en el INRIA (Instituto de investigación francés para las Ciencias Digitales), ha logrado vulnerar el esquema de cifrado del sistema de votación ruso, implementado en Moscú, y basado en blockchain, tras encontrar varias vulnerabilidades.

Según el investigador, bastan 20 minutos para comprometer las claves, argumentando que sus longitudes son demasiado pequeñas para ser suficientemente seguras. El descubrimiento del fallo de seguridad se traduce en unos 15.000 dólares al cambio como recompensa (1 millón de rublos), y en la promesa por parte del Departamento de Tecnología de la Información de Moscú de cambiar la longitud de la clave privada.

Comprometiendo la seguridad del sistema

Desde Moscú se abrieron pruebas en GitHub con el objetivo de comprobar cuán seguro era el nuevo sistema de votación ruso, basado en la tecnología blockchain. Se desafiaba así a los testers a descifrar los datos en menos de 12 horas, el periodo que dura el proceso de votación online.

No hicieron falta más que 20 minutos para que Pierrick Gaudry publicase su hazaña, romper el esquema de encriptación del sistema de votación. En su publicación cuenta que, si bien no hay una especificación pública del protocolo usado, deduce que se basa en la cadena de bloques Ethereum, y que el esquema de cifrado se basa en ElGamal, un algoritmo de criptografía asimétrica, de uso libre y utilizado para cifrado y descifrado de datos.
El tipo de esquema de cifrado y, principalmente, la escasa longitud de las claves, son los causantes de las fallas de seguridad, según Pierrick Gaudry
Como adelantamos, el principal problema, según Gaudry, es el tamaño de las claves, inferiores a 256 bits. Desde el Departamento de Tecnología de la Información de Moscú se comprometieron a aumentar la longitud de las claves, subiendo hasta los 1024 bits. Pese a que el francés logró comprometer el sistema de votación, desde Rusia afirman que tan solo se ha encontrado "un punto débil", y que "nadie ha logrado entrar en el sistema de votación electrónica".

Cambios profundos en el sistema, a escasas semanas de las elecciones

Tras la rotura del esquema de encriptación, se actualizó el código de GitHub. El sistema ElGamal de varios niveles desaparece, la clave, como prometieron, alcanza los 1024 bits, y el cifrado descifrado se produce de forma distinta. Según Gaudry, son demasiados cambios a pocas semanas de las elecciones, afirmando que el sistema no está aún preparado para su funcionamiento seguro.

Ella Pamfilova, presidenta de la Comisión Central Electoral de Rusia (CCE), ya adelantó hace un año que se debatiría el uso de este nuevo sistema de votación basado en blockchain para el ayuntamiento de Moscú. En marzo de 2019, se lanzó la nueva plataforma, en la que podían participar aquellos ciudadanos que realizaran un proceso de autorización en la web de servicios electrónicos rusos. Sobre el papel, este sistema permite que los votos se cifren, permitiendo anonimizar la identidad de los votantes.

Desde Xataka, han consultado con expertos sobre sus reticencias hacia los sistemas de votación electrónica. El principal argumento es que dichos sistemas aún son vulnerables y que, a pesar de ser más cómodos para el votante, se ha de tener en cuenta que siguen sin ser del todo robustos.

Vía: ZDNet
Autor: Ricardo Aguilar
Fuente: Genbeta.com

22 ago. 2019

Estafa por email a Caterpillar de U$S11 millones permite atrapar a "empresario nigeriano"

Un ciudadano nigeriano que estaba en la lista de Forbes de los empresarios más prometedores de África está acusado de fraude por compromiso de correo electrónico comercial que robó U$S11 millones a una sola víctima.

Obinwanne Okeke es el fundador del Grupo Invictus, involucrado en la construcción, la agricultura, el petróleo y el gas, las telecomunicaciones y los bienes raíces. En 2016, Forbes lo agregó a su lista 30 jovenes dueños de negocios en África menores de 30.

Tres años después, el Tribunal de Distrito de los Estados Unidos para el Distrito Este de Virginia emite una orden de arresto a nombre de Okeke por presuntas conspiraciones para cometer fraude informático y electrónico.

Estafador BEC (Correo Electrónico Comercial) de larga data

Según la declaración jurada del FBI en apoyo de la denuncia penal y la orden de arresto, Okeke había estado ejecutando estafas BEC desde el año 2016 por lo menos, con algunos de sus socios involucrados en estafas incluso antes de eso.

Con sus compañeros conspiradores, el estafador trabajó en la creación de páginas de phishing para servicios en línea utilizados por varias empresas en los Estados Unidos.

En abril de 2018, Okeke y sus asociados enviaron un correo electrónico de phishing al Director Financiero (CFO) de Unatrac Holding Limited, que es la oficina de ventas de exportación de equipos industriales y agrícolas Caterpillar.

El CFO cayó engañado por el phishing y envió las credenciales de inicio de sesión a los estafadores cuando intentó acceder a la cuenta de correo electrónico en Microsoft Office 365.

"Los registros indican que entre el 6 y el 20 de abril de 2018, el intruso accedió a la cuenta del CFO al menos 464 veces, principalmente desde direcciones IP en Nigeria", se lee en la declaración jurada de un agente del FBI.

Trucos del oficio

Con este nivel de acceso, se afirma que Okeke utilizó la cuenta del CFO para enviar solicitudes de transferencias electrónicas fraudulentas a los miembros del equipo financiero interno de la compañía.

Algunos correos electrónicos tenían facturas falsas con logotipos de Unatrac, mientras que otros se enviaron a la cuenta del CFO desde un correo electrónico externo (pakfei.trade @ gmail.com) y luego se enviaron a los empleados a cargo de realizar los pagos, para crear la apariencia de un seguimiento real.

La declaración jurada establece que el intruso creó filtros de correo electrónico que marcaban como leídos los correos electrónicos legítimos de los empleados de la compañía y luego los movían a una carpeta diferente. El objetivo era ocultar las respuestas de los receptores de facturas falsas y solicitudes de transferencias electrónicas fraudulentas.

En aproximadamente una semana entre el 11 y el 19 de abril de 2018, Unatrac procesó alrededor de 15 pagos fraudulentos. Un destinatario, Pak Fei Trade Limited, recibió tres pagos de esta manera: por U$S278,270, por U$S898,461 y uno por U$S1.957.100.

En total, Unatrac envió casi U$S11 millones a cuentas en el extranjero, y la mayor parte no pudo recuperarse.

Terminando las cosas

El FBI presuntamente relacionó a Okeke con esta actividad fraudulenta a partir de la dirección de correo electrónico iconoclastlast1960 @ gmail.com, que recibió archivos de la cuenta de almacenamiento OneDrive del CFO de Unatrac.

Siguiendo su rastro en Internet, el FBI pudo descubrir conversaciones con otros estafadores donde planearon cómo crear nuevas páginas de phishing. La dirección de correo electrónico también generó nombres de dominio que se hicieron pasar por negocios legítimos y posiblemente se usaron en otras campañas de phishing.

Se descubrieron dominios fraudulentos adicionales, dice también la declaración jurada. El avance provino de una fuente confidencial del FBI que vinculaba los propósitos maliciosos de '[email protected]'.

Los registros de Google vinculaban esta dirección a otras cuentas a las que se accedía desde la misma máquina, una de ellas era obinwannem @ gmail.com, vinculada al perfil de Twitter @invictusobi de Okeke. A partir de ahí, fue un trabajo simple rastrear al verdadero propietario de la cuenta fraudulenta.

"La información que Google proporcionó enumera una dirección de correo electrónico de recuperación de [email protected], y nombra varias cuentas vinculadas a [email protected] mediante la cookie de sesión de inicio de sesión, lo que indica la probabilidad de que sean operadas por la misma persona. Una de estas vinculadas cuentas es [email protected] ".

Traducción: Raúl Batista de la Redacción de Segu-Info
Autor: Ionut Ilascu
Fuente: BleepingComputer

Sodin, el ransomware que se aprovecha de los MSP

A finales de marzo de este mismo año Kaspersky informaba sobre un nuevo vector de ataque para los ciberdelincuentes. Se trata de los proveedores de servicios gestionados (MSP – Manage Service Provider), un objetivo que puede llegar a ser muy lucrativo.
En especial, el ransomware Sodin (también conocido como Sodinokibi y REvil) ha dado muchos quebraderos de cabeza a diferentes expertos en el mundo de la seguridad. Sodin aprovechó una vulnerabilidad en servidores Oracle WebLogic para introducirse en los sistemas de los MSP y, además, no es necesaria la participación del usuario para activarse.

Propagación de Sodin

Los atacantes aprovecharon la vulnerabilidad CVE-2019-2725 para ejecutar un comando en PowerShell en un servidor de Oracle WebLogic y cargar un dropper (Software diseñado para instalar algún tipo de malware) que, más tarde, instalaría el ransomware Sodin.

En abril, Oracle lanzó los parches para corregir la vulnerabilidad de la que hablamos más arriba, pero a finales de junio se descubrió la vulnerabilidad CVE-2019-2729, similar a la anterior.

En algunos casos los atacantes utilizaron las consolas de acceso en remoto Webroot y Kaseya para enviar el troyano. En otros casos los atacantes consiguieron penetrar en la infraestructura de los MSP mediante una conexión RDP y descargaron el ransomware en los ordenadores de los clientes.

Esquema criptográfico

Sodin utiliza un esquema híbrido para cifrar los archivos. el contenido del archivo es cifrado mediante el algoritmo salsa20, y las claves con un algoritmo asimétrico de curva elíptica.

Generación de la clave

La configuración de Sodin contiene el campo pk, que se guarda en el registro con el nombre sub_key; esta es la clave pública de 32 bytes del distribuidor del troyano.
Cuando se ejecuta, el troyano genera un nuevo par de claves de sesión. la clave pública se guarda en el registro con el nombre pk_key, mientras que la clave privada se cifra usando el algoritmo ECIES, con la clave sub_key y se almacena en el registro con el nombre sk_key.
La misma clave de sesión privada también se cifra con otra clave pública codificada en el cuerpo del troyano. El resultado del cifrado se almacena en el registro con el nombre 0_key.

Si alguien conoce la clave privada correspondiente a la clave con la que se ha cifrado 0_key, puede descifrar los archivos de la víctima, incluso sin la clave privada para sub_clave. Todo indica que los desarrolladores del troyano crearon una forma de descifrar archivos a espaldas de los distribuidores.

Cifrado de archivos

Durante el cifrado de cada archivo se genera un nuevo par de claves asimétricas, file_pub y file_priv. A continuación se calcula el SHA3-256 y el resultado se utiliza como clave simétrica para cifrar el contenido del archivo con el algoritmo Salsa20.
Además de los datos descritos anteriormente también se encuentra un archivo para la inicialización del cifrado Salsa20.

Los archivos cifrados reciben una nueva extensión arbitraria, la nota de rescate se guarda junto a los archivos cifrados y el fondo de pantalla generado por el malware se configura en el escritorio.

Como podemos ver, se está consiguiendo un grado muy alto de especialización y sofisticación por parte de los desarrolladores de malware que, a día de hoy, pone a prueba a los analistas de todo el mundo.

Fuente:Hispasec

Fallo en sitio porno expuso datos de más de 1,2m perfiles de usuarios

Una brecha de seguridad en el sitio para adultos Luscious hizo que se expusieran, según un informe de VPNmentor, los datos de la totalidad de los usuarios de la página. Tras descubrir este comportamiento el pasado día 15 aseguran que, actualmente, la vulnerabilidad ha sido solventada.

La entrada a la base de datos de Luscious dio acceso a las 1.195 millones de cuentas registradas en la página web, en la que se hace necesario el registro para subir el contenido que la alimenta.

uentan desde VPNmentor que han sido capaces de acceder a los datos de los usuarios registrados en la página web, incluidos sus nombres de usuario, dirección de correo, registros de actividad, ubicación y género. Sobre el total de cuentas a las que tuvieron acceso, estiman un 20% de direcciones falsas, correspondientes a usuarios que buscan métodos para conservar mejor su anonimato.

La base de datos de Luscious no contaba con ningún tipo de cifrado, lo que permitió acceder a los perfiles de los usuarios sin ningún tipo de problema

El equipo descubrió la brecha de seguridad mientras trabajaba en un proyecto de mapeo en la web, en búsqueda de agujeros abiertos en bloques IP particulares. El principal objetivo de dicho equipo es alertar a las páginas web de los agujeros de seguridad que encuentran, para alentar una pronta actuación. Según cuentan, la base de datos de Luscious no contaba con ningún tipo de cifrado, lo que la hacía completamente insegura.

Acceder a los datos de las cuentas permitió a VPNmentor obtener información sobre los comentarios, publicaciones, favoritos, seguidores, número de identificación y todo dato referente a las mismas, estando gran parte de esta información oculta en la base de datos de la pagina web.

Los principales afectados

Paises
Si bien los casos de sitios web que se ven comprometidos suelen ser relativamente habituales, que se acceda a la totalidad de cuentas registradas de un sitio web no lo es tanto. A nivel geográfico, las cuentas a las que se tuvo acceso se distribuían entre Europa, Asia, Australia y América. Teniendo en cuenta las direcciones de correo, la estimación de usuarios españoles que hace VPNmentor es de 7.000 usuarios.

Más allá de usuarios con dominios típicos, se registraron perfiles de usuario con cuentas gubernamentales y educativas

Más allá de las direcciones de correo más usadas, el informe indica el uso de cuentas gubernamentales para registrarse en Luscious, indicando que menos de 1.000 cuentas se registraron con el dominio .edu (utilizado por instituciones educativas u oficinas gubernamentales con relación) y que "docenas" de cuentas se registraron bajo el dominio .gov (utilizado por el Gobierno de los Estados Unidos).

Vía: Genbeta | VPNmentor

21 ago. 2019

Robar contraseñas grabando el sonido del teclado [Paper]

Investigadores han descubierto cómo robar contraseñas grabando los sonidos de tu teclado desde un móvil. Esto permitiría que alguien podría robar los datos de acceso a alguna de nuestras cuentas si está próximo a nosotros y graba desde tu teléfono móvil el sonido del teclado de nuestro portátil. Así es como lo han demostrado un grupo de expertos en ciberseguridad de la Universidad de Southern Methodist (SMU) en Texas.

Investigadores del Instituto Darwin Deason de Ciberseguridad de SMU descubrieron [Paper] que las señales acústicas, u ondas de sonido, producidas cuando escribimos en el teclado de una computadora pueden ser captadas con éxito por un teléfono inteligente. Los sonidos interceptados por el teléfono se pueden procesar, lo que permite que un atacante descifre qué teclas se presionaron y qué estaban escribiendo.

Durante las pruebas realizadas, consiguieron descifrar casi la mitad de todo lo escrito a partir de los sonidos de las teclas del ordenador que habían grabado con un teléfono móvil. Además, aseguran que estas grabaciones pueden realizarse incluso en sitios con bastante ruido ambiental. Tanto es así, que probaron a reunir a varias personas en una sala hablando entre ellos y tomando notas en un ordenador portátil. A todos los participantes se les dieron ciertas pautas para usar frases cortas y completas a la hora de escribir en el ordenador, incluso se les permitió que realizasen correcciones sobre la propia escritura.

En la misma mesa donde se estaba escribiendo en el ordenador y en la que había varias personas charlando, se pusieron varios teléfonos móviles situados a varias distancias del portátil y una vez finalizada la prueba, se analizaron los resultados. Concretamente, se consiguió descifrar el 41% del texto escrito. Un dato realmente significativo y que demuestra cómo es posible que alguien nos robe una contraseña con el simple hecho de grabar el sonido de las teclas de nuestro ordenador. Por supuesto, posteriormente necesitaría las herramientas y conocimiento necesario para poder descifrarlo.

Por lo tanto, el éxito de estas pruebas hace que nuestros datos puedan estar en peligro incluso sin que nuestro equipo esté infectado, estemos conectados a alguna red, ni nada parecido.
Fuente: Telegraph

Herramientas y Recursos para Red Team (I)

Los riesgos de seguridad de la información para las organizaciones nunca han sido tan altos. Los delincuentes esponsoreados por estados-nación montan ataques cada vez con mayor sofisticación.
Mientras tanto, los reguladores han aumentado su escrutinio de las prácticas de manejo de datos, especialmente en la Unión Europea, donde las violaciones del nuevo Reglamento General de Protección de Datos (GDPR) pueden resultar en multas de U$S23 millones, o el 4% de los ingresos globales, lo que sea mayor.

Las organizaciones están comenzando a reconocer que las medidas de seguridad tradicionales, como las pruebas de penetración y los escaneos de vulnerabilidad, no cumplen con sus demandas de protección de la información. Es por eso que los Red Team están ganando popularidad.

La formación de equipos Red Team puede proporcionar a una organización el tipo de pruebas exhaustivas necesarias para exponer vulnerabilidades en cada nivel de ataque y permitirle comprender mejor cómo responder a los ataques cibernéticos. El trabajo de estos equipos van más allá de las pruebas específicas del sistema y se enfoca en los activos de una organización, analizando, por ejemplo, el riesgo de robo de propiedad intelectual y la seguridad de las listas de contactos del cliente, la información de identificación personal y los detalles de pago.

Cuando su organización adopte la formación de Red Team, necesitará recursos para hacerlo bien. Aquí hay más de 20 recursos, desde discusiones hasta capacitación y herramientas, para ayudar a hacer exactamente eso.

Pentester Academy

Este servicio de suscripción mensual ofrece cursos de video en línea principalmente sobre pruebas de penetración, pero también en la mezcla hay cursos sobre análisis forense del sistema operativo, tareas de ingeniería social y lenguaje ensamblador para la seguridad de la información. Otros temas incluyen la explotación de desbordamientos del búfer, la creación de gadgets de hackers para demostraciones y la explicación de las implicaciones de seguridad de las acciones.

Vincent Yiu

Yiu se describe a sí mismo como un "operador ofensivo de ciberseguridad". Su experiencia en Red Team lo llevó a crear un feed de Twitter donde publica consejos para los teamers. También ha reunido muchos de sus consejos y los ha publicado en su sitio web personal.

Twitter #redteam resources

Si está buscando información de tendencias, puede encontrarla en Twitter con los hashtags #redteam y #redteaming. Puede encontrar orientación sobre temas que incluyen cómo usar objetos de política de grupo para persistencia y movimiento lateral, lugares para encontrar herramientas para actividades de Red Team y alertas sobre software interesante, como Photon, un rastreador web rápido que extrae URL, archivos, inteligencia, y puntos finales de un objetivo.

Daniel Miessler

Miessler publica un boletín informativo y un podcast y mantiene un sitio web con temas muy variados. Su sitio incluye lecturas como "Purple Team Pentests Mean You're Failing at Red and Blue" y "When to Use Vulnerability Assessments, Pentesting, Red Teams, and Bug Bounties.".

The Daily Swig

Esta es una plataforma de noticias para seguridad web, patrocinada por PortSwigger. Es un buen lugar para aprender sobre los desarrollos relacionados con equipos rojo: hacks, fugas de datos, vulnerabilidades, aplicaciones web y nuevas tecnologías de seguridad. Las publicaciones recientes incluyen "Major Jobs Website Left Sensitive Client Data Exposed for Months", "A New Tool Helps You Find Open Amazon S3 Buckets", y "Offensive Security Has a Crisis on Their Hands Right Now".

Florian Hansemann

Hansemann es un hacker ético y pentester. Sus tweets y blog se centran en herramientas y técnicas de interés para los miembros del Red Team. Por ejemplo, cubre Tokenvator, una herramienta para elevar los privilegios con tokens de Windows, y cómo escribir un payload para la inyección de procesos en Windows.

MWR Labs

MWR publica herramientas útiles y su feed de Twitter ofrece consejos para abordar los problemas que enfrentan los pentesters, como omitir los escáneres de memoria y eludir la autenticación de Windows NT LAN Manager en un sitio web.

Continuará...

Fuente: TechBeacon

20 ago. 2019

Inyectan puerta trasera en Webmin en los repositorios de SourceForge

Hace una semana, se filtró al público una vulnerabilidad crítica zero-day en Webmin (CVE-2019-15107). Hoy sabemos, gracias a los responsables del mantenimiento del proyecto, que el fallo de seguridad no responde a un error de programación por parte de los desarrolladores, sino que un atacante anónimo consiguió inyectar la puerta trasera en algún punto de la infraestructura. Para colmo, la puerta trasera sobrevivió a varias actualizaciones de Webmin (concretamente, desde la 1.882 hasta la 1.921) permaneciendo oculta durante al menos un año, tiempo durante el que pudo ser descargada por millones de usuarios, dado que Webmin es considerada la aplicación Open-Source más popular para la gestión de sistemas UNIX a través de interfaz web.

La historia del caso apunta a Özkan Mustafa Akkuş. En su perfil público se le relaciona con una empresa de ciberseguridad Turca y se define a sí mismo como investigador. Sin embargo, contraviniendo las buenas prácticas que regulan el proceso de investigación sobre seguridad informática y publicación de vulnerabilidades, decidió unilateralmente, según la versión de Joe Cooper, desarrollador del proyecto, publicar el hallazgo sin tomar las medidas oportunas para prevenir al fabricante acerca del fallo, lo que en la práctica, supone haber puesto en riesgo a toda la comunidad de usuarios. Adicionalmente, Akkus también publicó un módulo de Metasploit (otro) para automatizar la explotación de dicho fallo.

Según el propio Akkus, el fallo de seguridad radica en la página de reseteo de contraseña, que permite a un atacante remoto y no autenticado ejecutar comandos de forma arbitraria, con permisos de administrador, en todos aquellos sistemas afectados por este fallo. La explotación sería posible simplemente añadiendo una "tubería" (|) en el campo "old password" a través de peticiones POST. Un carácter que, típicamente, sirve para dirigir la salida de un determinado comando para ser procesado por otro inmediatamente subsiguiente.

En un artículo publicado por Joe cooper, desarrollador del proyecto, se explica que aún continúan investigando cómo y cuándo se introdujo la backdoor, pero ya se ha podido confirmar que el ataque incluyó la suplantación de las descargas de Webmin oficiales, que fueron sustituidas por paquetes troyanizados en los repositorios de SourceForge. Los repositorios oficiales de Webmin en Github, sin embargo, permanecieron intactos y no fueron afectados por este ataque.

Además, Cooper incide en que la característica que aprovecha este fallo de seguridad no se encuentra por defecto habilitada, por lo que el impacto de este fallo se reduce a sólo aquellos sistemas que tuvieran manualmente habilitada la característica en cuestión – a saber, una característica situada en el menú de configuración de la autenticación, que permitía alertar a los usuarios cuya contraseña había expirado y ofrecerles la posibilidad de renovarla-.

Más tarde, un investigador reveló que el fallo afectaba a versiones más antiguas de lo esperado, detectando, adicionalmente, que se había conseguido modificar el código fuente de los paquetes para que la característica antes mencionada se encontrase habilitada por defecto, a diferencia de la configuración que tenía en el código fuente original.

Si efectuamos una búsqueda en Shodan, podemos ver que la aplicación Webmin se encuentra accesible al público en más de 14,790 sistemas de todo el mundo, la mayoría localizados en Estados Unidos, Japón, Reino Unido, Rusia y Alemania.
Afortunadamente, los responsables del proyecto ya han eliminado la puerta trasera. Además, su última actualización también contiene los parches para las vulnerabilidades XSS que fueron descubiertas por otro investigador que sí informó al fabricante siguiendo las buenas prácticas recomendadas, lo que le valió para ser recompensado con una suma de dinero por su labor de bug bounty.

Fuente: Hispasec

Nueva versión de Burp Suite v2.1.02

La conocida herramienta Burp Suite, más concretamente, de la versión 2.1 (Community y Professional Edition), que incorpora una gran cantidad de características. Os dejo por aquí el link de descarga de la página oficial.

Ahora es posible cambiar la interfaz a modo noche. Para ello pulsamos en "Burp", seguimos la siguiente ruta "User Options > Display > User Interface > Look and Feel" y seleccionamos "Dracula".

Al iniciar Burp Suite, nos encontramos con el nuevo Dashboard. Como podéis ver en la imagen de abajo, tenemos una sección de tareas donde encontraremos el progreso de cada tarea realizada (por ejemplo, al lanzar un escáner de vulnerabilidades), un log que nos va informando de diferentes eventos y un panel que muestra información de las vulnerabilidades encontradas en una web.

Arriba a la izquierda, haciendo clic en "New live task", podemos planificar nuevos escáneres (crawlers o auditorías en busca de vulnerabilidades)
El crawler trae nuevas características, como capacidad para manejar sesiones automáticamente, detectar cambios en la aplicación, configurar múltiples logins para diferentes roles de usuarios, etc.

Fuente: Flu-Project