Finalistas de los premios a los mejores blogs y podcasts de 2016 que organiza la Conferencia RSA

Cada año en la conferencia RSA se hace entrega de los premios a los mejores bloggers de seguridad, los conocidos como Social Security Blogger Awards

Sólo con una dirección de email cualquiera puede votar aunque, si no lo haces y nos los conoces, al menos no puedes dejar pasar la oportunidad de visitarlos y añadirlos a tus listas de feeds (lástima que no haya en la lista ninguno hispanoparlante):

Finalistas al blog de seguridad más entretenido:
Finalistas al blog de seguridad más educativo:
Finalistas al mejor blog de seguridad o podcast nuevo:
Finalistas al mejor Podcast de seguridad:
Finalistas a la mejor entrada de blog del año:
Finalistas al mejor blog de seguridad corporativo:
Votaciones: https://www.surveymonkey.com/r/TMRP8Z5

¿Quieres espiar el móvil de tu novi@? Aquí tienes unas cuantas aplicaciones que no deberías utilizar...

Mucha gente nos ha preguntado acerca de Androrat para troyanizar el smartphone de alguien a quien quieren monitorizar, incluso algunos nos han pedido ayuda directamente para espiar el WhatsApp de su pareja o tener acceso a las llamadas o a sus fotos o videos privados.

Evidentemente no nos hacemos responsables ya que ésto no debe hacerse por ética o moral y en muchos sitios y circustancias puede tener severas implicaciones legales (lo intentaremos estudiar en detalle más adelante).

No obstante, lo que es una realidad es que no es necesario complicarse la vida e instalar un troyano tipo Androrat o Dendroid para espiar el teléfono móvil de una persona ya que en el mercado hay un buen abanico de aplicaciones que poseen las características necesarias para hacerlo de forma mucho más sencilla, silenciosa y en ocasiones bastante profesional.



Muchas de estas aplicaciones son de control parental para tener vigilados a los menores y otras dicen serlo como "disfraz" para venderse a compradores que saben que precisamente no lo van a usar con sus hijos. Algunas incluso son para gestionar la pérdida o robo de móviles pero perfectamente pudieran usarse para vigilancia. Otras directamente no se cortan y afirman directamente que son para espiar al prójimo.


Para instalar la mayoría necesitarás acceso físico al terminal, lo que equivale a un descuido del dueño en cuestión. La instalación en remoto sería otro cantar...

En cualquier caso, hemos recopilado algunas de estas aplicaciones que sólo deberías usar para probar y aprender, algunas gratis y muchas de ellas de pago:

Gratis:

Rastreador Móvil
URL: https://play.google.com/store/apps/details?id=com.local_cell_tracker

Realiza un seguimiento de todos los lugares que se han visitado en los últimos días con el teléfono. La aplicación recopila información de ubicación una vez cada media hora a través de GPRS / Wi-Fi y por lo tanto el impacto en la batería es mínimo. No es necesario habilitar GPS.

Call Recorder
URL: https://play.google.com/store/apps/details?id=com.appstar.callrecorder

Graba cualquier llamada y elige las que quieres guardar. Puedes elegir las llamadas que se graban y las que se ignoran. Escucha la grabación, añade notas y compártela. La integración con Google Drive and Dropbox permite que las llamadas se guarden o sincronicen con la nube.

Spy Camera OS 2 (SC-OS2)
URL: https://play.google.com/store/apps/details?id=com.jwork.spycamera.free3&source=xda

Herramienta de código abierto que se ejecuta en segundo plano y captura video e imágenes de forma silenciosa, inclyso si la pantalla está apagada.

Prey Anti Robos
URL: https://play.google.com/store/apps/details?id=com.prey&hl=es

Es un ejemplo software más orientado a recuperar un móvil que ha sido robado o perdido, pero perfectamente podría usarse para espiar a un usuario ya que permite de forma silenciosa trazar la ubicación del mismo, tomar fotos e incluso recopilar la información de las redes a las que se conecta.

maybe: comprueba qué hace realmente un comando antes de hacerlo

¿Cuantas veces has ejecutado algún script en Linux confiando ciegamente en que hará su "supuesto" cometido? ¿Y encima como root? No corras más riesgos innecesarios...

maybe es una utilidad que permite validar las funciones que realiza un comando antes de llevarlas a cabo. Para ello ejecuta procesos bajo el control de ptrace (con la ayuda de la biblioteca Python-ptrace). Cuando se intercepta una llamada al sistema que está a punto de realizar cambios en el sistema de archivos, registra esa llamada y luego modifica los registros de la CPU para que redireccione la llamada a un ID de syscall no válido (convirtiéndolo así en un no-op) y devuelve el valor de esa llamada no-op a uno que indica el éxito de la llamada original.

Como resultado, el proceso cree que todo lo que está tratando de hacer está sucediendo realmente, cuando en realidad no hay nada.


Por el momento es completamente funcional en Linux, tiene soporte limitado en FreeBSD y OpenBSD (los subprocesos no pueden ser interceptados) y para OS X está pendiente hasta que soporte python-trace.

Para instalarlo si tienes Python 2.7+/3.2+ y el administrador de paquetes pip todo lo que necesitas es ejecutar:

pip install maybe

ya sea como superusuario o desde un entorno virtualenv. Para desarrollo, también puedes clonar el repositorio de maybe e instalar el paquete:

pip install -e .

Luego basta con ejecutar:



Fuente: https://github.com/p-e-w/maybe

Obteniendo privilegios de administrador de dominio con McAfee... o la recurrente manía de usar cuentas con demasiados permisos

El título de esta entrada es tan largo como el tiempo que llevo encontrándome el uso de cuentas con demasiados privilegios para actualizar algunos programas. En serio que les agradezco que faciliten tanto la vida a la hora de hacer un pentest pero NO es necesario usar usuarios que pertenezcan al grupo de administradores de dominio para distribuir software en un Directorio Activo.

La consecuencia de hacerlo es que cualquier fallo puede derivar en el compromiso de todos los equipos Windows de una red local.


Hace unos días vimos un ejemplo cuando Toufik Airane publicó en Github cómo capturar las credenciales usadas por un agente McAfee VirusScan Enterprise 8.8 a la hora de intentar actualizarse contra los repositorios definidos en la ePO.
 
Concretamente los repositorios están definidos en "C:\ProgramData\McAfee\Common Framework\SiteList.xml", donde encontraremos los servidores para conectarse por HTTP o SMB (UNC) además de los nombres de usuario y las credenciales cifradas:

<?xml version="1.0" encoding="UTF-8"?>
<ns:SiteLists xmlns:ns="naSiteList" GlobalVersion="20150327073827" LocalVersion="Fri, 9 Oct 2013 09:23:23 UTC" Type="Client">
<Policies><Setting name="OverwriteClientSites">1</Setting><Setting name="nMaxHopLimit">1</Setting>
<Setting name="nMaxPingTimeout">5</Setting><Setting name="uiFindNearestMethod">2</Setting></Policies>

<SiteList Default="1" Name="SomeGUID">

<SpipeSite Type="master" Name="REPO1" Order="2" Enabled="1" Local="0" Server="servidor.dominio:8005" ServerName="servidor:8005" ServerIP="192.168.1.200:8005" Version="4.0.0"><RelativePath>Software</RelativePath><UseAuth>0</UseAuth><UserName></UserName><Password Encrypted="1">XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX</Password></SpipeSite>

<UNCSite Type="repository" Name="REPO2" Order="1" Server="servidor" Enabled="1" Local="0"><ShareName>Mad</ShareName><RelativePath></RelativePath><UseLoggedonUserAccount>0</UseLoggedonUserAccount><DomainName>*DOMINIO*</DomainName><UserName>usuario_epo</UserName><Password Encrypted="1">XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX</Password></UNCSite>

<HttpSite Type="fallback" Name="REPO3" Order="3" Enabled="1" Local="0" Server="update.nai.com:80"><RelativePath>Products/CommonUpdater</RelativePath><UseAuth>0</UseAuth><UserName>Anónimo</UserName><Password Encrypted="1">XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX</Password></HttpSite>

</SiteList>
</ns:SiteLists>

Bienvenidos al Museo de Malware


Archive.org ha publicado The Malware Museum, una colección de programas de malware, normalmente virus para DOS, que fueron distribuidos en las décadas de los 80 y de los 90. Una vez que infectaban los sistemas algunos mostraban un mensaje o una animación mofándose del incauto usuario que incrédulo apenas entendía lo que se le mostraba en sus pantallas, muchas de ellas monocromo.

Mediante el uso de emuladores y eliminando las rutinas destructivas, esta colección te permite experimentar con seguridad y desde la comodidad de tu navegador cómo eran las primeras infecciones. Os recomiendo echar un vistazo a algunos de ellos, una oportunidad para volver al pasado o... viajar a él porque seguro que muchos de vosotros seguro que ni siquiera habíais nacido.


Entra al Museo de Malware: https://archive.org/details/malwaremuseum

VBScan, un escáner de vulnerabilidades para vBulletin

Mohammad Reza Espargham, profesor de la Universidad de Sharif, nos mandaba un DM para dar a conocer su proyecto: VBScan, un escáner de vulnerabilidades específico para vBulletin, una de las soluciones más populares para foros de comunidades instalada en miles de servidores de todo el mundo

La herramienta es de código abierto y está escrita en Perl (se agradece con tanto Python) y nos ayudará a verificar que nuestro sitio es seguro... o no. 

Uso:
./vbscan.pl

./vbscan.pl http://target.com/vbulletin


Aquí os dejo unas demos y los enlaces a su proyecto:


Project Leader : Mohammad Reza Espargham
Github : https://github.com/rezasp/vbscan/
SourceForge : https://sourceforge.net/projects/vbscan/

HackSys: un driver extremadamente vulnerable para practicar en Windows

HackSys Extreme Vulnerable Driver es un driver para Windows desarrollado por Ashfaq Ansari (@HackSysTeam) y hecho vulnerable de forma intencionada para para que los entusiastas de seguridad aprendan y pulan sus habilidades de explotación a nivel de kernel.

HackSys Extreme Vulnerable Driver provee una amplia gama de vulnerabilidades que van desde simples desbordamientos de buffer hasta complejos Use After Frees y Pool Overflows. Esto permite a los investigadores explorar las técnicas de explotación de todas las vulnerabilidades implementadas:


- Pool Overflow
- Use After Free
- Type Confusion
- Stack Overflow
- Integer Overflow
- Stack Overflow GS
- Arbitrary Overwrite
- Null Pointer Dereference

Para construir el driver:

1. Instala Windows Driver Kit
2. Cambia %localSymbolServerPath% en Build_HEVD_Secure.bat y Build_HEVD_Vulnerable.bat (driver builders)
3. Ejecuta el builder apropiado Build_HEVD_Secure.bat o Build_HEVD_Vulnerable.bat

Luego usa OSR Driver Loader para instalar HackSys Extreme Vulnerable Driver y empieza a practicar!


De momento los exploits han sido testeados en Windows 7 SP1 x86 así que faltaría probar y adaptar todo lo necesario para Windows 8.1/10 x64.

Más información en el proyecto de GitHub: https://github.com/hacksysteam/HackSysExtremeVulnerableDriver

Envío de e-mails arbitrarios desde Jupiter (un tema de WordPress)

WordPress es uno de los CMS más populares de Internet, creo que debido principalmente a su flexibilidad ya que cuenta con muchos plugins, themes, etc.

Sobre los themes o temas, ya sean gratis o de pago, por lo general son bastantes buenos y la mayoría tiene Responsible Design, son muy agradables a la vista, pero como en todos los sistemas siempre existen problemas referentes a la seguridad.  

Recientemente encontré en Jupiter - Multi-Purpose Responsive Theme un tema que pueden adquirir por unos $59 en http://themeforest.net/item/jupiter-multipurpose-responsive-theme/5177775


Con un poco de Google Hacking (inurl:/wp-content/themes/jupiter) podemos encontrar varios sistemas WordPress con ese tema:


Raptor: un WAF de código abierto para entrenar

Raptor es un WAF (Web Application Firewall) de código abierto bajo licencia GPLv3 escrito puramente en C y enfocado en el estudio de ataques y en encontrar maneras inteligentes para bloquearlos. Utiliza una lógica simple usando un proxy inverso con la función select () para multiplexar y un simple filtro para analizar las peticiones con AFD (autómata finito determinista).

- Puede bloquear XSS, ataques de inyección SQL y path traversal
- Puede usar la lista negra de IPs para bloquear algunos usuarios en config/blacklist ip.txt
- Puede utilizar IPv6 e IPv4
- Próximamente añadirá protección DoS, limitador de peticiones, intérprete de reglas y detector de malware para los archivos subidos
- En el futuro soportará SSL/TLS ...

Veamos un escenario de ejemplo para montar en unos sencillos pasos:




Primero descargamos el repositorio de Raptor y lo instalamos para montar nuestro WAF:


$ git clone https://github.com/CoolerVoid/raptor_waf
$ cd raptor_waf && make;


Ahora indicamos la IP del servidor web a proteger, la 192.168.11.123:

$ bin/Raptor -h 192.168.11.123 dirección -p 80 -r 8886 -w 4 -o logAtaques.txt

Ahora Raptor protege el servidor web y todos los clientes tendrán que "atacar" a http://servidor_waf:8886. Por supuesto podemos hacer el NAT que queramos en el firewall externo de cara a publicarlo en Internet.

Fuente: https://github.com/CoolerVoid/raptor_waf

¿Cifraron las fotos de tu móvil? Amigo, el ransomware también existe en Android...

Imagina todas las fotos que haces y almacenas en el móvil y que de repente un día dejas de tenerlas y te aparece un infame mensaje en el que te piden dinero por descifrarlas. Esto es sólo un ejemplo porque, efectivamente, el ransomware no es exclusivo de los PCs...

Desde mayo de 2014 se conoce una variante de malware de tipo ransomware bautizada como 'Lockdroid' que es capaz de bloquear o cambiar el PIN de un dispositivo Android e incluso cifrar y borrar los archivos de un dispositivo Android mediante un reset de fábrica.

La nueva variante Android.Lockdroid.E descubierta por Symantec, se distribuye a través de la aplicación "Porn ‘O’ Mania" presente en markets de terceros (los usuarios de Google Play Store están a salvo). Si el usuario es infectado, el ransomware obtendrá root, cifrará los archivos, bloqueará el teléfono y mostrará un mensaje pidiendo un rescate, amenazando además a la víctima con enviar su historial de navegación a todos sus contactos.

Pero sin duda lo que más llama la atención es su forma de instalarse engañando al usuario mediante técnicas de clickjacking, una técnica que ya vimos por ejemplo en la Blackhat hace años y que se ha usado en otro malware como BadAccent: superpone una pantalla (TYPE_SYSTEM_OVERLAY window) para que el usuario pulse un botón de "Continuar" cuando realmente está pulsando al botón para conceder todos los permisos administrativos necesarios a la aplicación maliciosa.

La parte buena es que la posibilidad de mostrar popups secundarios en pantallas de instalación fue eliminada en la versión de Android 5.0 (Lollipop). La mala, que casi el 67% de los terminales con Android todavía utilizan una versión anterior. Así que si eres uno de ellos... ¡¡actualiza!!

Fuentes:
- Android ransomware variant uses clickjacking to become device administrator
- Android Ransomware Threatens to Share Your Browsing History with Your Friends
- "Lockdroid" Ransomware Can Lock Smartphones, Erase Data
- New Android ransomware uses clickjacking to gain admin privileges