Month: December 2016

RECUPERABIT – HERRAMIENTA FORENSE PARA LA RECONSTRUCCIÓN DEL SISTEMA DE ARCHIVOS

Posted on

RecuperaBit es un software de seguridad informática que intenta reconstruir las estructuras del sistema de archivos y recuperar archivos. Actualmente sólo soporta NTFS.

RecuperaBit intenta reconstruir la estructura de directorios independientemente de:

  • Tabla de particiones ausente
  • Límites de particiones desconocidos
  • Metadatos parcialmente sobrescritos
  • Formato rápido

recuperabit1-768x270

El argumento principal es el path para una imagen bitstream de un disco o partición. RecuperaBit determina automáticamente los sectores desde los que se inician las particiones explica Salvador Ruiz, experto de seguridad informática de iicybersecurity IICS.

  • RecuperaBit no modifica la imagen del disco, sin embargo, lee algunas partes de ella varias veces a través de la ejecución. También debería funcionar en dispositivos reales, como / dev / sda, pero esto no es recomendable por los expertos de seguridad informática.
  • Opcionalmente, se puede especificar un archivo guardado con -s. La primera vez, después del proceso de escaneado, los resultados se guardan en el archivo. Después de la primera ejecución, el archivo se lee para analizar únicamente sectores interesantes y acelerar la fase de carga.
  • La sobrescritura del archivo guardado se puede forzar con -w.
  • RecuperaBit incluye una pequeña línea de comandos que permite los consultores de seguridad informática recuperar archivos y exportar el contenido de una partición en formato CSV. Éstos se exportan en el directorio especificado por -o (o recuperabit_output).

PYPY

RecuperaBit se puede ejecutar con la implementación estándar de cPython, sin embargo la velocidad puede incrementarse al usarla con el intérprete Pypy y el compilador JIT según expertos de seguridad informática:

pypy main.py /path/to/disk.img

 

RECUPERACIÓN DEL CONTENIDO DEL ARCHIVO

Los archivos se pueden restaurar uno a la vez o recursivamente, comenzando desde un directorio. Una vez finalizado el proceso de análisis, puedes comprobar la lista de particiones que se pueden recuperarse mediante el siguiente comando en el indicador:

c0nalykw8aaubc6

Recoverable

Si desea recuperar archivos a partir de un directorio específico, puedes imprimir el tree en pantalla con el comando tree o puede exportar una lista de archivos CSV.

Acuerdo a expertos de seguridad informática, si prefieres extraer todos los archivos de los nodos Root y Lost Files, debes conocer el identificador del directorio raíz, dependiendo del tipo de sistema de archivos.

This entry was posted in Ciber Seguridad General, Expoilts & Vulnerabilities.

MARA: UNA HERRAMIENTA DE INGENIERÍA INVERSA Y ANÁLISIS DE APLICACIONES MÓVILES

Posted on

czgdyoaxuaqk_c8

 

 

 

 

 

MARA es una Mobile Application Reverse engineering and Analysis Framework. Es una herramienta que reúne herramientas de ingeniería inversa y análisis de aplicaciones móviles comúnmente utilizadas, para ayudar a probar aplicaciones móviles contra las amenazas de ciberseguridad móvil de OWASP. Su objetivo es hacer esta tarea más fácil y más amigable para los desarrolladores de aplicaciones móviles y profesionales de ciberseguridad.

Funciones de MARA

  • APK Ingeniería inversa
  • Desmontaje del bytecode Dalvik a smali bytecode vía baksmali y apktool
  • Desensamblaje del bytecode Dalvik a bytecode java mediante enjarify
  • Descomponer APK al código fuente de Java vía jadx
  • Decodificar archivo de manifiesto y recursos a través de apktool

 

Análisis Preliminar

  • Análisis de ciberseguridad de archivos smali para análisis a través de smalisca
  • Borrar activos, bibliotecas y recursos de apk
  • Extracción de datos de certificado a través de openssl
  • Extraer cadenas y permisos de aplicación a través de aapt
  • Identificar métodos y clases a través de ClassyShark
  • Analizar las vulnerabilidades de apk a través de androbugs
  • Analizar apk para posibles comportamientos maliciosos vía androwarn
  • Identificar compiladores, empaquetadores y obfuscadores vía APKiD
  • Generar gráficos de flujo de control desde código smali a través de smali-CFGs
  • Extraer rutas de ejecución, direcciones IP, URL, URI, correos electrónicos a través de regex
  • Escaneo SSL de dominio y ciberseguridad a través de pyssltest y testssl

 

Análisis del Manifiesto APK

  • Extraer Intents
  • Extraer las actividades exportadas
  • Extraer receptores
  • Extraer receptores exportados
  • Servicios de extracción
  • Extraer servicios exportados
  • Comprobar si apk permite copias de seguridad
  • Comprobar si apk permite el envío de códigos secretos
  • Comprobar si apk puede recibir SMS binarios

MARA es comúnmente utilizado por los expertos de ciberseguridad y nuevos investigadores de ciberseguridad deben aprender herramientas como MARA para ampliar sus conocimientos y resolver caso de ciberseguridad.

mara-framework1

 

 

 

 

 

https://github.com/xtiankisutsa/MARA_Framework

 

This entry was posted in Ciber Seguridad General.

VOLATILITY BOT – UN ANALIZADOR DE MEMORIA AUTOMATIZADO PARA ANÁLISIS DE MALWARE Y MEMORIA

Posted on

votality-bot1

 

 

 

 

 

 

 

 

 

 

 

Parte del trabajo de los investigadores de seguridad informática que tienen que pasar dificultades cuando estudian nuevos programas maliciosos o desean analizar ejecutables sospechosos lo cual consiste en extraer el archivo binario y todas las diferentes inyecciones y cadenas descifradas durante la ejecución del malware. Volatility Bot fue creado por expertos de seguridad web para resolver estos tipos de problemas.

Según investigadores de seguridad informática, Volatility Bot es una herramienta de automatización para investigadores de seguridad web que corta todas las tareas de conjeturas y manuales de la fase de extracción binaria, también sirve para ayudar al investigador de seguridad web en los primeros pasos de realizar una investigación de análisis de memoria. No sólo extrae automáticamente el ejecutable (exe), sino que también busca todos los nuevos procesos creados en la memoria, inyecciones de código, cadenas, direcciones IP, etc.

En la nueva versión de Volatility Bot, una nueva característica es el análisis automatizado de vaciados de memoria, utilizando heurística y YARA / Clam AV Scanners. Según expertos de seguridad web, de de International Institute of Cyber Security IICS esta función es útil para el análisis de la memoria a escala. Por lo general, este proceso inicial se realiza manualmente, ya sea a través de una muestra de malware o un vaciado de memoria y puede ser largo y tedioso.

CARACTERÍSTICAS ACTUALES

  • Análisis automatizado de muestras de malware (Basado en diferencias entre la imagen de memoria limpia y la infectada)
    • Extracción del código inyectado
    • Descarga de nuevos procesos
    • Escaneo Yara, análisis estático, extracción de cadenas, etc. en todos los trabajaos.
  • Análisis heuristic automatizado de los vaciados de memoria que ayuda muchos los investigadores de seguridad informática.
    • Detectar anomalías usando heuristic y arrojar el código relevante
    • Análisis Yara, análisis estático, extracción de cadenas, etc. en todos los trabajos.

INSTALACIÓN

  1. Crear una nueva máquina virtual, con Windows XP hasta Windows 10 x64.
  2. Asegúrese de que la máquina tiene windows defender, programas de seguridad informática, seguridad web y FW deshabilitados, y tiene un IP estático
  3. Instalar python 3.5
  4. Crear c: \ temp carpeta, o cambie la carpeta de destino en config
  5. Copie el agente.py de Utils e inícielo
  6. Tome una instantánea de la VM
  7. Repita los pasos 1-6 para tantas máquinas virtuales como desee

volatility-bot

https://github.com/mkorman90/VolatilityBot

This entry was posted in Ciber Seguridad General, Expoilts & Vulnerabilities and tagged , , , .

¿CÓMO HACKEAR UNA MÁQUINA MAC DE APPLE CON EMPYRE?

Posted on Updated on

EmPyre es un framework de Post Exploitation construido con Python que ofrece a profesionales de ethical hacking y seguridad de la información lo que es la capacidad de acceder de forma remota a hosts OSX. Es fácil de usar, tiene explotaciones específicas de OSX y cargas ya incorporadas, y realmente hace un cambio refrescante de Metasploit. Visítelos en Github para leer los detalles sobre características y soporte de esta herramienta comúnmente usado por profesionales de de seguridad de la información.

INSTALACIÓN

Usted está usando OSX u otro distro, asegúrese de tener Git instalado antes de comenzar. Estamos usando un nuevo Kali.

INSTALAR EMPYRE

Primero, Git Clone

EmPyre

Ahora debe tener una carpeta llamada EmPyre, y deseará ejecutar install.sh para terminar la instalación.

EmPyre

EmPyre está instalado y listo para funcionar, ahora solo cambie el directorio en EmPyre y ejecute ./empyre para iniciar la interfaz.

EmPyre

Una vez hecho esto, EmPyre se cargará y verá el siguiente menú.

EmPyre

CREAR UN LISTENER

Según expertos de seguridad de la información y ethical hacking, antes de hacer algo, escriba el comando de help y echa un vistazo a las opciones que tiene, sugerimos pasar algún tiempo aprendiendo lo que puedes hacer con la herramienta. Por ahora, queremos iniciar un listener para que nuestras víctimas se conecten también.

Vaya a los listners y escriba las opciones para ver las opciones del listener actual. Este es tu equivalente de “show options” dentro de Metasploit.

EmPyre

Cuando pulses Intro, verás la configuración actual predeterminada para listener que se llamado test. Puedes ver la IP local y todas las otras opciones que están bien para esta guía, pero puede cambiar cualquier cosa que se adapte a tu objetivo explica experto de seguridad de la información y ethical hacking

EmPyre

Cambiar el host es útil si estás deseando NAT tu IP.

EmPyre

Una vez que estés satisfecho con tus opciones, sólo tienes que presionar ejecutar, seguido de tu nombre de listener que se puede ver en las opciones.

EmPyre

Eso es, estamos escuchando shells. Ahora, si estás ejecutando esto en un laboratorio, sólo asegúrete de que puede llegar a la máquina de destino y la red está totalmente bien. Si estás utilizando esto contra un host remoto fuera de su LAN, debes pasar a configurar NAT y cualquier regla que necesite para permitir que el tráfico entre.

CREAR EL DOCUMENTO MALICIOSO

Según expertos de seguridad de la información y ethical hacking, esto no es tan diferente de atacar a las máquinas de Windows, pero vas a tener una mano de ayuda adicional de EmPyre para hacer las cosas un poco más fáciles. Primero, necesitamos crear un office macro malicioso. Puedes regresar al menú principal ingresando “main” y luego entrar en “usestager”. Puede presionar la pestaña para listar todas las opciones disponibles pero usaremos una macro para este ataque.

EmPyre

Ahora, sólo necesitamos decirle al stager qué listener queremos que use, lo cual debería ser fácil, ya que solo tenemos 1 creado, y luego lo encerramos generando la macro.

EmPyre

Si todo va al plan, deberás ver la salida de la macro encendido a la pantalla.

EmPyre

Queremos copiar esta salida en un documento y entrar en una macro. Abra Excel o Word y guarda el documento como un documento habilitado para macros.

EmPyre

Una vez que lo hayas guardado, diríjete a las tools y crea un nuevo macro, asígnale el nombre y luego pegua el código de tu host EmPyre en el Macro. Debe tener un aspecto como este.

EmPyre

Guarda el documento y deja que comience el ataque. La próxima vez que abras este documento, se le pedirá que actives los macros que, por supuesto, lo haremos.

EmPyre

EmPyre

Vas a querer comenzar a interactuar con tu máquina Mac recién infectada. EmPyre los llama agentes, así que simplemente ingrese el comando agents.

EmPyre

Observe la cadena que comienza UKFOM… Este es el identificador único que EmPyre ha dado al host.

EmPyre

A partir de aquí, puedes empezar a lanzar código de shell alrededor como una especie de maníaco. Prueba algunos de los módulos incorporados, hay toneladas de ellos y algunos de ellos son bastante útiles acuerdo a expertos de seguridad de la información y ethical hacking.

EmPyre

Por supuesto, como cualquier otra pantalla, puedes emitir el comando de ayuda y ver todas las otras opciones que tienes.

EmPyre

 

This entry was posted in Ciber Seguridad General, Expoilts & Vulnerabilities and tagged , , , .

NAXSI – FIREWALL DE SOFTWARE ABIERTO PARA NGINX

Posted on

Un WAF protege una aplicación Web controlando su entrada y salida y el acceso desde la aplicación. Se ejecuta como un dispositivo, un plug-in de servidor o un servicio basado en la nube, el WAF inspecciona todos los paquetes de datos HTML, HTTPS, SOAP y XML-RPC. A través de una inspección personalizable, es capaz de prevenir ataques contra seguridad web como XSS, inyección de SQL,sessionhijacking y buffer overflows, que los firewalls de red y los sistemas de detección de intrusos a menudo no son capaces de realizar.

NAXSI es un WAF de código abierto para Nginx (Web Application Firewall), que por defecto puede bloquear el 99% de los patrones conocidos involucrados en las vulnerabilidades del sitio web. NAXSI significa Nginx Anti XSS & SQL Injection y es creado por expertos de seguridad web.

Por defecto, lee un pequeño subconjunto de reglas simples de seguridad web que contienen el 99% de los patrones conocidos involucrados en vulnerabilidades de sitios web.

Siendo muy simple, esos patrones pueden coincidir con las consultas legítimas. El administrador de seguridad web puede agregar listas blancas manualmente analizando el registro de errores de Nginx o (recomendado) iniciar el proyecto mediante una fase de auto aprendizaje intensivo que generará automáticamente las reglas de lista blanca con respecto al comportamiento del sitio web.

Por el contrario de la mayoría de los firewall de aplicación web, Naxsi no se basa en una base de firmas, como un antivirus, y por lo tanto no puede ser eludido por un patrón de ataque “desconocido”. Acuerda a experiencia de expertos de seguridad web, otra diferencia principal entre NAXSI y otros WAF, NAXSI filtra sólo las solicitudes GET y POST, es un software libre y libre de usar.

Según los expertos de seguridad web de iicybersecurity, WAF como Naxsi puede ser utilizado por PYMES para implementar seguridad web Requiere un poco más de esfuerzo ya que usted tiene a la lista blanca para conseguir que las cosas funcionen, pero bloqueará ataques más ofuscados y poco comunes sin actualizaciones ni modificaciones.

naxsi

 

This entry was posted in Ciber Seguridad General, Expoilts & Vulnerabilities, Virus, Malware, Spyware.

RAPTOR WAF – UN FIREWALL GRATIS DE APLICACIONES WEB

Posted on

raptor-waf

Un firewall de aplicaciones web (WAF) es un firewall que supervisa seguridad web, filtra o bloquea el tráfico HTTP hacia y desde una aplicación Web.Un WAF también es capaz de detectar y prevenir nuevos ataques desconocidos al observar patrones desconocidos en los datos de tráfico. Raptor WAF es un firewall de aplicaciones web hecho en C, que usa DFA para ayudar en seguridad web y bloquear SQL Inyección, Cross Site Scripting (XSS) y PathTraversal.

Es esencialmente un firewall de aplicación web simple hecho en C, usando el principio KISS, haciendo poll utilizando la función select (), no es mejor que epoll () o kqueue () de BSD, pero es portátil.

Caracteristicas

Según los expertos de seguridad web de iicybersecurity, WAF como Raptor puede ser utilizado por PYMES para implementar seguridad web. Es ampliamente utilizado hoy en día para detectar y defenderse contra la mayoría de las inyecciones de SQL, ataques contra seguridad web y ataques XSS.

  • Bloquear ataques contra seguridad web como de XSS, Inyección de SQL y path traversal
  • Lista negra IPs para bloquear usuarios usando config / blacklist ip.txt
  • Soporta IPv6 e IPv4 para la comunicación

raptor-waf

 

https://github.com/CoolerVoid/raptor_waf

This entry was posted in Ciber Seguridad General, Expoilts & Vulnerabilities and tagged , .