Expoilts & Vulnerabilities

¿CÓMO HACER FÁCILMENTE INJECCION DE BLIND SQL CON BBQSQL?

Posted on

Blind SQL injection es casi idéntica a la inyección normal de SQL y afecta a la seguridad en base de datos, la única diferencia es la forma en que los datos se recuperan de la base de datos. Cuando la base de datos no genera datos en la página web, un atacante se ve obligado a robar datos pidiendo a la base de datos una serie de preguntas verdaderas o falsas.

Blind SQL injection puede ser un dolor para explotar. Cuando funcionan las herramientas disponibles, funciona bien, pero cuando no tienen que escribir algo personalizado para romper seguridad en base de datos. Esto es lento y tedioso. BBQSQL puede ayudarle a resolver esos problemas.

BBQSQL es un marco de inyección de BLIND SQL escrito en Python por los expertos de auditoría de base de datos. Es extremadamente útil cuando se atacan vulnerabilidades de inyección SQL complicadas. BBQSQL es también una herramienta semi-automática, que permite un poco de personalización para aquellos difíciles hallazgos provocados por inyección de SQL. La herramienta está construida para ser agnóstico de base de datos y es extremadamente versátil ya que es enseñado durante cursos de seguridad en base de datos como de international institute of cyber security. También tiene una interfaz de usuario intuitiva para hacer la creación de ataques mucho más fácil. Python gevent también se implementa para auditoría de base de datos, haciendo BBQSQL extremadamente rápido.

USO DE ALTO NIVEL

Similar a otras herramientas de inyección de SQL, proporciona cierta información.

Debe proporcionar la información usual:

  • URL
  • HTTP Method
  • Headers
  • Cookies
  • Encoding methods
  • Redirect behavior
  • Files
  • HTTP Auth
  • Proxies

A continuación, especificamos dónde va la inyección y qué sintaxis estamos inyectando.

BBQSQL utiliza dos técnicas cuando se realiza un ataque de inyección SQL blind. La primera y la técnica predeterminada utilizada es binary_search. La segunda técnica que puede utilizar es frequency_search. La búsqueda de frecuencia se basa en un análisis del idioma inglés para determinar la frecuencia con la que un alfabeto a se producirá. Este método de búsqueda es muy rápido contra los datos no entrópicos, pero puede ser lento contra datos no ingleses o datos ofuscados según expertos de auditoría de base de datos de IICS.

Puede especificar binary_search o frequency_search como valor para este parámetro.

BBQSQL

Ganchos personalizados

A veces tienes que hacer algo realmente loco.

Tal vez usted necesita para cifrar los valores de entrada en un campo antes de enviar la solicitud o tal vez usted lo necesita hacer triple URL encode. Sin embargo, estas situaciones hacen que otras herramientas de auditoría de base de datos sean imposibles de usar. BBQSQL le permite definir funciones de “hook” que la herramienta llamará en varios puntos a lo largo de la solicitud.

Para implementar esto, cree un archivo de Python y especifique las funciones de gancho. En su archivo de ganchos, puede definir tan pocas o muchas de estas funciones de ganchos como desee. En la sección bbqsql_options del menú, puede especificar la ubicación de su hooks_file. BBQSQL tomará este archivo y usará los ganchos que haya definido explican expertos de seguridad en base de datos.

 

SEGURIDAD Y DESTRUCCIÓN DE DOCUMENTOS CONFIDENCIALES EN LA INDUSTRIA DE LA SALUD

Posted on

¿QUÉ ES UN EXPEDIENTE MÉDICO?

Acuerdo a expertos de DIM, una empresa de destrucción de documentos, un “historial médico” es un término general para toda la información recopilada sobre un paciente con el propósito de tratar a ese paciente, incluyendo:

hipaa

  • Notas de progreso
  • Cartas de especialistas y otras correspondencias
  • Resultados de la prueba
  • Rayos X y exploraciones
  • Fotografías
  • Grabaciones digitales
  • Libros de citas y cuentas de pacientes

Según los expertos de destrucción de documentos, los registros médicos deben incluir la siguiente información:

  • Identificación del paciente
  • Información relevante para el diagnóstico o tratamiento
  • Plan de tratamiento
  • Medicación y niveles de dosificación
  • Información y asesoramiento, discusiones de consentimiento
  • Detalles de cualquier procedimiento médico o quirúrgico
  • Resumen de salud que es fácilmente accesible, incluyendo historia significativa, medicamentos, alergias

¿CÓMO DEBEN ALMACENARSE LOS REGISTROS MÉDICOS?

Los registros médicos pueden guardarse en papel o en formato electrónico, o una combinación de ambos que sea fácil para destrucción de documentos. Cuando se utiliza un “híbrido” de registros de papel y electrónicos, se requiere un sistema para hacer una referencia cruzada a los registros de cada paciente.

¿CUÁNTO TIEMPO DEBEN MANTENERSE LOS REGISTROS MÉDICOS?

Los registros médicos deben ser conservados durante el tiempo requerido por la legislación pertinente del estado o del territorio para destrucción de documentos confidenciales. Por lo general, esto significa que los expedientes médicos inactivos del paciente individual deben mantenerse hasta que el paciente haya alcanzado la edad de 25 años o por un mínimo de siete años desde el último contacto, lo que sea más largo.

DESTRUCCIÓN DE DOCUMENTOS CONFIDENCIALES O REGISTROS MÉDICOS EN PAPEL

Se permite la eliminación de copias en papel de notas que se han transferido o escaneado en los registros electrónicos siempre y cuando la destrucción de documentos se haga de una manera que preserve la confidencialidad y cumpla con los requisitos legales. Se debe mantener un registro de todos los registros que se han destruido.

MANTENER REGISTROS MÉDICOS SEGUROS

Las organizaciones que tienen información de salud deben tomar medidas razonables para proteger la información de la pérdida y el uso no autorizado o divulgación. Según expertos de destrucción de documentos, para garantizar que los registros electrónicos se mantengan a salvo de daños, pérdida o robo, debe realizarse una copia de seguridad completa del registro de la computadora y de los discos de copia de seguridad almacenados fuera del sitio. Las computadoras deben estar protegidas por contraseña y las contraseñas cambiarán de forma regular.

Busque asesoramiento de un especialista en TI en relación con la protección contra el acceso no autorizado, la modificación de registros, virus informáticos, firewalls y la calidad de resolución de los documentos escaneados o ayuda de una empresa profesional de destrucción de documentos.

¿CÓMO PROTEGER DE USB RUBBER DUCKY CON HERRAMIENTA GRATUITA BEAMGUN?

Posted on

beamgun1

El USB Rubber Ducky es una pequeña herramienta increíble puesta en marcha por los expertos de ciberseguridad de HAK5. Básicamente, este pequeño dispositivo USB se registra como un teclado, espera un poco y luego corta la computadora de la víctima con una ráfaga de pulsaciones de teclado a una velocidad super humana y las soluciones tradicionales de seguridad en redes no pueden detectar esto. Esto requiere una sesión activa, aunque obviamente la computadora no necesita ser desatendida.

Los posibles efectos de este ataque son devastadores para ciberseguridad de una empresa. Por lo general, es trivial elevar los privilegios al administrador (ya que está emulando un usuario escribiendo), por lo que puede instalar cualquier tipo de malware que se desee, extraer scripts más grandes desde un servidor remoto, o peor explican consultor de seguridad en redes, Salvador Ruiz de iicybersecurity.

Usted puede protegerse contra USB Rubber Ducky usando Beamgun, una herramienta de ciberseguridad. Beamgun escucha tranquilamente el USB insertado. Se ejecuta como un proceso de fondo. Beamgun bloquea la inyección de golpe de la llave robando continuamente el enfoque y bloqueando la máquina. Todas las teclas de teclado se graban y se puede ver lo que el hacker estaba tratando de hacer según consultor de seguridad en redes.

Según expertos de ciberseguridad de Instituto internacional de seguridad cibernética, Beamgun se muestra en los procesos del sistema cada vez que ejecuta BeamgunApp.exe. Si lo instalas utilizando MSI installer, esto sucederá cada vez que inicie sesión. Puedes hacer clic en el icono correspondiente para ver el estado de la aplicación. Desde aquí, puedes desactivar Beamgun. Si estás a punto de insertar y quitar dispositivos USB con frecuencia, durante los próximos 30 minutos. También puedes hacer “Reset” Beamgun si has sido alertado y, finalmente, puedes forzar a Beamgun para salir haciendo clic en “Exit”.

También puedes configurar los ajustes de seguridad en redes para Beamgun utilizando las dos casillas de verificación. Cuando el beamgun detecta un dispositivo USB, sólo ejecutará las funciones que haya seleccionado. Si selecciona “Attempt to steal”, Beamgun intentará robar todas las teclas de teclado y robando continuamente el enfoque. Si marca “Lock workstation”, Beamgun le dirá a Windows que se bloquee, forzándolo a escribir su contraseña para continuar.

beamgun

CÓMO FUNCIONA

Según expertos de seguridad en redes y ciberseguridad, hay algunas llamadas importantes de la API de Win32 que nos permiten hacer lo siguiente:

  • Supervisar las inserciones de dispositivos de teclado para que podamos alertar,
  • Enganchar teclas para que podamos ver lo que el atacante intentó hacer,
  • Roba continuamente el enfoque al teclado para evitar que el atacante progrese y, finalmente,
  • Bloquea la estación de trabajo. Como otra opción (potencialmente más robusta), el usuario puede optar por bloquear la estación de trabajo cada vez que se produce una inserción USB.

CONSIDERACIONES ESPECIALES

Dado que el Rubber Ducky es un dispositivo de teclado, los expertos de seguridad en redes y ciberseguridad tuvieron que ser muy cuidadoso en la implementación de Beamgun para tratar de frustrar algunas contramedidas. El experto de seguridad en redes se aseguró de que algunos fans de Rubber Ducky se esforzarán para subvertir Beamgun, por estsos razones hay más seguridad:

  • Desactivación de ALT-F4
  • Usando botones personalizados que no responden a eventos del teclado
  • Robo de enfoque en un loop con un intervalo muy ajustado

 

RECUPERABIT – HERRAMIENTA FORENSE PARA LA RECONSTRUCCIÓN DEL SISTEMA DE ARCHIVOS

Posted on

RecuperaBit es un software de seguridad informática que intenta reconstruir las estructuras del sistema de archivos y recuperar archivos. Actualmente sólo soporta NTFS.

RecuperaBit intenta reconstruir la estructura de directorios independientemente de:

  • Tabla de particiones ausente
  • Límites de particiones desconocidos
  • Metadatos parcialmente sobrescritos
  • Formato rápido

recuperabit1-768x270

El argumento principal es el path para una imagen bitstream de un disco o partición. RecuperaBit determina automáticamente los sectores desde los que se inician las particiones explica Salvador Ruiz, experto de seguridad informática de iicybersecurity IICS.

  • RecuperaBit no modifica la imagen del disco, sin embargo, lee algunas partes de ella varias veces a través de la ejecución. También debería funcionar en dispositivos reales, como / dev / sda, pero esto no es recomendable por los expertos de seguridad informática.
  • Opcionalmente, se puede especificar un archivo guardado con -s. La primera vez, después del proceso de escaneado, los resultados se guardan en el archivo. Después de la primera ejecución, el archivo se lee para analizar únicamente sectores interesantes y acelerar la fase de carga.
  • La sobrescritura del archivo guardado se puede forzar con -w.
  • RecuperaBit incluye una pequeña línea de comandos que permite los consultores de seguridad informática recuperar archivos y exportar el contenido de una partición en formato CSV. Éstos se exportan en el directorio especificado por -o (o recuperabit_output).

PYPY

RecuperaBit se puede ejecutar con la implementación estándar de cPython, sin embargo la velocidad puede incrementarse al usarla con el intérprete Pypy y el compilador JIT según expertos de seguridad informática:

pypy main.py /path/to/disk.img

 

RECUPERACIÓN DEL CONTENIDO DEL ARCHIVO

Los archivos se pueden restaurar uno a la vez o recursivamente, comenzando desde un directorio. Una vez finalizado el proceso de análisis, puedes comprobar la lista de particiones que se pueden recuperarse mediante el siguiente comando en el indicador:

c0nalykw8aaubc6

Recoverable

Si desea recuperar archivos a partir de un directorio específico, puedes imprimir el tree en pantalla con el comando tree o puede exportar una lista de archivos CSV.

Acuerdo a expertos de seguridad informática, si prefieres extraer todos los archivos de los nodos Root y Lost Files, debes conocer el identificador del directorio raíz, dependiendo del tipo de sistema de archivos.

VOLATILITY BOT – UN ANALIZADOR DE MEMORIA AUTOMATIZADO PARA ANÁLISIS DE MALWARE Y MEMORIA

Posted on

votality-bot1

 

 

 

 

 

 

 

 

 

 

 

Parte del trabajo de los investigadores de seguridad informática que tienen que pasar dificultades cuando estudian nuevos programas maliciosos o desean analizar ejecutables sospechosos lo cual consiste en extraer el archivo binario y todas las diferentes inyecciones y cadenas descifradas durante la ejecución del malware. Volatility Bot fue creado por expertos de seguridad web para resolver estos tipos de problemas.

Según investigadores de seguridad informática, Volatility Bot es una herramienta de automatización para investigadores de seguridad web que corta todas las tareas de conjeturas y manuales de la fase de extracción binaria, también sirve para ayudar al investigador de seguridad web en los primeros pasos de realizar una investigación de análisis de memoria. No sólo extrae automáticamente el ejecutable (exe), sino que también busca todos los nuevos procesos creados en la memoria, inyecciones de código, cadenas, direcciones IP, etc.

En la nueva versión de Volatility Bot, una nueva característica es el análisis automatizado de vaciados de memoria, utilizando heurística y YARA / Clam AV Scanners. Según expertos de seguridad web, de de International Institute of Cyber Security IICS esta función es útil para el análisis de la memoria a escala. Por lo general, este proceso inicial se realiza manualmente, ya sea a través de una muestra de malware o un vaciado de memoria y puede ser largo y tedioso.

CARACTERÍSTICAS ACTUALES

  • Análisis automatizado de muestras de malware (Basado en diferencias entre la imagen de memoria limpia y la infectada)
    • Extracción del código inyectado
    • Descarga de nuevos procesos
    • Escaneo Yara, análisis estático, extracción de cadenas, etc. en todos los trabajaos.
  • Análisis heuristic automatizado de los vaciados de memoria que ayuda muchos los investigadores de seguridad informática.
    • Detectar anomalías usando heuristic y arrojar el código relevante
    • Análisis Yara, análisis estático, extracción de cadenas, etc. en todos los trabajos.

INSTALACIÓN

  1. Crear una nueva máquina virtual, con Windows XP hasta Windows 10 x64.
  2. Asegúrese de que la máquina tiene windows defender, programas de seguridad informática, seguridad web y FW deshabilitados, y tiene un IP estático
  3. Instalar python 3.5
  4. Crear c: \ temp carpeta, o cambie la carpeta de destino en config
  5. Copie el agente.py de Utils e inícielo
  6. Tome una instantánea de la VM
  7. Repita los pasos 1-6 para tantas máquinas virtuales como desee

volatility-bot

https://github.com/mkorman90/VolatilityBot

¿CUÁL SON LOS REQUISITOS Y TÉCNICAS DE DESTRUCCIÓN DE DOCUMENTOS Y PAPEL?

Posted on

Además de los impuestos, lo que une a cada negocio es que poseen información altamente sensible que no debe ser vista por personas no autorizadas. Mientras que algunos documentos pueden ser destruidos minutos después de la impresión, las regulaciones pueden requerir que otros sean archivados de algunos años a permanentemente. Pero entre estos dos extremos de la escala, su organización puede potencialmente tener un gran volumen de datos impresos ocupando el espacio como un pasivo, tanto desde una perspectiva legal como de seguridad de la información y destrucción de documentos.

Según expertos de destrucción de documentos de Dim Destrucción, dependiendo de cuánto tiempo ha estado en el negocio, el número de sitios físicos y el número de personas que emplea, es posible tener cientos de miles, sino millones, de páginas de copias impresas almacenadas en toda su empresa – gran parte de los cuales son datos confidenciales que pueden ser destruidos con ayuda de una empresa de destrucción de papel.

Las empresas deben tener la política de retención de registros y destrucción de documentos. Desde registros de marcas, registros de seguridad, hasta registros de jubilación, pensión y mucho más, hay mucho que necesita ser retenido. Pero una vez que el período de retención ha terminado, gran parte de esos documentos pueden ser destruidos mencionan expertos de destrucción de papel. A continuación se muestra una lista parcial de los tipos de información que absolutamente debe ser triturado cuando ya no se necesita.

 

 técnicas de destrucción de documentos y papel

También hay que tener en cuenta varios reglamentos. Por ejemplo, Sarbanes-Oxley se ocupa de la destrucción de documentos empresariales, registros y convierte la destrucción de papel en un proceso que debe ser cuidadosamente monitoreado. Si el proceso no se sigue, los ejecutivos pueden encontrarse bajo acusación. Haber documentado formalmente políticas de retención de datos es un requisito.

Además de las cuestiones reglamentarias y éticas en torno a mantener esas copias impresas seguras, la realidad es que muchos de sus competidores adorarían poner sus manos sobre los documentos que estás tirando mención expertos de destrucción de documentos de Dim Destrucción. E incluso si sus competidores no están indagando en tus contenedores, otros pueden hacerlo e intentar vender sus secretos a sus competidores.

Además, la recesión actual significa que las organizaciones pueden tener que lidiar con empleados descontentos y enojados, así como aquellos que piensan que su trabajo o empresa pronto será eliminado. Con eso, el riesgo de un mal uso de información sensible es aún mayor.

En pocas palabras, las prácticas eficaces de destrucción de documentos impiden que la información caiga en manos equivocadas. Quizás el ejemplo más omnipresente de esto son los recibos de la carga de la tarjeta de crédito, que se recuperan de los compartimientos de basura por los buceadores de contenedores, que con frecuencia lo hacen con la intención de utilizar la información para las órdenes en línea o por teléfono. Muchas empresas descartan tal información de pago sin controles efectivos de destrucción de papel. Si no se utilizan tales controles, la información desenterrada de la investigación posterior al fraude podría ser muy embarazosa para explicar a los clientes, y también podría convertirse en una pesadilla de relaciones públicas o un costoso problema legal.

¿CÓMO HACKEAR UNA MÁQUINA MAC DE APPLE CON EMPYRE?

Posted on Updated on

EmPyre es un framework de Post Exploitation construido con Python que ofrece a profesionales de ethical hacking y seguridad de la información lo que es la capacidad de acceder de forma remota a hosts OSX. Es fácil de usar, tiene explotaciones específicas de OSX y cargas ya incorporadas, y realmente hace un cambio refrescante de Metasploit. Visítelos en Github para leer los detalles sobre características y soporte de esta herramienta comúnmente usado por profesionales de de seguridad de la información.

INSTALACIÓN

Usted está usando OSX u otro distro, asegúrese de tener Git instalado antes de comenzar. Estamos usando un nuevo Kali.

INSTALAR EMPYRE

Primero, Git Clone

EmPyre

Ahora debe tener una carpeta llamada EmPyre, y deseará ejecutar install.sh para terminar la instalación.

EmPyre

EmPyre está instalado y listo para funcionar, ahora solo cambie el directorio en EmPyre y ejecute ./empyre para iniciar la interfaz.

EmPyre

Una vez hecho esto, EmPyre se cargará y verá el siguiente menú.

EmPyre

CREAR UN LISTENER

Según expertos de seguridad de la información y ethical hacking, antes de hacer algo, escriba el comando de help y echa un vistazo a las opciones que tiene, sugerimos pasar algún tiempo aprendiendo lo que puedes hacer con la herramienta. Por ahora, queremos iniciar un listener para que nuestras víctimas se conecten también.

Vaya a los listners y escriba las opciones para ver las opciones del listener actual. Este es tu equivalente de “show options” dentro de Metasploit.

EmPyre

Cuando pulses Intro, verás la configuración actual predeterminada para listener que se llamado test. Puedes ver la IP local y todas las otras opciones que están bien para esta guía, pero puede cambiar cualquier cosa que se adapte a tu objetivo explica experto de seguridad de la información y ethical hacking

EmPyre

Cambiar el host es útil si estás deseando NAT tu IP.

EmPyre

Una vez que estés satisfecho con tus opciones, sólo tienes que presionar ejecutar, seguido de tu nombre de listener que se puede ver en las opciones.

EmPyre

Eso es, estamos escuchando shells. Ahora, si estás ejecutando esto en un laboratorio, sólo asegúrete de que puede llegar a la máquina de destino y la red está totalmente bien. Si estás utilizando esto contra un host remoto fuera de su LAN, debes pasar a configurar NAT y cualquier regla que necesite para permitir que el tráfico entre.

CREAR EL DOCUMENTO MALICIOSO

Según expertos de seguridad de la información y ethical hacking, esto no es tan diferente de atacar a las máquinas de Windows, pero vas a tener una mano de ayuda adicional de EmPyre para hacer las cosas un poco más fáciles. Primero, necesitamos crear un office macro malicioso. Puedes regresar al menú principal ingresando “main” y luego entrar en “usestager”. Puede presionar la pestaña para listar todas las opciones disponibles pero usaremos una macro para este ataque.

EmPyre

Ahora, sólo necesitamos decirle al stager qué listener queremos que use, lo cual debería ser fácil, ya que solo tenemos 1 creado, y luego lo encerramos generando la macro.

EmPyre

Si todo va al plan, deberás ver la salida de la macro encendido a la pantalla.

EmPyre

Queremos copiar esta salida en un documento y entrar en una macro. Abra Excel o Word y guarda el documento como un documento habilitado para macros.

EmPyre

Una vez que lo hayas guardado, diríjete a las tools y crea un nuevo macro, asígnale el nombre y luego pegua el código de tu host EmPyre en el Macro. Debe tener un aspecto como este.

EmPyre

Guarda el documento y deja que comience el ataque. La próxima vez que abras este documento, se le pedirá que actives los macros que, por supuesto, lo haremos.

EmPyre

EmPyre

Vas a querer comenzar a interactuar con tu máquina Mac recién infectada. EmPyre los llama agentes, así que simplemente ingrese el comando agents.

EmPyre

Observe la cadena que comienza UKFOM… Este es el identificador único que EmPyre ha dado al host.

EmPyre

A partir de aquí, puedes empezar a lanzar código de shell alrededor como una especie de maníaco. Prueba algunos de los módulos incorporados, hay toneladas de ellos y algunos de ellos son bastante útiles acuerdo a expertos de seguridad de la información y ethical hacking.

EmPyre

Por supuesto, como cualquier otra pantalla, puedes emitir el comando de ayuda y ver todas las otras opciones que tienes.

EmPyre