seguridad informatica

VOLATILITY BOT – UN ANALIZADOR DE MEMORIA AUTOMATIZADO PARA ANÁLISIS DE MALWARE Y MEMORIA

Posted on

votality-bot1

 

 

 

 

 

 

 

 

 

 

 

Parte del trabajo de los investigadores de seguridad informática que tienen que pasar dificultades cuando estudian nuevos programas maliciosos o desean analizar ejecutables sospechosos lo cual consiste en extraer el archivo binario y todas las diferentes inyecciones y cadenas descifradas durante la ejecución del malware. Volatility Bot fue creado por expertos de seguridad web para resolver estos tipos de problemas.

Según investigadores de seguridad informática, Volatility Bot es una herramienta de automatización para investigadores de seguridad web que corta todas las tareas de conjeturas y manuales de la fase de extracción binaria, también sirve para ayudar al investigador de seguridad web en los primeros pasos de realizar una investigación de análisis de memoria. No sólo extrae automáticamente el ejecutable (exe), sino que también busca todos los nuevos procesos creados en la memoria, inyecciones de código, cadenas, direcciones IP, etc.

En la nueva versión de Volatility Bot, una nueva característica es el análisis automatizado de vaciados de memoria, utilizando heurística y YARA / Clam AV Scanners. Según expertos de seguridad web, de de International Institute of Cyber Security IICS esta función es útil para el análisis de la memoria a escala. Por lo general, este proceso inicial se realiza manualmente, ya sea a través de una muestra de malware o un vaciado de memoria y puede ser largo y tedioso.

CARACTERÍSTICAS ACTUALES

  • Análisis automatizado de muestras de malware (Basado en diferencias entre la imagen de memoria limpia y la infectada)
    • Extracción del código inyectado
    • Descarga de nuevos procesos
    • Escaneo Yara, análisis estático, extracción de cadenas, etc. en todos los trabajaos.
  • Análisis heuristic automatizado de los vaciados de memoria que ayuda muchos los investigadores de seguridad informática.
    • Detectar anomalías usando heuristic y arrojar el código relevante
    • Análisis Yara, análisis estático, extracción de cadenas, etc. en todos los trabajos.

INSTALACIÓN

  1. Crear una nueva máquina virtual, con Windows XP hasta Windows 10 x64.
  2. Asegúrese de que la máquina tiene windows defender, programas de seguridad informática, seguridad web y FW deshabilitados, y tiene un IP estático
  3. Instalar python 3.5
  4. Crear c: \ temp carpeta, o cambie la carpeta de destino en config
  5. Copie el agente.py de Utils e inícielo
  6. Tome una instantánea de la VM
  7. Repita los pasos 1-6 para tantas máquinas virtuales como desee

volatility-bot

https://github.com/mkorman90/VolatilityBot

¿CÓMO HACER UN ATAQUE PASTEJACKING Y TOMAR EL CONTROL DE LA MÁQUINA DE VÍCTIMA?

Posted on

pastejacking

Ha sido posible por un largo tiempo para que los desarrolladores usar CSS para añadir contenido malicioso en el portapapeles sin conocimiento del usuario y por lo tanto engañarlos para que ejecute comandos de terminales no deseados. Este tipo de ataque se conoce como clipboard hijacking. Un investigador de seguridad de página web, publicó una nueva versión de este ataque, que sólo utiliza JavaScript como medio de ataque, no CSS. JavaScript hace que este ataque más difícil de detectar y más difícil de detener.

JavaScript es mucho más potente y versátil en comparación con CSS, y se nota inmediatamente explica profesor de curso de seguridad informática. Mientras que en el CSS exploit el usuario tenía que copiar y pegar todo el texto malicioso, con JavaScript cosas son mucho más complicadas.

Los usuarios ni siquiera tienen que seleccionar todo el texto malicioso. Un carácter es suficiente. En teoría, un atacante podría añadir su código malicioso Pastejacking JavaScript para toda la página, y cuando tú pegas cualquier cosa dentro de la consola, ellos podrían ejecutar comandos a escondidas a tus espaldas explica profesor de curso de seguridad informática. El atacante puede ejecutar su código malicioso, limpiar la consola, y luego añadir el código del usuario copiado, haciéndoles creer que no pasó nada.

Según investigador de seguridad de página web, el ataque puede ser mortal si se combina con las páginas de soporte técnico o correos electrónicos de phishing. Los usuarios pueden pensar que están copiando el texto inocente en su consola, pero de hecho, se están ejecutando código malicioso. Debido a que los comandos de terminal se ejecutan automáticamente, el usuario ni siquiera tiene presionar la tecla Enter para ejecutar el código malicioso, CTRL + V es suficiente.

Por ejemplo, alguien en busca de consejos sobre los comandos de cmd.exe podría copiar y pegar el código que encontró en línea en los artículos de tutoriales, pero la persona maliciosa detrás de ese sitio en particular se podría anexar decenas de líneas de código malicioso que se descargan malwares desde una fuente y se instalan en línea en su ordenador. Todo esto puede suceder en silencio, sin que el usuario se percate de nada.

Acuerdo con el ternario del curso de seguridad informática ataques similares han sido posibles a través de HTML / CSS. Lo que es diferente al respecto es que el texto puede ser copiado después de un evento, se puede copiar en un contador de tiempo corto después de un evento, y es más fácil de copiar en caracteres hexadecimales en el portapapeles, cual puede ser utilizado para explotar VIM, como se mostrara a continuación.

DEMOSTRACIÓN

He aquí una demostración de un sitio web que atrae a un usuario para copiar un comando de aspecto inocente. El sitio es de demostración credo por investigador de seguridad de página web.

https://security.love/Pastejacking

Si un usuario intenta copiar el texto con atajos de teclado, es decir, Ctrl + C o command+C, un temporizador de 800 ms se establece que sustituye directamente el valor del portapapeles del usuario con código malicioso.

echo “not evil” Se reemplazará con echo “evil”\n

Tenga en cuenta el carácter de nueva línea se añade al final de la línea. Cuando un usuario va a pegar el comando de eco en su terminal, “evil” se aparecera  automáticamente en la pantalla sin dar al usuario la oportunidad de revisar el comando antes de ejecutar. Payloads más sofisticadas que se esconden también se pueden utilizar.

touch ~/.evilclearecho “not evil”

Este comando creará un archivo “evil” en su directorio personal y limpiara  la terminal de salida. La víctima parece tener el comando que pretendía copiar en el terminal.

IMPACTO

Este método se puede combinar con un ataque de phishing para atraer a los usuarios a ejecutar comandos aparentemente inocentes explica investigador de seguridad de página web. El código malicioso se anulará el código inocente, y el atacante puede obtener la ejecución remota de código en la máquina del usuario si el usuario pega el contenido en el terminal.

¿CÓMO PROTEGERTE A TI MISMO?

Esto no es tan sencillo. Una solución recomendada por curso de seguridad informática es, verificar el contenido del portapapeles antes de pegarlo en una terminal, pero tenga cuidado de donde se verifican estos comandos. Por ejemplo si se pegan en vim, macros vim se puede utilizar de aprovecharte. Un ejemplo de esto se puede ver en esta demostración más abajo.

copyTextToClipboard(‘echo “evil”\n \x1b:!cat /etc/passwd\n’);

Una solución en todo esto puede observarse a continuación

Dentro de vim para pegar portapapeles sin interpretar como un comando vim

Si está ejecutando iTerm, estaría advertido si el comando termina con un salto de línea como se ve aquí:

pastejacking

Por supuesto, no hace falta decir, tomar nota de la fuente que se está pegando a partir, y tener precaución adicional si se va a pegar de fuentes cuestionables.

 

Aprender nuevo lenguaje de seguridad informática: HAKA

Posted on

Haka es un lenguaje de seguridad orientado a código abierto que permite especificar y aplicar las políticas de seguridad Informática en el tráfico capturado en vivo. HAKA se basa en Lua y es un lenguaje sencillo, ligero y rápido. El alcance de Haka es doble explican consultores de empresa de seguridad informática y hacking ético. En primer lugar, permite la especificación de las normas de seguridad para filtrar flujos no deseados y reportar actividades maliciosas. Haka proporciona un API simple para la manipulación del tráfico corriente. Uno puede descartar paquetes o crear otros nuevos e inyectarlos. Haka también apoya la modificación de paquetes en la marcha. Esta es una de las principales características de Haka desde todas las tareas complejas tales como el cambio de tamaño de paquetes, ajuste correctamente de los números de secuencia. Esto se hace en vivo sin la necesidad de un proxy y se realiza todo de forma transparente para el usuario.

En segundo lugar, Haka permite la especificación de protocolos y estado subyacente de todo. Haka es compatible con ambos tipos de protocolos: protocolos basados en binario (por ejemplo, DNS) y protocolos basados en texto (por ejemplo, http). La especificación cubre los protocolos basados en paquetes, tales como IP, así como los protocolos basados en secuencias como http.

 Según consultores de empresa de seguridad informática y hacking ético, HAKA se encaja en un marco modular. Incluye varios módulos de captura de paquetes (pcap, nfqueue) que permiten a los usuarios finales a aplicar su política de seguridad informática en el tráfico capturado vivo. El marco proporciona el registro (syslog) y alerta de módulos (Syslog, Elasticsearch). Por último, el marco tiene módulos auxiliares, tales como un motor de búsqueda de patrones y un módulo de desensamblador de instrucciones. Estos módulos permiten escribir las reglas de seguridad informática de grano fino para detectar malware ofuscado. Haka fue diseñado de manera modular, permitiendo a los usuarios a ampliarlo con módulos adicionales.

Haka proporciona una colección de cuatro herramientas importantes para consultores de empresa de seguridad informática y hacking ético:

haka

 haka. Es el programa principal de la colección. Está diseñado para ser utilizado como un daemon para controlar los paquetes en el fondo. Los paquetes son disecados y filtrados de acuerdo con el archivo de políticas de seguridad especificadas. Haka toma como entrada un archivo de configuración. Este archivo script se carga disectores de protocolo típicamente incorporados o definidos por el usuario y define un conjunto de reglas de seguridad.

hakactl. Esta herramienta permite controlar daemon. Uno puede obtener estadísticas en tiempo real en los paquetes capturados, inspeccionar los registros o simplemente apagar/reiniciar el daemon.

hakapcap. Esta herramienta permite reproducir un archivo de política en una captura de paquetes utilizando el módulo pcap. Por ejemplo, esto es útil para realizar análisis forense y hacking ético de la red.

hakabana. Esta herramienta permite la visualización y monitoreo de tráfico de red en tiempo real utilizando Kibana y Elasticsearch según expertos de empresa de seguridad informática. Hakabana consiste en un conjunto de reglas de seguridad que lleva información sobre el tráfico que pasa a través de Haka en un servidor de elastisserach y muestra a través de una consola Kibana. Un panel adicional también está disponible para visualizar alertas de Haka.

Vamos a cubrir eso en próximo artículo más sobre Haka con ayuda de unos expertos de hacking ético

Metodologías de ofuscación de código de malware para evasión de antivirus

Posted on

Acuerdo con profesionales de seguridad informática, las dos razones principales de la utilización de la ofuscación del código en malware son:

  1. Para disuadir la ingeniería inversa estática de malware. Se hace más difícil a enfocar las secciones de código más importante.
  2. Para que las firmas estáticas utilizadas por los vendedores de AV no puedan detectar malware, ya que las firmas se basan en secuencias de bytes específicas en el binario.

Vamos a entender con ayuda de expertos de formación y servicios de hacking ético de IICS las metodologías que usan programadores de malware. Abajo hay diferente metodologías usadas por los programadores de malware para hacer ofuscación de control de flujo en malware.

Metodologías de ofuscación de código de malware para evasión de antivirus

Ofuscación por funciones de callback definida por la aplicación

Hay ciertas APIs proporcionadas por Microsoft, lo que nos permite registrar una función de callback. Estos pueden ser utilizados por malware para ocultar la lógica principal de su código. Pueden pasar un puntero a la subrutina malicioso como el parámetro de callback para la API. Cuando se crea window usando CreateWindowA (), el procedimiento de window se invoca con ciertos mensajes por defecto como WM_CREATE, WM_NCCREATE y así sucesivamente. Sin embargo, se ejecutará el código del virus principal solamente cuando se recibe un mensaje de window en particular explico Bill Smith experto de seguridad en la nube que maneja equipo de análisis de malware de la nube.

Ejecución a través de manejo de excepciones

Malware también podría redirigir la ejecución de la subrutina malicioso mediante la activación de una excepción. Para ello, primero se registran un manejador de excepciones utilizando RtlAddVectoredExceptionHandler () o mediante el registro de un nuevo manejador de excepciones estructurado.

Expertos de empresa de seguridad informática explican que la excepción se puede invocar utilizando cualquiera de los siguientes:

  1. Activación de una violación de acceso a memoria, tratando de escribir en una dirección de memoria a la que no hay acceso de escritura o intentando llamar a una dirección de memoria no válida.
  2. Ejecución de una instrucción privilegiada como STI o CLI, que daría lugar a una excepción privilegiada en modo protegido.
  3. Realización de una división por cero para activar la excepción.

Controlar debugger

Según expertos de hacking ético, hay ciertas instrucciones especiales o secuencia de instrucciones que cuando se ejecuta en el debugger cambian el comportamiento predeterminado del debugger. Eso ayuda en ofuscación de control de flujo del código en debugger y hace más difícil entender el código.

NT 2D tiene un comportamiento especial en Olly debugger. Olly se saltará el siguiente byte en la ejecución como resultado de los cuales se ofusca el flujo de control. Esta técnica se refiere a menudo como byte scission. También tiene un comportamiento dinámico en diferentes entornos.

Overwrite RETN: Este es un comportamiento especial observado en Olly debugger. Si sobre escribimos la instrucción RETN con el código de operación, 0xC3 (que es el código de operación de RETN) justo antes de ejecutar RETN, debugger no se detiene en la dirección RETN sino que se ejecuta el código dentro del debugger.

Instrucciones chatarras

Hay varios motores polimórficos que son utilizados por los autores de malware para generar versiones modificadas de su binario que realizan las mismas actividades en la máquina, sin embargo se modifica su código explica Bill Smith experto de servicios de seguridad en la nube. Esto se utiliza a menudo para evitar firmas estáticas escritas por detectar malware por proveedores de seguridad. Una de las características importantes de un motor polimórfico es el generador de instrucciones chatarras. Instrucciones chatarras son secuencia de instrucciones que no afectan a la lógica general del código de ninguna manera, pero se colocan para disuadir la ingeniería inversa. Entre cada instrucción útil, se colocan varios bytes chatarras. Las principales razones para la inyección de instrucciones chatarras en la sección de código son:

  1. Estos bytes chatarras podrían corresponder las instrucciones que no alteran la lógica general del código. Aumentan el tamaño de la sección de código y disuadir la ingeniería inversa, ya pesar de que estas instrucciones parecen ser legítimas y no tienen ningún impacto en el comportamiento principal del virus.
  2. Instrucciones chatarras inyectados en el área de instrucciones corresponden a las instrucciones parciales. Esto se hace para confundir a los desensambladores que se basan en algoritmos como Linear Sweep y Recursive Traversals.
  3. El código puede ser ofuscado aún más mediante el uso de predicados opacos que se pueden combinar con las API de Windows que siempre va a devolver un valor fijo.

Hay algunas tecinas más de ofuscación de código usado por los hackers menciona Bill Smith y alguien con experiencia en seguridad informática o seguridad en la nube puede entender fácilmente y vamos a cubrir eso en próximo artículo.

¿Cómo usar Cycript para romper apps de iOS?

Posted on

Acuerdo con los profesionales de empresa de seguridad informática, Cycript permite a los desarrolladores para explorar y modificar aplicaciones que se ejecutan en iOS o Mac OS X utilizando un híbrido de Objective-C ++ y la sintaxis de JavaScript a través de una consola interactiva que cuenta con resaltado de sintaxis. Escrito por Jay Freeman (Saurik) de Cydia, lo que hace es darnos una manera interactiva e inmediata para modificar los procesos que se ejecutan en iOS índico experto de seguridad en la nube.

Si hacemos SSH en un dispositivo iOS con cycript instalado, podemos ejecutarlo directamente desde el dispositivo. Esto inmediatamente nos da acceso a un entorno REPL configurado y estamos listos para jugar señaló Mike Stevens maestro de formación de hacking ético de la organización International Institute of Cyber Security. Es en este punto también podemos decidir cuál es el proceso para inyectar nuestras modificaciones en.

Usted puede inyectar en el proceso de Springboard. El Springboard ayuda a controlar todo, desde la pantalla de bloqueo para la aplicación de conmutación. Antes de usar Cycript y cambiar algo, tenemos que saber lo que queremos cambiar, su nombre y dónde se encuentra menciono experto de sistemas de seguridad en la nube icloud.

¿Cómo usar Cycript para romper apps de iOS?

Hay varias maneras de encontrar algo que queremos cambiar usando cycript. Una forma es utilizar los header dumps que he mencionado antes de interactuar con las clases, métodos y variables directamente escribiendo sus nombres menciono el experto de empresa de seguridad informática . Otro método – útil si se está modificando una aplicación en lugar de Springboard – es llamar UIApp.keyWindow.recursiveDescription que imprimirá una descripción jerárquica de la configuración de la pantalla en este momento. Usted puede trabajar hacia atrás desde la parte inferior de esta descripción para encontrar finalmente la clase que usted desea cambiar.

El método que utilizaremos es función integrada en cycript llamada choose. La función de choose busca en la memoria de proceso inyectado para cualquier clase que busca, y agarra todo como una matriz. Por ejemplo podemos pedir todas las instancias de la clase UILabel, suponiendo que nuestro mensaje No hay Notificaciones será un UILabel. Según Jim Taylor experto de seguridad en la nube que debido a la gran cantidad de UILabel en la memoria, puede fácilmente instalarlo de modo que cycript muestra sólo el texto de las etiquetas. Afortunadamente, debido a la naturaleza de la escritura y de cycript, podemos hacer esto en una sola línea.

[choose(UILabel)[i].text for(i in choose(UILabel))]

for(i in choose(UILabel)) if (choose(UILabel)[i].text == “No Notifications”) nnLabel = choose(UILabel)[i];

En el fragmento anterior, hemos guardado el UILabel que es texto coincidente ” No Notifications ” como nnLabel. Ahora podemos interactuar con la etiqueta tanto como nosotros queremos, e incluso llamar a todos los métodos habituales se pueden usar en un UILabel.

Por desgracia, este pequeño cambio de piratería de memoria no es permanente, cerrar y volver a abrir el centro de notificación provocará código original de Apple para volver a ejecutar y arruinar todo nuestro duro trabajo. Hacer lo permanente el trabajo será el tema que pueden aprender durante de formación de hacking ético, que describe cómo se puede enganchar en el código de Apple mediante programación para cambiar lo que realmente se ejecute, en lugar de cambios temporales.

Asegurar red de la casa

Posted on

El número problema de seguridad en redes cuando se trata de clientes de Windows es la mala aplicación de los servicios básicos de Seguridad Informatica y características – o falta de ella. Por ejemplo, el sistema puede obtener un virus (u otro tipo de malware) que hace que la red a fallar … o, congestiona los recursos del sistema con tanta intensidad que ni siquiera se puede navegar por una página Web. Es un hecho que la mayoría de las intrusiones más de la red provienen de dentro de la red, o muy fácilmente a través de conexiones inalámbricas según experto de Seguridad de la Nube.

Esto se ve más con oficinas en casa y pequeñas empresas que no pueden pagar (o están a ajeno) soluciones de Seguridad Informatica empresarial que se utilizan para controlar, monitorear y bloquear el uso inalámbrico. Eso no quiere decir que el PC de casa, o el router no es posible “asegurar”. Los beneficios que obtiene de la mayoría del hardware y software que se vende hoy en día es que casi todo lo que obtiene ahora viene con algún tipo de características de seguridad.

Seguridad de la Nube

La aplicación de la seguridad en redes inalámbrica no es simple – las tecnologías más antiguas, como las claves WEP son fácilmente agrietados con fácil encontrar herramientas de hacking fácilmente disponibles para su descarga a través de Internet.

Otras formas de asegurar una red inalámbrica (aparte de WEP) es el uso de direcciones MAC de los clientes en su oficina que se encuentran en una lista el punto de acceso mantiene de manera que sólo aquellos usuarios tienen acceso según experto de Seguridad de la Nube.

Ya sea utilizando el Firewall de Windows, o alguna otra oferta de software de terceros, siempre se debe considerar el uso de una como la forma más básica de protección de seguridad en redes. Detectores de intrusos basados en red ayudan datos de tendencias y bloquear todo lo que parece ‘sospechoso’. Defensa en profundidad debe ser considerada y este concepto es fácil de entender. Cuando se aplican varias formas de protección, que está solicitando la defensa en profundidad de Seguridad Informatica.

El objetivo general consiste en ser capaz de solucionar problemas de Seguridad de la Nube su camino a través de estos temas y encontrar la causa “raíz” del problema – de esta manera se puede resolver el problema exacto y no sólo tratar de “cualquier cosa” para encontrar el problema. Publicado por Webimprints.

TSA’s scanning machines airport security :hackable

Posted on

The  TSA had a budget of $7.39 billion in 2014, and it employs more than 50,000 people at 400 airports through the country. They screen 2 million people a day. About $250 million a year is spent on security equipment. The first response Rios received from the TSA was “our software cannot be hacked or fooled.”

Rios said he does not know if the TSA has patched the security issues already.

Backdoors are secret ways to access software in a device. They are often malicious accounts added by a third party. Rios hasn’t seen those in his research of TSA equipment. But he has seen debugging accounts that some people forget to remove, and he has often seen technician accounts that are often hard-coded into software.

The problem is the backdoors can be discovered by external parties, like Rios. They often can’t be changed by the end user, and once the passwords are broken, they often work on every machine.

With Rapiscan, once Rios gained access to the password, he was able to look up the passwords of other users. TSA canceled the security contract with Rapiscan in 2013.

The Kronos device ran Java code and it actually had a password for a super user. Rios figured out that a particular machine was being used at San Francisco International Airport at one point. The device was subsequently taken offline.

Rios said the responsibility for fixing security lies with TSA, as vendors will build their machines to meet its specifications.

Rios said he hopes that someone verifies that TSA’s security is good, and that all makers of embedded devices take note of the vulnerabilities.

 

source:http://venturebeat.com/2014/08/06/oh-great-its-not-that-hard-to-hack-tsas-airport-security-scanning-machines/

images

seguridad informatica