Author Archive Drok3r

ByDrok3r

Panopticlick 3.0 | Cuánta privacidad proporciona tu navegador web

Panopticlick es una herramienta online desarrollada por la Fundación Frontera Electrónica. Esta herramienta comprueba ciertas funciones del navegador web, con el fin de poder determinar qué tan “grave” se encuentra la situación de nuestro rastro al navegar por Internet.

Panopticlick determina que datos se encuentran en nuestra huella digital y que tanta privacidad nos otorga nuestro navegador web, la información que recopila Panopticlick para determinar esto es:

  • Coockies
  • Idioma preferido
  • Zona horaria del pc
  • Tipografias
  • Tamaño de pantalla
  • Tipo y version del navegador
  • Sistema Operativo
  • Plugins
  • Canvas de HTML5
  • Datos de WebGL
  • Cabezera Do Not Track

Posterior a esta información y a su análisis Panopticlick muestra cuatro resultados los cuales indican si el navegador proporciona privacidad, bloqueando código de rastreo.

Existe una herramienta similar llamada Browserleaks, donde puedes encontrar información más detallada o especifica. Puedes leer sobre el en: BrowserLeaks | Seguridad del navegador web

ByDrok3r

Todos los Ransomware para descargar…

Lista de descarga de todas las variantes de RANSOMWARE

 

En el siguiente link, de GoogleDrive, podrán encontrar encontrar un archivo, con las muestras de Ransomware, para descargar, acompañadas de su información respectiva.

 

La informacion que pueden enontrar de cada Ransomware es:

  • Nombre
  • Extensión
  • Patrón de extensión
  • Nombres de archivos, de nota de rescate
  • Algoritmo de cifrado
  • Descifrador
  • Capturas de pantalla

En la parte superior, tendremos mas secciones, como lo son:

  • No identificado
  • Deteccion
  • Prevencion
  • Infografia
  • Descarga
  • Fuentes y Contribuyentes

Este archivo se actualiza cada 5 minutos, por lo cual estaremos al tanto de cada ransomware.

 

Link: [ RANSOMWARE ]

Te recomiendo leer: [ Verifica si tu sistema es vulnerable al exploit (EternalBlue) del Ransomware WannaCry ]

Te recomiendo leer: [ El ransomware Koolova descifra gratis los ficheros a cambio de leer artículos ]

Te recomiendo leer: [ Google Dorks SQL Injection & XSS Payload | Encontrar vulnerabilidades en aplicaciones web ]

ByDrok3r

Google Dorks SQL Injection & XSS Payload | Encontrar vulnerabilidades en aplicaciones web

En este post, les comparto una recopilación de más de 100 dorks, para encontrar paginas vulnerables ya sea a SQL INJECTION ó XSS. En cuanto a dar con las vulnerabilidades XSS de igual manera comparto, una lista, la cual es un recopilatorio de más de 100 payloads, que podemos utilizar para dar con sitios vulnerables a XSS.

Google Dorks – SQL INJECTION

Puedes utilizar los GoogleDorks con el fin de encontrar paginas vulnerables a SQL INJECTION.
Descargar archivo .txt: [ SQL INJECTION – GoogleDorks.txt ]
Te recomiendo leer: [ Google Hacking ]

XSS Payloads

Esta lista de payloads, nos puede ayudar a encontrar paginas vulnerables a XSS, donde podremos hacer mas que un simple alert, en JavaScript. Podemos usar herramientas de fuerza fruta, que nos ayuden a encontrar dicha vulnerabilidad en una pagina web.
Puedes usar la herramienta BruteXSS, la cual te permite encontrar vulnerabilidades XSS por medio de fuerza bruta a una aplicacion web.

Sitio web con una vulnerabilidad de XSS almacenada

PasteBin: [ XSS Payloads ]
Descargar archivo .txt: [ Cross Site Scripting_Payloads.txt ]
Te recomiendo leer: [ Cross Site Scripting – (XSS) ]
Te recomiendo leer: [ BURLAR FILTROS | XSS ]
Descarga BruteXSS: [ BruteXSS ]
ByDrok3r

VPN | 0 anonimato

VPN | 0 anonimato

 

Recientemente se publico una noticia, en donde el FBI logro detener a un a un supuesto acosador cibernetico, gracias al proveedor del VPN al que este acosador se conectaba, pues esta empresa aseguraba que no registraba ningún tipo de dato, es decir 0 logs.

Este es un buen ejemplo del porque no debemos de confiar en prácticamente ningún proveedor de VPN si buscamos el anonimato, pues estos si nos pueden garantizar la seguridad y privacidad de nuestra conexión.

Como se ha hecho mención, es bueno detener a los cibercriminales, o a los acosadores que ahora utilizan medios ciberneticos, pero la cuestión en este punto es, saber que tanto podemos confiar en las empresas proveedoras de VPN.

Dentro de las políticas de privacidad de la empresa que ayudo al FBI para detener al acosador esta escrito: “Nosotros no vigilamos la actividad del usuario y no mantenemos ningún registro”, una muy buena mentira que nos ponen a dudar de la credibilidad de mas de un solo proveedor de VPN.

Pero no deben de confundir las cosas, una cosa es que garanticen nuestra protección al momento de navegar, en Internet o al conectarnos en redes desconocidas, mas no nos protegerá si realizamos un cibercrimen.

En el caso de “hackers” quienes realizan pruebas de penetración a sistemas ajenos o aplicaciones web, sin permiso del dueño y que a su vez estos logran comprometer dicho sistema, incluso una base de datos, están cometiendo un cibercrimen. En YouTube, se ven muchos usuarios quienes realizan ejemplos de explotación de vulnerabilidades, como SQL Inyection, incluso muestran el contenido de la base de datos.

Y según ellos para mentarse “anónimos”, utilizan servicios VPN, uno de los mas vistos es CiberGhostVPN, y lo utilizan bajo esta promesa mal comprendida.

Esta descripción se encuentra en la pagina oficial de CiberGhostVPN y hasta cierto punto es real, mantendrá nuestra IP real oculta, de terceros, algo que los usuarios puedes usar para cometer practicas de hacking.

Continuando con el ejemplo de explotación de una vulnerabilidad SQL Injection, tenemos la siguiente información real de una pagina web,

La base de datos esta protegida por las leyes, si esta es comprometida aprovechando la vulnerabilidad comentemos un cibercrimen, ahora que pasaría si se realizan analices forenses e investigaciones.

El usuario creería estar a salvo ya que utilizo un VPN, pero al revisar las políticas de privacidad de CiberGhostVPN tenemos lo siguiente:

Claramente vemos en la política de privacidad la siguiente linea de texto, “CiberGhost únicamente reenvía datos para cumplir con las leyes aplicables para cumplir con las leyes aplicables y órdenes judiciales”, en pocas palabras CiberGhostVPN si registra cierta información y de ser necesario la compartirá con las autoridades correspondientes. Si estamos bajo investigación por comprometer la base de datos, CiberGhost no dudara en ningún momento, de compartir nuestra información.

Otro ejemplo que tendríamos es OPENVPN.

 

A final de cuentas recomiendo, leer las políticas de privacidad y uso de los distintos servicios, que utilizamos para mantenernos “anónimos” y realizar ciertas actividades, pues las empresas proveedoras de servicios de VPN no protegerán a usuarios quienes comentan delitos informáticos.

Te recomiendo leer el la nota completa de esta noticia:

El FBI ARRESTA A UN CYBERSTALKER

 

ByDrok3r

CROSS SITE SCRIPTING (XSS) – PRUEBAS DE VULNERABILIDAD

XSS

 

Antes de comenzar a leer este post te recomiendo leer: Cross Site Scripting – Introducción

 

Una vez localizada la sección en la página web la cual pueda recibir texto por parte del usuario y que este lo pueda mostrar como resultado, pasaremos a realizar pruebas para de esta manera determinar si esta sección es vulnerable al XSS.

Este sitio web es completamente vulnerable a multitud de ataques web, el cual usaremos para explicar esta sección. También usaremos el Mantra de OWASP.

En el caso de este sitio encontramos el apartado para hacer búsquedas. Como podemos ver de resultado nos devuelve nuestra entrada y aparte nos la muestra en la url “search.aspx?txtSearch=drok3r” en esta sección es donde comprobaremos si la pagina es vulnerable a XSS

Para esto ingresamos el siguiente código:

<script>alert("Hacked!!!")</script>

Este código lo que hace es mostrar una alerta en la página web la cual contenga el texto dentro de las casillas. Algunos pentesters o atacantes suelen llamarlos “payload”

Como podemos ver, la pagina es vulnerable a XSS

Sin embargo el código anterior puede que no funcione en la mayoría de los casos debido a ciertos filtros de seguridad Anti-XSS los cuales rechazan o imposibilitan el uso de ciertos caracteres o de palabras en concreto. La mayoría de estos filtros, bloquean caracteres como <>, “”, (), ; , /.

Por otro lado algunos bloquean las etiquetas de forma completa <script> esto dificulta en gran medida verificar si la pagina es vulnerable a XSS por lo que pasaríamos a comprometer su seguridad y brincarnos su filtro Anti XSS.

QUE SE PUEDE HACER AL DETECTAR UNA VULNERABILIDAD XSS

Como siempre se ha dicho, las posibilidades dependerán de la imaginación del atacante, en el post anterior se hizo mención de que es lo se podría realizar con un ataque de XSS de una manera muy general. Sin embargo lo que se puede hacer es:

  • Infectar el navegador de un usuario
  • Phishing
  • Realizar X acción en la página web
  • Modificar o crear perfiles en la aplicación web ya sean de usuarios comunes o administradores
  • Defacement
  • Ataques DDoS
  • Utilización de Gusano XSS

Sin embargo las posibilidades dependerán en su gran mayoría dependerán de las funciones que ofrezca el sitio vulnerable.

MÉTODOS PARA EXPLOTAR XSS

Existen distintos métodos o tecnias para explotar un XSS, su nombre dependerá de las zonas de código de la aplicación web donde quedara nuestro código JavaScript malicioso.

1.- El código se copia entre dos etiquetas HTML.

Este es el método mas snecillo, pues solo debemos de inyectar el código.

[PAYLOAD]: <script>alert(“HACKED”)</script>

2.- Código dentro de una etiqueta “value” de una etiqueta <input>

Este es el ejemplo mencionado con anterioridad, en donde la inyección se realiza en el buscador de la aplicación web

 [PAYLOAD]: /><script>alert(‘hacked’)</script>

HTML: <input type=”text” name=”search” value=”[PAYLOAD]”

<input type=”text” name=”search” value=”/>

<script>alert(‘hacked’)</script>

Como podemos ver, nuestro payload quedo dentro de “” por lo que esto nos puede generar ciertos problemas, por lo cual podemos cerrar la etiqueta anteponiendo “/> o remplazando las comillas dobles de nuestro payload por unas comillas simples: <script>alert(‘hacked’)</script>

Recomiendo probar ambas.

Por lo cual nos quedaría como resultado:

<input type=”text” name=”search” value=””/>
<script>alert(“hacked”)</script>;<div class=””>

3.- Código dentro de un comentario en HTML

En este caso, buscamos mensajes de depuracion en el codigo HTML, algunas desarroladores tienen la mala costumbre de dejar algo como esto:

<!-- Se realizo la busqueda "[search]" -->

[search] es la cadena de texto buscada, en donde podemos introducir nuestro codigo malicioso, en donde deberemos de cerrar los caracteres del comentario, nos quedaria algo como lo siguiente:

--><script>alert("hacked")</script><!--

El resultado final seria:

<!-- Se realizo la busqueda "--><script>alert("hacked")</script><!---" --->

4.- Código dentro de código

Algo muy comun cuando las paginas utilizan las entradas de los usuarios para generar algun tipo de evento, por medio de JavaScript o el simple hecho de almacenar la informacion. algo como:

<script>var search="[busqueda]"</script>

 

En este ejemplo no es necesario incluir las etiquetas <script>, pues podemos directamente poner el codigo. No poner las etiquetas nos puede ayudar a evadir los filtros Anti-XSS.

";alert"("Hacked")//

Las diagonales al final nos ayudan a comentar el resto de la linea del JavaScript original para que este no interfiera con el codigo.

Resultado final

<script> var search="[busqueda]"="";alert("Hacked");//";</script>

 

 

EXTRA

También podemos realizar pruebas de inyección de código HTML, de igual manera que en el XSS solo que en lugar de mandar condigo en JavaScript mándalos código en HTML. Por ejemplo si nuestra aplicación web a auditar nos permite realizar búsquedas dentro de ella misma, si en el resultado incluye o muestra nuestra búsqueda “Resultados de <TEXTO>“.

Ejemplo:

Si buscamos “hola” en www.ejemploHTML.com  nos devolverá lo siguiente:

Resultados de la búsqueda hola

Y en la url tenemos:

https://ejemplo.HTML.com/Search.php?q=hola

Podemos ver que en la url nos muestra nuestra búsqueda o el texto que ingresamos para ser buscado…

Lo podemos hacer para comprobar que esta pagina es vulnerable a inyección de código HTML solo debemos incluir en nustra busqueda etiquetas HTML.

Por ejemplo en lugar de buscar “hola” buscaremos “<b>hola</hola>” en html las etiquetas <b> o <strong> hacen que el texto que contengan se muestre en negritas, por lo que cuando hagamos esta busqueda nos debería devolver el siguiente resultado:

Resultados de la búsqueda hola

Y en la url tenemos:

https://ejemplo.HTML.com/Search.php?q=hola

Si en la parte de la pagina nos muestra el texto introducido en negrita, quiere decir que la pagina es vulnerable a inyecciones de código HTML. Muy similar al XSS.

En el video anterior muestro una vulnerabilidad de XSS e inyeccion de codigo HTML

 

 

Pagina Vulnerable:

[ http://demo.testfire.net/default.aspx ]

ByDrok3r

SQLSentinel | Encontrar Vulnerabilidades SQL Injection

SQLSentinel

SQLSentinel es una herramienta opensource que automatiza el proceso de encontrar la inyección sql en un sitio web. SQLSentinel incluye una web de araña y buscador de errores de sql. Usted da en la entrada de un sitio y SQLSentinel rastrea e intenta explotar el error de validación de parámetros para usted. Cuando el trabajo está terminado, se puede generar un informe pdf que contiene la url vuln encontrado y la URL rastreada. Tiene soporte para MySQL, PostgreSQL, Microsoft SQL Server y Oracle (BETA) técnicas de inyección SQL: unión, error basado y consulta ciega. Cuenta con agentes de usuario aleatorios automáticos para las conexiones de rastreador araña y sql, módulo de cookies para rastrear y comprobar los sitios que requieren inicio de sesión, compatibilidad con proxy HTTP y robot de rastreador incorporado.

Recuerde que SQLSentinel no es una herramienta de explotación. Sólo puede encontrar url Vulnerabilidades

Vídeo

Uso de SQLSentinel y SQLMap.

En este video, se utiliza SQLSentinel para encontrar la vulnerabilidad y SQLMap para explotarla.

 

Características

  • Soporte para MySQL, PostgreSQL, Microsoft SQL Server y Oracle (BETA) técnicas de inyección de SQL: unión, error basado y ciego de consulta (y XML Error Based para Oracle también)
  • Agentes de usuario aleatorios automáticos para las conexiones de rastreador spider y sql
  • Módulo de cookies para rastrear y comprobar los sitios que necesitan iniciar sesión
  • Soporte de proxy HTTP
  • Botón incorporado de rastreador

 

LINK PARA DESCARGAR:

[ https://sourceforge.net/projects/sqlsentinel/ ]

 

ByDrok3r

SVM (Simple Vulnerability Manager) | Tool

SVM

SVM es un programa pensado para los analistas de seguridad informática, quienes necesitan realizar un análisis rápido y a su vez generar informes de vulnerabilidades profesionales en Word y escaneos continuos.

Con esta herramienta se pueden generar diferentes informes generados de las vulnerabilidades expuestas.

Tipos de informes:

  • Informe Técnico
  • Informe Ejecutivo

 

La herramienta se puede dividir en diferentes secciones:

  •  Web Scanners
  • Service Scanners
  • Static Scanners
  • Mobile

 

Características:

  • Base de datos cifrada y standalone

  • Protección con contraseña al iniciar el programa

  • Flexible en el ingreso de todos los datos. Las IP, las Web, los nombres, no se restringe en nada.

  • Se lanza los escaneos de vulnerabilidades con un solo click. Se puede editar el script para ajustarlo a otros scanners.

  • Soporta los Services Scanner:

    • Qualys​

    • Nessus

    • Openvas

    • Nmap

  • Soporta los WebScanners:

    • Acunetix​

    • Netsparker

    • Arachni

    • Burpsuite

  • Soporta las Tool para Android:

    • Apktool​

    • Enjarify

    • AndroBug_Framework

    • Qark

    • MobSF

    • JD-GUI

  • Soporte de Tool para obtener información:

    • Recon-NG​

    • EyeWitness

  • Compatible con todas las versiones de Office para generar la documentación ( Word y Excel )

  • Base de conocimiento de WebScanner, Services Scanners, Static Scanners y Android. Ademas se puede crear vulnerabilidades propias.

  • Generación de reporte en Excel con todos los proyectos y sus detalles.

  • Template en Word editable para que se ajuste al requerimiento del usuario.

  • Reporte con el texto de los  campos editable.

  • 3 Tipos de Reportes:

    • Técnico

    • Ejecutivo

    • Genérico

  • Corre con el mismo ejecutable en:

    • Windows (Todos)

    • Linux (con Wine)

    • MacOSX (con Wine)

  • Multiusuario. Varios usuarios pueden estar usando la base de datos al mismo tiempo. (Solo versión Pro)

  • Portable. Se puede llevar todo el directorio de instalación en un pendrive.

 

—————————-+

DESCARGA:

WINDOWS

MAC

LINUX

GitHub

—————————-+

ByDrok3r

Ransomware NotPetya

Un nuevo ataque de ransomware afecta de nuevo a los sistemas Windows, provocando grandes perdidas a muchas empresas, victimas de este ataque. Despues del ataque de ransomware WannaCry se espera que muchas empresas asi mismo como usuarios crearan conciencia de la importancia de la seguridad, lo cual al parecer no sucedio.
De acuerdo a diversos reportes son mas de 80 empresas afectadas por este ransomware, mientras que los países afectados como Reino Unido, Estados Unidos, Francia, Rusia, España, India y Ucrania,
Petya infecta de manera distinta a los sistemas, pues este ransomware, no cifra todos los archivos del sistema, lo que este ransomware hace es reiniciar el sistema y cifrar la tabla maestra de arranque haciendo imposible el acceso al sistema Windows. De igual manera que WannaCry infecta todos los sistemas conectados en la misma red.
Petya se propago por medio de una campaña de SPAM dirigida a organizaciones de recursos humanos por medio de correos electrónicos con solicitudes de empleo. Los correos maliciosos contenían un link a un archivo en DropBox el cual era un Dropper, el cual descargaba el ransomware petya.

Actualmente este ransomware fue descubierto en el 2016 bajo el nombre de petya, sin embargo en este nuevo ataque los investigadores lo han bautizado como NotPetya

Una vez instalado, el ransomware sobrescribe los primeros sectores del disco, incluyendo el MBR (Master Boot Record), y realiza un respaldo cifrado con XOR. A continuación fuerza el reinicio de Windows y muestra una falsa pantalla de chequeo del disco (CHKDSK) mientras que, en segundo plano, cifra la MFT (Master File Table). Sin acceso a la MFT, el sistema operativo no tendrá la información de los archivos de su volumen (nombre, tamaño y el mapeo de sectores del disco duro) y al arrancar la víctima se encontrará con una desagradable sorpresa:
@MaerskLine en sus terminales @APMTerminals.
No hay texto alternativo automático disponible.
Archivos cifrados por PETYA

Crackean Ransomware PETYA

Un investigador de Malwarebytes descubrió que el malware cifraba el MBR simplemente con XOR y el carácter ASCII 7 (0x37 en hexadecimal). Posteriormente publico una herramienta la cual permite recuperar la clave en la fase 1, es decir antes de que el sistema se reinicie.

Puedes descargar el binario y código Fuente:
binario / código fuente.

Hace no mucho, un anonimo bajo el nickname de leostone logro crackear la segunda fase, siendo capaz de encontrar la clave usada por Petya para cifrar la MBR en sólo unos segundos. A grandes rasgos el código de su herramienta re-implementa el algoritmo de hashing usado para generar la clave, un algoritmo Salsa pero que opera en 16 bits en lugar de 32 y sólo aleatoriza la matriz 10 veces.
Codigo en Github

https://github.com/leo-stone/hack-petya

Para el funcionamiento de la herramienta es necesario extraer del disco infecta lo siguiente:
  • Sector de verificación de cifrado: 512-bytes (sector 55 [0x37] offset: 0 [0x0])
  • Nonce: 8-bytes (sector 54 [0x36] offset: 33 [0x21])
Y convertirlos a base64. Para extrar lo anterior podemos usar el software “Petya Sector Extractor”  creado por Fabian Wosar.
Petya Sector Extractor
Petya Sector Extractor [ DESCARGAR ]
Posteriormente ya con la informacion obtenida, se ejecuta el script en go, pegando los datos en src.txt y nonce.txt respectivamente. Tambien se pueden usar los siguientes sitios web, para generar la clave:

https://petya-pay-no-ransom.herokuapp.com/

Vacunar Windows contra PETYA

Para poder vacunar nuestro sistema windows contra el ransomware PETYA debemos de crear un archivo de solo lectura, en C:\Windows.

Lo que hacemos es copiar y pegar el archivo notepad.exe

Ahora al archivo notepad – copia.exe le cambiamos el nombre por perfc

Posteriormente hacemos que el archivo, sea de solo lectura, al dar clic derecho sobre este…  y damos clic en aplicar.

Y eliminamos la extension .exe

FUENTES
https://blog.malwarebytes.org/threat-analysis/2016/04/petya-ransomware/
https://threatpost.com/researchers-learning-more-about-petya-ransomware/117068/
https://hshrzd.wordpress.com/2016/03/31/petya-key-decoder/
https://en.wikipedia.org/wiki/SALSA_algorithm
https://www.grahamcluley.com/2016/04/petya-ransomware-unlock-tool/
http://www.bleepingcomputer.com/news/security/petya-ransomwares-encryption-defeated-and-password-generator-released/
http://www.hackplayers.com/2016/04/crackean-petya-herramientas-descifrar-mbr.html#more
http://computerhoy.com/noticias/software/como-vacunar-tu-ordenador-ransomware-petya-64270
https://r3dbird.blogspot.mx/2017/06/ransomware-notpetya-no-petya.html
ByDrok3r

WordPress NEL (No External Links) Plugin | Vulnerable a XSS

WordPress NEL (No External Links) Plugin | Vulnerable a XSS

 

Fue reportada una vulnerabilidad en el plugin NEL (No External Links) de WordPress. Este plugin esta diseñado para los especialistas quienes venden en sus sitio web, el cual entre sus funciones tiene:

  • Estadísticas de clics salientes
  •  Enmascaramiento FullLink
  • Re-direccionamiento personalizado
  • Codificación en base64

Entre muchas otras. Durante un análisis de seguridad con ThunderScan por parte de DefenseCode se ha descubierto que el plugin para WordPress es vulnerable al XSS en su versión 3.5.17 e inferiores.

El proveedor del plugin resolvió los problemas de seguridad, sin embargo existen muchos sitios que aun no han actualizado, esto los pone en riesgo. La vulnerabilidad se encuentra presente en la version 3.5.17 e inferiores, actualmente el plugin esta en su versión 3.5.19.

XSS EJEMPLO:

Function:     echo
  Variable:     $_REQUEST['date1'], $_REQUEST['date2']
  Sample URL:  
http://Drok3r_web.com/wp-admin/options-general.php?page=wp-noexternallinks%2Fwp-noexternallinks-options.php&action=stats&date1="><script>alert(1)</script>
  Sample URL:  
http://Drok3r_web.com/wp-admin/options-general.php?page=wp-noexternallinks%2Fwp-noexternallinks-options.php&action=stats&date2="><script>alert(1)</script>
  File:         wp-noexternallinks\wp-noexternallinks-options.php
    ---------
    125    $date1 = $_REQUEST['date1'];
    ...
    129    $date2 = $_REQUEST['date2'];
    ...
    134    <input type="text" name="date1" value="<?php echo $date1;
?>"> <?php _e('to', 'wp-noexternallinks'); ?>
    135    <input type="text" name="date2" value="<?php echo $date2;
?>"><input type="submit"
    ---------
ByDrok3r

Verifica si tu sistema es vulnerable al exploit (EternalBlue) del Ransomware WannaCry

Verifica si tu sistema es vulnerable al exploit (EternalBlue) del Ransomware WannaCry

 

Para verificar, si nuestra maquina es vulnerable al exploit EternalBlue el cual es utilizado para propagar el ransomware WannaCry, utilizaremos un script hecho en BVScript creado por  Cassius Puodzius (ESET Security Researcher Brasil) el cual lo podemos, descargar de GitHub ( https://github.com/eset-la/Check-EternalBlue ).

La función de este script es muy simple, consiste en revisar los archivos de actualización y busca los correspondientes al parche de EternalBlue. Simplemente lo ejecutamos y esperamos, en nuestro caso, nuestro sistema no tiene la actualización correspondiente y por obvia razón es vulnerable.

Como podemos verificar, nuestro sistema no esta parchado, ahora debemos de parcharlo para evitar ser victimas del ransomware WannaCry. Para eso debemos de buscar las actualizaciones correspondientes y en mi caso hacerlo de forma manual.

Para eso ingresamos, al siguiente link en donde podemos encontrar el parche de la vulnerabilidad

Microsoft Security Bulletin MS17 -10 – Critical

Windows 10
  • Parche acumulativo KB4019474 (W10 RTM)
  • Parche acumulativo KB4019473 (W10 November Update)
  • Parche acumulativo KB4019472 (W10 Anniversary Update)
Windows 8.1
Windows 7
Windows Vista – Windows 8 – Windows XP

Posteriormente pasamos a instalar el parche

Una vez termine la instalacion, utilizamos de nuevo el script para verificar.

Algunos consejos o tips, para mejorar la seguridad:
  • Si un equipo esta infectado, mantenerlo aislado de la red, para evitar que la infección se propague.
  • Mantener bloqueados los puertos 138, 139 y 445 (sean TCP o UDP)
  • Mantener actualizados los sistemas y parchar la vulnerabilidad de SMB (MS17 -10)
  • Mantener protecciones genéricas de Ransomware actualizadas al igual que antivirus.
  • Realiza copias de seguridad de toda la información importante de tu equipo (BackUps), en caso de no necesitar esa información en tu equipo, te recomiendo extraerla, ya sea un un pendrive, disco duro externo y portátil o almacenar en la nube.
  • Microsoft ha liberado parches de seguridad para sistemas obsoletos, como lo son Windows Vista, Windows Xp, Windows Server 2008, etc.
Parcha la vulnerabilidad MS17 -10 en este catalogo en donde podrás encontrar las actualizaciones.
Te recomiendo ver el SecurityHangout de DAIT Seguridad Informatica en Youtube: #SecurityHangout: Ransomware, manual de supervivencia para un rehén
Te recomiendo leer el WannaCryptor 2.0 – RedBirdBlog en mi blog. :3