Category Archive HPSI

ByDrok3r

Propagacion de Malware | Parte 5 – Botnet

BOTNET

Ahora tenemos las Botnet como uno de los medios quizá mas eficaces en la propagación de malware. Una botnet es un conjunto de 2 o mas computadoras infectadas por un malware el cual es controlado por varias o una sola persona a la que se le conoce como Botmasters quienes se encargan de controlar estas maquinas infectadas.

Como sabemos las botnet pueden ser usadas para distintos fines, entre los mas comunes tenemos, actividades ilícitas las cuales son servicios como:

  • Envió de Spam
  • Ataques de denegación de servicio (DDoS)
  • Alojamiento de archivos, para sitios de pornografía, pedofilia, warez, etc.
  • Distribución de malware

Estas acciones delictivas, tienen diferentes metas o fines, que mas adelante explicaremos.

Cada una de las maquines que pertenecen a una botnet, reciben el nombre de zombi. Se provecha la capacidad de procesamiento de cada una de las computadoras que pertenecen a una botnet para aumentar considerablemente el potencial de las maquinas en conjunto.

Resultado de imagen para botnet

Las botnet por lo común son rentadas o vendidas, (El precio depende de la cantidad de zombi que contenga la botnet) para realizar cualquiera de las   actividades anteriormente mencionadas, centrándonos el la parte de distribución de malware, tenemos el envió masivo de mensajes de correo electrónico o Spam el cual puede ir infectado.

Se han investigado casos en los cuales, los zombi de una botnet utilizan el spam para infectar mas equipos y que estos pertenezcan a la botnet.

 Se a utilizado infinidad de malware para crear botnets, desde el año 2008 el crecimiento de las botnet y de los malware diseñados para estos ha crecido y a su vez se a mantenido, dando paso a la creación de un CC&C Centro de Comando y Control, es una interfaz web, la cual como su nombre lo indica, permite controlar y administrar una botnet.

Como ejemplo tenemos la CC&C de la botnet “Zeus”

Y como ese ejemplo tenemos muchos mas…

ByDrok3r

Propagacion de Malware | Parte 4 – Drive-byDownload

Drive-by Download

En los post anteriores, se ha hecho la mención de que la mejor forma de infectar un sistema es por medio del Internet utilizando paginas web maliciosas, con el simple hecho de que un usuario entre  este tipo de paginas, ya representa una amenaza para su información y para su mismo equipo de computo.

 Cada día se mejoran los métodos de infección, los cuales en su mayoría consisten en Ingeniería social, es decir, engañar al usuario para que realice unas determinadas acciones, y que por su propia mano, termine infectado. Buscado mejorar y automatizar las técnicas de infección tenemos por consecuente, que el atacante busque infectar de manera masiva miles o millones de sistemas, partiendo de una vulnerabilidad de un sistema, o por la ingenuidad del usuario por creer el mensaje repentino que salio mientras estaba en YouTube “Has ganado 100,000,000”.

Resultado de imagen para drive by download

Teniendo esto en cuanta, tenemos la siguiente técnica de nombre Drive-by Download el cual consiste en un meto de infección masivo simplemente cuando un usuario accede a una pagina web, en donde los creadores de malware buscan propagar sus creaciones utilizando paginas vulnerables a las cuales se les inyecta código malicioso entre el código original de la pagina.

Este ataque se lleva acabo de manera automatizada en la mayoría de los casos, mediante la aplicacion de técnicas que hacen análisis de vulnerabilidades y cuando logran encontrar alguna, inyectan un script malicioso en el cogido HTML de la pagina, en algunos casos, el script redirecciona al usuario o muestra un mensaje el cual obliga al usuario a descargar algún “complemento” para “mejorar” la experiencia al momento de visitar la pagina.

El funcionamiento es muy simple,

  1. El usuario hace una petición o accede a una pagina web maliciosa (la cual ya fue comprometida.)
  2. Un archivo que se descarga o ejecuta automáticamente (script o exe) en la pagina web maliciosa a la que el usuario a accedido o ha realizado algún tipo de consulta.
  3. Una vez que se descarga un script malicioso, en el sistema del usuario quien a pasado a ser una victima, el scritp realiza una conexión a un servidor malicioso denominado HopPoit del cual se descargan mas script o exploits
  4. Cada uno de los script tiene la tarea de analizar el sistema de la victima en busca de vulnerabilidades, (estas vulnerabilidades suelen ser las mas comunes o típicas, a menos que se de a conocer una nueva y este en existencia un exploit para atacar esa vulnerabilidad).
  5. En caso de encontrar alguna vulnerabilidad, se hace de nuevo una peticion al servidor HopPoint para la descarga de un archivo (malware).
  6. SISTEMA INFECTADO

Las paginas que son mas propensas a ser vulneradas son cualquier tipo de sitios, desde paginas empresariales, universitarias, de gobierno, blogs, etc. Esto se debe a una mala administración y al olvido de pruebas de seguridad cada cierto tiempo, esto se ve reflejado en un mal plan de protección y prevención que “Todas las empresas deben tener”.

ByDrok3r

Propagación de Malware | Parte 3 – PHARMIG

PHARMIG

Por lo que hemos visto en post anteriores y a continuación tenemos contemplado que el fin mas común que tiene un malware es robar información para tener una ganancia lucrativa, para el atacante o el creador de dicho malware.
Y de igual forma como se ha mencionado con anterioridad, el mejor canal de propagación de malware siempre sera por medio de Internet, en este caso tenemos el Pharming, que a grandes rasgos consiste en manipular los registros de servidores DNS con el objetivo de redireccionar las solicitudes de usuarios. hacia otros sitios, claro con contenido malicioso.
Es decir cuando el usuario acceda a un determinado sitio web, el servidor comprometido lo rediccionara hacia una IP maliciosa en donde el usuario puede comprometer su información si no se da cuenta a tiempo de lo que sucede.
Como ejemplo tenemos el siguiente diagrama…
Para explicar un poco mejor, cuando el usuario pide acceder a www.Facebook.com con la IP 175.240.3.35 el servidor DNS comprometido redireccionar a www.facebok-fake.com con la IP 231.342.232.2 siempre y cuando el usuario intente acceder a www.facebook.com en caso contrario, como www.youtube.com no es redireccionado este va directo.
Un poco mas simplificado seria:
www.Facebook.com IP 175.240.3.35 redirecciona a 231.342.232.2 www.facebok-fake.com
www.Youtube.com IP  216.58.218.142 no redirecciona 216.58.218.142 www.Youtube.com
Caso contrario si tambien afectara a www.Youtube.com
www.Facebook.com IP 175.240.3.35 redirecciona a 231.342.232.2 www.facebok-fake.com
www.Youtube.com IP  216.58.218.142 redirecciona a 216.58.218.129 www,muchosvirus.com
Sin embargo los sistemas operativos tienen un archivo llamado hosts, el cual es utilizado para asociar direcciones IP con los nombres de dominio el cual funciona a modo de servidor DNS. Cada vez que el usuario accede a un sitio web el sistema hace una búsqueda en este archivo, para saber si existe alguna referencia con la solicitud del usuario, antes de consultar el servidor DNS.
En el caso de Windows lo podemos encontrar en la Ruta:
C:/Windows/System32/drivers/etc
Actualmente este archivo puede ser manipulado, modificado o remplazado por malware el cual cambia las IP de los dominios legítimos por IP’s que redireccionan a sitios maliciosos.
Estos son ejemplos del contenido del archivo hosts modificado por malware.
Como podemos ver en los ejemplos anteriores el malware ha modificado las direcciones IP de cada nombre de dominio, esta técnica o método se le conoce por el nombre de Pharming Local. A grandes rasgos consiste en modificar el archivo hosts por medio de un malware.
Ping a sitio web
El los malware que realizan estas acciones están acompañadas con campañas de Spam y se suele ver en ataques de Phishing para robar información delicada, como números de tarjetas de credito, Hace algún tiempo, varios malware afectaraon a una gran caridad de usuarios en Mexico, por lo general a quienes eran clientes de lgunos bancos, quienes reportaban gastos normales.
Pero esto también puede ser utilizado para campañas de propagación de malware, incluso puede ser usada con Ransomware para redireccionar a los usuarios a paginas que descargan el malware de forma automática.
ByDrok3r

Routers Vulnerables

ESET puso a prueba a más de 12.000 routers hogareños de usuarios que accedieron a compartir sus datos en forma anónima con fines estadísticos; los resultados prueban que el 15% de los equipos usan contraseñas débiles, y se deja el nombre de usuario por defecto “admin” en la mayoría de los casos.

Durante la investigación se probaron los nombres de usuario y contraseñas por defecto más comunes, así como algunas combinaciones frecuentemente utilizadas como “123456”. Es preocupante que más de uno de cada siete de estos ataques simulados fue exitoso, lo que demuestra que las credenciales poco seguras siguen siendo una realidad.

distribucion servicios

El análisis también reveló que aproximadamente el 7% de los routers evaluados mostró vulnerabilidades de incidencia alta o media. La mayoría de las vulnerabilidades de software (un poco más del 50%) que fueron descubiertas durante el análisis estuvieron asociadas a derechos de acceso mal otorgados.

La segunda vulnerabilidad más frecuente, con el 40% de los casos, fue de inyección de comando. Esta apunta a la ejecución de comandos arbitrarios en el sistema operativo host a través de una aplicación vulnerable, en gran medida con validación de entrada insuficiente.

Cerca del 10% de todas las vulnerabilidades de software encontradas fueron las del tipo cross-site scripting (XSS), que permiten a los atacantes modificar la configuración del router para poder ejecutar un script especialmente diseñado del lado del cliente.

Además, el escaneo de puertos reveló que en muchos casos los servicios de red eran accesibles desde redes tanto internas como externas. En particular, los servicios no seguros como Telnet no deberían dejarse abiertos, ni siquiera a la red local, lo cual desafortunadamente fue el caso en más del 20% de los routers evaluados.

Estos datos surgen de la nueva funcionalidad ESET Home Network Protection, que permite a los usuarios escanear sus routers en busca de vulnerabilidades, configuraciones maliciosas, servicios de red explotables y contraseñas débiles.

Los resultados muestran claramente que los routers pueden ser atacados con facilidad, si se explota una de las vulnerabilidades frecuentemente halladas. Esto los vuelve un talón de Aquilesen la seguridad en Internet de los hogares, y también de las pequeñas empresas.

Los usuarios deberían asegurarse de que eligen contraseñas fuertes, robustas y seguras para proteger sus routers, y de que usan el último firmware, además de herramientas que podrían revelar otras vulnerabilidades en los equipos y las recomendaciones para resolverlas.

Fuente: www.welivesecurity.com
ByDrok3r

Propagacion de Malware | Parte 2 – Exploiting & Scripting

Exploiting & Scripting

Exploiting

El primer medio de infección por malware es y siempre sera el Internet, una plataforma de ataque la cual permite distribuir código malicioso, el cual por sus características aprovecha vulnerabilidades o las explota, con lo cual esto le permite tener acceso a la información o control sobre un sistema.

Para poder lograr o llevar acabo dicha tarea se hace uso de un exploit el cual es una secuencia de comandos o acciones las cuales nos permiten aprovecharnos de una vulnerabilidad en un sistema operativo o aplicación.
Los exploit nos permiten infectar un sistema, aprovechando una vulnerabilidad del mismo sistema operativo o de alguna aplicación que este contenga, una vez con el sistema operativo infectado un atacante puede tomar control total sobre el sistema y a su vez de la información que este contenga.
Algunos mas no todos los antivirus protegen frente a esta amenaza, pues durante pruebas algunos exploits pasaban mientras que en otros casos si eran detectados.
Algunos gusanos informáticos (worms) están programados para aprovechar distintas vulnerabilidades de un sistema operativo lo cual les permite propagarse en todo el sistema, y de igual manera infectar a todos los dispositivos que puedan estar conectados en la misma red.
Un ejemplo puede ser algun gusano el cual aproveche una mala configuración cuando se comparten archivos, carpetas o discos de almacenamiento en la red, pues seria un medio de propagación.
La implementar o usar exploits para diferentes fines, requiere de un conocimiento extensivo como:
  • Conocimiento sobre el sistema que se desea atacar
  • Conocimiento sobre la vulnerabilidad que se desea explotar, al igual que conocimiento para poder detectarla
  • Saber utilizar el software que “controle” el exploit
A día de hoy cualquier usuario puede usar un exploit para infectar y comprometer un sistema operativo (Windows) ya que gracias a Youtube y muchos profesionales, por medio de video tutoriales enseñan el uso de estos métodos de infección y explotación.
Una de las herramientas mas utilizadas para esta labor es Metasploit, un framework el cual contiene una gran cantidad de exploits para utilizar. Un poco de información de Metasploit en este vídeo tutorial creado por mi compañero USERVZK80

Scripting

Los atacantes buscan perfeccionar los métodos de infección y propagación de malware, como se ha mencionado anteriormente la primer fuente de infección es Internet, pues ahora buscan automatizar esta tarea por medio de software el cual solo requiere una breve configuracion y listo, este software que ayuda a la automatización de tareas se le llama Scritp.
 
En el escenario mas común tenemos un sitio web malicioso el cual corre un script cuando un usuario acceda a dicho sitio, el script comienza a correr sus lineas de código en donde, descarga o ejecuta malware automáticamente, a demás a esto le podemos agregar exploits.
Un dato interesante sobre el uso de scritps para la propagación de malware, es que pueden ser implementados en sitios web no maliciosos, aprovechando una vulnerabilidad la cual les permite inyecta código con bien seria HTML Injection o XSS ambas vulnerabilidades nos permiten inyectar código malicioso, como un script el cual descarga de forma automática.
Un ejemplo, es el uso de etiquetas iframe dentro de una pagina web, en donde se crea en frame interno, esto provocara que se habrá en segundo plano y atravez del iframe otra pagina web que ejecutara el script malicioso.
Por ejemplo se tiene una computar en donde la pagina muestra el error 500, lo interesante fue cuando se analizo el código de dicha pagina.
ByMauro Clavijo

2 Retos de Hacking Publico nivel basico

 

Bienvenidos integrantes de HACKING PUBLICO a los retos de NETSIS, Consta de retos que deben ser resueltos en orden, ya que el primer reto da una contraseña para iniciar el segundo…
Estos retos fueron creados con un fin didáctico de mostrar tus habilidades de nivel básico en informática… Les deseo Éxitos y que Comience el Juego

Read More

\\Master en Seguridad Informatica \ CEO_Founder \
Comunidad Hacking Publico & Sistemas Informáticos

ByDrok3r

Propagación de Malware | 1 – Automatización

Automatización

Como se conoce y a su vez ya lo he mencionado  las tecnologías han avanzado de igual manera que las amenazas que los acompañan. Cunado se hace mención del método o técnica para propagar malware se pueden describir muchas, todas con un nivel de éxito o de fracaso casi igual, ya que muchas veces se depende de factores externos.

Este avance de amenazas y de propagación sugiere tener un conocimiento mas avanzado sobre las amenazas que pueden comprometer todo un entorno informático, desde una Pc hasta una red de servidores privada, esto implica tener mecanismos para poder defendernos de estas amenazas al igual que tener un plan que nos ayude en caso de ser victima de alguna de estas amenazas, y estos a su vez deben de estar a la altura de la amenaza.

Creación automatizada de malware

La cantidad de variantes crece de forma casi incontrolable al igual que su detección, pues los atacantes propagan estas amenazas atraves de Internet,  como ejemplo tenemos a los laboratorios de ESET quien en el 2010 recibieron 200 mil muestras de malware únicas por día, una suma asombrosa y que a su vez crece con el paso de los años

Gran parte del malware detectado, no demuestra una gran variedad por cantidad, es decir existe una gran cantidad de malware detectado pero no una gran variedad pues en la mayoría de los casos es casi es mismo código con una pequeña variación en su código, esto se debe a la utilización de software que automatiza la creación de malware.

Existe una gran cantidad de programas de que automatizan la creación de software, algo que hace que un simple usuario pueda crear amenazas o código sin saber programar o sin tener conocimiento alguno, solo con seleccionar algunas opciones, y dar clic esta creando amenazas que posteriormente puede propagar por campañas simples de spam.

Esta automatización se ve en todo tipo de malware desde un spyware hasta los RAT en donde solo debes de hacer una simple configuración dar enter listo, ya tenemos nuestro malware listo para simplemente infectar.

También existe la amenaza de que algunos usuarios inexpertos buscan este tipo de programas y ellos mismos terminan infectados pues para poder usar este tipo de programas se necesita desactivar el antivirus dándole paso a un malware que viene de sorpresa junto con el programa.

 Cuando se habla de la automatización no solo hablamos de la parte en donde se genera el código o los ejecutables listos, sino también en la automatización de tareas y la creación de metodologías para poder facilitar ciertas tareas.
Como por ejemplo los distintos software que existen para la clonacion de paginas web o la creación de las mismas, para el phishing, incluso software que recopila de forma autónoma correos electronicos para campañas de spam.

El desarrollo de estas herramientas, que automatizan la creación de código malicioso han tomado un poco de fama y sea a profesionalizado en cuanto a las funciones, como por ejemplo algunos agregan funciones que dificultan su análisis, ya que buscan entorpecer el estudio del malware, incluso algunos pueden identificar al AV del sistema y se auto configuran para poder evadir este AV algo que se ha visto novedoso en este tipo de software.

Es decir, el malware esta sometido a una gran cantidad de procesos los cuales hacen casi imposible su análisis, esto ayuda a que la familia del malware o la variante tenga un cilico de “vida” o actividad mas grande. Gran parte del software que se encarga, de automatizar estos procesos como lo es el de la creación de malware siempre puede tener, ventajas y desventajas.