Sistema de detección de tráfico malicioso.

Maltrail se basa en la arquitectura Trafico->Sensor<->Servidor<->Cliente. El sensor es un componente autónomo que se ejecuta en el nodo de monitorización (por ejemplo, una plataforma Linux conectada pasivamente al puerto SPAN/mirroring o transparente en un puente Linux) o en la máquina autónoma (por ejemplo, Honeypot) donde “monitoriza” la lista negra (es decir, nombres de dominio, URLs y / o Ips). En caso de una coincidencia positiva, envía los detalles del evento al servidor(central) donde se almacenan dentro del directorio de registro apropiado (descrito en la configuración). Si el Sensor se está ejecutando en la misma máquina que servidor (configuración predeterminada), los registros se almacenan directamente en el directorio de registro local. De lo contrario, se envían a través de mensajes UDP al servidor remoto (descrito en la sección configuración).

La función principal del servidor es almacenar los detalles de los eventos y proporcionar soporte de fondo para la aplicación web de informes. En la configuración predeterminada, el servidor y el sensor se ejecutarán en la misma máquina. Por lo tanto, para prevenir posibles interrupciones en las actividades de los sensores, la parte de informe de front-end se basa en la arquitectura “Fat client” (es decir, todos los datos de post-procesamiento se realiza dentro de la instancia del navegador web del cliente). Los eventos (es decir, entradas de registro) para el período elegido (24h) se transfieren al cliente, donde la aplicación web de reporte es la única responsable de la parte de presentación. Los datos se envían hacia el cliente en trozos comprimidos, donde se procesan secuencialmente. El informe final se crea en una forma muy condensada, prácticamente permitiendo la presentación de un número prácticamente ilimitado de eventos.

Casos reales detectados:

Exploraciones de masivas.
Las exploraciones masivas son un fenómeno bastante común en el que individuos y organizaciones se dan el derecho de explorar todo el rango de IP 0.0.0.0/0 (es decir, Internet entero) diariamente, con descargo de responsabilidad. Entonces se debe contactar con ellos en privado para ser excluido de las exploraciones futuras.Para empeorar las cosas, organizaciones como Shodan y ZoomEye ofrecen todos los resultados disponibles (a otros posibles atacantes) a través de su motor de búsqueda. Un comportamiento más común es el escaneo de todo el rango de IP 0.0.0.0/0 (es decir, Internet) en la búsqueda de un puerto en particular (por ejemplo, el puerto TCP 443, ataque Heartbleed).

Atacantes anónimos.
Para detectar a los posibles atacantes escondidos detrás de la red de anonimato de Tor , Maltrail utiliza listas de nodos de salida de Tor públicamente disponibles.

Ataques a servicios.
Un caso bastante similar al anterior es cuando un atacante previamente marcado en la lista negra intenta acceder a un servicio particular (por ejemplo, no HTTP (s)) en el rango deuna organización de manera bastante sospechosa (es decir, 1513 intentos de conexión en menos de 15 minutos).

Malware.
En caso de intentos de conexión procedentes de computadoras infectadas dentro de una organización hacia servidores C&C ya conocidos.

Búsquedas de dominio sospechoso.
Maltrail utiliza la lista estática de dominios de TLD que se sabe que están comúnmente involucrados en actividades sospechosas. La mayoría de estos dominios de TLD vienen de registradores de dominio gratuitos (por ejemplo, Freenom), por lo que deben estar bajo un mayor escrutinio. Utiliza una lista estática de los llamados “dominios dinámicos” que se usan frecuentemente en actividades sospechosas (por ejemplo, para servidores C & C de malware que a menudo cambian las direcciones IP del destino). Además, Maltrail utiliza una lista estática de dominios relacionados con “Tor” que también se usan frecuentemente en actividades sospechosas (por ejemplo, malware que contacta a los servidores C&C utilizando los servicios de Tor2Web).En el caso de malware antiguo y  obsoleto que se encuentra sin ser detectado en los equipos internos infectados de la organización, suele haber un “fenómeno” en el que el malware intenta contactar permanentemente con el dominio del servidor C&C sin ninguna resolución DNS.

Solicitud de información de IP sospechosa.
Muchos malware utilizan algún tipo de servicio de información de IP (por ejemplo, ipinfo.io) para averiguar la dirección IP de Internet de la víctima. En el caso de regulares y especialmente en horas de fuera de la oficina, este tipo de solicitudes deben ser monitoreadas de cerca.

Descarga directa de archivos sospechosos.
Maltrail rastrea todos los intentos sospechosos de descarga directa de archivos (por ejemplo, las extensiones de archivo “.apk”, “.exe” y ”.scr”). Esto puede desencadenar un montón de falsos positivos, pero eventualmente podría ayudar en la reconstrucción de la cadena de infección (Nota: los proveedores de servicios legítimos, como Google, suelen usar HTTPS cifrado para realizar este tipo de descargas).

Solicitudes HTTP sospechosas.
En caso de solicitudes sospechosas procedentes de escáneres de seguridad de aplicaciones web externas (por ejemplo, búsqueda de vulnerabilidades SQLi, XSS, LFI, etc.) y o intentos maliciosos del usuario interno hacia sitios web desconocidos, podrían encontrarse amenazas como el caso real de Atacantes tratando de explotar las vulnerabilidades de CMS CVE-2015-7297, CVE-2015-7857 y CVE-2015-7858 de Joomla!.

Exploración de puertos.
En caso de demasiados intentos de conexión hacia una cantidad considerable de puertos TCP diferentes, Maltrail advertirá sobre el escaneo de puertos potenciales, como resultado de su detección de mecanismo heurístico.

Agotamiento de recursos DNS.
Un ataque DDoS popular contra la infraestructura de los servidores web es el agotamiento de recursos de su servidor DNS (principal) mediante la realización de consultas de recursión de DNS válidas para nombres de subdominio aleatorio (pseudo) (por ejemplo, abpdrsguvjkyz.www.dedeni.com ).

Fuga de datos.
Los programas diversos (especialmente móviles) presentan un comportamiento de tipo malware (similar) en el que envían datos potencialmente confidenciales. Maltrail intentará capturar tal comportamiento.

Falsos positivos
Como en todas las demás soluciones de seguridad, Maltrail es propenso a “falsos positivos”. En este tipo de casos, Maltrail (especialmente en caso de amenazas sospechosas) registrará el comportamiento de un usuario regular y lo marcará como malicioso y sospechoso.

Más información y descarga de Mailtrail:
https://github.com/stamparm/maltrail

Anuncios

PRET: framework de pentesting a impresoras

PRET (Printer Exploitation Toolkit) es una nueva herramienta para realizar pruebas de seguridad a impresoras. Fue desarrollada en el marco de una tesis de maestría en la Universidad Ruhr de Bochum [PDF].

Se conecta a un dispositivo a través de red o USB y explora las características de un lenguaje de impresora determinado. Actualmente soporta PostScript, PJL y PCL que son compatibles con la mayoría de las impresoras láser. Esto permite realizar cosas interesantes como capturar o manipular trabajos de impresión, acceder al sistema de archivos de la impresora y la memoria, o incluso causar daños físicos al dispositivo.

La idea principal de PRET es facilitar la comunicación entre el usuario final y la impresora y luego permitir introducir un comando similar a UNIX que PRET lo traduce a PostScript, PJL o PCL, lo envía a la impresora, evalúa el resultado y lo traduce de nuevo a un formato fácil de usar.

PRET ofrece un montón de comandos útiles para ataques a las impresoras y la realización de fuzzing. Todos los ataques están documentados en detalle en la Wiki del proyecto.

Fuente: Kitploit

Vulnerabilidades críticas en OpenVPN (Parchea!)

Un poco después del mes en que se publicaran los resultados de sus dos auditorías de seguridad, OpenVPN ha publicado la solución a cuatro vulnerabilidades, entre ellas un fallo crítico de Ejecución Remota de Código (RCE),

Una de las auditorías de OpenVPN, llevada a cabo desde diciembre de 2016 hasta febrero de 2017, encontró varios problemas de riesgo bajo y medio y esa auditoría elogió el diseño global de OpenVPN en criptografía. Estos errores ya fueron parcheados en mayo pasado.

La otra auditoría realizada sobre OpenVPN 2.4.0 encontró dos más errores que también fueron parcheados en mayo.

Ahora, estos nuevos parches fueron liberados después de revelaciones privadas realizadas en mayo y junio por el investigador holandés Guido Vranken. Este investigador dijo que las vulnerabilidades no se encontraron en ninguna de las auditorías previas, y fueron una combinación de una revisión manual del código fuente y la exploración automatizada.Vranken no sabía si alguna de las vulnerabilidades ha sido explotada públicamente y dijo que él utilizó exclusivamente un fuzzer para encontrar estos errores.

Los tres errores del lado del servidor requieren que el atacante sea autenticado para poder realizar un el ataque. La CVE-2017-7521 “puede ser utilizada para sacar información de la memoria del servidor. Esta es la peor vulnerabilidad porque luego de la autenticación se pueden enviar datos modificados para bloquear el servidor. Definitivamente se necesita actualizar lo antes posible”.

El error restante, del lado del cliente permite a un atacante robar una contraseña para obtener acceso a un proxy, dijo Vranken. Esta vulnerabilidad sólo se puede explotar en ciertas circunstancias particulares, como cuando el cliente se conecta a un proxy a través de la autenticación NTLM v2.

Vranken proporcionó explicaciones técnicas detalladas de cada error en un informe publicado

Fuente: ThreatPost

Backdoor en imágenes BMP!!

Muchos nos hemos dedicado a darle cientos de vueltas a la cabeza para conseguir ejecutar malware sin ser frenados por la multitud de antivirus que hay en el mercado, para ello hay algunas herramientas como AVET, comentada anteriormente por estos lares, que nos facilitan cantidad el proceso de evasión de AVs, pero debemos saber que estas herramientas no son infalibles.

Seguramente casi nadie (por no decir nadie) os habréis fijado bien si hay algo raro en la imagen de cabecera del post, ¿no veis nada raro?, ampliarla un poquito más, ¿seguís sin verlo?, os daré un pista, haced zoom a la parte inferior izquierda de la imagen…

Bueno, como podéis observar, aparece una tira de pixels de diferentes colores, los cuales no concuerdan con la imagen original, pues en esa tira de pixels se encuentra nuestra futura sesión de meterpreter, o mejor dicho, nuestro querido backdoor.

Como muchos habréis podido observar, es una imagen en formato bitmap (.BMP), esto quiere decir que estamos ante un mapa de bits que es una estructura o fichero de datos que representa una rejilla rectangular de pixels o puntos de color, denominada matriz, que se puede visualizar en un monitor, papel u otro dispositivo de representación. Aprovechando esta característica, hemos insertado un backdoor dentro de dicha matriz en 54 pixeles de la parte inferior izquierda de la imagen.

Si observamos de una imagen original y de otra backdorizada con un visor hexadecimal veremos los siguiente:

Si os fijáis, en comparación a la imagen original (izquierda), la imagen backdorizada (derecha) tiene añadidos unos valores seleccionados, ese es el backdoor en cuestión que se representa en la imagen original  con esos pixels coloreados mencionados anteriormente.

Para crear esta imagen tenemos la herramienta NativePayload_Image, una herramienta creada en C# por Damon Mohammadbagher que va a servir de interprete de nuestra puerta trasera, en este caso, una sesión de de meterpreter. Su uso es muy sencillo, nada más descargar el repositorio, compilaremos la solución con .Net Framework 2.0 , 3.5 o 4.0, y lo ejecutaremos desde la terminal de Windows.

Ransomware PetrWrap/Petya paraliza decenas de empresas 

Paralización total en grandes multinacionales: la empresa de alimentación Mondelez (matriz de empresas como Cadbury y Nabisco y dueña de marcas como Oreo, Chips Ahoy, TUC), las empresas Nivea, el laboratorio estadounidense Merck, la petrolera rusa Rosneft, la naviera Moller-Maersk, y el bufete DLA Piper, una de las mayores firmas legales de todo el mundo, han sufrido esta mañana un ataque de ransomware similar al ocurrido a nivel mundial con Wannacry hace apenas un mes. Y no son las únicas.

Cómo recuperar los archivos cifrados con Petya

El Vice Primer Ministro de Ucrania, Pavlo Rozenko también dijo en su Facebook que Petya cifró sus unidades de disco.

Los analistas de Kaspersky Lab han descubierto PetrWrap, una nueva familia de malware que explota el módulo de ransomware original de Petya, distribuido a través de una plataforma Ransomware-as-a-Service, para realizar ataques dirigidos contra organizaciones concretas. Los creadores de PetrWrap crearon un módulo especial que modifica el ransomware de Petya original “sobre la marcha”, dejando a sus autores indefensos contra el uso no autorizado de su malware. Este hecho es indicativo de la creciente competitividad que existe en el mercado negro del ransomware.

En mayo de 2016, Kaspersky Lab descubrió el ransomware Petya que no sólo cifra los datos almacenados en un ordenador, sino que también sobrescribe el registro de arranque maestro (MBR) de la unidad de disco duro, imposibilitando a los ordenadores infectados arrancar el sistema operativo.

Según suponían varios usuarios, PetrWrap está usando el mismo medio de propagación de WannaCry, es decir la explotación de EternalBlue y EternalRomance en Windows y el puerto 445 abierto pero los últimos informes confirman que la propagación es por correo electrónico.

“Petya utiliza el mismo exploit de Eternalblue y también se propaga en las redes internas con Mimikatz WMIC y PsExec, por eso los sistemas parcheados pueden ser afectados igualmente” dijo Mikko Hypponen, Director de Investigación de F-Secure. La diferencia fundamental con WannaCry es que este malware solo se propaga en la red local, no a través de Internet. Petya, además cifra muchos menos tipos de archivos que su predecesor.

Petya también ha causado graves trastornos en otras grandes empresas, entre ellas el gigante de la publicidad WPP, la empresa francesa de materiales de construcción Saint-Gobain y las firmas rusas de acero y petróleo Evraz y Rosneft. El ataque fue informado por primera vez en Ucrania, donde el gobierno, los bancos, la energía eléctrica estatal, el aeropuerto de Kiev y el sistema de metro fueron afectados. El sistema de monitoreo de radiación de Chernobyl fue puesto fuera de línea, obligando a los empleados a usar contadores manuales para medir los niveles en la zona de exclusión de la
antigua planta nuclear.

Los responsables del ataque solicitan al usuario pagar un rescate de 300 dólares y enviar el justificante de pago a una dirección de correo electrónico con una contraseña preestablecida. Por ahora, los ciberdelincuentes han recibido 32 transacciones, la primera de ellas a las 12:48hs de hoy (hora de Europa). Aquí se encuentra toda la información técnica correspondiente a los binarios detectados hasta ahora.

SELKS: Conoce esta distribución Linux con el sistema de detección y prevención de intrusiones Suricata

Resultado de imagen de suricata selksEn la red perimetral de cualquier empresa es fundamental incorporar un sistema de detección y prevención de intrusiones, un software que nos permitirá ver patrones y detectar ataques para informarnos puntualmente de todo lo que ocurra. Suricata es uno de los mejores en realizar esta tarea, y ahora tenemos aún más fácil desplegarlo en nuestra empresa gracias a SELKS.

Principales características del sistema SELKS

SELKS es un sistema operativo libre y de código abierto basado en Debian, pero modificado específicamente para usarlo como un potente sistema de detección de intrusiones (IDS) y prevención de intrusiones (IPS). Este sistema operativo utiliza un escritorio LXDE, y está disponible tanto en formato Live CD como también en una image ISO instalable.

Una vez que lo hayamos instalado en nuestro sistema, tendremos todo lo necesario instalado para tener toda la red perimetral bajo control, ya que incorpora el siguiente software:

  • Suricata: El popular software de detección y prevención de intrusiones.
  • Elasticsearch: Es un motor de búsqueda que nos va a permitir analizar en detalle todos los logs y almacenar la información.
  • Logstash: es un software que nos permitirá centralizar y transformar todos los logs fácilmente.
  • Kibana: nos va a permitir visualizar todos los datos con una interfaz gráfica bonita e intuitiva.
  • Scirius: Es una aplicación web para la gestión de reglas en Suricata, de esta manera nos facilitará enormemente la administración.

Por último, a partir de la versión 3.0RC1 tenemos también disponible EveBox, un software que sirve para enviarnos alertas vía web para la gestión de todos los eventos que Suricata sea capaz generar, ideal para localizar fácilmente todos los intentos de intrusión en nuestros sistemas.

La distribución SELKS incorpora todo este software ya instalado y con todas las dependencias de software instaladas, por lo que simplemente tendremos que instalarlo y empezar a trabajar con Suricata y todo el software alrededor de él para la gestión de avisos, logs y visualización de posibles incidencias.

Requisitos mínimos de SELKS

Aunque este sistema operativo no consume grandes recursos, para obtener un rendimiento óptimo de SELKS es necesario tener en cuenta las siguientes consideraciones:

  • Si descargamos la versión sin interfaz gráfica: mínimo un núcleo y 2GB de memoria RAM.
  • Si descargamos la versión con interfaz gráfica: mínimo dos núcleos y 4GB de memoria RAM.

Debemos tener en cuenta que cuantos más núcleos y memoria RAM tengamos disponibles, más tráfico podremos monitorizar. El equipo de desarrollo ha creado esta página en GitHub con recomendaciones para el uso de SELKS en producción.

Descarga de SELKS 3.0: directa vía HTTP o vía BitTorrent

La descarga de la distribución SELKS 3.0 puedes hacerla directamente desde la página web oficial del proyecto. Tendremos descarga a través de BitTorrent y también a través de descarga directa.

Los credenciales por defecto de esta distribución son usuario “selks-user” y contraseña “selks-user”, la clave de root es “StamusNetworks”. Os recomendamos visitar la página de SELKS en GitHub donde encontraréis todo el código fuente, recomendaciones para su uso en producción y también enlaces a todo el software que viene preinstalado.

Fuente: redeszone.net

Secure Shell para Google Chrome se actualiza: Descubre uno de los mejores clientes SSH

Secure Shell es una extensión para el navegador web Google Chrome que nos va a permitir realizar conexiones SSH con servidores, routers, switches y cualquier dispositivo que tenga un servidor SSH. Esta extensión es una de las mejores ya que tenemos una gran cantidad de opciones, recientemente se ha actualizado con mejoras en las políticas de seguridad.

Principales características de Secure Shell para Google Chrome

Secure Shell es un cliente SSH gratuito y de código abierto para el popular navegador web Google Chrome. Gracias a esta extensión, no tendremos que utilizar programas externos como PuTTY o KiTTY para conectarnos a nuestros servidores, sino que lo podremos hacer fácilmente desde nuestro navegador web. Este cliente SSH permite la conexión a través de usuario y contraseña, y también con claves privadas con RSA 2048 bits como mínimo, ya que por seguridad no se permiten claves de 1024 bits.

En los últimos meses el equipo de desarrollo de Secure Shell ha lanzado varias actualizaciones con nuevas mejoras, tanto en el funcionamiento como en la velocidad de la propia extensión. Además, se ha estado trabajando en el cliente SFTP para subir y descargar archivos utilizando este protocolo, por lo que si tienes Chrome 57 o superior podrás utilizarlo fácilmente para el intercambio de archivos. Otras mejoras realizadas en Secure Shell es la implementación de OpenSSH 7.5p1 con nuevos algoritmos de firma como ECDSA/ED25519 y se han retirado cifrados y algoritmos de intercambio de claves antiguos y que son inseguros. También se ha añadido compatibilidad con direcciones IPv6 con la sintaxis típica de ssh://[IPV6]

Os recomendamos leer todo el listado de cambios donde encontraréis en detalle qué mejoras se han realizado y en qué versiones están disponibles dichas mejoras.

Cómo instalar y utilizar Secure Shell en Google Chrome

Lo primero que tenemos que instalar Secure Shell en Google Chrome es irnos directamente a la Chrome web Store, y a continuación instalarlo en nuestro navegador. Una vez instalado nos aparecerá en el listado de aplicaciones instaladas en el navegador, tal y como podéis ver a continuación:

Una vez instalada, podemos hacer click en el icono de Secure Shell y nos abrirá automáticamente la extensión para conectarnos directamente a un servidor SSH. La interfaz gráfica de usuario es muy básica y con colores negros y blancos:

A la hora de conectarnos deberemos introducir la IP privada o pública del servidor SSH, su puerto, y también el usuario y contraseña si es que tenemos configurado el servidor SSH de esta manera, de lo contrario tendremos que importar las claves criptográficas (pública y privada) para iniciar la conexión.

En nuestro caso, hemos utilizado usuario y contraseña para iniciar la sesión, en caso de introducirla mal la extensión nos permitirá elegir otra conexión, intentar reconectarnos para introducir otra clave, o salir de la extensión (si esta extensión es la única que tenemos abierta en pestaña directamente Google Chrome se cerrará.

Si pinchamos en la sección de “Options” accederemos directamente a todas las opciones de configuración disponibles en la extensión. Podremos modificar el estilo gráfico (fuentes, colores, imágenes, color de fondo etc.), cómo realizar el copy paste, el codificado, la configuración del teclado, el scroll y los sonidos.

Algo que nos ha gustado mucho es que si ponemos en la barra de direcciones “SSH” y pulsamos tabulador, accederemos directamente al programa si pulsamos Enter e incluso podremos conectarnos directamente si ponemos la siguiente sintaxis: user@host:puerto por lo que es ideal para realizar conexiones rápidas.

Fuente: redeszone.net