Archive for Seguridad Informática

febrero 24th 2017

Stitch: un RAT multiplataforma escrito en Python

Número de lecturas: 2368
{lang: 'es-419'}

Stitch es un RAT multiplataforma escrito en Python que permite crear payloads personalizados para Windows, Mac OSX y Linux. Su autor, Nathan Lopez, lo creó con la motivación de avanzar en su conocimiento de python, hacking y para ver lo que podía lograr. Y, aunque apunto estuvo de abandonar el proyecto al ver que previamente se adelantó Pupy (otro pero impresionante RAT multiplataforma escrito en Python) al final decidió publicarlo después de todo el camino recorrido.

Sus características son:

Genéricas

– Multiplataforma
– Autocompletado de comandos y archivos
– Detección de Antivirus
– Capacidad de apagar/encender la pantalla
– Ocultar y mostrar archivos y directorios
– Ver/editar el archivo hosts
– Ver todas las variables de entorno de sistema
– Keylogger con opciones para ver el estado, iniciar, detener y volcar los logs
– Ver la ubicación y otra información de la máquina de destino
– Ejecutar scripts de python personalizados que devuelven lo que se imprima a la pantalla
– Capturas de pantalla
– Detección de máquina virtual
– Descargar/subir archivos hacia/desde el sistema de destino
– Volcado de los hashes de las contraseñas del sistema
– Las propiedades de los payloads están “disimuladas” como otros programas conocidos

Específicas para Windows

– Muestra un cuadro de diálogo con el usuario/contraseña para engañar al usuario
– Vuelca la contraseñas guardadas en Chrome
– Permite borrar los registros del sistema, de seguridad y de la aplicación
– Habilitar/deshabilitar servicios como RDP, UAC y Windows Defender
– Editar las propiedades de archivos accesibles, creados y modificados
– Crear un cuadro emergente personalizado
– Ver la cámara web conectada y tomar instantáneas
– Ver las conexiones wifi conectadas y guardadas junto con sus contraseñas
– Ver información acerca de las unidades conectadas
– Ver el resumen de valores de registro como DEP

Específicas para MacOS

– Cambiar el texto de inicio de sesión en la pantalla de inicio de sesión del usuario
– Capacidad de tomar capturas de la webcam

Específicas para MacOS/Linux

– SSH desde la máquina de destino a otro host
– Ejecutar comandos con sudo
– Realizar ataques de fuerza bruta con la lista de contraseñas que se encuentra en Tools/
– Capacidad de tomar capturas de la webcam

Transportes implementados

Toda comunicación entre el host y el destino es cifrada con AES. Cada programa Stitch genera una clave AES que luego se pone en todos los payloads. Para acceder a un payload las claves AES deben coincidir. Para conectarse desde un sistema diferente que ejecuta Stitch se debe agregar la clave utilizando el comando showkey del sistema original y el comando addkey del nuevo sistema.

Instaladores de payload implementados

El comando “stitchgen” da al usuario la opción de crear instaladores NSIS en Windows y Makeself en máquinas posix. Para Windows, el instalador empaqueta el payload y un exe para elevar privilegios, lo que evita el mensaje del firewall, instala el payload en el sistema e intenta añadir persistencia. Para Mac OSX y Linux, el instalador coloca el payload e intenta agregar persistencia. Para crear instaladores NSIS se debe descargar e instalar NSIS.

Requisitos

Python 2.7

Instalación

# para Windows
pip install -r win_requirements.txt

# para Mac OSX
pip install -r osx_requirements.txt

# para Linux
pip install -r lnx_requirements.txt

Especificos de Windows

Especificos de Mac OSX

Especificos de Mac OSX/Linux

Para ejecutarlo

python main.py

o

./main.py

Otros RAT en Python de código abierto de referencia:

DISCLAIMER

Stitch es para fines de educación/investigación solamente. El autor no asume ninguna responsabilidad y/o responsabilidad por la forma en que elijas utilizar cualquiera de las herramientas/código fuente/cualquier archivo proporcionado. El autor y cualquier persona afiliada con no será responsable de ninguna pérdida y/o daños en relación con el uso de CUALQUIER archivo proporcionado con Stitch. Mediante el uso de Stitch o cualquier archivo incluido, se entiende que estas ACEPTANDO USARLO POR TU PROPIO RIESGO. Una vez más, Stitch y TODOS los archivos incluidos son para fines de EDUCACIÓN y/o de INVESTIGACIÓN SOLAMENTE. Stitch está SOLAMENTE pensado para ser utilizado en laboratorios propios de pentesting, o con el consentimiento explícito del dueño de la característica que está siendo probada.

Proyectohttps://github.com/nathanlopez/Stitch

Fuente:

foro.hackplayers.com

febrero 23rd 2017

Recursos y herramientas para el descubrimiento de subdominios

Número de lecturas: 1658
{lang: 'es-419'}

Todos los frameworks y metodologías existentes para tests de intrusión contemplan en sus fases iniciales el reconocimiento, y dentro del reconocimiento es fundamental el descubrimiento de subdominios ya que puede ayudar a un atacante o auditor a identificar y enumerar distintos sitios web del objetivo, algunos incluso mal configurados y vulnerables. A continuación se listan una serie de recursos online y herramientas de gran valor que facilitan enormemente esta tarea.

RECURSOS ONLINE

1.- Censys (https://censys.io/)

Es probablemente uno de los primeros motores de búsqueda que buscan subdominios. Además te muestra otra información como puertos abiertos, detalles del certificado y SSL y resultados del Whois.

2.- Shodan (http://shodan.io/)

Shodan es una plataforma de spidering con una base de datos enorme dirigida fundamentalmente a profesionales de seguridad. Tiene datos históricos y actuales sobre una gran franja de servidores en Internet, incluyendo subdominios descubiertos, versionado de servidores y mucho más.

3.- Pentest-tools (https://pentest-tools.com/information-gathering/find-subdomains-of-domain)

Dentro de la categoría de ‘Information Gathering’, Pentest-tools tiene una herramienta de búsqueda de subdominios que utiliza distintos métodos como transferencias de zona DNS, enumeración DNS basada en listas y peticiones a distintos motores de búsqueda.


4.- DNSDumpster (https://dnsdumpster.com/)

DNSDumpster del proyecto HackerTarget.com es una herramienta que, además de los subdominuios, nos devolverá información del servidor DNS, registros MX, registros TXT y un interesante esquema de las relaciones del dominio analizado.

5.- Netcraft (http://searchdns.netcraft.com/)

La compañía inglesa tiene una muy buena base de datos de dominios que no podemos olvidar consultar:

6.- CloudPiercer (https://cloudpiercer.org/)

Cloudpiercer está orientado a encontrar IPs reales de servidores web que deberían estar protegidos por la infraestructura de un proveedor en la nube. Si acreditas que eres el dueño del sitio mediante alguno de los métodos disponibles, CloudPiercer realizará un escaneo verificando varios vectores como bases de datos de historial de IPs, registros DNS, ficheros sensibles, pingback, certificados y, por supuesto, subdominios.

HERRAMIENTAS LOCALES

1. Sublist3r (https://github.com/aboul3la/Sublist3r)

Es una herramienta en python capaz de enumerar subdominios de sitios web a través de varios recursos OSINT. Utiliza como motores de búsqueda Google, Yahoo, Bing, Baidu y Ask y obtiene subdominios mediante Netcraft, Virustotal, ThreatCrowd, DNSdumpster y PassiveDNS. También incorpora otra herramienta, subbrute (https://github.com/TheRook/subbrute) para encontrar más subdominios mediante fuerza bruta (wordlists).

git clone https://github.com/aboul3la/Sublist3r.git
pip install -r requirements.txt

python sublist3r.py -d example.com

2.- SubBrute (https://github.com/TheRook/subbrute)

SubBrute es una de las herramientas de enumeración de subdominios más populares y precisas. Es un proyecto impulsado por la comunidad y utiliza “open resolvers” como proxy para no enviar directamente tráfico a los servidores DNS.

Se puede utilizar en sistemas operativos basados en Windows o UNIX y la instalación es muy fácil. La siguiente demostración se basa en Ubuntu:

sudo apt-get install python-dnspython
git clone https://github.com/TheRook/subbrute.git

cd subbrute
 ./subbrute -h
 

3.- Knock (https://github.com/guelfoweb/knock)

Es otra herramienta escrita en Python para descubrir subdominios usando una lista de palabras. Esta diseñada para escanear los DNS en busca de transferencias de zona y para intentar evadir el registro DNS Wildcard (si está activado).

git clone https://github.com/guelfoweb/knock.git

python knock.py -w wordlist/wordlist.txt faqin-org

4.- DNSRecon (https://github.com/darkoperator/dnsrecon)

DNSRecon de Darkoperator se incluye en el arsenal de Kali Linux y comprueba todos los registros NS en busca de transferencias de zona, registros DNs, resolución wildcard, registros PTR, etc.

git clone https://github.com/darkoperator/dnsrecon.git

./dnsrecon.py -d hackplayers.com

5.- Scripts nmap

– http-robtex-reverse-ip (https://github.com/adon90/http-robtex-reverse-ip) : Es un script para nmap que busca nombres DNS de la IP escaneada consultando el servicio de Robtex (http://www.robtex.com/ip-lookup/).

nmap --script http-robtex-reverse-ip 8.8.8.8

– hostmap-ip2hosts (https://github.com/nmap/nmap/blob/master/scripts/hostmap-ip2hosts.nse): encuentra hostnames consultando la base de datos online de IP2hosts (http://www.ip2hosts.com)

nmap -p443 --script hostmap-ip2hosts oracle.com

6.- iptodomain (https://github.com/jevalenciap/iptodomain)

Otra herramienta escrita en python. Permite extraer los dominios de un rango de ips usando la información histórica de la base de datos de Virustotal (requiere una API key).

python iptodomain.py -i 103.22.201.25 -f 103.22.201.255 -o 103.22.200.255.txt -v -r IPsCF.txt

7.- dnsscan (https://github.com/rbsec/dnscan)

La enésima herramienta en python primero intenta transferencias de zona y, a continuación si falla, busca los registros TXT y MX y luego realiza un escaneo recursivo de subdominios mediante wordlists.

git clone https://github.com/rbsec/dnscan.git
 pacman -S python-dnspython
 python dnscan.py -d pornhub.com

8.- Recon-ng (https://bitbucket.org/LaNMaSteR53/recon-ng)

Recon-ng es un completo framework de reconocimiento web que incluye el módulo brute_hosts para obtener subdominios por fuerza bruta.

git clone https://bitbucket.org/LaNMaSteR53/recon-ng.git
 pip2 install -r REQUIREMENTS

python2 recon-ng

9.- Fierce (https://github.com/mschwager/fierce)

Fierce es un escáner de enumeración escrito en Perl que ayuda a los pentesters a localizar el espacio de IPs y nombres de hosts no contiguos para dominios específicos mediante DNS, Whois y ARIN. Está diseñado específicamente para localizar objetivos probables dentro y fuera de una red corporativa. Dado que utiliza DNS principalmente, a menudo encuentra redes mal configuradas que generan fugas de espacio de direcciones internas.

Dependencias:
 $ sudo cpan
 cpan[1]> install Net::CIDR
 cpan[2]> install Net::Whois::ARIN
 cpan[3]> install Object::InsideOut
 cpan[4]> install Template
 cpan[5]> install Test::Class
 cpan[6]> install Test::MockObject
 cpan[7]> install Net::DNS
 cpan[8]> install Net::hostent
 cpan[0]> install WWW::Mechanize
Instalación:
 $ cd /data/src/
 $ svn co https://svn.assembla.com/svn/fierce/fierce2/trunk/ fierce2/
 $ cd fierce2/
 $ perl Makefile.PL
 $ make
 $ make test
 $ sudo make install
 $ mkdir -p /pentest/enumeration/fierce/
 $ ln -s /usr/local/bin/fierce /pentest/enumeration/fierce/fierce
Templates:
 $ mkdir -p /pentest/enumeration/fierce/
 $ ln -s /usr/local/bin/fierce /pentest/enumeration/fierce/fierce
Sintaxis:
 $ fierce {target options} [OPTIONS]

10.- dnsenum (https://github.com/fwaeytens/dnsenum)

Script en perl multiproceso para enumerar información de DNS de un dominio y para descubrir bloques de ip no contiguos.

perl -MCPAN -e shell
 install XML::Writer

perldoc dnsenum.pl

11.- Altdns (https://github.com/infosec-au/altdns)

Altdns es una herramienta de reconocimiento de DNS que permite el descubrimiento de subdominios que se ajustan a ciertos patrones. Altdns toma palabras que podrían estar presentes en subdominios bajo un dominio (como prueba, dev, stager), así como una lista de subdominios conocida o manual.

git clone https://github.com/infosec-au/altdns.git
 cd altdns
 pip2 install -r requirements.txt
 

DICCIONARIOS

https://github.com/bitquark/dnspop/tree/master/results
https://github.com/danielmiessler/SecLists/tree/master/Discovery/DNS

Fuentes:

– https://geekflare.com/find-subdomains/
– http://blog.bugcrowd.com/discovering-subdomains

Fuente:

hackplayers.com

febrero 16th 2017

Este troyano escanea tu PC para que otros te puedan robar

Número de lecturas: 1911
{lang: 'es-419'}

Los titulares en torno a la seguridad informática giraban en los últimos meses en torno al ransomware, una forma de extorsión online que se ha popularizado de forma preocupante. Pero no, no es el único tipo de amenaza que debería preocupar a los usuarios: existen también miles de intentos de infección para minería de bitcoins, y otras formas similares de uso no autorizado de un sistema de forma remota que coinciden en algo: acceso a través de RDP. Esta vía de acceso es lo que aprovecha el troyano que nos ocupa.

Este troyano, RDPPatcher, aprovecha el Protocolo de escritorio remoto RDP- para conseguir acceso a un ordenador. Lo que hace, concretamente, es modificar el registro de Windows con la intención de modificar el sistema de validación RDP y habilitar sesiones concurrentes de RDP en el dispositivo afectado. Con el acceso a la víctima conseguido, se ejecuta un análisis del equipo para obtener información: nombre de usuario y de equipo, tiempo que lleva encendido, versión e idioma del sistema operativo, máquina virtual y otros detalles sobre el hardware, así como información sobre el antivirus que está instalado, en caso de que haya alguno.

Identifica tu ordenador al completo, y vende los datos para que otro pueda robarte

Además de los detalles anteriores, que se recopilan del ordenador de la víctima, se efectúa la conexión con un servidor de control que permite identificar la velocidad de conexión a Internet de la víctima. Se analiza también el antivirus que está instalado, pero no se hace absolutamente nada con él, sino únicamente recoger información sobre la versión. En esta batida de información, también se busca cualquier tipo de software de TPVs, cajeros automáticos y apuestas. Y por último, se obtiene información sobre el historial de navegación.

Con todos los detalles anteriores se crea una base de datos de los ordenadores analizados, cada cual con su ficha independiente. Y todo esto no se utiliza para llevar a cabo ningún tipo de ataque de forma directa, sino que como comentábamos se almacena de forma ordenada con una extensa recopilación de información sobre todas las potenciales víctimas. Y hablamos de potenciales porque los detalles sobre los equipos se venden en el mercado negro para que sean otros quienes lleven a cabo el ataque. Y ahí sí, es cuando pueden robar información bancaria, por ejemplo, o atacar un TPV, entre otras muchas posibilidades.

adslzone.net

febrero 14th 2017

WhatsApp mejora su seguridad: llega la verificación en dos pasos

Número de lecturas: 1262
{lang: 'es-419'}

WhatsApp ha estado confiando la seguridad de las cuentas de sus usuarios a la verificación de identidad a través de una llamada telefónica, o bien a través de un mensaje tipo SMS. Ahora, como ya había venido probando durante meses en sus versiones beta para dispositivos Android, ha introducido un sistema de seguridad adicional. Se trata del sistema de verificación en dos pasos, y consiste en la utilización de un código de seis dígitos como método adicional para verificar que, efectivamente, el usuario de la cuenta de WhatsApp es también su propietario.

Como en servicios similares de mensajería instantánea y correo electrónico, entre muchos otros que ya cuentan con la verificación en dos pasos, el nuevo sistema de seguridad de WhatsApp es opcional. Se puede activar desde la sección de Ajustes > Cuenta > Verificación en dos pasos > Activar. La diferencia entre el sistema de WhatsApp y el de algunos de sus homólogos es que WhatsApp pedirá este código de forma periódica para verificar la identidad del usuario, mientras que servicios similares lo solicitan únicamente en el inicio de sesión, y no de la misma forma. Otros, inicialmente piden la contraseña –configurada por el usuario-, y después envían un código único al número de teléfono asociado. WhatsApp envía el SMS y después, iniciada la sesión, pedirá este código de forma periódica.

verificacion dos pasos whatsapp

La verificación en dos pasos llega a WhatsApp para dispositivos Android, iOS y Windows Phone: más seguridad para la app de mensajería

La diferencia fundamental entre WhatsApp y servicios similares está en que WhatsApp no pide contraseña para el registro de una cuenta en el servicio. Por su parte, permite el registro a través de un número telefónico, y sin la configuración de una contraseña como método adicional. Precisamente por esto, recientemente se descubrió que fácilmente se pueden robar cuentas clonando la tarjeta SIM. Y en tanto que esa tarjeta SIM tiene el número de teléfono en cuestión asociado, WhatsApp no es capaz de detectar que el usuario no es el propietario de la misma. Ahora, al menos, este código de seis dígitos es configurado por el propietario, y solicitado de forma periódica para verificar que es él -o ella- quien está utilizando la cuenta.

Un paso más que WhatsApp ha dado en la búsqueda de mejorar su seguridad y proteger la privacidad de los usuarios. Uno de los pasos más importantes que se han dado al respecto es la llegada del cifrado de extremo a extremo, que también ha provocado algunas críticas. Más adelante, según filtraciones, llegarán a WhatsApp novedades relacionadas con los ‘estados’, de una forma muy similar al funcionamiento de las Instagram Stories en la plataforma dedicada a las fotografías.

Fuente:

adslzone.net