jueves, 30 de junio de 2016

MacroRaptor.- Python vs Macros VBA

Hay que ver como nos gusta Python a los que nos movemos en el mundo de la seguridad informática. Al menos yo no paro de descubrir scripts y/o módulos nuevos que nos pueden ayudar a detectar vulnerabilidades o diferentes ataque.

A mi, como ya sabéis, me encanta Python y hoy quiero recomendaros MacroRaptor un script que nos permite detectar macros VBA (Visual Basic for Aplications) las cuales permitirían a un atacante evitar nuestro antivirus de una manera muy fácil y ejecutar lo que se quiera. 

Ejemplo:



Usage del script:

Usage: mraptor.py [options] <filename> [filename2 ...]

Options:
  -h, --help            show this help message and exit
  -r                    find files recursively in subdirectories.
  -z ZIP_PASSWORD, --zip=ZIP_PASSWORD
                        if the file is a zip archive, open all files from it,
                        using the provided password (requires Python 2.6+)
  -f ZIP_FNAME, --zipfname=ZIP_FNAME
                        if the file is a zip archive, file(s) to be opened
                        within the zip. Wildcards * and ? are supported.
                        (default:*)
  -l LOGLEVEL, --loglevel=LOGLEVEL
                        logging level debug/info/warning/error/critical
                        (default=warning)
  -m, --matches         Show matched strings.

An exit code is returned based on the analysis result:
 - 0: No Macro
 - 1: Not MS Office
 - 2: Macro OK
 - 10: ERROR
 - 20: SUSPICIOUS

También podemos usar este script como módulo pero para eso os recomiendo que os descarguéis el script y juguéis un poco con el:


Sed Buenos ;)

miércoles, 29 de junio de 2016

Palabra de hacker.- Ingeniería social

Ayer hubo un nuevo episodio, por así decir lo Palabra de hacker ya sabéis, ese hangout sobre seguridad informática donde invitan a cracs del sector para discutir o compartir información sobre técnicas relacionadas con este mundo que nos gusta tanto. 

Ya sabéis que al principio no las tenia todas conmigo con esta iniciativa, pero la verdad es que creo que estos Hangouts son una manera divertida y fresca de estar al día. Además,  reciclarse un poco nunca viene mal.


Sed buenos ;)

martes, 28 de junio de 2016

Guia.- Privacidad y Seguridad en MacOSX

Ya os he aburrido mucho con guías de hardening de ubuntu en 10 minutos y creo que ya ha llegado la hora de que os recomiende una guía para el sistema operativo mas olvidado en este blog. Os hablo de MacOSX (Por si ni habíais leído el título xD)


Ya sabéis que la seguridad informática depende del grado de vulnerables que nos sintamos, por lo que no todos estos consejos pueden aplicarte. Aunque lo que si que te aplican para todos los sistemas operativos que toques son los "Basics".
  1. Create a threat model
  2. Keep the system up to date
  3. Encrypt sensitive data
  4. Frequent backups
  5. Click carefully
Ultra-recomendable, así que aquí teneis el enlace a la guía:

Sed Buenos ;) 

lunes, 27 de junio de 2016

ElevenPaths y las Gateways de Tor.

Últimamente están saliendo muchas noticias de problemas con el anonimato de Tor y como me encanta promocionar las cosas que se hacen por aquí pues aquí tenéis aquí tenéis el documento que ha hecho la buena gente de Elevenpath sobre el peligro que conlleva usar una puerta de enlace incorrecta.


Es un paper pequeño pero me motiva a publicar mis propias investigaciones de esta manera o al menos a ver que se puede compartir mucho con muy poco. 

Enlace al blog de Elevenpaths: 
Enlace al Paper:
Sed Buenos ;) 

domingo, 26 de junio de 2016

El libro de Radare 2

Ya sabéis que le ingeniería inversa no es algo que lleve bien, así que si me habláis de un framework destinado a ello cono es Radare pues la verdad es que necesito buscar guías, libros y Cheat Sheet para poder hacer algo.


Pues hoy quiero recomendaros el Libro de Radare 2 una reversión del antiguo libro de Radare que la comunidad ha ido perfilando. De esta manara os comparto los dos libros: 

Sed Buenos que ya tenemos lectura suficiente para días xD

sábado, 25 de junio de 2016

Dame una Shell.- Seguridad Perimetral II

Hoy es un poco tarde lo se,  pero quiero recomendaros un proyecto que está realizando el amigo Snifer ya que, han mejorado muchísimo y merece que sea compartido. Esta es la segunda parte del Primer Hangout de Seguridad Perimetral estaremos con @Ethan1988 donde veremos Fortigate, Cisco ASA y Pfsense.


Pero podéis encontrar muchísimo mas material es su blog a de mas de uniros a su grupo de telegram que me ha dicho un pajarito que va bastante bien.

Enlace al blog:

Sed Buenos ;)

jueves, 23 de junio de 2016

A lo mejor lo de la huella no es tan buena idea.

Los jueves suelen ser los días que mas apretado voy para hacer las entradas, pues como ya sabréis, hoy es un día de celebración pero eso no quita que si veo algún buen vídeo lo pueda compartir con vosotros. 

Hoy toca darle un repaso al sistema de biometría que utilizan ciertos smartphones para "mejorar" nuestra seguridad y ver lo fácil que es evitarla.

 

Fuente y muchísima mas información:
Sed Buenos ;)

miércoles, 22 de junio de 2016

Evadiendo Cloudfare con Python.

Me juego un euro a que alguna vez os habeis topado con la típica página web que al acceder nos indica lo siguiente: "Checking your browser before accessing website.com. This process is automatic. Your browser will redirect to your requested content shortly. Please allow up to 5 seconds... " A mi siempre me ha parecido una desconfianza tremenda hacia mi persona. Pues ahora con el modulo de Python cloudflare-scrape de Anorov podemos dotar a nuestros scripts de la capacidad de bypasear estas medida de protección


Eso si, usad el modulo con ojo ya que este código ejecuta código JavaScript de manera arbitraria, lo que potencialmente puede ser perjudicial en algunos entornos de ejecución. Debido a esto, los únicos motores de JavaScript que permite el módulo son PyV8 y Node.js. Con Node, todo el código se ejecutará en un entorno limitado, por lo que la biblioteca estándar de Node es inaccesible. Con PyV8, el sistema de archivos y la shell no se puede acceder en absoluto.

Es uso es del módulo es tan fácil como llamar a la función create_scraper() en nuestro script y seguir el siguiente ejemplo:
 
import cfscrape 
scraper = cfscrape.create_scraper() # returns a CloudflareScraper instance # Or: scraper = cfscrape.CloudflareScraper() # CloudflareScraper inherits from requests.Session print scraper.get("http://somesite.com").content # => "<!DOCTYPE html><html><head>..."


Aquí tenéis el enlace a módulo que si sois como yo ya tendréis ganas de jugar con el:
Sed Buenos ;) 

martes, 21 de junio de 2016

Tor y su defensa contra exploits anti-anonimato.


Hace unos días que salto en mi timeline la noticia de que el proyecto Tor iba a lanzar una actualización para prevenir el exploit "anti-anonimato" (No se como decirlo de otra forma) que estaba utilizando el FBI, pues ya ha salido el paper explicando como van securizar TOR y la verdad es que, creo, que van por el buen camino con la "randomización" la carga de procesos. 


Resumen del Paper: 

"En este trabajo, presentan selfrand una técnica de asignación al azar del tiempo de carga de procesos para el navegador de tor que defiende contra ataques, como el que FBI supuestamente utilizó contra los usuarios de Tor. La solución mejora la seguridad en las técnicas de ASLR (Address space layout randomization) que se utilizan actualmente en Firefox y otros navegadores convencionales."

Enlace al paper:

¿Que opináis vosotros? Yo creo que con esto, el proyecto esta dando un paso hacia la buena dirección y la verdad es que es un cambio bastante considerable.

Sed Buenos ;)

lunes, 20 de junio de 2016

Que no nos pillen con el carrito del helado.

En mi país estamos de elecciones y ya estamos un poco artos de ver a los políticos sonreír en momentos que no toca o en interesarse mucho mas por los ciudadanos. 

La parte de todo esto es que podemos ver de primera mano técnicas de ingeniería social que ni el mismísimo Kevin Mitnick podría igualar. Aunque, también podemos aprender a detectarlo, os dejo un vídeo para que veamos que podemos aprender de la expresión corporal de una persona y así detectar una mentira. 


Sed Buenos ;)

domingo, 19 de junio de 2016

Mundo Hacker - Infraestructuras críticas

Domingo palomitas y Mundo Hacker, ¿Puede haber algo mejor? Pues si, que en el capitulo de esta semana hablen de lo mal que están  las infraestructuras criticas y de lo fácil que es para algunos encontrarlas.  Esto es un secreto a voces dentro de la comunidad y esta muy bien que alguien saque los colores a los responsables.
Sed Buenos ;)

viernes, 17 de junio de 2016

10 Minutos Para securizar Ubuntu.

Ayer haciendo un poco de recordatorio de entradas pendientes, me encontré que tenia esto en le tintero desde hace unos días y la verdad que vale mucho la pena. 



¿Que harías vosotros en los primeros 10 minutos de vida de vuestro servidor Ubuntu? - Aplicar las guías de hardening que tengáis ¿no?

Pues en esta web es una guía muy buena para el securizado de servidores Ubuntu, se podrían hacer concursos y todo:

Sed Buenos ;) 

jueves, 16 de junio de 2016

Nexpose Vulnerability Exclusion WorkFlow

Hace unos días me explicar como Nexpose realizaba la exclusión de vulnerabilidades, por si se conoce un falso positivo o alguna vulnerabilidad aceptada, y esta imagen me salvo de una lectura de la guía de administrador. Así que os la recomiendo muchísimo.


No se va a ver bien la imagen así que os dejo la fuente:
Sed Buenos ;)

miércoles, 15 de junio de 2016

Windows.- Hijacking ShortCuts

Hoy ha salido el boletín de vulnerabilidades de Windows así que espero que hayáis actualizado vuestros equipos. No obstante y como no puede ser de otra manera Microsoft no para de sorprendernos con su bugs, en esta ocasión Windows 8.1 nos permite suplantar o secuestrar Shortcuts.

Los archivos .lnk pueden estar asociados a una tecla de acceso directo. Normalmente, [un archivo .lnk permite asignar sólo combinaciones] de  ctrl + alt + <tecla>. Sin embargo existe una solución con Powershell para asignar cualquier tecla de acceso directo que nosotros queramos, incluso Ctrl + V o Ctrl + C.

Jerry Gambli, que es el que ha dado con esta vulnerabilidad ha publicado una PoC muy chula adjuntado hasta el código para que cualquiera podamos jugar con el. Además se ha grabado en vídeo.


Por si queréis los scripts y mas información visitad la fuente que se lo ha currado:
Sed Buenos ;) 

martes, 14 de junio de 2016

Lista de Fuzzers Open Source

Hemos hablado muchísimo sobre los Fuzzers y sobre el Fuzzing así que ya es hora de hacernos con unas cuantas herramientas y jugar con ellas de una forma tranquila y ordenada. Además si son Open Source mejor que así nos acostumbramos a lo "bueno". 



Lista:
No he escrito que hace cada uno para que pinchéis en la fuente, que ya que se lo han currado ellos, es de menester.


Sed Buenos ;) 

lunes, 13 de junio de 2016

Mas Videos.- RootedCON 2016

Siento que desde hace unos días no os recomiende nada mas que vídeo pero estos son obligatorios. De la RootedCON ya lo hemos explicado todo, pero con deciros que es uno de los mejores congresos sobre seguridad informática de España ya lo hemos dicho todo. 


Así que aquí tenéis los vídeos de las ponencias del congreso. Os recomiendo coger libreta y un buen boli, porque se ha de aprender de todos estos genios y es un reciclage excelente.

Más info y fuente a parte de la lista de la Rooted:
Muchas gracias a Omar Benbouazza de la Rooted por compartir los vídeos en la lista. 

Sed Buenos ;) 

domingo, 12 de junio de 2016

Eleven Paths y OSINT

Ya sabéis lo que me encantan las técnicas OSINT y el aprecio que le tengo a la gente de Eleven Paths, así que juntad los dos y le añadimos una charla, yo ya tengo la tarde hecha.

Bueno antes de recomendaros el vídeo solo deciros que es una sesión impartida por Diego Espitia y que si no os gusta el teme de OSINT Eleven Paths tienen todas estas charlas publicadas en el blog del maligno:

 

Sed Buenos ;) 

viernes, 10 de junio de 2016

Vídeo.- Edward Snowden y VICE

Hoy ha sido un viernes atípico para mi por eso os dejo con la entrevista que le hizo el Fundador de VICE a Edward Snowden, la cual ha sido compartida por la lista de la Rooted CON y aprovechando que viene el fin de semana creo que es muy recomendable para relajarnos sin desconectar de este mundo tan extenso y que nos gusta tanto.


Sed Buenos ;)

jueves, 9 de junio de 2016

El OpenRedirect de Google

Ya hablamos hace tiempo del la lista de correo Bugtraq y de todo lo que podíamos encontrar en la página de SecList.Org, pues ya hace tiempo se publicó un URL redirect que afectaba a Google y que la empresa del fantástico buscador  no ve como vulnerabilidad (Técnicamente no afecta a Google directamente) pero si que puede afectar a terceras personas o ayudar que que la gente pique en temas de Phishing.


Así que me he montado una PoC con WhatistheirIp y el URL redirect para que se pueda ver la afectación.  Bueno el "usage" es fácil, la vulnerabilidad reside en la siguiente URL: 
  • https://www.google.com/amp/XXXX 
Así que solo tendréis que substituir las XXXX por la pagina web a la que quereis que la víctima vaya, sin el https:// o el http://

Ejemplo y fuente:

PoC:


Sed buenos con esto 0;) 

miércoles, 8 de junio de 2016

WatchDogs2 y Empire

Pues nada, ya hablaremos sobre el tema del hackeo al dueño de Facebook. Pero es que ayer por la tarde mientras esta grabando un vídeo para el blog y para refrescar el canal de Youtube, di con la siguiente imagen. 


¿Empire? Espera un momento, esa herramienta me suena. 

Efectivamente Empire es una herramienta para la post explotación de una vulnerabilidad que nos ha dado acceso al sistema y nos da la posibilidad de: ejecutar agentes PowerShell sin necesidad del powershell.exe, despliegue rápido de módulos de post-explotación que van desde los keyloggers a Mimikatz y la posibilidad de evadir la detección de red. Además de código libre y hasta tiene un poco de Python.  

(Ojo también tenemos la versión hecha enteramente en Python, llamada [EmpYre], por lo que instalando las dependencias correctas y una App como QPython esa imagen podría ser verdad. Aunque creo que solo nos da la opción de una conexión segura)

Si teneis mas curiosidad os dejo el repositorio a la herramienta, un CheatSheet y la documentación: 
Además os recomiendo mucho que visitéis el blog del creador de la herramienta donde podréis encontrar mucha mas información técnica:
Sed Buenos ;) 

martes, 7 de junio de 2016

Linux.Wifatch y Mas allá del muro.

Hoy os iba a hablar un poco sobre le Hackeo a Mark Zuckerberg (nombre que siempre tengo que buscar por que no tengo narices a escribirlo bien a la primera) pero la última entrada en el blog de incibe me ha tocado el corazón. 

"Más allá del muro habitan los salvajes. Todos en Poniente lo saben. Por eso confían en la Guardia de Noche, protectores de los 7 reinos. En el mundo de la ciberseguridad también hay personas que viven más allá del muro y sabemos que no todos tienen malas intenciones, puede que no cumplan las leyes establecidas, pero sus intenciones no parece ser destruir todo lo establecido."

Siempre he pensado lo mismo (Y además con una analogía a juego de tronos, que mas pedo pedir), no todo es luz y oscuridad siempre hay una escala de grises. Tomando en cuenta que todo el malware que se encuentra está programado por una persona, ¿porqué no se pueden usar esos "poderes de hacker" para hacer el bien?

Como por ejemplo malware Linux.Wifatch el cual rebuscaba en el puerto 23 (el del telnet en busca de sistemas Linux que no tuvieran contraseñas o las tuvieran por defecto para securizarlos  y además dejar una nota a la antigua usanza.
 
 
Por cierto si queréis muestras de este malware para analizarlo os recomiendo leer la fuente, que la gente de incibe nos ha dejado dos preparadas:


Sed Buenos ;) 

lunes, 6 de junio de 2016

Windows 10 y el saltelite Africano.

Hay hablamos hace tiempo de lo pesado que es Microsoft para que actualices a Windows 10 y de los que supone eso para nuestra privacidad. Bueno, recordemos que el nuevo sistema operativo ha sido "rebajado" a la categoría de nagware y que fuerza la instalación de este. Ya sabéis,  nagware es ese tipo de software que te recuerda cada dos por tres que has de registrarte y pagar al propietario. 



Pues ahora ha tirado un satélite y creo que ya van dos que caen por culpa de actualizar algo cuando no toca. Pero en esta ocasión es entendible ya que el chico encargado del software no estaba formado y al actualizarse el SO y arrancarse todos los proceso el programa no se inició e hizo que el satélite cayera. 

Más información:
Sed Buenos ;) 

domingo, 5 de junio de 2016

Vídeo.- Eset Latinoamérica Ransomware

Hace un par de días hablamos sobre el [phishing de endesa] que instalaba un Ransomware a través de un archivo .js y nunca es mal día para repasar que es un Ransomware y que podemos hacer para no infectarnos con el.


Así que hoy os recomiendo uno de los vídeos que Eset Lationamérica  distribuye gratis por Youtube y el cual esta dedicado a este tipo de Malware.  Aunque está en latino, la explicación sirve para todos los idiomas.


Sed Buenos ;) 

viernes, 3 de junio de 2016

El Phishing de Endesa ¡Ojo!

Los que llevéis al día las noticias de seguridad informática, sabréis que esta va algo tarde pero bueno siempre hay gente que se orienta por las noticias de mi blog así que, no confiéis en una factura de Endesa  que tenga como remitente a "Factura electrónica de Endesa".

El correo electrónico luce tal que así, con una factura de casi unos mil euros y con un montón de dígitos creados aleatoriamente.  Claro, antes ya se habrá ocupado el malo de buscar tu nombre o el de tu empresa para rellenar los campos de nombre y apellidos. 


Este mail no seria mas que una broma de mal gusto si, al clicar al enlace no se nos descargara un archivo .zip llamado ENDESA_FACTURA.zip que contiene un archivo .js (ENDESA_FACTURA.js) que no debemos ejecutar por nada del mundo ya que de hacerlo se instalara un malware de la familia de lo ransomwares que cifrará todo el contenido de vuestro equipo y os lo chantajeará con dinero para volver a dejarlos como estaba. 

¡Ojo, si no ejecutamos el archivo .js no estamos infectados!

La solución a este problema la podréis encontrar en la pagina web de la oficina de seguridad del internauta ademas de muchos mas consejos para preveniros de este problema. 

Enlace: 
Sed Buenos ;) 

jueves, 2 de junio de 2016

Slide.- Método Ruso para evitar WAF's

Últimamente, al menos en mi sector, se están poniendo de moda los WAF (Web Application Firewall) y alguien los habrá que meterles caña para que con un grado de seguridad aceptable. Así que hoy os voy a recomendar unas Slides Rusas en perfecto inglés menos el titulo que esta en perfecto Ruso, sobre como evadir WAF a través de diferentes técnicas conocidas pero bien explicadas. 


Enlace:
Edito:



Sed Buenos ;) 

miércoles, 1 de junio de 2016

El teclado con TOR y Tails

Bueno, hoy no tenia pensado hacer esta entrada pero creo que se lo merece.  Imaginad que sois un paranoicos como yo de la seguridad informática y que vais siempre con vuestra distribución de Tails Linux bajo el brazo pues este es vuestro teclado. 

SilentKeys es un teclado que al pulsar un botón nos levanta, o una máquina virtual con una versión de Tails modificada para el proyecto o el navegador de Tor. Si, es una idea muy simple pero a nadie se le había ocurrido hasta ahora y la verdad es que reforzamos nuestra seguridad. 


¿Os imagináis hacer algo así con Kali Linux? ¿Que una opción os abra la maquina virtual con Kail y con la otra un navegador tuneado con plugins y TOR? Se ha de trabajar en eso. 

Pero de momento esto es lo que ganamos al usar este teclado que además es pequeño y bastante portable. 


La mala noticia es que aún es un proyecto de Kickstarter pero podeis encontrar mucha información util. 
Sed Buenos ;)