jueves, 29 de octubre de 2015

Actualiza las versiones de software: Protégete contra los Bad Boys - OSINT y Known-Vulnerabilities (Parte II de III)

Compartir este artículo:
Tras recopilar información sobre diferentes bases de datos de servicios FTP en IPv4 se pueden sacar algunas cosas en claro. Algo llamativo es la diferencia de máquinas entre los meses de Abril y Julio de 2015. En abril de 2015 podemos encontrar con más de 14.000 máquinas que presentan que responden con banners de software vulnerable, asumiendo un 50% de falsos positivos, que pueden ser demasiados, podemos encontrar con más de 7.000 máquinas distribuidas vulnerables y que se encuentran a un “botonazo” para que cualquiera las pueda controlar, si no lo hacen ya.


En el mes de Julio de 2015 se pueden encontrar en las bases de datos publicadas en scans.io más de 52.000 máquinas con alguno de los banners listados anteriormente. Se puede observar como las versiones de software vulnerables aumentan considerablemente. Quizá uno de los que más llama la atención sea el software ProFTPd 1.3.3c que incrementa los banners de 9546 máquinas a 35168.


Creando el nodo central de ejecución (Remake de autopwn?)

Una vez identificadas las máquinas candidatas debemos pensar en centralizar esfuerzos. La idea de un nodo central de ejecución de exploits con toda la información procesada previamente nació de centralizar esfuerzos. Es cierto que quizá disponer de varias máquinas en el mundo y poder distribuir esfuerzos para la consecución del control sería una táctica mejor, pero la idea de la prueba de concepto es hacerlo lo más sencillo posible.

En la charla muchos vieron en este módulo una idea similar al autopwn de Metasploit, el cual ya no se encuentra en la edición Community. La información procesada previamente se clasifica en un fichero de texto con un formato específico, el cual será leído por el módulo que realicemos. El formato definido es el siguiente
  • Cada línea del fichero representa una máquina vulnerable en Internet encontrada mediante el uso de las bases de datos OSINT.
  • Los valores que deben ser leídos y que muestran diferentes atributos están separados por pipes. El primer valor indica la dirección IP de la máquina vulnerable. El segundo valor indica el módulo de Metasploit que debe ser cargado y configurado automáticamente. El tercer valor indica el puerto remoto dónde el servicio se encuentra a la escucha. Este valor se leerá y configurará en el módulo automáticamente por nuestro módulo. El cuarto valor indica qué tipo de payload se ejecutará en caso de que la ejecución del módulo indicado en el atributo 2 sea correcta. El quinto valor es opcional, pudiendo indicar atributos avanzados de los módulos, como por ejemplo InitialAutoRunScript, el cual indica que cuando se ejecute un Meterpreter se migre automáticamente de proceso.

Más adelante se podrán ver más detalles sobre el módulo, ya que tiene algunos detalles a bajo nivel que son interesantes. Además, se puede encontrar en mi Github

¿Dónde están las máquinas? ¿Nadie piensa en las máquinas!? 

Una de las ideas de esta prueba de concepto era poder demostrar que las máquinas víctimas podrían estar distribuidas por países. Esto demostraría que disponer de máquinas en distintas ubicaciones geográficas aporta un poderío y una ventaja al atacante. Para procesar la información y obtener la geolocalización de las máquinas que nos interesan se desarrolló un script que mediante un servicio similar a ip2location nos permite obtener esta información.


Como puede verse los valores que se almacenan son:

  • La dirección IP de la máquina.
  • El país dónde se encuentra la dirección IP.
  • La región / ciudad dónde se encuentra la dirección IP.
  • El código del país.
  • El fichero / software dónde se encontró la máquina.

Una vez realizado todo este proceso se pueden sacar algunos datos curiosos. Por ejemplo, la aplicación PcMan FTP 2.0.7, la cual el texto de su interfaz está en algún idioma asiático solo tiene presencia en Taiwan. Lo más curioso es que si echamos un vistazo a exploit-db con la siguiente búsqueda: https://www.exploit-db.com/search/?action=search&description=pcman nos daremos cuenta de que ese software tiene muchos agujeros. Por cada comando del FTP hay un buffer overflow, y uno se pregunta… ¿Este software está puesto ahí adrede o es casualidad?


Bien, tras analizar por encima diversos datos y ver que se cumplía uno de los objetivos de la prueba de concepto que era ver máquinas distribuidas por el mundo, debía realizar un script que me cogiera solo las direcciones IP para, a posteriori, poder crear el mapa gráfico. El script encargado de recolectar direcciones IP con sus códigos de país fue denominado xoxo2ip.rb. Este script facilitaba mucho la tarea de generateMap.rb, el cual utiliza un servicio online que nos presenta el mapa.


En la imagen anterior podemos ver la salida del script generateMap.rb, el cual me devuelve una dirección URL a la que podemos acceder para visualizar el mapa gráfico. Como se puede ver en el gráfico, dispondríamos de máquinas en una gran cantidad de países. Como curiosidad, y por si alguien piensa en irse a la isla de Barbados, allí salía una máquina con software vulnerable. ¿La localizáis?


miércoles, 28 de octubre de 2015

Actualiza las versiones de software: Protégete contra los Bad Boys - OSINT y Known-Vulnerabilities (Parte I de III)

Compartir este artículo:
Hace unas semanas tuve la suerte de estar en el congreso Albahaca CON 2015 celebrado en Huesca. La ponencia que tenía un título parecido a ¿Cómo los chicos malos pueden conquistar el mundo? En honor al inglés del gran Rafa Otal, es una idea sencilla basada en las fuentes abiertas de información y procesamiento de ésta con el objetivo de encontrar máquinas distribuidas por el mundo que contengan software vulnerable. Una de las preguntas que podemos hacernos es, ¿Qué es exactamente conquistar el mundo? Pueden ser muchas cosas, pero para algunos usuarios podría definirse como la posibilidad de tener mucha presencia, gran capacidad de cómputo y tener todo esto de manera distribuido alrededor del mundo. Con este fin es difícil parar o bloquear a este ejército cibernético.

El vector de partida en esta investigación son las fuentes OSINT, las cuales proporcionan gran cantidad de información. La pregunta de la charla es: ¿Si procesáramos las fuentes de forma adecuada obtendríamos información sensible la cual podría ser utilizada para obtener el control de un gran número de máquinas distribuido? La vía para tomar el control de las máquinas está claro que podría ser un exploit público. ¿Existirán muchas vulnerabilidades conocidas? Ésta es una pregunta de difícil respuesta, al menos podemos intuir que sí, pero a ciencia cierta es complejo decir si mucho o poco. Entonces, ¿Qué queremos comprobar?

1. Encontrar las fuentes de información abiertas que pueden proporcionar información sobre software y máquinas en Internet.
2. Listar para el caso particular un número de software y versiones concretas.
3. Procesar esta información con el fin de detectar software no seguro y para el que existe un exploit público que permitiría a un usuario malicioso tomar el control de las máquinas.
4. Una vez detectadas las máquinas con software vulnerable se necesita una herramienta que permita demostrar cómo se podría tomar el control de las máquinas. Para esta ocasión se quiere ejecutar un módulo de Metasploit implementado por mí para hacer algo muy similar a lo que hacía el famoso autopwn.
5. Las máquinas, ¿Dónde están? La geolocalización es fácil de realizar. Nos interesa demostrar la distribución de las máquinas, por lo que se puede obtener el país y provincia dónde se encuentra la máquina. Esto nos proporciona la posibilidad de realizar un mapa distribuido, que siempre ayudará a ver todo el impacto gráficamente.



Análisis de OSINT y escaneos a IPv4

El primer paso en todo esto es verificar de dónde sacar la información que queremos procesar. En primer lugar uno siempre se dirige a Shodan si quiere realizar búsquedas de dispositivos. En Shodan podréis encontrar resultados asombrosos con software como Freesshd 1.2.6 instalado en más de 20.000 máquinas en todo el mundo. Utilizando un listado de otras aplicaciones con vulnerabilidades conocidas fui buscando más resultados en Shodan y todo hacía indicar que los números de máquinas serían grandes. Otra alternativa que me planteé fue la de utilizar ZMap para barrer el direccionamiento de IPv4 y mediante la herramienta ZGrab poder detectar máquinas con servicios vulnerables en Internet. Para el que no conozca ZGrab solo decir que la herramienta realiza una conexión al puerto en cuestión y nos permite almacenar el banner del servicio. En muchas ocasiones los servicios FTP, por ejemplo, nos proporcionan en el propio banner la información necesaria para detectar la versión. Hay que tener en cuenta que en otras ocasiones el banner que se puede leer de un servicio puede estar falseado, por lo que esta información no es 100% válida, aunque si nos permite hacernos una idea del número de máquinas que podríamos “trastear”.

Mientras pensaba en qué opción utilizar para obtener la información lo más en bruto posible mi compañero de Eleven Paths y amigo Rafa Sánchez me comentó un sitio web llamado scans.io. En este sitio podemos encontrar bases de datos gigantescas con diferentes scopes. Por ejemplo, encontré que cada mes realizan entre 3 y 4 escaneos a todo IPv4 con ZMap y ZGrab y publican los resultados de lo encontrado. Entonces recordé una de las cosas que me decían mucho los profesores en la Universidad: “reutiliza”. Así que pensé que utilizar estas bases de datos podría ser interesante. Antes de seguir quiero dejaros qué tipos de bases de datos podemos encontrar en scans.io: escaneo completo a IPv4 con captura de handshakes en HTTPs, escaneos a IPv4 para detectar la vulnerabilidad de Heartbleed, escaneo completo a IPv4 con recopilación de banner grab, escaneos al primer millón de dominios de Alexa, escaneo completo a IPv4 y recopilación de servidores HTTP, certificados, etcétera. ¿Cuáles son las fuentes? Los escaneos son llevados a cabo por los equipos de Rapid7, Universidad de Michigan, Fedora Project, Project 25499, etcétera. Cómo mencioné anteriormente vi que en scans.io existe un escaneo periódico, entre 3 y 4 veces mensuales, a los servidores FTP accesibles en IPv4 y que recolectaban los banners de dichos servicios. Decidí descargar unas cuantas versiones de las bases de datos, aunque cada una era entre 3 y 4 GB.

Procesar información de la base de datos y detección para estudio

Analizando el fichero json que nos descargamos de scans.io podemos ver qué campos son los que nos interesan. Accediendo al campo del banner y del host sabemos que “escupe” el servicio cuando le preguntas y en qué dirección IP se encuentra. Para la ponencia fue interesante estudiar diferentes FTP como son:

  • ProFTPd 1.3.3c
  • warFTPd 1.65
  • WS_FTP Server 5.0.3
  • WS_FTP Server 5.0.5
  • PCMan FTPd 2.0.7

A priori, a muchos le sonarán de poco, pero para la prueba de concepto es más que suficiente. Todas estas aplicaciones son identificables por el banner que devuelven, aunque hay que recordar que existen honeypots que nos pueden engañar. Mediante el uso de expresiones regulares podemos ir detectando las versiones que se vuelvan en los banners y almacenándolos. La información recopilada por el primer script que se montó, denominado con un nombre original como procesar.rb, es la siguiente:

  • Host
  • Fecha
  • Respuesta en la conexión (banner)

Además, el script cuando finaliza nos indica el número de máquinas que cumplen con las condiciones propuestas en la expresión regular.



domingo, 25 de octubre de 2015

Informe Flu - 226

Compartir este artículo:

Buenas a todos, estas dos semanas están siendo complicadas por temas personales y de trabajo, por lo que no nos ha sido posible publicar tantos artículos como nos gustaría, pero al menos hemos querido compartir con todos vosotros algunos de los eventos más significativos que nos acontecerán próximamente en el mundo de la ciberseguridad.

Como cada domingo, os dejamos con nuestros “Enlaces de la semana”:

Martes 20 de Octubre
Sábado 24 de Octubre
    Saludos!

      sábado, 24 de octubre de 2015

      Respuestas #SIC: Ciberseguridad: servicios gestionados avanzados y a medida

      Compartir este artículo:
      Buenas a todos,  los próximos días 27 de octubre en Barcelona y 29 de octubre en Madrid, la revista SIC organiza una nueva edición de las jornadas Respuestas SIC, tituladas “Arquitecturas, tecnologías e inteligencia. Ciberseguridad: servicios avanzados y a medida”, y en ellas se debatirá el estado del arte y las perspectivas a medio plazo del mercado de la provisión de servicios de ciberseguridad gestionada.

      En ambas ediciones estará mi compañero Javier Santos, en representación de mi empresa, dando nuestra visión sobre la ciberseguridad, y seguramente intentaré acercarme a la edición de Madrid, por si alguien quiere compartir un café durante la mañana.

      Os dejo a continuación con la noticia original:

      Es ya obvio que, bien por razones de cumplimiento legal, bien por razones de buen gobierno, bien por las dos, no hay hoy en día organizaciones privadas y públicas que puedan permitirse mantener equipos de analistas y de operadores propios en todos los frentes que demanda la gestión de la ciberseguridad, por lo que el de la seguridad gestionada por terceros es un camino que no tiene retorno y, además, se encuentra en fase expansiva.

      Todos los prestadores de servicios de seguridad gestionada (MSSPs) no son iguales. Y no únicamente por su tamaño, capacidad financiera, implantación geográfica… sino por su origen o procedencia sectorial: proveedores especializados, operador de telecomunicaciones, big four, fabricante de TIC, integradores/proveedores de servicios TIC gestionados, proveedores de correlación e inteligencia en la nube para MSSPs y cliente final, fabricante de seguridad TIC con centro de servicio gestionado para cliente final...

      Las relaciones de todos los actores del mercado se encuentran actualmente en fase expansiva, aunque no exenta de necesidades de transformación, debido principalmente al avance de las modalidades de servicios en la nube y a la movilidad, que afectan por igual a clientes y proveedores.

      España es un país avanzado en el mercado de ciberseguridad gestionada orientado a grandes organizaciones. Inició su desarrollo hace dos décadas y hoy cuenta con notables actores en la oferta y la demanda.

      En este Respuestas SIC, tomarán parte expertos de primer nivel (algunos de ellos CISOs), y copatrocinarán el evento siete proveedores de nivel que operan en nuestro mercado: BT, Deloitte-CyberSOC, Innotec System (Grupo Entelgy), KPMG, S2 Grupo, S21sec y Telefónica.


      LUGAR:

      • Barcelona: 27 de Octubre de 2015. Hotel Novotel Barcelona City
      • Madrid: 29 de Octubre de 2015. Hotel Novotel Campo de las Naciones



      PROGRAMA:

      09:00Acreditación y entrega de documentación


      CLAVES PARA UN ENFOQUE CORRECTO
      09:30
      Situación y evolución de los servicios gestionados de ciberseguridad:
      hacia el 3.0 y más allá...

      PonenteJuan Miguel Velasco, Partner & Managing Director
      de AIUKEN SOLUTIONS
      10:10Coloquio


      APROXIMACIONES DEL MERCADO: SERVICIOS Y SOLUCIONES
      10:15
      BT

      PonenteJosé Pereiro, Director para España y Portugal de BT Security
      10:35
      DELOITTE
      PonentesXavier Gracia (sesión Barcelona). Director CyberSOC
      Abel González (sesión Madrid). Director CyberSOC
      10:55
      INNOTEC - GRUPO ENTELGY

      PonenteJorge Uyá Gil, Director de Operaciones
      11:15
      KPMG

      PonenteJavier Santos, Director de Ciberseguridad
      11:35Pausa-café

      12:05
      S2 GRUPO

      PonenteJosé Miguel Rosell, Socio
      12:25
      S21SEC

      PonenteAndoni Valverde, Head of Cybersecurity Managed Services
      12:45
      TELEFÓNICA
      PonentesRafael Tortajada (sesión Barcelona), Responsable Territorial de Desarrollo de Negocio. Dirección de Defensa y Seguridad
      Juan Hernández Orea (sesión Madrid), Gerente de Desarrollo de Negocio. Dirección de Defensa y Seguridad
      13:05Coloquio general


      DEBATE
      13:25
      La visión de los usuarios. Escenarios actuales, limitaciones y necesidades. 

      Participantes:
      Carles Solé (sesión Barcelona), Director de Seguridad de la Información. CAIXABANK
      Tomás Roy (sesión Barcelona), Director de Estrategia
      de Seguridad. CESICAT
      Ángel Campillo (sesión Madrid), CISO. CARREFOUR ESPAÑA
      Rafael Hernández (sesión Madrid), Responsable de Seguridad
      de la Información. CEPSA
      14:30Almuerzo para los asistentes

      martes, 20 de octubre de 2015

      @ESET_ES Security Days en Barcelona, 4 de Noviembre

      Compartir este artículo:
       
      Buenas a todos, en el post de hoy nos gustaría hablaros de un evento que organizan nuestros amigos de ESET España y que tendrá lugar en Barcelona, el próximo día 4 de Noviembre. El ESET Security Day 2015.
       
      Como en los anteriores Security Days en los que hemos participado, habrá buenas ponencias, un buen catering con jamón (del güeno...), y todo... gratis!, ¿qué mas se puede pedir? :)
      • ¿Cuándo?: noviembre 4, 2015 15:40h
      • ¿Dónde?: CCCB - Centro de Cultura Contemporánea de Barcelona
       Os dejamos con la agenda del evento:

      15:40 – 16:00 hrsRecepción y registro de asistentes
      16:00 – 16:05 hrsBienvenida
      Matías Zublena, COO ESET España
      16:05 – 16:50 hrs“Empresa TIC, ¿responsable penal?”
      Ruth Sala, Abogada penalista especializada en delincuencia informática
      16:50 – 17:10 hrsCoffee Break
      17:10 – 17: 50 hrs“All you need is love… y un poquito de seguridad”
      Joaquín Molina (‘Kinomakino’), experto en seguridad de ESET España
      17:50 – 18:30 hrs“Cómo proteger tu web y tienda online con eficacia”
      Rafael Otal Simal, Desarrollador y Hacker Ético
      18:30 –  ESET & cañas
      Unas cañitas y jamón para hacer networking 

      El evento está especialmente dirigido a los administradores de TI, CIO, directores de seguridad, administradores de sistemas, gerentes de empresas y cualquier otro perfil interesado en la seguridad.
       
      Si queréis saber más sobre el evento o inscribiros, podéis pasaros por su sitio web:


      Saludos!

      domingo, 18 de octubre de 2015

      Informe Flu - 225

      Compartir este artículo:

      Buenas a todos, como cada domingo, os dejamos con nuestros “Enlaces de la semana”:

      Lunes 12 de Octubre
      Martes 13 de Octubre
      Miércoles 14 de Octubre
      Jueves 15 de Octubre
        Saludos!

          jueves, 15 de octubre de 2015

          Hacking ético y Auditoría informática en la Universidad De Coruña

          Compartir este artículo:
          El próximo 23 de Octubre da comienzo en A Coruña el curso de Hacking Ético y Auditoría Informática que organiza la Universidad Da Coruña y el centro de formación Aula Nosa. Las entidades colaboradoras son la Facultad de Informática Da Coruña, Colegio Profesional de Ingeniería en Informática de Galicia y Escuela de Especialidades Antonio Da Escaño. Tengo la suerte de comenzar con el curso el próximo 23 de Octubre. En semanas posteriores irán acudiendo al curso profesionales de la talla de Rafa Sánchez, Miguel Ángel García o Daniel González

          Cada uno dará una temática y especialización distinta. Los módulos son de 10 horas y darán una visión global de la Seguridad de la Información desde el punto más técnico de la mano de Rafa, Miguel o yo, hasta el punto más de gestión y análisis del riesgo de la mano de Daniel. Los primeros 10 inscritos recibirán el libro de Ethical Hacking: Teoría y práctica para la realización de un pentesting. A continuación o dejo el díptico:


          Os esperamos. 

          miércoles, 14 de octubre de 2015

          Evasión de antivirus con PEScrambler

          Compartir este artículo:
          Buenas a todos, la pasada semana mientras buscaba algunos packers y herramientas de ofuscación para realizar unas pruebas con flu.exe, di con una interesante herramienta llamada PEScrambler, que fue presentada hace ya algunos años en Defcon (https://labs.mwrinfosecurity.com/blog/2008/08/11/defcon-16-talk-review-advanced-software-armouring-and-polymorphic-kung-fu/). Aunque es algo antigua (2008) sigue siendo funcional y muy eficiente.

          Tal y como la describe su autor:

          PEScrambler is a tool to obfuscate win32 binaries automatically. It can relocate portions of code and protect them with anti-disassembly code. It also defeats static program flow analysis by re-routing all function calls through a central dispatcher function. 

          Básicamente, este programa permite recolocar los punteros de llamadas a funciones y de llamadas al sistema. Además ofusca la pila con las variables para dificultar su detección por parte de sistemas antimalware. Sin duda una interesante tool para ocultar un malware y evadir a los antivirus.


          Una vez descargado el programa, su uso es tan sencillo como ejecutar la siguiente instrucción en un CMD:
          PEScrambler.exe -i flu.exe -o fluencoded.exe 

          Os dejo también un Power Point con más información: AdvancedSoftwareArmoringAndPolymorphicKungFu.pptx

          Saludos!

          martes, 13 de octubre de 2015

          El 20 de Octubre estaré en @ISACABCN hablando de ciberamenazas

          Compartir este artículo:
          Buenas a todos, el próximo 20 de Octubre estaré en las IV Jornadas Isaca Barcelona para dar una charla sobre ciberamenazas titulada "Técnicas avanzadas para la prevención de Ciberamenazas", entre las 16:35h y 17:10h. Donde hablaré de distintas técnicas OSINT para la alerta temprana y la detección de posibles amenazas a las TIC.

          Os dejo a continuación con la información del evento y la agenda:

          BARCELONA 20 de octubre 

          ISACA Barcelona es una entidad sin ánimo de lucro que desarrolla actividades y certificaciones profesionales de reconocimiento mundial. Está compuesta por profesionales de la seguridad, auditoría y riesgos de las TIC, además de profesionales procedentes de las universidades, los organismos públicos y las entidades reguladoras. 

          Nuestra misión va dirigida a un amplio número de profesionales cualificados y por eso os queremos invitar a participar y a compartir los últimos conocimientos de las TIC, en nuestro IV Congreso "Valor y Gestión Garantizada", que tendrá lugar el próximo día 20 de octubre de este año, en el auditorio de TELEFÓNICA de Barcelona. 

          Invitamos a los profesionales del mundo de las Tecnologías a conocer las claves que permitan asumir un horizonte de innovación y calidad, con valor y gestión garantizada, a través del contenido del congreso y de la presencia de destacados conferenciantes. 

          Ramsés Gallego, Presidente de lSACA Barcelona




          Saludos

          lunes, 12 de octubre de 2015

          5ª Edición del Curso Online de Especialización en Seguridad Informática para la Ciberdefensa

          Compartir este artículo:
          El próximo 19 de Octubre tendrá lugar la Quinta Edición del Curso Online de Especialización en Seguridad Informática para la Ciberdefensa. El curso tiene una duración de 40 horas y será impartido en módulos de 2 horas diarias. La fecha de inicio es el 19 de Octubre y finalización el 23 de Noviembre. El curso se imparte de Lunes a Jueves en horario de 16 a 18, según hora local en España. Este curso es un imprescindible para la gente que está involucrada con la seguridad informática en su mundo laboral y los que quieren comenzar a meter cabeza en este mundo. Principalmente orientado a orientado responsables de seguridad, cuerpos y fuerzas de seguridad del estado, agencias militares, ingenieros de sistemas y estudiantes de tecnologías de la información.


          El curso contará con profesores de reconocimiento internacional y nacional, que mostrarán su experiencia en muchos ámbitos. Es un placer poder estar al lado de ellos, por quinta vez.
          • Chema Alonso
          • David Barroso
          • Sergio de los Santos
          • Alejandro Ramos
          • Javier Rascón
          • Rafael Sánchez
          • Pedro Sanchez
          • Raúl Siles
          • José Picó
          • David Pérez
          • Antonio Guzmán
          • y yo, Pablo González

          domingo, 11 de octubre de 2015

          Informe Flu - 224

          Compartir este artículo:

          Buenas a todos, como cada domingo, os dejamos con nuestros “Enlaces de la semana”:

          Lunes de Octubre
          Martes 6 de Octubre
          Miércoles 7 de Octubre
          Jueves 8 de Octubre
            Saludos!

              jueves, 8 de octubre de 2015

              Análisis de amenazas con reverse.it

              Compartir este artículo:
              Buenas a todos, ayer me compartió mi compañero Jesús un servicio web muy interesante para el análisis de amenazas que quería aprovechar para presentaros en Flu Project. Se trata de reverse.it, un interesante sitio web, que al estilo "virus total" nos permite analizar un binario en busca de actividades sospechosas. Es un servicio muy completo y recomendable si sufrís algún tipo de ataque que queréis evaluar con más profundidad. Podéis analizar binarios de forma gratuita, aunque el servicio no es inmediato, y puede tardar algunas horas en finalizar el proceso, en función del nº de análisis que tengan en cola.
               
              Os dejo con algunas capturas de un análisis realizado para que podáis ver sus capacidades:






               
              Saludos!

              miércoles, 7 de octubre de 2015

              Diapositivas de la charla de @jantonioCalles en #X1RedMasSegura edición #nnc5ed

              Compartir este artículo:
              Buenas a todos, el pasado viernes tuvieron lugar las jornadas X1RedMasSegura edición Navaja Negra-Conectacon, y tuve el placer de dar una charla de una hora sobre seguridad en Internet y en Dispositivos móviles.

              Para los que no pudísteis venir, os comparto la presentación a continuacón:



              Saludos!

              martes, 6 de octubre de 2015

              Pentesting con Powershell

              Compartir este artículo:
              Últimamente el mundo de la seguridad es un no parar. Así nos encontramos, tanto Juan Antonio como yo, pero al final cuando esto es lo que te gusta, creerme no es tan malo. En los últimos meses tuve el tiempo justo para poder escribir un libro que creo que hacia falta en la editorial de 0xWord. Un libro que creo que puede ayudar mucho en los test de intrusión de máquinas Windows. Os presento, con un mes de retraso, a Pentesting con Powershell.

              Este libro ahonda en las técnicas de post-explotación dónde una vez se consigue acceso a la máquina Windows el auditor se encuentra sin herramientas. Hoy día Powershell ofrece poder y flexibilidad a la hora de realizar tareas de post-explotación en máquinas Windows. Tengamos en cuenta que muchas herramientas, como por ejemplo Metasploit, utiliza Powershell por detrás para llevar a cabo acciones sobre la máquina comprometida.


              Además, el libro presenta una introducción al uso de la herramienta  y permitirá al lector escribir sus propios scripts de Powershell desde 0 a un modo avanzado. En el capítulo 3 se hace un repaso mediante pruebas de concepto de los diferentes frameworks de Powershell que podemos encontrar hoy día como Powersploit, Power Up, Nishang, Posh-SecMod, etcétera. A continuación os dejo el ínidice.
               

              lunes, 5 de octubre de 2015

              Analizando APKs con AndroTotal

              Compartir este artículo:
              Buenas a todos, en el post de hoy me gustaría hablaros de Androdtotal, un interesante servicio Web gratuito donde podremos analizar APKs en busca de amenazas:


              Podemos comparar el servicio al de Virus Total o al de Metascan, ya que entre sus utilidades se encuentra la de analizar los archivos con diferentes motores Antivirus pero que están especializados en el sistema Android.

              A continuación comparto con vosotros algunas capturas de pantalla de una muestra de APK de Whatsapp que he descargado de un Black Market y que he pasado por el analizador:






              Andrototal también nos permite ver los permisos, datos del paquete, actividades, etc. que ya vimos cómo obtener de forma automatizada en nuestra cadena "Analizando software malicioso en Android con PHP":


              Una herramienta para tener a mano siempre que trabajemos en entornos Android.

              Saludos!

              domingo, 4 de octubre de 2015

              Informe Flu - 223

              Compartir este artículo:

              Buenas a todos, como cada domingo, os dejamos con nuestros “Enlaces de la semana”:

              Lunes 28 de Septiembre
              • El lunes abrimos la semana con el podcast de HoyStreaming en el que hablamos del congreso Navaja Negra - ConectaCon 2015
              Martes 29 de Septiembre
              Miércoles 30 de Septiembre

                viernes, 2 de octubre de 2015

                Analizando software malicioso en Android con PHP. Parte 7

                Compartir este artículo:
                Buenas a todos, en el post de hoy de la cadena "Analizando software malicioso en Android con PHP", no compartiré con todos vosotros ningún código, sino simplemente algunos apuntes en los que me suelo basar cuando me toca analizar un APK.

                Lo que hoy veremos son ciertas cadenas de texto con funciones que podremos encontrarnos de forma habitual en el código fuente de una aplicación Android, y que por tanto, si los localizamos mientras estamos haciendo un análisis estático de un APK nos darán información de mucho valor durante el análisis.

                Os las listo a continuación separadas por categorías:

                PREFERENCIAS

                getSharedPreferences()
                MODE_PRIVATE
                MODE_WORLD_READABLE
                MODE_WORD_WRITEABLE
                addPreferencesFormResource

                ALMACENAMIENTO

                getExternalStorageDirectory()sdcard

                db
                sqlite
                database
                insert
                delete
                select
                table
                cursor
                rawQueryin

                IDENTIFICADORES

                uid
                user-id
                imei
                deviceId
                deviceSerialNumber
                devicePrint
                X-DSN
                phone
                mdn
                did
                IMSI
                uuid


                HASHES

                MD5
                BASE64
                des

                LOCALIZACIÓN

                getLastKnownLocation()
                requestLocationUpdates()
                getLatitude()
                getLongitude()
                LOCATION

                CONEXIONES

                http
                https
                HttpURLConnection
                URLConnection
                URL
                TrustAllSSLSocket-Factory
                AllTrustSSLSocketFactory
                NonValidatingSSLSocketFactory

                NOTIFICACIONES

                Toast.makeText

                LOG

                Si aparace la palabra log, pues como es lógico o el software utiliza un log, o forma parte de otro string como bLOG, por lo que para añadirlo a nuestro analizador de código podremos utilizar alguna expresión regular para controlarlo.

                Listados como el que acabo de compartir os los encontraréis por Internet a patadas, por lo que aprovecharlo para complementar vuestros diccionarios de búsqueda y en próximos posts los incorporaremos a nuestro analizador.

                Saludos!