Internet de las cosas (inglés, IoT Internet of Things) es un concepto reciente en tecnologías de la computación, que combina tecnologías consolidadas como: internet, capacidad de procesamiento de información de dispositivos autónomos y procesamiento analítico de datos masivos. La amplitud de que define el paradigma de IoT depende del objetivo que desee lograr con su implementación, que puede abarcar un serie de dispositivos que tienen capacidad de conexión y poder computacional para realizar tareas automatizadas, o también como dispositivos que solo interactúan a través de estímulos externos y que no tiene ninguna función de procesamiento. La arquitectura de IoT se puede ver en 3 capas: una capa de percepción o hardware, una capa de comunicación o red y una capa de interfaces o servicios. De esa forma, los elementos que componen un sistema IoT son hardware, protocolos y servicios de comunicación.

Durante las últimas dos décadas, la comunidad de seguridad ha estado luchando contra programas maliciosos basados en sistemas Windows. Sin embargo, el reciente aumento en la adopción de Linux embebidos en dispositivos y la revolución de IoT están cambiando rápidamente el paisaje de los ciberataques. Los dispositivos integrados son profundamente diferentes a las tradicionales computadoras personales. De hecho, mientras las computadoras personales funcionan predominantemente en arquitecturas x86, sistemas embebidos funcionan en una variedad de arquitecturas diferentes.

Los débiles estándares de seguridad de los dispositivos IoT liberaron malware de Linux en los últimos años. Telnet expuesto y servicios ssh con contraseñas predeterminadas, firmware obsoleto o vulnerabilidades del sistema, todo eso son formas de permitir que los atacantes construyan botnets de miles de dispositivos integrados comprometidos.

MQTT es un protocolo de conectividad de máquina a máquina diseñado como un transporte de mensajería de publicación/suscripción extremadamente ligero y ampliamente utilizado por millones de dispositivos IoT en todo el mundo. 

El protocolo MQTT se ha convertido en un estándar para la transmisión de datos de IoT, ya que ofrece los siguientes beneficios:

Ligero y eficiente: La implementación de MQTT en el dispositivo IoT requiere recursos minúsculos, por lo que se puede usar incluso en pequeños microcontroladores. Por ejemplo, un mensaje de control MQTT mínimo puede tener tan solo dos bytes de datos. Los encabezados de los mensajes MQTT también son pequeños para poder mejorar el ancho de banda de la red.

Escalable: La implementación de MQTT requiere una cantidad mínima de código que consume muy poca energía en las operaciones. El protocolo también tiene funciones integradas para admitir la comunicación con una gran cantidad de dispositivos IoT. Por tanto, puede implementar el protocolo MQTT para conectarse con millones de estos dispositivos.

Fiable: Muchos dispositivos IoT se conectan a través de redes celulares poco fiables con bajo ancho de banda y alta latencia. MQTT tiene funciones integradas que reducen el tiempo que tarda el dispositivo IoT en volver a conectarse con la nube. También define tres niveles diferentes de calidad de servicio a fin de garantizar la fiabilidad para los casos de uso de IoT: como máximo una vez, al menos una vez y exactamente una vez.

Seguro: MQTT facilita a los desarrolladores el cifrado de mensajes y la autenticación de dispositivos y usuarios mediante protocolos de autenticación modernos, como OAuth, TLS1.3, certificados administrados por el cliente, etc.

Admitido: Varios lenguajes, como Python, tienen un amplio soporte para la implementación del protocolo MQTT. Por lo tanto, los desarrolladores pueden implementarlo rápidamente con una codificación mínima en cualquier tipo de aplicación.

MQTT-PWN tiene la intención de ser un marco para las operaciones de evaluación de seguridad y pruebas de penetración de IoT Broker, ya que combina enumeración, funciones de apoyo y módulos de explotación. Empaquetado todo dentro de una interfaz de línea de comandos, fácil de usar y un entorno extensible.

Características:

• Fuerza bruta de credenciales: descifrado de contraseñas de fuerza bruta configurable para eludir los controles de autenticación
• Enumerador de temas: establecimiento de una lista completa de temas a través de un muestreo continuo a lo largo del tiempo
• Capturador de información útil: obtención y etiquetado de datos de una lista predefinida extensible que contiene temas de interés conocidos
• Rastreador GPS: trazado de rutas desde dispositivos que usan la aplicación OwnTracks y recopilación de coordenadas publicadas
• Explotador de sonoff: diseño para extraer contraseñas y otra información confidencial

Más información del protocolo MQTT:

https://mqtt.org/

Más información y descarga de MQTT-PWN:

https://github.com/akamai-threat-research/mqtt-pwn

La entrada Herramienta de test de penetración para el protocolo MQTT de IoT se publicó primero en GURÚ DE LA INFORMÁTICA.

Intrigue Core  es el motor de codigo abierto de enumeración de superficie de ataque, en el que esta basado Intrigue.io .

Intrigue Core integra y orquesta una amplia variedad de fuentes de datos de seguridad, destilándolas en un modelo de objeto normalizado y rastreando las relaciones a través de una base de datos de gráficos. Intrigue Core muestra los detalles sobre los activos y las exposiciones para las organizaciones más grandes del mundo. El marco organiza flujos de trabajo que utilizan tareas para encontrar entidades, lo que permite una fácil ingesta, normalización y enriquecimiento de datos. Intrigue Core está diseñado específicamente para profesionales de la seguridad tanto en casos de uso ofensivo como defensivo.

Las características clave del motor se enumeran a continuación:

• Interfaz de usuario amigable basada en la web
  • Permite configurar los ajustes y las claves de API para tareas individuales
  • Permite ejecuta tareas únicas o inicie un flujo de trabajo automatizado completo con facilidad
  • Repetir los hallazgos con el descubrimiento manual y automatizado
  • Vistas de análisis para profundizar en las entidades descubiertas
  • Buscar, administre y descargue resultados para análisis fuera de línea
  • Visualizar los resultados con gráficos incorporados
• Más de 200 integraciones incorporadas y técnicas de descubrimiento
  • Subdominio DNS Fuerza bruta
  • Geolocalización IP
  • Gitrob
  • Escaneo de puertos
  • Busque bases de datos de activos como:
    • Binary Edge
    • Censys
    • Rapid7 Opendata
    • Security Trails
    • Shodan
• Descubrimiento de vulnerabilidades y errores de configuración (¡más de 150 verificaciones únicas!)
  • Buscar vulnerabilidades como Apache Struts (CVE-2017-5638)
  • BlueKeep (CVE-2019-0708)
• Potente Fingerprinting de aplicaciones y servicios
  • Identifique software empresarial único con más de 1000 comprobaciones
• Modelo de activos incorporado para ayudar a los usuarios a dar sentido a los datos
  • Más de 30 tipos de entidades integradas
  • Casos de uso como descubrimiento de activos externos, inteligencia de amenazas y análisis de red interna
  • Fácil de extender a nuevos casos de uso
• Gestión de resultados, integraciones y notificaciones 
  • Enviar resultados de tareas, escaneos o proyectos a:
    • Archivos locales: CSV, JSON
    • API remotas: Amazon S3, ElasticSearch, WebHooks
  • Permite recibir notificaciones cuando se completen las tareas o se creen problemas
• Flujos de trabajo automatizados y enriquecimiento de entidades
  • Cree flujos de trabajo simples como…
    • Ingresar una URI y haga que se verifique automáticamente en busca de vulnerabilidades
    • Ingresar un Dominio, tome la información de whois y busque subdominios
    • Ingresar a un servidor FTP y descargue cualquier archivo
  • Correlación automatizada de entidades relacionadas
• Potente API REST HTTP ¡ Crear y eliminar entidades, ejecute tareas de automatización, extraiga resultados y mucho más!
• Interfaz de línea de comandos Importar entidades, ejecutar tareas y recopilar resultados

Más información y descarga de Intrigue Core:

https://core.intrigue.io/

La entrada Motor de código abierto de enumeración de superficie de ataque para uso ofensivo y defensivo se publicó primero en GURÚ DE LA INFORMÁTICA.

Marco de reconocimiento de red, que permite crear sus propias alternativas a Shodan, ZoomEye, Censys y GreyNoise. Permite ejecutar su propio servicio de DNS pasivo, recopilar y analizar la inteligencia de red de los sensores.

IVRE (en francés: Instrument de veille sur les réseaux extérieurs ) o DRUNK (Reconocimiento dinámico de redes desconocidas) es un marco de código abierto para el reconocimiento de redes, escrito en Python. Se basa en potentes herramientas de código abierto para recopilar inteligencia de la red, de forma activa o pasiva.

Su objetivo es aprovechar las capturas y escaneos de la red para permitirle comprender cómo funciona una red. Es útil para pentests y red-teaming, para dar respuesta a incidentes, monitorizar, etc.

El IVRE puede utilizar datos de:

Herramientas pasivas:

• Zeek
• Argus
• Nfdump
• p0f
• airodump-ng

Herramientas activas:

• Nmap
• Masscan
• ZGrab2
• ZDNS
• Nuclei
• httpx
• dnsx

IVRE puede resultar útil en varios escenarios diferentes, aquí hay unos ejemplos:

• Crear tu propio servicio tipo Shodan, usando Nmap y/o Masscan y/o Zmap / Zgrab / Zgrab2, contra todo Internet o tus propias redes, (privadas o no).
• Almacenar cada certificado X509 visto en conexiones SSL/TLS, claves y algoritmos públicos SSH, respuestas DNS, encabezados HTTP ( Server, Host, User-Agent, etc.) y más… Esto puede ser útil para:
  • Validar certificados X509 independientemente de los clientes.
  • Supervisar los dominios de phishing (basados ​​en respuestas de DNS, encabezados HTTP Host, certificados X509) afectados desde su red corporativa.
  • Ejecutar su propio servicio de DNS pasivo, privado (o no) .

Más información y descarga de IVRE:

https://ivre.rocks/

La entrada Marco de reconocimiento de red que permite ejecutar su propio servicio de DNS pasivo se publicó primero en GURÚ DE LA INFORMÁTICA.

Como todos ya sabéis, el reconocimiento es una fase esencial en un ciberataque, es importante saber todo sobre su objetivo antes de proceder a la explotación. Reconocimiento es el uso de fuentes abiertas para obtener información sobre un objetivo, comúnmente conocido como «reconocimiento pasivo». El reconocimiento proporciona bases firmes para un ataque eficaz y satisfactorio. Al invertir tiempo para encontrar tanto como sea posible sobre el objetivo antes de lanzar los ataques, se tendrá un mejor enfoque para los esfuerzos y un menor riesgo de detección.

Las grandes ventajas de una Raspberry Pi como arquitectura hardware son: su reducido tamaño, su alta capacidad de proceso en relación a su tamaño y su escaso coste. Estas son las características ideales para usar este hardware para utilidades de redes y seguridad informática.

ReconPi, una herramienta de reconocimiento liviana que realiza un reconocimiento extenso con las últimas herramientas utilizando una Raspberry Pi.

Al ejecutarla ReconPI, primero recopilará los resolutores para el objetivo dado, seguido de la enumeración de subdominios y la verificación de esos activos para la posible adquisición de subdominios. Cuando se hace esto, se enumeran las direcciones IP del objetivo. Los puertos abiertos se descubrirán acompañados de un análisis de servicio proporcionado por Nmap.

Finalmente, los objetivos en vivo serán capturados y evaluados para descubrir puntos finales.

Los resultados se almacenarán en Recon Pi y se pueden ver ejecutando `python -m SimpleHTTPServer 1337″ en su directorio de resultados. Se podrá acceder a sus resultados desde cualquier sistema con un navegador que exista en la misma red.

Asegúrese de agregar su token SLACK al archivo tokens.txt si desea recibir una notificación después de completar el proceso de reconocimiento.

Las herramientas que lo componen son:

• Go
• Subfinder
• Subjack
• Aquatone
• httprobe
• assetfinder
• meg
• tojson
• unfurl
• gf
• anew
• qsreplace
• ffuf
• gobuster
• amass
• getJS
• gau
• shuffledns
• dnsprobe
• naabu
• nuclei
• nuclei-template
• cf-check
• massdns
• jq
• masscan
• Corsy
• Arjun
• Diggy
• Dnsgen
• Sublert
• Findomain
• github-subdomain
• linkfinder
• bass
• interlace
• nmap
• Seclist
• Dirsearch
• Dalfox
• Hakrawler
• Naabu
• chaos
• httpx
• altdns

Más información y descarga de ReconPi:

https://github.com/x1mdev/ReconPi

La entrada Herramienta liviana que realiza un reconocimiento extenso utilizando una Raspberry Pi se publicó primero en GURÚ DE LA INFORMÁTICA.

Sudomy es una herramienta de enumeración de subdominios para recopilar subdominios y analizar dominios que realizan un reconocimiento automatizado avanzado (marco). Esta herramienta también se puede utilizar para actividades OSINT (inteligencia de código abierto).

Características:

• Fácil, ligero, rápido y potente. El script Bash (controlador) está disponible de forma predeterminada en casi todas las distribuciones de Linux. Mediante el uso de la función de multiprocesamiento de bash script, todos los procesadores se utilizarán de manera óptima.
• El proceso de enumeración de subdominios se puede lograr utilizando el método activo o el método pasivo
  • Método activo
    • Sudomy utiliza las herramientas de Gobuster debido a su rendimiento de alta velocidad para llevar a cabo ataques de fuerza bruta de subdominio DNS (compatibilidad con comodines). La lista de palabras que se utiliza proviene de listas SecList (Discover/DNS) combinadas que contienen alrededor de 3 millones de entradas.
  • Método Pasivo
    • Al evaluar y seleccionar los buenos sitios/recursos de terceros, se puede optimizar el proceso de enumeración . Se obtendrán más resultados con menos tiempo requerido. Sudomy puede recopilar datos de estos 22 sitios de terceros bien seleccionados:
    •   https://censys.io
    •   https://developer.shodan.io
    •   https://dns.bufferover.run
    •   https://index.commoncrawl.org
    •   https://riddler.io
    •   https://api.certspotter.com
    •   https://api.hackertarget.com
    •   https://api.threatminer.org
    •   https://community.riskiq.com
    •   https://crt.sh
    •   https://dnsdumpster.com
    •   https://docs.binaryedge.io
    •   https://securitytrails.com
    •   https://graph.facebook.com
    •   https://otx.alienvault.com
    •   https://rapiddns.io
    •   https://spyse.com
    •   https://urlscan.io
    •   https://www.dnsdb.info
    •   https://www.virustotal.com
    •   https://threatcrowd.org
    •   https://web.archive.org

• Pruebe la lista de subdominios recopilados y pruebe los servidores http o https que funcionan. Esta función utiliza una herramienta de terceros, httprobe .
• Prueba de disponibilidad de subdominio basada en Ping Sweep y/o obteniendo el código de estado HTTP.
• La capacidad de detectar virtualhost (varios subdominios que se resuelven en una sola dirección IP). Sudomy resolverá los subdominios recopilados en direcciones IP y luego los clasificará si varios subdominios se resuelven en una sola dirección IP. Esta función será muy útil para el próximo proceso de prueba de penetración/recompensa de errores. Por ejemplo, en el escaneo de puertos, la dirección IP única no se escaneará repetidamente
• Escaneo de puertos realizado desde subdominios recopilados/direcciones IP de hosts virtuales
• Prueba del ataque TakeOver de subdominio (CNAME Resolver, DNSLookup, Detect NXDomain, Check Vuln)
• Tomar capturas de pantalla de los subdominios de forma predeterminada usando gowitness o puede elegir otras herramientas de captura de pantalla, como (-ss webscreeneenshot)
• Identificar tecnologías en sitios web (categoría, aplicación, versión)
• URL de detección, puertos, título, longitud del contenido, código de estado, sondeo del cuerpo de respuesta.
• Retraso automático inteligente de https a http de forma predeterminada.
• Recopilación de datos/raspado puerto abierto de terceros (predeterminado::Shodan), por ahora solo usando Shodan [Future::Censys,Zoomeye]. Más eficiente y efectivo para recopilar puertos de la lista IP en el destino [[Subdominio> Resolución de IP> Rastreo> ASN y puerto abierto]]
• Recopilación de URL jugosa y parámetro de extracción de URL (Recurso predeterminado::WebArchive, CommonCrawl, UrlScanIO)
• Recopile una ruta interesante (api|.git|admin|etc), documento (doc|pdf), javascript (js|node) y parámetro
• Defina la ruta para el archivo de salida (especifique un archivo de salida cuando se complete)
• Comprobar que una IP es propiedad de Cloudflare
• Genere y haga una lista de palabras basada en la recopilación de recursos de URL (wayback, urlscan, commoncrawl). Para hacer eso, extraemos todos los parámetros y la ruta de nuestro reconocimiento de dominio
• Generar subdominio de visualización de gráficos de red y hosts virtuales
• Informe de salida en formato HTML y CSV
• Envío de notificaciones a un canal de slack

Instalación:

Sudomy se amplía actualmente con las siguientes herramientas. Las instrucciones sobre cómo instalar y usar la aplicación están vinculadas a continuación.

Para descargar Sudomy desde Github:

# Clone este repositorio 

git clone --recursive https://github.com/screetsec/Sudomy.git

Dependencias:

$ python3 -m pip install -r requirements.txt

Sudomy requiere jq y GNU grep para ejecutarse y analizarse. Se puede acceder a la información sobre cómo descargar e instalar jq aquí

# linux

apt-obtener actualización

apt-get install jq nmap phantomjs npm chromium paralelo

npm i -g wappalyzer wscat

#Mac _

brew cask install phantomjs

brew install jq nmap npm paralelo grep

npm i -g wappalyzer wscat

Modo de empleo:

Para usar las 22 fuentes y sondas para trabajar con servidores http o https (validaciones):

$ sudomy -d hackerone.com

Para usar una o más fuentes:

$ sudomy -s shodan,dnsdumpster,webarchive -d hackerone.com

Para usar todas las fuentes sin validaciones:

$ sudomy -d hackerone.com –no-probe

Para usar uno o más complementos:

$ sudomy -pS -sC -sS -d hackerone.com

Para usar todos los complementos: prueba del estado del host, código de estado http/https, adquisición de subdominio y capturas de pantalla.

Nmap, Gobuster, wappalyzer y wscat no incluidos.

$ sudomy -d hackerone.com –all

Para crear un informe en formato HTML

$ sudomy -d hackerone.com –html –all

Para generar subdominios de visualización de gráficos de red y hosts virtuales

$ sudomy -d hackerone.com -rS –graph

Más información y descarga de Sudomy:

https://github.com/screetsec/Sudomy

La entrada Herramienta de enumeración de subdominios<strong><em></em></strong> se publicó primero en GURÚ DE LA INFORMÁTICA.

Paragon es una plataforma para simplificar las operaciones del Red Team. Su objetivo es unificar las herramientas ofensivas detrás de una interfaz de usuario simple, abstrayendo gran parte del trabajo de backend para permitir a los operadores concentrarse en escribir scripts y dedicar menos tiempo a preocuparse por las bases de datos y CSS. El repositorio también proporciona algunas herramientas ofensivas ya integradas con Paragon que se pueden usar durante los enfrentamientos.

Características destacadas

• Permite integrar fácilmente herramientas personalizadas para unificar las operaciones detrás de una sola interfaz
• Consultar el gráfico de conocimiento del Red Team utilizando una API GraphQL proporcionada
• Emisión de eventos para automatización de baja latencia y procesamiento en tiempo real
• Lenguaje de scripting similar a Python para implementaciones, posexplotación y más
• Scripts e implementación multiplataforma incluidos
• Registrar la actividad del operador para agregar de manera conveniente en un informe posterior al compromiso para su revisión

Las siguientes secciones describen los conceptos centrales de Paragon y proporcionan una referencia para la terminología utilizada en toda la plataforma:

Objetivos

Un objetivo representa un sistema atacable, que almacena información relevante recopilada de él. Una marca de tiempo vista por última vez se actualiza cuando se recibe actividad (es decir, una devolución de llamada) para un objetivo, lo que permite a los usuarios monitorear el estado de compromiso del objetivo. Se pueden agregar credenciales para un destino, proporcionando servicios con la información de conexión necesaria.

Tareas

Una tarea es una unidad de trabajo que debe realizar un servicio y se utiliza para realizar un seguimiento de los resultados de la ejecución y la información de estado. Las tareas pueden hacer referencia a un destino para proporcionar información contextual para el servicio que lo ejecuta. Por ejemplo, una tarea creada para el servicio C2 integrado de Paragon será ejecutada por un script en el sistema objetivo cuando se reciba una devolución de llamada para el objetivo correspondiente.

Trabajos

Poner en cola un trabajo creará tareas para los destinos seleccionados. Proporciona al usuario una vista global única de las tareas relacionadas que pueden ejecutar las mismas instrucciones en muchos destinos. Al poner en cola un nuevo trabajo, el usuario puede proporcionar la siguiente información para controlar el comportamiento de Paragon:

• Un nombre que actúa como un identificador legible por humanos que se utiliza para hacer referencia al trabajo.
• El servicio que debe recibir instrucciones para realizar trabajos relacionados.
  • De forma predeterminada, este es el servicio C2 integrado de Paragon, que envía cada tarea al objetivo correspondiente cuando se recibe una devolución de llamada del objetivo.
• Para qué objetivos crear nuevas tareas.
  • Se crea una nueva tarea para cada objetivo que se especifica, estableciendo una ventaja entre la tarea y el objetivo.
  • Cuando no se especifican objetivos, se crea una sola tarea que no está vinculada a ningún objetivo.

Etiquetas

Las etiquetas se utilizan como un mecanismo de agrupación genérico para entidades y tienen una variedad de casos de uso. Un caso de uso principal es agregar etiquetas a los objetivos relacionados con el grupo (es decir, «Windows»), lo que permite al usuario poner en cola un trabajo para un grupo de objetivos en lugar de especificarlos individualmente.

Más información y descarga de Paragon:

https://github.com/KCarretto/paragon

La entrada Plataforma para simplificar las operaciones del Red Team se publicó primero en GURÚ DE LA INFORMÁTICA.

RedWardencombina muchas de esas grandes ideas en una única utilidad liviana, imitando a Apache2 en sus raíces de ser un simple proxy inverso HTTP (S).

La combinación de la comprensión de los perfiles de Maleable C2, el conocimiento del conjunto de direcciones IP incorrectas y la flexibilidad de agregar fácilmente una nueva inspección y una lógica de enrutamiento erróneo, resultó en tener un astuto repelente para las inspecciones por infrarrojos.

Este programa actúa como un proxy inverso HTTP/HTTPS con varias restricciones impuestas a las solicitudes HTTP C2 entrantes que seleccionan qué paquetes dirigir al Teamserver y cuáles eliminar, de manera similar a las restricciones de archivos .htaccess exigidas en Apache2 mod_rewrite.

RedWardenfue creado para resolver el problema de la evasión de IR/AV/EDRs/Sandboxes en la capa del redirector C2. Está destinado a reemplazar las configuraciones clásicas de Apache2+mod_rewrite utilizadas para ese propósito.

Características:

• Analizador de perfiles C2 maleable capaz de validar solicitudes HTTP/S entrantes estrictamente de acuerdo con el contrato maleable y descartar paquetes desembolsados ​​en caso de violación (Perfiles maleables 4.0+ con variantes cubiertas)
• Capacidad para eliminar/reparar encabezados HTTP inesperados y no deseados agregados por sistemas provisionales como proxy´s y cachés (piense en CloudFlare) para cumplir con un contrato maleable válido.
• Lista negra masiva integrada con grupos y rangos de IPv4 que se sabe que están asociados con proveedores de seguridad de TI
• Entradas de registro de salida grepables (tanto en el registro de acceso combinado de Apache2 como en los formatos personalizados de RedWarden) útiles para rastrear eventos/problemas de conectividad de pares.
• Capacidad para consultar la dirección IPv4 de los pares de conexión con la información de geolocalización de IP/whois y confrontar eso con expresiones regulares predefinidas para descartar pares que se conectan fuera de organizaciones/países/ciudades de confianza, etc.
• Mitigación de ataques de reproducción incorporada que se aplica registrando los hashsums MD5 de las solicitudes aceptadas en la base de datos SQLite almacenada localmente y evitando las solicitudes aceptadas previamente.
• Permite definir declaraciones de ProxyPass para pasar solicitudes que coincidan con una URL específica a otros hosts
• Soporte para múltiples servidores
• Soporte para muchos hosts de proxy inverso y sitios de redireccionamiento que se dan en un orden aleatorio, lo que permite equilibrar la carga del tráfico o construir infraestructuras más versátiles.
• Puede reparar paquetes HTTP de acuerdo con el contrato maleable esperado en caso de que algunos de los encabezados estén dañados en el tráfico.
• Las noches de insomnio dedicadas a la resolución de problemas «por qué mi Beacon no funciona en CloudFlare/CDN/Domain Fronting» han terminado gracias a los registros detallados de solicitudes/respuestas HTTP (S) detalladas.

El RedWarden toma el perfil C2 maleable y el servidor del equipo hostname:porten su entrada. Luego analiza las secciones de perfil maleable suministradas para comprender el contrato y pasar solo aquellas solicitudes entrantes que lo satisfacen mientras desvían a otras.

Secciones como http-stager, http-get, http-posty sus correspondientes URI, los encabezados, los patrones PRECEDENTE/AÑADIDO, User-Agent se usan para distinguir entre la petición del faro legítima y el ruido de Internet no relacionado o IR/AV/EDR paquetes fuera de la envolvente.

El programa se beneficia de los maravillosos rangos de IP incorrectos conocidos que provienen de: curi0usJack y los demás: https://gist.github.com/curi0usJack/971385e8334e189d93a6cb4671238b10

El uso de una lista negra de direcciones IP junto con la búsqueda de palabras clave incorrectas conocidas a través de consultas de DNS de IP inversa e inspección de encabezados HTTP, brinda la confiabilidad para aumentar considerablemente la resistencia del redirector a los pares no autorizados que desean examinar las infraestructuras de los atacantes.

Los paquetes no válidos pueden enrutarse incorrectamente de acuerdo con tres estrategias:

• Redireccionamiento : simplemente redirige a un compañero a otros sitios web, como Rick Roll.
• reset : Elimine la conexión TCP inmediatamente.
• proxy : obtenga una respuesta de otro sitio web, para imitar el sitio web clonado / secuestrado lo más fielmente posible.

Más información y descarga de RedWarden:

La entrada Proxy inverso Cobalt Strike C2 para Blue Teams se publicó primero en GURÚ DE LA INFORMÁTICA.

OWASP OWTF es un proyecto centrado en la eficiencia de las pruebas de penetración y la alineación de las pruebas de seguridad con los estándares de seguridad como: la guía de pruebas OWASP (v3 y v4), OWASP Top 10, PTES y NIST para que los pentesters tengan más tiempo para:

• Ver el panorama general y pensar fuera de la caja
• Encontrar, verificar y combinar vulnerabilidades de manera más eficiente
• Tener mas tiempo tiempo para investigar vulnerabilidades complejas como la lógica empresarial, fallas arquitectónicas o sesiones de alojamiento virtual
• Realizar un fuzzing más táctico y dirigido en áreas mas sensibles
• Demostrar un verdadero impacto a pesar de los cortos períodos de tiempo que normalmente se dan para probar vulenrabilidades.

La herramienta es altamente configurable y cualquiera puede crear complementos simples o agregar nuevas pruebas en los archivos de configuración sin tener experiencia en desarrollo.

Sin embargo, esta herramienta no es la panacea y solo será tan buena como la persona que la use, se requerirá comprensión y experiencia para interpretar correctamente el resultado de la herramienta y decidir qué investigar más a fondo para demostrar el impacto.

Características:

• Resiliencia : si una herramienta falla , OWTF , pasará a la siguiente herramienta/prueba, guardando la salida parcial de la herramienta hasta que se bloquee.
• Flexible : pausa y reanuda tu trabajo.
• Separación de pruebas : OWTF separa su tráfico hacia el destino en principalmente 3 tipos de complementos:
  • Pasivo : no hay tráfico que se dirija al objetivo.
  • Semi pasivo : tráfico normal al objetivo
  • Activo : sondeo directo de vulnerabilidades
• API REST extensa.
• Tiene una guía de pruebas OWASP casi completa (v3, v4), cobertura Top 10, NIST, CWE.
• Interfaz web : gestione fácilmente las interacciones de gran penetración.
• Informe interactivo :
• Clasificaciones automatizadas de complementos a partir de la salida de la herramienta, totalmente configurables por el usuario.
• Clasificaciones de riesgo configurables
• Editor de notas en línea para cada complemento.

Más información y descarga de Offensive Web Testing Framework (OWTF):

https://owasp.org/www-project-owtf/

La entrada Marco que intenta unir herramientas de test de penetración de: guía de pruebas OWASP (v3 y v4), OWASP Top 10, PTES y NIST se publicó primero en GURÚ DE LA INFORMÁTICA.

Cuando se habla del Red Team con los clientes o se habla con nuestros compañeros, queda muy claro que no existe una definición común de «Red Team». Se explica de muchas formas diferentes, todas con diferentes objetivos y enfoques. Escuchamos cosas como simulación de adversario, pentesting más phishing, pentesting de carta blanca, jugar al defensor del diablo ofensivo o cosas en la línea de la definición del Departamento de Defensa de EE. UU . Para equipos rojos que no son de TI. Esto da como resultado muchas formas de servicios profesionales ofrecidos en el mercado.

En muchos sentidos, esto me recuerda a ‘hacker vs. cracker’ a finales de los 90, o la discusión más reciente sobre el uso de la palabra cyber. No tengo ninguna intención de intentar cerrar este debate.  En pocas palabras, el papel del Blue Team es defender, el papel del Red Team es atacar. La defensa no se hace solo en medidas preventivas. Igual de importante es la capacidad de detectar ataques y responder a ellos. Los Blue Team tienen herramientas para esto, pero en gran medida esto se reduce a las acciones y decisiones que toma el Blue Team cuando ocurre un ataque. Entonces, esto necesita ser entrenado.

Un Blue Team es un grupo de personas que realiza un análisis de los sistemas de información para garantizar la seguridad, identificar fallas de seguridad, verificar la efectividad de cada medida de seguridad y asegurarse de que todas las medidas de seguridad continuarán siendo efectivas después de la implementación.

Se denomina Red Team a un grupo independiente que ayuda a una organización a mejorarse a sí misma al oponerse al punto de vista de la organización a la que están ayudando. Por medio de la realización de ataques a un objetivo, se estudian sus debilidades.

VECTR es una herramienta que facilita el seguimiento de las actividades de prueba de Red Team y Blue Team para medir las capacidades de detección y prevención en diferentes escenarios de ataque. VECTR proporciona la capacidad de crear grupos de evaluación, que consisten en una colección de campañas y casos de prueba de apoyo para simular amenazas adversas. Las campañas pueden ser amplias y abarcar la actividad a lo largo de la cadena de eliminación, desde el compromiso inicial hasta la escalada de privilegios y el movimiento lateral, etc., o pueden tener un alcance limitado para centrarse en capas de detección, herramientas e infraestructura específicas. VECTR está diseñado para promover la transparencia total entre la ofensiva y la defensa, fomentar la capacitación entre los miembros del equipo y mejorar la tasa de éxito de detección y prevención en todo el entorno.

VECTR se centra en indicadores comunes de ataques y comportamientos que pueden llevar a cabo cualquier número de grupos de actores de amenazas, con diferentes objetivos y niveles de sofisticación. VECTR también se puede utilizar para replicar los TTP paso a paso asociados con grupos específicos y campañas de malware, sin embargo, su propósito principal es replicar los comportamientos de los atacantes que abarcan múltiples grupos de actores de amenazas y campañas de malware, pasadas, presentes y futuras. VECTR está diseñado para usarse a lo largo del tiempo con campañas específicas, iteración y mejoras cuantificables tanto en las habilidades del equipo rojo como en las capacidades de detección del equipo azul. En última instancia, el objetivo de VECTR es hacer que una red sea resistente a todos los adversarios y ataques internos más sofisticados.

Más información y descarga de VECTR:

https://github.com/SecurityRiskAdvisors/VECTR

La entrada Herramienta que facilita el seguimiento de las actividades de Blue Team y Red Team para medir las capacidades de detección y prevención en diferentes escenarios de ataque se publicó primero en GURÚ DE LA INFORMÁTICA.

Internet de las cosas (inglés, IoT Internet of Things) es un concepto reciente en tecnologías de la computación, que combina tecnologías consolidadas como: internet, capacidad de procesamiento de información de dispositivos autónomos y procesamiento analítico de datos masivos. La amplitud de que define el paradigma de IoT depende del objetivo que desee lograr con su implementación, que puede abarcar un serie de dispositivos que tienen capacidad de conexión y poder computacional para realizar tareas automatizadas, o también como dispositivos que solo interactúan a través de estímulos externos y que no tiene ninguna función de procesamiento. La arquitectura de IoT se puede ver en 3 capas: una capa de percepción o hardware, una capa de comunicación o red y una capa de interfaces o servicios. De esa forma, los elementos que componen un sistema IoT son hardware, protocolos y servicios de comunicación.

Durante las últimas dos décadas, la comunidad de seguridad ha estado luchando contra programas maliciosos basados en sistemas Windows. Sin embargo, el reciente aumento en la adopción de Linux embebidos en dispositivos y la revolución de IoT están cambiando rápidamente el paisaje de los ciberataques. Los dispositivos integrados son profundamente diferentes a las tradicionales computadoras personales. De hecho, mientras las computadoras personales funcionan predominantemente en arquitecturas x86, sistemas embebidos funcionan en una variedad de arquitecturas diferentes.

Los débiles estándares de seguridad de los dispositivos IoT liberaron malware de Linux en los últimos años. Telnet expuesto y servicios ssh con contraseñas predeterminadas, firmware obsoleto o vulnerabilidades del sistema, todo eso son formas de permitir que los atacantes construyan botnets de miles de dispositivos integrados comprometidos.

IoT-PT, maquina virtual para test de penetración del Internet de las cosas. El problema principal de las herramientas para test de penetración en IoT son las dependencias, porque hay múltiples arquitecturas que no son compatibles sin las dependencias adecuadas.

IoT-PT esta compuesta por: marcos de explotación para IoT y herramientas de piratería BLE, firmware de ingeniería inversa (automatizado y dinámico), análisis de aplicaciones iOS/apk y herramientas relacionadas con la red. 

Lista de herramientas incluidas:

Más información y descarga de IoT-PT:

https://github.com/IoT-PTv/IoT-PT

La entrada Un entorno virtual de pentesting para dispositivos IoT se publicó primero en GURÚ DE LA INFORMÁTICA.

El ESP32 es un SoC (System on Chip) diseñado por la compañía china Espressif y fabricado por TSMC. Integra en un único chip un procesador Tensilica Xtensa de doble núcleo de 32bits a 160Mhz (con posibilidad de hasta 240Mhz), conectividad WiFi y Bluetooth. El ESP32 añade muchas funciones y mejoras respecto a el ESP8266, como son mayor potencia, Bluetooth 4.0, encriptación por hardware, sensor de temperatura, sensor hall, sensor táctil, reloj de tiempo real (RTC). más puertos, más buses…

El ESP32 Marauder es un conjunto de herramientas ofensivas y defensivas WiFi/Bluetooth creadas para el ESP32 y se inspiró originalmente en el proyecto esp8266_deauther de Spacehuhn . La herramienta en sí misma sirve como un dispositivo portátil que se utiliza para probar y analizar dispositivos WiFi y Bluetooth. Para obtener más información sobre este proyecto y cómo se ensambla, siga el enlace del video a continuación. O echa un vistazo a #esp32marauder en Instagram.

Principales características de ESP32 Marauder:

• Capacidades ESP32 WiFi y Bluetooth
• Guarde los archivos PCAP en una tarjeta SD
• Circuito de carga LiPo integrado
• LED de nivel de carga
• Pantalla táctil TFT de 2,8 «
• Recinto impreso en 3D para mayor comodidad y protección.
• Hardware y firmware de código abierto
• Pines de ruptura para otros proyectos de hardware

Más información de ESP32 Marauder:

https://github.com/justcallmekoko/ESP32Marauder

Donde comprar ESP32 Marauder:

https://www.tindie.com/products/justcallmekoko/esp32-marauder/

La entrada Un conjunto de herramientas ofensivas y defensivas WiFi/Bluetooth para el ESP32 se publicó primero en GURÚ DE LA INFORMÁTICA.

El análisis del comportamiento del usuario, a veces llamado análisis del comportamiento de la entidad del usuario (UEBA), es una categoría de software que ayuda a los equipos de seguridad a identificar y responder a las amenazas internas que de otro modo podrían pasarse por alto. Utilizando el aprendizaje automático y el análisis, UBA identifica y sigue los comportamientos de los actores de amenazas a medida que atraviesan entornos empresariales, ejecutando datos a través de una serie de algoritmos para detectar acciones que se desvían de las normas del usuario. Debido a que las amenazas internas son las más difíciles de detectar, y potencialmente las más dañinas, UBA es una herramienta valiosa para detectar patrones sospechosos que pueden indicar robo de credenciales, fraude y otras actividades maliciosas.

Los tipos de amenazas incluyen:

• Abuso de cuentas privilegiadas: uso inadecuado de los permisos de acceso.
• Escalada de privilegios: cambio de credenciales de acceso.
• Exfiltración de datos: robo de datos privados, confidenciales y sensibles dentro de una organización por parte de malware o un infiltrado.
• Comportamiento anómalo: acceso a dominios externos, acceso remoto a activos con muchos privilegios y duración, hora o ubicación inusuales de inicio de sesión.

Un marco de análisis de comportamiento de entidades y usuarios (UBA) robusto y flexible de código abierto, utilizado para Security Analytics. Desarrollado con luv por científicos de datos y analistas de seguridad de la industria de la seguridad cibernética. 

Principales características de OpenUBA:

• Estándar «Modelo abierto», no más modelos de «caja negra», vea la lógica y el código para cada modelo instalado
• SIEM agnóstico, OpenUBA opera independientemente de su SIEM y puede extraer datos de cualquier almacén de datos
• Biblioteca de modelos, utiliza una biblioteca de modelos listos para instalar creados por el equipo de desarrollo y la comunidad
• Permite comentarios sobre el modelo, cuando los casos generados reciben retroalimentación, OpenUBA se ajusta para funcionar mejor con el tiempo

Muchas plataformas UBA suelen utilizar un enfoque de «caja negra» para las prácticas de ciencia de datos, que puede funcionar mejor para los analistas de seguridad que no están interesados ​​en los detalles prácticos de los modelos subyacentes que se utilizan para generar anomalías, líneas de base y casos. Estas plataformas ven sus modelos como IP.

Los proveedores de UBA intentan constantemente comercializar las capacidades avanzadas de IA que se realizan en los datos de seguridad ingeridos por sus clientes, todos tienen un énfasis en la seguridad, integraciones, etc., y mucho menos énfasis en la ciencia modelado de datos como lo proyectos de código abierto.

OUBA adopta un enfoque de «modelo abierto» y está diseñado para el pequeño subconjunto de analistas de seguridad que tienen una curiosidad auténtica sobre lo que hacen los modelos y cómo funcionan bajo el capó. Creemos en la comunidad científica informática y sus contribuciones a lo largo de los años (bibliotecas, kits de herramientas, etc.). En seguridad, la transparencia de las reglas y modelos es clave para el cumplimiento, la respuesta, investigación y la toma de decisiones.

Para ir un paso más allá, OUBA también hace uso de un mercado de modelos impulsado por la comunidad, similar a una tienda de complementos, donde los complementos son modelos de seguridad. Este mercado es donde los usuarios de OUBA pueden instalar modelos de seguridad para sus propios casos de uso. Los desarrolladores de modelos también pueden cargar sus modelos, lo que permite a otros usuarios de OUBA reutilizarlos, ya sea de forma gratuita o como compensación; la elección depende del desarrollador del modelo.

OpenUBA implementa una biblioteca de modelos con el propósito de alojar modelos «listos para usar», ambos desarrollados por nosotros y la comunidad. Para empezar, hospedamos el repositorio de modelos predeterminado, similar a cualquier administrador de paquetes popular (npm, cargo, etc.). Sin embargo, los desarrolladores pueden alojar su propio repositorio de modelos para usar en su propia instancia de OpenUBA.

Más información y descarga de OpenUBA:

http://openuba.org/

La entrada Un marco de análisis de comportamiento de entidades y usuarios (UBA) robusto y flexible de código abierto se publicó primero en GURÚ DE LA INFORMÁTICA.

SlackPirate es una herramienta desarrollada en Python que utiliza las API nativas de Slack para extraer información ‘interesante’ de un espacio de trabajo de Slack al que se le da un token de acceso.

Slack combina la comunicación y colaboración en equipo en un mismo lugar, haciendo que aumente la productividad en el trabajo, tanto en grandes empresas como en pequeños negocios. Slack se encuentra disponible en cualquier dispositivo, de forma que se pueda encontrar y acceder a equipos.

Se puede utilizar Slack para:

• Comunicarse con un equipo y organizar conversaciones por tema, proyecto o por cualquier otra cosa que tenga importancia en la forma de organización del trabajo.
• Enviar mensajes o hacer una llamada a cualquier persona o grupo dentro de un equipo.
• Compartir y editar documentos y colaborar con las personas adecuadas, todo ello desde Slack.
• Integrar en tu flujo de trabajo las herramientas y servicios como: Google Drive, Salesforce, Dropbox, Asana, Twitter, Zendesk y mucho más.
• Realizar búsquedas de forma sencilla en una base de conocimientos que indexa y archiva de forma automática las conversaciones y archivos.
• Personalizar notificaciones.

En mayo de 2018 Slack tenía más de 8 millones de clientes y ese número está aumentando rápidamente: la integración y las posibilidades de ‘ChatOps’ son infinitas y permiten a los equipos (¡no solo a los desarrolladores!) Crear algunos flujos de trabajo realmente poderosos e interacciones entre bots y aplicaciones de Slack. Actualmente con el aumento exponencial del teletrabajo debido al COVID-19, esta herramienta esta en auge.

Al igual que ocurre con las corporaciones grandes y pequeñas, no es inusual que herramientas como Slack pasen desapercibidas para el gobierno y las políticas de seguridad de la información, lo que en última instancia conduce a situaciones precarias en las que la información sensible y confidencial termina en lugares donde no debería estar.

El propósito de la SlackPirate esta herramienta es:

• Los miembros de red pueden usar esto para identificar y extraer información confidencial, documentos, credenciales… de Slack, si se tienen una cuenta con pocos privilegios en el espacio de trabajo de la organización. Esto podría permitir a un atacante pasar a otros sistemas y obtener del funcionamiento interno de los sistemas o aplicaciones corporativos.
• Los blue-teamers pueden usar esto para identificar y detectar información confidencial que quizás no debería existir allí en primera instancia. Los miembros del blue team pueden utilizar esta información con fines de formación y concienciación interna, al demostrar el resultado de la herramienta y el tipo de «cosas» que los atacantes (tanto internos como externos) podrían utilizar. La herramienta le permite recopilar fácilmente información confidencial para verla sin conexión.

La herramienta utiliza las API nativas de Slack para extraer información y puede realizar las siguientes búsquedas:

• Imprimir en la salida estándar los dominios (si los hay) que pueden registrarse en el espacio de trabajo. Existen dominios obsoletos, viejos y olvidados aquí que se pueden comprar y usar para registrarse en el espacio de trabajo.
• Enlaces a cubos S3
• Contraseñas
• Claves secretas de acceso de AWS
• Llaves privadas
• Mensajes fijados en todos los canales
• Referencias a enlaces y URL que podrían proporcionar un mayor acceso a materiales confidenciales; piense en: Google Docs, Trello Invites, enlaces a sistemas internos, etc.
• Archivos que pueden contener información confidencial como .key, .sh, las palabras «contraseña» o «secreto» incrustadas en un documento, etc.

Más información y descarga de SlackPirate:

La entrada Herramienta de enumeración y extracción en Slack se publicó primero en GURÚ DE LA INFORMÁTICA.

Redcloud es una caja de herramientas poderosa y fácil de usar para implementar una infraestructura Red Team con todas las funciones usando Docker. Aproveche la velocidad de la nube para sus herramientas. Se despliega en minutos. Úselo y adminístrelo con su interfaz web.

¡Ideal para tus pruebas de penetración, campos de tiro, equipos rojos y recompensas de insectos!

Autohospede su infraestructura de ataque sin problemas, implemente su propia infraestructura ofensiva en vivo, escalable y resistente en cuestión de minutos.

Características

• Implemente Redcloud de forma local o remota utilizando las funciones SSH integradas, e incluso la máquina acoplable.
• Implementa Metasploit, Empire, GoPhish, objetivos vulnerables, un Kali completamente apilado y muchos más con unos pocos clics.
• Supervise y administre su infraestructura con una hermosa interfaz web.
• Implemente redirecciones, socks o proxy Tor para todas sus herramientas.
• Gestión de red y uso compartido de volumen indoloros.
• Gestión de usuarios y contraseñas.
• Terminal web
• En general es muy cómodo de usar

Puede alojar Redcloud en cualquier servidor Unix que ejecute Docker. Redcloud está destinado a ser utilizado en un entorno de nube, como un simple VPS con ssh, o incluso un AWS EC2, GCP, etc …

Una amplia gama de proveedores de la nube ofrecen créditos gratuitos para familiarizarse con sus servicios. Muchas listas y tutoriales cubren la obtención de créditos de alojamiento gratuitos de los principales proveedores. Esta lista es un buen lugar para comenzar .

Con respecto al método de implementación, personalmente prefiero trabajar con docker-machine, ya que se vuelve ridículamente fácil generar nuevas máquinas y administrarlas una vez que haya configurado el controlador de su proveedor de nube. Si prefiere usar ssh, asegúrese de echar un vistazo al proyecto shellz de evilsocket para administrar sus claves y perfiles.

Casos de uso

• Cree su laboratorio personal de pentest y practique sus habilidades de piratería con amigos y colegas.
• Proteja su infraestructura ofensiva utilizando honeypots.
• Recrear una infraestructura APT con equilibrio de carga de implante inverso, servidores geo-extendidos y operaciones multicapa
• Automatice la generación de carga útil con Metasploit o Empire, bypass AV con gscript, servido instantáneamente a través del /files/URI.
• Realice sus canalizaciones de recompensas por errores mucho más rápido que su competencia.
  • Inicie Sniper usando la api de Portainer cuando se publique una nueva recompensa por error, obtenga registros usando /files/URI.
• Utilice el proxy inverso para cubrir Metasploit o Empire.
• Ejecute escaneos detrás de su propio proxy Tor socks.
• Ver el sitio .onion usando Tor socks + Ubuntu VNC.
• OSINT avanzado con Spiderfoot y un contenedor Tor como proxy.

Más información y descarga de Redcloud:

https://github.com/khast3x/Redcloud

La entrada Implementación automatizada de una infraestructura Red Team usando Docker se publicó primero en GURÚ DE LA INFORMÁTICA.

Sn0int es un marco OSINT semiautomático y un administrador de paquetes. Fue creado para que los profesionales de la seguridad de TI y los que realizan auditorias de ciberseguridad recopilen información sobre un objetivo determinado o sobre usted mismo. Sn0int enumera la superficie de ataque procesando semiautomáticamente la información pública y mapeando los resultados en un formato unificado para las investigaciones de seguimiento.

Entre otras cosas, sn0int actualmente puede:

• Obtener subdominios de registros de transparencia de certificados y dns pasivos
• Enriquecer las direcciones IP con asn y geoip info
• Recolectar correos electrónicos de servidores de claves pgp y whois
• Descubrir inicios de sesión comprometidos e infracciones
• Encontrar los perfiles de alguien en Internet
• Enumerar redes locales con técnicas únicas como arp pasivo
• Recopilar información sobre números de teléfono
• Intenta omitir Cloudflare con shodan
• Recolecta datos e imágenes de perfiles de instagram
• Escanea imágenes en busca de desnudos

sn0int está fuertemente inspirado en Recon-ng y Maltego, pero sigue siendo más flexible y es completamente de código abierto. Ninguna de las investigaciones enumeradas anteriormente están codificadas en el código fuente, sino que las proporcionan los módulos que se ejecutan en una caja de arena. Puede ampliar fácilmente sn0int escribiendo sus propios módulos y compartirlos con otros usuarios publicándolos en el registro de sn0int. Esto le permite enviar actualizaciones para sus módulos por su cuenta, ya que no necesita enviar una solicitud de extracción.

Esta herramienta fue escrita para empresas para ayudarlas a comprender su superficie de ataque desde el punto de vista de la caja negra. A menudo es difícil entender que algo es más fácil de descubrir de lo que algunas personas suponen, lo que los pone en riesgo de una falsa seguridad.

También está diseñado para ser útil para evaluaciones de Red Teams y pentesters , que también ayudan a las empresas a identificar debilidades que podrían resultar en un compromiso.

Algunas funciones se escribieron con el fin de crear conciencia sobre la superficie de ataque personal, la privacidad y la cantidad de datos disponibles públicamente. Estos problemas a menudo están fuera del alcance de los métodos de test de penetración. Culpar al usuario es el enfoque equivocado y estos problemas deben ser abordados en la raíz del problema por las personas que diseñan los sistemas.

Mas información y descarga de sn0int:

https://sn0int.readthedocs.io/

La entrada Marco OSINT semiautomático para enumerar la superficie de ataque se publicó primero en GURÚ DE LA INFORMÁTICA.

SCADA viene de las siglas de «Supervisory Control And Data Adquisition», es decir: adquisición de datos y control de supervisión. Se trata de una aplicación software diseñada para funcionar sobre computadoras en el control de producción, proporcionando comunicación con los dispositivos de campo (controladores autónomos, autómatas programables, etc.) y controlando el proceso de forma automática desde la computadora.

Actualmente no hay suficientes personas con el conocimiento o la experiencia necesarios para realizar test de penetración en entornos SCADA. Muchas empresas de seguridad con personal altamente técnico tienen el conocimiento del 80% del trabajo, pero no se dan cuenta que trabajos como: pruebas de red cableadas e inalámbricas, pruebas de aplicaciones web y tradicionales y pruebas de hardware integrado; forman parte de un test de penetración en entornos SCADA. Lo principal es que estas empresas se pierden es el contexto del sector: energía, gas, tratamiento de aguas… Motivo por el que las empresas de servicios públicos son reacias a incorporar firmas de seguridad con poca experiencia específica en los sistemas de control industrial. Pero pocas empresas de servicios tienen la experiencia interna y necesitan un mayor número de empresas de seguridad para elegir. Además, existen muy pocas herramientas de seguridad para trabajar con protocolos de sistemas de control industrial más allá de la captura y decodificación de paquetes. Un claro ejemplo que pone esta carencia de manifiesto es lo sucedido hace unos días en Florida, donde una planta de tratamiento de agua ha recibido un ciberataque intentando crear una situación de riesgo para la salud.

GRFICS es un marco de realismo gráfico para simulaciones de control industrial que utiliza gráficos de motor de juego Unity 3D para reducir la barrera de entrada para la seguridad del sistema de control industrial. GRFICS proporciona a los usuarios una red de sistema de control industrial virtual (ICS) completo para practicar: ataques comunes, incluida la inyección de comandos, ataques  man-in-the-middle y los desbordamientos de búfer; y ver visualmente el impacto de sus ataques en la visualización 3D. Los usuarios también pueden practicar sus habilidades defensivas segmentando adecuadamente la red con fuertes reglas de firewall o escribiendo reglas de detección de intrusos. GRFICS fue desarrollado originalmente por investigadores de Fortiphyd Logic y el Instituto de Tecnología de Georgia con el objetivo de llevar las habilidades prácticas de seguridad en sistemas de control industrial a una audiencia más amplia. 

La última versión de GRFICS está organizada como 5 máquinas virtuales VirtualBox (una simulación 3D, un PLC suave, una HMI, un firewall pfsense y una estación de trabajo) que se comunican entre sí en redes virtuales solo de host:

Simulación

La VM de simulación (denominada ChemicalPlant) ejecuta una simulación realista de una reacción de proceso químico que se controla y monitorea mediante dispositivos IO remotos simulados a través de una API JSON simple. Estos dispositivos de E/S remotos son luego monitoreados y controlados por el PLC VM utilizando el protocolo Modbus. Esta máquina virtual se encuentra en la subred de la red ICS (192.168.95.0/24) con las direcciones IP 192.168.95.10-192.168.95.15.

Controlador lógico programable

El PLC VM (llamado plc_2) es una versión modificada de OpenPLC ( https://github.com/thiagoralves/OpenPLC_v2 ) que usa una versión anterior de la biblioteca libmodbus con vulnerabilidades conocidas de desbordamiento de búfer. Esta máquina virtual se encuentra en la subred de la red ICS (192.168.95.0/24) en 192.168.95.2

Interfaz hombre-máquina

La HMI VM (llamada ScadaBR) contiene principalmente una HMI de operador creada con el software gratuito ScadaBR. Esta HMI se utiliza para monitorear las medidas de proceso que está recolectando el PLC y enviar comandos al PLC. Esta máquina virtual se encuentra en la subred de la red DMZ (192.168.90.0/24) en 192.168.90.5

Cortafuegos/Enrutador PfSense

El cortafuegos VM (llamado pfSense) proporciona funciones de enrutamiento y cortafuegos entre la red DMZ e ICS. La interfaz WAN está en la subred DMZ (192.168.90.0/24) en 192.168.90.100 y la interfaz LAN está en la subred ICS (192.168.95.0/24) en 192.168.95.1

Estación de trabajo de ingeniería

La máquina virtual de la estación de trabajo es una máquina Ubuntu 16.04 con software que se utiliza para programar OpenPLC. La estación de trabajo está ubicada en la red ICS (192.168.95.0/24) en 192.168.95.5.

Más información y descaega de GRFICS:

https://github.com/Fortiphyd/GRFICSv2

Formby, D., Rad, M. y Beyah, R. Reducir las barreras a la seguridad del sistema de control industrial con GRFICS. En 2018 USENIX Workshop on Advances in Security Education (ASE 18) . https://www.usenix.org/conference/ase18/presentation/formby

En el canal de YouTube de Fortiphyd, en https://www.youtube.com/playlist?list=PL2RSrzaDx0R670yPlYPqM51guk3bQjFG5, se encuentra disponible una serie de videos que explican la configuración de la VM y los ataques de ejemplo.

Fortiphyd Logic ofrece una versión comercial de GRFICS con más escenarios, funciones avanzadas y facilidad de uso optimizada. Obtenga más información en https://www.fortiphyd.com/training

La entrada Marco de simulación SCADA que permite practicar habilidades defensivas frente a ciberataques se publicó primero en GURÚ DE LA INFORMÁTICA.

Cloak es un método de transporte conectable que funciona junto con herramientas de proxy tradicionales como OpenVPN para evadir la censura basada en la inspección profunda de paquetes.

Cloak no es un programa proxy independiente. Más bien, funciona enmascarando el tráfico de la herramienta proxy como tráfico normal de navegación web. A diferencia de las herramientas tradicionales que tienen «huellas digitales» de tráfico muy importantes, es muy difícil apuntar con precisión a Cloak con pocos falsos positivos. Esto aumenta el daño colateral a las acciones de censura, ya que los intentos de bloquear Cloak también podrían dañar los servicios de los que depende el estado censor.

Para un observador externo, un host que ejecuta el servidor Cloak es indistinguible de un servidor web inocente. Tanto mientras se observa pasivamente el flujo de tráfico hacia y desde el servidor, como mientras se comprueban activamente los comportamientos de un servidor Cloak. Esto se logra mediante el uso de una serie de técnicas de estegnatografía criptográfica .

Dado que Cloak es transparente, se puede usar junto con cualquier software proxy que canalice el tráfico a través de TCP o UDP, como Shadowsocks, OpenVPN y Tor. Se pueden ejecutar varios servidores proxy en la misma máquina host del servidor y el servidor Cloak actuará como un proxy inverso, conectando a los clientes con el extremo de proxy deseado.

Cloak multiplexa el tráfico a través de múltiples conexiones TCP subyacentes, lo que reduce el bloqueo del encabezado de línea y elimina la sobrecarga del protocolo de enlace de TCP. Esto también hace que el patrón de tráfico sea más similar al de los sitios web reales.

Cloak proporciona soporte para múltiples usuarios, lo que permite que varios clientes se conecten al servidor proxy en el mismo puerto (443 de forma predeterminada). También proporciona funciones de gestión del tráfico, como crédito de uso y control de ancho de banda. Esto permite que un servidor proxy sirva a varios usuarios incluso si el software de proxy subyacente no fue diseñado para varios usuarios.

Cloak tiene dos modos de transporte:  Los clientes pueden conectarse al host que ejecuta el servidor Cloak directamente o en su lugar, pueden conectarse a un servidor de borde CDN, que también puede ser utilizado por muchos otros sitios web, lo que aumenta aún más el daño colateral a la censura.

Más información y descarga de Cloak:

https://github.com/cbeuw/Cloak

La entrada Herramienta de elusión de la censura basada en la inspección profunda de paquetes se publicó primero en GURÚ DE LA INFORMÁTICA.

BLUESPAWN ayuda a los equipos azules a monitorear los sistemas en tiempo real contra atacantes activos mediante la detección de actividad anómala. Es una herramienta de respuesta y detección de puntos finales y defensa activa , lo que significa que los defensores pueden utilizarla para detectar , identificar y eliminar rápidamente la actividad maliciosa y el malware en una red.

Características principales:

• Muévase más rápido : herramienta diseñada específicamente para identificar rápidamente la actividad maliciosa en un sistema
• Conozca la cobertura : Saber exactamente qué pueden detectar nuestras herramientas y no depender tanto del software blackbox (es decir, programas AV). Este enfoque nos ayudará a enfocar mejor nuestros esfuerzos en líneas específicas y a tener confianza en el estado de los demás
• Mejor comprensión : poder comprender mejor la superficie de ataque de Windows para poder defenderla mejor
• Más software de código abierto del equipo azul : si bien hay muchas herramientas del equipo rojo de código abierto, la gran mayoría de algunas de las mejores herramientas del equipo azul son de código cerrado (es decir, AV, EDR, SysInternals, etc.). No deberíamos necesitar depender de la seguridad a través de la oscuridad para prevenir actores maliciosos (obviamente muy difícil, ¡pero algo por lo que luchar!)
• Demuestre las características de las API del sistema operativo : Los desarrolladores revisamos una tonelada de documentación de Microsoft, respuestas de StackOverflow y más para crear BLUESPAWN. Es de esperar que otros encuentren útil parte del código.

BLUESPAWN consta de 3 modos principales que se enumeran a continuación. Varios de estos módulos tienen submódulos (que es posible que aún no se hayan creado en la base de código) como se enumeran a continuación y todos se encuentran en diferentes etapas de planificación, investigación y desarrollo. Además, son compatibles con otros módulos.

• Hunt (busca evidencia de comportamiento malicioso)
• Mitigar (mitiga las vulnerabilidades aplicando configuraciones de seguridad)
• Monitorear (monitorea continuamente el sistema para detectar comportamientos potencialmente maliciosos)
• Escanear (se utiliza para evaluar los elementos identificados por las búsquedas y tomar una decisión sobre si es sospechoso / malware o no)
• Usuario (contiene el programa principal, IOBase y otras funciones similares)
• Util (contiene una colección de módulos que admiten operaciones básicas)
  • Configuraciones
  • Registros de eventos
  • Sistema de archivos
  • Iniciar sesión
  • PE
  • Procesos

BLUESPAWN se encuentra en fase de desarrollo alfa activo , por lo que es posible que muchas funciones aún no funcionen como se esperaba y las detecciones pueden tener un alcance demasiado limitado o generar muchos falsos positivos.

BLUESPAWN está diseñado para ser ejecutado por un profesional de seguridad en la mayoría de los casos y como tal, detectará en ocasiones actividades no maliciosas. Si bien BLUESPAWN ayuda a descubrir rápidamente cosas potencialmente malas, espera que el usuario utilice la información disponible para tomar la determinación final.

Modos de empleo:

Modo de mitigación

Ejecute lo siguiente desde su símbolo del sistema administrativo para auditar su sistema para detectar la presencia de muchas configuraciones de seguridad

.\BLUESPAWN-client-x64.exe –mitigate –action = audit

Modo de caza

Ejecute BLUESPAWN desde el símbolo del sistema administrativo para buscar actividad maliciosa en el sistema

.\BLUESPAWN-client-x64.exe –hunt -a Cursory –log = consola, xml

Modo monitor

Ejecute BLUESPAWN desde el símbolo del sistema administrativo para monitorear la actividad maliciosa en el sistema

.\BLUESPAWN-client-x64.exe –monitor -a Cursory –log = consola, xml

Más información y descarga de BLUESPAWN:

https://github.com/ION28/BLUESPAWN

La entrada Herramienta de respuesta y detección de puntos finales y defensa activa para Blue Team se publicó primero en GURÚ DE LA INFORMÁTICA.

Cuando se habla del equipo rojo con los clientes o se habla con nuestros compañeros, queda muy claro que no existe una definición común de «equipo rojo». Se explica de muchas formas diferentes, todas con diferentes objetivos y enfoques. Escuchamos cosas como simulación de adversario, pentesting más phishing, pentesting de carta blanca, jugar al defensor del diablo ofensivo o cosas en la línea de la definición del Departamento de Defensa de EE. UU . Para equipos rojos que no son de TI. Esto da como resultado muchas formas de servicios profesionales ofrecidos en el mercado.

En muchos sentidos, esto me recuerda a ‘hacker vs. cracker’ a finales de los 90, o la discusión más reciente sobre el uso de la palabra cyber. No tengo ninguna intención de intentar cerrar este debate.  En pocas palabras, el papel del equipo azul es defender, el papel del equipo rojo es atacar. La defensa no se hace solo en medidas preventivas. Igual de importante es la capacidad de detectar ataques y responder a ellos. Los equipos azules tienen herramientas para esto, pero en gran medida esto se reduce a las acciones y decisiones que toma el equipo azul cuando ocurre un ataque. Entonces, esto necesita ser entrenado.

RedELK SIEM de Red Team: herramienta para Red Teams para rastrear y alertar sobre las actividades de Blue Team, así como una usabilidad mejorada en operaciones a largo plazo.

Cumple dos objetivos:

1. Mayor usabilidad y descripción general para los operadores del equipo rojo mediante la creación de una ubicación central donde se recopilan y enriquecen todos los registros operativos relevantes de varios servidores del equipo. Esto es ideal para búsquedas históricas dentro de la operación, así como para brindar una vista de solo lectura de la operación (por ejemplo, para el Equipo Blanco). Especialmente útil para operaciones de múltiples escenarios, servidores de equipos múltiples, miembros múltiples y meses. Entonces, formas súper fáciles de ver todas las capturas de pantalla, IOC, salida de pulsaciones de teclas, etc. \ o /
2. Detecte al equipo azul al tener una ubicación central donde se recopilen y enriquezcan todos los registros de tráfico de los redirectores. Mediante consultas específicas, ahora es posible detectar que el Equipo Azul está investigando su infraestructura.

RedELK utiliza los componentes típicos Filebeat (envío), Logstash (filtrado), Elasticsearch (almacenamiento) y Kibana (visualización). Rsync se utiliza para una segunda sincronización de los datos del servidor del equipo: registros, pulsaciones de teclas, capturas de pantalla, etc. Nginx se utiliza para la autenticación en Kibana, además de servir las capturas de pantalla, los registros de balizas y las pulsaciones de teclas de forma sencilla en el navegador del operador. Se utiliza un conjunto de scripts de Python para un gran enriquecimiento de los datos de registro y para la detección del equipo azul.

Más información y descarga de RedELK:

https://github.com/outflanknl/RedELK

La entrada Herramienta de Red Teams para rastrear y alertar sobre las actividades de Blue Teams se publicó primero en GURÚ DE LA INFORMÁTICA.

Authelia es un servidor de autorización y autenticación de código abierto que proporciona autenticación de 2 factores e inicio de sesión único (SSO) para sus aplicaciones a través de un portal web. Actúa como un complemento de proxy inversos como nginx , Traefik o HAProxy para hacerles saber si las consultas deben pasar. Los usuarios no autenticados son redirigidos al portal de inicio de sesión de Authelia.

La arquitectura se muestra en el diagrama siguiente.

Authelia se puede instalar como un servicio independiente desde AUR , FreeBSD Ports , o usando un binario estático , Docker o Kubernetes aprovechando los controladores de entrada y las configuraciones de entrada. 

Aquí está la lista de las principales funciones disponibles:

• Varios tipos de segundo factor:
  • Llave de seguridad (U2F) con Yubikey .
  • Contraseña de un solo uso basada en el tiempo con Google Authenticator .
  • Notificaciones push móviles con Duo .
• Restablecimiento de contraseña con verificación de identidad mediante confirmación por correo electrónico.
• Método de autenticación de factor único disponible.
• Restricción de acceso después de demasiados intentos de autenticación.
• Control de acceso detallado a través de subdominio, usuario, recurso y red.
• Soporte de autenticación básica para endpoints protegidos por factor único.
• Altamente disponible usando una base de datos remota y Redis como una tienda KV de alta disponibilidad.
• Compatible con el controlador ingress-nginx de Kubernetes listo para usar .

Se puede comenzar a utilizar Authelia con los paquetes proporcionados :

Local

El paquete de composición local está diseñado para probar Authelia sin preocuparse por la configuración. Está destinado a ser utilizado en escenarios donde el servidor no está expuesto a Internet. Los dominios se definirán en el archivo de hosts local y se utilizarán certificados autofirmados.

Lite

El paquete Lite compose está diseñado para escenarios en los que el servidor estará expuesto a Internet, los dominios y el DNS deberán configurarse en consecuencia y los certificados se generarán a través de LetsEncrypt. El elemento Lite se refiere a dependencias externas mínimas; Almacenamiento de usuario basado en archivos, almacenamiento de configuración basado en SQLite. En esta configuración, el servicio no se escalará bien.

Completo

El paquete de composición completa está diseñado para escenarios en los que el servidor estará expuesto a Internet, los dominios y DNS deberán configurarse en consecuencia y los certificados se generarán a través de LetsEncrypt. El elemento Completo se refiere a una configuración escalable que incluye dependencias externas; Almacenamiento de usuario basado en LDAP, almacenamiento de configuración basado en base de datos (MariaDB, MySQL o Postgres).

Más información y descarga de Authelia:

https://github.com/authelia/authelia

La entrada Montar un servidor de autorización y autenticación de código abierto que proporciona autenticación de 2 factores e inicio de sesión único se publicó primero en GURÚ DE LA INFORMÁTICA.

La falta de una forma estandarizada de enmascarar la PII conduce a diferentes enfoques adoptados por los servicios en línea. Estos están filtrando información parcial sobre su dirección de correo electrónico y número de teléfono en lugares como el área de restablecimiento de contraseña. Se puede abusar y automatizar para extraer información con la intención de reconstruir los datos específicos.

Es posible, especialmente en ataques dirigidos, obtener todos los dígitos de un número de teléfono asociado con una dirección de correo electrónico. Una vez que el atacante está en posesión del número de teléfono, puede usarlo para otros ataques con un impacto serio que puede llevar a un compromiso total de la cuenta, rastreo de ubicación y espionaje.

Esto es especialmente cierto en países con números de teléfono más cortos, ya que muchos servicios no ajustan su enmascaramiento a la longitud del teléfono.

El enmascaramiento no es lo suficientemente bueno, incluso si solo muestra un par de dígitos del número de teléfono. Los habitantes de Santa Helena merecen la misma barra de seguridad que el resto de nosotros con sus números de teléfono de 5 dígitos . Para los correos electrónicos, enmascarar solo el nombre de usuario no es suficiente, el dominio puede proporcionar información sobre dónde puede trabajar esa persona. Incluso el TLD puede revelar si esa persona es un estudiante o de qué país podría ser.

Todos tenemos al menos un número de teléfono. Los números de teléfono son un recurso muy común para la Ingeniería Social. Es algo que usamos casi todos los días para comunicarnos y a veces, es posible que tengamos que lidiar con llamadas o mensajes no solicitados. Es posible que tengamos que reunir información sobre un número de teléfono que encontramos sobre una compañía o una persona. La información básica, como el tipo de línea y el operador, puede ser muy útil para un test de penetración mediante ingeniería social.

Suponiendo que sepa su nombre y su número de teléfono, podría enviarle una amenaza de suplantación de identidad utilizando la plantilla de correo de su proveedor. O puedo llamar al servicio de soporte de su operador para recopilar toda la información que pueda sobre usted. Otro ejemplo, si el número es una línea terrestre, algunos de los dígitos me dirán el área de donde proviene. Esta información es muy simple de obtener sin usar una herramienta, pero ¿Se puede ir mas allá?

email2phonenumber es una herramienta OSINT que permite obtener el número de teléfono de un objetivo con solo tener su dirección de correo electrónico.

Esta herramienta ayuda a automatizar el descubrimiento del número de teléfono de alguien al abusar de las debilidades del diseño de restablecimiento de contraseña y los datos disponibles públicamente. Soporta 3 funciones principales:

• «raspar»: raspa los sitios web en busca de dígitos de números de teléfono al iniciar el restablecimiento de la contraseña utilizando la dirección de correo electrónico del objetivo
• «Generar»: crea una lista de números de teléfono válidos según la información disponible públicamente del plan de numeración de teléfonos del país.
• «fuerza bruta»: itera sobre una lista de números de teléfono e inicia el restablecimiento de la contraseña en diferentes sitios web para obtener correos electrónicos enmascarados asociados y correlacionarlos con el de la víctima

Uso:

Scrape (raspar) sitios web para dígitos de números de teléfono

python email2phonenumber.py scrape -e target@email.com

Genere un diccionario de números de teléfono válidos basado en una máscara de número de teléfono

python email2phonenumber.py generate -m 555XXX1234 -o /tmp/dic.txt

Encuentre el número de teléfono del objetivo restableciendo las contraseñas en los sitios web que no alertan al objetivo utilizando una máscara de número de teléfono y proxies para evitar captchas y otras protecciones de abuso

python email2phonenumber.py bruteforce -m 555XXX1234 -e target@email.com -p /tmp/proxies.txt -q

Demo: 

Más información y descarga de email2phonenumber:

https://github.com/martinvigo/email2phonenumber

La entrada Herramienta OSINT que permite obtener el número de teléfono de un objetivo con solo tener su dirección de correo electrónico se publicó primero en GURÚ DE LA INFORMÁTICA.

Como todos ya sabéis, el reconocimiento es una fase esencial en un ciberataque, es importante saber todo sobre su objetivo antes de proceder a la explotación. Reconocimiento es el uso de fuentes abiertas para obtener información sobre un objetivo, comúnmente conocido como «reconocimiento pasivo». El reconocimiento proporciona bases firmes para un ataque eficaz y satisfactorio. Al invertir tiempo para encontrar tanto como sea posible sobre el objetivo antes de lanzar los ataques, se tendrá un mejor enfoque para los esfuerzos y un menor riesgo de detección.

reNgine es un marco de reconocimiento automatizado destinado a la recopilación de información OSINT, durante las pruebas de penetración de aplicaciones web. reNgine tiene motores de escaneo personalizables, que pueden usarse para escanear dominios, puntos finales o recopilar información. La belleza de reNgine es que reúne todo en un solo lugar. Tiene una tubería de reconocimiento, que es altamente personalizable.

reNgine puede ser muy útil cuando desea realizar el reconocimiento, recopilar puntos finales, buscar directorios y archivos, tomar capturas de pantalla y recopilar todos los resultados en un solo lugar.

Supongamos que, si tiene un dominio hackerone.com, reNgine puede realizar el análisis en función de sus motores de análisis y recopilar todos los resultados en un solo lugar. reNgine lo hace posible para casos de uso como, «Quiero buscar el subdominio que tiene el título de página» Panel de control «y tiene el estado de la página como 200, y rápidamente quiero echar un vistazo a la captura de pantalla».

Otro caso de uso podría ser: «¡Quiero enumerar todos los subdominios que usan PHP y el estado HTTP es 200!»

En la parte de los puntos finales, reNgine es capaz de recopilar los puntos finales de la URL utilizando herramientas como: gau, hakrawler… que recopila URL de muchas fuentes como el rastreo común, el motor Wayback, etc.

reNgine también hace posible el caso de uso como, «¡busque las URL que tienen la extensión .php y el estado HTTP es 200!»

Suponga que, si está buscando una redirección abierta, puede buscar =http y buscar rápidamente el estado HTTP 30X, esto le dará una alta precisión de la redirección abierta con un esfuerzo mínimo.

Características clave

• Escaneo de vulnerabilidades usando núcleos, descubrimiento de subdominios, descubrimiento de puertos, descubrimiento de puntos finales, fuerza bruta de directorios, reconocimiento visual (captura de pantalla de los objetivos)
• Descubrimiento de IP, descubrimiento de CNAME, escaneo de adquisición de subdominios
• Motores de escaneo altamente configurables
• Ejecute varios escaneos en paralelo
• Ejecutar escaneos cronometrados (ejecutar reconocimiento exactamente en X horas y Y minutos)
• Ejecutar análisis periódicos (realiza un reconocimiento cada X minutos / horas/días/semana)
• Búsqueda avanzada en Recon Results

reNgine no ofrece el mejor de los mejores resultados en comparación con otras herramientas, pero reNgine ciertamente requiere un esfuerzo mínimo.  No sirve para reconocimiento con alta precisión (ReNgine, utiliza otras herramientas de código abierto para hacer posible esta canalización. La precisión y la capacidad de reNgine también dependen de esas herramientas). Tampoco es un marco de reconocimiento orientado a la velocidad con resultados inmediatos.

Mas información y descarga de reNgine:

https://github.com/yogeshojha/rengine

La entrada Marco de reconocimiento automatizado destinado a la recopilación de información OSINT se publicó primero en GURÚ DE LA INFORMÁTICA.

Encontrar secretos en GitHub no es nada nuevo. Hay muchas herramientas excelentes disponibles para ayudar con esto, dependiendo del lado de la cerca en el que se siente. En el lado atacante, las herramientas populares como gitrob y truggleHog se centran en indagar para confirmar el historial para encontrar tokens secretos de repositorios, usuarios u organizaciones específicos. En el lado defensivo, los propios GitHub están escaneando activamente secretos a través de su proyecto de escaneo de tokens. Su objetivo es identificar tokens secretos dentro del código comprometido en tiempo real y notificar al proveedor de servicios que actúe. Entonces, en teoría, si alguna clave secreta de AWS está comprometida con GitHub, Amazon será notificada y la revocará automáticamente.

Shhgit fue desarrollada para crear conciencia y dar vida a la prevalencia de este problema. Espero que GitHub haga más para evitar que los ciberatacantes utilicen el tesoro de información en toda la plataforma. No conozco el funcionamiento interno de su proyecto de escaneo de tokens , pero retrasar la API de alimentación en tiempo real hasta que la canalización se haya completado y presentar SLA a los proveedores parece un paso en la dirección correcta.

Shhgit puede funcionar de dos maneras: consumiendo las API públicas de GitHub, Gist, GitLab y BitBucket o procesando archivos en un directorio local. Por defecto, shhgit se ejecutará en el antiguo ‘modo público’. Para GitHub y Gist, tendrá que obtener y proporcionar un token de acceso (ver esta guía , que no requiere ningún ámbitos o permisos y luego se coloca bajo. github_access_tokensEn config.yaml). GitLab y BitBucket no requieren ningún token API.

También puede renunciar a las firmas y utilizar shhgit con su propia consulta de búsqueda personalizada, por ejemplo, para encontrar todas las claves de AWS que pueda utilizar shhgit --search-query AWS_ACCESS_KEY_ID=AKIA. Y para ejecutar en modo local (y tal vez integrarse en sus pipelines de CI) puede pasar el modificador —local.

Más información y descarga de shhgit:

https://github.com/eth0izzle/shhgit

La entrada Encontrar archivos confidenciales en GitHub, Gists, GitLab y BitBucket o en repositorios locales en tiempo real se publicó primero en GURÚ DE LA INFORMÁTICA.

Atomic Red Team es una biblioteca de pruebas simples que todo equipo de seguridad puede ejecutar para probar sus defensas. Las pruebas están enfocadas, tienen pocas dependencias y se definen en un formato estructurado que pueden usar los marcos de automatización.

Las pruebas Atomic Red Team son pequeñas pruebas de detección altamente portátiles asignadas al marco MITRE ATT & CK. Cada prueba está diseñada para mapear una táctica particular. Esto les brinda a los defensores una forma altamente procesable de comenzar a probar inmediatamente sus defensas contra un amplio espectro de ataques.

Inicialmente Atomic Red Team fue creado como una forma de probar la cobertura de detección de Red Canary contra la mejor taxonomía de tácticas/técnicas adversas, ATT & CK de Mitre. El equipo de ingeniería de detección tenía un proceso de prueba unitario bien elaborado, pero quería agregar «pruebas funcionales». Había nacido Atomic Red Team.

Pronto se dieron cuenta de que podían ayudar a los equipos a utilizar el mismo enfoque para evaluar Red Canary y otros productos de detección y respuesta para evaluar su cobertura. El método de prueba estándar para usar muestras de malware de VirusTotal u otros sitios de intercambio de malware era una representación excepcionalmente pobre de un adversario del mundo real. Y simplemente no podía confiar en la mayoría de los proveedores para que le dieran muestras imparciales.

Con estos principios en mente, lanzamos públicamente Atomic Red Team. La respuesta que recibimos fue, honestamente, un poco abrumadora y nos mostró que había una necesidad masiva en la comunidad para este tipo de proyecto. Estamos especialmente agradecidos con el equipo de MITRE ATT & CK, cuyo gran trabajo nos ha dado una gran taxonomía para trabajar.

Creencias clave

Los “Red Team” deben poder probar todo, desde controles técnicos específicos hasta resultados. Los equipos de seguridad no quieren operar con una actitud de “esperanzas y oraciones” hacia la detección. Necesitamos saber qué pueden detectar nuestros controles y programas, y ​​qué no. No tenemos que detectar a todos los adversarios, pero debemos conocer nuestros puntos ciegos.

Deberíamos poder realizar una prueba en menos de cinco minutos.

La mayoría de las pruebas de seguridad y las herramientas de automatización requieren una enorme cantidad de tiempo para su instalación, configuración y ejecución. Acuñamos el término «pruebas atómicas» porque pensamos que había una forma sencilla de descomponer las pruebas para que la mayoría se pudiera ejecutar en unos pocos minutos.

La mejor prueba es la que realmente se ejecuta.

Necesitamos seguir aprendiendo cómo operan los adversarios. La mayoría de los equipos de seguridad no tienen la ventaja de ver una amplia variedad de tipos y técnicas de adversarios cruzando sus redes todos los días. Incluso en Red Canary solo nos encontramos con una fracción de las posibles técnicas que se están utilizando, lo que hace que la comunidad que trabaje unida sea esencial para mejorar a todos.

Casos de uso

Pruebe sus controles de seguridad de producción

Actualmente, tiene uno o más controles de seguridad en producción. Pero, ¿sabe cómo se desempeñan cuando se les presentan técnicas adversas específicas? Atomic Red Team se puede utilizar para introducir técnicas adversas conocidas de manera controlada.

Preguntas que hacer:

• ¿Estamos recibiendo señales de todos los eventos observables?
• ¿Estamos recibiendo alertas de eventos que deberían ocurrir con baja frecuencia o que tienen un alto impacto?

Probar la cobertura de un producto durante una prueba de concepto

El caso de uso original de Atomic Red Team, estas pruebas son un medio invaluable para validar las afirmaciones de los proveedores o para medir objetivamente la presencia o la calidad de las señales en múltiples productos.

Preguntas que hacer:

• ¿Estamos recibiendo señales de todos los eventos observables?
• ¿Estamos recibiendo alertas de eventos que deberían ocurrir con baja frecuencia o que tienen un alto impacto?
• ¿La alerta para un evento dado es determinista o depende del contexto de tiempo de ejecución (es decir, usuario, atributos de proceso padre/hijo, etc.)?

Probar su equipo de análisis y sus procesos

Si bien es ideal que los controles técnicos se prueben y comprendan, es fundamental que los líderes de seguridad de la información comprendan cómo se desempeña su capacidad operativa, la combinación de controles técnicos, experiencia y procesos de respuesta, frente a un adversario determinado.

Preguntas que hacer:

• ¿Uno o más de nuestros controles técnicos identifican la prueba o reacción en cadena?
• ¿Depende la detección de la correlación automatizada? ¿Sobre el análisis humano?
• En cualquier caso, ¿con qué rapidez detectamos la actividad?
• ¿Cuánto tiempo nos lleva contener, remediar, recuperar?
• ¿Cuál es la relación señal-ruido para los criterios de detección utilizados para identificar la actividad? ¿Es sostenible, en conjunto con los criterios requeridos para cubrir un mayor porcentaje de la matriz ATT & CK?

Más información y descarga de Atomic Red Team:

https://github.com/redcanaryco/atomic-red-team

La entrada Biblioteca de pruebas simples que todo Red Team puede ejecutar para probar sus defensas se publicó primero en GURÚ DE LA INFORMÁTICA.

Monitorear lo que sucede en una red doméstica de la misma manera que se hace en un entorno empresarial, con una Raspberry Pi es posible con Sweet Security.

Sweet Security para Raspberry Pi, incluye las últimas versiones de Bro (2.5.1) y la pila ELK (5.5.0). El instalador actualizado basado en Python guiará a los usuarios a través de todo el proceso de instalación y configurará todo para ellos. Estas son algunas de las opciones más interesantes que están disponibles.

INSTALACIÓN MODULARIZADA.

La instalación se puede separar entre: administración web o instalación de solo sensor. La Raspberry Pi tiene dos limitaciones de recursos principales cuando se trata de ejecutar Sweet Security. La primera es la memoria: solo tener 1 GB de memoria disponible limita lo que se puede ejecutar en el Rapberry Pi.

Afortunadamente, lo que se requiere para el procesamiento del lado del cliente funcionará bien, al igual que lo que se requiere para el procesamiento exclusivo del administrador web. Dividirlos permite a los usuarios instalar en dos Pi o tal vez usar el sensor en una Pi con el administrador web en un proveedor de servicios en la nube como AWS, para que pueda tener el control sobre la marcha.

La segunda restricción es la tarjeta de red. Actualmente, la Raspberry Pi Model 3 solo tiene una tarjeta de red de 100 MB. Llevarlo al límite solo obtendrá aproximadamente 80 MB de rendimiento, lo que puede ser un factor limitante para aquellos con un ancho de banda más grande del ISP.

El instalador se ejecutará no solo en dispositivos Raspberry Pi basados ​​en ARM, sino también en dispositivos x86. Si se tiene una computadora de escritorio vieja acumulando polvo de hace 10 años, probablemente sea lo suficientemente potente como para ejecutar Sweet Security.

IMPLEMENTACIÓN PLUG AND PLAY

Sweet Security falsificará dispositivos a nivel ARP para hacer que el tráfico fluya a través del dispositivo. Al seguir esta ruta, no es necesario que realice ningún cambio complejo en la red ni reemplace ningún equipo. Además, si el dispositivo falla por cualquier motivo, la red seguirá funcionando.

Tipos de instalación

1. Instalación completa : esto instalará Bro IDS, Critical Stack (opcional), Logstash, Elasticsearch, Kibana, Apache y Sweet Security Client / Server. Elija esta opción SÓLO si tiene 2 GB de memoria o más.
2. Solo sensor : esto instalará Bro IDS, Critical Stack (opcional), Logstash y Sweet Security Client
3. Solo servidor web : esto instalará Elasticsearch, Kibana, Apache y Sweet Security Server

PORTAL DE ADMINISTRACIÓN WEB

Basado en Flask, el portal brinda información sobre lo que está sucediendo desde la perspectiva de Sweet Security. El inicio de sesión le brinda un vistazo rápido de todos los dispositivos descubiertos en la red.

Profundizar en cada dispositivo le permite controlar cuál es monitoreado (ARP Spoofed) por el sensor, darles nombres amigables, ver qué puertos están abiertos y controlar su tráfico de red. El portal de administración web envía la configuración del firewall a los sensores de forma rutinaria.

Ahora es fácil crear un firewall administrado para dispositivos individuales o incluso aislarlos de otros dispositivos de red local por completo.

Existe Fingbox, una solución ya echa para los que no quieran complicarse la vida, aunque esta mas orientada a redes inalámbricas puede realizar las funciones aquí citadas.

Más información y descarga de Sweet Security:

https://github.com/TravisFSmith/SweetSecurity

La entrada Monitorear red doméstica con Raspberry Pi se publicó primero en GURÚ DE LA INFORMÁTICA.

Como todos ya sabéis, el reconocimiento es una fase esencial en un ciberataque, es importante saber todo sobre su objetivo antes de proceder a la explotación. Reconocimiento es el uso de fuentes abiertas para obtener información sobre un objetivo, comúnmente conocido como «reconocimiento pasivo». El reconocimiento proporciona bases firmes para un ataque eficaz y satisfactorio. Al invertir tiempo para encontrar tanto como sea posible sobre el objetivo antes de lanzar los ataques, se tendrá un mejor enfoque para los esfuerzos y un menor riesgo de detección.

Ya sea el objetivo una empresa, un grupo o un individuo, la experiencia demostró que los humanos son el eslabón más débil en la cadena de seguridad de la información y que los correos electrónicos son la clave para un cuadro de información que puede ser su mejor opción para realizar un ciberataque exitoso

GHunt es una herramienta de OSINT para extraer información de cualquier cuenta de Google mediante un correo electrónico.

Actualmente puede extraer:

• Nombre del dueño
• La última vez que se editó el perfil
• ID de Google
• Si la cuenta es un bot de Hangouts
• Servicios de Google activados (YouTube, Fotos, Mapas, News360, Hangouts, etc.)
• Posible canal de YouTube
• Posibles otros nombres de usuario
• Fotos públicas (P)
• Modelos de teléfonos (P)
• Firmwares de teléfonos (P)
• Software instalado (P)
• Reseñas de Google Maps (M)
• Posible ubicación física (M)

Las funciones marcadas con una (P) requieren que la cuenta de destino tenga la configuración predeterminada de Picasa o haya utilizado Picasa vinculado a su cuenta de Google.
Los marcados con una (M) requieren que las revisiones de Google Maps del objetivo sean públicas (lo son de forma predeterminada).

Uso

Para la primera ejecución , a veces, deberá verificar la validez de sus cookies.
Para hacer esto, corre «check_and_gen.py».
Si no tiene cookies almacenadas (por ejemplo: primer lanzamiento), se le pedirán las 4 cookies requeridas. Si son válidos, generará el token de autenticación y los tokens de Google Docs y Hangouts.

Luego, puede ejecutar la herramienta de esta manera:

python hunt.py myemail@gmail.com

 Le sugiero que cree una cuenta vacía solo para esto o use una cuenta en la que nunca inicie sesión porque, según su navegador/ubicación, volver a iniciar sesión en la cuenta de Google utilizada para las cookies puede desautorizarlas.

¿Dónde encuentro estas 4 cookies?

1. Inicie sesión en accounts.google.com
2. Después de eso, abra la ventana Herramientas de desarrollo y navegue hasta la pestaña Almacenamiento (Shift + F9 en Firefox) (Se llama «Aplicación» en Chrome).
   Si no sabe cómo abrirla, simplemente haga clic derecho en cualquier lugar y haga clic en «Inspeccionar Elemento».
3. Luego encontrará todas las cookies que necesita, incluidas las 4.

Hay muchas formas de obtener la dirección de correo electrónico de una persona, desde los motores de búsqueda, hasta el control de las biografías de las redes sociales, pero la mayoría de las veces estos métodos no proporcionan lo que se necesita.

Una forma alternativa de obtener el correo electrónico de una persona es adivinándolo, sí … ¡eso es correcto! las personas tienden a seguir patrones específicos cuando registran una dirección de correo electrónico, como agregar su año o día de nacimiento después de sus nombres (por ejemplo: johndoe1997@example.com, john.d.97@example.com ) y mientras adivinan que cada combinación lleva mucho tiempo , puede haber una manera de hacer las cosas mucho más rápidas y fáciles.

Las redes sociales como Facebook, Twitter e Instagram proporcionan mucha información sobre las personas si sabe dónde buscar, al tocar el botón «Olvidé mi contraseña» e ingresar su nombre de usuario objetivo, recibirá un correo electrónico censurado. Esa es una información muy útil como proveedores de correo electrónico, primera y última letra y el número exacto de caracteres. (PD: Facebook, Twitter e Instagram dan la cantidad correcta de caracteres, ¡otros no!)

Ahora, al saber esto y conocer cierta información sobre una persona (nombre, segundo nombre, apellido y fecha de nacimiento ), podemos adivinar fácilmente el correo electrónico completo.

Más información y descarga de GHunt:

https://github.com/mxrch/GHunt

La entrada Herramienta de OSINT para extraer información de cualquier cuenta de Google mediante un correo electrónico se publicó primero en GURÚ DE LA INFORMÁTICA.

Muchas brechas de redes y sistemas de grandes corporaciones comienzan con un correo electrónico de Phishing bien diseñado y persuasivo. Las organizaciones y empresas para evitar estar brechas, deberían formar continuamente a su personal para detectar correos electrónicos falsos y potencialmente maliciosos.

El Phishing consiste en el envío de correos electrónicos que simulando proceder de fuentes fiables (por ejemplo, entidades bancarias), intentan obtener datos confidenciales del usuario. Para ello, suelen incluir un enlace que al ser pulsado, lleva a páginas Web falsas. De esta manera, el usuario, creyendo estar en un sitio de toda confianza, introduce la información solicitada que en realidad, va a parar a manos del estafador. La mayoría de los ataques Phishing son consecuencia de las masivas infecciones de ordenadores zombie. Las redes formadas por los troyanos(botnet) que convierten el sistema en un zombie, son utilizadas para el envió de Spam y Phishing, ya que así se escudan en personas que no son conscientes de su infección para realizar estés ataques. En la actualidad estamos viendo que estas redes son utilizadas para ataques de ransonware con el caso de NetWalker, el malware de tipo ransomware empleado por los cibercirminales, que se está usando contra hospitales de Estados Unidos, España y Francia.

OpenSquat es un proyecto de inteligencia de código abierto (OSINT) para identificar amenazas de ciberocupación a dominios específicos como: ocupación de dominios, typosquatting, ataques de homógrafos de IDN, phishing y estafas.

Sirve para identificar amenazas de ocupación cibernética a empresas o dominios específicos, como:

• Campañas de phishing
• Ocupación de dominios
• Typo squatting
• Bitsquatting
• Ataques homógrafos IDN
• Dominios Doppenganger
• Otras estafas relacionadas con marcas/dominios

Admite algunas características clave como:

• Actualización automática de dominio recién registrado (una vez al día)
• Distancia de Levenshtein para calcular la similitud de palabras
• Obtiene dominios de phishing activos y conocidos (proyecto de base de datos de phishing)
• Detección de ataque de homógrafos IDN
• Integración con VirusTotal
• Integración con el servicio DNS Quad9
• Utilice diferentes niveles de umbral de confianza para ajustar
• Guarde la salida en diferentes formatos (txt, JSON y CSV)
• Puede integrarse con otras herramientas de inteligencia de amenazas y sumideros de DNS

Ejemplos de uso:

# Ejecución con opciones predeterminadas

    python opensquat.py

# para todas las opciones

    python opensquat.py -h

# Con validación de DNS (quad9)

    python opensquat.py –dns

# Búsqueda de subdominios

    python opensquat.py –subdomains

# Buscar dominios con puertos abiertos 80/443

    python opensquat.py –portcheck

# Con validación de phishing (base de datos de phishing)

    python opensquat.py –phishing phish_results.txt

# Guardar salida como JSON

    python opensquat.py -o ejemplo.json -t json

# Guardar salida como CSV

    python opensquat.py -o ejemplo.csv -t csv

# Realice una búsqueda de transparencia de certificados (ct)

    python opensquat.py –ct

# Búsqueda de períodos: registros del último mes (predeterminado: día)

    python opensquat.py -p mes

# Ajustar el nivel de confianza. Los valores más bajos traen más falsos positivos

# (0: muy alto, 1: alto (predeterminado), 2: medio, 3: bajo, 4: muy bajo

    python opensquat.py -c 2

# Todas las opciones de validación

    python opensquat.py –phishing phishing_domains.txt –dns –ct –subdomains –portcheck

Más información y descarga de openSquat:

https://github.com/atenreiro/opensquat

La entrada Herramienta OSINT para identificar amenazas de ciberocupación a dominios se publicó primero en GURÚ DE LA INFORMÁTICA.

URLCrazy es una herramienta de OSINT para generar y probar errores tipográficos o variaciones de dominio para detectar o realizar errores tipográficos, secuestro de URL, phishing y espionaje corporativo. La idea es bastante sencilla: URLCrazy toma un nombre de dominio como una semilla, genera una lista de dominios potenciales de phishing y luego comprueba si están registrados. Además, puede comprobar registros MX de servidores de correo que se puedan utilizar para interceptar correos electrónicos con direcciones mal escritas y además puede generar hashes difusos de las páginas web para ver si son sitios de phishing.

Casos de uso

• Detecte a los ocupantes ilegales de errores tipográficos que se benefician de los errores tipográficos en su nombre de dominio
• Proteja su marca registrando errores tipográficos populares
• Identifique los nombres de dominio con errores tipográficos que recibirán tráfico destinado a otro dominio
• Realizar ataques de phishing durante una prueba de penetración

Caracteristicas

• Genera 15 tipos de variantes de dominio
• Conoce más de 8000 errores ortográficos comunes
• Admite ataques de volteo de bits
• Varias distribuciones de teclado (qwerty, azerty, qwertz, dvorak)
• Comprueba si una variante de dominio es válida
• Pruebe si se utilizan variantes de dominio
• Estimar la popularidad de una variante de dominio

Tipos de variaciones de dominio admitidas

Omisión de caracteres
Estos errores tipográficos se crean omitiendo una letra del nombre de dominio, una letra a la vez. Por ejemplo, www.goole.com y www.gogle.com.

Repetición de caracteres
Estos errores tipográficos se crean repitiendo una letra del nombre de dominio. Por ejemplo, www.ggoogle.com y www.gooogle.com.

Intercambio de caracteres adyacentes
Estos errores tipográficos se crean cambiando el orden de las letras adyacentes en el nombre de dominio. Por ejemplo, www.googel.com y www.ogogle.com.

Reemplazo de caracteres adyacentes
Estos errores tipográficos se crean reemplazando cada letra del nombre de dominio con letras a la izquierda y derecha inmediatas en el teclado. Por ejemplo, www.googke.com y www.goohle.com.

Reemplazo de caracteres dobles
Estos errores tipográficos se crean reemplazando letras idénticas y consecutivas del nombre de dominio con letras a la izquierda y derecha inmediatas en el teclado. Por ejemplo, www.gppgle.com y www.giigle.com.

Inserción de caracteres adyacentes
Estos errores tipográficos se crean insertando letras a la izquierda y derecha inmediatas en el teclado de cada letra. Por ejemplo, www.googhle.com y www.goopgle.com.

Omitir punto dominio
Estos errores tipográficos se crean omitiendo un punto del nombre de dominio. Por ejemplo, wwwgoogle.com y www.googlecom.

Tira guiones
Estos errores tipográficos se crean omitiendo un guión en el nombre de dominio. Por ejemplo, www.domain-name.com se convierte en www.domainname.com.

Singular o Pluralise
Estos errores tipográficos se crean haciendo que un dominio singular sea plural y viceversa. Por ejemplo, www.google.com se convierte en www.googles.com y www.games.co.nz se convierte en www.game.co.nz.

Errores ortográficos comunes
Más de 8000 errores ortográficos comunes de Wikipedia. Por ejemplo, www.youtube.com se convierte en www.youtub.com y www.abseil.com se convierte en www.absail.com.

Vocal Intercambio de
Intercambio de vocales en el nombre de dominio a excepción de la primera letra. Por ejemplo, www.google.com se convierte en www.gaagle.com.

Homófonos
Más de 450 conjuntos de palabras que suenan igual cuando se pronuncian. Por ejemplo, www.base.com se convierte en www.bass.com.

Homoglyphs
Uno o más caracteres que se parecen a otro personaje pero son diferentes se llaman homogylphs. Un ejemplo es que la l minúscula se parece a la del número uno, por ejemplo, l vs 1. Por ejemplo, google.com se convierte en goog1e.com.

Dominio de nivel superior incorrecto
Por ejemplo, www.trademe.co.nz se convierte en www.trademe.co.nz y www.google.com se convierte en www.google.org Utiliza los 19 dominios de nivel superior más comunes.

Dominio de segundo nivel incorrecto
Utiliza un dominio de segundo nivel alternativo válido para el dominio de nivel superior. Por ejemplo, www.trademe.co.nz se convierte en www.trademe.ac.nz y www.trademe.iwi.nz

Volteo de bits
Cada letra de un nombre de dominio es un carácter de 8 bits . El carácter se sustituye por el conjunto de caracteres válidos que se pueden crear después de un solo cambio de bit. Por ejemplo, facebook.com se convierte en bacebook.com, dacebook.com, faaebook.com, fabebook.com, facabook.com, etc.

Validación de dominios

UrlCrazy tiene una base de datos de dominios válidos de nivel superior y de segundo nivel. Esta información ha sido recopilada de Wikipedia y registradores de dominios. Sabemos si un dominio es válido comprobando si coincide con dominios de primer y segundo nivel. Por ejemplo, www.trademe.co.bz es un dominio válido en Belice que permite cualquier registro de dominio de segundo nivel, pero www.trademe.xo.nz no lo es porque xo.nz no es un dominio de segundo nivel permitido en Nueva Zelanda.

Estimación de popularidad

Podemos estimar la popularidad relativa de un error tipográfico midiendo la frecuencia con la que aparece en las páginas web. Al consultar en goole.com el número de resultados de búsqueda por un error tipográfico, nos da una indicación de qué tan popular es un error tipográfico. El inconveniente de este enfoque es que debe identificar y omitir manualmente dominios legítimos como googles.com. Por ejemplo, considere los siguientes errores tipográficos para google.com.

25424 gogle.com 24031 

googel.com 22490 

gooogle.com 19172 

googles.com 

19148 goole.com 

18855 googl.com 

17842 ggoogle.com

Más información y descarga de urlcrazy:

https://www.morningstarsecurity.com/research/urlcrazy

La entrada Herramienta OSINT para probar errores tipográficos en dominios y evitar ataques de phishing se publicó primero en GURÚ DE LA INFORMÁTICA.

Modlishka es un proxy inverso HTTP potente y flexible. Implementa un enfoque completamente nuevo e interesante para manejar el flujo de tráfico HTTP basado en navegador, que permite proxy de forma transparente el tráfico de destino multidominio, tanto TLS como no TLS, en un solo dominio, sin el requisito de instalar ningún certificado adicional en el cliente. En resumen, simplemente tiene un gran potencial, que se puede utilizar en muchos escenarios…

Desde la perspectiva de la seguridad, Modlishka se puede utilizar actualmente para:

• Respalde las pruebas de penetración de phishing ético con un componente de proxy inverso transparente y automatizado que tiene un soporte universal de «derivación» 2FA.
• Envenenar automáticamente la caché de los navegadores HTTP 301 y secuestrar permanentemente las URL que no son TLS.
• Diagnosticar y secuestrar el tráfico HTTP de aplicaciones basadas en navegador desde la perspectiva del ataque «Client Domain Hooking».
• Envuelva los sitios web heredados con la capa TLS, confunda los robots rastreadores y los escáneres automatizados, etc.

Modlishka fue escrito como un intento de superar las limitaciones estándar del proxy inverso. Los resultados obtenidos parecieron ser muy interesantes y la herramienta se lanzó inicialmente y luego se actualizó con el objetivo de:

• Resaltar las debilidades del esquema de autenticación de dos factores ( 2FA ) que se utiliza actualmente , de modo que la industria pueda crear e implementar soluciones de seguridad adecuadas.
• Apoyar otros proyectos que podrían beneficiarse de un proxy inverso universal y transparente.
• Sensibilizar a la comunidad sobre las técnicas y estrategias modernas de phishing y apoye a los probadores de penetración en su trabajo diario.

Modlishka se escribió principalmente para tareas relacionadas con la seguridad. Sin embargo, puede ser útil en otros escenarios de uso no relacionados con la seguridad.

Algunas de las características más importantes de ‘Modlishka’:

General:

• Proxy inverso HTTP y HTTPS de un dominio o dominios arbitrarios.
• Control total del flujo de tráfico TLS de origen «cruzado» desde los navegadores de sus usuarios (sin el requisito de instalar ningún certificado adicional en el cliente).
• Configuración fácil y rápida a través de opciones de línea de comandos y archivos de configuración JSON.
• Inyección de carga útil de JavaScript basada en patrones.
• Envolver sitios web con una «seguridad» adicional: envoltura TLS, autenticación, encabezados de seguridad relevantes, etc.
• Separación de sitios web de todos los encabezados de cifrado y seguridad (al estilo MITM de los 90).
• Puede usarse fácilmente para manejar una cantidad arbitraria de tráfico, por ejemplo, a través de un equilibrador de carga DNS.
• Puede adaptarse a usos personalizados a través de complementos modulares.
• Complemento de generación de certificado TLS de prueba automática para el dominio proxy (requiere un certificado CA autofirmado).
• Escrito en Go, por lo que funciona básicamente en todas las plataformas y arquitecturas: compatible con Windows, OSX, Linux, BSD …

Relacionados con la seguridad:

• Soporte para la mayoría de esquemas de autenticación 2FA (listos para usar).
• Implementación práctica del ataque » Client Domain Hooking «. Compatible con un complemento de diagnóstico.
• Recolección de credenciales de usuario (con contexto basado en identificadores pasados ​​de parámetros de URL).
• Complemento de panel web con un resumen de las credenciales recopiladas automáticamente y un módulo de suplantación de la sesión de usuario con un solo clic (prueba de concepto / beta).
• Sin plantillas de sitios web (solo apunte Modlishka al dominio de destino; en la mayoría de los casos, se manejará automáticamente sin ninguna configuración manual adicional).

Modlishka en acción contra un ejemplo de esquema de autenticación de dos factores (prueba de concepto de derivación basada en SMS):

Actualmente, la única forma de abordar este problema en la autentificación de dos factores, desde una perspectiva técnica, es confiar completamente en los tokens de hardware 2FA, que se basan en el protocolo U2F . Puede comprarlos fácilmente en línea. Sin embargo, recuerde que el conocimiento correcto del usuario es igualmente importante.

Resumiendo, debes:

• utilizar tokens de hardware U2F como segundo factor de autenticación.
• usar administradores de contraseñas, que asegurarán que el nombre de dominio en su navegador sea correcto antes de pegar la contraseña.
• aumentar constantemente la conciencia del usuario sobre las técnicas actuales de ingeniería social.

Más información y descarga de Modlishka

https://github.com/drk1wi/Modlishka

La entrada Proxy inverso que resalta las debilidades del esquema de autenticación de dos factores (2FA). se publicó primero en GURÚ DE LA INFORMÁTICA.

Los que trabajamos en seguridad informática, lo más probable es que utilicemos OSINT para ayudarnos a comprender qué son las alertas que reporta nuestro SIEM y qué opina el resto da la comunidad de seguridad IT, al respecto. Lo más probable es que esté utilizando más de un servicio OSINT porque la mayoría de las veces OSINT solo le proporcionará informes basados ​​en el último análisis de los indicadores de compromiso (IOC).

Para algunos, eso es suficiente. Crean bloques de red y correo electrónico, crean nuevas reglas para su IDS/IPS, actualizan el contenido en el SIEM, crean nuevas alertas para monitores en Google Alerts y DomainTools, etc., etc. Para otros, implementan estas mismas contramedidas basadas en informes proporcionados por sus herramientas de terceros por las que la empresa está pagando miles de dólares.

El problema con ambos es que el analista necesita profundizar un poco más (por ejemplo, desofuscar completamente un comando de PowerShell que se encuentra en una macro malicioso) para recopilar todos los indicadores de compromiso (IOC). Y si los IOC adicionales en los que basa su análisis no tienen nada que ver con lo que es cierto sobre ese ciberataque. Sabes que si perdiste el tiempo reuniendo todos los IOC para esa alerta de forma manual, te habría llevado la mitad de tu turno completarlo y, de todos modos, te habrían perdido. La solución OSweep, una herramienta con la que se puede investigar en profundidad con técnicas OSINT, indicadores de compromisos detectados en los SIEM.

Entre las características principales de OSweep destaca:

• Búsqueda de certificados
• Rastreador de delitos cibernéticos
• Análisis híbrido
• Receptor de phishing
• Rastreador de kit de phishing

Más información y descarga de OSweep:

https://github.com/ecstatic-nobel/OSweep

La entrada Aplicar técnicas OSINT en indicadores de compromiso detectados en los SIEM se publicó primero en GURÚ DE LA INFORMÁTICA.

Internet de las cosas (inglés, IoT Internet of Things) es un concepto reciente en tecnologías de la computación, que combina tecnologías consolidadas como: internet, capacidad de procesamiento de información de dispositivos autónomos y procesamiento analítico de datos masivos. La amplitud de que define el paradigma de IoT depende del objetivo que desee lograr con su implementación, que puede abarcar un serie de dispositivos que tienen capacidad de conexión y poder computacional para realizar tareas automatizadas, o también como dispositivos que solo interactúan a través de estímulos externos y que no tiene ninguna función de procesamiento. La arquitectura de IoT se puede ver en 3 capas: una capa de percepción o hardware, una capa de comunicación o red y una capa de interfaces o servicios. De esa forma, los elementos que componen un sistema IoT son hardware, protocolos y servicios de comunicación.

Dentro de la seguridad informática la disponibilidad es un factor muy importante al que normalmente se le suele menospreciar. Entendemos por disponibilidad a la garantía de que los usuarios autorizados puedan acceder a la información y recursos de red cuando los necesiten. Por eso es necesario hacer Strees test (pruebas de carga) de nuestros servicios de red para asegurar la disponibilidad.

StressThing es una plataforma de prueba para realizar pruebas de estrés en la Web de las cosas (WoT). Los sistemas WoT y la configuración de estrés ideal de los usuarios se pueden definir explícitamente para la ejecución de la prueba.

Esta plataforma de prueba utiliza Taraus , Blazemeter y JMeter como herramientas de prueba. Dadas las ventajas de Blazemeter, las pruebas se ejecutan en la nube y los resultados estarían disponibles en una página web accesible para todos para que pueda compartir los resultados con sus compañeros de equipo. También utiliza W3C WoT Thing Description como el estándar principal para definir su sistema WoT.

Este proyecto tiene como objetivo superar las diferentes barreras de carga y pruebas de estrés para Web of Things (WoT) mediante el uso de las mejores herramientas de prueba y estándares web definidos para Internet de las Cosas (IoT). Un enfoque notable de StressThing es restringir a los usuarios para que usen estándares web formales definidos para WoT a fin de ayudar a aumentar la interoperabilidad de IoT.

Puede ajustar su prueba con estos parámetros:

• concurrencia: número de usuarios virtuales concurrentes objetivo
• aceleración: tiempo de aceleración para alcanzar la concurrencia objetivo
• espera: tiempo para mantener la concurrencia objetivo
• iteraciones: limitar el número de iteraciones del escenario
• rendimiento: aplique el modelador Solicitud por segundo (RPS), que limita el máximo RPS al rendimiento, requiere aumento y retención
• escenario: nombre del escenario que se describe en la parte de escenarios
• pasos: permite a los usuarios aplicar un incremento gradual para concurrencia y rps, requiere aumento gradual

Más información y descarga de StressThing:

https://github.com/amhab/StressThing

La entrada Stress Test en el mundo IoT se publicó primero en GURÚ DE LA INFORMÁTICA.

Open Source Intelligence (OSINT), o más precisamente, el uso de fuentes de inteligencia de código abierto para perfilar la exposición en Internet de las organizaciones es decir, footprinting, es una área un muy interesante dentro de la seguridad de la información, particularmente porque es más o menos abierta, lo que supone un problema en este momento.

Como todos ya sabéis, el reconocimiento es una fase esencial en un ciberataque, es importante saber todo sobre su objetivo antes de proceder a la explotación. Reconocimiento es el uso de fuentes abiertas para obtener información sobre un objetivo, comúnmente conocido como «reconocimiento pasivo». El reconocimiento proporciona bases firmes para un ataque eficaz y satisfactorio. Al invertir tiempo para encontrar tanto como sea posible sobre el objetivo antes de lanzar los ataques, se tendrá un mejor enfoque para los esfuerzos y un menor riesgo de detección.

Una cosa a tener en cuenta acerca de la inteligencia de código abierto es que no es solo una práctica para el descubrimiento de activos y tampoco es una práctica que se restringe por completo a la seguridad de la información. Personalmente lo describiría como una práctica de recopilar información pública de varias fuentes, en la que se analiza la información recopilada para crear un modelo que pueda usarse para tomar decisiones. Las empresas, los inversores y los partidos políticos también hacen uso de la inteligencia de código abierto para realizar análisis competitivos y de mercado, entre otras cosas. 

Las redes sociales son un objetivo ideal debido a la alta participación de los usuarios y al desconocimiento de muchos usuarios de los mecanismos de privacidad incluidos por dichas redes sociales. TikTok se caracteriza por su instantaneidad y conexión en directo entre los usuarios. Millones de personas usan TikTok para conversar sobre todo, desde noticias hasta marcas y empresas.

Ya sea el objetivo una empresa, un grupo o un individuo, la experiencia demostró que los humanos son el eslabón más débil en la cadena de seguridad de la información y que los perfiles de  son la clave para recopilar información que puede ser su mejor opción para realizar un ciberataque exitoso.

Tiktok-scraper es una herramienta avanzada de búsqueda de información para OSINT, en la red social TikTok, que no usa la API de TikTok. Lo que te permite rastrear: los seguidores de un usuario, descargar publicaciones de video, recopilar metadatos de usuario, tendencias, hashtags, feed de música…

Características:

• Descargar metadatos de publicaciónes ilimitados de las páginas: Usuario, Hashtag, Tendencias o Music-Id
• Guardar metadatos de publicaciónes en los archivos JSON/CSV
• Descargar medios con y sin la marca de agua y guardarlos en archivos ZIP
• Descargar un solo video sin la marca de agua de la CLI
• Firmar la URL para realizar una solicitud personalizada a la API de TIkTok
• Extraer metadatos de las páginas Usuario, Hashtag y Video único
• Guardar el progreso anterior y descargar solo videos nuevos que no se descargaron antes . Esta función solo funciona desde la CLI y solo si el indicador de descarga está activado.
• Ver y administrar el historial de publicaciones descargadas previamente en la CLI
• Raspa y descarga usuario, hashtag, feeds de música y videos individuales especificados en el archivo en modo por lotes

Más información y descarga de Tiktok-scraper:

https://github.com/drawrowfly/tiktok-scraper

La entrada Búsqueda de información OSINT, en la red social TikTok se publicó primero en GURÚ DE LA INFORMÁTICA.

Una aplicación defensiva de OSINT es la predicción de amenazas. Es posible hacer esto monitorizando en varias plataformas en línea y verificando posibles vulnerabilidades para pronosticar amenazas potenciales contra su organización. Por ejemplo, con esta herramienta de OSINT avanzado de direcciones de correo electrónico, puede controlar posibles brechas que podrían poner en riesgo una organización.

Como todos ya sabéis, el reconocimiento es una fase esencial en un ciberataque, es importante saber todo sobre su objetivo antes de proceder a la explotación. Reconocimiento es el uso de fuentes abiertas para obtener información sobre un objetivo, comúnmente conocido como «reconocimiento pasivo». El reconocimiento proporciona bases firmes para un ataque eficaz y satisfactorio. Al invertir tiempo para encontrar tanto como sea posible sobre el objetivo antes de lanzar los ataques, se tendrá un mejor enfoque para los esfuerzos y un menor riesgo de detección.

Ya sea el objetivo una empresa, un grupo o un individuo, la experiencia demostró que los humanos son el eslabón más débil en la cadena de seguridad de la información y que los perfiles de Linkedin son la clave para recopilar información que puede ser su mejor opción para realizar un ciberataque exitoso.

Linkedin2username, es un web-scraper puro, no se requiere clave API. Utiliza su nombre de usuario y contraseña de LinkedIn válidos para iniciar sesión, creará varias listas de posibles formatos de nombre de usuario para todos los empleados de una empresa a la que lo señale.

Use una cuenta con muchas conexiones, de lo contrario obtendrá resultados malos. Agregar un par de conexiones en la empresa objetivo debería ayudar: esta herramienta funcionará hasta conexiones de tercer grado. Tenga en cuenta que LinkedIn limitará los resultados de búsqueda a 1000 empleados como máximo. Puede usar las funciones ‘–geoblast’ o ‘–keywords’ para saltarse este límite. 

Esto es lo que puedes obener:

• first.last.txt: nombres de usuario como Joe.Schmoe
• flast.txt: nombres de usuario como JSchmoe
• firstl.txt: nombres de usuario como JoeS
• first.txt Nombres de usuario como Joe
• lastf.txt Nombres de usuario como SchmoeJ
• rawnames.txt: nombre completo como Joe Schmoe

Opcionalmente, la herramienta agregará «domain.xxx» a los nombres de usuario.

Deberá proporcionar la herramienta con el nombre de la empresa de LinkedIn. Puede encontrarlo mirando la URL de la página de la empresa. Debería verse algo así https://linkedin.com/company/uber-com. Puede o no ser tan simple como el nombre exacto de la empresa.

Aquí hay un ejemplo para atraer a todos los empleados de Uber:

$ python linkedin2username.py myname@email.com uber-com

Aquí hay un ejemplo para obtener una lista más corta y agregarles el nombre de dominio «uber.com»:

$ python linkedin2username.py myname@email.com uber-com -d 5 -n 'uber.com'

Más información y descarga de :

https://github.com/initstring/linkedin2username

La entrada OSINT para generar listas de nombres de usuario de compañías en LinkedIn. se publicó primero en GURÚ DE LA INFORMÁTICA.

Dentro de la seguridad informática la disponibilidad es un factor muy importante al que normalmente se le suele menospreciar. Entendemos por disponibilidad a la garantía de que los usuarios autorizados puedan acceder a la información y recursos de red cuando los necesiten.

Cuando se trata de proporcionar servicios redundantes, hay varias opciones disponibles:

• El servicio se puede alojar detrás de un conjunto de equilibradores de carga . Detectarán cualquier nodo defectuoso. Sin embargo, debe asegurarse de que esta nueva capa también sea tolerante a fallas.
• Los nodos que proporcionan el servicio pueden confiar en la conmutación por error de IP para compartir un conjunto de IP utilizando protocolos como VRRP  o CARP . La dirección IP de un nodo defectuoso se asignará a otro nodo. Esto requiere que todos los nodos formen parte de la misma subred IP.
• Los clientes del servicio pueden solicitar a un tercero los nodos disponibles. Por lo general, esto se logra a través de DNS round-robin donde solo los nodos de trabajo se anuncian en un registro DNS . La conmutación por error puede ser bastante larga debido a los cachés.

Una configuración común es una combinación de estas soluciones: los servidores web están detrás de un par de equilibradores de carga que logran redundancia y equilibrio de carga. Los equilibradores de carga utilizan VRRP para garantizar la redundancia. Toda la configuración se replica en otro centro de datos y se utiliza DNS round-robin para garantizar tanto la redundancia como el equilibrio de carga de los centros de datos. Durante años, ISP ha estado usando BGP y código personalizado para realizar inyecciones de ruta BGP.

Hay una cuarta opción que es similar a VRRP pero se basa en el enrutamiento dinámico y, por lo tanto, no se limita a los nodos en la misma subred:

• Los nodos anuncian su disponibilidad con BGP para anunciar el conjunto de direcciones IP de servicio que pueden servir. Cada dirección se pondera de manera tal que las direcciones IP se equilibran entre los nodos disponibles.

Esta cuarta opción se realiza con ExaBGP. Fue diseñado para ser esa cuarta opoción, una aplicación SDN basada en BGP que no se interpone en el camino.

ExaBGP es una herramienta versátil que se adapta mejor a:

• proporcionando soluciones de migración tras error de centros de datos cruzados y servicios IP.
• mitigar ataques de red, desplegando centralmente filtros de nivel de red (agujero negro o especificación de flujo)
• Recopilación de información de red (utilizando BGP-LS o BGP con Add-Path)

ExaBGP proporciona una manera conveniente de implementar redes definidas por software mediante la transformación de mensajes BGP en texto plano amigable o JSON , que luego se puede manejar fácilmente mediante scripts simples o su BSS / OSS.

Se usa habitualmente para mejorar la resistencia del servicio y proporcionar protección contra fallas de red o servicio. Por ejemplo, gracias al healthcheckbackend incluido, cualquier falla del servicio DNS emitida puede ser detectada y redirigida. Para ayudarlo a comenzar, Vincent Bernat presentó un laboratorio completo que explica cómo utilizar mejor esta función.

Además, solo o junto con FastNetMon o WanGuard , proporciona a los operadores de red una solución de protección DDOS rentable.

Gracias al equilibrio de flujo de los enrutadores modernos, ExaBGP también se puede utilizar para ahorrar dinero en equilibradores de carga. Otros usos incluyen vigilar los cambios de red realizados por RIPE o por otras redes con GIXLG.

Más información y descarga de ExaBGP:

https://github.com/Exa-Networks/exabgp

La entrada Mejorar disponibilidad en el protocolo BGP se publicó primero en GURÚ DE LA INFORMÁTICA.

Dentro de la seguridad informática la disponibilidad es un factor muy importante al que normalmente se le suele menospreciar. Entendemos por disponibilidad a la garantía de que los usuarios autorizados puedan acceder a la información y recursos de red cuando los necesiten. Por eso es necesario hacer Strees test (pruebas de carga) de nuestros servicios de red para asegurar la disponibilidad.

TCPBurn es una potente herramienta para test de estrés de aplicaciones de servidores de Internet. Permite la reproducción de flujo TCP, que se centra en la concurrencia. Todas las aplicaciones basadas en TCP que podrían reproducirse podrían verse afectadas por esta poderosa herramienta.

Características de TCPBurn:

• La puede reservarse la latencia de red   
• No es necesario vincular múltiples direcciones IP y el número de direcciones IP del cliente es ilimitado
• El número máximo de usuarios concurrentes está restringido al ancho de banda, memoria y potencia de procesamiento de la CPU
• Solo se admiten aplicaciones basadas en TCP que se pueda reproducir su trafico TCP

Como se muestra en la Figura anterior, TCPBurn consta de dos partes: tcpburn e intercepción . Mientras tcpburn se ejecuta en el servidor de prueba y envía los paquetes desde los archivos pcap, la intercepción se ejecuta en el servidor asistente y realiza un trabajo auxiliar, como pasar información de respuesta a tcpburn .

tcpburn lee los paquetes de los archivos pcap y realiza el procesamiento necesario (incluida la simulación de interacción TCP, el control de latencia de la red y la simulación de interacción de capa superior común), y utiliza la técnica de salida de socket sin formato de forma predeterminada para enviar paquetes al servidor de destino (flechas rosas).

La única operación necesaria en el servidor de destino para TCPBurn es establecer comandos de ruta apropiados para enrutar paquetes de respuesta (flechas verdes) al servidor asistente.

intercept es responsable de pasar el encabezado de respuesta a tcpburn . Al capturar los paquetes de respuesta, la intercepción extraerá la información del encabezado de respuesta y enviará el encabezado de respuesta a tcpburn usando un canal especial (flechas moradas). Cuando tcpburn recibe el encabezado de respuesta, utiliza la información del encabezado para modificar los atributos de los paquetes pcap y continúa enviando otro paquete. Debe notarse que las respuestas del servidor de destino se enrutan al servidor asistente, que debe actuar como un agujero negro.

Más información y descarga de TCPBurn:

https://github.com/session-replay-tools/tcpburn

La entrada Potente herramienta para test de estrés de aplicaciones de servidores de red se publicó primero en GURÚ DE LA INFORMÁTICA.

Internet de las cosas (inglés, IoT Internet of Things) es un concepto reciente en tecnologías de la computación, que combina tecnologías consolidadas como: internet, capacidad de procesamiento de información de dispositivos autónomos y procesamiento analítico de datos masivos. La amplitud de que define el paradigma de IoT depende del objetivo que desee lograr con su implementación, que puede abarcar un serie de dispositivos que tienen capacidad de conexión y poder computacional para realizar tareas automatizadas, o también como dispositivos que solo interactúan a través de estímulos externos y que no tiene ninguna función de procesamiento. La arquitectura de IoT se puede ver en 3 capas: una capa de percepción o hardware, una capa de comunicación o red y una capa de interfaces o servicios. De esa forma, los elementos que componen un sistema IoT son hardware, protocolos y servicios de comunicación.

Durante las últimas dos décadas, la comunidad de seguridad ha estado luchando contra programas maliciosos basados en sistemas Windows. Sin embargo, el reciente aumento en la adopción de Linux embebidos en dispositivos y la revolución de IoT están cambiando rápidamente el paisaje de los ciberataques. Los dispositivos integrados son profundamente diferentes a las tradicionales computadoras personales. De hecho, mientras las computadoras personales funcionan predominantemente en arquitecturas x86, sistemas embebidos funcionan en una variedad de arquitecturas diferentes.

Los débiles estándares de seguridad de los dispositivos IoT liberaron malware de Linux en los últimos años. Telnet expuesto y servicios ssh con contraseñas predeterminadas, firmware obsoleto o vulnerabilidades del sistema, todo eso son formas de permitir que los atacantes construyan botnets de miles de dispositivos integrados comprometidos.

Ragnar es una herramienta para iniciarse en test de penetración de dispositivos IoT. Tiene una interfaz de línea de comando. Se puede utilizar como una aplicación independiente, pero también permite la integración en otras herramientas a través de llamadas de sus métodos. Es de código abierto para soportar cambios en sus rutinas y adaptaciones de sus pruebas a problemas más específicos y para ayudar a las personas que están aprendiendo a hacer test de penetración de dispositivos IoT, por lo que tiene descripciones documentadas de sus métodos.

Módulos

Interfaz web (WebI)

Solo requiere una dirección de interfaz para comenzar a recopilar información.

Realiza pruebas de penetración mediante:

• Establecer conexiones con las interfaces proporcionadas
• Prueba la interfaz y recopila los datos necesarios.
• Analizando el campo x-frame-options para Clickjacking
• Busca páginas de inicio de sesión estándar y analiza su código
• Intenta insertar consultas SQL codificadas en las URL y en cada campo detectado
  • Permite la adición manual de caminos
  • Intenta generar cualquier respuesta del Sistema de gestión de bases de datos (DBMS) \ cite {su2006essence}.
• Realiza una búsqueda recursiva de rutas y campos de formulario.
  • Cubre los intentos XSS persistentes y reflejados.
• Para cada ruta y campo, intenta insertar cadenas de JavaScript
  • Utiliza varias codificaciones para evitar el filtrado de detección dinámica
• Utiliza una técnica conocida como exploración ACK para evitar y detectar cualquier firewall de aplicación web (WAF) existente

Servicio de red (netServ)

Rutina de prueba de penetración:

• Comprueba puertos abiertos y detección de servicios disponibles
  • Aplica un enfoque de escaneo SYN
  • También puede reconocer la presencia de WAF
• Realiza ataques fuzzing generados aleatoriamente en todos los servicios identificados
• Realiza ataques fuzzing dirigidos en los puertos conocidos

Criptografía (transCrypt)

Ejecuta análisis centrados en los protocolos de seguridad utilizados para establecer enlaces cifrados entre el servidor y un cliente.

Prueba de rutina:

• Describe los protocolos de seguridad permitidos
• Verifica el protocolo predeterminado utilizado por el servidor
  • Clasificando su conjunto de cifrado y proporcionó bits de seguridad.
• Comprueba el uso de Perfect Forward Secrecy y los cifrados usados.

Para admitir el uso en diferentes sistemas operativos y también para simplificar el código, se utiliza Python 2.7 como lenguaje de desarrollo para realizar las pruebas de penetración seleccionadas. Esta opción también se hizo para permitir que cualquier persona con habilidades de programación adapte el código y lo reutilice para otros casos más recientes con facilidad.

Más información y descarga de Ragnar:

Https://github.com/imperador/ragnar

La entrada Herramienta para iniciarse en test de penetración de dispositivos IoT se publicó primero en GURÚ DE LA INFORMÁTICA.

MultiScanner es un marco de análisis de archivos distribuido que ayuda al usuario a evaluar un conjunto de archivos ejecutando automáticamente un conjunto de herramientas. Las herramientas pueden ser scripts Python personalizados, API web, software que se ejecuta en otra máquina, etc. Las herramientas se incorporan mediante la creación de módulos que se ejecutan en el marco MultiScanner.

Por diseño, los módulos pueden escribirse rápidamente e incorporarse fácilmente al marco. Si bien los módulos actuales están relacionados con el análisis de malware, el marco MultiScanner no tiene un alcance limitado.

MultiScanner admite un flujo de trabajo distribuido para almacenamiento de muestras, análisis y visualización de informes. Esta funcionalidad incluye una interfaz web, una API REST, un sistema de archivos distribuido (GlusterFS), almacenamiento/búsqueda de informes distribuidos (Elasticsearch) y gestión de tareas distribuidas (Celery/RabbitMQ).

Como se ilustra en el diagrama a continuación, MultiScanner ayuda al analista de malware, permitiendo el análisis con herramientas automáticas y herramientas manuales, proporcionando capacidades de integración y escalado, y corrolando resultados de análisis. Permite a los analistas asociar metadatos con muestras y también permite la integración de datos de fuentes externas. MultiScanner es particularmente útil porque los datos están vinculados a través de herramientas y muestras, lo que permite pivotar y análisis.

Flujo de trabajo completo

Cada paso del flujo de trabajo de MultiScanner se describe debajo del diagrama.

El usuario envía un archivo de muestra a través de la interfaz de usuario web (o API REST)

1. La interfaz de usuario web (o API REST):
   1. Almacena el archivo en el sistema de archivos distribuido (GlusterFS)
   2. Coloca la tarea en la cola de tareas (Apio)
   3. Agrega una entrada a la base de datos de administración de tareas (PostgreSQL)
2. Un nodo trabajador:
   1. Extrae la tarea de la cola de tareas de apio
   2. Recupera el archivo de muestra correspondiente del GlusterFS a través de su valor SHA256
   3. Analiza el archivo.
   4. Genera un blob JSON y lo indexa en Elasticsearch
   5. Actualiza la base de datos de gestión de tareas con el estado de la tarea («completa»)
3. La interfaz de usuario web (o API REST):
   1. Obtiene la ID de informe asociada con la ID de tarea
   2. Extrae el informe de análisis del almacén de datos de Elasticsearch

Análisis

Las herramientas de análisis están integradas en MultiScanner a través de módulos que se ejecutan en el marco MultiScanner. Las herramientas pueden ser scripts Python personalizados, API web o aplicaciones de software que se ejecutan en diferentes máquinas. Las categorías de módulos existentes incluyen: escaneo antivirus, ejecución sandbox, extracción de metadatos y escaneo de firmas. Los módulos se pueden habilitar/deshabilitar a través de un archivo de configuración.

Resultados

La habilitación de análisis y consultas avanzadas es la principal ventaja de ejecutar varias herramientas en una muestra, extraer la mayor cantidad de información posible y almacenar la salida en un almacén de datos común. Por ejemplo, los siguientes tipos de análisis y consultas son posibles:

• muestras de racimo
• muestras atípicas
• muestras para análisis de inmersión profunda
• vacíos en el conjunto de herramientas actual
• análisis de aprendizaje automático sobre salidas de herramientas

Informes

Los datos de análisis capturados o generados por MultiScanner son accesibles de tres maneras:

• Interfaz de usuario web de MultiScanner: el contenido de la base de datos de Elasticsearch se puede ver a través de la interfaz de usuario web. Consulte la sección de interfaz de usuario web para más detalles.
• Informes MultiScanner: los informes MultiScanner reflejan el contenido de la base de datos MultiScanner y se proporcionan en formatos JSON y PDF sin formato. Estos informes capturan todo el contenido asociado con una muestra.
• Los informes basados ​​en STIX pronto estarán disponibles en múltiples formatos: JSON, PDF, HTML y texto.

MultiScanner está destinado a ser utilizado por centros de operaciones de seguridad, centros de análisis de malware y otras organizaciones involucradas con el intercambio de inteligencia de amenazas cibernéticas (CTI).

Más información y descarga de MultiScanner:

https://github.com/mitre/multiscanner

La entrada Análisis distribuido de malware y metadatos en archivos se publicó primero en GURÚ DE LA INFORMÁTICA.

Como todos ya sabéis, el reconocimiento es una fase esencial en un ciberataque, es importante saber todo sobre su objetivo antes de proceder a la explotación. Reconocimiento es el uso de fuentes abiertas para obtener información sobre un objetivo, comúnmente conocido como «reconocimiento pasivo». El reconocimiento proporciona bases firmes para un ataque eficaz y satisfactorio. Al invertir tiempo para encontrar tanto como sea posible sobre el objetivo antes de lanzar los ataques, se tendrá un mejor enfoque para los esfuerzos y un menor riesgo de detección.

Ya sea el objetivo una empresa, un grupo o un individuo, la experiencia demostró que los humanos son el eslabón más débil en la cadena de seguridad de la información y que los correos electrónicos son la clave para un cuadro de información que puede ser su mejor opción para realizar un ciberataque exitoso.

Hay muchas formas de obtener la dirección de correo electrónico de una persona, desde los motores de búsqueda, hasta el control de las biografías de las redes sociales, pero la mayoría de las veces estos métodos no proporcionan lo que se necesita.

Una forma alternativa de obtener el correo electrónico de una persona es adivinándolo, sí … ¡eso es correcto! las personas tienden a seguir patrones específicos cuando registran una dirección de correo electrónico, como agregar su año o día de nacimiento después de sus nombres (por ejemplo: johndoe1997@example.com, john.d.97@example.com ) y mientras adivinan que cada combinación lleva mucho tiempo , puede haber una manera de hacer las cosas mucho más rápidas y fáciles.

Las redes sociales como Facebook, Twitter e Instagram proporcionan mucha información sobre las personas si sabe dónde buscar, al tocar el botón «Olvidé mi contraseña» e ingresar su nombre de usuario objetivo, recibirá un correo electrónico censurado. Esa es una información muy útil como proveedores de correo electrónico, primera y última letra y el número exacto de caracteres. (PD: Facebook, Twitter e Instagram dan la cantidad correcta de caracteres, ¡otros no!)

Ahora, al saber esto y conocer cierta información sobre una persona ( nombre, segundo nombre, apellido y fecha de nacimiento ), podemos adivinar fácilmente el correo electrónico completo y aquí es donde entra en juego Buster .

¿Cómo funciona?

Buster tomará la información que conoces sobre una persona y generará todas las combinaciones posibles que puedas hacer con ella, luego la comparará con el patrón que proporcionaste (por ejemplo: k****s@gmail.com ) y hará una lista de todos los correos electrónicos posibles, luego puede revisar cada correo electrónico y verifique si existe o no utilizando diferentes métodos (verificación smtp, presencia en redes sociales …)

Buster cuando encuentre un correo electrónico, realizará tareas de OSINT y devolverá información sobre el correo electrónico como:

• Cuentas sociales de un correo electrónico utilizando múltiples fuentes (gravatar, about.me, myspace, skype, github, linkedin, infracciones anteriores)
• Enlaces a donde se encontró el correo electrónico usando google, twitter y darksearch
• Infracciones de un correo electrónico
• Dominios registrados con un correo electrónico (whois inverso)
• Posibles correos electrónicos y nombres de usuario de una persona
• Correo electrónico de una cuenta en redes sociales
• Correos electrónicos de un nombre de usuario
• El correo electrónico de trabajo de una persona

Ejemplos de uso

Obtenga información de un solo correo electrónico (existe o no, redes sociales donde se usó el correo electrónico, violaciones de datos, pastas y enlaces a donde se encontró)

$ buster -e target@example.com

Consulta de lista de correos electrónicos:

$ buster –list emails.txt

Genere correos electrónicos que coincidan con el patrón y compruebe si existen o no (use el argumento -a si tiene más información para agregar (por ejemplo: -a apodo fav_color phone #)

$ buster -ej ******** 9 @ g **** .com -f john -l doe -b **** 1989

Genere nombres de usuario (use con la opción -o e ingrese el archivo para reconfigurar el módulo perfilador)

$ buster -f john -m james -l doe -b 13071989

Genere correos electrónicos (use -v si desea validar y obtener información de cada correo electrónico)

$ buster -f john -m james -l doe -b 13071989 -p gmail.com yahoo.com

Genere más de 100 correos electrónicos en el formato username@provider.com y devuelva los válidos (use -p si no quiere los más de 100)

$ buster -u johndoe

Genera un correo electrónico de la empresa y devuelve información asociada a él.

$ buster -f john -l doe -c company.com

Consejos:

• Cuando use la opción -a, evite usar palabras pequeñas (ej .: j, 3,66), cuanto más cortas sean las palabras, más grande será la lista de correo electrónico y, por lo tanto, se necesitan más validaciones
• Al agregar un patrón de correo electrónico, asegúrese de que el servicio que proporciona el patrón lo muestre con el tamaño correcto (facebook, twitter, instagram… otros pueden no)
• No recomiendo usar con Tor ya que haveibeenpwnd.com, hunter.io y google no funcionarán correctamente

Una aplicación defensiva de OSINT es la predicción de amenazas. Es posible hacer esto monitorizando en varias plataformas en línea y verificando posibles vulnerabilidades para pronosticar amenazas potenciales contra su organización. Por ejemplo, con esta herramienta de OSINT avanzado de direcciones de correo electrónico, puede controlar posibles brechas que podrían poner en riesgo una organización.

Más información y descarga de Buster:

https://github.com/sham00n/buster

La entrada Herramienta de OSINT avanzado de direcciones de correo electrónico se publicó primero en GURÚ DE LA INFORMÁTICA.

IoT, el Internet de las cosas: red de dispositivos que están conectados a Internet, controlados a través de él y pueden comunicarse entre sí. Pero a veces el dispositivo se puede clasificar como parte de internet de cosas sin conexión a internet. El número total de dispositivos conectados a Internet es de 23 mil millones con la perspectiva de aumentar a 30 mil millones para 2020. Una parte importante de los dispositivos tiene problemas de seguridad. Ignorar estos problemas conduce a la creación de botnets (Mirai, Satori) y a la fuga de datos personales.

ASTo es una herramienta de análisis de seguridad para redes IoT. ASTo se basa en electron y cytoscape.js . Los iconos son proporcionados por el diseño de materiales de Google .

La aplicación está en etapa alfa. El objetivo de los desarolladores es mejorar la funcionalidad central de la aplicación junto con la introducción de características adicionales, para llegar a la etapa beta.

Caracteristicas:

• Visualización basada en gráficos de sistemas IoT.
• Modelar sistemas IoT en fases de ingeniería de diseño e implementación.
• Una transición automática del modelo entre las dos fases de ingeniería.
• Estado del sistema modelo IoT.
• Automatiza la generación de modelos de fase de implementación utilizando archivos pcap-ng.
• Realizar identificación de vulnerabilidad basada en modelos a través de bases de datos CVE.
• Genera información de seguridad automatizada basada en modelos.
• Identificación de patrones basada en atributos.
• Busca a través de gráficos utilizando una variedad de opciones (conceptos, módulos, atributos).

Una vez que se inicia la aplicación, la primera ventana (pantalla de inicio) le pedirá que elija qué fase de modelado le gustaría usar. Después de seleccionar una fase, se le presentarán tres opciones. El primero es crear un nuevo gráfico. La segunda opción es cargar un gráfico existente. La tercera opción es la aplicación de depuración, que carga un gráfico predeterminado utilizado para fines de depuración.

Encontrará algunos gráficos de ejemplo en la samplecarpeta. Si representa un gráfico con más de mil nodos, dependiendo de su hardware, puede detectar algunos problemas de rendimiento. La razón es que la representación de etiquetas predeterminada de nodos y bordes en ASTo es bastante costosa. La etiqueta de representación en nodos y bordes junto con flechas direccionales es costosa para la CPU. Para mejorar el rendimiento, puede ocultar las etiquetas y las flechas de dirección presionando el labelbotón.

ASTo tiene una consola de línea de comandos disponible en la esquina inferior derecha de la aplicación. Puede enfocarse en la consola presionando la combinación «cmd + l" de teclas para macOs y "ctrl + l"para Windows/Linux. Si escribe help, mostrará una lista de opciones de consola. La consola se puede usar para buscar objetos específicos en el gráfico o realizar operaciones. El texto sin procesar se utiliza como entrada de búsqueda. Por ejemplo, si escribe device, ASTo resaltará todos los nodos en el gráfico que tienen la palabra devicecomo atributo.

Todos los comandos de la consola deben ir precedidos de a :. Por ejemplo, al escribir :insightsse realizarán las funciones de información de seguridad. Por otro lado, al escribir insights(sin el :) se realizará una operación de búsqueda en los elementos del gráfico con la palabra clave insights.

Más información y descarga de ASTo:

https://or3stis.github.io/apparatus/

La entrada Análisis y visualización gráfica de seguridad de redes de dispositivos IoT se publicó primero en GURÚ DE LA INFORMÁTICA.

PHP-malware-finder(PMF) hace todo lo posible para detectar código ofuscado, así como archivos que utilizan funciones de PHP que se utilizan a menudo en malwares/webshells.

También sirve detecta la siguiente lista de codificadores, ofuscadores y webshells:

• Best PHP Obfuscator
• Carbylamine
• Cipher Design
• Cyklodev
• Joes Web Tools Obfuscator
• P.A.S
• PHP Jiami
• Php Obfuscator Encode
• SpinObf
• Weevely3
• atomiku
• cobra obfuscator
• phpencode
• tennc
• web-malware-collection
• webtoolsvn
• novahot
• nano

La detección se realiza rastreando el sistema de archivos y probando archivos contra un conjunto de reglas de YARA. Sí, es así de simple.

Antes, para cada llamada, PMF usaba todas sus reglas para verificar si el archivo escaneado contenía algún código que coincidiera con una de estas reglas. En ese momento, la herramienta solo funcionaba para aplicaciones PHP, por lo que usar un solo archivo de reglas no era un problema. Sin embargo, agregar un nuevo idioma en el mismo archivo significa que PMF tiene que leer, para cada acción, las reglas que no se aplican a la aplicación de destino … lo que implica una pérdida de tiempo y recursos.

Es por eso que PMF contiene 3 archivos de reglas:

• El archivo «común» reúne todas las reglas universales que permiten reconocer el código malévolo, sea cual sea la tecnología utilizada por la aplicación. Contiene, por ejemplo, una regla para detectar URLS que se utilizan para enviar hashes en sitios web de fuerza bruta.
• El archivo PHP solo contiene reglas que son específicas de PHP.
• El archivo ASP solo contiene reglas que son específicas de ASP.

Los usuarios de PMF pueden elegir qué archivo usar, de acuerdo con su aplicación, y optimizar el uso de la herramienta al verificar solo las reglas que se les aplican.

En lugar de utilizar un enfoque basado en hash , PMF intenta en la medida de lo posible utilizar patrones semánticos, para detectar cosas como variable “$_GET” se decodifica dos veces, se descomprime y luego pasa a alguna función peligrosa como «system«

Caracteristicas principales de PMF:

• No utiliza una sola regla por muestra , ya que solo se preocupa por encontrar patrones maliciosos, no webshells específicos
• Tiene un completo testuite , para evitar regresiones.
• Su sistema de lista blanca no depende de nombres de archivo
• No se basa en el cálculo de entropía (lenta)
• Utiliza un análisis estático de estilo ghetto, en lugar de depender de hashes de archivos
• Gracias al análisis pseudoestático mencionado anteriormente, funciona (especialmente) bien en archivos ofuscados

Más información y descarga de PMF:

https://github.com/jvoisin/php-malware-finder

La entrada Detectar malware ofuscado en PHP se publicó primero en GURÚ DE LA INFORMÁTICA.

IoT-SecurityChecker este software fue desarrollado para automatizar el proceso de descubrimiento y explotación de dispositivos IoT. Este proyecto pretende ser un punto de partida para futuras investigaciones, un marco para enriquecerse con nuevos módulos, exploits y técnicas. En realidad, IoT-SecurityChecker puede identificar cualquier dispositivo presente dentro de una red utilizando una aplicación de escaneo de puertos (masscan), realizar diferentes ataques de fuerza bruta y probar algunas vulnerabilidades de IoT contra los objetivos identificados para validar la presencia de vulnerabilidades conocidas.

A continuación se proporciona una lista de la actividad principal y el analisis que IoT-SecurityCheker es capaz de realizar:

• Servicio de descubrimiento y captura de  banner con masscan
• SSH Bruteforce
• FTP Bruteforce
• TELNET Bruteforce
• HTTP Bruteforce
• Cisco-PVC-2300 Exploit
• DLink dcs-lig-httpd Exploit
• h264_dvr_rce Exploit Exploit
• Humax HG100R- * omisión de autenticación de Exploit
• / rom-0 revelación de información Exploit
• Trendnet TV-IP410WN Exploit
• CVE-2.017-17.101 Exploit (probado pero no en la FUENTE debido a la divulgación responsable)

Arquitectura:

1. El archivo Knowledge DB (aquí puede ver una pequeña muestra ) contiene toda la información y los datos que se han adquirido durante la fase de creación de conocimiento de la tesis en la que esta basada este proyecto. Se puede actualizar sobre la marcha a medida que se recopila nueva información (por ejemplo, buscando un nuevo producto, exploit o fabricante de IoT).
2. El escáner gestiona e inicia el proceso de descubrimiento de hosts, puede encontrar todos los puertos y la configuración en la clase dedicada . Las operaciones de escaneo se ejecutan usando masscan.
3. Las clases de Bruteforcers son capaces de ejecutar un ataque de diccionario en los siguientes servicios: ftp, telenet, ssh, http basic. El diccionario proporcionado como lista de palabras se construye en función del conocimiento (en este repositorio solo puede encontrar pequeñas listas de palabras utilizadas con fines de demostración).
4. Las clases de exploits pueden ejecutar un conjunto de exploits que abordan vulnerabilidades de IoT bien conocidas. En cuanto al diccionario, la lista de exploits deriva del conocimiento. Los exploits disponibles son 5 (más uno no público):
   • Cisco-PVC-2300: la cámara web Cisco PVC-2300 se ve afectada por varias vulnerabilidades que pueden permitir que un usuario no autenticado inicie sesión y acceda a múltiples funcionalidades. El exploit desarrollado intenta iniciar sesión y descargar la configuración del dispositivo para leer el nombre de usuario y la contraseña.
   • Dlink: un conjunto de cámaras web Dlink se ven afectadas por diferentes vulnerabilidades que permiten principalmente la inyección de comandos del sistema operativo. El exploit desarrollado prueba cada una de estas vulnerabilidades
   • h264-dvr-RCE: un conjunto de dispositivos identificados por el subtítulo que han sido utilizados por varias compañías pueden sufrir la inyección remota de comandos. Esta vulnerabilidad permite a un atacante ejecutar cualquier comando en el dispositivo vulnerable. El exploit verifica las vulnerabilidades que intentan crear un archivo en el dispositivo de destino.
   • Humax-HG100R: el enrutador Wifi Humax es vulnerable al ataque de omisión de autenticación al enviar una solicitud específica diseñada a la consola de administración. Si la consola está expuesta al público, un atacante puede explotarla y obtener acceso a información confidencial.
   • Rom-0: un conjunto de dispositivos de red de compañías como ZTE, TP-Link, ZynOS y Huawei son vulnerables a los ataques de Bypass de autenticación. Un atacante puede acceder a datos confidenciales enviando una solicitud HTTP diseñada al recurso / rom = o
   • TV-IP410wn: las cámaras web Trendnet TV-IP410WN son vulnerables a los ataques de ejecución remota de comandos. Los exploits desarrollados verifican la vulnerabilidad al ejecutar el comando ls en el dispositivo de destino.
   • CVE-2017-17101: varias cámaras web y monitores para bebés de la compañía Apexis son vulnerables a la inyección de credenciales. Un atacante mediante el uso de una solicitud http diseñada puede obtener acceso de administrador completo. Esta vulnerabilidad ha sido descubierta durante este trabajo y ha sido marcada por CVE-2017-17101.
5. El motor, gestiona todas las operaciones e intercambios de información a través de todos los módulos. El usuario puede configurar el escaneo y luego el Motor se encarga de comenzar el escaneo, redirigir los datos al analizador y luego a los DB, configurando la ejecución del Explorador y el Autenticador en función de los resultados.
6. Utilidadess, proporcionan una serie de funcionalidades, por ejemplo, validar entradas y salidas.
7. Las clases Parser, manejan y filtran salidas de muchas herramientas diferentes integradas en el software y crean también una salida legible por humanos.

Más información y descarga de IoT-SecurityChecker:

https://github.com/c0mix/IoT-SecurityChecker

La entrada Marco para automatizar algunas comprobaciones de seguridad relacionadas con IoT se publicó primero en GURÚ DE LA INFORMÁTICA.

La herramienta de análisis y comparación de firmware (FACT) está destinada a automatizar el análisis de seguridad de firmware (enrutador, IoT, UEFI, cámaras web, drones, …). Por lo tanto, será fácil de usar (GUI web), extender (sistema de complemento) e integra (API REST).

FACT proporciona un script de instalación para Ubuntu 18.04 que instala FACT y todas las dependencias automáticamente. El script de instalación también es compatible con Ubuntu 19.04, Debian 9, Debian 10, Kali 2019.4. Sin embargo, puede haber problemas menores en estos, porque no se ha desarrollado activamente en estas plataformas. Además, tiene una interfaz web para que pueda comenzar de inmediato sin ningún conocimiento adicional sobre FACT o el firmware que desea ver. FACT se basa en un concepto de conjunto de complementos. Los extractores, las funciones de análisis y las funcionalidades de comparación se implementan como complementos. La integración también es fácil, ya que proporcionamos una API REST que cubre casi todas las características de FACT.

El análisis de firmware es un desafío difícil con muchas tareas. Muchas de estas tareas pueden automatizarse (con nuevos enfoques o la incorporación de herramientas existentes) para que un analista de seguridad pueda centrarse en su tarea principal: analizar el firmware y encontrar vulnerabilidades. FACT implementa esta automatización que conduce a un análisis más completo, así como a una aceleración masiva en la búsqueda de vulnerabilidades.

Las fases del análisis:

1º Extracción de firmware

La extracción de una imagen de firmware puede llevar mucho tiempo. Al principio debes identificar el formato del contenedor. Luego, necesita encontrar un desempacador apropiado. Si no hay una herramienta de extracción disponible, puedes usar binwalk para extraer al menos algunos de los componentes del firmware. Cuando termine esta tarea, debe volver a hacer estas tareas para cada capa varias veces. FACT automatiza todo el proceso.

2º Análisis inicial de firmware

El próximo desafío es averiguar todo lo posible sobre el firmware para identificar posibles riesgos y vulnerabilidades. Algunos de estos desafíos resueltos por FACT se enumeran a continuación:

• Identificación de software
• ¿Qué sistema operativo se usa?
• ¿Qué programas están presentes?
• ¿Qué versiones se usan?
• ¿Qué servicios se inician en el arranque?
• ¿Hay alguna vulnerabilidad conocida en estos? (CVE)
• Encuentra credenciales de inicio de sesión, especialmente contraseñas codificadas
• Detección de material criptográfico
• claves privadas
• certificados
• Detecta la arquitectura de la CPU (necesaria para la emulación y el desmontaje)
• Compruebe si es ejecutable utilizando QEMU (necesario para borrado y depuración)
• Busque fallas de implementación (CWE)

3º Comparación de firmware

En muchos casos, es posible que desee comparar muestras de firmware. Por ejemplo, es posible que desee saber si un fabricante solucionó un problema en una nueva versión de firmware y dónde lo hizo. O quizás desee saber si el firmware de su dispositivo es el firmware original proporcionado por el fabricante. Si difieren, desea saber qué partes se cambian para una mayor investigación. Nuevamente, FACT puede automatizar muchos de estos desafíos:

• Identificar archivos modificados / iguales
• Identificar versiones de software modificadas

5º Encontrar otras imágenes de firmware afectadas

Si encuentra una nueva vulnerabilidad o un nuevo formato de contenedor, es posible que desee saber si otras imágenes de firmware comparten su hallazgo. Por lo tanto, FACT almacena todos los archivos de firmware y resultados de análisis en una base de datos con capacidad de búsqueda. Puede buscar patrones de bytes en todos los archivos desempaquetados, así como cualquier tipo de resultado de análisis.

Más información y descarga de FACT:

https://fkie-cad.github.io/FACT_core/

La entrada Herramienta de análisis y comparación de vulnerabilidades de firmware de dispositivos IoT se publicó primero en GURÚ DE LA INFORMÁTICA.

Singularity es una herramienta para realizar ataques de DNS rebinding . Incluye los componentes necesarios para, volver a vincular la dirección IP del nombre DNS del servidor de ataque, a la dirección IP de la máquina de destino y para servir cargas de ataque, para explotar software vulnerable en la máquina de destino.

Como funciona

DNS rebinding cambia la dirección IP de un nombre de máquina controlada por el atacante a la dirección IP de una aplicación de destino, omitiendo la política del mismo origen y permitiendo así que el navegador realice solicitudes arbitrarias a la aplicación de destino y lea sus respuestas. El servidor DNS Singularity responde con registros de tiempo de vida breve (TTL), lo que minimiza el tiempo de almacenamiento en caché de la respuesta. Cuando la víctima busca la interfaz del administrador de Singularity, el servidor DNS de Singularity responde primero con la dirección IP de Singularity, donde se aloja el código del lado del cliente (carga útil). Cuando se agota el tiempo de espera del registro DNS, el servidor DNS Singularity responde con la dirección IP del host de destino (por ejemplo, 127.0.0.1) y el navegador de la víctima puede acceder a la aplicación de destino, eludiendo la política del mismo origen del navegador. También es posible activar el enlace DNS antes de que caduque un registro DNS en caché, dependiendo de la plataforma de destino y utilizando una combinación de técnicas que se describen en secciones posteriores.

Singularity incluye cargas útiles de muestra para explotar varias versiones de software vulnerables, desde la simple captura de una página de inicio hasta la ejecución remota de código. Su objetivo es proporcionar un marco para facilitar la explotación de software vulnerable a los ataques de DNS rebinding y crear conciencia sobre cómo funcionan y cómo protegerse de ellos.

Características principales

• Singularity proporciona una pila completa de entrega de ataques de DNS rebinding:
  • Servidor DNS personalizado para volver a vincular el nombre DNS y la dirección IP
  • Servidor HTTP (interfaz web del administrador) para servir páginas HTML y código JavaScript a los objetivos y administrar los ataques
  • Varias cargas de muestra de ataques , que van desde la captura de la página de inicio de una aplicación de destino hasta la ejecución remota de código. Estas cargas útiles se pueden adaptar fácilmente para realizar ataques nuevos y personalizados.
  • Admite valores DNS CNAME en la especificación de destino además de las direcciones IP para evadir las soluciones de filtrado de DNS o para apuntar a recursos internos para los que se desconoce la dirección IP.
• Un escáner de puertos HTTP simple, rápido y eficiente para identificar servicios vulnerables.
• La automatización de ataques permite automatizar completamente el escaneo y la explotación de servicios vulnerables en una red.
• Hook and Control permite usar los navegadores web de las víctimas como servidores proxy HTTP para acceder a los recursos de la red interna, para explorar de forma interactiva y explotar aplicaciones que de otro modo serían inaccesibles con su propio navegador.

Singularity admite las siguientes cargas de ataque:

• Solicitud de búsqueda básica ( simple-fetch-get.js): esta carga útil de muestra realiza una solicitud GET al directorio raíz (‘/’) y muestra la respuesta del servidor utilizando la fetchAPI. El objetivo de esta carga útil es funcionar como solicitud de ejemplo para hacer contribuciones adicionales lo más fácil posible.
• automático : esta carga intenta automáticamente detectar servicios conocidos y explotarlos utilizando otras cargas enumeradas en esta sección o que fueron desarrolladas y agregadas a Singularity por los usuarios.
• Chrome DevTools RCE ( exposed-chrome-devtools.js): esta carga demuestra una vulnerabilidad de ejecución remota de código (RCE) en Microsoft VS Code corregido en la versión 1.19.3. Esta carga útil se puede adaptar para explotar cualquier software que exponga Chrome Dev Tools localhost.
• Etcd k / v dump ( etcd.js): esta carga recupera las claves y los valores del almacén de valores-clave etcd .
• pyethapp ( pyethapp.js): Explota la implementación de Python del cliente de Ethereum Pyethapp para obtener la lista de direcciones eth propias y recuperar el saldo de la primera dirección eth.
• Rails Console RCE ( rails-console-rce.js): realiza un ataque de ejecución remota de código (RCE) en la consola web de Rails .
• AWS Metadata Exfil ( aws-metadata-exfil.js): obliga a un navegador sin cabeza a filtrar metadatos de AWS que incluyen claves privadas a un host determinado. Verifique el contenido de la carga útil para obtener detalles adicionales sobre cómo configurar el ataque.
• Duplicati RCE ( duplicati-rce.js): esta carga explota al cliente de copia de seguridad Duplicati y realiza un ataque de ejecución remota de código (RCE). Para que este ataque funcione, el parámetro targetURL en el archivo payload-duplicati-rce.html debe actualizarse para que apunte a una copia de seguridad de Duplicati válida que contenga la carga útil real de RCE, un script de shell.
• WebPDB ( webpdb.js): una carga útil genérica de RCE para explotar PDB, un depurador de python expuesto a través de websockets.
• Hook and Control ( hook-and-control.js): secuestra los navegadores de destino y úsalos para acceder a recursos inaccesibles desde tu propio navegador u otros clientes HTTP. Puede recuperar la lista de navegadores enganchados en el subdominio «soohooked» del host del administrador Singularity en el puerto 3129 de forma predeterminada, por ejemplo, http://soohooked.rebinder.your.domain:3129/ . Para autenticarse, envíe el valor secreto volcado a la consola por el servidor Singularity al inicio.
• Jenkins Script Console ( jenkins-script-console.js): esta carga explota la Jenkins Script Console y muestra las credenciales almacenadas.
• Docker API ( docker-api.js): esta carga aprovecha la API de Docker y muestra el /etc/shadowarchivo del host Docker.

Gerald Doussot – State of DNS Rebinding Attacks & Singularity of Origin – DEF CON 27 Conference

Más información y descarga de Singularity:

https://github.com/nccgroup/singularity

La entrada Auditar sistemas vulnerables a DNS rebinding se publicó primero en GURÚ DE LA INFORMÁTICA.

Control de supervisión y adquisición de datos (SCADA) es la palabra de moda que resume los dispositivos de los sistemas de control de la industria (ICS). Estos dispositivos están altamente especializados en el control de procesos industriales como líneas de producción o incluso plantas de pozos. Normalmente, un ICS consta de controladores lógicos programables (PLC), actuadores y sensores. Es común que las redes de la industria también consistan en dispositivos adicionales como Interfaces hombre-máquina (HMI) o puertas de enlace.

Splonebox es una herramienta de evaluación de red de código abierto con enfoque en Sistemas de Control de la Industria. Ofrece un análisis continuo de su red y sus dispositivos. Un diseño modular permite la escritura de complementos adicionales.

Arquitectura:

Splonebox consta de tres componentes, que se comunican a través de una API central. Por un lado, hay un componente central que hace cumplir la seguridad. Por otro lado, tenemos varios complementos, que hacen el trabajo real. Con esta API, los complementos pueden comunicarse con el núcleo de splonebox o incluso con otros complementos.

Dado que la API principal se basa en msgpack , es posible desarrollar complementos en una amplia variedad de lenguajes de programación. Entonces, en el futuro, prentenden proporcionar complementos en múltiples lenguajes de programación (por ejemplo, python). Los complementos existentes son:

• Complementos SCADA: Uno de los principales intereses es la seguridad industrial. Como consecuencia, proporciona complementos que admitan comunicaciones industriales como Modbus o PROFINET .
• Complementos de escaneo de red: Para proporcionar un análisis óptimo, se necesitan complementos que recopilan información de diferentes maneras. Una forma es escanear redes activamente mientras que otros complementos detectarán el tráfico.
• Interfaz gráfica del usuario: La arquitectura modular básicamente hace que todo sea un complemento. Por lo tanto, la interfaz gráfica de usuario también es un complemento. El desarrollador apunta que en futuras versiones, habrá múltiples interfaces de usuario que cubrirán diferentes aspectos y necesidades.

Más informacción y descarga de splonebox:

https://github.com/splone/splonebox-core

La entrada Herramienta de evaluación de red, con enfoque en Sistemas de Control de la Industrial se publicó primero en GURÚ DE LA INFORMÁTICA.

Footprinting es una técnica de recopilación de información sobre los sistemas informáticos y las entidades a las que pertenecen, son tareas que se realizan antes de hacer un ataque real. Esto se hace mediante el empleo de diversas técnicas como:

• Consultas DNS
• Enumeración de dispositivos red
• Consultas de red
• Identificación de los sistemas operativos
• Consultas sobre la organización a la que pertenece el sistema
• Barridos ping
• Consultas de POC (punto de contacto administrativo)
• Escaneo de puertos
• Consultas del registrador (consultas WHOIS)
• Consultas SNMP
• Uso de arrañas web

Footprinting es el proceso de conocer tanto como sea posible, acerca de un objetivo determinado para llevar a cabo una prueba de penetración de seguridad más completa. Emplear esta técnica en redes grandes de forma manual y con herramientas para cada técnica puede llegar a ser una tarea sumamente complicada.

La mejor forma de defender un dominio ante la exposición de información ante un ataque Footprinting, no es otra que realizar la misma técnica. Para detectar que información se muestra, que pueda comprometer la seguridad de dicho dominio. Y luego si es posible corregir esa difusión de información

Pulsar es un escáner de huella de red automatizado para red teams y pentesters. Está enfocado en el descubrimiento de activos públicos de la organización con un conocimiento mínimo sobre su infraestructura. Junto con la visualización de datos de red, intenta dar una puntuación de vulnerabilidad básica para encontrar puntos débiles de infraestructura y su relación con otros recursos. También se puede usar como un escáner de vulnerabilidades personalizado para ámbitos amplios e inexplorados. Este software fue creado teniendo en cuenta la disponibilidad, por lo que es 100% gratuito y no requiere ninguna clave API para usar sus funciones.

Características principales de pulsar:

• Descubrimiento de subdominios
• Descubrimiento de TLD
• Descubrimiento de recursos en la nube
• Escaneo básico de vulnerabilidades
• Políticas de escaneo y optimización
• Visualización de datos
• Colaboración y exportación de datos
• Programación y notificaciones
• API REST
• Integración de API externas
• Integración OAUTH
• Extensiones de escáner personalizadas

Es una herramienta ideal para footprinting. En mi opinión es juntar en una herramienta la información que puedes obtener de un dominio con dnsdumpster y Shodan.

Más información y descarga de pulsar:

https://github.com/FooBallZ/pulsar

La entrada Escáner footprint para descubrir dominios y ejecutar test personalizados periódicamente se publicó primero en GURÚ DE LA INFORMÁTICA.

La herramienta de evaluación de ciberseguridad (CSET®) proporciona un enfoque sistemático y disciplinado para evaluar postura de seguridad de una organización. Es una herramienta que guía a los propietarios y operadores de activos a través de un proceso paso a paso para evaluar su sistema de control industrial (ICS) y prácticas de seguridad de la red de tecnología de la información (TI). Los usuarios pueden evaluar su propia postura de ciberseguridad utilizando muchos reconocidos estándares y recomendaciones, gubernamentales y de la propia industria. El Departamento de Seguridad Nacional (DHS) y el Centro de Integración nacional de ciberseguridad y comunicaciones (NCCIC) desarrolló la aplicación CSET y la ofrece en sin costo para los usuarios finales.

CSET ayuda a evaluar su información y prácticas operativas de ciberseguridad de sistemas operativos, realizando una serie de preguntas detalladas sobre componentes del sistema y arquitecturas, así como políticas y procedimientos operativos. Estas preguntas se derivan de los estándares aceptados de ciberseguridad de la industria. Cuando se completan los cuestionarios, CSET proporciona un tablero de gráficos que muestra áreas de fortaleza y debilidad, así como una lista priorizada de recomendaciones para fortalecer la postura de ciberseguridad de la organización. CSET incluye soluciones, buenas prácticas, acciones correctores y mejoras de componentes. CSET admite la capacidad de comparar múltiples evaluaciones, establecer una línea de base y determinar tendencias.

Este proceso de evaluación puede ser utilizado efectivamente por las organizaciones, en todos los sectores para evaluar las redes ICS o IT. Este proceso comprende 5 fases:

1. Seleccionar estándares

Los usuarios seleccionan uno o más estándares de ciberseguridad reconocidos por el gobierno y la industria. Luego CSET genera preguntas que son específicas para esos requisitos. Incluye algunos estándares de muestra:

• Catálogo DHS de sistemas de control de seguridad: recomendaciones para desarrolladores de normas;
• Estándares de Protección de Infraestructura Crítica (CIP) de NERC 002-009;
• Publicación especial NIST 800-82, Guía para el control industrial Seguridad de sistemas;
• Publicación especial NIST 800-53, Seguridad recomendada Controles para sistemas de información federales;
• Marco de ciberseguridad del NIST;
• Guía reglamentaria de la NRC 5.71 Programas de ciberseguridad para Instalaciones nucleares;
• Comité de Instrucción de Sistemas de Seguridad Nacional (CNSSI) 1253;
• Pautas de ciberseguridad de los sistemas de control INGAA para Industria de gasoductos de gas natural;
• Pautas de NISTIR 7628 para la ciberseguridad de la red inteligente.

2. Determinar el nivel de seguridad

El nivel de garantía de seguridad (SAL) está determinado por las respuestas a preguntas relacionadas con las posibles consecuencias de un ciberataque exitoso en una organización, instalación, sistema de ICS, o subsistema. Se puede seleccionar o calcular y proporciona un nivel recomendado de rigor de ciberseguridad necesario para proteger contra el peor de los casos.

3. Crear un diagrama

CSET contiene una interfaz gráfica de usuario que permite a los usuarios crear un diagrama de la topología de la red e identificar la «criticidad» de la componentes de red. Los usuarios pueden crear un diagrama desde cero, importar un diagrama de plantilla preconstruido o importar un diagrama existente Microsoft Visio. Los usuarios pueden definir zonas de ciberseguridad, componentes críticos y rutas de comunicación de red. La paleta de iconos con componentes de sistema y red, permiten a los usuarios construir y modificar diagramas simplemente arrastrando y colocando componentes en su lugar.

4. Responda las preguntas

CSET luego genera preguntas utilizando la topología de red, los estándares de seguridad seleccionados y SAL como base. El equipo de evaluación puede seleccionar la mejor respuesta para cada pregunta utilizando la configuración de red real de la organización y las políticas y procedimientos de seguridad implementados. Se pueden ingresar notas o archivos adjuntos a preguntas individuales, marcándolas para su posterior revisión o proporcionando aclaraciones. Cada pregunta tiene información de referencia asociada, que se proporciona para aclaración. El sistema también muestra los requisitos subyacentes, cualquier texto complementario y recursos adicionales para ayudar a abordar el problema identificado.

5. Revisión de análisis e informes

El panel de análisis proporciona interacción con gráficos y tablas que presentan los resultados de la evaluación en forma resumida y detallada. Los usuarios pueden fácilmente desplazar contenido o «profundizar» para ver información más granular. También proporciona las principales áreas de preocupación que se priorizan según la información de amenazas actual. Se pueden imprimir informes diseñados profesionalmente para facilitar la comunicación con la gerencia y otros miembros del personal.

Esta herramienta junto con la herramienta monitorización C2MON desarrollada por el CERN, descrita en el articulo “Plataforma de control y monitorización, ideal para entornos industriales”, forman dos herramientas imprescindibles para organizaciones con sistemas SCADA.

Presentación CSET:

Guia de uso CSET:

Más información y descarga de CSET:

https://github.com/cisagov/cset

La entrada Herramienta de evaluación de ciberseguridad para sistemas de control industrial y organizaciones en general. se publicó primero en GURÚ DE LA INFORMÁTICA.

Dentro de la seguridad informática la disponibilidad es un factor muy importante que normalmente se le suele menospreciar. Entendemos por disponibilidad a la garantía de que los usuarios autorizados puedan acceder a la información y recursos de red cuando los necesiten. La disponibilidad es un factor imprescindible un sistema de telefonía VoIP.

RTPproxy es un software proxy extremadamente confiable y razonablemente de alto rendimiento para transmisiones RTP que puede funcionar junto con OpenSIPS , Kamailio o Sippy B2BUA. Originalmente creado para manejar escenarios NAT, también puede actuar como un relé genérico de datagramas en tiempo real, así como sesiones de protocolo en tiempo real (RTP) entre redes IPv4 e IPv6.

RTPproxy admite muchas características avanzadas y es controlable a través de una multitud de protocolos de Capa 4, incluidos Unix Domain, UDP, UDPv6, TCP y TCPv6. El software permite construir redes SIP distribuidas y escalables. El módulo rtpproxy incluido en el software OpenSIPS o Kamailio SIP Proxy permite usar múltiples instancias RTPproxy que se ejecutan en máquinas remotas con fines de tolerancia a fallas y equilibrio de carga. El clúster avanzado de alta capacidad y el equilibrio de carga están disponibles mediante el uso de middleware RTP Cluster . El software también admite MOH/inyección de medios pregrabados, retransmisión de video y grabación de sesiones a un archivo local o escuchas remotas UDP. Además, pone a disposición una variedad de contadores de sesión en tiempo real o casi en tiempo real, tanto por sesión como por instancia.

Rtpproxy han sido diseñados por Maxim Sobolev y ahora está siendo mantenida por la forma activa de Sippy Software, Inc . Con la gran ayuda de numerosos contribuyentes comunitarios, tanto privados como institucionales. Sin mencionar el ejército de robots despachados con gracia a la necesidad por el CI de Travis. La idea original ha inspirado e influido directamente en multitud de implementaciones independientes, que incluyen, entre otras, Mediaproxy, erlrtpproxy y más recientemente RTP Engine, cada proyecto se centra en su propia área del vasto espacio funcional.

Como funciona

Este proxy funciona de la siguiente manera:

• Cuando el controlador SIP, ya sea proxy o B2BUA, recibe la solicitud INVITE, extrae la identificación de la llamada y la comunica al proxy a través del canal de control. Proxy busca una sesión existente con dicha identificación, si la sesión existe, devuelve el puerto UDP para esa sesión, si no, crea una nueva sesión, se une a un primer par de puertos UDP seleccionados al azar disponibles y devuelve el número del primer puerto. Después de recibir la respuesta del proxy, el controlador SIP reemplaza los medios ip: puerto en el SDP para apuntar al proxy y reenvía la solicitud como de costumbre;
• cuando el Controlador SIP recibe una respuesta SIP no negativa con SDP, nuevamente extrae la identificación de la llamada junto con las etiquetas de sesión y la comunica al proxy. En este caso, el proxy no asigna una nueva sesión si no existe, sino que simplemente realiza una búsqueda entre las sesiones existentes y devuelve un número de puerto si se encuentra la sesión o un código de error que indica que no hay sesión con dicha identificación . Después de recibir una respuesta positiva del proxy, el controlador SIP reemplaza los medios ip: puerto en la respuesta SIP para apuntar al proxy y reenvía la respuesta como de costumbre;
• después de que se ha creado la sesión, el proxy escucha en el puerto que ha asignado para esa sesión y espera recibir al menos un paquete UDP de cada una de las dos partes que participan en la llamada. Una vez que se recibe dicho paquete, el proxy llena una de las dos estructuras ip: port asociadas con cada llamada con la fuente ip: puerto de ese paquete. Cuando se completan ambas estructuras, el proxy comienza a retransmitir paquetes UDP entre las partes;
• el proxy rastrea el tiempo de inactividad para cada una de las sesiones existentes (es decir, el tiempo dentro del cual no se retransmitieron paquetes), y limpia automáticamente las sesiones cuyos tiempos de inactividad exceden el valor especificado en el tiempo de compilación (60 segundos por defecto).

En resumen

RTPProxy permite:

• VoIP atraviesa cortafuegos NAT
• Retransmisión de voz, video o cualquier flujo de datos RTP
• Reproducción de anuncios pre-codificados en banda
• Reencuadre de carga útil RTP
• Optimizando el flujo de paquetes
• Enrutamiento de llamadas VoIP a través de enlaces VPN
• Copia de flujo en tiempo real

RTPProxy proporciona:

• Soporte para FreeBSD y Linux
• Un protocolo de control simple que permite la integración con otros sistemas.
• Código licenciado BSD Cláusula-2
• Agrupación en áreas geográficas (con asistencia de rtp_cluser)
• Integración con SER, Kamailio y Sippy B2BUA

«Secure RTP support in the RTPproxy: WiP report». Maksym Sobolyev – Sippy Software/Sippy Labs

Más información y descarga de RTPproxy:

https://www.rtpproxy.org/

La entrada Proxy de alto rendimiento para transmisiones RTP que puede funcionar junto con Sippy B2BUA, Kamailio, OpenSIPS y SER se publicó primero en GURÚ DE LA INFORMÁTICA.

El estándar IEEE 802.11w-2009 se introdujo en 2009. No cuenta con el respaldo de un buen número de fabricantes de enrutadores y puntos de acceso en general, y no se utiliza. Los ataques de desautenticación son extremadamente simples de realizar con un dispositivo con capacidad 802.11 que puede enviar tramas de administración de capa 2 personalizadas, como hemos visto en el articulo «Realizar y detectar ataques de desautenticación WiFi con chip ESP8266«. Las suites de seguridad y craqueo inalámbrico como Aircrack-ng (via aireplay-ng) ya permiten realizar un ataque de desautenticación, y hay numerosos pequeños scripts existentes que se centran en la desautenticación itinerante para causar interrupciones.

Hay dos indicadores para notificar la protección de los marcos de administración: requeridos 01000000 y capaces 10000000. Los enrutadores domésticos en particular a menudo no son capaces de administrar la protección de trama; por lo tanto, tampoco es necesario para una conexión. También hay informes de que puede causar problemas cuando está habilitado.

Los ataques de desautenticación no son un problema preocupante, pero aún se pueden utilizar para realizar ataques de ingeniería social a los usuarios haciendo que cambien a un punto de acceso falso que se parece al punto de acceso con el que tienen problemas para intentar conectarse. Otro caso de uso de un ataque de desautenticación es capturar un handshake, que solo es posible cuando una estación se autentica en un punto de acceso, por lo tanto, la estación necesita ser desautenticada primero.

La herramienta Curfew está diseñada para ver qué puntos de acceso en su área local admiten la protección del marco de administración, y luego intenta una inundación de autenticación de capa 2 en ellos, que se clasifica como un ataque de denegación de servicio.

Se puede ver como un «Wi-Fi jammer« ; sin embargo, su objetivo principal primero es mostrar y verificar el primer byte del desplazamiento de capacidades RSN, que se encuentra en el elemento de información RSN, para confirmar si un punto de acceso es vulnerable o no.

La diferencia entre Curfew y muchos otros programas creados para ataques de desautenticación es que Curfew verifica previamente si un punto de acceso es capaz de proteger o no, para fines de auditoría, y luego intenta enviar tantos marcos de desautenticación como sea teóricamente posible, de ahí por qué Curfew es creado completamente en C y no en, por ejemplo, Python con Scapy. También trata de eliminar la autenticación de cada punto de acceso en lugar de centrarse en uno solo.

Este ataque DoS es una forma simple pero efectiva de interferencia, en oposición a las formas de interferencia de guerra electrónica más clásicas, por ejemplo, detectar y barrer y también tiene otros usos que conducen a más que un DoS.

Más información y descarga de Curfew:

https://github.com/RavSS/Curfew

La entrada Auditar el uso del estándar IEE 802.11w en puntos de acceso WiFi se publicó primero en GURÚ DE LA INFORMÁTICA.

Muchas brechas de redes y sistemas de grandes corporaciones comienzan con un correo electrónico de phishing bien diseñado y persuasivo. Las organizaciones y empresas para evitar estar brechas, deberían formar continuamente a su personal para detectar correos electrónicos falsos y potencialmente maliciosos.

El Phishing consiste en el envío de correos electrónicos que simulando proceder de fuentes fiables (por ejemplo, entidades bancarias), intentan obtener datos confidenciales del usuario. Para ello, suelen incluir un enlace que al ser pulsado, lleva a páginas Web falsas. De esta manera, el usuario, creyendo estar en un sitio de toda confianza, introduce la información solicitada que en realidad, va a parar a manos del estafador. La mayoría de los ataques Phishing son consecuencia de las masivas infecciones de ordenadores zombie. Las redes formadas por los troyanos(botnet) que convierten el sistema en un zombie, son utilizadas para el envió de Spam y Phishing, ya que así se escudan en personas que no son conscientes de su infección para realizar estés ataques. En la actualidad estamos viendo que estas redes son utilizadas para ataques de ransonware con el caso de NetWalker, el malware de tipo ransomware empleado por los cibercirminales, que se está usando contra hospitales de Estados Unidos, España y Francia.

PhishingKitHunter (o PKHunter) es una herramienta hecha para identificar URLs de phishing que se usan en campañas de phishing dirigidas a sus clientes y usando algunos de sus propios archivos de sitios web (como CSS, JS, …). Esta herramienta, esta escrita en Python 3, se basa en el análisis de una URL de referencia o de archivos particulares en el sitio web legítimo (como algunos estilos de contenido) y analizando los archivos de registro posteriores a, redirigir usuario después de la sesión de phishing.

Los archivos de registro contienen la URL de referencia del sitio donde proviene el usuario y dónde se implementa el kit de phishing. PhishingKitHunter analiza su archivo de registros para identificar referentes particulares y no legítimos que intentan obtener páginas legítimas basadas en expresiones regulares que usted pone en el archivo de configuración de PhishingKitHunter.

Caracteristicas

• buscar URL donde se implementa un kit de phishing
• averiguar si el kit de phishing todavía está funcionando
• generar un informe CSV útil para uso externo
• usar un hash de la página del kit de phishing para identificar el kit
• usar una marca de tiempo para la historia
• puede usar el proxy HTTP o SOCKS5
• Enriquecimiento de WHOIS a la consola y el informe CSV

Esta herramienta combinada con BlackWidow nos dará muchísima información sobre kits de phishing. BlackWidow es un escáner de aplicaciones web basado en Python para reunir OSINT y fuzzing para las vulnerabilidades descritas en OWASP para sitios web. Funciona como una araña de aplicaciones web basada en Python para recopilar subdominios, URL, parámetros dinámicos, direcciones de correo electrónico y números de teléfono de un sitio web de destino. Este proyecto también incluye Fuzzer Inject-X para escanear URL dinámicas en busca de vulnerabilidades comunes de OWASP.

Más información y descarga de PhishingKitHunter:

https://github.com/t4d/PhishingKitHunter

La entrada Encontrar kits de phishing que utilizan los archivos y la imagen de su organización se publicó primero en GURÚ DE LA INFORMÁTICA.

El ESP8266 es un chip de bajo costo Wi-Fi con una pila TCP/IP completa y un microcontrolador, fabricado por Espressif, una empresa afincada en Shanghái, China.

Características del ESP8266 :

• CPU RISC de 32-bit: Tensilica Xtensa LX106 a un reloj de 80 MHz
• RAM de instrucción de 64 KB, RAM de datos de 96 KB
• Capacidad de memoria externa flash QSPI – 512 KB a 4 MB* (puede soportar hasta 16 MB)
• IEEE 802.11 b/g/n Wi-Fi
  • Tiene integrados: TR switch, balun, LNA, amplificador de potencia de RF y una red de adaptación de impedancias
  • Soporte de autenticación WEP y WPA/WPA2
• 16 pines GPIO (Entradas/Salidas de propósito general)
• SPI, I²C,
• Interfaz I²S con DMA (comparte pines con GPIO)
• Pines dedicados a UART, más una UART únicamente para transmisión que puede habilitarse a través del pin GPIO2
• 1 conversor ADC de 10-bit

Wi-PWN es un firmware que realiza ataques de desautenticación en placas Arduino baratas. El ESP8266 es un microcontrolador barato con Wi-Fi incorporado. Contiene un potente procesador de 160 MHz y se puede programar con Arduino .

Un ataque de desautenticación a menudo se confunde con el bloqueo de Wi-Fi , ya que ambos bloquean el acceso de los usuarios a las redes Wi-Fi.

Cómo funciona.

El protocolo Wi-Fi 802.11 contiene una llamada trama de autenticación . Se utiliza para desconectar clientes de forma segura de una red inalámbrica.

Debido a que estos paquetes de administración no están encriptados, solo necesita la dirección MAC del enrutador Wi-Fi y del dispositivo cliente que desea desconectar de la red. No necesita estar en la red o conocer la contraseña, es suficiente para estar dentro de su alcance.

Características principales de Wi-PWN:

Interfaz de usuario de diseño de materiales rápida y receptiva, con modo oscuro opcional

• Detector ataque desautenticación  integrado (con personalización completa).
• Modo de cliente WiFi: acceda a Wi-PWN en una red WiFi.
• Página de información con el total de paquetes enviados, tiempo de actividad, uso de memoria, búsqueda de actualizaciones
• Motor de traducción fácil de usar.

Cómo protegerse contra él.

En 2009, WiFi Alliance solucionó el problema (consulte 802.11w ), pero solo unas pocas empresas lo implementaron en sus dispositivos y software.
Para prevenir eficazmente un ataque de autenticación, tanto el cliente como el punto de acceso deben admitir el estándar 802.11w con marcos de administración protegidos (PMF).

Con los estándares actualizados 802.11w-2009 , los marcos de administración se cifran de manera predeterminada.

802.11w rara vez se usa en el mundo real, ya que tanto el enrutador como el dispositivo cliente deben ser compatibles con este estándar; de lo contrario, no podrán conectarse a los enrutadores.

La actualización al estándar 802.11w a  menudo es costosa y difícil debido a la gran cantidad de dispositivos heredados que no admiten el nuevo estándar. Debido a la pesadilla de mantenimiento, más del 95% de los dispositivos utilizan el estándar 802.11 vulnerable, a pesar de que los dispositivos más nuevos admiten estándares más nuevos.

Más información y descarga de Wi-PWN:

https://github.com/samdenty/Wi-PWN

La entrada Realizar y detectar ataques de desautenticación WiFi con chip ESP8266 se publicó primero en GURÚ DE LA INFORMÁTICA.