Categoría : Hacking

Inicio/Archivo por Categoría Hacking (Page 14)

Dyreza, el nuevo troyano bancario capaz de saltarse SSL

Un nuevo troyano bancario, al que se denominó Dyreza o Dyre, tiene la capacidad de saltear el protocolo SSL para simular conexiones seguras en sitios de entidades financieras. Su código está diseñado para que funcione de manera similar a Zeus, la conocida botnet diseñada para robar de información bancaria, y al igual que otras amenazas similares, utiliza una técnica conocida como browser hooking para interceptar el tráfico entre la máquina de la víctima y el sitioweb de destino. Puede hacer esto en Internet Explorer, Google Chrome y Mozilla Firefox.

Se propaga a través de campañas de spam, en mails con asuntos como “Su ID de pago FED TAX [número aleatorio]” y “RE: Recibo #[número aleatorio]“, según la publicación de Peter Kruse, Partner & Security Specialist de CSIS, la compañía responsable del hallazgo.

El mensaje lleva adjunto un archivo zip, que descarga el malware detectado por ESET comoWin32/Battdil.B al equipo infectado y se conecta al C&C. Básicamente, cuando está infectado, el usuario piensa que está ingresando sus credenciales en el sitio legítimo de su banco utilizando el protocolo SSL, pero Dyreza redirige el tráfico a sus propios servidores. Para hacerlo, utiliza un ataque Man In The Middle que le permite interceptar el tráfico no cifrado y ver todos los datos que se envían.

dyreza-unpacked

Tal como explica el sitio Redes Zone, una vez que el troyano ha ha sido instalado, se coloca entre uno de los procesos que deben ser ejecutados en el inicio del sistema operativo. Lo primero que trata de hacer es establecer una serie de conexiones con unas ubicaciones que han sido localizadas en Lituania y Estonia. Una vez que estas se han establecido, se mantiene a la espera de que exista tráfico web en el navegador del equipo.

Al parecer, los atacantes detrás de Dyreza han creado una infraestructura para transferir el dinero desde las cuentas de las víctimas una vez que sus credenciales fueron robadas. Según Kruse, CSIS localizó algunos de los servidores C&C de la amenaza, y descubrió una red de “mulas” con cuentas en Riga, Latvia. Se trata de gente que accede a almacenar fondos robados por un corto período de tiempo en sus propias cuentas, para luego transferirlos a otro lado.

El mes pasado había aparecido Zberp, otro troyano diseñado para robar información bancaria, que combinaba los códigos fuente de Zeus y Carberp. Esto nos da un indicio de cómo los cibercriminales siguen perfeccionando sus ataques buscando maneras de obtener rédito económico.Kruse plantea una duda: los responsables de Dyreza, ¿lo utilizan para beneficio propio o están “alquilándolo” para que ayude a perpetrar otras campañas, tal como sucedió con Zeus?

Autor Sabrina Pagnotta, ESET

Infección de Cajeros ATM con Malware para robar dinero

En el blog de Brian Krebs se hace eco de la noticia de un nuevo ataque que tiene como objetivo los ATM. Las dos personas que hicieron el ataque eran de origen Ucraniano y llegaron a robar hasta 100000 dólares de hasta 7 cajeros automáticos.

Esta es la imagen del equipo incautado:

macau arrests Nuevo ataque a cajeros automáticos II

Equipo incautado

En este nuevo ataque los criminales utilizaron un dispositivo que se conecta a un  ordenador portátil, y se introduce luego en el cajero, en el sitio donde se colocarían las tarjetas. Con este conjunto de herramientas, los hombres fueron capaces de instalar malware capaz de desviar los datos y PIN de tarjetas de los clientes. El dispositivo parece ser una placa de circuito verde rígido que es de aproximadamente cuatro o cinco veces la longitud de una tarjeta de cajero automático.

Esta imagen os resultará muy familiar:

terminator Nuevo ataque a cajeros automáticos II

Si pienso en el ataque me recuerda a esta escena de la película Terminator.

Cuando se introduce la placa  en el cajero automático, el cajero se bloquea y deja una pantalla en negro. Después de retirar el dispositivo, el cajero se reiniciará y el cajero empezará a registrar y grabar todas las tarjetas que se introduzcan en e cajero.

Si os acordáis de la imagen de antes, en la que se mostraba en material incautado, si lo vemos un poco mas de cerca…

macao skimmers Nuevo ataque a cajeros automáticos II

Tarjeta física

Esa lamina verde es lo que se introducía en el cajero para instalar el malware.

Quizás, os podáis preguntar como los malos consiguen atacar los cajeros, saber como funcionan. Aquí tenemos un ejemplo:

atm 300x122 Nuevo ataque a cajeros automáticos II

Los malos son capaces de comprar un ATM por Ebay,por lo que se pueden encargar de saber como funcionan ciertos modelos. Esto y vías de investigación les ayudan a conseguir fallos para luego poder explotarlos.

Visto en: www.dragonjar.org

XSS Game, reclútate en el juego de Google

Te gustaría aprender sobre las vulnerabilidades Cross Site Scripting (XSS) ?

O te gustaría medir tus conocimientos sobre esta vulnerabilidad?

Si respondiste afirmativamente a alguna de estas respuestas, de seguro te interesará participar como recluta en el XSS Game que saco recientemente el equipo de Google.

Puedes acceder desde aquí: https://xss-game.appspot.com/

De momento solo cuenta con 6 niveles los cuales están muy buenos y si tienes buen nivel de observación te darás cuenta que te dejan algunas pistas en cada nivel como “Persistence is key” donde el ataque que hay que utilizar es un XSS persistente.

Espero que aprendan y se diviertan con este game de Google. Les dejo algunos links utilies.

Que es y como funciona XSS

XSS Atacks

Saludos.

Continuar leyendo

DragonJAR Security Conference 2014

Desde ya hace unas semanas que tengo este post en el tintero y por diversas razones del trabajo, reuniones, idas y venidas que no he podido sacarlo pero lo posteo ahora antes que se me venza el tiempo.

Dragonjarcon

El próximo 5 de mayo dará inicio uno de los eventos más esperados en Colombia sobre Seguridad Informática, Hacking y demás ramas afienes.

El DragonJAR Security Conference si bien es la primera vez que se realiza bajo este nombre ya tiene su historia desde el 2012 cuando fuí invitado por Jaime Andrés Restrepo y Jhon Cesar Arango al ACK Security Conference en la hermosa ciudad de Manizales, donde como dice Lorenzo Martínez, fue le-gen-da-rio ya que pasamos momentos increibles, coincidió justo con mi #cumpleaños 😀  y dio inicio a un excelente grupo de amigos y profesionales de la seguridad, el #Securityroom donde a la fecha este grupo sigue conectado y creciendo con nuevos colegas.

Este año a la cabeza de Jaime Andrés Restrepo y la comunidad DragonJAR, se llevará a cabo el esperado DragonJAR Security Conference 2014 con la participación de expositores internacionales y nacionales que seguro harán gala de sus conocimientos.

Como siempre el evento estará dividido en talleres y conferencias donde la gente que desee tomar los talleres lo podrá hacer del 5 al 7 de mayo y quienes deseen asistir a las conferencias del 8 al 10 de mayo.

La lista de conferencias a la fecha y entre las cuales es bueno ver a un coterraneo boliviano, son las siguientes:

  • Mente Criminal entre la Sociedad – Camilo Galdos
  • CSRF: El “Nuevo” Target – Juan David Castro
  • Ingeniería “en ganar” – Oscar Leonardo Banchiero
  • IPv6 ¿Ventaja o Amenaza? – Jhon Cesar Arango
  • Reporting Vulnerabilities. A personal experience – Marc Rivero
  • Seguridad en SAP no es Solo SOD – Efrén A. Sanchez
  • Sostenibilidad de la Seguridad en el Espacio – Freddy Gray
  • Charla Internacional – Nelson Boris Murillo
  • Huellas en la memoria para analisis de malware – Mateo Martinez
  • Un interruptor de seguridad para tu vida digital – Leonador Huertas
  • Banca Movil un Análisis de Seguridad – Nelson Boris Murillo
  • DEEP Trace – Juan Jacobo Tibaquira
  • Behind the Bitcoin – Carlos Mesa
  • Survillance States, Colombian Chapter – Andrés Gómez
  • “Ya están aquí!!”, fisical hacking – Victoria Perez
  • Tomando el Control de Android – Cristian Amicelli
  • Seguridad en Grid Computing, el caso del CERN – Andrés Gómez
  • De la web al volante, peligro constante – Jaime Restrepo
  • Ecrime Team, What, Why, and How – Marc Rivero
  • Pentesting con Pengowin – Oscar Leonardo Bancheiro
  • Exploiting Browser’s DOM – Camilo Galdos
  • Clientes Bancarios al Descubierto… y a la mano – Freddy Gray
  • Charla Internacional — Matias Nahuel Heredia
  • RSA hasta donde es seguro ¿Estamos frente al fin de los tiempos de este algoritmo? – Cristian Amicelli
  • Hack To Live, Live To Hack – Carlos Mario Penagos

Desde ya estoy seguro que el evento saldrá a toda madre y que como siempre saldrán muy buenas anécdotas del congreso. Desde Panamá un fuerte abrazo y mis mejores deseos para el evento porque si algo sabemos los que organizamos este tipo de congresos cada año, es de lo inmensamente complicado que es llevar acabo proyectos de tal envergadura.

Espero liberarme para esa fecha del trabajo y darme una escapadita por allá para ver a los amigos y colegas del #securityroom nuevamente.

Heartbleed – Grave fallo de Seguridad descubierto en OpenSSL

Después del conocido fallo de seguridad ms08-067 Netapi, del cual a la fecha seguimos encontrando varios servidores vulnerables en las auditorías que realizamos, esta semana se ha publicado una falla de seguridad en la tecnología de encriptación web OpenSSL que ha puesto en peligro la seguridad de datos confidenciales y altamente sensibles de millones de portales en Internet debido al bug que se ha denominado “Heartbleed”, el cual se ha calificado como el mayor fallo de seguridad descubierto en los últimos años.

Que es el Bug Heartbleed?

El bug Heartbleed que ya fue asignado con el BugID CVE-2014-0160, es una vulnerabilidad bastante seria que se ha encontrado en una librería del conocido Software criptográfico OpenSSL, el cual permite a un atacante de forma remota, obtener pequeños bloques de memoria (hasta 64kb) del servidor atacado, logrando acceder a información secreta y confidencial que fue dividida en 4 categorias:

  1. Material de la llave primaria
  2. Material de la llave secundaria
  3. Contenido protegido
  4. Datos colaterales

Mayor información sobre este bug, aunque esta en ingles lo puedes encontrar en heartbleed.com

De acuerdo con http://www.openssl.org/news/openssl-1.0.1-notes.html la extensión heartbeat fue introducida en marzo del 2012 con la liberación de la versión 1.0.1 de OpenSSL. Esto implica que la vulnerabilidad ha estado latente alrededor de 2 años.

Verifica si eres vulnerable:

Puedes hacerlo desde http://filippo.io/Heartbleed/ solo necesitas poner tu URL y te dirá si eres o no vulnerable.
Este es un script en Python para probarlo desde la línea de comandos http://s3.jspenguin.org/ssltest.py Si deseas testear múltiples sitios web, puedes usar una versión modificada con una salida fácilmente parseable.
Si usas Chrome puedes instalar el plugin Chromebleed checker que te avisa y alerta cuando visites un sitio vulnerable.

Heartbleed-test

Que puedo hacer si soy vulnerable?

Recomendamos realices los siguientes pasos:

  1. Actualiza tu versión de OpenSSL a 1.0.1g o superior
  2. Regenera tu llave primaria
  3. Solicita y remplaza el certificado SSL

Algún exploit para pentesters?

La vulnerabilidad es tan fuerte que ya salieron los primeros exploits que arpovechan esta falla de seguridad, los puedes descargar de los siguientes enlaces.

OpenSSL vulnerable to CVE-2014-0160, get cookies and user sessions
OpenSSL TLS Heartbeat Extension – Memory Disclosure
OpenSSL 1.0.1f TLS Heartbeat Extension – Memory Disclosure (Multiple SSL/TLS versions)

Lo mejor es que están en Python, así que puedes agregarlos a tu arsenal de Metasploit. Aca les dejo una captura de la información que puede extraerse de un objetivo.

heartbleed-example

Diviertete y envíanos tus consultas a info@ehacking.com.bo o a nuestro formulario de contacto.

Revelan gran fallo de seguridad en iOS 7

El investigador Tarjei Mandt de la compañía Azimuth Security reveló en la Conferencia CanSecWest la semana pasada que algunos atacantes pueden explotar fácilmente un fallo de seguridad en iOS 7. La falla se deriva de un parche previo que publicó Apple para solucionar otro hueco en iOS 6, relacionado con el cifrado del kernel del sistema.

ios-7-wallpaper“El kernel es el nivel más básico de funcionamiento del sistema operativo y se encarga de controlar funciones como la seguridad, gestión de archivos y recursos. En lo que a seguridad se refiere, iOS 7 es mucho peor que iOS 6.”

Para poder cifrar el kernel, Apple utiliza un generador de números aleatorios que ha sido actualizado en iOS 7 para brindar mejor seguridad. Sin embargo, Mandt asegura que a pesar de que Apple actualizó su generador, las personas con conocimientos sobre el tema e intenciones maliciosas pueden encontrar varias formas de adivinar esos números aleatorios, esto les daría acceso a todo el sistema.

A pesar de haberse escrito y publicado con mucho detalle su descubrimiento, Mandt no reveló de qué forma se puede aprovechar la posible falla de seguridad de iOS 7. De acuerdo al portal CNET, Mandt indica que los ingenieros de Apple se han acercado a él con un gesto de preocupación. De acuerdo al investigador, si no se soluciona, el fallo de seguridad podrían retroceder hasta 10 años las técnicas de seguridad en iOS.

Recientemente Apple ha actualizado iOS 7 y su sistema operativo de computadoras OS X para solucionar un fallo de seguridad distinto, dicho error permitía a terceros espiar tráfico supuestamente cifrado.

Fuente: Yahoo! News

Continuar leyendo

Facebook Hacking Tool – Imprescindible en tu Arsenal de Pentesting

Facebook Hacking Tool es una herramienta desarrollada en Python por un muy buen amigo Chino Ogawa, la cual explota diversas “Features” o “Funcionalidades” de Facebook.com.

Lo de “Funcionalidades” es una palabra que los del grupo de atención en temas de seguridad de Facebook, han decidido usar en vez de vulnerabilidades, ya que cada que reportas una vulnerabilidad ellos te dicen que es una funcionalidad. 😛

Bueno, para empezar, FBHT permite al pentester llevar a cabo ataques de ingeniería social avanzados utilizando la plataforma de Facebook como punto de partida para lograr infectar a las víctimas.

¿Cómo podemos lograr esto?
Existen diferentes formas, entre estas se pueden generar objetos (Comentarios) que simulen dirigir hacia una página determinada con una redirección alterada, mediante la manipulación de parámetros a la hora de generar el mensaje.

fbht01

De esta misma forma la herramienta nos permite enviar mensajes privados a distintos usuarios solamente otorgando el UserId o el Username. También implementa un ataque en el cual podemos publicar en nombre de una aplicación y nos permite controlar el link de redirección del post, lo que nos facilita bastante las tareas de ataques de ingeniería social durante los pentestings:

fbht02

Una de las funcionalidades más interesantes, es el bypass de privacidad de amistades. Suponiendo que un contacto no muestra sus amistades al público en general por privacidad, FBHT te permite ver un gran porcentaje de esas amistades, obteniendo como resultado:

  1. Links de amistades en formato TXT
  2. Links de amistades con avatares en formato HTML
  3. Archivos .dot (Gephi) de grafos para análisis avanzado
  4. Archivos PNG, PDF con el modelo de grafo de la red social de la victima
  5. Archivos PNG, PDF, .DOT de los grafos de las comunidades de la victima

Toda esta información puede llevar a un atacante a realizar ataques de ingeniería social dirigida que aumentarían las chances de éxito sobre sus víctimas.

fbht03

Actualmente se encuentra disponible en las distribuciones “ArchAssault” y “BlackArch” de Linux, distribuciones dedicadas a pentetration testers, sobre las que publicaré mis comentarios una vez que termine de hacer pruebas y comparaciones con Kali.

De momento les puedo decir que uno de los grandes aportes de estas dos distribuciones es FBHT que ya viene incorporada.

Para los que deseen probarlas por su cuenta, los repositorios GIT los pueden encontrar en:
Windows = github.com/chinoogawa/fbht
Linux = github.com/chinoogawa/fbht-linux

¿Qué tan sencillo es utilizar la herramienta?
Solo se necesita saber ejecutar programas con Python e instalar dependencias ya que no posee un instalador al puro estilo Microsoft. Tanto el menú como los módulos, no son “user friendly” ya que trae una consola negra con letras verdes, pero al no recibir parámetros la herramienta se encarga de guiar al usuario sobre los datos requeridos para realizar el ataque.

fbht04

Date unos minutos para probar y evaluar esta excelente herramienta y déjanos tus comentarios en la web o en nuestra Fanpage de Facebook para colaborar con el autor

Happy Hacking…

fbht05