Cordial Saludo,
Deseo extenderle la invitación a la oferta del Diplomado en Seguridad Informática de la UNIVERSIDAD DEL VALLE (Sede Yumbo):
martes, 26 de mayo de 2015
miércoles, 6 de mayo de 2015
Charla Gratuita "COMO LOS DELINCUENTES PUEDEN ROBAR SU PRIVACIDAD??? / HACKING EN VIVO"
Saludos,
Deseo extenderle la invitación a la charla gratuita que se realizara en la UNIVERSIDAD DEL VALLE - Sede Yumbo, denominada:
"COMO LOS DELINCUENTES PUEDEN ROBAR SU PRIVACIDAD??? / HACKING EN VIVO"
Proteger la información de su empresa es importante para mantener las buenas prácticas y fomentar su desarrollo, permitiendo garantizar la disponibilidad, confidencialidad e integridad de la información de la organización. Partiendo por la premisa de que la preocupación por la Seguridad Informática de las personas y las empresas es algo perceptible y medible, se hace necesario comprender los diversos factores que pueden comprometer la privacidad en Internet. Del mismo modo, es fundamental conocer qué tecnologías permiten mitigar el impacto de esta problemática.
Dentro del Área de Extensión y Educación Continua de la Universidad del Valle Sede Yumbo, nos permitimos hacer extensiva la invitación a una charla completamente gratuita sobre HACKING EN VIVO, el día viernes 8 de mayo de 2015 a las 5:00 pm en las instalaciones de la Universidad del Valle Sede Yumbo.
Panelista: Jhon Jairo Hernández – Administrador de Empresas – Analista en Seguridad Informática e Investigador en Informática Forense – Docente en Pregrado, Diplomados y Especializaciones de Seguridad Informática en Universidad del Valle, Universidad Autónoma, Universidad Cooperativa, Universidad Libre y Universidad del Pacífico.
Los esperamos no falten.
viernes, 27 de febrero de 2015
miércoles, 25 de febrero de 2015
martes, 24 de febrero de 2015
Aprender a combatirlos es historia, llego la hora de convertirse en un "Hacker Ético"
Cordial saludo,
Para mayor información:
PBX: (2) 318 8000 Exts: 14113, 14112, 14151
Email: extension@uao.edu.co
www.uao.edu.co
No te lo puedes perder,
Byte
Dino
El día de hoy les extiendo la invitación que oferta la Dirección de Extensión para participar en el Curso de Extensión temática "ETHICAL HACKING" de la Facultad de Ingeniería de la Universidad Autónoma de Occidente - Cali UAO:
Para mayor información:
PBX: (2) 318 8000 Exts: 14113, 14112, 14151
Email: extension@uao.edu.co
www.uao.edu.co
No te lo puedes perder,
Byte
Dino
martes, 17 de febrero de 2015
CARBANAK APT THE GREAT BANK ROBBERY - steals up to $1 billion from banks / CARBANAK APT EL GRAN ROBO DE BANCOS - Robaron hasta un $1 billo de los Bancos BY Dino
Una banda de ciberdelincuentes bautizado
"Carbanak" por la
empresa de seguridad Kaspersky Lab tomando como
base el malware detectado como elemento principal de su modus operandi y
que ha operado contra entidades financieras en Rusia, Estados Unidos, Alemania,
China, Ucrania, Canadá, Hong-Kong, Taiwán, Rumania, Francia, España, Noruega,
India, Reino Unido, Polonia, Pakistán, Nepal, Marruecos, Islandia, Irlanda,
República Checa, Suiza, Brasil, Bulgaria, y Australia.
Karspersky, asegura que en los dos últimos años, la banda de
ciberdelincuentes de origen ruso, chino y ucraniano, se ha apoderado de entre
300 y 1.000 millones de dólares en un centenar de bancos y empresas financieras
de todo el mundo.
El descubrimiento se inició a partir de un cajero automático de Kiev
(Ucrania) desde finales de 2013 que
empezó a dispensar billetes de forma aleatoria a cualquier hora del día. Las
cámaras de seguridad instaladas ante el cajero evidenciaron el problema. Operacion que mostro la activacion sin una
tarjeta magnética. Kaspersky Lab fue llamado y se apresuró a Ucrania para
comenzar su larga investigación que dio lugar al informe recién publicado.
El banco ucraniano afectado pidió a Kaspersky que hiciera una
investigación. Lo que encontró es que el problema del cajero era un problema
menor. Los ordenadores del banco están infectados con un software malicioso
(malware) que grababa todos los movimientos de las pantallas de los empleados
del banco. De forma remota, los ciberdelincuentes, entre los que se incluyen
rusos, chinos y europeos, recibían información precisa en vídeo sobre los
procedimientos del banco al hacer transferencias y disponían de las claves para
operar a su antojo.
Kaspersky Lab, la INTERPOL, Europol y autoridades de diferentes países
unieron fuerzas en precisar los responsables de este jugoso robo cibernético:
hasta mil millones de dólares americanos fueron robados durante dos años a
instituciones financieras en todo el mundo. En un caso, un banco perdió 7,3
millones dólares a través de fraude en cajeros automáticos. En otro caso, una
institución financiera perdió $ 10 millones para los atacantes que explotan su
plataforma de banca online.
El cybergang Carbanak, así llamado por el malware que creó, envió
correos electrónicos a los empleados de 100 bancos, incluidos los bancos en los
EE.UU. Al hacer clic en el correo electrónico se descargaba código malicioso
que se disemino a través de las computadoras administrativas de los bancos
hasta enlazar con la transferencia de dinero en efectivo, saldo contable o
remoto de sistemas de activación ATM.
Las transferencias de dinero se hicieron
de hasta 10 millones de dólares a la vez y enviados a cuentas ficticias
o de cajeros automáticos activados remotamente en donde los cómplices
recuperaban el dinero que aparentemente era arrojado al azar de los cajeros
automáticos que funcionaban mal.
Los resultados iniciales son que 100 bancos e instituciones financieras
de Rusia, Estados Unidos, Japón, Suiza, Holanda y otras 25 naciones fueron los más
afectados de este millonario robo. Se sabe que las cuentas ficticias se
establecieron en los Estados Unidos y China.
Aunque ningún banco ha comentado o confirmado, parece JP Morgan y el
Banco Agrícola de China eran los lugares de estas cuentas ficticias. El control
de los equipos internos de los bancos se realizaba a través de un RAT
(herramienta de acceso remoto), los ciberdelincuentes imitaban las operaciones
de los administradores, cuyas rutinas había sido capturado por el keylloger de
malware Carbanak.
Al conocer esta noticia se me genero un Deja-vu con la presentación que realice
sobre ataques “SEGURIDAD LÓGICA Y ATAQUES RECIENTES EN ATM'S” en la cual
demostraba las variadas técnicas de robos electrónicos por ciberdelincuentes e
involucraba un caso forense del mencionado JP Morgan u otros bancos Europeos y
los cobros de la banda criminal tenían como finalidad cuentas en
Malasya-Singapur.
Byte
Dino.
Si deseas analizar el reporte de KasperskyLab : http://goo.gl/2gBTQN
Si deseas analizar la presentación:
“SEGURIDAD LÓGICA Y ATAQUES RECIENTES EN ATM'S" : http://goo.gl/lnqXpO
Síntesis (Resumen) preparada para el Boletín de TechnologyINT
Fuente de Datos de esta Síntesis (Resumen):
domingo, 8 de febrero de 2015
lunes, 2 de febrero de 2015
INFORMACIÓN IMPORTANTE MALWARE VIRUS QUE CIFRA LA INFORMACIÓN (ctb-locker-ransomware)
Cordial Saludo,
NO TODOS SOMOS INFORMÁTICOS, ENTENDEMOS Y COMPRENDEMOS LA CRITICIDAD E IMPORTANCIA DE ESTE SUCESO, Y CREO QUE REALIZANDO UNA CAMPAÑA MASIVA DE COMUNICACIÓN SE PUEDE MITIGAR O CONCIENCIAR A LAS PERSONAS DEL DAÑO AL QUE PUEDEN ESTAR EXPUESTOS CON ESTE TIPO DE MALWARE CTB-LOCKER-RANSOMWARE
Esta información no pretende ser técnica (como de costumbre en este Blog), tampoco conduce a realizar un proceso de investigación (análisis de malware, reversing, forense, etc.) de hecho en la actualidad existe buena información de referencia aunque no nos conduzca a eliminar el riesgo.
Es mas orientado a concienciar a un publico en general, con la finalidad de que estén informados de esta nueva y critica amenaza de Internet el malware ctb-locker-ransomware (programa maligno) que esta cifrando la información y tu puedes ser su proxima victima!!!, viene embebido en un archivo de extensión ZIP y extrae un archivo SCR y EXE e infecta los equipos buscando todos los archivos y cifrandolos (no los puedes recuperar) para posteriormente solicitar un rescate, pago para la llave de descifrado.
La finalidad de este comunicado es darte a conocer este nuevo mal de Internet y estés atento como mínimo a estas recomendaciones para mitigarlo:
- Actualizar un respaldo de la información de cada uno de tus equipos (Backup)
- Realizar un respaldo de Restaurar sistema o de Shadow Copy
- Hay información que viene dirigida supuesta mene de la Dian.gov.co (tener mucha precausion, máxime si no tienes relación o realices trabajo de la Dian)
- No abrir información de gente desconocida mas si vienen archivos adjuntos (INTUICIÓN)
- Mantener actualizados los antivirus y medidas de protección actuales
Desconfiar de información que les llegue y no tenga sentido (Ej: información de una cuenta de banco que no se tiene)
Si tienes inconvenientes te envió esta información de Referencia, si desconfías de estos link solo revisalos en la siguiente Web que te indico en Linea (permite revisar archivos y links con mas de 50 motores de búsqueda):
https://www.virustotal.com/es/
Información de referencia:
- http://www.malwarerid.com/news/ransomware-cbt-locker-ou-como-desencriptar-ficheiros-encriptados
- http://www.welivesecurity.com/la-es/2015/01/20/ctb-locker-ransomware-ataca-nuevo/
- http://seguinfo.blogspot.com/2015/01/guia-sobre-ctb-locker-i.html
- http://www.bleepingcomputer.com/virus-removal/ctb-locker-ransomware-information
Si tienes alguna inquietud, por favor no dudes en comunicármela. CUÍDATE!!!!
Good Luck!
Byte
domingo, 1 de febrero de 2015
martes, 27 de enero de 2015
viernes, 26 de diciembre de 2014
Microsoft MS03-026 / MS06-040 / OWNED SERVER CRITICAL
Hola amig@s,
Hoy quiero compartir con Ustedes la explotación en un Servidor Windows 2003 Server, en un proceso de Pen Test en el que se identifican servidores sin procesos adecuados y definidos de actualización, permitiendo a un atacante determinar como objetivo militar y realizar fuga de información sensible de una Organización con la cual podría ser afectada su Operación de Negocios.
Las fallas de seguridad encontradas son las siguientes:
Microsoft MS03-026 - Crítico
Un desbordamiento de buffer en una interfaz RPC podría permitir la ejecución de código (823980)
¿Qué es DCOM?
El Modelo de objetos componentes distribuido (DCOM) es un protocolo que permite a los componentes de software comunicarse directamente a través de una red. Anteriormente se llamaba "Red OLE", DCOM está diseñado para su uso a través de múltiples medios de transporte de la red, incluyendo los protocolos de Internet como HTTP.
¿Qué es la llamada a procedimiento remoto (RPC)?
Llamada a procedimiento remoto (RPC) es un protocolo que los programas pueden utilizar para solicitar un servicio de un programa ubicado en otro equipo de una red. RPC contribuye a la interoperabilidad porque el programa que usa RPC no tiene que entender los protocolos de red que se establece la comunicación. En RPC, el programa de solicitud es el cliente y el programa de prestación de servicios es el servidor.
Existe una vulnerabilidad en la parte de RPC que se ocupa del intercambio de mensajes a través de TCP / IP. Los resultados de fracaso debido a un manejo incorrecto de los mensajes mal formados. Esta especial vulnerabilidad afecta a un Distributed Component Object Model (DCOM) con interfaz RPC, que escucha en los puertos habilitados RPC. Esta interfaz se encarga de DCOM solicitudes de activación de objetos que son enviados por los equipos cliente al servidor.
Un atacante que aprovechara esta vulnerabilidad podría ejecutar código con privilegios Local System en el sistema afectado. El atacante podría realizar cualquier acción en el sistema, por ejemplo, instalar programas, ver, cambiar o eliminar datos, o crear cuentas nuevas con todos los privilegios.
Para aprovechar esta vulnerabilidad, el atacante tendría que enviar una solicitud especialmente formada para el equipo remoto en puertos específicos RPC.
SOLUCIÓN.
- Ubicaciones de descarga de este parche
- Windows NT 4.0
- Windows NT 4.0 Terminal Server Edition
- Windows 2000
- Windows XP 32 bit Edition
- Windows XP 64 bit Edition
- 2003 32 bit Edition de Windows Server
- 2003 64 bit Edition de Windows Server
Microsoft MS06-040 - Crítico
Una vulnerabilidad en el servicio de servidor podría permitir la ejecución remota de código (921883)
Un atacante que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado. Un atacante podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario.
Se recomienda que los clientes apliquen la actualización inmediatamente
Gravedad e identificadores de vulnerabilidad:
Se trata de una vulnerabilidad de ejecución remota de código. Un atacante que aprovechara esta vulnerabilidad podría lograr de forma remota el control completo de un sistema afectado. Un atacante podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario.
El servicio de servidor proporciona compatibilidad con RPC, soporte de impresión compartido de archivos e canalización con nombre en la red. El servicio de servidor permite compartir los recursos locales (como discos e impresoras) para que otros usuarios de la red pueden acceder a ellos. También permite nombrado comunicación tubería entre las aplicaciones que se ejecutan en otros equipos y su equipo, que se usa para RPC.
SOLUCION
Esta actualización de seguridad requiere Windows Server 2003 o Windows Server 2003 Service Pack 1.
Nota Las actualizaciones de seguridad para Microsoft Windows Server 2003 y Microsoft Windows Server 2003 Service Pack 1 también se aplican a Microsoft Windows Server 2003 R2.
Inclusión en futuros Service Packs:
La actualización para este problema se incluirá en un Service Pack o en una actualización posterior.
Información sobre la instalación
Esta actualización de seguridad admite los parámetros de instalación.
VEAMOS EN DETALLE LA EXPLOTACIÓN
BASADOS EN LA EVIDENCIA.
Una vez identificado y determinado el perfil, rol del activo tecnológico vulnerable:
Optamos por seguir como vector de ataque el Sistema operativo identificado y aplicar técnicas y herramientas de intrusión para su fin. logrando un OWNED.
En nuestro Objetivo:
Debido a la explotación de las fallas de seguridad anteriormente mencionadas.
Logrando acceso al sistema (Bind) de consola de comandos en el equipo Servidor Microsoft Windows 2003 de Nombre SERVXXXXXX
El atacante procederá a identificar el ambiente, la Red, variables del sistema, aplicativos, versiones, recursos, grupos, usuarios, información importante y validar la información que ha encontrado, procurando se lo mas sigiloso y anónimo posible.
Procederá asegurar su entrada al sistema con algún mecanismo de acceso que facilite, un fake de un usuario administrativo delegado, un usuario invisible, malware, troyano, rootkit, backdoors, etc.
Para efectos de la auditoria se crea un usuario fake administrativo denominado "backup" y se adiciona como administrador local y perteneciente al grupo de administradores del Dominio.
A su vez, realizara un proceso de extracción de los hash para someterlos a un proceso de descifrado por contraseñas o fuerza bruta, o tal vez un proceso como mimikatz para escalar privilegios, aunque ya sabemos que somos SYSTEM en el sistema con todos los privilegios de Administrador a nuestro favor.
Creo que uno de los errores fundamentales par una auditor de seguridad o un atacante no estructurado es considerar que tener "Shell" en un sistema es su mayor logro.
Sin considerar el mundo de posibilidades que pueda lograr, ampliando su espectro de ataque, la cobertura que la permitirá alcanzar servidores de confianza u otros recursos de la Red, realizar un pivot sobre la red, determinar fuentes de información, configuración e implementacion de utilidades, manuales y procedimientos, mapas de red, aplicativos y scripts de Bases de Datos, cadenas de conexión, archivos XML de configuración, backup de datos, versionamientos, etc. en muchas ocasiones con claves quemadas,
La información sensible e importante de reglas de negocios para la Operación de la Organización u Objetivo militar.
Habiendo asegurado su entrada el atacante procede a realizar conexión por escritorio remoto desde su equipo Linux con sus nuevas credenciales de autenticacion, encontramos nuevamente un grasso error debido a que el servidor permite conexión desde protocolos RDP de otros sistemas o versiones.
Y empieza un proceso de sondeo, exploración y enumeración de la información importante en la Organización para realizar fuga de información y cumplir con el cometido por el cual posiblemente se la halla remunerado su trabajo.
Posteriormente revisara y validara los servicios y Rol del servidor en la Red par ampliar su área de ataque o utilizarla a su favor controlando el Servidor.
  |
| EXPLORANDO INFORMACIÓN CRITICA DEL NEGOCIO |
 |
| RECURSOS COMPARTIDOS DEL SISTEMA |
Si deseas saber que mas puedes hacer te invito a ver este articulo:
Command Shell session 1 opened!!! That it follows, that I can do??? :(
Ahora, si bien es cierto que es un producto para vencerse, su espectro de instalación e implementacion es muy grande alrededor del mundo y aun encontramos muchos sistemas vigentes cumpliendo diversos roles en las Infraestructuras tecnológicas.
Lo que no te debes permitir:
Es que este tipo de fallas de seguridad tan reportadas te jueguen una mala pasada y termines comprometiendo los activos tecnológicos de tu Organización por tu:
Aprende de lo Ocurrido:
Byte,
Dino
domingo, 10 de agosto de 2014
MS09-050 Microsoft SRV2.SYS SMB/Client Side Attack SAP
Saludos a todos los lectores del Blog,
En este articulo del día de hoy, quiero contarles como a partir de una vulnerabilidad MS09-050 Microsoft SRV2.SYS SMB, en el driver SRV2.SYS en los sistemas Windows logre el acceso a un sistema SAP:
 |
Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma pública y dos vulnerabilidades de las que se ha informado de forma privada en Bloque de mensajes del servidor versión (SMBv2).
La vulnerabilidad más grave podría permitir la ejecución remota de código si un atacante envía un paquete SMB especialmente diseñado a un equipo que ejecute el servicio Servidor. Los procedimientos recomendados para firewall y las configuraciones de firewall predeterminadas estándar pueden proteger a las redes de los ataques procedentes del exterior del perímetro de la empresa. Se recomienda que los sistemas conectados a Internet tengan expuesta la cantidad mínima de puertos.
Pero,
Una vez identificado mi Objetivo Militar:
Y caminando unos cuantos pasos mas:
Para diseñar y seleccionar mi estrategia de ataque basado en los vectores encontrados:
Decidí apostarle a:
Logrando la fortuna de acuerdo a lo planeado de un OWNED!!!
Ávido de lograr mi cometido y realizar la fuga de información en el poco tiempo que tenia:
Y teniendo posesión del equipo:
Decidí proteger el ingreso migrandolo y determinando los procesos críticos que causaran impacto en la Organización.
Procedí a crear un usuario fake para entrar por entorno gráfico.
En búsqueda de información sensible:
Habiendo monitoreado y escudriñado en el sistema y con un poco de paciencia para esperar el uso del sistema por parte del usuario en sus sistemas críticos.
Oportunidad que se presento para causarle problemas en su SAP GUI, cancelar su proceso y obligarlo a que se logeara en el sistema SAP nuevamente no sin antes haberle habilitado un keylloger en la maquina que nos permitiera el acceso nuevamente.
Accediendo al sistema ;)
Bueno al final no solo fue acceso a SAP, si no todo lo que puedas hacer u ocurrir con posesión de un equipo en tus manos, desde fuga de información sensible, suplantación de identidad, convertirlo en Zombie, etc.
Si te gusto deja tu comentario.
Byte
Dino.
Suscribirse a:
Entradas (Atom)
