Evadiendo AV con Shellter. También tengo Sysmon y Wazuh II

2 de marzo de 2018 Por

Después de lo visto en el primer post de esta historia, en este os seguimos contando lo que ocurre y vamos a conocer al jefe. Volveros a poner en esa situación que nos contaba Pepito en la primera parte.

“Hola, me presento. Soy Pepote, el jefe de Pepito. Soy consciente de que tengo muchos enemigos entre los que seguro está la competencia o incluso mis propios empleados. Físicamente nadie me puede tocar, siempre voy con mis guardaespaldas. Pero tecnológicamente, cualquiera podría intentar atacar mi equipo con el objetivo de robar información muy valiosa.

Es por esto que, además del antivirus corporativo, decidí añadir una capa más de seguridad en mi equipo con Sysmon y Wazuh. [Read more…]

Laboratorio de Hacking (II): Portal cautivo Zsun Wifi Card Reader (1ª parte)

28 de febrero de 2018 Por

Este pequeño aparato nos puede hacer la vida más fácil en nuestro laboratorio, ya sea con la configuración que viene de serie o instalándole nosotros OpenWRT para ganar funcionalidades.

ZSUN Wifi Card Reader

  • Memoria RAM: 64MB
  • Memoria Almacenamiento: 16MB Flash + MicroSD
  • SoC: Atheros AR7240 CPU (400Mhz) + Atheros AR9331 Chipset (Wifi Integrado)
  • Conectividad: 802.11 b/g/n Wi-Fi hasta 150Mbps
  • Alimentación: Puerto USB

El dispositivo tiene pines GPIO, y para acceder a algunos de ellos es necesario separar las dos placas, cosa que no es recomendable porque nos quedaríamos sin puerto microSD. [Read more…]

Evadiendo AV con Shellter. También tengo Sysmon y Wazuh I

26 de febrero de 2018 Por

Os propongo que imaginéis la siguiente situación ficticia:

Yo soy Pepito, un empleado descontento. Mi jefe me tiene explotado, no para de mandarme tareas, no me paga las horas extras y, además, no me agradece nunca el trabajo que hago… Un día, harto de la situación me dije: “este se va a enterar”. Y empiezo a planear: voy a “hackear” su ordenador y a robarle toda la información sensible que tenga. ¿Pero cómo? Después de darle alguna vuelta, ¡ya sé! Voy a ver si en los resultados de las auditorias de vulnerabilidades internas, a las cuales tengo acceso, su equipo tiene algún fallo de seguridad que pueda aprovechar.
¡Vaya! Lo tiene todo parcheado… y no tengo dinero para un 0 day. ¿Qué puedo hacer?

Un día mi jefe me pregunta si conozco algún programa gratuito para descomprimir archivos en sistemas operativos Windows y… [Read more…]

Seguridad de contratos inteligentes basados en Blockchain I

23 de febrero de 2018 Por

Recientemente, la tecnología blockchain ha sido promovida como un elemento de cambio para muchas industrias. La tecnología de contabilidad distribuida que surgió de Bitcoin tiene aplicaciones prometedoras más allá de las monedas digitales.

Uno de los casos de uso más prometedores de la tecnología blockchain es la elaboración de contratos inteligentes.

Los contratos inteligentes son contratos autoejecutables, en los que los términos se especifican en el código. Básicamente, esto significa implementar contratos legales en código de ordenador, que los ejecuta automáticamente.

Si bien el concepto existe desde hace tiempo, al menos desde que Nick Szabo escribió el concepto en 1996, no fue hasta la llegada del blockchain de Ethereum con la capacitad de expresar cualquier computación (“Turing complete”), que el uso del contrato inteligente se hizo común.

Los contratos Ethereum existen en direcciones de contrato y pueden invocarse mediante llamadas de transacción.

Ejecutar contratos escritos en código y almacenados en un blockchain público inmutable crea ciertos riesgos y problemas, que discutiremos de forma general en esta publicación. En una próxima segunda parte, veremos ejemplos más específicos de vulnerabilidades de seguridad de contratos inteligentes. [Read more…]

Laboratorio de Hacking (I): Wifi GL-AR150 Pineapple Nano 2.0.2 “Enhanced”

21 de febrero de 2018 Por

Con este artículo me gustaría abrir una serie de entradas para que la gente que esté interesada en el sector de la seguridad informática y se esté iniciando en él, tenga un punto de partida e ideas para hacer sus propias herramientas o mejorar las actuales. La intención principal es que al final de la serie se hayan podido explicar varias herramientas relacionadas con la seguridad informática, tanto de ataque como defensa, de forma que cada cual pueda conseguir un laboratorio propio donde practicar sus habilidades. [Read more…]

De cómo tu “tronqui” compartió su vida por Twonky

16 de febrero de 2018 Por

Aunque es probable que no sea una sorpresa para nadie, es bien sabido que muchas unidades de almacenamiento en red NAS tienen la posibilidad de compartir (de forma automática por UpnP) contenido multimedia a través de Internet. Esto es genial si te encuentras en casa de tu novia o novio y quieres enseñarle las fotos de las vacaciones o hacer noche de manta y peli con la última película que has comprado en formato digital. O por qué no, para compartir recursos por motivos laborales.

Pero, ¿qué pasa si no se configura correctamente el NAS? Pues…

Echándole un ojo a Shodan, sin necesidad de disponer de cuenta siquiera, es posible encontrar tronquis (Twonky) por todo el globo. [Read more…]

Publicación del Reglamento de ejecución NIS (para proveedores de servicios digitales)

14 de febrero de 2018 Por

(Esta entrada ha sido elaborada en colaboración con Ana Marzo, de Equipo Marzo, que proporcionó buena parte de la información).

Hace apenas un par de semanas se ponía en contacto conmigo Ana Marzo, de Equipo Marzo, una abogada por la que tengo un gran respeto profesional, para comentarme acerca de la publicación, no esperada (al menos por mí), de un nuevo reglamento de la Comisión relacionado con la Directiva NIS, que he llamado en un alarde de originalidad Reglamento de ejecución NIS.

En efecto, el pasado 30 de enero se publicó el Reglamento de Ejecución (UE) 2018/151 de la Comisión, de 30 de enero de 2018, por el que se establecen normas para la aplicación de la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo en lo que respecta a la especificación de los elementos que han de tener en cuenta los proveedores de servicios digitales para gestionar los riesgos existentes para la seguridad de las redes y sistemas de información, así como de los parámetros para determinar si un incidente tiene un impacto significativo.

Al menos a mí me pilló por sorpresa (y estoy seguro de que a algunos de nuestros lectores les pasará lo mismo), ya que esperaba una transposición de la directiva, no un reglamento que emanara directamente de la Comisión (lo que no quita que, por supuesto, vayamos a disfrutar de nuestra propia legislación NIS-compliant, que al legislador hay que tenerlo ocupado…). Dado que, aunque en ambitos diferentes, ambos habíamos coincidido en un mismo cliente que encajaba en el concepto de proveedor de servicios digitales y por tanto podría verse afectado, nos preguntamos por la aplicabililidad del reglamento a este cliente en concreto. Por ejemplo, ¿está afectado un periódico online? ¿Y una web de venta online? ¿Un bingo online? ¿Y la compra-venta entre particulares? Derimir la respuesta a estas preguntas es el objeto de esta entrada.

[Read more…]

CSIRT.es

13 de febrero de 2018 Por

Ayer CCN-CERT publicó el comunicado relativo al relanzamiento del grupo CSIRT.es, foro que aglutina a los equipos de respuesta ante incidentes españoles o con ámbito de actuación en España, y cuyo objetivo es centralizar el intercambio de información y facilitar la coordinación entre estos mismos equipos.

Actualmente CSIRT.es lo componemos más de veinte equipos y, como se indicaba en el comunicado, están representados actores públicos y privados, de diferentes sectores, con diferentes objetivos… pero que tienen muchos puntos en común; el principal, por definición, dotar de una capacidad de respuesta a una comunidad determinada. Y esa capacidad hoy en día no puede funcionar si se pretende operar de manera independiente y aislada de otros equipos: requiere necesariamente de vías directas de colaboración con terceros. Más allá de foros como FIRST o TF-CSIRT, creemos que un punto que posibilite la colaboración entre CSIRT con ámbitos de actuación en España es más que interesante y necesario. [Read more…]

Tendencias de malware. Enero 2018

12 de febrero de 2018 Por

Destacado: CrossRat

Un mes más, desde el laboratorio de malware de S2 Grupo queremos compartir con vosotros lo que se está cociendo en el mundo del malware. Como siempre, comentaros que en este tipo de entradas encontraremos amenazas conocidas, vistas en otras fuentes o analizadas directamente en nuestro laboratorio, pero el objetivo del post es conocer qué tipo de amenazas están activas.

A continuación mostramos un diagrama con la información recopilada este mes desde el laboratorio:


[Read more…]

Zona Restringida: Geoposicionamiento no permitido

31 de enero de 2018 Por

La tendencia de “estar permanentemente conectados” pone a nuestra disposición una serie de herramientas con las que “hacer nuestra vida más cómoda” pero esto, a su vez, nos expone a múltiples amenazas que pueden repercutir negativamente en nosotros como individuos o en nuestras organizaciones. Cabe pensar que esta cuestión está muy interiorizada por quienes se dedican de forma directa o indirecta al mundo de la seguridad. Sin embargo, la realidad nos lleva a descubrir que el número de anécdotas y noticias relativas a incidentes de seguridad sigue creciendo y, en muchos casos, los protagonistas son precisamente quienes se dedican a la seguridad.

En la entrada de hoy ponemos el foco en el impacto que ha ocasionado la información recabada y publicada a través de la herramienta Strava[Read more…]