Orígenes de malware

Orígenes de una infección - Malware

Los orígenes principales de amenazas informáticas ahora son Internet y el correo electrónico.

Existe una multitud de programas maliciosos (como virus, troyanos, gusanos) que pueden ingresar a su equipo mientras esté leyendo un artículo en Internet o el correo, navegando, abriendo varias páginas, o al descargar e instalar software en el equipo.

La velocidad con la cual se distribuye malware es enorme. La recuperación del daño infligido por malware en un par de segundos puede demandar un montón de recursos. No se trata sólo de la pérdida de archivos, sino de acceso no solicitado al sistema, su modificación, o robo de datos.

El otro generador del inconveniente es el spam. El correo no solicitado puede causar más daño que el propio malware. Mientras el spam no es una amenaza directa, lleva a perdidas del tiempo de trabajo y a serios gastos adicionales. El tamaño de gastos se incrementa cientos y miles veces cuando se trata de una red corporativa.

Cada usuario de los recursos informáticos debe entender qué amenazas existen y qué daño pueden causar.

Entre los canales más usados por malware son:

• Internet. La red global es el origen principal de distribución de todos tipos de malware. En general, los virus y otros programas maliciosos se colocan en unas páginas Web populares pretendiéndose algún software útil y gratis. Muchos de los scripts que se ejecutan automáticamente al abrir las páginas Web también pueden contener programas maliciosos.

• Correo electrónico. Los emails en los buzones privados y las bases de correo pueden contener virus. Los archivos adjuntos y el cuerpo de email pueden contener malware. Los tipos principales de malware distribuido por correo electrónico son virus y gusanos. Puede infectar su equipo cuando abre un email o guarda un archivo adjunto. El correo electrónico es también una fuente de spam y phishing. Mientras el spam es generalmente una pérdida de tiempo, el phishing es un método para robar sus datos confidenciales (el número de su tarjeta de crédito, datos personales, …..etc.).

• Vulnerabilidades de software. Explotación de vulnerabilidades de software instalado en el sistema es el método preferido por los ciberdelincuentes. Las vulnerabilidades permiten a un ciberdelincuente establecer una conexión remota a su equipo, y consecuentemente a sus datos, los datos de su red, etc.

• Todos los tipos de unidades de almacenamiento portátiles. Discos externos, discos compactos y disquetes, unidades flash. Al conectar una unidad portátil a su equipo o iniciar algún archivo, puede infectar su equipo con malware y empezar a distribuirlo involuntariamente.

Principales amenazas de seguridad en 2014

Las tendencias a nivel global en el 2014, marcan la independencia entre el trabajo y el usuario, si bien la tendencia BYOD en tu estación de trabajo te brinda comodidad se convierte en una de las principales amenazas de seguridad que enfrentan las empresas a nivel mundial.

A medida nos desenvolvemos durante el 2014, los ataques continuaran siendo cada vez dinámicos y estratégicos.

1. Tendencias de BYOD en el lugar de trabajo

A medida que se incrementa la preferencia del personal llevando dispositivos móviles a su lugar de trabajo, las empresas de todos los tamaños continúan viendo cómo se explotan los riesgos de seguridad de información. Estos riesgos se derivan tanto de las amenazas internas como de las externas, incluyendo la mala gestión del dispositivo en sí, la manipulación externa de las vulnerabilidades de software y el despliegue de aplicaciones de negocios mal evaluadas y poco fiables.

2. Protección de datos sensibles en la nube

Si bien los beneficios de costo y eficiencia de los servicios de informática en la nube son claros, las empresas no pueden darse el lujo de retrasar tener el control de sus implicaciones para la seguridad de la información. Al mover sus datos sensibles a la nube, todas las organizaciones deben saber si la información que están guardando sobre una persona es información de identificación personal (PII), y por lo tanto necesita una protección adecuada.

3. Daño a la reputación

Los atacantes se han vuelto más organizados; Es decir son autenticas mafias de delincuencia informática, los ataques se han vuelto más sofisticados, y todas las amenazas son más peligrosas, y plantean más riesgos, para la reputación de una organización.

4. Privacidad de datos y regulación fronteriza

Las regulaciones de los diferentes países imponen diferentes requisitos de su (PII) puede ser transferida a través de las fronteras. Algunos no tienen requisitos adicionales; otros tienen requisitos detallados. Para determinar qué transferencias transfronterizas se producirán con un sistema en particular basado en la nube, una organización necesita trabajar con su proveedor de nube para determinar donde se almacenará y procesará la información.

5. La ciberdelincuencia

El ciberespacio es un terreno de caza cada vez más atractivo para los criminales, activistas y terroristas motivados por ganar dinero, conseguir notoriedad, perturbar o incluso derribar a corporaciones y gobiernos a través de ataques en línea.

DNS Comprometido por Pharming

Si bien el término "pharming"  es el aprovechamiento de una vulnerabilidad en el software de los servidores DNS (Domain Name System) Esta técnica de ciberataque permite al atacante clonar el nombre de dominio a otra máquina distinta. De esta forma, todo usuario de que introduzca un determinado nombre de dominio se redirigirá a la página web que el atacante haya especificado para ese nombre de dominio.  

Pharming tiene  por objetivo de llevar al usuario a una página falsa para robarle la información personal, pero a diferencia del phishing utiliza técnicas distintas  para lograrlo, y estas se basan principalmente en engañar ya no a la victima sino al equipo o PC, para que resuelva las direcciones URL correctas y bien formadas hacia números IP diferentes de los originales y consecuentemente lleve a la victima  a destinos no deseados.

En el caso del pharming el usuario está  más que desprotegido debido a que la dirección o URL que se encuentra en el navegador es el correcto, aunque este en realidad lo lleva a una  dirección de servidor diferente.

Su nombre se debe principalmente a que al vulnerar un servidor DNS o un router,  todos los usuarios de ese servicio son víctimas probables, osea una granja de víctimas ("farm" en inglés significa granja ) y si cualquiera de ellas introduce el URL correcto este será resuelto hacia el servidor del atacante. 

El Pharming  tiene 3 formas o variantes conocidas:

Pharming local: 

Es cuando se logra introducir un troyano o virus en el equipo de la víctima, el cual se encarga de afectar los registros de nombres que se encuentran el el archivo "hosts" (sin extensión) que se ubica en diferentes direcciones dependiendo del sistema operativo de la víctima. Se denomina local porque el ataque se realiza en el equipo del usuario. Aquí es precisamente donde el proceso se parece más al phishing debido a que los usuarios se infectan uno a la vez y el término de "granja" pierde sentido.

Drive-By Pharming:

Este se realiza asaltando directamente a los firewalls o routers (enrutadores), y cambiando la dirección del servidor DNS a la de un servidor DNS bajo poder del ciberdelincuente, que innegablemente resolverá las direcciones tal como éste lo desee. Esta técnica hasta hace poco era utilizada solo para propósito académico debido a la dificultad que existe para acceder a los routers empresariales, sin embargo ha cobrado auge en la actualidad debido a las plataformas wireless que en muchos casos utilizan enrutadores cuyos usuarios no han cambiado la clave administrativa que traen estos equipos por defecto.

DNS Poisoning (Envenenamiento de DNS):

Sin embargo esta técnica es bastante difícil de ejecutar, consta  en vulnerar  los servidores DNS en lo que respecta al control de su caché de direcciones. Aunque es muy peligrosa actualmente son muy pocos los casos, debido a que los servicios de DNS de gran escala están en manos de proveedores de Internet que ya han corregido este tipo de fallas. Sin embargo sigue latente la posibilidad de que se descubra alguna nueva vulnerabilidad que permita este tipo de ataque nuevamente.

Hacking ético anécdota

::ANÉCDOTA TELEFÓNICA::

A: Hola buenas, tiene un pequeño detalle en tal sección.
B: ¡Quien te crees que eres! diciendo eso?, ve a jugar a otro lado.
A: Debería tomar nota, es un tanto serio lo que le comento.
B: Si no dejas de molestar tendrás problemas.
A: De hecho usted ya tiene el problema, porque se le esta notificando que existe un error y su ego no le deja ver la calamidad que afronta.
B: ¡Apenas seras un niño! jugando al héroe.
A: Si, un niño que estima que su problema cuesta una cifra de 5 dígitos sino llega a corregir. Y que ademas vendiendo dicha información cuesta el doble ya que la competencia estaría muy interesada.

Quitar SPAM desde nuestro Perfil en Facebook

Primero que todo debemos saber que es SPAM; Este se define como aquel sistema de mensajería electrónica para enviar mensajes no solicitados. Conocidos como mensajes basura. 

Si hemos sido objeto de este tipo de ataque en nuestro perfil por dar clic a una publicación que nos pareció importante, notaremos que nuestro perfil nombra a nuestros amigos y grupos a los que estamos inscritos con el único objetivo de tomar privilegios en nuestro perfil y propagar SPAM.


Esta a guía nos mostrara como vigilar nuestro perfil y tomar medidas para dejar de difundir SPAM, si nuestro perfil ya ha sido comprometido!

Paso 1: Simple vista de nuestro perfil.

Paso 2: visitamos las actividades de nuestro perfil.

Paso 3: debemos observar con cuidado toda actividad de nuestro perfil, para ver si ocurre algo extraño sin darnos cuenta.

Paso 4: debemos hacer una pequeña inspección en nuestras publicaciones para saber si nuestro perfil, está difundiendo SPAM sin darnos cuenta.

Paso 5: Si nuestro perfil en efecto realiza publicaciones que nosotros no hacemos, debemos ver desde donde se está propagando dicho SPAM, y para darnos cuenta veremos la siguiente imagen.

Una vez identifiquemos que cada like que hemos dado ha sido por nuestra mano; Es correcta, sin duda aquel like a una página que desconocemos.

Será la prueba que dicha página es la que está difundiendo SPAM CON PERMISOS DE NUESTRO PERFIL, lo cual con quitar el like de dicha pagina será la solución para que nuestro perfil deje de difundir SPAM.

Ayúdanos con esta encuesta por favor!!!

Tango una herramienta de mensajería instantánea con streaming muy eficiente!

#TANGO

Una muy buena opción si tu Skype toma muchos recursos de tu dispositivo móvil 

Ya no te van a poder engañar más si tienes la aplicación de Tango Voice & Video Calls en tu poder. Basta ya de esas llamadas telefónicas de tus amigos que dicen que ya están llegando y en realidad aun están saliendo de casa. Ahora gracias a esta aplicación podrás hablar con tus amigos y ver al mismo tiempo dónde se encuentran e incluso con quién, siempre y cuando que la otra persona quiera. Gracias a Tango, podrás hacer videollamadas de forma gratuita a cualquier usuario en cualquier parte del mundo que también tenga Tango en su dispositivo móvil, tanto para Android como para iPhone o tablets.

La verdad que es un lujo también para esas personas que están fuera y que no podemos ver día a día. Con Tango podremos hablar por teléfono con nuestros familiares o amigos que estén viviendo en otra ciudad o país. Con Tango no hay fronteras que valgan.

Como ves, es una aplicación que no tienen ningún inconveniente. Bueno, sí, solo tiene uno: para aquellos padres que vigilan en todo momento a sus hijos y les urge saber dónde están sus hijos en todo momento. Pero para eso ya encontraréis una solución.

Funciones & Uso

Es tan fácil de utilizar como hablar por teléfono. Tango Voice & Video Calls coge los números automáticamente de la tarjeta SIM de tu teléfono o de tus contactos guardados en tu teléfono móvil y te indica quiénes de tus contactos tiene la aplicación de Tango en móvil con una pequeña cámara al lado y el nombre del contacto en negrita. Si lo prefieres, puedes configurarlo también para que solamente te aparezcan los usuarios que tengan la aplicación. Así lo tengo yo.

La aplicación es en inglés y es muy fácil de utilizar y muy intuitiva. También tienes la opción de ver tu historial de llamadas, puedes invitar a tus contactos a que se descarguen la aplicación para tú también poder hacer videollamadas con ellos y así poder disfrutar de buenos momentos juntos, ya que tus amigos, si tú quieres, no se perderán ningún "momentazo" de los que estés disfrutando por ahí en solitario o cuando veas algo que te recuerde a alguno de tus amigos.

Tango no cuenta con publicidad en su aplicación, lo cual es un gran punto a su favor. Permite hacer llamadas y videollamadas desde conexiones de 3G, 4G y WiFi.

Como ya he mencionado arriba, es muy fácil hacer la videollamada. Basta como hacer clic en el contacto e iniciar la llamada. Tardará unos 20 segundos hasta que las dos cámaras de los dos usuarios se enciandan y se los dos se puedan ver. Después todo irá perfectamente. Lo malo es que tienes que estirar mucho el brazo para que la otra persona te vea entero. Y claro, si estás tan lejos del movil, es más difícil que la otra persona te oiga correctamente. Pero bueno, para que vuestros amigos os puedan escuchar bien, os aconsejo un primer plano todo el momento. 
Emoticón smile

Pantalla & Controles

La videollamada se realiza a modo de pantalla completa, lo que es perfecto. Dependiendo de la conexión de cada uno, la calidad va a ser mejor o peor. Pero, viendo otros programas o aplicaciones de este tipo, como por ejemplo Skype, la calidad es muy parecida.

Para que fuese la aplicación perfecta, le pondría a Tango Voice & Video Calls la función de enviar mensajes de texto, como en Viber o Whatsapp. Entonces ya, sería la aplicación perfecta y sería un teléfono gratuito que funciona solo con Internet.

Velocidad & Estabilidad

La verdad es que tarda mucho desde que un usuario acepta la llamada hasta que se enciende el vídeo y la otra persona le puede ver. Yo prestaría más atención a este problema si Tango Voice & Video Calls tuviese que hacer algún día una versión de esta aplicación tan maravillosa. Lo bueno, es que la llamada, hasta el momento, no se ha colgado y la aplicación funciona siempre.

Precio/Eficacia

El precio de Tango Voice & Video Calls es lo mejor de todo. ¡Es totalmente gratuita! Y la puedes encontrar tanto en AndroidPIT App Center como en Android Market y PlayStore. Te la recomiendo.

Vulnerabilidad de Master Key descubierta en Android

Problemas  de seguridad  en android 

la vulnerabilidad fue dada a conocer a Google en febrero por Bluebox, sin embargo, la compañía no arregló el problema, Tiempo después, Google modificó el proceso de entrada de aplicaciones a su tienda para bloquear todas aquellas aplicaciones que fueron modificadas por el exploit.
En la primera semana de junio, el equipo de seguridad de Android, un equipo chino, encontró una segunda vulnerabilidad en Android parecida a la “Android Master Key vulnerability”descubierta previamente.

El investigador en seguridad Jay Freeman descubrió otra vulnerabilidad de Master Key en la versión 4.3 de Android, muy similar a la reportada en julio del pasado 2013 por el equipo de seguridad de Android.

Jay Freeman es conocido como Saurik por el software Cydia, una aplicación para iOS que permite al usuario buscar e instalar paquetes de software en dispositivos de Apple desbloqueados (jailbroken).

En Android, todas las aplicaciones son firmadas por sus desarrolladores usando claves criptográficas, el gestor de paquetes de Android compara los certificados usados para verificar las firmas y determina si las aplicaciones tienen permitido compartir información o si tienen permitido obtener permisos.
Incluso el sistema mismo es firmado por el fabricante del dispositivo y las aplicaciones firmadas por la misma llave son, de este modo, capaces de utilizar todas sus funcionalidades.

Tal como las vulnerabilidades de Master Key anteriores, el exploit de Saurik permite al atacante obtener acceso completo al dispositivo Android a través de un archivo APK modificado, sin modificar la clave criptográfica del mismo.
De esta forma, el malware puede obtener control total sobre el sistema Android y todas sus aplicaciones (y sus datos) con permisos riesgosos.

Se aconseja a los usuarios descargar aplicaciones y actualizaciones solo de fuentes confiables, preferentemente de fuentes oficiales o tiendas de aplicaciones.

Nota: No utilicen apps de origen RUSSO preferiblemente y actualicen su terminal 

constantemente

Código de exploit que se apodera de la vulnerabilidad

Recuperando contraseñas en Windows

Windows 7    

En los sistemas operativos cliente de Microsoft Windows 8 y Windows 7 que facilita la obtención de la contraseña de administrador para inicios de sesión y control del sistema.

Grave vulnerabilidad en Windows permite elevar privilegios

El fallo reside en el soporte heredado de aplicaciones de 16 bits, No se valida correctamente el cambio de contexto y pila que se efectúa al llamar al manejador GP trap. Windows comete algunos errores y asume incorrectamente que:

a.- Acceso a la VDM (Virtual DOS Machine)

b.- Código alojado en el ring3 (espacio de usuario) no puede identificar un "trap frame". (escala local de privilegios)

Un trap también es conocido en la comunidad de hacking ético, como 0 Day!!!

0 day: Es una falla de seguridad donde se explota para aprovechar la vulnerabilidad del sistema objetivo!!!

y aunque  las contraseñas de Windows 8 y Windows 7 se almacenan en el registro del sistema operativo,  están en un formato cifrado parece que se pueden convertir fácilmente en un formato legible.

Métodos de recuperación de contraseña

EXPLOIT

Exploit: es una esquirla de software, que explota una vulnerabilidad de cualquier sistema de información .

A continuación se les presenta una forma de escalar privilegios desde una cuenta administrador, utilizando exploits indetectables para antivirus debido a su estructura, de paso dejo el código para que lo revisen y hagan sus variaciones .

Uacpoc: exploit que funciona tanto en windows con arquitectura de 32 y 64 bits.

Mimikatz: exploit que nos muestra las contraseñas desde el archivo sam, que es el volcado de memoria local.

L0ckCrack: Es una herramienta de desencriptacion md5, una vez obtenido el archivo mediante pwdump. 

paginas online de desencriptacion:

Rainbow tables

md5

Pwdump: exploit que nos permite hacer de forma manual el volcado de memoria escribiéndolo en un archivo de salida deseado.

modo de llamado una vez abierto en consola es: pwdump.exe --dump-hash-local

LLAMADO DESDE CONSOLA:

cd \users\invitado\desktop

Nota: este llamado es para ubicar el archivo por conveniencia yo lo tengo en el escritorio, si esta dentro de otra carpeta ejemplo: cd \users\invitado\desktop\poc\poc.exe

Para mas información vea nuestro vídeo!!!

Exploits extra misma referencia de llamado!!!

mimikatz

Poc

pwDump

l0CKCrack

GENERANDO ERROR PARA SOBRESCRIBIR CONTRASEÑA

El método utilizado es bastante practico tal como dicta el vídeo, solo debo hacer hincapié en que cuando ya se hizo el paso de re nombramiento de archivos y reinicio a su ordenador, las teclas a presionar cuando aparecen las de cursos son, 5 veces shift o BloqMayus

HERRAMIENTA HIRENS BOOT 10.3

Descarguen la imagen iso y creen una unidad booteable ya sea en USB o CD, reinician su computadora y ingresen al Bios para poder configurar el cd o usb como primario.

Guardan la configuración actual, y reinician su ordenador a continuación les saldrá una pantalla algo así:

Ahora pueden observar nuestro vídeo!!!

Hirens BootCD 10.3