Estudio del uso de los TLD en organización

Con la fiebre de los TLD, actualmente ya existen alrededor de 1.530 diferentes según la lista publicada por IANA. Desde el punto de vista de un analista, esto puede suponer un problema a la hora de realizar una investigación. Quizá existan otras ventajas que hayan sido determinantes para que se haya decidido poner en marcha tantos TLD.

¿Cuál es el uso real que se le da a estos dominios? Quizá nos dé por pensar que desde nuestra organización no sale tráfico hasta ciertos TLD. Basta con hacer un par de consultas sobre los registros LOG del proxy y determinar cuáles son los diferentes TLD que se visitan y, en porcentaje, cuáles son los que más se visitan. Al lío.
[Read more…]

Mercure – Facilitando la pesca

El phishing, aunque es uno de los vectores de ataque de los más antiguos, sigue siendo uno de los preferidos y más utilizados hoy en día por los ciberdelincuentes, ya que en la mayoría de los casos ataca directamente al eslabón más débil: el ser humano.

Por suerte, los mecanismos de defensa han avanzado lo suficiente como para ponerlo bastante difícil. Un claro ejemplo son los avanzados filtros antispam que incorporan hoy en día la mayoría de los clientes de correo electrónico. Pero como sabemos, la seguridad total no existe, por lo que los criminales siempre encuentran un medio para que el phishing sea todavía una técnica de ataque eficaz.

En esta entrada vamos a analizar la herramienta Mercure,  utilizada para llevar a cabo ataques de este tipo de una manera sencilla, y que en nuestro caso puede servirnos para poner a prueba el grado de concienciación de los usuarios de nuestra organización (con las autorizaciones correspondientes). Una de sus mayores bondades es que es Open Source y se encuentra escrita en Python, por lo que las modificaciones resultan bastante sencillas de realizar. Podemos descargarla desde su GitHub. Tenemos dos maneras de instalar Mercure, utilizando el típico git clone o desplegando el docker que nos facilita su creador. Cualquiera que elijamos se encuentra perfectamente detallada en su README.

[Read more…]

Recuperación de ficheros borrados con Scalpel

Recientemente, me encontraba terminando un script en bash, realizando pruebas para comprobar que estaba funcionando correctamente cuando, tras realizar unas modificaciones al script y volver a lanzarlo, comenzó a ejecutarse un borrado recursivo de los ficheros de la máquina, el temido ‘rm -rf‘. La típica ‘noobada‘ que esperas que nunca te ocurra sucedió.

Afortunadamente, el script se estaba ejecutando en una máquina virtual de pruebas como usuario no privilegiado, por tanto la máquina seguía estando operativa. Gracias a estas medidas de precaución pude comprobar el alcance de la broma y ver que todo el directorio /home del usuario se había borrado. Dicho directorio contenía el script que estaba escribiendo de modo que, se podría decir, que el script se había fagocitado a sí mismo, llevándose con él unas cuantas horas de trabajo.

[Read more…]

MOSH, mas allá del SSH

A día de hoy, no creo que sea necesario mencionar qué es el protocolo SSH (Secure Socket Shell) ya que sería realmente complicado vivir actualmente sin él. Por ello, se considera SSH a nivel global como la “mega” herramienta indispensable para cualquier labor de administración. Entre las ventajas de su uso podemos encontrar: acceso seguro a máquinas remotas, acceso a servicios en otras máquinas mediante la creación de túneles directos o reversos, creación de proxy socks, creación de canales seguros para la encapsulación de trafico de aplicaciones no seguras… etc.

Entre las inumerables ventajas de este protocolo, existe un punto que en ocasiones puede ser un gran inconveniente, el rendimiento de la conexión.

Para intentar dar solución a éste problema y añadir mejoras, surgió Mosh (mobile shell), aplicación que aporta diversas ventajas sobre la conexión SSH tradicional. Fue presentada en el USENIX Annual Technical Conference 2012 por Keith Winstein & Hari Balakrishnan, M.I.T. Computer Science and Artificial Intelligence Laboratory.

[Read more…]

Tendencias malware Febrero. Destacados: Chrome EK y RAT Remcos

Como todos los meses, desde el laboratorio de malware queremos compartir con vosotros lo que se está cociendo en el mundo del malware. En este tipo de entradas encontraremos amenazas conocidas, vistas en otras fuentes o analizadas directamente en nuestro laboratorio, pero el objetivo del post es conocer qué tipo de amenazas están activas.... Leer Más

Volvamos al Collins

En la actualidad, el tráfico http cada vez es menos visible para un analista de seguridad ya que ahora, en muchos casos, los servidores web obligan a usar https y por lo tanto, dejamos de tener mucha visibilidad.

En este aspecto, algunas organizaciones optan, o bien por “romper” el tráfico ssl gracias al uso de un certificado impuesto, o bien solo permiten acceso https para algunos servicios determinados. Algunos de estos servicios, como es el caso de Google, suelen estar permitidos.

Hablemos entonces, por ejemplo, del traductor de Google. Se me ocurrió la idea de hacer bypass a las conexiones a través de un traductor, en este caso de Google. [Read more…]

Tendencias de malware. Enero 2017

Un mes más, desde el laboratorio de malware de S2 Grupo, queremos compartir con vosotros lo que se está cociendo en el mundo del malware. Recordad que en este tipo de entradas encontraremos amenazas conocidas, vistas en otras fuentes o analizadas directamente en nuestro laboratorio, pero el objetivo del post es conocer qué tipo de amenazas están activas.

A continuación mostramos un diagrama con la información recopilada este mes desde el laboratorio:


[Read more…]

Printesting: la seguridad de las impresoras también importa

Dentro de las redes corporativas, las impresoras y dispositivos multifunción a menudo son dejadas de lado cuando se habla de seguridad.

En muchas ocasiones, estos dispositivos pueden ser aprovechados por un insider o atacante para acceder a información confidencial que ha sido previamente escaneada, obtener listados de correos electrónicos e incluso llegar a obtener credenciales de usuarios.

En este post vamos a ver algunas pruebas de concepto identificadas durante diversos test de intrusión. A continuación vemos un dispositivo multifunción el cual no dispone de credenciales para acceder al portal web, si no ha sido configurado previamente.
[Read more…]

TLS client fingerprinting con Bro

En esta entrada continuamos con Bro IDS, que en esta ocasión utilizaremos como herramienta para la exploración de técnicas de client fingerprinting.

Como es sabido, durante el handshake inicial del protocolo TLS (utilizado, entre otros, por HTTPS en navegadores web), se intercambia un mensaje denominado ClientHello, donde el cliente especifica las primitivas criptográficas que soporta (los llamados ciphersuites).

Por ejemplo, un Firefox 50.1.0 sobre Linux enviaría un ClientHello como el siguiente, tal como lo muestra el disector de Wireshark:
[Read more…]

Evadiendo nuestro antivirus con Windows PowerShell

Hace algunos días se difundió la noticia de que PowerShell se estaba convirtiendo en el método más eficaz para la difusión de malware pero, ¿existen razones de peso que expliquen la migración a esta plataforma?
Durante el siguiente artículo veremos algunas de las razones prácticas por la que muchos blackhat están optando por este lenguaje de scripting.

En primer lugar, cabe destacar que la distintiva de PowerShell respecto a intérpretes tradicionales es que está orientado a objetos, puesto que la información de entrada y de salida en cada etapa del cmdlet es un conjunto de instancias de objeto. Esto, junto a la capacidad de agregar clases personalizadas a framework .NET mediante el cmdlet “Add-Type”, le otorga grandes funcionalidades a tener en cuenta para el desarrollo de malware.
[Read more…]