[Jiska Classen] y [Dennis Mantz] crearon una herramienta llamada Internal Blue que pretende ser una navaja suiza para jugar con Bluetooth en un nivel inferior. La base de su herramienta se basa en tres funciones que son comunes a todos los conjuntos de chips Broadcom Bluetooth: una que le permite leer memoria arbitraria, que le permite ejecutarla y otra que le permite escribirla. Bueno, eso fue fácil. El resto de su trabajo fue analizar este código y aprender a reemplazar el firmware con su propia versión. Eso les llevó unos meses de duro trabajo de reversión.

Al final, Internal Blue les permite ejecutar comandos en una capa más profunda, la capa LMP, que permite monitorear e inyectar fácilmente. En una serie de demostraciones en vivo (¡y exitosas!), Exploran un Nexus 6P de un Nexus 5 modificado en su escritorio. Aquí es donde comenzaron a buscar en la pila de Bluetooth de otros dispositivos con conjuntos de chips Broadcom, y ahí es donde empezaron a encontrar errores.

Como suele ser el caso, [Jiska] solo estaba hurgando y encontró un controlador de código externo que no hacía la verificación de límites. Y eso significaba que podía ejecutar otras funciones en el firmware simplemente pasando la dirección. Ya que esencialmente están llamando a funciones en cualquier ubicación de la memoria, encontrar qué funciones llamar con qué argumentos es un proceso de prueba y error, pero las ramificaciones de esto incluyen al menos un bloqueo y restablecimiento del módulo Bluetooth, pero también pueden generar tales trucos. como poner el módulo Bluetooth en el modo "Dispositivo a prueba", que solo debería ser accesible desde el propio dispositivo. Todo esto es antes de vincularse con el dispositivo: solo pasar por allí es suficiente para invocar funciones a través del controlador de buggy.



Más información: https://hackaday.com/2018/12/30/finding-bugs-in-bluetooth/

Saludos.

En Linux tienes un Backup (Bookmarks.bak) de tus marcadores en la ruta: ".config/google-chrome/Default/" y en Windows: "AppData\Local\Google\Chrome\UserData\Default"






Saludos.

Puertos abiertos, usuarios y contraseñas.




Instalación: ./install.sh
Uso: brutex target <port>
Docker: docker build -t brutex .
docker run -it brutex target <port>

Saludos.

https://www.osi.es/sites/default/files/docs/quienes_son_los_ciberdelincuentes_y_que_buscan.pdf

Saludos.

Este nuevo ransomware, que recibe el nombre de ‘JungleSec‘, fue detectado en Noviembre y esta diseñado para infectar servidores Linux con IPMI (Intelligent Platform Management Interface) no securizado.

IPMI es un conjunto de especificaciones de interfaces que proporcionan capacidades de administración y monitorización en un ordenador independientemente de la CPU, firmware y sistema operativo. Esta incluido en las placa base de los servidores, aunque también puede instalarse como una tarjeta adicional si no la incluye la placa base.

Una interfaz IPMI no configurada, puede dar acceso remoto al sistema a los atacantes, lo que les daría control total sobre el servidor.

Investigadores de BleepingComputer que detectaron este malware, afirman que descubrieron que los atacantes habían usado una interfaz IPMI para acceder a los servidores y posteriormente instalar el malware. En algunos casos, la interfaz IPMI estaba configurada con la contraseña por defecto. En otros casos, las víctimas afirman que el usuario ‘Admin’ de la interfaz estaba desactivado, por lo que se sospecha que los atacantes pudiesen acceder usando alguna vulnerabilidad en el sistema IPMI.

Los atacantes, una vez accedían al sistema a través de la interfaz IPMI, descargaban y compilaban ccrypt, que finalmente usaban para cifrar todos los ficheros del servidor. Una vez cifrados los archivos, los atacantes dejaban un fichero llamado ‘ENCRYPTED.md’ con las instrucciones para realizar el pago del rescate.

IoCs
Nombres de Ficheros:
ENCRYPTED.md
key.txt
Direcciones de correo electrónico:
junglesec@anonymousspeech.com

Más información:
Fuente:
https://securityaffairs.co/wordpress/79219/malware/junglesec-ransomware-ipmi.html
https://www.bleepingcomputer.com/news/security/junglesec-ransomware-infects-victims-through-ipmi-remote-consoles/

Aqui os dejo una página donde podréis descargar muestras de malware.
Sólo a través de .onion:

Link: http://iec56w4ibovnb4wc.onion



A disfrutar, saludos.

Felices fiestas y un buen año nuevo para todos
A pasarlo bien en familia y con los amigos que es lo más importante.

Saludos 

El kit Magnitude exploit es uno de los kits de herramientas de navegación más antiguos entre los que aún se usan. Después de su inicio en 2013, disfrutó de la distribución mundial con un gusto por el ransomware. Finalmente, se convirtió en una operación privada que tenía un enfoque geográfico estrecho.

Durante 2017, Magnitude entregó el ransomware Cerber a través de una puerta filtrante conocida como Magnigate, solo a unos pocos países asiáticos seleccionados. En octubre de 2017, el operador del kit de explotación comenzó a distribuir su propia raza de ransomware, Magniber. Ese cambio llegó con un giro interesante: los autores del malware hicieron todo lo posible para limitar las infecciones a Corea del Sur. Además del filtrado del tráfico a través de cadenas de publicidad maliciosa específicas del país, Magniber solo se instalaría si se devolviera un código de país específico, de lo contrario se eliminaría a sí mismo.

En abril de 2018, Magnitude comenzó inesperadamente a empujar el creciente ransomware de GandCrab, poco después de haber adoptado un nuevo flash día cero (CVE-2018-4878). Lo que pudo haber sido una campaña de prueba no duró mucho, y poco después, Magniber estaba de vuelta otra vez. En nuestras recientes capturas de Magnitude, ahora vemos el último exploit de Internet Explorer (CVE-2018-8174) que se usa principalmente, que se integró después de una interrupción de tráfico de una semana.

En esta publicación, echamos un vistazo a algunos cambios notables con Magniber. Su código fuente ahora es más refinado, aprovechando varias técnicas de ofuscación y ya no depende de un servidor de Comando y Control o clave codificada para su rutina de cifrado. Además, aunque anteriormente Magniber solo se enfocaba en Corea del Sur, ahora ha expandido su alcance a otros países de Asia Pacífico.

Extrayendo la carga útil

loader DLL: https://www.virustotal.com/#/file/6e57159209611f2531104449f4bb86a7621fb9fbc2e90add2ecdfbe293aa9dfc/details

Magniber’s core DLL: https://www.virustotal.com/#/file/fb6c80ae783c1881487f2376f5cace7532c5eadfc170b39e06e17492652581c2/details

Hay varias etapas antes de descargar y ejecutar la carga final. Después de la redirección 302 de Magnigate (Paso 1), vemos un javascript ofuscado Base64 (Paso 2) utilizado para iniciar la página de aterrizaje de Magnitude, junto con un VBScript codificado en Base64. (Ambas versiones originales de los scripts están disponibles al final de esta publicación en los IOC.) Después de la explotación de CVE-2018-8174, se recupera el Magniber cifrado con XOR.







Funcionalmente, este shellcode es un descargador simple. Descarga la carga ofuscada, la decodifica mediante XOR con una clave y luego la despliega:



La carga útil descargada (72fce87a976667a8c09ed844564adc75) no es, sin embargo, el núcleo de Magniber, sino un cargador de etapa siguiente. Este cargador descomprime el DLL principal de Magniber (19599cad1bbca18ac6473e64710443b7) y lo inyecta en un proceso.

Ambos elementos, el cargador y el núcleo de Magniber, son archivos DLL con el resguardo del Cargador Reflectivo, que se cargan en un proceso actual utilizando la técnica de inyección Reflective DLL.

Análisis del comportamiento
Las acciones realizadas por Magniber no han cambiado mucho; cifra los archivos y al final arroja una nota de rescate llamada README.txt.



Los enlaces proporcionados conducen a una página .onion que es única por víctima y similar a muchas otras páginas de ransomware:



Más información: https://blog.malwarebytes.com/threat-analysis/2018/07/magniber-ransomware-improves-expands-within-asia/

Saludos.

Vulnerabilidad detectada en #VMware que podría permitir a un atacante la lectura de memoria fuera de límites en aquellas máquinas virtuales, Windows, que tengan las tools instaladas y la compartición de ficheros activada.

Riesgo:  Alto Sistemas afectados:
VMware Tools 10.x y anteriores.

http://www.csirtcv.gva.es/es/alertas/vulnerabilidad-detectada-en-vmware.html
https://www.vmware.com/security/advisories/VMSA-2018-0017.html

Saludos.

Grácias por contestar Shell Root, me imaginaba que podía ser la inclusión de los diferentes comando para realizar inyecciones. Lo postaré sin las inyecciones y que vean el tema desde la fuente.

Saludos.