ENRUTADORES D-LINK DIR-620 CON VULNERABILIDADES CRÍTICAS

Después de una investigación, profesionales en seguridad han encontrado una cuenta de puerta trasera en el firmware de los enrutadores D-Link DIR-620, esto permite a los actores maliciosos hacerse cargo de cualquier dispositivo accesible a través de Internet.

Este backdoor, fue encontrado por los expertos en seguridad informatica de Kaspersky Lab, el backdoor otorga acceso al panel web del dispositivo, y no hay manera de que los propietarios del dispositivo puedan deshabilitar esta cuenta.

La forma de proteger los dispositivos contra el hackeo es evitando que el enrutador exponga su panel de administración en la interfaz WAN y, por lo tanto, se puede acceder desde cualquier lugar de Internet.

Por ahora, los profesionales no han revelado el nombre de usuario y la contraseña de la cuenta de puerta trasera, esto para evitar abusos.

La cuenta de backdoor, CVE-2018-6213, es una de las cuatro vulnerabilidades encontradas por el equipo de seguridad informatica en el firmware de estos dispositivos. Los otros tres defectos incluyen:

• CVE-2018-6210: una vulnerabilidad que permite a los atacantes recuperar credenciales de Telnet
• CVE-2018-6211: un error que permite a los atacantes ejecutar comandos del sistema operativo a través de uno de los parámetros de URL del panel de administración
• CVE-2018-6212: una vulnerabilidad de scripts entre sitios (XSS) reflejada en el campo del panel de administración “Búsqueda rápida” del enrutador

CVE-2018-6210 y CVE-2018-6213 fueron consideradas vulnerabilidades críticas, ya que permiten a los atacantes un acceso fácil al dispositivo.

Los dispositivos D-Link DIR-620 son modelos de enrutador algo antiguos y no hay muchos disponibles para explotar, lo que puede ser una buena noticia.

En general, estos dispositivos fueron implementados por proveedores de servicios de Internet de Rusia, la CEI y Europa del Este, como equipamiento en las instalaciones para clientes de banda ancha.

Se han podido encontrar a la mayoría de estos dispositivos, y los profesionales en seguridad informatica ya se han contactado con los ISP para reportar el problema.

De acuerdo con Kaspersky, la mayoría de los ISP han tomado acción a las advertencias y el acceso restringido a estos dispositivos en sus redes.

Los expertos en seguridad informatica también contactaron a D-Link sobre los problemas, pero la compañía comento que no tenía la intención de emitir actualizaciones de firmware para un modelo anterior.

En la investigación se probaron las siguientes versiones de firmware de DIR-620 y todos se vieron vulnerables en varios grados: 1.0.3, 1.0.37, 1.3.1, 1.3.3, 1.3.7, 1.4.0 y 2.0.22.

Read More

ATAQUE MIRAI LANZADO DESDE UNA EMPRESA MEXICANA

Un nuevo ataque similar a Mirai surgió en México a principios de este mes, va dirigido a los enrutadores domésticos y las cámaras IP de la red óptica pasiva Gigabit. Un equipo de investigadores de seguridad informatica, detectó y realizo un forense digital.

De acuerdo a expertos, los ataques realizados del 8 al 10 de mayo, surgieron de 3,845 direcciones IP ubicadas en México y se enfocaron en enrutadores y cámaras web utilizando contraseñas predeterminadas. Una vez ingresado el dispositivo de IoT, los actores maliciosos usan las vulnerabilidades CVE-2018-10561 o CVE-2018-10562 para inyectar un malware que puede permitir la ejecución remota de código. Se utilizaron cuatro variantes del malware dirigidas a diferentes arquitecturas de procesador ARM, ARMv7, MIPS y MIPS little-endian.

Los profesionales utilizaron los Números de Sistema Autónomo (ASN) de los dispositivos IP atacados para rastrear la ubicación. Con esto se encontró ASN 8151, que pertenece a la empresa mexicana Uninet, de acuerdo con la herramienta de búsqueda ASN de Neustar. Además, los datos de WHOIS de las direcciones IP indican que son propiedad de la misma empresa mexicana.

Los expertos en seguridad informatica reiteraron los hechos de que los ataques como esta variante de Mirai pueden ser bloqueados a través de recursos bastante simples, como cambiar las credenciales de inicio de sesión predeterminadas y asegurándose de que un dispositivo de IoT esté ejecutando la versión más actualizada de su software.

Read More

EX INGENIERO DE LA CIA FILTRÓ A WIKILEAKS LAS HERRAMIENTAS DE HACKEO UTILIZADAS POR LA AGENCIA

Un ex ingeniero de la CIA está siendo acusado de entregar los documentos de la serie Vault 7 a WikiLeaks.

El gobierno de Estados Unidos asegura haber identificado al actor malicioso que supuestamente robó un paquete de datos pertenecientes a la Agencia Central de Inteligencia (CIA) en donde se detallan herramientas de hackeo y campañas secretas de ciberespionaje dirigidas a gobiernos, usuarios insospechados y empresas de todo el mundo, comentaron investigadores de seguridad informatica.

El personaje ha sido identificado como el ex ingeniero de la CIA de 29 años Joshua A. Schulte. Se cree que Schulte no solo robó datos sino que también se los entregó para se publicados a WikiLeaks.

De acuerdo a investigadores, las herramientas de hackeo ya han sido publicadas por WikiLeaks en su sitio web bajo el control de Vault 7. Los paquetes robados contenían 8,000 documentos y 943 archivos adjuntos que mostraban cómo la CIA desarrolló herramientas para hackear a sus objetivos y convertirlos en dispositivos de espionaje.

Ha sido publicada la lista de objetivos de CIA, es bastante amplia y cubre bastantes dispositivos, la lista incluye computadoras basadas en Windows, Linux y Mac, air-gapped PCs, cámaras de seguridad, smart TVs, navegadores web, iPhones y smartphones Android, webcams, auriculares, micrófonos, blocs de notas, reproductores de video, camiones y otros dispositivos conectados a Internet. Estos documentos mostraron la toda la capacidad de hackeo de la CIA.

Joshua A. Schulte no es ajeno a la CIA, trabajó para el Grupo de Desarrollo de Ingeniería de la agencia, ayudo al desarrolló malware y otras herramientas de hackeo para la inteligencia cibernética, comentaron investigadores en seguridad informatica. En 2016, Schulte abandonó la agencia y trabajo para una firma privada de software.

En 2017, una semana después de que WikiLeaks comenzara a publicar los documentos de Vault 7, el departamento de Schulte en fue allanado por FBI. Schulte no fue acusado formalmente, pero el FBI confisco su computadora personal, notas, cuadernos y pasaporte, lo que le prohibía abandonar el país.

En una declaración judicial, el abogado de los Estados Unidos Matthew Laroch comento que Schulte usó el navegador Tor para transferir información clasificada, pero, no se proporcionó evidencia. El navegador Tor permite a usuarios ocultar su dirección IP real y navegar de forma anónima, comentaron expertos en seguridad informatica.

Los abogados de Schulte han pedido a los fiscales que presenten una decisión final sobre los cargos relacionados con la filtración de Vault 7.

“Este caso ha venido arrastrando desde agosto de 2017”, dijo la abogada de Schulte, Sabrina P. Shroff. “Se exige que el gobierno entable una acusación para que el Sr. Schulte tenga la oportunidad de defenderse”.

Los profesionales en seguridad informatica dijeron, que cuando WikiLeaks publico los documentos de la serie Vault 7, se dudaba de si estos documentos eran auténticos. Edward Snowden y Wall Street Journal confirmaron su autenticidad, el gobierno investigó a uno de los ex ingenieros de la agencia sobre la fuga, lo que indica que la serie Vault 7 fue auténtica.

La lista de documentos es:

• BothanSpy and Gyrfalcon: Steals SSH credentials from Linux & Windows devices
• OutlawCountry and Elsa: Malware targeting Linux devices and tracking user geolocation
• Brutal Kangaroo: CIA hacking tools for hacking air-gapped PCs
• Cherry Blossom: CherryBlossom & CherryBomb: Infecting WiFi routers for years
• Pandemic: A malware hacking Windows devices
• AfterMidnight and Assassin: CIA remote control & subversion malware hacking Windows
• Dark Matter: CIA hacking tool infiltrating iPhones and MacBooks
• Athena: A malware targeting Windows operating system
• Archimedes: A program helping CIA to hack computers inside a Local Area Network
• HIVE: CIA implants to transfer exfiltrated information from target machines
• Grasshopper: A malware payloads for Microsoft Windows operating systems
• Marble: A framework used to hamper antivirus companies from attributing malware
• Dark Matter: A CIA project that infects Apple Mac firmware
• Highrise: An Android malware spies on SMS Messages
• Aeris, Achilles, SeaPea: 3 malware developed by CIA targeting Linux and macOS
• Dumbo Project: CIA’s project hijacking webcams and microphones on Windows devices
• CouchPotato Tool: Remotely Collects Video Streams from Windows devices
• ExpressLane implant: CIA Collected Biometric Data from Partner Agencies

Read More

IBM MEJORA SU SEGURIDAD Y PROHÍBE EL USO DE UNIDADES USB EN TODA LA COMPAÑIA

Recientemente IBM prohibió todo el almacenamiento extraíble, en toda la empresa, esta es una nueva política que tiene el objetivo de evitar daños financieros y de reputación derivados de una unidad USB extraviada o mal utilizada.

Shamla Naidoo, directora general de seguridad informática de IBM, informo al personal en un correo electrónico interno que la compañía “está ampliando la práctica de prohibir la transferencia de datos a todos los dispositivos de almacenamiento portátiles extraíbles como podrían ser; USB, tarjeta SD y unidad flash”.

Algunas aéreas ya contaban con esta política pero, “en las próximas semanas estamos implementando esta política en todo el mundo”, dijo Naidoo.

Esta nueva política tiene un objetivo simple y bien justificado en un mundo lleno de violaciones de datos: “el posible daño financiero y reputacional debido a dispositivos de almacenamiento portátiles extraíbles extraviados, perdidos o mal utilizados debe minimizarse”, aclaró el CISO.

Hace un tiempo, Stuxnet fue escrito para “saltar” de una terminal a otra a través de unidades USB que se mueven entre ellas como vectores de ataque. Solo algunas de las redes a las que apuntaban estaban aisladas, lo que significa que no tenían acceso directo al mundo exterior. Para prevenir un evento así en sus redes, los profesionales de seguridad informática recomiendan dispositivos USB especializados para evitar que el malware se configure en unidades USB.

Read More

DEBES ACTUALIZAR 7-ZIP AHORA! VULNERABILIDAD CRITICA ENCONTRADA

Hace apenas un par de meses, un experto en seguridad informática, apodado LANDAVE o Dave, encontró una vulnerabilidad de seguridad en la utilidad 7-Zip.

Un grupo de profesionales de seguridad informática comento, que 7-Zip contiene una enorme variedad de herramientas de descompresión de archivos que algunos usuarios instalan como una de sus más importantes aplicaciones complementarias de Windows.

7z sabe cómo extraer datos de la mayoría de los demás formatos de archivo y no solo es compatible con su propia marca de archivos mega comprimidos.

Los archivos ZIP, archivos gzip y bzip2, archivos Unix tar y cpio, archivos CAI y MSI de Windows, archivos DMG de Macintosh, imágenes de CD (ISO) y más, sumado con una interfaz opcional de administración de archivos de dos paneles que es perfecta para la vieja escuela.

Los expertos en seguridad informática dicen que 7-Zip incluye soporte para archivos RAR, y es ahí donde está la vulnerabilidad, se cree que es heredada del código fuente abierta de la herramienta UnRAR.

7-Zip ya ha sido parcheado contra este error, CVE-2018-10115, ahora LANDAVE ha hecho públicos los detalles de su hallazgo, y lo que implicó averiguar qué tan grave podría ser esta vulnerabilidad.

Dave dijo, que el problema surgió de un conflicto común entre complejidad y seguridad. El profesional comento que el código UnRAR es muy complejo, admite variedades de diferente nivel y formato de compresión, esto incluye un tipo especial de sistema de compresión que enlaza archivos antes de comprimirlos, lo que con frecuencia exprime más bytes de los datos comprimidos que aplasta cada archivo de forma independiente.

En el formato de archivo RAR se incluye esta solid option ya que mejora la compresión al permitir coincidencias de cadenas repetidas incluso si están en archivos diferentes, en lugar de restringir los fragmentos de datos repetidos a un archivo. Cuando tiene varios archivos pequeños pero similares, por ejemplo, esto da como resultado que se encuentren muchas coincidencias de cadena más repetidas, y se aumenta la relación de compresión.

Lo que el profesional en seguridad informática encontró es que el código de descompresión UnRAR, tal como lo usa 7-Zip, no se configura de manera segura cuando comenzó a usarlo, lo que nos dice, que su software podría inocentemente llevar a una falla grave en el código RAR.

En otras palabras, algunas variables no inicializadas en el código UnRAR abrió la posibilidad de crear un archivo de almacenamiento trampa que engañaría al código UnRAR para que ejecute un código oculto en la parte de datos del archivo trampa.

Este código entra furtivamente ya que los datos se conocen como shellcode.

Estos errores que permiten la ejecución de Shellcode son conocidos como vulnerabilidades de ejecución remota de código (RCE), un actor malicioso puede usar un archivo, para ejecutar malware en su computadora, incluso si solo abre el archivo booby-atrapped y lo mira.

Dave también creó un exploit de prueba de concepto (PoC) que demostraba cómo crear un archivo RAR que era furtivo e inesperadamente inicia la aplicación Calculadora.

El investigador de seguridad informática comento, que si un PoC puede mostrar CALC.EXE sin avisar, podría modificarse para ejecutar cualquier comando, incluido el malware, de forma invisible para el usuario.

El objetivo de Dave de construir un exploit que funcionara se hizo más fácil porque las aplicaciones que se incluyen con 7-Zip habían sido creadas sin soporte para la distribución aleatoria del espacio de direcciones (ASLR).

Las herramientas 7-Zip siempre se cargaran en las mismas direcciones, mejorando los exploits porque los atacantes pueden predecir qué fragmentos prácticos de código ejecutable ya se cargarían, y dónde, comento el profesional en seguridad informática.

Ahora, en algunas buenas noticias, el creador de 7-Zip no solo parcho la vulnerabilidad de variable no inicializada (CVE-2018-10115) en el producto, sino que también para compilar la versión actualizada con ASLR habilitado. Estos cambios fueron lanzados hace una semana en 7-Zip versión 18.05.

El experto en seguridad informática nos da unas recomendaciones de que hacer:

Si eres usuario de 7-Zip, asegúrate de usar la última versión.

Si es un programador de Windows, no envíe ningún software que no sea compatible con ASLR. Usando Visual Studio, puede compilar con la opción / DYNAMICBASE.

Si es un programador, al crear objetos nuevos: inicialice los campos de datos con valores seguros y razonables.

Read More

REALIZA ATAQUES DE FUERZA BRUTA A SSH, SMTP, FACEBOOK E INSTAGRAM- BRUT3K1T

Como introducción, brut3k1t es un módulo bruteforce del lado del servidor que admite ataques de diccionario para diversos protocolos, comentan expertos en seguridad informática.

Algunos de los protocolos actuales que están completos y son compatibles son:

• ssh
• ftp
• smtp
• XMPP
• instagram
• facebook

También existirán implementaciones de diferentes protocolos y servicios incluidos Twitter, Facebook e Instagram.

Los profesionales nos dicen, que la instalación es muy simple. brut3k1t requiere varias dependencias, el programa las instalará si no las tiene.

• argparse – utilizado para analizar argumentos de línea de comando
• paramiko: utilizado para trabajar con conexiones SSH y autenticación
• ftplib: utilizado para trabajar con conexiones FTP y autenticación
• smtplib: utilizado para trabajar con conexiones SMTP (correo electrónico) y autenticación
• fbchat – utilizado para conectarse con Facebook
• selenio: utilizado para raspar la red, que se usa con Instagram (y más tarde con Twitter)
• xmppy : utilizado para conexiones XMPP .

La descarga es simple. git clone https://github.com/ex0dus-0x/brut3k1t

Cambiar al directorio:

cd / path / to / brut3k1t

Hablaremos sobre el uso. Utilizar brut3k1t es más complicado que simplemente ejecutar un archivo de Python, comentan profesionales en seguridad informática. Al escribir python brut3k1t -h muestra el menú de ayuda.

Los investigadores, nos dan algunos ejemplos de su uso, Craqueo del servidor SSH ejecutándose en 192.168.1.3 usando root y wordlist.txt como una lista de palabras.

python brut3k1t.py -s ssh -a 192.168.1.3 -u root -w wordlist.txt

Se establecerá automáticamente el puerto en 22, en caso de ser diferente, especifique con -p indicador.

Cracking email test@gmail.com con wordlist.txt en el puerto 25 con un retraso de 3 segundos. Para el correo electrónico, los expertos dicen que se debe usar la dirección del servidor SMTP. Como ejemplo, Gmail = smtp.gmail.com. Puedes investigar esto con Google.

python brut3k1t.py -s smtp -a smtp.gmail.com -u test@gmail.com -w word list.txt -p 25 -d 3

Cracking XMPP test@creep.im con wordlist.txt en el puerto 5222. XMPP es similar a SMTP, deberá proporcionar la dirección del servidor XMPP, creep.im.

python brut3k1t.py -s xmpp -a creep.im -u test -w wordlist.txt

Cracking Facebook es mas complicado, requerirá la ID de usuario objetivo, no el nombre de usuario.

python brut3k1t.py -s facebook -u 1234567890 -w wordlist.txt

Craqueo de Instagram con prueba de nombre de usuario con wordlist.txt y demora de 5 segundos

python brut3k1t.py -s instagram -u test -w wordlist.txt -d 5

Aquí dejaremos algunas notas para tomar en cuenta. Use este artículo para propósito educativo, así como para el código de aprendizaje y las prácticas orientadas a la seguridad.

En el caso donde no se proporciona el indicador de puerto -p, se usará el puerto predeterminado para ese servicio. No es necesario proporcionarlo para Facebook e Instagram, comenta el investigador de seguridad informática.

A falta de el indicador de retraso -d, el retraso predeterminado en segundos será 1.

Expertos dicen que use la dirección del servidor SMTP y la dirección del servidor XMPP para la dirección -a, para SMTP y XMPP, respectivamente.

Algunos protocolos no se basan en el puerto predeterminado. Un servidor FTP puede no estar en el puerto 21.

Read More

MONITOREA CUALQUIER SERVIDOR CON ESTA HERRAMIENTA: YAMOT

Un experto nos explica que yamot es una herramienta de monitoreo de servidores basada en la web creada para entornos pequeños con solo unos pocos servidores. El profesional de seguridad informática también comentó que la herramienta requiere un mínimo de recursos, lo que permite la ejecución en casi todas las máquinas, incluso en las más antiguas. El yamot (Yet Another MOnitoring Tool) funciona mejor con Linux o BSD, ya que Windows no forma parte del alcance del servidor.

Los investigadores dijeron que podría usarlo, por ejemplo, para controlar sus servidores Raspberry Pi que se ejecutan en casa. Solo requiere unos pocos pasos de configuración y luego muestra los datos de medición del servidor más relevantes en su navegador:

• Carga del sistema
• Uso de memoria
• Uptime / Boot Time
• Costos (calculados)
• Batería (por ejemplo, para controlar un dispositivo móvil)
• Fuerza de la señal WiFi
• Temperaturas
• Procesador (núcleos, velocidad, usos, etc.)
• Sistema (Distro, Versión, Arquitectura, etc.)
• Servicios de red (puertos de escucha abiertos)
• Dispositivos de red y direcciones
• Interfaces de red IO (bytes enviados / recibidos)
• Uso del almacenamiento en disco (espacio usado y total)
• Dispositivo de disco IO (bytes leídos / escritos)
• Usuarios conectados (nombre, fecha de inicio de sesión, etc.)

Toda esta información se muestra en tiempo real en una página para ofrecer una visión general sin complicaciones. Si busca algo grande, rico en funciones y escalable, esta no es su herramienta. Para una solución de negocios, los expertos recomiendan Nagios.

La arquitectura está dividida en tres partes:

Componente del servidor

Este componente debe ejecutarse en el sistema del servidor que desea supervisar. Básicamente es un servidor web simple. Por razones de seguridad, tiene acceso de solo lectura al sistema. La autenticación se realiza a través de HTTP Basic Auth, el profesional de seguridad informática recomienda NO utilizarlo en redes que no sean de confianza.

El componente del servidor proporciona solo datos en tiempo real. No hay tareas de fondo cíclico u otras cosas en ejecución que ocupen el procesador / memoria / disco. Si no accede al servidor, no necesitará casi ningún recurso. El servidor está construido con Python3, que necesita ser instalado. El puerto del servidor predeterminado es 9393.

Componente del controlador

Un servidor necesita tener el rol adicional del controlador. El controlador también es solo un servidor web que proporciona una REST-API para administrar la aplicación.

Para este componente, la autenticación también se realiza a través de HTTP Basic Auth, por lo que NO se debe utilizar en redes que no sean de confianza. El controlador está construido con node.js y express.js. Si no los tiene instalados, también puede usar Docker-Image llamada prod. El puerto predeterminado del controlador es 8080.

Componente del cliente

Finalmente, el cliente representa la página web y recibe el servicio del Controlador, en el puerto 8080. El cliente está construido con Angular, algunos Bootstrap CSS y un subconjunto de FontAwesome Icons. Un ciclo de actualización para mostrar datos nuevos, cada 3 segundos por valor predeterminado, genera la solicitud de todos los servidores para obtener actualizaciones de los datos medidos.

Empezando

Antes de la instalación: pruébelo en la ventana acoplable, hay varias imágenes acoplables disponibles. Solo prueba la imagen de demostración para obtener una primera impresión.

Docker

Hay tres imágenes acoplables que siguen varios propósitos. Todas las imágenes deben construirse a partir del archivo docker correspondiente. Solo use los guiones de shell adicionales.

Build: Transpila el código del cliente y del controlador en la carpeta dist en un entorno coherente, no es necesario construir el servidor

Prod: Contiene el controlador y el cliente para un uso productivo, solo agrega el contenedor a la infraestructura de tu docker

Demo: Contiene todos los componentes para mostrar cómo se supone que la aplicación funciona

URL: http: // localhost: 8080 /

Credenciales de acceso:

Nombre de usuario: yamot

Contraseña: test123

El experto en seguridad informática dijo que el contenedor de docker se mide y también un servidor ficticio produce datos aleatorios. Todos los cambios se revertirán en el siguiente inicio del contenedor, por lo que puede probarlo fácilmente.

Read More

APT28 HACKEA LOJACK SOFTWARE Y LOS ANTIVIRUS NO PUEDEN DETECTARLO

Recientemente investigadores encontraron versiones corruptas del software legítimo LoJack que parece haber sido modificado a escondidas para permitir hackers dentro de las empresas que usan el servicio.

Expertos en seguridad informática comentaron que los dominios encontrados dentro de las instancias infectadas de LoJack han estado vinculados previamente a otras operaciones llevadas a cabo por APT28, un grupo de ciberespionaje con sede en Rusia, vinculado a la inteligencia militar de la compañía.

El grupo APT28 parece haber estado difundiendo instancias LoJack contaminadas. El software LoJack, es una aplicación que las empresas o los usuarios instalan en sus dispositivos que funciona como un faro y permite a los propietarios rastrear y localizar dispositivos en caso de robo.

Los profesionales en seguridad informática de Arbor Networks dijeron haber encontraron aplicaciones LoJack que contenían una pequeña modificación en el binario de la aplicación apuntando al agente LoJack a un servidor de comando y control deshonesto (C & C).

Esto nos dice que en lugar de informar al servidor LoJack central, los agentes de LoJack informaron y recibieron instrucciones de los dominios bajo el control de APT28.

Los investigadores también comentaron que no pudieron encontrar ninguna evidencia de que APT28 usara LoJack para entrar en los sistemas de las víctimas y robar datos, aunque no descarta que esto ya haya ocurrido.

Por la forma en que se construye el agente LoJack, son los troyanos de puerta trasera perfectos, los atacantes tienen acceso a una pieza de software que viene con un potente sistema de persistencia incorporado que permite a LoJack sobrevivir a reemplazos de disco duro y al sistema operativo (SO) de imágenes, también tiene la capacidad de ejecutar cualquier código en el sistema del objetivo, con los mayores privilegios posibles.

Esta característica permite a APT28 descargar otro malware, buscar datos confidenciales, filtrar datos robados a servidores remotos, borrar registros de cualquier artefacto de intrusión e incluso borrar o dañar dispositivos infectados.

Profesionales dijeron que ya que la modificación de los binarios LoJack viciados es extremadamente pequeña, hecha a un archivo de configuración, la mayoría de los escáneres antivirus no distinguen estas versiones contaminadas como maliciosas.

“Con una baja detección AV, el atacante tiene un ejecutable oculto a la vista, un agente doble”, explicaron los expertos en seguridad informática de Arbour en un informe. “El atacante solo necesita pararse en un servidor C2 deshonesto que simula los protocolos de comunicación de LoJack”.

Las versiones de LoJack contaminadas probablemente sean distribuidas a través de spear-phishing. Los investigadores aun no han podido identificar cómo APT28 distribuyó estos binarios LoJack contaminados a los objetivos, pero creen que los hackers usaron correos electrónicos de spear phishing para engañar a las víctimas y así instalar las versiones maliciosas de LoJack en sus sistemas.

Los investigadores creen que APT28 podría haberse inspirado en una charla de Black Hat de 2014, cuando los profesionales exploraron la idea de utilizar el software LoJack como una puerta trasera extremadamente modular y persistente.

Read More

HACKEAR CUALQUIER RED INALÁMBRICA USANDO UNA HERRAMIENTA PODEROSA: HIJACKER

Para comenzar, los expertos nos explican que Hijacker es una interfaz gráfica de usuario para las herramientas de prueba de penetración Aircrack-ng, Airodump-ng, MDK3 y Reaver. Esta aplicación ofrece una interfaz de usuario simple y fácil para usar las herramientas sin escribir comandos en una consola y copiar y pegar direcciones MAC.

Los profesionales en seguridad informática comentan que esta aplicación requiere un dispositivo Android ARM con un adaptador inalámbrico interno que admita el modo de monitor. Algunos dispositivos Android lo pueden hacer, pero ninguno de ellos de forma nativa. Esto significa que necesitará un firmware personalizado. Un dispositivo que use el conjunto de chips BCM4339 (MSM8974, como Nexus 5, Xperia Z1 / Z2, LG G2, LG G Flex, Samsung Galaxy Note 3) funcionará con Nexmon. También los dispositivos que usan BCM4330 pueden usar bcmon.

Una alternativa que dan los expertos es usar un adaptador externo que admita el modo de monitor en Android con un cable OTG.

Las herramientas necesarias están incluidas para los dispositivos armv7l y aarch64 a partir de la versión 1.1. El controlador Nexmon y la utilidad de administración para BCM4339 y BCM4358 están incluidos.

Los investigadores de seguridad informática dicen que el acceso raíz también es necesario, ya que estas herramientas necesitan una raíz para funcionar.

Características

Recopilación de información

• Vea una lista de puntos de acceso y estaciones (clientes) a su alrededor incluso los ocultos
• Ver la actividad de una red específica midiendo beacons y paquetes de datos, y sus clientes
• Estadísticas sobre puntos de acceso y estaciones
• Consulte al fabricante de un dispositivo desde la base de datos OUI
• Vea la potencia de señal de los dispositivos y filtre los que están más cerca de usted
• Guarde los paquetes capturados en el archivo .cap

Ataques

• Desautenticar a todos los clientes de una red, ya sea para cada uno de ellos o sin un objetivo específico
• Desautenticar a un cliente específico de la red a la que está conectado
• MDK3 Beacon Flooding con opciones personalizadas y lista SSID
• DoS de Autenticación MDK3 para una red específica o para cada AP cercano
• Capture un apretón de manos WPA o junte IV para romper una red WEP
• Reaver WPS cracking

Otro

• Deje la aplicación ejecutándose en segundo plano, opcionalmente con una notificación
• Copie comandos o direcciones MAC al portapapeles
• Incluye las herramientas necesarias, sin necesidad de instalación manual
• Incluye el controlador Nexmon, biblioteca requerida y utilidad de administración para dispositivos BCM4339 y BCM4358
• Establecer comandos para habilitar y deshabilitar el modo de monitor automáticamente
• Agrietar archivos .cap con una lista de palabras personalizada
• Cree acciones personalizadas y ejecútelas fácilmente en un punto de acceso o cliente
• Ordenar y filtrar puntos de acceso y estaciones con muchos parámetros
• Exportar toda la información recopilada a un archivo
• Agregue un alias persistente a un dispositivo para una identificación más fácil

Para la instalación, los expertos comentan que debe asegurarse de que:

• estás en Android 5+
• está rooteado, se requiere SuperSU, si está en CM / LineageOS instale SuperSU
• usted tiene un firmware para admitir el modo monitor en su interfaz inalámbrica

Siempre que ejecuta Hijacker por primera vez, se le preguntará si desea instalar el firmware de Nexmon o ir a la pantalla de inicio. Si ha instalado su firmware o utiliza un adaptador externo, puede ir a la pantalla de inicio. De lo contrario, y si su dispositivo es compatible, haga clic en ‘Instalar Nexmon’ y luego ‘Instalar’. Enseguida, aterrizarás en la pantalla de inicio y se iniciará el airodump. Los profesionales de seguridad informática dicen que debes asegúrate de haber habilitado tu WiFi y está en modo monitor.

También es importante saber que en algunos dispositivos, cambiar los archivos en / system podría desencadenar una función de seguridad de Android y la partición de tu sistema se restaurará cuando reinicies el sistema.

Para la solución de problemas. Esta aplicación está diseñada y probada para dispositivos ARM. Todos los binarios incluidos están compilados para esa arquitectura y no funcionarán en ninguna otra cosa. Puede verificar si su dispositivo es compatible en Configuración: si tiene la opción de instalar Nexmon, entonces está en la arquitectura correcta, de lo contrario tendrá que instalar todas las herramientas manualmente (busybox, aircrack-ng suite, mdk3, reaver, herramientas inalámbricas, biblioteca libfakeioctl.so) en un directorio accesible PATH y establecer la opción ‘Prefijo’ para las herramientas para pre cargar la biblioteca que necesitan: LD_PRELOAD = / ruta / a / libfakeioctl.so.

En configuración, encontrara una opción para probar las herramientas. Si algo falla, puede hacer clic en ‘Copiar comando de prueba’ y seleccionar la herramienta que falla. Esto copiará un comando de prueba en su portapapeles, que puede ejecutar manualmente en un shell raíz y ver qué está mal. EN el caso donde todas las pruebas pasan y aún tienes un problema, no dudes en abrir un problema aquí para solucionarlo, o utiliza la opción “Enviar comentarios” en la configuración de la aplicación.

Si la aplicación llegara a fallar, se iniciará una nueva actividad que generará un informe de errores en su almacenamiento externo y le dará la opción de enviarlo por correo electrónico. El informe se muestra en la actividad para que pueda ver exactamente lo que se enviará, comentan investigadores de seguridad informática.

Tenga en cuenta que Hijacker es solo una GUI para estas herramientas. La forma en que ejecuta las herramientas es bastante simple, y si todas las pruebas pasan y usted está en modo monitor, debería obtener los resultados que desea. Los profesionales de seguridad informática nos dicen que también tenga en cuenta que estas son herramientas de auditoría. Esto significa que se utilizan para probar la integridad de su red, por lo que existe la posibilidad de que los ataques no funcionen en su red. Esto no es culpa de la aplicación, en realidad es algo de lo que estar contento.

Read More