Muy poderoso HanJuan Exploit Kit

Según profesionales de seguridad informática en México, servicios de acortamiento de URL son a menudo empleados por los delincuentes cibernéticos para pasar enlaces maliciosos en México. La organización International Institute of Cyber Security que también proporciona servicios de hacking ético en México señaló que la campaña de publicidad (HanJuan) maliciosa está diseñado para no explotar el enlace corto pero un anuncio embebido dentro del servicio Ad.fly. Por lo tanto, la publicidad maliciosa ocurre y el usuario esta redirigido al kit de exploit.

El ataque comienza con la explotación del servicio Ad.fly. Básicamente, el acortador utiliza la publicidad intersticial. Intersticiales son páginas web que se muestran al usuario antes o después de que lo alcanza el contenido deseado. Por lo general, intersticiales son controladas por un servidor de anuncios.

Campaña maliciosa similares al HanJuan exploit kit también conocida como Troya Timba y Fobber indico experto de seguridad en la nube en México. El servicio de publicidad - Ad.fly ha sido comprometido y explotado para vincular a los usuarios a una pieza de software malicioso diseñado para la conseguir detalles de inicio de sesión. Puede considerar el ataque como ataque de man-in-the-middle ya que el navegador del usuario tiene mucha información de diversas credenciales.

Los investigadores de seguridad informática en México de iicybersecurity dicen que esta publicidad maliciosa se encuentra en algunos sitios web famosos, entre ellos algunos son:

dailymotion.com

theblaze.com

nydailynews.com

tagged.com

webmail.earthlink.net

mail.twc.com

my.juno.com

La amenaza es un ataque de drive-by download que ocurre en cuestión de segundos y no requiere la interacción del usuario, es decir, no se requiere un clic para infectarse. Normalmente, un drive-by download es muy sencillo a menos que se trata de Java o falle el navegador. En el caso de Flash, que es completamente transparente y el usuario no sabría nada de ese ataque.

El sistema de redirección maliciosa de exploit kit es bastante sofisticado, como se indica investigadores de seguridad en la nube. Las primeras sesiones cargan el anuncio intersticial a través de una nota publicitaria de JavaScript codificada: Una vez cargado el kit HanJuan, Flash Player e Internet Explorer son despedidos antes de cargar el payload en el disco duro. La vulnerabilidad explotada en Flash Player es CVE-2015-0359, y el de IE - CVE-2014-1776. Cada uno puede ser empleado, dependiendo del perfil del usuario. Además, la carga útil más probable contiene varias capas de cifrado - tanto en el propio binario y las comunicaciones C & C, por lo que toda la campaña malicioso es muy complejo.

Para estar protegido contra la explotación de los kits, los usuarios pueden seguir algunos consejos de seguridad de Mike Stevens profesional de hacking ético en México, tales como:

• Actualizar frecuentes Java, los productos de Adobe, Silverlight y Flash.

• Apague Java y Flash cuando no se necesita.

• Implementar un programa de aplicación de parches.

• Mantener una solución anti-malware.

Para las organizaciones la punta de seguridad importante es:

• Eliminar o restringir los derechos de nivel de administrador para los empleados no expertos.

Para asegurarse de que el equipo no se ha afectado por el HanJuan EK, realiza un análisis completo de los sistemas, se recomienda experto de iicybersecurity.

Read More

Cómo prevenir la infección de malware como Criptlocker, Ransomware sin ayuda de antivirus

Puede prevenir contra malware como CryptoWall, TeslaCrypt, Alpha Crypt, CryptoDefense, Locker, Ransomware con ayuda de Políticas de restricción de software fácilmente según profesionales de servicios de seguridad informática. Directivas de restricción de software (SRP) nos permiten prevenir ejecución de software o malware través de políticas de grupo de la red. Vamos a implementar directivas de restricción de software (SRP) para bloquear los archivos ejecutables como de Ransomware o Locker malware en los áreas específicos acuerdo con capacitación de hacking ético en México. Cualquier administrador de la red puede implementar políticas de grupo junto con SRP. Eso le daría más control sobre los software que un usuario de la de red puede instalar.

Explica un experto de forense digital que para abrir el Editor de políticas de seguridad local, haga clic en el botón Inicio y escriba directiva de seguridad local y seleccione el resultado de la búsqueda que aparece.

Expanda Configuración de seguridad y, a continuación, haga clic en la sección de Políticas de restricción de software. Si usted no ve los artículos en el panel derecho, como se muestra arriba, usted tendrá que añadir una nueva política. Para ello haga clic en el botón Acción y seleccione nuevas políticas de restricción de software. Esto luego habilitar la política y el panel derecho aparecerá como en la imagen de arriba. A continuación, debe hacer clic en la categoría Reglas adicionales y haga clic en el panel derecho y seleccione Regla de nueva ruta. A continuación, debe agregar una regla de ruta para cada uno de los elementos que se enumeran a continuación.

A continuación se presentan algunas reglas de ruta que se sugieren se utiliza no sólo para bloquear las infecciones por correr, sino también para bloquear los archivos adjuntos de ser ejecutado cuando se abre en un cliente de correo electrónico.

Vamos a crear las reglas que alcanzarán al software sobre el que desea aplicar una restricción.

Bajo regla de nueva ruta, introduzca %AppData%\*. Exe.

En nivel de seguridad: seleccione ‘no permitido’.

Ingrese una descripción No permita que los ejecutables que se ejecuten desde %AppData%.

Bajo regla de nueva ruta, introduzca %ProgramData%\*. Exe.

En nivel de seguridad: seleccione ‘no permitido’.

Ingrese una descripción No permita que los ejecutables que se ejecuten desde %ProgramData%.

Bajo regla de nueva ruta, introduzca %LocalAppData%\*. Exe por Windows 7/8/Vista.

%UserProfile%\ Configuración \*.exe por Windows XP.

En nivel de seguridad: seleccione ‘no permitido’.

Ingrese una descripción No permita que los ejecutables que se ejecuten desde %LocalAppData%.

Bajo regla de nueva ruta, introduzca %LocalAppData%\Temp\Rar*\*.exe por Windows 7/8/Vista.

%UserProfile%\Configuración\Temp\Rar*\*.exe por Windows XP.

En nivel de seguridad: seleccione ‘no permitido’.

Ingrese una descripción No permita que los ejecutables que se ejecuten desde WinRAR.

Bajo regla de nueva ruta, introduzca %LocalAppData%\Temp\7z*\*.exe por Windows 7/8/Vitsa.

%UserProfile%\Configuración\Temp\7z*\*.exe por Windows XP.

En nivel de seguridad: seleccione ‘no permitido’.

Ingrese una descripción No permita que los ejecutables que se ejecuten desde 7zip.

Bajo regla de nueva ruta, introduzca %LocalAppData%\Temp\wz*\*.exe por Windows 7/8/Vitsa.

%UserProfile%\Configuración\Temp\wz*\*.exe por Windows XP.

En nivel de seguridad: seleccione ‘no permitido’.

Ingrese una descripción No permita que los ejecutables que se ejecuten desde Winzip.

Bajo regla de nueva ruta, introduzca %LocalAppData%\Temp\*.zip\*.exe por Windows 7/8/Vitsa.

%UserProfile%\Configuración\Temp\*.zip\*.exe por Windows XP.

En nivel de seguridad: seleccione ‘no permitido’.

Ingrese una descripción No permita que los ejecutables que se ejecuten desde Windows Zip .

Es posible que algunas aplicaciones legítimas ya no funcionen. Esto se debe a que algunas compañías instalan erróneamente sus aplicaciones bajo perfil de un usuario en lugar de en la carpeta de programa al que pertenecen profesionales de servicios de seguridad informática. Debido a esto, las directivas de restricción de software evitarán aquellas aplicaciones que se ejecute.

Si una directiva de restricción de software está bloqueando un programa legítimo, usted tendrá que crear una regla de ruta para el ejecutable de un programa concreto y establezca el nivel de seguridad como todo permitido.

Mike Stevens, profesor de capacitación de hacking ético menciona que hay nuevo kit de solucionar problema de Ransomware y es disponible para todos. Pueden leer más sobre ransomware removal kit aquí.

Read More