¿CÓMO GENERAR FÁCILMENTE UNA PUERTA TRASERA PARA LINUX, WINDOWS, MAC Y EVITAR EL ANTIVIRUS?

Una puerta trasera es un medio de acceso a un programa informático que evita los mecanismos de ciberseguridad. Un programador de ciberseguridad algunas veces puede instalar una puerta trasera para que se pueda acceder al programa para solucionar problemas de ciberseguridad o para otros fines. Sin embargo, los atacantes suelen utilizar puertas traseras que se detectan o se instalan, como parte de una vulnerabilidad.

En este artículo vamos a discutir una herramienta con la ayuda de expertos de cloud security de iicybersecurity IICS. La herramienta se llama TheFatRat que puede ser utilizada para generar una puerta trasera para Linux, Windows, Mac y evitar AntiVirus.

Según expertos de ciberseguridad y cloud security, TheFatRat es una herramienta fácil de generar puerta trasera con msfvenom (una parte de metasploit Framework). Esta herramienta recopila un malware con una carga útil popular y luego el malware compilado se puede ejecutar en Windows, Mac, Android. El malware que se crea con esta herramienta también tiene la capacidad de pasar por alto la mayor parte de protección de software de Anti Virus. Según su creadores y expertos de ciberseguridad, la puerta trasera, se ejecuta automáticamente si la victima desactiva el uac (user acces control).

UAC es una característica de ciberseguridad de Windows Vista, Windows 7 y Windows 8, que ayuda a evitar cambios no autorizados en el equipo. Estos cambios pueden ser iniciados por aplicaciones, virus u otros usuarios. User Account Control se asegura de que estos cambios se realizan sólo con la aprobación por parte del administrador. Si los cambios no han sido aprobados por el administrador, ellos no se ejecutan y Windows se mantiene sin cambios. Es como si nada hubiera pasado menciona experto de cloud security.

La herramienta de ciberseguridad revisa el servicio de Metasploit y se inicia si no está presente y pueden crear fácilmente meterpreter reverse_tcp playloads para Windows, Linux, Android y Mac.

TheFatRat ha sido creado para hacer frente a los problemas generales que enfrentan los profesionales de ciberseguridad y cloud security. La herramienta se puede iniciar varias meterpreter reverse_tcp listners y hacer una búsqueda rápida en searchsploit.

Los expertos de ciberseguridad han estado utilizando esta herramienta para eludir antivirus, ejecutar Auto run script para los listeners.

Esta herramienta es parte de sistema operativo hacking ético, Dracos Linux

REQUERIMIENTOS

§  Un sistema operativo Linux. Expertos en ciberseguridad recomiendan Kali Linux 2 o Kali 2.016,1 rolling / Cyborg / Parrot / Dracos / BackTrack / Blackbox / y otro sistema operativo (Linux)

§  Debe instalar metasploit Framework

https://youtu.be/wCzsD6vt9CQ?list=PLbyfDadg3caj6nc3KBk375lKWDOjiCmb8

https://youtu.be/wCzsD6vt9CQ?list=PLbyfDadg3caj6nc3KBk375lKWDOjiCmb8

Read More

¿CÓMO MONITOREAR EL TRÁFICO DE RED EN LINUX?

ayuda de expertos de ethical hacking y test de intrusión, en este artículo menciona algunas herramientas de línea de comandos de Linux que se pueden utilizar para monitorear el tráfico de red. Estas herramientas supervisan el tráfico que fluye a través de las interfaces de red y miden la velocidad a la que se están transfiriendo datos. El tráfico entrante y saliente se muestra por separado. Algunos de los comandos muestran el ancho de banda utilizado por los procesos individuales. Esto hace que sea fácil de detectar un proceso que este sobre utilizando en el ancho de banda de la red durante test de intrusión.

Aquí está una lista de los comandos, ordenadas según sus características

NLOAD

Nload es una herramienta de línea de comandos que permite a los usuarios controlar el tráfico entrante y saliente por separado. Que también atrae hacia afuera a un gráfico para indicar el mismo, la escala de los cuales se puede ajustar. Según curso de ethical hacking es muy fácil y sencillo de utilizar, y no es compatible con muchas opciones.

$ sudo apt-get install nload $ nload

IFTOP

Iftop mide los datos que fluyen a través de conexiones de socket individuales, y funciona de una manera diferente de Nload. Aunque iftop informa el ancho de banda utilizado por las conexiones individuales, no puede informar nombre / identificación del proceso involucrados en la conexión de socket en particular. Sin embargo, basándose en la biblioteca pcap, iftop es capaz de filtrar el tráfico de ancho de banda e informar sobre las conexiones de host seleccionados según lo especificado por el filtro.

$ sudo apt-get install iftop $ sudo iftop -n

Según consultores de test de intrusión, la opción n previene a iftop de resolver direcciones IP a nombre del host, lo que causa tráfico de la red adicional a sí mismo.

IPTRAF

Iptraf es un monitor de LAN interactivo y colorido. Muestra las conexiones individuales y la cantidad de datos que fluyen entre los anfitriones y es usado por experto de ethical hacking. Aquí está una captura de pantalla

$ sudo apt-get install iptraf iptraf-ng $ sudo iptraf

NETHOGS

Nethogs es una pequeña herramienta de ‘net top’ que muestra el ancho de banda utilizado por los procesos individuales y ordena la lista poniendo los procesos más intensivos en la parte superior. En el caso de un repentino aumento de ancho de banda, de forma rápida abre nethogs y encuentra el proceso responsable explican expertos de ethical hacking y test de intrusión. Nethogs informa de PID, el usuario y la ruta de acceso del programa.

$ sudo apt-get install nethogs $ sudo nethogs

SLURM

Slurm es otro monitor de carga de red que muestra las estadísticas del dispositivo junto con un gráfico ASCII. Es compatible con 3 estilos diferentes de cada uno de los gráficos que se pueden activar. Simple en funciones, slurm no muestra más detalles sobre la carga de la red.

$ sudo apt-get install slurm $ slurm -s -i eth0  

TCPTRACK

Tcptrack es similar a iftop, y utiliza la biblioteca pcap para capturar paquetes y calcular varias estadísticas como el ancho de banda utilizado en cada conexión explican expertos de ethical hacking y test de intrusión. También es compatible con los filtros pcap estándar que pueden ser utilizados para controlar las conexiones específicas.

$ sudo apt-get install tcptrack

VNSTAT

VnStat es poco diferente de la mayoría de las otras herramientas menciona Mike Stevens experto de test de intrusión de International Institute of Cyber Security. Esto realmente ejecuta un servicio en segundo plano / daemon y sigue grabando el tamaño de la transferencia de datos todo el tiempo. A continuación puede ser utilizado para generar un informe de la historia de uso de la red. VnStat es más como una herramienta para obtener informes históricos de cuánto ancho de banda se utiliza todos los días o durante el mes pasado. No es estrictamente una herramienta para el monitoreo de la red en tiempo real.

$ sudo apt-get install vnstat

BWM-NG

BWM-ng (Bandwidth Monitor Next Generation) es otro monitor de carga de la red en tiempo real muy simple que reporta un resumen de la velocidad a la que se están transfiriendo datos dentro y fuera de todas las interfaces de red disponibles en el sistema.

$ bwm-ng

CBM – COLOR BANDWIDTH METER

Un diminuto monitor simple de ancho de banda que muestra el volumen de tráfico a través de las interfaces de red. No hay más opciones, sólo las estadísticas de tráfico son la pantalla y actualizado en tiempo real.

$ sudo apt-get install cbm

SPEEDOMETER

Otra herramienta pequeña y sencilla que simplemente extrae buenos gráficos en busca de tráfico entrante y saliente durante test de intrusión a través de una interfaz dada.

$ sudo apt-get install speedomete $ speedometer -r eth0 -t eth0

PKTSTAT

Pktstat muestra todas las conexiones activas en tiempo real, y la velocidad a la que se están transfiriendo datos a través de ellos y es usado por expertos de ethical hacking. También muestra el tipo de la conexión.

$ sudo apt-get install pktstat $ sudo pktstat -i eth0 -nt

NETWATCH

Netwatch es parte de la colección de herramientas netdiag, y también muestra las conexiones entre el anfitrión local y otros equipos remotos, y la velocidad a la que se transfieren datos en cada conexión durante test de intrusión.

$ sudo apt-get install netdiag $ sudo netwatch -e eth0 –nt

TRAFSHOW

Esto informa de las conexiones activas actuales, su protocolo y la velocidad de transferencia de datos en cada conexión. Sólo monitorea las conexiones TCP

$ sudo apt-get install netdiag $ sudo trafshow -i eth0 tcp

NETLOAD

El comando Netload simplemente muestra un pequeño informe sobre la carga de tráfico actual y el número total de bytes transferidos desde el inicio del programa.

$ sudo apt-get install netdiag $ netload eth0

DSTAT

Dstat es una herramienta versátil (escrito en Python por expertos de ethical hacking) que puede controlar diferentes estadísticas del sistema e informar de ellas en un modo de estilo de lotes o registrar los datos a un archivo CSV o similar. Este ejemplo muestra cómo utilizar dstat para reportar el ancho de banda de la red durante test de intrusión.

$ sudo apt-get install dstat$ dstat -nt

COLLECTL

Collectl informa de las estadísticas del sistema en un estilo y se recoge estadísticas sobre los diversos diferentes recursos del sistema como CPU, memoria, red, etc.

$ sudo apt-get install collectl$ collectl -sn -oT -i0.5

Read More

IMPORTANCIA DE DESTRUCCIÓN SEGURA DE DOCUMENTOS Y MEDIOS ELECTRÓNICOS

La destrucción de documentos en papel y medios electrónicos es una parte importante de cualquier programa de gestión de registros. Pero la rutina constante de permanecer compatible con las leyes de protección de la vida privada puede también drenar la productividad del personal. Aquí hablamos de las mejores prácticas, más eficientes y seguras para la destrucción de documentos impresos y medios electrónicos.

Los registros en papel

En teoría, en la casa de destrucción de papel debería ser simple, pero las destructoras de papel no hacen el trabajo más fácil. Las trituradoras de papel de oficina no son las piezas más eficientes de los equipos; son lentas, temperamentales y poco confiables. Sólo unas cuantas hojas de papel pueden ser arrojadas a través de la trituradora a la vez. Los atascos de papel son comunes. Además, el receptáculo de trituración necesita ser vaciado demasiado frecuente. Entonces usted tiene que quitar todos los elementos que van junto con los archivos de papel y eso mismo por todas las empresas menciona experto de de destrucción de papel.

Un servicio profesional de trituración y destrucción de papel ofrece una solución para la eliminación de esta tarea y la racionalización de todo el proceso de destrucción de documentos. Los contenedores de recogida de seguros están colocados en su oficina. Los empleados de depósito de archivos sin tener que quitar grapas, clips, etc., y de forma programada o cuando sea necesario, los contenedores se recogen y se tritura todo el material recolectado. Las trituradoras de papel industriales, incluso destruyen los artículos que no son de papel y están unidos al sus archivos.

Según expertos de destrucción de documentos confidenciales, por desgracia, el borrado o la desinfección los medios de comunicación no son suficientes para garantizar que sus datos se han ido para siempre. Para garantizar la privacidad de la información, estos métodos deben combinarse con la destrucción física.

En primer lugar, los medios de comunicación se desmagnetizan y erradican, borrando todos los datos desde el dispositivo. En segundo lugar, un proceso de deslaminación se utiliza para separar el material de soporte de datos desde el disco. Por último, los medios de comunicación se trituran en partículas más pequeñas. En conjunto, estos procesos eliminan la posibilidad de que sus datos estén comprometidos.

Tenga en cuenta que no todos los proveedores de trituración y destrucción de papel integran la desmagnetización, deslaminación y trituración en su proceso de destrucción de documentos, así que asegúrese de elegir un proveedor de destrucción de documentos que incorpora estos pasos.

Read More

¿CÓMO HACKEAR LA RED WPA EMPRESARIAL CON AIR-HAMMER?

Ataques de fuerza bruta en línea contra la red WPA empresarial que parecen ser pasadas por alto, si no desconocidas, en la literatura actual sobre la seguridad de la red inalámbrica y en la comunidad de seguridad o pentesting en general. Aunque la red WPA empresarial a menudo se considera “más seguro” que WPA-PSK, que también tiene una superficie de ataque mucho más grande según expertos de pruebas de penetración. Mientras que las redes WPA-PSK sólo tienen una contraseña válida, puede haber miles de combinaciones de nombre de usuario y una contraseña válida que conceda acceso a una única red WPA empresarial. Acuerdo a reportes de pentesting, las contraseñas utilizadas para acceder a red WPA empresarial están comúnmente seleccionadas por los usuarios finales, muchos de los cuales seleccionan contraseñas extremadamente comunes.

 

CÓMO FUNCIONA EL AIR HAMMER

Air Hammer requiere como mínimo los siguientes parámetros para un hacer ataque:

§  La interfaz inalámbrica para ser utilizada

§  El nombre de la red (SSID) de la red inalámbrica esté a la que está destinada durante pruebas de penetración.

§  Una lista de nombres de usuario objetivo

§  Una contraseña o una lista de contraseñas para ser analizados para cada nombre de usuario

Air Hammer entonces intenta la autenticación en la red objetivo al tratar la contraseña proporcionada con cada nombre de usuario en la lista. Si se proporciona más de una contraseña, cada nombre de usuario es intentado con la primera contraseña antes de pasar a la siguiente contraseña.

Los expertos de pentesting han creado Air Hammer y dicen que interactuar con los nombres de usuario en lugar de las contraseñas es ventajoso porque:

1.    Hay una probabilidad mucho más alta que podamos adivinar la contraseña de al menos uno, de entre todos los usuarios de la organización que la probabilidad de que podemos adivinar la contraseña de un usuario único, específico en la organización.

2.    Debido a la cuenta de políticas de bloqueo comúnmente en su lugar, es posible hacer muchas veces más intentos de conexión dentro de un plazo determinado mediante la difusión de ellas a través de múltiples cuentas de usuario.

Después se descubrió un conjunto válido de credenciales, el nombre de usuario y la contraseña se muestran en la pantalla. En función de los parámetros utilizados, las credenciales opcionalmente se pueden guardar en un archivo de salida, y el ataque puede ser terminado en el primer éxito o permitido que continúe.

CADENA DE ATAQUE TÍPICO DURANTE PENTESTING

La cadena de ataque típico durante pentesting para los ataques realizados con Aire-Hammer es la siguiente:

Identificar la red de destino y el mecanismo de autenticación en uso. La versión actual del Air Hammer sólo es compatible con PEAP / MSCHAPv2. Los investigadores de pruebas de penetración añadirán los mecanismos de autenticación adicionales en versiones futuras.

Generar una lista de nombres de usuario para su uso en el ataque. Identificar el formato de nombre de usuario utilizado por la organización. Las fuentes posibles incluyen:

§  Los nombres de usuarios almacenados dentro de los metadatos de los archivos disponibles en el sitio web de la empresa.

§  La primera mitad de direcciones de correo electrónico corporativo. (La parte antes de la “@”).

§  Los nombres de usuario capturados durante un ataque “Evil Twin” de la red destino.

§  Hacer una lista de los nombres y apellidos de los mayoria de los empleados de la organización como sea posible. Las fuentes posibles: 1. El sitio web empresarial 3. Data.com 3. LinkedIn

§  El uso de la información obtenida de los pasos anteriores durante pentesting, generara una lista de nombres de usuarios potenciales.

Uso de Air-Hammer para descubrir las credenciales válidas.

Uso de credenciales descubierto para acceder a la red inalámbrica.

Muchas empresas de pentesting usan herramientas como de Air Hammer para hacer pruebas de penetración. Los expertos de pentesting de IICS International Institute of Cyber Security mencionan que desde credenciales la empresa WPA que son a menudo de dominio de las credenciales del usuario, utilice las credenciales descubiertas para acceder a sistemas adicionales en la red interna e iniciar ataques adicionales.

 

https://github.com/Wh1t3Rh1n0/air-hammer/

Read More

¿CÓMO DETECTAR SI LA RED EMPRESARIAL HA SIDO HACKEADO?

IOC (indicator of compromise) – una lista de datos de amenazas (por ejemplo, secuencias que definen las rutas de archivos o claves de registro) que pueden utilizarse para detectar una amenaza en la infraestructura mediante el análisis basado en software automatizado de ethical hacking.

Simples escenarios de ciberseguridad de uso del IOC implican localizar el sistema de archivos específicos usando una variedad de criterios de búsqueda: hash MD5, nombres de archivo, fecha de creación, tamaños y otros atributos. Además, la memoria puede ser buscada por diversos signos específicos de la amenaza y en registros de Windows pueden buscar registros específicos según expertos de ethical hacking de International Institute of Cyber Security.

Estos datos se pueden presentar en una variedad de formatos. Los diferentes formatos permiten que los datos se importen en diferentes soluciones de ciberseguridad y ethical hacking para proporcionar el tratamiento posterior de los indicadores. Un administrador de ethical hacking puede integrar IOCs tomado de los reportes en soluciones de ciberseguridad tales como:

§  Las soluciones de Endpoint Security

§  SIEM

§  IDS/IPS

§  HIDS/HIPS

§  Herramienta de investigación de ethical hacking sobre varios incidentes

Hay muchas soluciones comerciales de ciberseguridad para trabajar con IOC, pero en muchos casos las capacidades de los programas de código abierto similares son suficientes para comprobar en sistema en busca de signos de infección. Un ejemplo es Loki.

Loki es un sencillo y gratuito IOC scanner. Estos indicadores se pueden derivar de los informes de incidentes publicados, los análisis forenses o colecciones de muestras de malware en su laboratorio.Creado por expertos de ethical hacking, LOKI ofrece una forma sencilla de escanear tus sistemas de IOCs conocidos.

Es compatible con estos diferentes tipos de indicadores:

§  Hash MD5 / SHA1 / SHA256

§  Reglas de Yara (aplicado al archivo de datos y memoria de proceso)

§  Los nombres de archivo Hard indicador basados en la expresión regular

§  Los nombres de archivo Soft indicador basado en expresiones regulares

LOKI cuenta con algunas de las reglas más eficaces tomadas de los conjuntos de reglas de Thor APT escáner. Los expertos de ethical hacking, decidieron integrar una gran cantidad de reglas WebShell ya que incluso los mejores antivirus no pueden detectar la mayoría de ellos.

La base de firmas IOC no está cifrada o se almacena en un formato de propietario. Puede editar la base de firmas de por ti mismo y añadir tu propio IOCs. Ten en cuenta que los atacantes también pueden tener acceso a estas reglas en los sistemas de destino si usas el escáner y dejas el paquete en un sistema comprometido.

Puedes añadir fácilmente tus propios valores hash, las características de nombre de archivo y las normas de Yara para los conjuntos de reglas que vienen con él. Y por estos razones muchas empresas de de ciberseguridad usan productos como Loki. Otro escenario es el uso en un laboratorio forense. Escanear imágenes montadas con LOKI para identificar amenazas de ciberseguridad conocidas utilizando las definiciones proporcionadas por IOC.

Al final de la exploración LOKI genera un resultado de la exploración. Este resultado puede ser:

§  El sistema parece estar limpio.

§  ¡Objetos sospechosos detectados!

§  ¡Indicadores detectados!

Read More

LYNIS: HERRAMIENTA DE AUDITORÍA DE SEGURIDAD PARA UNIX/LINUX SYSTEMS

Lynis es una herramienta de auditoría de seguridad de código abierto. Utilizado por los administradores de sistemas, profesionales de pentesting, y los auditores, para evaluar la ciberseguridad de sus sistemas Linux y UNIX. Se ejecuta en el propio host, de forma que realice análisis de pentesting y ciberseguridad más amplios que escáneres de vulnerabilidades.

SISTEMAS OPERATIVOS COMPATIBLES

La herramienta de pentesting y ciberseguridad casi no tiene dependencias, por lo que se ejecuta en casi todos los sistemas y versiones basadas en Unix, incluyendo:

§  AIX

§  FreeBSD

§  HP-UX

§  Linux

§  Mac OS

§  NetBSD

§  OpenBSD

§  Solaris

§  and others

Incluso puede funcionar en sistemas como el Raspberry Pi y varios dispositivos de almacenamiento!

¿CÓMO FUNCIONA?

Lynis lleva a cabo cientos de pruebas de pentesting individuales, para determinar el estado de ciberseguridad del sistema. El análisis de ciberseguridad en sí consiste en realizar una serie de pasos, desde la inicialización del programa, hasta el informe.

PASOS

1.    Determinar sistema operativo

2.    Búsqueda de herramientas y utilidades disponibles

3.    Buscar actualizaciones Lynis

4.    Ejecutar pruebas de plugins

5.    Ejecutar pruebas de pentesting por categoría

6.    Informe del estado del análisis de ciberseguridad

Además de los datos que se muestran en la pantalla, todos los detalles técnicos de la exploración se almacenan en un archivo de registro. Cualquier resultado (advertencias, sugerencias, la recopilación de datos) se almacena en un archivo de informes. Lynis es una de las herramientas enseñada por los expertos de pentesting.

ESCANEO OPORTUNISTA

El escaneo lynis es oportunista: utiliza lo que se puede encontrar.

Por ejemplo, si ve que está ejecutando Apache, se llevará a cabo una ronda inicial de pentesting relacionadas con Apache. Si durante el escaneo Apache también descubre una configuración de SSL / TLS, se llevarán a cabo pasos adicionales de auditoría al respecto.

LOS ESCANEOS DE CIBERSEGURIDAD A PROFUNDIDAD

Mediante la realización de la exploración oportunista, la herramienta puede funcionar con casi ninguna dependencia. Cuanto más encuentra, más profunda la prueba de pentesting será. En otras palabras, siempre Lynis realizará exploraciones, personalizadas a tu sistema.

CASOS DE USO

Según expertos de ciberseguridad, Lynis es flexible, se utiliza con varios fines diferentes. Casos de usos típicos para Lynis incluyen:

§  La auditoría de ciberseguridad

§  Pruebas de cumplimiento (por ejemplo, PCI, HIPAA, SOX)

§  Detección de la vulnerabilidad y la digitalización

§  Endurecimiento de sistema

LOS RECURSOS UTILIZADOS PARA LAS PRUEBAS

Muchas otras herramientas utilizan los mismos archivos de datos para la realización de pruebas de pentesting. Desde que Lynis no se limita a unas pocas distribuciones comunes de Linux, que utiliza las pruebas de estándares y muchas otras costumbres que no se encuentran en ninguna otra herramienta.

Read More