Al mas puro estilo Maligno

Si, ya se que me repito, que siempre hablo de él, que me fijo en sus entradas y un largo etc. También se que se me ve el plumero, pero no puedo remediarlo xD.

Hace poco Chema hablaba del robo de identidad por culpa del emule, y yo, para variar una vez mas, voy a copiarle vil y traperamente (como no lo va a leer, estoy a salvo jeje).

Y es que hoy, me he puesto a instalar el emule --madre mía la de mierdas que te intentan instalar si no tienes cuidado, mil herramientas, toolbars... es increíble que intenten engañarte con cosas como: si das a aceptar, al final vamos a instalar lo que nos de la gana (no es así, pero casi). Así que si optáis por instalar estas cosas, por favor leer todo atentamente.-- y no se porque me ha dado por hacer una búsqueda sobre archivos XML y os cuento lo que he podido ver después de solo 5 minutos revisando algunos escogidos al azahar.

A estas alturas no me voy a parar a explicar como se instala emule o como se configura, primero, porque aunque este blog va de eso, de enseñar desde cero las cosas básicas, no comulgo en absoluto con estos programas. Y segundo porque hay millones de manuales sobre el tema.

Bien, después de todo este ladrillo comienza la entrada jeje, si ya has leído todo esto, puedes aguantar el resto.

Como decía más arriba, haciendo una búsqueda por archivos XML en emule me encuentro con algo así.

El primero marcado en rojo no se si es una serie de niños con un titulo poco acertado o es otra cosa...los otros marcados también me llaman la atención jeje. Pero me da por revisar solo 7 archivos, y justo en el cuarto...

Si, efectivamente es el XML que genera FileZilla si exportas los parámetros, con todos los servidores, usuarios y contraseñas. De verdad que es increíble encontrar estas cosas por Internet. Lo mismo el tío/a tiene su web súper securizada (que lo dudo) incluso @secnight le ha hecho un pentest (lo dudo mas aun jeje) y luego va el cachondo/a y comparte el archivo en el emule, para que cualquiera tranquilamente pueda acceder a sus FTP´s, y modificar a su gusto la web, tumbarla, hacerle un "bonito deface" e incluso borrarle todo.

Yo se que soy muy pesado, todo el mundo me dice que soy un brasas y que les deje en paz, pero en serio, si vais a usar este tipo de programas, por favor tomaros 3 minutos en ver que vais a compartir.

Esto también es X1RedMasSegura.

akil3s.

Creando PDF malicioso II de II

Seguimos con la segunda parte de la entrada que dejamos a medias el otro día. Estamos creando un PDF malicioso y nos habíamos quedado en el exploit.

Una vez que hemos dejado a la espera el exploit, escribimos en la consola back para dejar de usar el exploit. A continuación, lo pondremos a la escucha con use exploit/multi/handler 

Le indicamos el payload.

Y repetimos los pasos que vimos en la primera entrada, como se ve en la imagen.

Bien, ahora es el turno de hacer llegar el PDF infectado y que lo ejecuten (siempre en maquinas virtuales, no seáis malos!!)

Y una vez que abren el PDF infectado...

Nuestro XP con SP3 se lo come con patatas. Para este ejemplo he usado uno sin antivirus porque seguramente lo detectaría. No obstante, siempre se puede hacer uso de métodos para evadir los antivirus, si no, preguntad a @winsock o @enelpc que son expertos en ello xD.

Una vez que tenemos la sesión lista, Lo siguiente sería migrar el proceso, pero eso ya lo dejo a vuestra elección.

Como veis, es importante tener todo el software actualizado, ya que podrían vulnerar nuestro sistema.

El contenido de este artículo es meramente informativo y/o con fines educativos, no me hago responsable del uso que de él se pueda hacer. 

akil3s.

LanSweeper

Hola a todos, hoy os traigo un programa que para mi es de lo mejor que he visto.

LanSweeper es un programa que nos vale para hacer un inventario de los equipos de la red. Como veremos a continuación, es muy completo. Podéis descargarlo desde su web oficial, pinchando aquí.

Vamos a ver su instalación en un dominio, que es donde realmente le vamos a sacar un gran partido.

Una vez que hemos descargado el programa, lo ejecutamos y nos aparece la primera pantalla.

Damos a "next" y nos sale la segunda pantalla

Aceptamos los términos de licencia, previa lectura de la misma, por supuesto.
Nos aparece la tercera pantalla.

Aquí podemos optar por la instalación sencilla o la avanzada. En este caso he seleccionado la avanzada. Marcamos todo igual que en la imagen anterior.

En la siguiente imagen nos pide el servidor SQL para instalar la base de datos. Seleccionar de la lista desplegable el vuestro, o en su defecto, lo escribís si es que no aparece.

A continuación nos pide una cuenta del dominio con privilegios de administrador. 

Al ponerla, si está correcta, nos parecerá un mensaje como el de la imagen anterior indicando que esta ok.

Continuamos con la instalación, en este caso nos pide que le demos el rango de IP en el que nos vamos a mover. Dependiendo si estamos en virtual, con equipos linux o mac, debemos habilitar SSH para que lo escanee.

Ahora nos pide que le indiquemos el puerto por el que accederemos a la consola.

Es el momento de decirle al programa en que carpeta queremos instalarlo. Nos muestra una por defecto, pero si queremos cambiarla, con pinchar en "browse" podemos elegir cualquier otra.

Le damos al botón "install" y veremos que comienza la instalación.

Cuando termine, nos mostrara una ventana de MS-Dos en la que nos advierte que la instalación se ha realizado correctamente.

En la siguiente pantalla nos preguntará si queremos que nos envíen por mail noticias y demás. 

Nos abre una ventana con la consola web con un reporte de todo.

Y por ultimo, nos aparece la consola de utilidades, donde pondremos el nombre del servidor y la base de datos.

A partir de aquí, podremos ver un inventario completo de todos los equipos que formen parte del dominio.

En la primera imagen, vemos la configuración completa de un equipo. Pinchando en cada una de las pestañas, veremos unos parámetros.

En la siguiente imagen, podemos ver todos los ordenadores en los que se ha logado un usuario, así como información sobre el mismo etc.

Y por ultimo os dejo una imagen en la que se puede ver gran información sobre el equipo, las unidades organizativas (OU) a las que pertenece, información sobre el disco, las carpetas que comparten y un largo etc.

Pues esto es todo. Como veis, es una herramienta muy útil para trabajar. Os dejo un enlace desde el que podeis descargar en PDF el manual oficial con todo, visto a fondo.

http://www.lansweeper.com/documentation.pdf 

*Agradecer a mi compañero JMG por pasarme los pantallazos del programa conectado a un dominio .

akil3s.

Creando PDF malicioso I de II

Hola, hoy quiero dejaros un POC de como se podría crear un PDF malicioso. Es algo viejuno, pero solo quiero que veamos como hacerlo, además, aún podría funcionar si no actualizan (que no lo hacen) Adobe Reader 8.X o 9.X.

Bien lo que vamos a usar en este caso es Backtrack 5.3 y un archivo PDF cualquiera, así que lo primero será arrancarlo y acto seguido nos vamos a metasploit. Para ello recordemos que podemos abrir una consola y dentro escribimos msfconsole

Ya que lo tenemos abierto, vamos a utilizar el exploit. 

Vamos a ver que opciones tiene este exploit con show options.

Ahora vamos a establecer el nombre del archivo de salida (el que va a modificar metasploit) con la opción set FILENAME.

Nos toca decir que archivo vamos a infectar y donde esta. La opción para ello es set INFILENAME. Previamente, tendremos que tener el archivo PDF (cualquiera vale).

Ahora le decimos la ruta en la que queremos dejarlo con set OUTPUTPATH.

Y por ultimo, cargamos el payload con set PAYLOAD. 

Bien, volvemos a ver las opciones (en este caso del payload) con show options.

Como vemos en las opciones, tenemos LHOST (local host o equipo local) que será la dirección IP del equipo que ataca (atacante). También tenemos LPORT (local port o puerto local) es decir, el puerto que se va a atacar.

Los parámetros para establecerlos con set LHOST y set LPORT.

Si no sabemos nuestra IP basta con abrir otra terminal y escribir ifconfig.

Configuramos el puerto

Ahora elegimos el ID que nos dice la versión vulnerable de Adobe del sistema a atacar.

Y por fin, lanzamos el exploit, solo es necesario escribir exploit.

Bueno, pues ya tenemos el archivo infectado, tenemos la dirección IP a la que se conectará el equipo atacado (la nuestra, al enviar el PDF, cuando lo abran, ese equipo se conectará al nuestro) y tenemos el puerto de escucha (4455).

Seguiremos con el proceso en la siguiente entrada.

El contenido de este artículo es meramente informativo y/o con fines educativos, no me hago responsable del uso que de él se pueda hacer. 

akil3s.

No acortes tu seguridad

Hola, hoy quería hablaros de los acortadores de URL que tan de moda llevan ya un tiempo. Ya se que de esto se ha hablado en muchos blogs, y que seguramente todos sabéis de lo que va el tema, pero por si acaso, y para los que no lo conocen, aquí van unas pautas de seguridad.

Los acortadores de URL han tomado mucha notoriedad porque son de gran utilidad en las redes sociales, sobre todo en Twitter en la que solo tienes 140 caracteres para escribir y normalmente se nos hace corto. 

Pero, ¿que pasa cuando la URL no nos lleva a un sitio "esperado" y en cambio nos lleva a una web maliciosa?

En este caso, un ciberdelincuente podría llevarnos a una web falsa en la que podríamos quedar infectados, o podriamos ser redirigidos a una web de phising y robarnos los datos.

Por ello, para que no nos engañen, os muestro 2 herramientas que hacen lo contrario, es decir, nos alargan (nos dejan las URL como estaban).

LinkPeelr El uso es muy sencillo, solo debemos ir a su web y en el cuadro central copiamos la URL acortada que tengamos. Acto seguido, le damos al botón de Peel.

 

Y en seguida nos mostrará el enlace real que se esconde detrás de esa URL acortada.

Lo bueno de este programa es que podemos instalarlo como una extensión de Chrome. Os recomiendo que lo probéis.

Otro de los alargadores de URL que mas se usa es LongURL. Igual que en el caso anterior, solo debemos poner la URL acortada en el cuadro central, de manera que al darle al botón de Expand nos mostrará la URL original.

  

Como veis, en este caso ademas de alargarnos la URL, también nos da información extra.

Y esto es todo. Como veis, nos cuesta una media de 30 segundos entrar en la web, pegar la URL acortada y dar al botón para ver lo que esconde (o no) esa URL. Con ello nos aseguramos que nos lleva al lugar que nos dicen. 

Así que no acortes tu seguridad por 30 o 40 segundos. Si dudáis del enlace, probad a alargarlo.

Espero que os sirva de ayuda.

Esto también es #X1RedMasSegura.

akil3s.

Lo mas visto

Coincidiendo con el primer día del mes, quiero dejar, por orden, las 6 entradas que más visitas ha tenido el blog durante el mes de Agosto.

A pesar de ser Agosto mes de vacaciones, he de decir que estoy muy contento porque no solo no han bajado las visitas, sino que han aumentado considerablemente en este ultimo mes.

Todo esto es posible gracias a vosotros, que ayudáis a difundir en Twitter, G+ Facebook etc. A todos daros las gracias.

Sin mas, aquí os dejo las entradas más vistas.

Eliminar programas desde el CMD -> 1014 visitas únicas en Agosto.

Liberando pincho Vodafone ZTE K3765-Z -> 666 visitas únicas en Agosto.

Saltar contraseña de administrador en Win7 (otra forma) -> 532 visitas únicas en Agosto.

Entrevista a Juan Carlos García (@secnight) -> 349 visitas únicas en Agosto.

Principios forenses básicos II, la informacion EXIF -> 322 visitas únicas en Agosto.

Video X (malware) -> 282 visitas únicas en Agosto.

akil3s.