Cryptolocker
abr08

Cryptolocker

De los diferentes tipos de malware que exiten hoy en día, supongo que de cara al usuario y a las empresas lo que mas les puede dañar son los troyanos bancarios y los ramsonware. Los primero por el echo de atacar la banca electrónica y ejecutar operaciones en nombre de la persona infectada. Y los segundo por que te “roba” archivos y te pide un rescate por ellos. Hoy vengo ha hablaros de un Ransomware, su nombre es Cryptolocker y lleve ya tiempo atacando a los usuarios. Método de entrada: Normalmente los malware suelen ir en correos electrónicos con adjuntos. En estos correos ellos incluyen un mensaje normalmente incluyendo técnicas de ingeniería social en las que instan al usuario a que abra el adjunto del correo. Un ejemplo podría ser un correo de este tipo: Estos correos de FedEX son ya muy conocidos en casos de infección de malware. Algunos asuntos de correo electrónico que están relacionados con esta campaña. USPS – Your package is available for pickup (Parcel 173145820507) FW: Invoice <random number> ADP payroll: Account Charge Alert Important – attached form FW: Last Month Remit McAfee Always On Protection Reactivation Scanned Image from a Xerox WorkCentre Annual Form – Authorization to Use Privately Owned Vehicle on State Business Fwd: IMG01041_6706015_m.zip My resume New Voicemail Message Important – New Outlook Settings Scan Data New contract agreement. Important Notice – Incoming Money Transfer Notice of underreported income Payment Overdue – Please respond FW: Check copy Payroll Invoice USBANK Symantec Endpoint Protection: Important System Update – requires immediate action Adjunto del correo. El adjunto del correo no tiene que contener el malware persé sino que puede ser que sea un dropper que baje el ransomware de Cryptolocker. Esto es debido a que pueden que hayan usado un Dropper sin detección por parte de los AV’s. Con esta imagen, queda clara la función del Dropper. Los ransomware normalmente cifran todo el disco duro o buscan ciertas extensiones para cifrar por ejemplo fotografías, que es algo que puede llegar  ha hacer mucho daño, o documentos de office o archivos con ciertos nombres incluso. En el caso de Cryptolocker buscará las siguientes extensiones: *.odt, *.ods, *.odp, *.odm, *.odc, *.odb, *.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx, *.xlsm, *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm, *.mdb, *.accdb, *.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.wb2, *.mdf, *.dbf, *.psd, *.pdd, *.pdf, *.eps, *.ai, *.indd, *.cdr, *.jpg, *.jpe, img_*.jpg, *.dng, *.3fr, *.arw, *.srf, *.sr2, *.bay, *.crw, *.cr2, *.dcr, *.kdc, *.erf, *.mef, *.mrw, *.nef, *.nrw, *.orf, *.raf, *.raw, *.rwl, *.rw2, *.r3d, *.ptx, *.pef, *.srw, *.x3f, *.der, *.cer, *.crt, *.pem, *.pfx, *.p12, *.p7b, *.p7c. Como veis, no son pocas. Infección Cuando quedas...

Leer Más

Bloquear el DNS hijacking por parte del ISP

Esto que voy a explicar hoy no es nada novedoso, pero si molesto para algún sector de usuarios. Se trata del DNS hijacking. Como ya sabréis algunos, me mude de casa hace unos meses y contraté mi servicio de ADSL en casa. Los únicos cambios que le hice a mi router, fue deshabilitar el WPS, cambiar el SSID y el password, además de accesos y etc.. La compañía contratada es Jazztel. Hay veces que como muchas personas, me equivoco al escribir el dominio web que voy a visitar. Mi sorpresa fue, encontrarme que era Jazztel, que a modo de “ayuda” me mostraba una página con un buscador del dominio al que yo había tratado de acceder. Ya no me acordaba que Jazztel es uno de los operadores que practica el DNS hijacking. ¿Esto que quiere decir? Vamos a la terminal. darkmac:~ marc$ ping www.midominioinventado.es PING www.midominioinventado.es (81.200.64.180): 56 data bytes 64 bytes from 81.200.64.180: icmp_seq=0 ttl=51 time=63.643 ms 64 bytes from 81.200.64.180: icmp_seq=1 ttl=51 time=61.092 ms 64 bytes from 81.200.64.180: icmp_seq=2 ttl=51 time=73.953 ms 64 bytes from 81.200.64.180: icmp_seq=3 ttl=51 time=62.912 ms 64 bytes from 81.200.64.180: icmp_seq=4 ttl=51 time=63.172 ms --- www.midominioinventado.es ping statistics --- 5 packets transmitted, 5 packets received, 0.0% packet loss round-trip min/avg/max/stddev = 61.092/64.954/73.953/4.582 ms darkmac:~ marc$ El dominio web no existe, pero en cambio me contesta el ping…. ¿Pero de quien es esta IP? darkmac:~ marc$ dig -x 81.200.64.180 +short dnssearch.jazztel.com. Vaya, parece que la IP, pertenece a un subdominio web, concretamente a dnssearch.jazztel.com darkmac:~ marc$ nslookup www.dominioinventado.es Server: 87.216.1.65 Address: 87.216.1.65#53 Non-authoritative answer: Name: www.dominioinventado.es Address: 81.200.64.180 darkmac:~ marc$ Hay otra IP implicada en el caso la IP  87.216.1.65 que es DNS de Jazztel, esto es normal :D. Otra de las maneras que se tiene de comprobar quien “está en medio”. Es hacer un curl. server-home:sqlmap marc$ curl -I www.midominioinvenado.es HTTP/1.1 403 Forbidden Date: Sun, 18 Aug 2013 18:46:47 GMT Server: Apache Connection: close Content-Type: text/html; charset=iso-8859-1 server-home:sqlmap marc$ curl -v -I www.midominioinvenado.es * About to connect() to www.midominioinvenado.es port 80 (#0) * Trying 81.200.64.180... * connected * Connected to www.midominioinvenado.es (81.200.64.180) port 80 (#0) > HEAD / HTTP/1.1 > User-Agent: curl/7.24.0 (x86_64-apple-darwin12.0) libcurl/7.24.0 OpenSSL/0.9.8x zlib/1.2.5 > Host: www.midominioinvenado.es > Accept: */* > < HTTP/1.1 403 Forbidden HTTP/1.1 403 Forbidden < Date: Sun, 18 Aug 2013 18:46:55 GMT Date: Sun, 18 Aug 2013 18:46:55 GMT < Server: Apache Server: Apache < Connection: close Connection: close < Content-Type: text/html; charset=iso-8859-1 Content-Type: text/html; charset=iso-8859-1 < * Closing connection #0 Si miramos dicha IP en Robtex. En realidad el Subdominio no pertenece a Jazztel. Podemos ver un Summary también. A mi personalmente, me molesta que haya interceptando mis consultas...

Leer Más
Como saltarse técnicamente el espionaje de PRISM
jun24

Como saltarse técnicamente el espionaje de PRISM

Edward Snowden, un ex-empleado de la CIA que formaba parte de un programa de recolección de información creado por la Agencia Nacional de Seguridad de los Estados Unidos llamado PRISM, compartió información sobre el programa con los diarios The Washington Post y The Guardian, donde además de revelar su existencia, también mostraba como el FBI y otras entidades del gobierno estadounidense habrían tenido desde el 2007 acceso directo a los servidores de nueve de las más grandes compañías Estadounidenses de Internet, entre las que están varios gigantes de la industria como Google, Microsoft, Facebook y Apple. Estas revelaciones generaron gran controversia en todo el mundo y confirmaron lo que muchos sospechaban, (incluso hasta los Simpson nos lo advertían), el gobierno Estadounidense utilizando las leyes generadas en su país después del 11 de Septiembre de 2011 a estado espiando digitalmente a usuarios dentro y fuera de su país para “garantizar la seguridad nacional” con el apoyo de numerosas empresas tecnológicas de primer nivel (¿seria este el interes de China en atacar las mismas empresa?). Realizar un resumen de PRISM no es la finalidad este post pero ya que muchos lectores puede que no estén muy enterados del tema, les dejaré una infografía‎ creada por la gente de WWWhatsnew.com, donde comentan el origen, el funcionamiento y la reacción de las empresas después de la divulgación de este programa de espionaje de datos a gran escala: Aunque existe un grupo formado por más de 80 organizaciones que crearon la iniciativa Stopwatching.us, para recoger firmas y pedirle al congreso Estadounidense que aclare varios puntos relacionados con PRISM, este tipo de iniciativas no son únicas del gobierno Estadounidense el mismo ex-agente de la CIA Edward Snowden comentó que la Inteligencia Británica también mantiene un programa conocido como Tempora(El Maligno ha explicado a fondo los alcances del Tempora), que cuenta con la capacidad para acceder a la red de fibra óptica por la que pasa la mayor parte del tráfico mundial de Internet. Latinoamérica no es ajena al problema, hace poco Ricardo Patiño Aroca el Ministro de Relaciones Exteriores de Ecuador anunció en su cuenta de Twitter que recibido una solicitud de asilo de parte de Edward Snowden y diferentes medios de comunicación anunciaron que el gobierno Colombiano invertirá mas de 50.000 millones de pesos en un sistema tipo PRISM que permitiría espiar Facebook y Skype, sin descartar que otros gobiernos estén trabajando en sistemas parecidos. Entonces… ¿Como saltarse técnicamente el espionaje de PRISM? Para empezar es necesario usar un sistema operativo de empresas que no colaboren con el programa (Apple, Google, y Microsoft lo hacen) y por tanto, que no pueda tener puertas traseras, una...

Leer Más
Construyendo un radar de bajo presupuesto para “esnifar” Aviones
mar10

Construyendo un radar de bajo presupuesto para “esnifar” Aviones

Ya sabemos que Los aviones de los famosos no son tan privados, pero desde que miré ese post en la comunidad me entró la curiosidad por investigar un poco mas sobre el tema, mi nombre es Daniel José́ Escobar (@mrdesc) y quiero compartir con ustedes algunas de las cosas que he descubierto sobre las frecuencias que emiten los aviones. Este articulo pretende hacer un análisis en servicios que se encuentran en otras frecuencias del espectro electromagnético, usando SDR (software defined radio), permitiéndonos usar un computador con el software adecuado, procesar datos capturados, a una potencia superiores a la de muchos receptores convencionales, con esto se puede auditar muchos servicios inalámbricos como por ejemplo aplicaciones que funcionan en frecuencias de onda corta (LTE, ADS-B (aviación), señales moduladas en frecuencias, GSM, DECT, TETRA, APCO25 etc.). En este caso se podrá abarcar frecuencias desde 2.5kHz hasta un poco mas de los 1.9Ghz, sin tener saltos en frecuencia, esto es se logra gracias al dispositivo que se empleara (Rafael 820T RTL2832U), que debido a su bajo costo y alta capacidad ofrece una buena oportunidad para aprender y trabajar. Equipos Utilizado para construir nuestro Radar de Bajo Presupuesto: DVB-T+DAB+FM y antena lo importante es que tenga chip RTL2832U. (es lo mas importante) para este caso se uso Rafael Micro R820T, con la que se logra abarcar desde la frecuencia 24Mhz hasta 1766 MHz Maquina Virtual con Windows o Computador con Ubuntu.  Software utilizado para “esnifar” aviones: Se instala y se compila el STL-ADSB Virtual Radar. Teoría del Radar de Bajo Presupuesto para “esnifar” Aviones: La abreviación ADSB significa: Automatic dependent surveillance-broadcast EL procedimiento consiste en recibir el broadcast trasmitido por los aviones, en el cual describen su longitud, latitud, numero de vuelo y ruta….. ¿como obtienen esa información?, esta información se recibe de su sistema GPS: Periódicamente el ATCRBS interroga las aeronaves, en la frecuencia de 1030MHZ, esta interrogación se hace cerca de 450-500 veces por segundo, cuando la aeronave recibe la interrogación, responde a dicha en la frecuencia de 1090Mhz. Esta información puede ser recibida y decodificada por otras aeronaves y radares. Con esto se logra evitar accidentes aéreos, optimiza el trafico aéreo y como consecuencia menos consumo de combustible y evita menos daños del medio ambiente: La frecuencia de recepción de dicho broadcast sera: 1090000000 Hz (1090Mhz), también se debe de configurar el muestreo como: 2000000 Hz. rate es: 2000000.052982 Hz En caso de que se desee usar el rtl_adsb desde un sistema operativo Linux la forma de instalación es: git clone git://git.osmocom.org/rtl-sdr.gi cd rtl-sdr/ mkdir build cd build cmake ../ make sudo make install Conectamos nuestro dispositivo con chip RTL...

Leer Más
Instalar Mac en un PC – Mountain Lion
sep24

Instalar Mac en un PC – Mountain Lion

Instalar Mac en un PC es un proceso que muchos deseamos realizar, ahora con su versión Mountain Lion el sistema ha llegado a una madures idónea para aventurarse a instalarlo en un equipo con procesador intel, en este post veremos paso a paso los procesos necesarios para instalar mac en un pc sin mayores complicaciones. En la comunidad venimos describiendo este proceso desde Leopard, luego Snow Leopard, Lion y finalmente con este articulo pretendemos cubrir Mountain Lion, la versión actual del sistema operativo de la manzana mordida. ¿Que Necesitamos para Instalar Mac en un PC? Necesitamos un Mac (no importa si es una maquina virtual) para crear el instalador en una memoria USB. Necesitamos el instalador de Mountain Lion, puedes comprarlo por la App Store o conseguirlo por otros medios. Una memoria USB con por lo menos 8GB de espacio libre. Un disco duro vacío (preferiblemente) ya que el sistema de particiones será GUID (GPT) Una PC con procesador Intel Los DSDTs específicos para nuestra board (necesitamos registrarnos) UniBeast – Mountain Lion 1.5.3 y MultiBeast – Mountain Lion 5.0.2 para Mac Lion (recomiendo descargar la ultima version de la pagina oficial) Pasos a Realizar antes de Instalar Mac OS X en PC Antes de Instalar Mac OS X en PC, es necesario formatear la memoria USB (con mínimo 8gb de espacio) con formato Mac OS Plus (con registro), desde el otro equipo con Mac, abres la Utilidad de discos (disk utility), buscas la memoria USB, te paras sobre ella y le das en Borrar (Erase), escoges Mac OS Plus (con registro). – Instalar Mac OS X en PC En mi caso no contaba con una memoria de ese tamaño, así que utilicé una partición de un disco duro USB Después de esto y en la misma Mac que utilizamos para formatear la memoria, abrimos el programa UniBeast que descargamos previamente y seguimos los pasos par Instalar Mac en PC, cuando nos pregunte donde se instalará le decimos que en nuestra memoria recién formateada. – Instalar Mac en PC Después nos preguntara donde esta el instalador del Mac Lion, seleccionamos la opción “Mac App Store “Instalar Mountain Lion”, recuerda que debemos tener el instalador en la carpeta de aplicaciones . – Instalar Mac en PC Continuamos y damos click en el botón Install, si te aparece el mensaje “Running Package Scripts” por mucho tiempo, no te preocupes es algo normal, no pares la instalación hasta que te salga el siguiente mensaje “The installation was successful.”. Pasos para Instalar Mac en PC Para Instalar Mac en PC, prendemos el equipo donde Instalaremos el Mac OS Mountain Lion e ingresamos a la...

Leer Más
Así fué el 3er Encuentro de Delitos Informáticos
ago30

Así fué el 3er Encuentro de Delitos Informáticos

Hace unos meses les contaba sobre el 3er Encuentro de Delitos Informáticos un evento realizado por el Grupo de Delitos Informáticos ICITAP de la Fiscalía, el CTI y la Universidad Autónoma de Occidente que se realizó el 18 y 19 de Junio de 2012 en Cali Valle, solo ahora que tengo un descanso en la agenda puedo escribir y contarles como fue el 3er Encuentro de Delitos Informáticos. Todo empieza el 18 de Julio en el auditorio Quinchía de la Universidad Autónoma de Occidente, Cali, donde un grupo de personas interesadas por la seguridad de la información y proteger sus bienes digitales, se reúnen para aprender de diferentes expertos las nuevas técnicas que utilizan los delincuentes para cometer delitos informáticos y como evitar ser victimas de ellos. Inicia la jornada el Ingeniero John Jairo Echeverry con su charla sobre el manejo de la evidencia digital, una charla muy necesaria ya que en muchas ocasiones un caso puede caerse ya que la evidencia digital que lo sustentaba no fue manipulada de forma correcta. Uno de los sectores mas golpeados por los delitos informáticos ha sido el sector financiero, ya que representa un buen botín para los delincuentes si logan acceder a el, por eso la charla del Doctor Jacobo Alejandro sobre delitos informáticos en este sector, recibió buenos comentarios y abrió los ojos a muchas personas que desconocían estos vectores de ataque. El ingeniero Wilson Castañeda Aponte, fue el encargado de “desnudar anonymous”, en una charla entretenida Castañeda mostró como esta conformado este grupo hacktivista, cuales fueron sus inicios algunos datos mas… El Argentino Marcelino Herrera Vegas Vicepresidente en Cámara Colombiana de Comercio Electrónico y Country Manager para Colombia de MercadoLibre.com con su charla sobre el funcionamiento y seguridad en las plataformas de comercio electrónico nos mostraba un poco los métodos utilizados por el comercio electrónico para hacerle frente a los delitos informáticos, una charla bastante interesante, sobretodo para aquellos que desean incursionar en el mundo de las ventas por internet. Todo delito se comete por una razón… por eso el Ingeniero Josué Peláez González con su charla Motivaciones para el delito nos menciona cuales son las principales motivaciones o razones que pasan por la cabeza de un delincuente informático. El ingeniero Andres Leonardo Valcárcel nos cuenta un poco la realidad de la red y con su charla Lo gratis que nunca es gratis en internet abre los ojos de algunas personas que todavía confían en las cosas gratis de internet. Después de Andrés, estaba mi turno para presentarles algunos de los peligros a los que estamos expuestos en internet, contando la historia de Mónica Galindo y todo el proceso...

Leer Más

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES