miércoles, 22 de marzo de 2017

Analiza si tienes Malware/Ramsoware

Analiza si tienes Malware/Ramsoware

Recomendaría usar el siguiente Script SSMA (Simple Static Malware Analyzer) para identificar si algún archivo tiene malware, entre otras cosas analiza y busca dentro del string del archivo:
Posibles dominios.

  • Direcciones IP, emails.
  • Si el dominio esta en un blacklist.
  • Funciones de Windows que son comunes en malware, como: OpenProcess, CreateProcess, Shellexecute.
  • Detección de Malware basado en Yara-rules
  • Existencia de algoritmos critográficos que son usado normalmente por Ramsowares.
  • Uso de VirusTotal para identicar malware.
  • Detecta la existencia de anti-debugging o anti -virtualization que son técnicas para evadir análisis de Malware automatizado.

Gracias por el gran aporte a: Lasha Khasaia, La instalación es muy sencilla:

Bajarse Python:
userx@NYC:~# sudo apt-get install python3-pip

Bajarse la Herramienta:
userx@NYC:~# git clone https://github.com/secrary/SSMA
dentro del directorio SSMA esta el script:
userx@NYC:~/SSMA# ls -l
total 68
-rw-r — r — 1 userx userx 35141 Mar 22 22:41 LICENSE
-rw-r — r — 1 userx userx 1782 Mar 22 22:41 README.md
-rw-r — r — 1 userx userx 57 Mar 22 22:41 requirements.txt
-rw-r — r — 1 userx userx63 Mar 22 22:41 requirements_with_ssdeep.txt
drwxr-xr-x 2 userx userx 4096 Mar 22 22:41 src
-rwxr-xr-x 1 userx userx 12496 Mar 22 22:41 ssma.py
userx@NYC:~/SSMA# sudo pip3 install -r requirements.txt
Collecting pefile (from -r requirements.txt (line 1))
Downloading pefile-2016.3.28.tar.gz (58kB)
100% |████████████████████████████████| 61kB 2.2MB/s
Collecting python-magic (from -r requirements.txt (line 2))
Downloading python_magic-0.4.13-py2.py3-none-any.whl
Collecting yara-python (from -r requirements.txt (line 3))
Downloading yara-python-3.5.0.tar.gz (551kB)
100% |████████████████████████████████| 552kB 876kB/s
Collecting virustotal-api (from -r requirements.txt (line 4))
Downloading virustotal-api-1.1.4.tar.gz
Collecting gitpython (from -r requirements.txt (line 5))
Downloading GitPython-2.1.3-py2.py3-none-any.whl (442kB)
100% |████████████████████████████████| 450kB 1.5MB/s
Collecting future (from pefile->-r requirements.txt (line 1))
Downloading future-0.16.0.tar.gz (824kB)
100% |████████████████████████████████| 829kB 915kB/s
Requirement already satisfied (use — upgrade to upgrade): requests>=2.2.1 in /usr/lib/python3/dist-packages (from virustotal-api->-r requirements.txt (line 4))
Collecting gitdb2>=2.0.0 (from gitpython->-r requirements.txt (line 5))
Downloading gitdb2–2.0.0-py2.py3-none-any.whl (63kB)
100% |████████████████████████████████| 71kB 5.1MB/s
Collecting smmap2>=2.0.0 (from gitdb2>=2.0.0->gitpython->-r requirements.txt (line 5))

Para correr el script es de la siguiente manera y validar si un archivo tiene Malware o rutinas peligrosas:
userx@NYC:~# python3 SSMA/ssma.py file-mlwtest



Fuente Directa del Autor: Lasha Khasaia
https://secrary.com/
Publicado por en No hay comentarios:

sábado, 18 de febrero de 2017


Sabes si te están atacando desde China, Rusia, revisa tus logs

Entorno de la prueba:
Se tiene un servidor en USA/Hosting con Linux/Ubuntu y dos servicios "TCP" disponibles desde Internet como:
- SSH, puerto 22/tcp para una conexión cifrada con el servidor.
- Apache, puerto 80/tcp para publicar un servicio web, básico.
-  A continuación muestro algunos intentos de ingreso de cada servicio:


1.- Servicio SSH:  
IP es: 116.31.116.34,182.100.67.4 pertenece a China Telecom, como se puede observar constantemente hay intentos de fuerza bruta utilizando el usuario root que es super usuario a nivel del sistema operativo Linux, por ello siempre hay que colocar una contraseña fuerte con un mix entre números, letras mayúsculas, minúsculas, caracteres alfanuméricos y con un tamaño mínimo, en lo personal recomendaría 11 caracteres.

ubuntu@ubuntu:/var/log# tail -f auth.log




Feb 18 01:34:22 ubuntu sshd[14059]: message repeated 5 times: [ Failed password for root from 182.100.67.4 port 17356 ssh2]
Feb 18 01:34:22 ubuntu sshd[14059]: error: maximum authentication attempts exceeded for root from 182.100.67.4 port 17356 ssh2 [preauth]
Feb 18 01:34:22 ubuntu sshd[14059]: Disconnecting: Too many authentication failures [preauth]
Feb 18 01:34:22 ubuntu sshd[14059]: PAM 5 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=182.100.67.4  user=root
Feb 18 01:34:22 ubuntu sshd[14059]: PAM service(sshd) ignoring max retries; 6 > 3



Feb 16 21:56:38 ubuntu sshd[12096]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=116.31.116.34  user=root
Feb 16 21:56:40 ubuntu sshd[12096]: Failed password for root from 116.31.116.34 port 61791 ssh2
Feb 16 21:56:44 ubuntu sshd[12096]: message repeated 2 times: [ Failed password for root from 116.31.116.34 port 61791 ssh2]
Feb 16 21:56:44 ubuntu sshd[12096]: Received disconnect from 116.31.116.34 port 61791:11:  [preauth]
Feb 16 21:56:44 ubuntu sshd[12096]: Disconnected from 116.31.116.34 port 61791 [preauth]
Feb 16 21:56:44 ubuntu sshd[12096]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=116.31.116.34  user=root



2.- Servicio Apache,
Es una instalación básica sin Firewall de aplicaciones web como: mod Security, que permite monitorizar sesiones HTTP.


IPs desde:Brazil,China Telecom, Moscu, USA, Irak,Surinam, Londres. Algunos intentos usan bots y el buscador Russo Yandex, quizas este intento no es malicioso.

ubuntu@ubuntu:/var/log/apache2# tail -f access.log

170.150.252.7 - -[16/Feb/2017:11:03:11 -0500] "GET / HTTP/1.1" 200 11576 "-" "curl/7.17.1 (mips-unknown-linux-gnu) libcurl/7.17.1 OpenSSL/0.9.8i zlib/1.2.3"
171.83.79.83 - - [16/Feb/2017:11:25:29 -0500] "GET http://631333.top/proxyheader.php HTTP/1.1" 404 506 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)"
185.110.132.231 - - [16/Feb/2017:12:40:16 -0500] "GET / HTTP/1.1" 200 11595 "-" "Scanbot"
5.255.250.40 - - [16/Feb/2017:13:26:59 -0500] "GET /robots.txt HTTP/1.1" 404 506 "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)"
5.255.250.40 - - [16/Feb/2017:13:27:03 -0500] "GET / HTTP/1.1" 200 3524 "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)"
62.201.228.152 - - [16/Feb/2017:13:41:11 -0500] "GET / HTTP/1.1" 200 11632 "-" "curl/7.17.1 (mips-unknown-linux-gnu) libcurl/7.17.1 OpenSSL/0.9.8i zlib/1.2.3"
186.179.235.16 - - [16/Feb/2017:16:03:04 -0500] "POST / HTTP/1.1" 200 3525 "-" "okhttp/3.2.0"
139.59.176.72 - - [16/Feb/2017:16:03:43 -0500] "POST / HTTP/1.1" 200 3525 "-" "okhttp/3.2.0"




Recomendaciones Generales:
- En el apache instalar y gestionar un firewall de aplicación web, como Mod Security y es opensource y también instalar un IDS como Suricata: https://suricata-ids.org/
http://idroot.net/tutorials/how-to-install-mod_security-apache-on-ubuntu-14-04/
-  Para el servicio SSH, el proveedor de Cloud me recomendo usar File2Ban contra ataques de fuerza bruta:
https://help.ubuntu.com/community/Fail2ban
https://www.youtube.com/watch?v=wvZ73tTWL_M



Publicado por en No hay comentarios:
Etiquetas: , , , , , , , , , ,

lunes, 13 de febrero de 2017

Seguridad en Whatsapp
Recomendamos activar en Whatsapp - > "Verificación de dos pasos", aumenta la Seguridad de tu cuenta.



Ajustes > Cuenta > Verificación en dos pasos- > Coloca un código de seis dígitos y una cuenta de correo por si olvidas el código.



Trata de una medida de seguridad de Whatsapp "opcional", pero recomendable. Ejemplo en el caso perdamos nuestro número de móvil y lo tenga un nuevo "usuario", éste no podría acceder a nuestros WhatsApps porque necesitaría dicha contraseña.

Fuente: http://tecnologia.elpais.com/tecnologia/2017/02/10/actualidad/1486720265_257149.html
Fuente: http://tecnologia.elpais.com/tecnologia/2017/02/10/actualidad/1486720265_257149.html

Publicado por en No hay comentarios:

lunes, 6 de febrero de 2017


Shooting Star Drones de Intel, interesante la vision que tiene Intel sobre IoT +  Inteligencia de Billones de dispositivos conectados!.


Intel adquiere un conjunto de Empresas de Inteligencia artificial, deep learning, IoT,  por ejemplo compra una empesa llamada Recon Instuments en el año 2015 por US$175Millones, Nervana Systems especialista en Deep Learning.


Ayer durante el show de medio tiempo del Super Bowl,se usaron 300 Drones del fabricante Intel "Shooting Star Drones", equipados con luces LED, cada drone pesa 28 gramos y puede volar hasta 20 minutos, lo espectacular que son manejados por un solo operador.




Intel dice que su escala es ilimitado, capaz de controlar más de 10.000 Drones a la vez. El software determina las rutas que elimina las colisiones.



 Fuentes:
https://techcrunch.com/2017/02/05/intel-powered-the-drones-during-lady-gagas-super-bowl-halftime-show/
http://www.theverge.com/2017/2/5/14517954/super-bowl-2017-drones-halftime-show-lady-gaga
http://www.nasdaq.com/article/intels-internet-of-things-acquisition-history-in-16-slides-cm738416
http://www.intel.com/content/www/us/en/internet-of-things/overview.html




Publicado por en No hay comentarios:
Etiquetas: , , , , , , , ,
Ubicación: Lima, Peru

jueves, 2 de febrero de 2017

Recomendaciones para protegerse ante Ramsoware:

A nivel de Personas:
################
1- Instalar y actualizar frecuentemente el antivirus/antimalware de PC.
2- Nunca abrir archivos adjuntos (zip, pdf, ppt,excel) de procedencia dudosa.
3- Frecuentemente hacer un backup de los datos críticos de tu PC.
4- Evitar las conexiones Wifi libres, ya que podrían no tener ningun nivel de
seguridad a nivel de autenticación y protección perimetral.
5- Tener un procedimiento regular de  administración de parches del sistema operativo delas Pcs y Servidores

A nivel de la red:
##############
1.- Instalar un firewall a nivel de aplicación para filtrar la salida a Internet, que tenga reglas
de "entrada" y "salida" que pueda identificar y bloquear la comunicación
entre las PCs Infectadas y los servidores del Ramsoware (Command & Control).

2.- Identificar directorios compartidos que están en la red, desabilitar los que son innecesarios y realizar una configuración de permisos de acuerdo a los usuarios y áreas de la empresa.

3.- Realizar backups de la información más crítica de usuarios y servidores, desde una herramienta centralizada.

4.- Monitorear la red y dispositivos de seguridad para validar, si tenemos PCs internas que están infectadas, mirar el log del firewall para identificar y bloquear las conexiones hacia el C&C.

Ejemplo de la pantalla de un ramsoware:



Publicado por en No hay comentarios:
Etiquetas: , , , , ,

martes, 10 de enero de 2017

RAMSOWARE MERRY X-MAS

Buenos tardes, Uno de los tipos de ataques más peligrosos, captura tus archivos de tu PC, encripta y luego te pide un rescate, dinero/bitcoins.

Ramsoware Merry X-Mas, primero te llega un correo:



Donde, básicamente la secuencia de pasos son:



Luego te aparece la siguiente pantalla:




Te recomiendo, identificar y bloquear en tus dispostivos perimetrales, el siguiente trafico:




192.185.18.204 port 80 - neogenomes.com - GET /court/PlaintNote_12545_copy.zip
81.4.123.67 port 443 - onion1.host:443 - GET /temper/PGPClient.exe
168.235.98.160 port 443 - onion1.pw  - POST /blog/index.php


Como sabes si tu PC está comprometida:

  • 192.185.18.204 port 80 - neogenomes.com - GET /court/PlaintNote_12545_copy.zip  [initial zip download]
  • 81.4.123.67 port 443 - onion1.host:443 - GET /temper/PGPClient.exe  [ransomware binary]
  • 168.235.98.160 port 443 - onion1.pw  - POST /blog/index.php  [post-infection callback]
  • YOUR_FILES_ARE_DEAD.HTA  [ransom notification]
  • @comodosecurity  [Telegram POC from ransom notification]
  • comodosec@yandex.com  [email POC from ransom notification]
  • File name:  PlaintNote_12545_copy.zip
  • SHA256 hash:  86e98f1ddbb2953a5de8b3d550ac2fb45fd20d1305a12dfebc2ccb6e80717631
  • File description:  Zip archive from link in malspam
  • File name:  PlaintNote_12545_copy.doc
  • SHA256 hash:  244b4205acb416700bec459c8b36be379c0b7e3d2a21a57c4a121ba95d229bc4
  • File description:  Word document with malicious macro
  • File name:  C:\Users\[username]\AppData\Roaming.eXe
  • SHA256 hash:  78cc9626bb8d6f9d8ddf8236c197894a86f9d54a294b38c9c0b82744496b3fae
  • File description:  Merry X-Mas Ransomware



Fuente: https://isc.sans.edu//
Fuente: https://www.bleepingcomputer.com/news/security/-merry-christmas-ransomware-now-steals-user-private-data-via-diamondfox-malware/


Publicado por en No hay comentarios:

domingo, 25 de diciembre de 2016

#DDOS #Bootnet, Recomiendo darle una mirada: 

 UFO #DDoS #Botnet: Al siguiente link, donde se puede ver la facilidad como se explica bajar el software, instalarlo y ser parte de un botnet, inclusive hay videos. 

 Usarlo en contra de un site es ilegal!!!




./ufonet -a http://target.com.


Debemos reconocer que los atacantes estan a mayor velocidad que los fabricantes de seguridad.

 http://ufonet.03c8.net/#intro
Publicado por en No hay comentarios:
Etiquetas: , , , , , ,
Ubicación: Distrito de Lima, Perú
Suscribirse a: Entradas (Atom)