• Isolation

    La idea original del script es "saltarse los pay-wall de los hotspot" usando la técnica de spoofing, que no es más que escanear el hotspot, buscar usuarios válidos y suplantar su ip/mac, sin embargo esto puede ser aplicable a cualquier red que tengamos acceso....

    Leer más
  • Powerless

    Las palabras de moda en el ámbito tecnológico actual son censura, anonimato y privacidad. Apartándonos de lo sensacionalista y mediático del tema, es algo muy real (como aclaratoria para aquellos que viven en el paraíso), en países como Cuba, Venezuela, China, Irán, etc (Vea Top Ten de la censura)...

  • Andromeda

    Un nuevo virus está causando estragos en los PC de Latinoamérica con SO Windows. Clasificado como Backdoor, ya lleva un año haciendo de las suyas, tiene más nombres que Satanás y a la fecha, de acuerdo a Virus Total, solo unos pocos antivirus pueden detectarlo....

    Leer más
  • Network Monitor

    En la serie Firewall explicamos el uso de iptables, squid3 y dhcp, para establecer restricciones en una red local. Protegimos nuestro perímetro con técnicas sofisticadas pero muy sencillas de implementar, como Fail2ban, ARPon, DDOs Deflate, etc, las cuales forman parte de nuestro Escudo de Red....

    Leer más
  • BUS; la más completa suite de herramientas usb

    Hemos liberado la nueva versión 4.7 de la megasuite de herramientas usb BUS (Boot Usb Suite); antigua AIO-BootUSB. Con ella no solo repararas tus dispositivos usb, sino para construir un superdrive capaz de lanzar cualquier instalación de Windows y Linux....

  • Secure Virtual Cloud (SVC)

    En un mundo donde se liberan más de 300 millones de malware al año, la seguridad en los entornos informáticos es cada vez más importante. Hay un principio básico: Primero existe la enfermedad y luego la cura. Bajo este planteamiento podemos concluir que no existe ningún antivirus 100% fiable...

    Leer más
  • Clonación incremental

    ¿Qué sucedería si nos encontramos en un entorno crítico de respuesta inmediata, y lo que queremos es que si un disco duro falla, simplemente abrimos la tapa lateral de la carcasa (Chasis o CPU) del PC o servidor, desconectamos el disco con problemas y arrancamos el disco esclavo....

    Leer más
  • Firewall

    Aceptar o denegar Https: Un gran dilema al aplicar las políticas restrictivas en un servidor: usamos un proxy cache (3128) o un proxy transparente (80)...

  • Clonar una DB Oracle

    Mucho se ha hablado de este tema, sin embargo desafortunadamente Oracle no "clona" bases de datos. Cuando hablamos de clonar una DB, nos referimos a una réplica exacta de la base de datos en origen y destino. Digamos que tenemos dos servidores con el mismo S.O. y versión de Oracle....

    Leer más
  • Quién usa GNU/Linux

    Interesante artículo que me encuentro en humanOS donde se recopilan una serie de informaciones que nos dicen en cuales rincones del mundo se usa GNU/Linux. Me sorprende además que sea Cuba uno de los principales países interesados en las distribuciones de GNU/Linux. o_O...

    Leer más

noviembre 12, 2016

VMs FATAL: No bootable medium found! System halted

Si manejamos máquinas virtuales, en un momento determinado es muy probable que queramos redimensionar los discos virtuales (se llenó el disco duro). En el post Redimensionar discos duros VMs, explicamos cómo hacerlo. Tanto para Linux, como para Windows es igual (En linux puede ejecutarlo como "VBoxManage" o "vboxmanage"):
C:\Archivos de programa\Oracle\VirtualBox>VBoxManage.exe modifyhd /path/disco.vdi --resize cantidad_de_mb
o
VBoxManage modifyhd /path/disco.vdi --resize cantidad_de_mb
Ejemplo: (Modificando VM de Win10 en Ubuntu 16.04x a 100 GB)
VBoxManage modifyhd "10.vdi" --resize 100000
El problema
Las nuevas versiones de Virtualbox 4x (y actualmente 5x), comenzaron a presentar problemas al ejecutar este comando para redimencionar un disco VDI y eventualmente se corrompe su partición, quedando irreconocible, a pesar de indicar que la operación fue exitosa.
Y al arrancar la VM, sale el mensaje:
FATAL: No bootable medium found! System halted
Nota: Este mensaje de error "FATAL: No bootable medium found! System halted" también se presenta cuando el disco duro virtual está vacío o no hay un medio (DVD/CD/HDD) conectado a VirtualBox, pero en este post solamente abordaremos el caso del error después de un redimensionado de disco virtual con el comando "VBoxManage modifyhd (resize)".
¿Por qué ocurre esto?
En el foro de VirtualBox responden que es "culpa del usuario". Si bien esto es cierto, ya que antes de hacer cualquier operación sobre un disco virtual o físico siempre hay que hacer SÍ o SÍ backup de todos los datos, lo que sucede, como bien cita un usuario de superuser, es que la documentación VBoxManager es bastante engañosa y a nuestro juicio es una receta para el desastre.
¿Cómo se debe ejecutar correctamente el redimensionado de particiones?
Este comando se recomienda ejecutarlo siempre y cuando el disco virtual y los demás archivos asociados al mismo estén EN EL MISMO DIRECTORIO, tal y como se muestra en la siguiente imagen de una VM de Windows 10.
Si se ejecuta el comando y el VDI y sus archivos asociados (Logs, Snapshots, 10.vbox, 10.vbox-prev), están en ubicaciones diferentes, existe un alto porcentaje de probabilidades de que se corrompa el disco después de ejecutado el comando. Esto es porque Virtualbox actualizaría el disco VDI pero sus archivos asociados no interpretarían correctamente la redimensión.
Sin embargo este problema también se puede presentar en otros tipos de escenarios. A continuación algunos casos donde si ejecuta este comando es altamente probable que genere este error y corrompa la partición de su disco y la recomendación para evitarlo:
1. No se recomienda ejecutar el comando VBoxManage modifyhd (resize) en sistemas Windows 9x, NT5, Server y x86.
2. No debe redimensionar un disco para reducir su partición (solo para aumentarla), o sea este proceso es de una sola vía.
3. Si no conoce o no está seguro del tamaño real del disco virtual con el que fue creado (no la capacidad interna que muestra el disco sino el tamaño asignado durante la creación) no intente redimensionarlo.
4. El redimensionado solo funciona en particiones dinámicas (no fijas o "fixed")
A estas alturas ya se habrá dado cuenta que el comando "VBoxManage modifyhd (resize)" no es muy confiable. De hecho no recomendamos su uso, y a nuestro juicio es mucho mejor clonar que redimensionar y la solución es VBoxManage clonehd.
Pasos para redimensionar un Disco Virtual VDI usando clonehd
1. Crear un nuevo disco virtual con tamaño deseado. La opción "size" debe incluir el tamaño el cual debe ser mayor al disco anterior (old.vdi). Por defecto crea archivos VDI. Las comillas son opcionales; se recomiendan si hay espacios en el path.
VBoxManage createhd --filename "/path/New.vdi" --size 100000
2. Clonar el disco antiguo en el disco recién creado. Es importante que antes de ejecutar el siguiente comando el disco antiguo esté apagado. La clonación no se puede realizar en caliente:
VBoxManage clonehd "/path/Old.vdi" "/path/New.vdi" --existing
Si va a usar la interfaz gráfica de Virtualbox para clonar, ambos discos NO deben estar en la misma ruta (path)
3. Desconecte el disco antiguo a través de la configuración de almacenamiento en VirtualBox, conecte el nuevo disco e inícielo.
4. Si es Windows, ir a Administración de equipos y Ampliar el espacio en disco. Si no quiere hacerlo manualmente puede usar aplicativos como AOMEI Partition Assistant Standard, GParted, o cualquier otro.
Otra ventaja de clonehd es que permite convertir un disco con tamaño fijo (fixed disk) en dinámico (tamaño variable) usando la opción "variant" durante el clonado:
VBoxManage clonehd "/path/Old.vdi" "/path/New.vdi" --variant Standard
VBoxManage clonehd "/path/Old.vdi" "/path/New.vdi" --variant Fixed
Y también permite especificar el formato al disco, con la opción --format VDI|VMDK|VHD donde VHD es Hyper-V generation 1 format y VHDX es Hyper-V generation 2 format:
VboxManage clonehd "/path/Old.vdi" "/path/New.vdi" --format VDI
O puede echar mano del comando convertdd para cambiarle el formato al disco
VBoxManage convertdd "/path/Old.vdi" "/path/New.vmdk"
Y si no le gusta trabajar por terminal, puede usar las herramientas CloneVDI (clonar discos) y Disk2vhd (convertir discos)
Otras opciones de clonehd, createhd y convertdd:
VBoxManage clonemedium      [disk|dvd|floppy] < uuid|inputfile > < uuid|outputfile >
                            [--format VDI|VMDK|VHD|RAW|< other >]
                            [--variant Standard,Fixed,Split2G,Stream,ESX]
                            [--existing]

VBoxManage createmedium     [disk|dvd|floppy] --filename < filename >
                            [--size < megabytes >|--sizebyte < bytes >]
                            [--diffparent < uuid >|< filename >
                            [--format VDI|VMDK|VHD] (default: VDI)
                            [--variant Standard,Fixed,Split2G,Stream,ESX]

VBoxManage convertfromraw   < filename > < outputfile >
                            [--format VDI|VMDK|VHD]
                            [--variant Standard,Fixed,Split2G,Stream,ESX]
                            [--uuid < uuid >]
VBoxManage convertfromraw   stdin < outputfile > < bytes >
                            [--format VDI|VMDK|VHD]
                            [--variant Standard,Fixed,Split2G,Stream,ESX]
                            [--uuid < uuid >]
Y sin importar qué comando utilice, no olvide hacer copia de seguridad "antes de" realizar un redimensionado de disco.
Maravento, Actualizado en: 11:07
Escrito por: Maravento Studio

noviembre 09, 2016

Un miercoles cualquiera: e-mail spoofing

En esta nueva entrega de la serie e-mail spoofing le tocó el turno a la Alcaldía de la bella ciudad de Páramo, Santander, Colombia. Son de esos lugares pequeños, gente cálida y trabajadora, que no le hace mal a nadie y muy hospitalarios con el foraneo, y que por esa misma razón, los cibercriminales se aprovecharon de sus fallas de seguridad y tomaron el control de un correo oficial de esta institución pública y comenzaron a enviar malware a su lista de contactos.
En otras palabras, este caso se aleja un poco del spoofing tradicional, para entrar en el campo del phishing con escalada de privilegios.
Correo a la lista de contactos (otras instituciones): Sencillo pero creíble (ya que es de contacto a contacto institucional, por tanto no hay sospechas y Google App nuevamente falla en la seguridad al no detectar el contenido del mail..
La carga útil: Un archivo llamado "Pago de nomina impuestos vencidos.uue", se descomprime con la clave brindada en el mail y queda el veneno del mismo nombre pero ejecutable. Que al iniciar genera los procesos nrygwfxblb.exe, WinHost32.exe -fortinet client-, MSBuild.exe que son creados por los archivos aaaaaaaa.exe y WinHost32.exe en %USERPROFILE% y %temp% respectivamente.
Su tasa de infección y propagación es bastante rápida a pesar de ser nuevo (Virus Total).
Y sus registros de conexiones...
Pero no se limita a este pequeño pueblo. Cientos de correos oficiales de muchas instituciones públicas colombianas ya han sido comprometidos, sin que a la fecha el MINTIC (entidad gubernamental que controla estos correos) haya hecho algo al respecto.
Por ejemplo, Tolima, con el malware "Validacion de pago pse portal.exe" (o Devolucion de dinero cheque gerencial.exe):
Dagua, Valle con el malware "aprobacion de transferencia 2500000.exe"...
Y muchas otras. Puede cerrar estos procesos y eliminar este dañino malware manualmente o utilizar Dextroyer.

Nota de publicación:
La información publicada, así como las evidencias del malware, fueron suministradas por un empleado de una de las instituciones afectadas.
Maravento, Actualizado en: 16:02
Escrito por: Maravento Studio

octubre 04, 2016

Un martes cualquiera: e-mail spoofing

En la primera entrega dedicada a los e-mails spoofing titulada "Un Lunes cualquiera" (cada entrega tendrá un día de la semana), nos referimos a dos grandes entidades financieras y de créditos de Colombia Davivienda y Serlefin víctimas de esta práctica.
Hoy le tocó el turno a CISA, la central de inversiones del estado colombiano; un mounstruo burocrático... Como alguien dijo alguna vez: "el tamaño de la empresa es directamente proporcional al tamaño de la cagada en seguridad informática"; algo típico en las entidades estatales de latino-américa
Como en la publicación anterior, envían un mail a los clientes de esta empresa (no se sábe cómo consiguen la base de datos de los clientes), pero a diferencia del caso anterior, esta vez se arriesgan y envían un anexo, el cual contiene un contenedor llamado Notificación de Medidas Cautelares.tbz y dentro un ejecutable con el virus del mismo nombre, burlando los controles de seguridad de gmail.
Correo spoofing de CISA
(El nombre de la empresa víctima ha sido suprimido por seguridad)
Una vez se abre el archivo automáticamente genera un proceso explorer.exe falso y varios svchost.exe, tal y como se muestra en la imagen.
El cual genera unas carpetas fake en Home (~TEREDF) y el path %APPDATA% llamadas sistem32 (con un archivo sistema llamado "dmw"), System32 (con el ejecutable "dwll.exe" que también ejecuta un proceso bastante persistente) y una aplicación llamada "iSeptember21.exe"
Y su registro de conexiones...
Y el reporte de hybrid-analysis.com, donde muestra datos del certificado, a nombre de una tal Debora Fernandez (deboragf93@gmail.com para que le envíen "saludos")...
Consultamos VirusTotal, y parece que es un malware joven (oremos por su descanso eterno)
Para eliminarlo simplemente cierre manualmente estos procesos fake y elimine las carpetas, o también puede eliminarlo con nuestro herramienta Dextroyer o con cualquiera de los antivirus que VirusTotal relaciona en su lista negra.

Vea Un Miercoles Cualquiera
Maravento, Actualizado en: 19:05
Escrito por: Maravento Studio

septiembre 28, 2016

Virustotal realmente funciona?

Esta es una pregunta que a muchos les ha pasado por la cabeza, porque este tipo de herramientas a veces dejan mucho que desear.
Para resolver el dilema hicimos una simple prueba:
1. Creamos un .bat el cual nombramos drive.bat
2. Dentro pusimos el "número del diablo" llamando a un javascript ficticio de nombre "demonio", para darle un tinte "dark" a la prueba:
cd Drive
start wscript "666\demon.js"
exit
3. Subimos el .bat a VirusTotal y voilá!. Comenzaron a aparecer los falsos positivos. Incluso le pusieron un nombre extraño, suponemos que para asustar al usuario. (Vea el Resultado)
Conclusión:
Las soluciones como Virus Total (y muchos antivirus y firewalls), en muchos casos no analizan los archivos con métodos sofisticados basados en firmas y otras técnicas para comprobar si el archivo a analizar es realmente un malware o no. Simplemente tienen una "big and fat blacklist" de nombres de malwares, y si tu archivo (o parte de su contenido) hace "match" en esta super mega lista, así sea inofensivo, aparecerá reportado (y todo indica que le asignan ll nombre de un malware previamente documentado).
Así las cosas, con herramientas como éstas jamás se ganará la guerra contra el malware, y todo lo que necesita un creador de virus informáticos para tener éxito es ponerle un buen nombre a su "frasco de veneno" (El enorme éxito del virus Melissa se debió en gran parte a su nombre).
Maravento, Actualizado en: 11:34
Escrito por: Maravento Studio

septiembre 26, 2016

WiFi Underground

Hay muchos (pentesters o no), que quieren auditar redes WiFi, sin entrar en detalles sobre sus motivaciones. He aquí una relación de las herramientas que deberían tener. Muchas de ellas no disponibles en Google Play y otras tiendas.
Requisitos: Android 4x, 5x y Root
DSploit: Contiene múltiples herramientas para el análisis de redes y pentesting (HowTO)
WiFikill: Nos permite inhabilitar la conexión a Internet de cualquier dispositivo conectado s la LAN, incluso puede tirarse la red entera si es su voluntad impidiendo cualquier navegación, usando ARP Spoofing. Para bloquear/Desbloquear se escanea la red, luego pulsar sobre el objetivo y presionar "grab" y luego "kill" (para liberarlo en el mismo orden a la inversa). (HowTO)
Intercepter-NG: La navaja suiza para hacer ataques en una red WiFi, capturando el tráfico de una red local a la que estemos conectados por medio de ataques de tipo ARP poisoning. Pulsamos sobre icono en forma de radar, y después de escanear seleccionamos el/los objetivo/s que aparecen en el menú superior de la pantalla, y donde también aparecen muchas herramientas. (HowTO)
zANTI: Similar a las anteriores (HowTO)
Adicional se recomienda KingRoot y SELinuxModeChanger para un control de su terminal, Fing para mapeo de la red y WiFiAnalyzer (open-source) para el diagnostico de los AP.
Maravento, Actualizado en: 18:03
Escrito por: Maravento Studio
 
© 2015 Maravento. All Rights Reserved | Powered by Maravento
Design by Novatoz and Maravento | Bloggerized By LawnyDesignz
# https://github.com/google/code-prettify