• Dextroyer

    Dextroyer es una herramienta multifuncional portable (no residente), diseñada para eliminar malware (virus, troyanos, gusanos, ransomware, etc) alojado en los dispositivos de almacenamiento masivo USB (pendrives o memorias usb, SSD, discos duros externos usb, SD card...)

    Leer más
  • BlackUSB

    BlackUSB es un script experimental, que previene el robo de datos personales, malware, herramientas forenses, BadUSB (USB Rubber Ducky), etc. Cuenta con versiones para Windows y Linux,....

    Leer más
  • Powerless

    Las palabras de moda en el ámbito tecnológico actual son censura, anonimato y privacidad. Apartándonos de lo sensacionalista y mediático del tema, es algo muy real (como aclaratoria para aquellos que viven en el paraíso), en países como Cuba, Venezuela, China, Irán, etc (Vea Top Ten de la censura)...

  • Clonación incremental

    ¿Qué sucedería si nos encontramos en un entorno crítico de respuesta inmediata, y lo que queremos es que si un disco duro falla, simplemente abrimos la tapa lateral de la carcasa (Chasis o CPU) del PC o servidor, desconectamos el disco con problemas y arrancamos el disco esclavo....

    Leer más
  • Andromeda

    Un nuevo virus está causando estragos en los PC de Latinoamérica con SO Windows. Clasificado como Backdoor, ya lleva un año haciendo de las suyas, tiene más nombres que Satanás y a la fecha, de acuerdo a Virus Total, solo unos pocos antivirus pueden detectarlo....

    Leer más
  • Firewall

    Aceptar o denegar Https: Un gran dilema al aplicar las políticas restrictivas en un servidor: usamos un proxy cache (3128) o un proxy transparente (80)...

febrero 18, 2017

Compartición de archivos II

Linux shares mapped as network drives in Windows. Image by techgage
En el post anterior Compartición de Archivos, publicamos una serie de recomendaciones referentes a Samba (una implementación libre del protocolo de archivos compartidos de Microsoft Windows para sistemas tipo UNIX que permite la interacción entre estas plataformas), pero con la llegada de Samba 4, los problemas en lugar de disminuir, aumentaron, ya que sus diseñadores no se molestaron en corregir las fallas de la versión, cuando ya estaban liberando la siguiente.
Para solucionar muchos males heredados de versiones previas a Samba 4, lo mejor es eliminarlo y reinstalarlo:
sudo apt purge -y samba samba-common smbclient system-config-samba
sudo rm -rf /etc/samba /etc/default/samba /var/cache/samba
sudo apt autoremove && sudo apt -y update && sudo apt -y dist-upgrade
sudo apt -y install libnss-winbind* libpam-winbind* samba* smbclient system-config-samba winbind*
sudo apt -f install
Una vez hecho esto, hay que hacer unos pequeños ajustes al archivo de configuración (/etc/samba/smb.conf) que harán que su Samba funcione mejor. 
Según mit.edu han surgido informes recientes de clientes Microsoft Windows con problemas de compatibilidad con servidores de seguridad a nivel de recurso compartido. Para solucionarlo edite smb.conf y reemplace en la sección [global]:
security = share
por
security = user
Y:
map to guest = bad user
por
map to guest = Bad Password
En el caso de carpetas públicas lo recomendado es asignarlas al grupo "nobody.nogroup" para evitar problemas de conexión con Windows. Ejemplo: (carpeta pública: "compartida").
mkdir -p compartida
sudo chown -R nobody.nogroup compartida
sudo chmod -R 777 compartida
También se recomienda desactivar las reglas obsoletas syslog:
# syslog only = no
# syslog = 0 
Un mensaje frecuente que vemos en los logs es similar a este: Samba name server USER is now a local master browser for workgroup WORKGROUP on subnet 192.168.1.16, que se repite cada vez que el servicio de samba reinicia:
Para prevenir que Samba haga esto como un intento de controlar la red local (Domain Controller Windows NT Server, o similares) se recomienda agregar a la sección [global] lo siguiente:
domain master = no
prefered master = no
local master = no
Establecer el hostname:
sudo hostnamectl set-hostname $HOSTNAME
Y verifique con:
cat /etc/hostname
Otro mensaje muy común es sobre el número límite de Windows rlimit_max: increasing rlimit_max (1024) to minimum Windows limit (16384). Para solucionar este problema, edite el archivo /etc/security/limits.conf y agregue la línea:
*  -  nofile  16384
Guarde cambios y reinicie el equipo. Finalmente pruebe su smb.conf para verificar que todos los parámetros están correctos, con el comando:
testparm
Y si todo sale bien, reinicie los servicios:
sudo systemctl restart smbd.service nmbd.service winbind.service
Sin embargo hay una falla de Samba 4, que no se puede solucionar con un simple cambio en la configuración. Si revisamos los logs (en algunos equipos) veremos el mensaje systemd[1]: Reloading LSB: start Samba SMB/CIFS daemon (smbd):
Este mensaje es normal que aparezca regularmente al reiniciar los servicios. Lo que no es normal es que se repita cada 5 minutos aproximadamente, y en cuestión de horas congestione los logs de samba. Muchos blogs hablan sobre el tema y al parecer afecta a algunas distribuciones de Linux; incluso es considerado un Bug. Desafortunadamente la solución a esta falla de Samba depende en gran medida de la configuración de las interfaces de red del equipo donde esté instalado.
NetworkManager es una especie de demonio o más bien un frontend (de iproute, dhclient, wpa_supplicant y ppp) que sirve para editar las conexiones de red, de una manera cómoda en el escritorio de Linux (sea cual sea). Es bastante intuitivo y facilita las conexiones, sobre todo las redes inalámbricas. Pero existe otro archivo llamado /etc/network/interfaces que hace exactamente lo mismo, con la diferencia que nos permite poner valores estáticos de configuración de nuestras interfaces de red, lo cual es bueno, ya que impide alteraciones en los parámetros por personas no autorizadas (se modifica con permisos de superusuario (sudo) o root), brindando una mayor seguridad que NetworkManager. Usualmente se utiliza para configurar las interfaces de red en servidores proxy y otros tipos de servidores en redes locales.
Estos dos "mecanismos" de interacción con las interfaces de red no siempre se llevan bien, y por lo general sucede que al ingresar información al archivo "interfaces", NetworkManager no lee adecuadamente la información de este archivo o simplemente queda inutilizado. El resultado de esta "pelea" afecta a Samba en su versión 4x (no podemos confirmar que esto suceda con versiones anteriores).
En resumen, Samba mantiene buenas relaciones con NetworkManager, ya sea con IPs estáticas o DHCP, pero tiene problemas con la información de red DHCP que pongamos manualmente en el archivo "interfaces". En concreto, la falla de Samba radica en que no interpreta bien la regla DHCP. Ejemplo:
auto eth0
iface eth0 inet dhcp
Esto genera el reinicio constante de los servicios de Samba y mensaje reloading lsb start samba smb/cifs daemon (smbd), causando desconexiones de los recursos compartidos. Paradójicamente no sucede lo mismo con la información en "interfaces" que contenga IPs estáticas, la cual Samba lee correctamente. Ejemplo:
auto eth0
iface eth0 inet static
address 192.168.0.10
netmask 255.255.255.0
broadcast 192.168.0.255
network 192.168.0.0
gateway 192.168.0.1
dns-nameservers 8.8.8.8 8.8.4.4
Entonces la solución para evitar el colapso de Samba es, si tenemos un servidor en producción con una o varias interfaces de red (ej: una para internet y otra para la red local), sin importar el tipo de interfaz (wifi, eth, etc.) se recomienda desinstalar NetworkManager y configurar el archivo "/etc/network/interfaces" y asignar a las tarjetas de red, direcciones IPs estáticas (fijas).
Caso contrario; si tenemos un terminal Linux para nuestro trabajo diario en una red local, lo recomendado es que maneje sus conexiones con NetworkManager (si va a usar NetworkManager, asegúrese de tener el archivo /etc/libuser.conf con los permisos adecuados. Si no lo tiene puede crearlo desde root).
Es necesario aclarar que estas fallas no afectan a todas las distribuciones de Linux ni a todas las versiones, por tanto recomendamos que revise sus logs, para cerciorarse, antes de aplicar las correcciones propuestas. Finalmente no olvide abrir en su firewall los puertos Samba (137, 138, 139 y 445 tcp/udp)
Maravento, Actualizado en: 11:43
Escrito por: Maravento Studio

febrero 14, 2017

CUPS

CUPS (Common UNIX Printing System) es un sistema de impresión para GNU/Linux y otros sistemas operativos basados sobre el estándar POSIX, distribuido bajo los términos de la licencia GNU/GPLv2. Podemos encontrar mucha información sobre CUPS en su sitio oficial.
Pero lo que nos trae no son las bondades de CUPS, sino los problemas que recientemente está generando después de las últimas actualizaciones, que afectan a casi todas las distribuciones de Linux, el cual verificamos en los logs, con el siguiente mensaje (cada 5 o 6 min y el servicio cae):
Feb  8 11:38:19 ubuntuserver systemd[1]: Started CUPS Scheduler.
Feb  8 11:42:20 ubuntuserver systemd[1]: Started CUPS Scheduler.
Feb  8 11:47:08 ubuntuserver systemd[1]: Started CUPS Scheduler.
Feb  8 11:50:59 ubuntuserver systemd[1]: Started CUPS Scheduler.
Feb  8 11:55:24 ubuntuserver systemd[1]: Started CUPS Scheduler.
Feb  8 11:59:22 ubuntuserver systemd[1]: Started CUPS Scheduler.
Feb  8 12:03:08 ubuntuserver systemd[1]: Started CUPS Scheduler.
Feb  8 12:07:20 ubuntuserver systemd[1]: Started CUPS Scheduler.
Feb  8 12:11:52 ubuntuserver systemd[1]: Started CUPS Scheduler.
Feb  8 12:16:10 ubuntuserver systemd[1]: Started CUPS Scheduler.
Feb  8 12:20:04 ubuntuserver systemd[1]: Started CUPS Scheduler.
Y el /var/log/cups/access_log:
localhost - - [14/Feb/2017:06:25:49 -0500] "POST / HTTP/1.1" 200 349 Create-Printer-Subscriptions successful-ok
localhost - - [14/Feb/2017:06:25:49 -0500] "POST / HTTP/1.1" 200 176 Create-Printer-Subscriptions successful-ok
localhost - - [14/Feb/2017:15:30:36 -0500] "POST / HTTP/1.1" 401 123 Cancel-Subscription successful-ok
localhost - root [14/Feb/2017:15:30:36 -0500] "POST / HTTP/1.1" 200 123 Cancel-Subscription successful-ok
localhost - - [14/Feb/2017:15:30:36 -0500] "POST / HTTP/1.1" 200 152 Cancel-Subscription successful-ok
localhost - - [14/Feb/2017:15:30:36 -0500] "POST / HTTP/1.1" 200 349 Create-Printer-Subscriptions successful-ok
localhost - - [14/Feb/2017:15:30:36 -0500] "POST / HTTP/1.1" 200 176 Create-Printer-Subscriptions successful-ok
localhost - - [14/Feb/2017:15:35:31 -0500] "POST / HTTP/1.1" 401 123 Cancel-Subscription successful-ok
localhost - root [14/Feb/2017:15:35:31 -0500] "POST / HTTP/1.1" 200 123 Cancel-Subscription successful-ok
localhost - - [14/Feb/2017:15:35:31 -0500] "POST / HTTP/1.1" 200 152 Cancel-Subscription successful-ok
localhost - - [14/Feb/2017:15:35:31 -0500] "POST / HTTP/1.1" 200 349 Create-Printer-Subscriptions successful-ok
localhost - - [14/Feb/2017:15:35:31 -0500] "POST / HTTP/1.1" 200 176 Create-Printer-Subscriptions successful-ok
localhost - - [14/Feb/2017:15:51:39 -0500] "POST / HTTP/1.1" 401 123 Cancel-Subscription successful-ok
localhost - root [14/Feb/2017:15:51:39 -0500] "POST / HTTP/1.1" 200 123 Cancel-Subscription successful-ok
localhost - - [14/Feb/2017:15:51:39 -0500] "POST / HTTP/1.1" 200 152 Cancel-Subscription successful-ok
localhost - - [14/Feb/2017:15:51:39 -0500] "POST / HTTP/1.1" 200 349 Create-Printer-Subscriptions successful-ok
localhost - - [14/Feb/2017:15:51:39 -0500] "POST / HTTP/1.1" 200 176 Create-Printer-Subscriptions successful-ok
localhost - - [14/Feb/2017:16:05:18 -0500] "POST / HTTP/1.1" 401 123 Cancel-Subscription successful-ok
localhost - root [14/Feb/2017:16:05:18 -0500] "POST / HTTP/1.1" 200 123 Cancel-Subscription successful-ok
localhost - - [14/Feb/2017:16:05:18 -0500] "POST / HTTP/1.1" 200 152 Cancel-Subscription successful-ok
localhost - - [14/Feb/2017:16:05:18 -0500] "POST / HTTP/1.1" 200 349 Create-Printer-Subscriptions successful-ok
localhost - - [14/Feb/2017:16:05:18 -0500] "POST / HTTP/1.1" 200 176 Create-Printer-Subscriptions successful-ok
Sin extendernos mucho, ya que es un BUG confirmado y hay abundante información sobre el problema, pasaremos directo a una solución provisional, que, al menos, evitará que su servidor se vuelva loco.
sudo cp -f /etc/cups/cupsd.conf{,.bak}
sudo service cups stop
sudo apt-get install -f
sudo cp /usr/share/cups/cupsd.conf.default /etc/cups/cupsd.conf
sudo service cups start
Y poner algún vigilante en /etc/init.d con el siguiente contenido:
# CUPS service
date=`date +%d/%m/%Y" "%H:%M:%S`
if [[ `ps -A | grep cupsd` != "" ]];then
echo -e "\nONLINE"
else
echo -e "\n"
service cups start
# constancia en el log (opcional)
echo "CUPS fue iniciado $date" >> /var/log/syslog.log
fi
#
date=`date +%d/%m/%Y" "%H:%M:%S`
if [[ `ps -A | grep cups-browsed` != "" ]];then
echo -e "\nONLINE"
else
echo -e "\n"
service cups start
# constancia en el log (opcional)
echo "CUPS-browsed fue iniciado $date" >> /var/log/syslog.log
fi
Y programar el script en el cron cada 2 min. Ej:
*/02 * * * * /etc/init.d/fixcups.sh
Otra solución que proponen en launchpad es editar cups.service y reemplazar "l" por "f":
/lib/systemd/system/cups.service
ExecStart=/usr/sbin/cupsd -f
Pero si no lo usa, lo más recomendado en estos momentos es que lo desinstale, hasta que se corrija el Bug de forma definitiva.
sudo apt-get purge --auto-remove cups-daemon
Maravento, Actualizado en: 16:25
Escrito por: Maravento Studio

diciembre 27, 2016

VPN War II

En la primera entrega VPN War, hablamos de la necesidad de conectar nuestras peticiones a una VPN. La seguridad ya dejó de ser algo exclusivo de los entusiastas de la informática, para convertirse en un tema de cada día en casi todas las mesas de conversación.
Pero elegir una VPN adecuada puede ser una pesadilla. El portal Torrentfreak se especializa en estos temas, y con sus referencias podremos guiarnos para poder hacer una buena selección. Sin embargo, para los que cuentan con pocos recursos, aún podemos tener la posibilidad de acceder a una VPN o algún tipo de servicio anónimo. Hoy traemos varias alternativas que realmente merecen la pena tener.

anonym8
Como bien cita Redeszone, es una nueva herramienta gratuita para sistemas Linux que nos permitirá proteger nuestra seguridad y privacidad en Internet. Esta herramienta se encarga de levantar un proxy transparente a través de la red anónima Tor, y también de redes I2P, por lo que el anonimato del usuario está casi garantizado.


4nonimizer
Es un script en bash cuyo objetivo es anonimizar (de momento) la IP pública con la que salimos a Internet mediante la gestión del proceso de conexión a TOR y a distintos proveedores VPNs (OpenVPN), ya sean gratuitos o de pago. Por defecto incluye preconfiguradas varias VPN gratuitas automatizando la conexión a distintos peers y la descarga de credenciales correspondientes. Además por defecto registra en ficheros logs la IP que usamos cada 300 segundos. Este script se habilita como servicio en sistemas systemd y levanta la vpn por defecto (VPNBook) en el inicio del sistema.

Hay un debate actualmente sobre si es o no una VPN. El ingeniero jefe de Opera Krystian Kolondra lo describe así: "Estamos llegando con un nuevo término: un navegador VPN - y nuestro objetivo es que toda la actividad de la red desde el navegador se enruta realmente a través de nuestro proxy seguro (a diferencia de los proxies habituales que sólo la ruta del tráfico web. Por lo tanto, es diferente de una VPN de todo el sistema, pero también es diferente de un proxy). Actualmente WebRTC y los complementos todavía no están enrutados de esa manera, pero estamos muy abiertos al respecto", aunque el desarrollador Michal Špaček sostiene que es solo un proxy (que provee surfeasy.com propiedad de Opera).
Sea cual sea la función (VPN o Proxy seguro), en lo que muchos coinciden es que Opera VPN es una mejor solución que los servidores proxy o VPNs gratuitas que abundan en internet. Opera es una empresa con un gran prestigio y necesita dar pasos para aumentar su cuota de mercado. Sabe que al convertirse en el primer y único navegador hasta la fecha que cuenta con este servicio incorporado por defecto en el navegador, la pone en la lupa de muchos expertos en seguridad, por tanto creemos que no va a correr riesgos innecesarios que puedan poner en peligro su cuota de mercado. Desde su salida a principios del 2016, hasta ahora no ha habido señalamientos adicionales al citado y va por muy buen camino. Esperamos que continúe así.
Pero no es solo por esta nueva funcionalidad. Este navegador tiene muchas otras virtudes, como motor Chromium (igual que Google Chrome), un buen rendimiento en JavaScript y el segundo mejor en rendimiento (después de Chrome) y es el que menos memoria RAM consume de todas las opciones del mercado (Chrome se traga literalmente la RAM). También podemos utilizar las extensiones de Chrome en Opera, descargando la extensión Chrome para acceder a Chrome Web Store e instalar las extensiones. Compatible con Linux, Windows, Android, etc. En fin, no tiene nada que envidiarle a sus rivales.
Fuentes consultadas (comparativas de navegadores): Computer Hoy,  ADSLzone, netmarketshare
Maravento, Actualizado en: 10:47
Escrito por: Maravento Studio

noviembre 12, 2016

VMs FATAL: No bootable medium found! System halted

Si manejamos máquinas virtuales, en un momento determinado es muy probable que queramos redimensionar los discos virtuales (se llenó el disco duro). En el post Redimensionar discos duros VMs, explicamos cómo hacerlo. Tanto para Linux, como para Windows es igual (En linux puede ejecutarlo como "VBoxManage" o "vboxmanage"):
C:\Archivos de programa\Oracle\VirtualBox>VBoxManage.exe modifyhd /path/disco.vdi --resize cantidad_de_mb
o
VBoxManage modifyhd /path/disco.vdi --resize cantidad_de_mb
Ejemplo: (Modificando VM de Win10 en Ubuntu 16.04x a 100 GB)
VBoxManage modifyhd "10.vdi" --resize 100000
El problema
Las nuevas versiones de Virtualbox 4x (y actualmente 5x), comenzaron a presentar problemas al ejecutar este comando para redimencionar un disco VDI y eventualmente se corrompe su partición, quedando irreconocible, a pesar de indicar que la operación fue exitosa.
Y al arrancar la VM, sale el mensaje:
FATAL: No bootable medium found! System halted
Nota: Este mensaje de error "FATAL: No bootable medium found! System halted" también se presenta cuando el disco duro virtual está vacío o no hay un medio (DVD/CD/HDD) conectado a VirtualBox, pero en este post solamente abordaremos el caso del error después de un redimensionado de disco virtual con el comando "VBoxManage modifyhd (resize)".
¿Por qué ocurre esto?
En el foro de VirtualBox responden que es "culpa del usuario". Si bien esto es cierto, ya que antes de hacer cualquier operación sobre un disco virtual o físico siempre hay que hacer SÍ o SÍ backup de todos los datos, lo que sucede, como bien cita un usuario de superuser, es que la documentación VBoxManager es bastante engañosa y a nuestro juicio es una receta para el desastre.
¿Cómo se debe ejecutar correctamente el redimensionado de particiones?
Este comando se recomienda ejecutarlo siempre y cuando el disco virtual y los demás archivos asociados al mismo estén EN EL MISMO DIRECTORIO, tal y como se muestra en la siguiente imagen de una VM de Windows 10.
Si se ejecuta el comando y el VDI y sus archivos asociados (Logs, Snapshots, 10.vbox, 10.vbox-prev), están en ubicaciones diferentes, existe un alto porcentaje de probabilidades de que se corrompa el disco después de ejecutado el comando. Esto es porque Virtualbox actualizaría el disco VDI pero sus archivos asociados no interpretarían correctamente la redimensión.
Sin embargo este problema también se puede presentar en otros tipos de escenarios. A continuación algunos casos donde si ejecuta este comando es altamente probable que genere este error y corrompa la partición de su disco y la recomendación para evitarlo:
1. No se recomienda ejecutar el comando VBoxManage modifyhd (resize) en sistemas Windows 9x, NT5, Server y x86.
2. No debe redimensionar un disco para reducir su partición (solo para aumentarla), o sea este proceso es de una sola vía.
3. Si no conoce o no está seguro del tamaño real del disco virtual con el que fue creado (no la capacidad interna que muestra el disco sino el tamaño asignado durante la creación) no intente redimensionarlo.
4. El redimensionado solo funciona en particiones dinámicas (no fijas o "fixed")
A estas alturas ya se habrá dado cuenta que el comando "VBoxManage modifyhd (resize)" no es muy confiable. De hecho no recomendamos su uso, y a nuestro juicio es mucho mejor clonar que redimensionar y la solución es VBoxManage clonehd.
Pasos para redimensionar un Disco Virtual VDI usando clonehd
1. Crear un nuevo disco virtual con tamaño deseado. La opción "size" debe incluir el tamaño el cual debe ser mayor al disco anterior (old.vdi). Por defecto crea archivos VDI. Las comillas son opcionales; se recomiendan si hay espacios en el path.
VBoxManage createhd --filename "/path/New.vdi" --size 100000
2. Clonar el disco antiguo en el disco recién creado. Es importante que antes de ejecutar el siguiente comando el disco antiguo esté apagado. La clonación no se puede realizar en caliente:
VBoxManage clonehd "/path/Old.vdi" "/path/New.vdi" --existing
Si va a usar la interfaz gráfica de Virtualbox para clonar, ambos discos NO deben estar en la misma ruta (path)
3. Desconecte el disco antiguo a través de la configuración de almacenamiento en VirtualBox, conecte el nuevo disco e inícielo.
4. Si es Windows, ir a Administración de equipos y Ampliar el espacio en disco. Si no quiere hacerlo manualmente puede usar aplicativos como AOMEI Partition Assistant Standard, GParted, o cualquier otro.
Otra ventaja de clonehd es que permite convertir un disco con tamaño fijo (fixed disk) en dinámico (tamaño variable) usando la opción "variant" durante el clonado:
VBoxManage clonehd "/path/Old.vdi" "/path/New.vdi" --variant Standard
VBoxManage clonehd "/path/Old.vdi" "/path/New.vdi" --variant Fixed
Y también permite especificar el formato al disco, con la opción --format VDI|VMDK|VHD donde VHD es Hyper-V generation 1 format y VHDX es Hyper-V generation 2 format:
VboxManage clonehd "/path/Old.vdi" "/path/New.vdi" --format VDI
O puede echar mano del comando convertdd para cambiarle el formato al disco
VBoxManage convertdd "/path/Old.vdi" "/path/New.vmdk"
Y si no le gusta trabajar por terminal, puede usar las herramientas CloneVDI (clonar discos) y Disk2vhd (convertir discos)
Otras opciones de clonehd, createhd y convertdd:
VBoxManage clonemedium      [disk|dvd|floppy] < uuid|inputfile > < uuid|outputfile >
                            [--format VDI|VMDK|VHD|RAW|< other >]
                            [--variant Standard,Fixed,Split2G,Stream,ESX]
                            [--existing]

VBoxManage createmedium     [disk|dvd|floppy] --filename < filename >
                            [--size < megabytes >|--sizebyte < bytes >]
                            [--diffparent < uuid >|< filename >
                            [--format VDI|VMDK|VHD] (default: VDI)
                            [--variant Standard,Fixed,Split2G,Stream,ESX]

VBoxManage convertfromraw   < filename > < outputfile >
                            [--format VDI|VMDK|VHD]
                            [--variant Standard,Fixed,Split2G,Stream,ESX]
                            [--uuid < uuid >]
VBoxManage convertfromraw   stdin < outputfile > < bytes >
                            [--format VDI|VMDK|VHD]
                            [--variant Standard,Fixed,Split2G,Stream,ESX]
                            [--uuid < uuid >]
Y sin importar qué comando utilice, no olvide hacer copia de seguridad "antes de" realizar un redimensionado de disco.
Maravento, Actualizado en: 11:07
Escrito por: Maravento Studio

noviembre 09, 2016

Un miercoles cualquiera: e-mail spoofing

En esta nueva entrega de la serie e-mail spoofing le tocó el turno a la Alcaldía de la bella ciudad de Páramo, Santander, Colombia. Son de esos lugares pequeños, gente cálida y trabajadora, que no le hace mal a nadie y muy hospitalarios con el foraneo, y que por esa misma razón, los cibercriminales se aprovecharon de sus fallas de seguridad y tomaron el control de un correo oficial de esta institución pública y comenzaron a enviar malware a su lista de contactos.
En otras palabras, este caso se aleja un poco del spoofing tradicional, para entrar en el campo del phishing con escalada de privilegios.
Correo a la lista de contactos (otras instituciones): Sencillo pero creíble (ya que es de contacto a contacto institucional, por tanto no hay sospechas y Google App nuevamente falla en la seguridad al no detectar el contenido del mail..
La carga útil: Un archivo llamado "Pago de nomina impuestos vencidos.uue", se descomprime con la clave brindada en el mail y queda el veneno del mismo nombre pero ejecutable. Que al iniciar genera los procesos nrygwfxblb.exe, WinHost32.exe -fortinet client-, MSBuild.exe que son creados por los archivos aaaaaaaa.exe y WinHost32.exe en %USERPROFILE% y %temp% respectivamente.
Su tasa de infección y propagación es bastante rápida a pesar de ser nuevo (Virus Total).
Y sus registros de conexiones...
Pero no se limita a este pequeño pueblo. Cientos de correos oficiales de muchas instituciones públicas colombianas ya han sido comprometidos, sin que a la fecha el MINTIC (entidad gubernamental que controla estos correos) haya hecho algo al respecto.
Por ejemplo, Tolima, con el malware "Validacion de pago pse portal.exe" (o Devolucion de dinero cheque gerencial.exe):
Dagua, Valle con el malware "aprobacion de transferencia 2500000.exe"...
Y muchas otras. Puede cerrar estos procesos y eliminar este dañino malware manualmente o utilizar Dextroyer.

Nota de publicación:
La información publicada, así como las evidencias del malware, fueron suministradas por un empleado de una de las instituciones afectadas.
Maravento, Actualizado en: 16:02
Escrito por: Maravento Studio
 
© 2017 Maravento. All Rights Reserved | Powered by Maravento
Design by Novatoz and Maravento | Bloggerized By LawnyDesignz
# https://github.com/google/code-prettify