• Isolation

    La idea original del script es "saltarse los pay-wall de los hotspot" usando la técnica de spoofing, que no es más que escanear el hotspot, buscar usuarios válidos y suplantar su ip/mac, sin embargo esto puede ser aplicable a cualquier red que tengamos acceso....

    Leer más
  • Powerless

    Las palabras de moda en el ámbito tecnológico actual son censura, anonimato y privacidad. Apartándonos de lo sensacionalista y mediático del tema, es algo muy real (como aclaratoria para aquellos que viven en el paraíso), en países como Cuba, Venezuela, China, Irán, etc (Vea Top Ten de la censura)...

  • Andromeda

    Un nuevo virus está causando estragos en los PC de Latinoamérica con SO Windows. Clasificado como Backdoor, ya lleva un año haciendo de las suyas, tiene más nombres que Satanás y a la fecha, de acuerdo a Virus Total, solo unos pocos antivirus pueden detectarlo....

    Leer más
  • Network Monitor

    En la serie Firewall explicamos el uso de iptables, squid3 y dhcp, para establecer restricciones en una red local. Protegimos nuestro perímetro con técnicas sofisticadas pero muy sencillas de implementar, como Fail2ban, ARPon, DDOs Deflate, etc, las cuales forman parte de nuestro Escudo de Red....

    Leer más
  • BUS; la más completa suite de herramientas usb

    Hemos liberado la nueva versión 4.7 de la megasuite de herramientas usb BUS (Boot Usb Suite); antigua AIO-BootUSB. Con ella no solo repararas tus dispositivos usb, sino para construir un superdrive capaz de lanzar cualquier instalación de Windows y Linux....

  • Secure Virtual Cloud (SVC)

    En un mundo donde se liberan más de 300 millones de malware al año, la seguridad en los entornos informáticos es cada vez más importante. Hay un principio básico: Primero existe la enfermedad y luego la cura. Bajo este planteamiento podemos concluir que no existe ningún antivirus 100% fiable...

    Leer más
  • Clonación incremental

    ¿Qué sucedería si nos encontramos en un entorno crítico de respuesta inmediata, y lo que queremos es que si un disco duro falla, simplemente abrimos la tapa lateral de la carcasa (Chasis o CPU) del PC o servidor, desconectamos el disco con problemas y arrancamos el disco esclavo....

    Leer más
  • Firewall

    Aceptar o denegar Https: Un gran dilema al aplicar las políticas restrictivas en un servidor: usamos un proxy cache (3128) o un proxy transparente (80)...

  • Clonar una DB Oracle

    Mucho se ha hablado de este tema, sin embargo desafortunadamente Oracle no "clona" bases de datos. Cuando hablamos de clonar una DB, nos referimos a una réplica exacta de la base de datos en origen y destino. Digamos que tenemos dos servidores con el mismo S.O. y versión de Oracle....

    Leer más
  • Quién usa GNU/Linux

    Interesante artículo que me encuentro en humanOS donde se recopilan una serie de informaciones que nos dicen en cuales rincones del mundo se usa GNU/Linux. Me sorprende además que sea Cuba uno de los principales países interesados en las distribuciones de GNU/Linux. o_O...

    Leer más

septiembre 26, 2016

WiFi Underground

Hay muchos (pentesters o no), que quieren auditar redes WiFi, sin entrar en detalles sobre sus motivaciones. He aquí una relación de las herramientas que deberían tener. Muchas de ellas no disponibles en Google Play y otras tiendas.
Requisitos: Android 4x, 5x y Root
DSploit: Contiene múltiples herramientas para el análisis de redes y pentesting (HowTO)
WiFikill: Nos permite inhabilitar la conexión a Internet de cualquier dispositivo conectado s la LAN, incluso puede tirarse la red entera si es su voluntad impidiendo cualquier navegación, usando ARP Spoofing. Para bloquear/Desbloquear se escanea la red, luego pulsar sobre el objetivo y presionar "grab" y luego "kill" (para liberarlo en el mismo orden a la inversa). (HowTO)
Intercepter-NG: La navaja suiza para hacer ataques en una red WiFi, capturando el tráfico de una red local a la que estemos conectados por medio de ataques de tipo ARP poisoning. Pulsamos sobre icono en forma de radar, y después de escanear seleccionamos el/los objetivo/s que aparecen en el menú superior de la pantalla, y donde también aparecen muchas herramientas. (HowTO)
zANTI: Similar a las anteriores (HowTO)

Adicional se recomienda KingRoot y SELinuxModeChanger para un control de su terminal, y Fing para mapeo de la red.
Maravento, Actualizado en: 18:03
Escrito por: Maravento Studio

agosto 29, 2016

Un lunes cualquiera: e-mail spoofing

Como todos los días (ya se ha vuelto algo "normal") los e-mails spoofing llegan de todos lados. Esta vez le toco el turno a las entidades financieras y de créditos Davivienda y Serlefin de Colombia, las cuales son víctimas de esta práctica.
Envían un mail a sus clientes con "todos los juguetes" (ver imagen encabezado). Y en el enlace está el veneno. Revisado su contenido en VirusTotal, parece que llevan algún tiempo haciendo maldades.
Y después de ejecutar el malware (00193serlefindetallado.exe con un ícono de PDF) en un entorno seguro, este activa otro ejecutable (Ecfa.exe AutoIt v3 Script) guarda el veneno en la ruta C:\Users\Usuario\a2YsJPcBEizgpvli y que registran las siguientes conexiones al servidor duckdns.org:
Así las cosas, si Usted vive en Colombia (puede suceder en cualquier lado) le llega un mail de alguna entidad financiera, tómense todo el tiempo necesario para revisarlo, de ser posible con lupa, no sea que su vida privada y ahorros de toda la vida "desaparezcan".
Pero aún hay una pregunta en el aire: ¿Cómo consiguieron las listas de correos de los clientes de estas entidades?.... Todo apunta a un "Inside Job"
Maravento, Actualizado en: 18:07
Escrito por: Maravento Studio

agosto 16, 2016

Blackwords

Reporte Sarg de accesos de Malware basado en WSH
En el post Malware Microsoft Windows Based Script Host explicamos el comportamiento de los virus que utilizan el motor WSH, incluido por defecto en Windows, para lanzar su carga útil. 
Pero no es todo lo que hacen. En el post sobre el malware Excel.WsF, explicamos que generalmente estos ejemplares se comunican con sus creadores, o tal vez con un bot o solo Dios sabe con qué o con quién.
En cualquier caso se puede detectar actividad anormal en los logs, siempre y cuando tengamos activado algún sistemas de monitoreo. Y, tanto su detección como bloqueo de acceso es relativamente sencillo. Basta con instalar squid-cache en nuestro servidor y bloquear la url o IP a la que interna acceder el "veneno".
Sin embargo, no siempre estos "personajes" suelen acceder a URL/IP. En ocasiones, la actividad del malware muestra registros no tradicionales, tal y como se muestra en la imagen del encabezado del post, correspondiente a un reporte de Sarg. Ahí podemos apreciar que no existen dominios de nivel superior tlds (.com, .net, etc), ni otra clase de dominio.
Afortunadamente para esto squid-cache también tiene una regla, que si bien no es muy recomendable usarla porque puede generar falsos positivos, en un caso así, con palabras muy específicas, puede brindarnos los resultados deseados.
Creamos una lista (ACL), que a modo de ejemplo llamaremos blackwords y ahí incluimos "las palabras" de acceso del malware; tales como:
### Malware ###
akypkjyg
avbhfcx
bgnuhel
bsgwubttkrqxom
byyhledheuqmlx
cezbooriofdb
dibtmyhui
djgcnbxvhfdnvy
dtkekhzhjm3
egackzjltmrth
firtnwusttiqljd
fykhqtnfbln
gbhphmdbwj
gdccxvzle
gkuaecudqx
guibculkx
gvradwwhv
halbpikavkefxun
hbeapjdrad
ihacgeogmu
ilvhzddk
imuyvbl
ioitimj
itasfycf
jdmwovdtl
jpgqgxmjfny
jtnkanibusk
jxpametwtjtp
kgvoyuxhij
lforjztyaoqnuvw
llfahumoziq
lqteckxovido
lvaxpvfubxjqsx
lwuznzrkp
mldwgptlaz
mlpylwwpzsubtdz
mmfgdnxkux
ngaqwlacef
ngesmtueafir
nkbgvahkjf
nnhecurcvtlqk
npndlovls
nygczzcq
owgchttlvev
psuhqsdzrx
ptcciubreogmf
ptrxcz
pudqfhukfrwo
qfldjjnbn
qkckbclr
qrrcrkhynthgoyq
qyjunrlfl
ratpcineuusp
rcuribi
rdwdtruhunra
rmgnqxfdw
ronkyrwphq
rullqomexxjbta
sgfzoldaxknv
slxkmwrsvzmjkg
stmltjhsoywm
sxnwdubcdpbnc
tdblmsoh
udddyyj
uicbugdyqjgrvse
umcnlus
urbrfhy
vabrikemuwhlw
vhdgeoxigghtmfj
vjivhfekl
wdqewiwheoo
xirrlibkkydokd
xykpofzhedlwep
yenoccocj
ykxeoxl
ymznlyrrs
ynkpyyz
zuqggkphgfm
zvmohxz
zvqosbki
Guardamos nuestra lista en donde queramos y editamos nuestro archivo de configuración de squid (squid.conf) y ponemos la siguiente regla:
acl blackwords url_regex -i "/ruta/blackwords.txt"
http_access deny blackwords
Cambie /ruta/ por el directorio donde almacenará la ACL
Maravento, Actualizado en: 20:08
Escrito por: Maravento Studio

julio 23, 2016

Squid cache running out of filedecriptors

Para los que usamos Squid-Cache y muchas distros que lo incluyen, en ocasiones, cuando la cantidad de clientes superan las 50 conexiones simultáneas, en los logs comienza a salir un extraño mensaje:
WARNING! Your cache is running out of filedescriptors
Y posiblemente en sarg:
The maximum number of open file descriptors to avoid "Too many open files" error message
Lo anterior es causado por el valor por default en el kernel de linux del descriptor de archivos (FD), que no opera en "armonía" con Squid.
Hay una explicación muy larga de este asunto, así que pedimos de antemano disculpas a los eruditos en la materia, ya que trataremos de no complicar el post con excesivos tecnicismos sobre el funcionamiento de Squid y el Kernel de Linux y más bien sintetizaremos el problema y la solución en pocas líneas.
Si echamos una mirada a squid.conf veremos lo siguiente:
#  TAG: max_filedescriptors
# Reduce the maximum number of filedescriptors supported below
# the usual operating system defaults.
#
# Remove from squid.conf to inherit the current ulimit setting.
#
# Note: Changing this requires a restart of Squid. Also
# Use operating system limits set by ulimit.
# not all I/O types supports large values (eg on Windows).
#Default:
Lo que sucede es que, de acuerdo con Squid, no hacer nada sería tomar los valores por defecto del sistema (lo cual no es bueno, ya que el valor por defecto es muy bajo, o sea 1024) y hacer algo también es malo, porque genera error, descrito hace años en el siguiente Bug.
Para solucionarlo, muchos creen que con modificar /etc/sysctl.conf, y agregándole valores altos es más que suficiente:
Maximum number of file descriptors:   65535
Available number of file descriptors: 65528
Reserved number of file descriptors:   100
O más altos...
# Increase size of file handles and inode cache
fs.file-max = 2097152
Pero esto no servirá de mucho si nuestro sistema aún conserva el valor por default de 1024. Así las cosas, para erradicar este molesto aviso (que puede llegar a incluso a experimentar problemas de conectividad en nuestra red local), primero debemos confirmar el valor por default en nuestro sistema. En dependencia de su versión de Squid y del Kernel, ejecute algunos de los siguientes comandos: 
squidclient mgr:info | grep 'file descri'
Y la respuesta es similar a:
Maximum number of file descriptors:   1024
Available number of file descriptors:  338
Reserved number of file descriptors:   100
O también con:
ulimit -a | grep 'open files'
open files      (-n) 1024
O con cualquiera de estos dos:
cat /proc/sys/fs/file-max
sysctl fs.file-max
Lo siguiente es establecer el nuevo valor para FD. La forma más sencilla es editar el archivo de configuración limits.conf:
sudo nano /etc/security/limits.conf
Y al final del archivo incrementamos o agregamos el valor (de 1024 a, por ejemplo, 4096, o a cualquier número extremo si queremos llevar las cosas a otro nivel):
* - nofile 4096
En algunos sistemas puede que tenga que especificar los dos límites (hard and soft limits), pero puede poner el mismo valor para ambos:
* soft nofile 4096
* hard nofile 4096
Y confirmar con:
ulimit -Sn
ulimit -Hn
En cualquier caso, sea cual sea el número que elija, también deberá ponerlo al final de /etc/squid/squid.conf :
max_filedesc 4096
Y también en /etc/sysctl.conf
Sin embargo antes de comenzar a subir este valor arbitrariamente, sería prudente conocer qué tantos archivos abiertos tenemos y verificar este dato en varios lapsos de tiempo y de carga, para poder tomar la decisión correcta. Esta información se consigue con el comando:
cat /proc/sys/fs/file-nr
Maravento, Actualizado en: 9:31
Escrito por: Maravento Studio

julio 21, 2016

Github: This repository moved. Please use the new location

En muchas ocasiones trabajamos con proyectos en GitHub y por alguna razón necesitamos cambiarle el nombre y al intentar actualizarlo nos sale el siguiente mensaje:
remote: This repository moved. Please use the new location:
Para solucionarlo utilizaremos un ejemplo real de nuestro proyecto blacklistweb, que recientemente fue rebautizado como blackweb.
Pasos
1. Renombramos el directorio de nuestro repositorio GitHub en el PC con el nuevo nombre y también la url del proyecto desde nuestra cuenta en GitHub.
# Example:
mv github/blacklistweb github/blackweb
2. Nos ubicamos dentro del directorio nuevo del proyecto y verificamos el "origin":
git remote -v
Y nos saldrá algo como:
origin https://github.com/maravento/blacklistweb.git (fetch)
origin https://github.com/maravento/blacklistweb.git (push)
3. El siguiente paso hay dos maneras de hacerlo. La primera es cambiar directamente la url:
git remote set-url origin https://github.com/maravento/blackweb.git
Pero se pueden generar errores, como:
fatal: No such remote 'sofake'
Para evitarlos es recomendable crear primero un "nuevo origin" con la url nueva del proyecto:
git remote add new_origin https://github.com/maravento/blackweb.git
Y eliminar el antiguo "origin":
git remote rm origin
4. Cambiamos el "nuevo origin" por el "origin" real asociado con el proyecto:
git remote rename new_origin origin
5. Y finalmente actualizamos
git add .
git commit -m "Update Jul 21/2016"
git push -f origin master
Maravento, Actualizado en: 20:34
Escrito por: Maravento Studio
 
© 2015 Maravento. All Rights Reserved | Powered by Maravento
Design by Novatoz and Maravento | Bloggerized By LawnyDesignz
# https://github.com/google/code-prettify