lunes, 31 de diciembre de 2012

Tasklist y Taskkill para cerrar procesos maliciosos o rebeldes.


Tasklist es un comando que se ejecuta desde el símbolo de sistema de Windows y básicamente sirve para mostrar todos los procesos que se están ejecutando en nuestro terminal. ¿Que utilidad podríamos darle a parte de información. Pues una de ellas seria el detectar procesos rebeldes o maliciosos que no se dejan cerrar por otros métodos ¿Como lo hacemos?.

1- Ejecutamos: cmd.exe para abrir la consola de comandos.

2- Una vez abierta escribimos el comando: Tasklist /v ( El modificador /v nos servirá para darnos mas información de lo que vamos a matar).

2.1- También podríamos ejecutar: Tasklist /svc (Este nos dará una información mas precisa aun).

3- Una vez identificado el proceso que queremos matar ya estaremos preparados para ejecutar otro comando que sera el que haga el trabajo final.

----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

Taskkill es una herramienta que se ejecuta desde la linea de comandos y que sirve para matar procesos maliciosos o rebeldes una vez identificados con el comando arriba descrito.

1- Ejecutamos cmd.exe para abrir la consola de comandos.

2- Ejecutamos: Taskkill /? para ver todas las opciones que nos da.

3- Si queremos saltarnos el paso Nº2 ejecutaremos directamente: Taskkill /pid 6688 (este numero de pid pertenece a la aplicación Notepad) con esta simple linea cerraremos dicha aplicación.


Pd: Los pid pueden cambiar por eso hay que identificar primero el proceso con el comando Tasklist.

3.1- Si queremos cerrar mas de un proceso a la vez y desde una misma linea de comandos ejecutamos lo siguiente: Taskkill /pid 6688 /pid 2234 /pid 3443 y así hasta cerrar todo lo que queramos matar en ese momento.

3.2- También podemos matar procesos sin tener que saber de antemano su pid, por ejemplo: Taskkill /IM notepad.exe /F (El modificador /F lo pondremos solamente si queremos cerrar la aplicación si o si, osea que vamos a forzar el cierre).



Saludos y espero que os sirva a algunos.





sábado, 22 de diciembre de 2012

Blackhole kit 2.0. El kit de exploits del momento.

Blackhole es el kit del momento. Lo usan los profesionales para infectar de forma cómoda a los navegantes. La herramienta se encarga de elegir el exploit adecuado según navegador, plugins instalados, sistema operativo... Y por supuesto, ese exploit hará lo que el atacante haya elegido (normalmente robar los ahorros del banco de la víctima). Se ha creado la versión 2.0, que trae importantes mejoras para el atacante, y malas noticias para los analistas.

Nació en 2010, después de desbancar a Eleonore. Según Sophos, el 28% de todas las amenazas web están basadas en Blackhole. Para AVG, son el 91%. En realidad, estas cifras tan dispares no dicen nada, solo que realmente es popular. Podemos asegurarlo por experiencia propia.

Uno de los creadores ha escrito en un foro ruso (cómo no), que ya está disponible la versión 2.0, destinada principalmente a eludir a los antivirus y mejorar el control del que usa el kit. Han reescrito desde cero una buena parte del código. Veamos funciones que nos parecen interesantes.

Ahora las URLS desde donde se descargan los payloads, son dinámicas y válidas solo por unos segundos. Luego desaparecen. Consiguen así que los cazadores de malware lo tengan muy complicado para recopilar muestras (jar y exe) de forma automática, o recuperarlas después de una infección, en los forenses. También permite elegir el formato de la URL de descarga del payload. Incluso tomar palabras de un diccionario, como una especie de firma del que lo use. En la versión 1, se usaba esta estructura:

http://domnioblackhole.com/xxx/main.php?page=0123456789abcdef
  
para la descarga del payload. Este esquema era ya reconocible (adiós a las reglas de los IDS) y han decidido que sea personalizable.
  
1-Han mejorado la detección de las versiones de Java vulnerables, la joya de la corona del kit (el programa que más víctimas le reporta).
Han hecho limpieza de exploits, eliminando los más antiguos, que reportaban poco. También los que no siempre funcionaban y podían causar que el navegador se colgase (con el objetivo de pasar aún más desapercibidos). Sin embargo, parece que dejan algunos para el obsoleto IE6, que todavía es "común", como el MDAC.  Además, usarán (cómo no) un pack para explotar Java y la vulnerabilidad LibTiff para los lectores PDF (de 2010). Por supuesto, esto es ampliable.
    
2-Si uno de los exploits es detectado por más de un número configurable de antivirus, será descartado y reemplazado automáticamente.
    
3-Para los usuarios de Chrome (los únicos a los que no ataca), Blackhole 2.0 permitirá crear una página HTML estática en la que se indicará que esa URL debe ser visitada con cualquier otro navegador. Chrome no interesa a los atacantes porque la ejemplar implementación de su sandbox les hace difícil que los exploits de los plugins funcionen.
  
4-También mejora la seguridad. Ahora el panel permite bloquear el tráfico que les llegue sin referer. Significa que rechazará las peticiones directas. Estas suelen ser de las personas que conocen su existencia y no vienen redirigidas de ningún sitio. Además permite prohibir tráfico TOR, los referer que se deseen, etc.
    
5-Con respecto al panel de control, añaden nuevos sistemas operativos como Windows 8, Android y iOS. Los móviles parece que están ahí para estimar el tráfico generado por los nuevos dispositivos. También mejora la visibilidad de las versiones de Adobe y Java que poseen las visitas, para afinar los exploits de forma cómoda. Por último, lo protegen con CAPTCHA, para que alguien obtenga acceso al panel por fuerza bruta.
Dicen además que han incluido otras mejoras, que prefieren mantener ocultas para no alertar a las casas antivirus.

¿Cuánto cuesta?

El creador mantiene los precios, a pesar de las mejoras.

Alquiler: 50 dólares al día (con 50.000 hits como límite). Al mes son 500 dólares de alquiler. La licencia para uso libre, va desde los 700 dólares por tres meses, a los 1.500 por usarlo un año. Se ofrecen posibilidades como cambios de dominio del panel de administración por 20 dólares. Existe otro servicio de "limpieza" por 20 dólares. Creemos que se refiere a eliminar de la base de datos de infectados las direcciones IPs conocidas de investigadores, casas antivirus, honeypots, etc.

Nuestra experiencia es que Blackhole es muy sofisticado, mucho más que el panel de Zeus, que tanto nos sorprendió en 2006. Además, vulnerabilidades recientes son incorporadas al kit de forma rápida. Se encuentra muy distribuido y ha conseguido posicionarse en todo tipo de páginas, legítimas o no, de forma que cualquier usuario puede infectarse si es vulnerable a alguno de sus exploits, aun manteniendo una rutina de navegación "higiénica". Por ejemplo, Blackhole es el kit más usado actualmente para infectar con Zbots, y el famoso "virus de la policía". El éxito de difusión de ambas familias habla por sí solo.

Fuente: http://unaaldia.hispasec.com/2012/09/blackhole-kit-20-facilidades-en-la.html

jueves, 20 de diciembre de 2012

Netsh "El comando semi-desconocido"

Si ejecutamos en Windows cmd.exe abriremos el símbolo de sistema desde el cual podremos acceder y ejecutar muchos comandos que para la mayoría de usuarios son desconocidos pero muy útiles si uno se habitúa a utilizarlos de vez en cuando y cuando la ocasión lo requiera, es como si arrancamos una Shell desde Linux.

En fin hay un comando en particular llamado Netsh que si lo ejecutamos desde la linea de comandos y con privilegios de administrador nos seria muy útil para administrar todo lo que tenga que ver con la redes wireless de nuestro sistema.
Hacemos link en Inicio--Todos los programas--Accesorios--Símbolo de sistema y ejecutamos (para arrancar con mas privilegios botón derecho y hacer link en ejecutar como administrador).
Pondremos varios ejemplos de utilización de este comando:


Netsh help --> Nos ofrecerá una ayuda de todo lo que se puede hacer con el.
























Netsh wlan show networks--> Este comando nos enseña todas las redes inalambricas que
tenemos a nuestro alcance.

























Netsh wlan show all--> Este nos muestra lo mismo que el anterior pero la información es mucho mas extensa.
























Bueno esto es solo un atisbo de lo que se puede hacer con este comando, saludos.

miércoles, 19 de diciembre de 2012

Vulnerabilidad en dispositivos Samsung permite el robo de datos.


Una nueva vulnerabilidad ha sido descubierta para cierto tipo de terminales Android. En este caso afecta a algunos modelos fabricados por Samsung. Sirviéndose de una aplicación maliciosa un atacante podría obtener acceso al conjunto de la memoria física del dispositivo.
Los Galaxy S III, Galaxy S II, Galaxy Note II o el Galaxy Note 10.1 pueden verse afectados por esta vulnerabilidad, que está originada en el procesador Exynos4, según han explicado un desarrollador en la página especializada XDA Developers.
Aparte del acceso a la memoria física del dispositivo también se pueden obtener privilegios de administrador, tal y como ha quedado patente con la contribución de un segundo desarrollador, que ha creado una APK para utilizar la vulnerabilidad descubierta.
Por el momento no se conoce ninguna aplicación maliciosa para Android que explote esta vulnerabilidad, que únicamente afectaría a los dispositivos que utilicen los recursos kernel de Samsung e incorporen el modelo Exynos4 de procesador, según recoge The Next Web.
El fabricante coreano ya ha sido alertado sobre la vulnerabilidad, aunque aún no se ha pronunciado públicamente sobre ella. Samsung actualmente es de lejos el quien más smartphones Android vende entre todos los que construyen dispositivos para esta plataforma.
El sistema operativo móvil Android es el que más ha crecido en los últimos años, lo que ha ido acompañado igualmente de un aumento del malware. De ahí el interés que ha cobrado para la comunidad de desarrolladores alertar a los fabricantes, operadores o al propio Google sobre los agujeros de seguridad que podrían ser explotados.
Fuente: http://www.ticbeat.com/sim/vulnerabilidad-dispositivos-samsung-permite-robo-datos/

sábado, 15 de diciembre de 2012

Vulnerabilidad en Internet Explorer permite rastrear los movimientos del mouse.

Investigadores de Spider.io han descubierto un agujero de seguridad en Internet Explorer, que permite rastrear los movimientos del cursor del mouse, incluso si la ventana está inactiva, minimizada o fuera de foco. Las versiones de IE 6 a 10 se ven afectadas.

La vulnerabilidad es particularmente preocupante dado que desbarata el uso de teclados virtuales y teclados virtual, que se utilizan como defensa contra los keyloggers.

Spider.io ha publicado un breve video donde se demuestra el problema descubierto el primero de octubre e informanda a la empresa.

Microsoft Security Research Center reconoció el error, pero "no tiene planes inmediatos para remediar el problema", así que Spider.io la hizo pública el martes.

Al parecer, la vulnerabilidad está siendo activamente explotada por al menos dos compañías de análisis y rastreo web.

Para demostrar lo fácil que es explotar la vulnerabilidad, spider.io ha convertido el seguimiento en un juego, que consiste en obtener información a partir del uso de un teclado virtual, a través del seguimiento de los movimientos del mouse.

Los detalles técnicos de la vulnerabilidad tiene que ver con el modelo de eventos de IE, combinado con la capacidad para activar estos eventos manualmente a través del método fireEvent(), manipulable por JavaScript.

Fuente: http://blog.segu-info.com.ar/2012/12/vulnerabilidad-en-internet-explorer.html