« Entradas por tag: malwareMostrando 31 a 40, de 133 entrada/s en total:
20 de Mayo, 2015
□
General |
|
Introducirse en el mundo del análisis de malware requiere tiempo,
disciplina y profundizar en múltiples materias. Localizar muestras,
encontrar herramientas, guías etc resulta una tarea muy entretenida y a
veces frustrante.
Desde r00tsec nos llega un estupendo artículo en el que recopilan un montón de sites que aglutinan bastante información.
Desde sitios para conseguir muestras (en muchas ocasiones muestras MUY
frescas, como el caso de kernelmode.info), listados de C&C, listas
de webs relacionadas con malware o listados de servicios online para
analizar muestras.
Algunos ejemplos:
Malware website list
|
|
publicado por
alonsoclaudio a las 16:32 · Sin comentarios
· Recomendar |
|
20 de Mayo, 2015
□
General |
|
En Binary Networks vemos un curioso experimento en el que analizaron una gran cantidad de muestras de malware para ver las APIs más utilizadas. En
total reunieron 5TB de espacio con 549.035 ejecutables, todos únicos y
confirmados por VirusTotal. Luego mediante un script multihilo en Python
extrajeron todos los imports y contaron las veces en las que cada
muestra llamaba a una API.
De este análisis obtuvieron
resultados muy interesantes. En total hubo 21.043 muestras sin
importaciones mientras que 527.992 por lo menos importaron una API. Es
decir, sólo el 3,8% de las muestras no tenía ninguna importación.
Eso significa que menos del 5% de los archivos se empaquetaron bien sin
importaciones estáticamente incluyendo sus dlls, o estaban usando sus
propios métodos para la búsqueda e importación de APIs fuera de la tabla
de importación del propio PE.
Del resto, de los que si hacían importaciones, hubo un total de 120.126 API importadas de forma... Continuar leyendo |
|
publicado por
alonsoclaudio a las 11:24 · Sin comentarios
· Recomendar |
|
12 de Mayo, 2015
□
General |
|
Realmente no queremos vernos inmersos en ésta discusión ridícula pero es
difícil evitar comentar sobre este malware que está siendo descripto
como un " virus suicida terrorífico" capaz de " destruír computadoras".
El único resultado de estas frases es que se crea una falsa sensación de
seguridad mediante la descripción de una amenaza que, aunque grave, es
totalmente manejable y se socava el interés de los lectores en
preocuparse por las amenazas menos graves pero mucho más comunes.
Presentación de Rombertik
Cisco Talos informó del descubrimiento del malware en cuestión y ha sido apodado "Rombertik". Algunos productos detectarán como como Troj/ Delp-AD o ... Continuar leyendo |
|
publicado por
alonsoclaudio a las 23:39 · Sin comentarios
· Recomendar |
|
12 de Mayo, 2015
□
General |
|
Ya hace aproximadamente un año que Barracuda Labs publicó su portal web Threatglass, cuyo objetivo es permitir a los usuarios compartir y recopilar páginas comprometidas mediante malware tipo web.
El backend de dicho portal se encarga
además de navegar por el top de páginas de Alexa con el objetivo de
analizarlas y, en caso de detectar un positivo, realizar una captura y
enlazarlo en el panel. Adicionalmente, es posible enviar portales a
través de la opción de Submit
|
|
publicado por
alonsoclaudio a las 23:37 · Sin comentarios
· Recomendar |
|
11 de Mayo, 2015
□
General |
|
Una de las mejores opciones post-explotación que tiene un atacante es dejar un Meterpreter que se comunique con el servidor C&C a través de una conexión HTTP inversa.
Pero, ¿cómo podemos detectarlo?, ¿cómo podemos ver si existen PCs en
nuestra LAN infectados que estén utilizando este payload?
En el
blog de Didier Stevens se da respuesta a esta casuística. Para ello
analizaba el tráfico de un cliente Meterpreter en modo http inverso,
observando que hace peticiones HTTP regulares al servidor de Metasploit
para comprobar si tiene comandos listos para ser ejecutados. Así se ve
este tipo de tráfico:
... Continuar leyendo |
|
publicado por
alonsoclaudio a las 18:18 · Sin comentarios
· Recomendar |
|
10 de Mayo, 2015
□
General |
|
Los virus son programas que funcionan solos y de una determinada
manera. Cuando una programa algo, lo hace para un determinado entorno.
Cuanto menos permisos deba obtener el virus de un determinado entorno,
mejor funcionará.
Esto pasa con los virus, los troyanos, el malware, los spybots y todo lo que se te ocurra.
En Windows hay muchos virus primero porque muchas personas lo
utilizan, pero segundo -y fundamental- porque los sistemas son muy
inseguros, la usuaria por defecto tiene permisos de administradora y
esto hace que todo lo que se ejecute por defecto tenga repercusiones en
el sistema operativo en general.
Las nuevas versiones de Windows solicitan, frente a algunos casos,
que se autorice una determinada acción, pero esto fue superado desde que
a Microsoft se le cayó esta idea con algo muy simple: el virus solicita
permisos de ejecución. Tremendo sistema de seguridad ¿no?
Es algo similar a esta charla:
|
|
publicado por
alonsoclaudio a las 18:35 · Sin comentarios
· Recomendar |
|
08 de Mayo, 2015
□
General |
|
Yara
es una iniciativa que cada vez va consiguiendo un mayor uso en el
ámbito de la gestión de incidentes, en especial este último año. Este
proyecto ha sido ampliamente comentado en artículos de este y otros
blogs.
YARA es una herramienta de código abierto
para la identificación de malware la cual utiliza una gran variedad de
técnicas. Su principal característica es su flexibilidad. Además, es de
gran ayuda en situaciones de respuesta a incidentes, en las cuales tanto
las herramientas como el tiempo, suelen ser limitados.
En esta ocasión voy a mostrar un ejemplo práctico del uso de Yara para
la gestión de incidentes provocados por ransomware. Estos últimos meses
ha habido un aumento de actividad de este tipo de malware que, a pesar
de las numerosas advertencias realizadas por aquellos que nos dedicamos a
la seguridad y la gestión de incidentes, sigue teniendo un impacto
bastante grande. Afortunadamente, los últimos incidentes de ransomware
en los que... Continuar leyendo |
|
publicado por
alonsoclaudio a las 09:58 · Sin comentarios
· Recomendar |
|
07 de Mayo, 2015
□
General |
|
La mayoría del malware moderno puede
desactivar los mecanismos de seguridad de los sistemas Windows, con el
fin de ocultarse y protegerse de ser eliminado por los antivirus que
corren en el sistema. Esta característica, hace que el proceso de
identificación y eliminación sea una operación muy complicada y en la
mayoría casos, imposible de llevar a cabo con el sistema operativo
arrancado. Lo mejor es arrancar con una LiveCD, montar el disco del
sistema Windows y usar herramientas de eliminación de malware, todo esto
sin el sistema Windows arrancado.
Una herramienta ideal para esto es “Antivirus Live CD”, un LiveCD basado
en la distribución 4MLinux que incluye el escáner ClamAV. Está diseñado
para usuarios que necesitan una LiveCD ligera, que les ayude a proteger
sus equipos contra malware. Permite configurar conexiones a Internet de
forma fácil, con soporte para Ethernet (incluyendo Wi-Fi) y dial-up
(incluyendo módems... Continuar leyendo |
|
publicado por
alonsoclaudio a las 22:46 · Sin comentarios
· Recomendar |
|
05 de Mayo, 2015
□
General |
|
Miles de servidores web que ejecutan sistemas operativos Linux y FreeBSD
se han estado infectado en últimos cinco años con un sofisticado
malware que convierte los sistemas en parte de una botnet.
El malware para Linux, descubierto por los investigadores de ESET, ha sido apodado "Mumblehard" porque permite el envío masivo de spam desde los servidores infectados. ESET ha publicado un informe titulado "Unboxing Linux/Mumblehard" [PDF].
Los investigadores han registrado más de 8.500 direcciones IP únicas
durante los siete meses que ha durado la investigación y encontraron más
de 3.000 sistemas que se unieron a la botnet en las últimas tres
semanas.
Mumblehard está escrito en PERL y cuenta con dos componentes básicos: un backdoor y demonio para el envío de spam. El backdoor
permite infiltrarse en el sistema y controlarlo a través del C&C.
El uso de lenguaje ensamblador para generar binarios ELF y ofuscar el
código fuente de PERL demuestra que el nivel de... Continuar leyendo |
|
publicado por
alonsoclaudio a las 23:57 · Sin comentarios
· Recomendar |
|
04 de Mayo, 2015
□
General |
|
Una cosa está clara y es que la Seguridad Informática es un mercado en
auge, que hoy en día reciben cada vez más profesionales. La Seguridad de
la Información, la cual no debemos confundir con la Seguridad
Informática, ocupa un gran espacio en las nuevas tecnologías y tiene una
gran diversidad de ramas y campos dónde los profesionales pueden
ejercer su trabajo. La Seguridad Informática me gusta verlo como un
subconjunto necesario dentro de la Seguridad de la Información. Fortificación
de sistemas, pentesting a sistemas, auditorias técnicas internas,
perimetrales, wireless, auditorias de caja blanca, etcétera. La Seguridad Informática es, para mi, el toque artístico dentro de un mundo procedimental. En algunas ocasiones me llegan personas en eventos o vía email o tuits en
el que me preguntan, ¿Por dónde empiezo? Es una pregunta difícil hace
años, hoy día un poco más sencilla de responder, aunque... Continuar leyendo |
|
publicado por
alonsoclaudio a las 14:15 · Sin comentarios
· Recomendar |
|
|
CALENDARIO |
|
Mayo 2024 |
|
|
DO | LU | MA | MI | JU | VI | SA | | | | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | 21 | 22 | 23 | 24 | 25 | 26 | 27 | 28 | 29 | 30 | 31 |
|
|
| |
AL MARGEN |
Escuela de Educacion Secundaria Tecnica N 8 de Quilmes |
(Técnicos en Informática Personal y Profesional) |
| |
|