Comunidad PeruCrack 2015!

Comunidad Informatica PeruCrack! de Informaticos para Informaticos!

Ethical Hacking

Visita la seccion de noticias, guias, videos, y mucho mas relacionado al mundo de la inSeguridad Informatica

Ingresa a las redes sociales de la comunidad

Visita nuestro Facebook oficial, siguenos en twitter y suscribete al canal de Youtube!

Networking

Los mejores tutoriales e informacion sobre redes informaticas. Preparate para tus examenes de certificacion.

Podcast PeruCrack

Escucha las grabaciones de los mejores Podcast de la comunidad.

viernes, 30 de octubre de 2015

Interpretando los resultados de una deteccion de Virus en tu PC

Muchas veces a la hora de correr un análisis de virus en búsqueda de amenazas dentro de nuestra PC nos topamos desagradablemente con resultados que a veces ni los entendemos y se nos da tan solo por dar click en "Eliminar Amenazas". Sin embargo, soy de los que les gusta saber mas e investigar que es lo que este "Virus" ha estado haciendo a mi PC y también por que razón entro. En esta publicación analizaremos el primer punto. 



Analizando la estructura : 

Esta información es útil para interpretar los resultados arrojados por los diferentes Antivirus e incluyendo el de VirusTotal. Al conocer los nombres de detección se puede obtener información sobre las muestras y estimar la probabilidad de falsos positivos.




Vamos a concentrarnos en un orden, el cual es usado por la mayoría de los AV, basado en ciertos patrones repetitivos :


Plataforma, Tipo, Nombre y Variante

Voy a tomar como ejemplo el resultado arrojado por ESET NOD 32 al momento de detectar una amenaza :
Win32/Spy.Zbot.ABW
Como pueden ver aquí cada uno de los componentes esta separado por una razón y eso es justo lo que quiero explicar en este post :)


Plataforma : 

Esto puede especificar el sistema operativo y la arquitectura que el malware se ejecuta, por ejemplo, Unix , Win32 , Win64. Pero también puede especificar el lenguaje de programación en  que el archivo fue escrito. A veces se utilizan plataformas de paraguas , por ejemplo, la plataforma puede ser " genérico " (sin plataforma especificada ) Aqui les pongo algunos ejemplos :


  • PHP
  • Java
  • Powershell
  • Win64
  • Win32
  • MSIL
  • Generic
  • Script

Tipo : 

Este elemento especifica el tipo de virus al que hemos sido expuestos, es bastante comun que usen este tipo de nombres :

  • Trojan
  • Downloader
  • Dropper
  • Spy
  • Virus
  • Worm
  • Application
  • Adware
  • PUP
  • PUA
Puedo hacer un paréntesis a los últimos 4 ejemplos para indicar que a veces se presenta este tipo de de archivos indeseados que en realidad son nombres generales y que por alguna razon han parado en la lista negra de los motores de antivirus mas conocidos. 


Nombre : 

El nombre de malware suele ser el nombre de la familia a la que pertenece . Pero hay un montón de ocasiones en donde usan nombres mas genéricos los cuales son matcheados con una base de datos respectiva. 

Variante : 

El Malware a menudo evoluciona con el tiempo . Ya sea porque el autor agrega mas funcionalidades o  cuando cambia partes de su código para evadir la detección. Estas versiones modificadas se convierten en variantes del malware originales . Todas las variantes de un malware pertenecen a una familia de malware , que se indica con el nombre de malware.

Informacion Adicional : 

A veces puede traer información adicional que nos permita conocer un poco mas sobre el dichoso Malware. Por ejemplo pueden mostrar un sufijo o prefijo que denota si un archivo se detectó genérica o heurísticamente. Estos términos dicen algo acerca de cómo se hizo la decisión para detectar el archivo


Nombres genéricos : 


Los nombres por defecto son diferentes para cada proveedor y son creados por lo general para las entradas añadidas de forma automática; a veces pueden ser añadidos por los analistas de malware si no quieren pensar en un nombre propio. 

Nombres predeterminados típicos son Agent o Generic y en su mayoria son colocadas en Trojanos : 

Trojan.Generic.KD.87847
Trojan.Win32.Generic!BT
Trojan ( 00071a9a1 )
Artemis!5EAC6EABC66A
Win.Trojan.Agent-691724
Gen:Variant.Zusy.53898
UnclassifiedMalware

Detección basada en análisis genérico y en heuristica : 


Las detecciones basadas en un analisis generico por su mayoria trabajan en base a una revision superficial sobre los nomre y tipo de familias de malware encontradas en una PC, en su mayoria arroja resultados denominados falsos-positivos. 




La heuristica basa su control en relación al comportamiento malicioso de algún proceso o archivo y hace un estudio enfocado a tal problema, esto es lo que hace que un AV sea inteligente o no, tambien es importante indicar que a veces el abuso de esta clase de "inteligencia" hace que una PC pueda correr "lento" ya que para hacer seguimiento a tal fin hace falta el consumo de recursos extra. 

Aqui un ejemplo de un resultado de virus encontrado mediante Heuristica
BehavesLike.Win32.Dropper.cc
Gen:Backdoor.Heur.FU
Win32.Trojan-Ransom.CryptoWall.D@gen
Gen:Win32.Necurs
Gen:Variant.Dyzap.13 

Saludos!

jueves, 29 de octubre de 2015

A veces resulta complicado escoger una buena clave para nuestra red Wifi que nos brinde la sensacion de seguridad, ya hemos visto en anteriores publicaciones como funcionan este tipo de cifrados y contraseñas, sin embargo deseo compartir con ustedes la pagina KurtM la cual te permite escoger entre una serie de posibilidades la autogeneracion de claves que puedes usar para proteger tu red


1.- Ingresamos a KurtM

2.- Nos puestra el siguiente panel en donde podemos escoger el tipo de seguridad que queremos autogenerar


3.- Con la clave autogenerada ya podemos configurar nuestro AP :)

Lo que me gusta de esto es que a diferencia de otros autogeneradores aquí nos brindan el código fuente usado para poder analizarlo :) 



Nota : El codigo de generacion de llave aleatoria ha sido desarrollado por el Team WareWolf el codigo es libre y pueden descargarlo AQUI :)

miércoles, 28 de octubre de 2015

En este post describimos algunas características del malware scripting para llegar a entender por qué estos lenguajes de programación se han convertido en una herramienta utilizada por los cibercriminales, las posibilidades que ofrece sobre un sistema comprometido y cómo es posible protegerse de este tipo de códigos maliciosos.


¿Qué son los script y qué los diferencia de los archivos ejecutables (.EXE)?



Los scripts son programas generalmente pequeños y simples, utilizados para automatizar tareas específicas. Contienen un conjunto de instrucciones que deben de ser interpretadas línea a línea en tiempo real; esta es la diferencia que presentan con otros programas que deben estar compilados en un archivo binario ejecutable (.EXE) para poder correrlos.

¿Por qué los cibercriminales utilizan este tipo lenguajes?

La respuesta es sencilla: los scripts tienen la capacidad de interactuar y hacer uso de las librerías o recursos del sistema operativo de una manera muy simple. Además, no tienen la necesidad de compilar el código para poder ser ejecutados.Particularmente Javascript y Visual Basic Script son los lenguajes preferidos por los atacantes, porque además de estar enfocados en el desarrollo web, pueden ser utilizados en sistemas operativos Windows.

De esta manera, con unas pocas líneas de código, un atacante puede desarrollar un troyano que será interpretado por el proceso “Windows Script Host”, que al ser legítimo del sistema operativo, no va a ser considerado malicioso.

Algunos de los códigos maliciosos más vistos en Latinoamérica son VBS/TrojanDownloader, VBS/Agent.NDH y JS/Bondat. Estos dos últimos son scripts más elaborados y a su vez más robustos, y por las características que tienen, el hecho de que alguno se ejecute en un equipo significaría que forma parte de una botnet.



Para poder llegar al punto de infección mencionado, los atacantes -como en cualquier otro tipo de campaña maliciosa- hacen uso de técnicas de Ingeniería Social para que el usuario descargue y ejecute el script, y así se logre la infección.


¿Cómo evitar que este tipo de códigos se ejecute en un equipo?

Permitir o no la ejecución de scripts depende en gran medida del uso que le den los usuarios a este tipo de archivos, sea en tareas de desarrollo, trabajo cotidiano o una simple automatización.
La forma de impedir que los scripts logren ejecutarse es agregando dos llaves en el registro de Windows :)


1.- Ingresamos al "regedit" a través de la ejecución del mismo (Windows + R) o en la raíz de la carpeta Windows\regedit.exe
2.- Luego buscamos las llaves de registro en estas rutas  HKEY_CURRENT_USER\Software\Microsoft\Windows Script Host\Settings y HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings
3.- Hacemos click derecho sobre cada una de ellas y seleccionamos un nuevo "Valor de Cadena" y colocamos de nombre ""Enabled" posterior a eso le damos click derecho a cada registro creado y le damos en "Modificar" y le asignamos el valor de "0" esto ultimo es para desactivar la ejecucion automatica de esta clase de archivos

Los registros deben quedar así : 





Luego de esto si se ejecuta un script de manera automatica saldrá el siguiente mensaje : 




Saludos!

domingo, 25 de octubre de 2015

Cuando me entere que Google estaba ofreciendo varios  cursos y diplomados de manera gratuita que incluía certificado pensé que solo se trataba de unas breves explicaciones sobre los productos que Google ofrece, sin embargo al decidir revisarlos me lleve la sorpresa que son cursos de alta calidad y muy bien adaptados a la tendencia actual. Les comparto en detalle cada uno de ellos y espero lo difundan de la mejor manera. 
Realmente recomiendo que vean cada uno de los diplomados en el orden que deseen y traten de captar todos los dettales, recuerden que hay la posibilidad de llegar la certificación y que tienen fecha limite.




En primer lugar, les comparto información sobre los Diplomados :




¿En qué consisten los cursos de Google?

Los cursos que veremos a continuación son producto del esfuerzo de muchas instituciones educativas que vienen trabajando con el programa Actívate para brindar todo el soporte de estos programas educativos.Todos los diplomados cuentan con módulos de enseñanza que debemos seguir progresivamente. Cada unidad cuenta con una pequeña evaluación que debemos responder para corroborar que hemos aplicado con eficiencia los conocimientos adquiridos.

¿Quiénes pueden participar?

Los diplomados ofrecidos por Google está disponibles para el público en general. Cualquier usuario con una cuenta en Google puede inscribirse de forma gratuita sin la necesidad de incluir ningún dato adicional. Gracias a la asociación entre Google, el Gobierno de España y Actívate podemos registrarnos automáticamente con nuestra cuenta de Google.


¿Qué necesito para obtener el diploma?


Para obtener el diploma deben cumplirse los siguientes requisitos obligatorios: aprobar los exámenes de cada unidad con un mínimo de 75% de aciertos, tener la cantidad mínima de medallones por cada evaluación, y por supuesto, aprobar la evaluación final del curso.Los alumnos tendrá hasta tres oportunidades para realizar la evaluación. De fallar en los tres intentos no podrás recibir el certificado final.

¿Quién otorga el certificado?

Si bien Google es el principal patrocinador de estos diplomados gratuitos, el certificado final es expedido por diferentes instituciones y universidades españolas.


Estos son los DIPLOMADOS ofrecidos por Google :  Para mayor detalle deben hacer click en cada titulo : 




Auspiciado por: Google y Gobierno de España
Contenido: curso gratuito para conocer nociones básicas y elementales sobre el Marketing Digital
Duración: 40 horas aprox.
Título del certificado: Marketing Digital emitida por la IAB (Interactive Advertising Bureau).
Fecha límite: el curso se imparte hasta el 31 de diciembre 2015




Auspiciado por: Google y Gobierno de España
Contenido: aprende a interpretar y analizar los datos del tráfico web de tu página o blog.
Duración: 40 horas aprox.
Título del certificado: Analítica de Datos acreditado por la Escuela de Organización Industrial
Fecha límite: el curso se imparte hasta el 31 de diciembre 2015






Auspiciado por: Google y Gobierno de España
Contenido: curso explorativo para conocer cómo implementar la tecnología para reducir costes en tu negocio.
Duración: 40 horas aprox.
Título del certificado: Cloud Computing acreditado por la Escuela de Organización Industrial
Fecha límite: el curso se imparte hasta el 31 de diciembre 2015




Auspiciado por: Google y Gobierno de España
Contenido: aprende a diseñar un proyecto empresarial para cumplir con todos los objetivos generales y específicos propuestos.
Duración: 40 horas aprox.
Título del certificado: Emprendimiento acreditado por IEI de la Universidad de Alicante
Fecha límite: el curso se imparte hasta el 31 de diciembre 2015





Auspiciado por: Google y Gobierno de España
Contenido: descubre una serie de herramientas y utilidades para ser más productivo al momento de estudiar, buscar un trabajo o realizar distintas actividades cotidianas.
Duración: 40 horas aprox.
Título del certificado: Productividad Propia acreditado por la Fundación Santa María la Real
Fecha límite: el curso se imparte hasta el 31 de diciembre 2015



6. - Curso Online sobre desarrollo web




Auspiciado por: Google y Gobierno de España
Contenido: curso introductorio para conocer a fondo las nuevas directrices de Google para el diseño de págins web de manera profesional.
Duración: 40 horas aprox.
Título del certificado: Desarrollo Web acreditado por IEI de la Universidad de Alicante
Fecha límite: el curso se imparte hasta el 31 de diciembre 2015





Auspiciado por: Google y Gobierno de España
Contenido: este curso te enseña a llevar tu negocio tradicional a la plataforma online para ampliar tu mercado a nuevos horizontes.
Duración: 40 horas aprox.
Título del certificado: Comercio Electrónico acreditado por la Escuela de Organización Industrial
Fecha límite: el curso se imparte hasta el 31 de diciembre 2015




Auspiciado por: Google y Gobierno de España
Contenido: descubre habilidades y conceptos preliminares de programación para el desarrollo de aplicaciones móviles.
Duración: 40 horas aprox.
Título del certificado: Desarrollo de Apps acreditado por la Universidad Complutense de Madrid
Fecha límite: el curso se imparte hasta el 31 de diciembre 2015

Realmente recomiendo que vean cada uno de los diplomados en el orden que deseen y traten de captar todos los dettales, recuerden que hay la posibilidad de llegar la certificación y que tienen fecha limite. Para los otros 20 cursos que esta dictando Google lo haré en otro articulo para poder mantener el orden y debido a que es de una temática distinta que estoy seguro le gustara a los desarrolladores.