Stitch un RAT multiplataforma escrito en Python por Nathan Lopez

76fdb962-d37c-11e6-9284-093ad065aeca

Clic en la imagen para ver la Entrada

Anuncios

Chisel de Jaime Pillora una herramienta para crear túneles TCP sobre HTTP

Chisel de Jaime Pillora  una herramienta para crear túneles TCP sobre HTTP y, para  evadir firewalls y pivotar hacia la red interna.

Se trata de una herramienta muy similar a Crowbar pero que mejora considerablemente su rendimiento. Sus principales características son:

– Fácil de usar
– Ofrece buen rendimiento
– Cifra las conexiones mediante crypto/ssh
– Permite establecer autenticación para la conexión, mediante un fichero de config en la parte cliente y mediante fingerprint en la parte del servidor
– Realiza auto-reconexión del cliente
– El cliente puede crear múltiples tunnel endpoints sobre la misma conexión TCP
– El servidor puede actuar opcionalmente como proxy inverso

Instalación

Chisel está escrito en Go (golang) por lo que lo primero que deberemos hacer, si no lo tenemos ya, es instalarlo y configurar el GOPATH:

apt-get install go-lang
mkdir ~/.go
echo “GOPATH=$HOME/.go” >> ~/.bashrc
echo “export GOPATH” >> ~/.bashrc
echo “PATH=\$PATH:\$GOPATH/bin # Add GOPATH/bin to PATH for scripting” >> ~/.bashrc
source ~/.bashrc

Luego para instalarlo tendremos dos opciones, o crear los binarios a partir de la fuente:

$ go get -v github.com/jpillora/chisel

O ejecutarlo directamente desde un contenedor docker:

$ docker run –rm -it jpillora/chisel –help

Uso

Su uso es muy sencillo. Pueden ver las opciones disponibles llamando al parámetro –help.

$ chisel server –help

 Usage: chisel server [options]

    Options:

      --host, Defines the HTTP listening host – the network interface
      (defaults to 0.0.0.0).

      --port, Defines the HTTP listening port (defaults to 8080).

      --key, An optional string to seed the generation of a ECDSA public
      and private key pair. All commications will be secured using this
      key pair. Share this fingerprint with clients to enable detection
      of man-in-the-middle attacks.

      --authfile, An optional path to a users.json file. This file should
      be an object with users defined like:
        "<user:pass>": ["<addr-regex>","<addr-regex>"]
        when <user> connects, their <pass> will be verified and then
        each of the remote addresses will be compared against the list
        of address regular expressions for a match. Addresses will
        always come in the form "<host/ip>:<port>".

      --proxy, Specifies the default proxy target to use when chisel
      receives a normal HTTP request.

      -v, Enable verbose logging

      --help, This help text

    Read more:
      https://github.com/jpillora/chisel

$ chisel client –help

Usage: chisel client [options] <server> <remote> [remote] [remote] ...

    server is the URL to the chisel server.

    remotes are remote connections tunnelled through the server, each of
    which come in the form:

        <local-host>:<local-port>:<remote-host>:<remote-port>

        * remote-port is required.
        * local-port defaults to remote-port.
        * local-host defaults to 0.0.0.0 (all interfaces).
        * remote-host defaults to 0.0.0.0 (server localhost).

        example remotes

            3000
            example.com:3000
            3000:google.com:80
            192.168.0.5:3000:google.com:80

    Options:

      --fingerprint, An optional fingerprint (server authentication)
      string to compare against the server's public key. You may provide
      just a prefix of the key or the entire string. Fingerprint 
      mismatches will close the connection.

      --auth, An optional username and password (client authentication)
      in the form: "<user>:<pass>". These credentials are compared to
      the credentials inside the server's --authfile.

      --keepalive, An optional keepalive interval. Since the underlying
      transport is HTTP, in many instances we'll be traversing through
      proxies, often these proxies will close idle connections. You must
      specify a time with a unit, for example '30s' or '2m'. Defaults
      to '0s' (disabled).

      -v, Enable verbose logging

      --help, This help text

    Read more:
      https://github.com/jpillora/chisel

Demo

Tienen también una demo en https://chisel-demo.herokuapp.com/. En dicho servidor está corriendo el servidor Chisel como un proxy inverso hacia la web http://example.com, pueden comprobarlo simplemente visitando la página mediante el navegador:

Pero la app de demo también está corriendo un simple file server en puerto :3000 el cual es inaccesible debido a que el firewall de Heroku (PaaS) lo está denegando.

Sin embargo si usamos el cliente Chisel podemos tunelizar localhost:3000 contra el ‘localhost:3000’ del servidor.

$ chisel client https://chisel-demo.herokuapp.com 3000

Ahora si configuramos el navegador para que utilice como proxy localhost:3000 y visitamos http://localhost:3000 podremos acceder a la app de demo y ver el listado de directorios:

De forma similar podemos hacer la prueba en local. Primero levantamos el servidor Chisel:

$ chisel server –port 8008 –proxy http://example.com
2017/01/10 22:00:56 server: Fingerprint 5b:b3:64:15:86:d1:bc:29:1e:f3:1d:ec:8f:c2:ae:bb
2017/01/10 22:00:56 server: Default proxy enabled
2017/01/10 22:00:56 server: Listening on 8008…

A continuación iniciamos un webserver de pruebas con Python para la PoC:

$ python -m SimpleHTTPServer 12345
Serving HTTP on 0.0.0.0 port 12345 …
127.0.0.1 – – [10/Jan/2017 22:14:44] “GET / HTTP/1.1” 200 –
127.0.0.1 – – [10/Jan/2017 22:14:44] code 404, message File not found
127.0.0.1 – – [10/Jan/2017 22:14:44] “GET /favicon.ico HTTP/1.1” 404 –

Para posteriormente ejecutar el cliente Chisel y crear un túnel por el cuál reenviaremos el tráfico hacia dicho servidor de pruebas:

$ chisel client localhost:8008 4000:localhost:12345
2017/01/10 22:13:27 client: Connecting to ws://localhost:8008
2017/01/10 22:13:27 client: Fingerprint 5b:3b:64:45:86:c1:bb:49:1e:f3:1d:ec:8f:c2:ae:bb
2017/01/10 22:13:27 client: Connected (Latency 355.132µs)

Proyecto: https://github.com/jpillora/chisel

Shadow77

#HackNic

Rakos, un backdoor para Linux que brinda acceso total al sistema.

Es cierto que Linux no es el sistema operativo más utilizado en ordenadores a nivel doméstico, sin embargo, la mayoría de los servidores conectados a Internet sí que cuentan con este sistema operativo, por lo que, poco a poco, el interés de los piratas informáticos por este sistema operativo está aumentando y, en poco tiempo, ha pasado de ser un sistema operativo seguro a ser casi tan vulnerable como sus rivales Windows y macOS en cuanto a software malicioso.

Recientemente, la empresa de seguridad ESET ha descubierto un nuevo malware que afecta tanto a servidores como a todo tipo de dispositivos Linux (especialmente del Internet de las Cosas) que, una vez logra infectar un dispositivo, brinda a los piratas informáticos control total sobre el mismo, dejando una puerta abierta para llevar a cabo todo tipo de actividades, por ejemplo, realizar ataques DDoS.

Este nuevo malware, llamado Rakos, cuenta con un bot que busca servidores SSH abiertos e intenta establecer conexión con ellos a través de la fuerza bruta. De conseguirlo, instala el malware en el servidor o dispositivo de manera que ya quede infectado y bajo el control de estos piratas.

Cuando Rakos se instala en un sistema vulnerable, automáticamente habilita un servidor HTTP en la dirección “http://127.0.0.1:61314” que puede ser utilizado con distintos fines, aunque el principal de ellos es garantizar una ruta alternativa para distribuir las actualizaciones del malware a los sistemas infectados sin que durante el proceso el malware pueda quedar inutilizado.

Una vez que el servidor HTTP está en funcionamiento, Rakos comienza a recopilar todo tipo de información (usuarios, contraseñas, IPs, etc) que se encuentren en el equipo y la envía a un servidor C&C controlado por los piratas informáticos. También guarda varias copias de su archivo de configuración en el sistema para garantizar que sus dueños van a tener siempre acceso al equipo y no que, por un fallo, se pueda perder esta configuración.

Cómo podemos desinfectar nuestro sistema o dispositivo Linux de Rakos

La primera de las muestras de este malware es que crea un proceso llamado .javaxxx. Si tenemos este proceso en nuestro sistema es muy probable que estemos infectados por Rakos, por lo que, antes de continuar, es recomendable matar este proceso para detener la infección. Como el malware no está configurado para que arranque automáticamente, sino que debe lanzarse manualmente, reiniciando el sistema el malware se detendrá igualmente, aunque seguiremos expuestos y es probable que, en poco tiempo, los piratas informáticos vuelvan a activar el malware.

Por ello, tanto si hemos sido infectados como si no, es recomendable cambiar la contraseña de nuestro servidor SSH por defecto por una más larga y segura ya que, de hacer esto, los piratas informáticos no tendrán ninguna forma de conseguir acceder de nuevo al sistema a través de este protocolo. Como hemos dicho, al hacer uso de la fuerza bruta para lograr acceso remoto a los dispositivos, solo aquellos que utilicen contraseñas muy débiles terminarán siendo infectados.

Fuente:www.welivesecurity.com

#HackNic

Shadow77

4MRecover, una distribución especializada en la recuperación de datos.

4MRecover es un pequeño sistema operativo, basado en 4MLinux, que nos brinda acceso principalmente a dos conocidas herramientas para la recuperación de archivos eliminados de discos duros. La primera de ellas es TestDisk, una herramienta que nos permite recuperar las tablas de particiones dañadas de nuestros discos duros y todos sus datos, y la segunda de ellas PhotoRec, una herramienta especializada en la recuperación de fotos y otros archivos individualmente.

Hace algunas horas, el responsable de esta distribución ha liberado una nueva versión beta de la próxima versión 4MRecover 21, la cual se caracteriza por incluir la versión más reciente de la herramienta de recuperación de datos TestDisk 7.0, junto a PhotoRec 7.0, especializada en la recuperación de fotografías (y otros formatos) y utiliza como sistema operativo base 4MLinux 21.0.

Esta nueva versión beta de 4MRecover 21 se puede descargar en forma de imagen ISO de tan solo 35 megas.

Además de 4MRecovery, el responsable de 4MLinux cuenta con una serie de pequeños sistemas, agrupados bajo el nombre “4MRescueKit”, para permitirnos tener siempre a mano un completo sistema operativo de mantenimiento y recuperación:

  • Antivirus Live CD, un antivirus para desinfectar un disco duro infectado.
  • BakAndImgCD, pensada para hacer copias de seguridad e imágenes de discos duros.
  • 4MParted, un Linux basado, principalmente en GParted para gestionar particiones.
  • 4MRecover, el mencionado sistema para recuperar datos de discos duros.

Descarga:https://sourceforge.net/projects/linux4m/

#HackNic

Shadow77

Twitter la política de la compañía exige proteger a sus usuarios de la recolección encubierta de datos personales por parte de las fuerzas del orden

En octubre pasado Twitter cortó el acceso a su API pública a la compañía Media Sonar, dedicada al desarrollo de servicios de vigilancia de la red social. Para ello ha alegado que la política de la compañía exige proteger a sus usuarios de la recolección encubierta de datos personales por parte de las fuerzas del orden. Y es que Twitter constituye, junto a Instagram, la mayor fuente primaria de datos geolocalizados a los que pueden recurrir las fuerzas de seguridad. Y están dispuestas a gastar millones para lograrlo.

Twitter ya había tomado medidas en el pasado contra otras dos compañías estadounidenses similares (Geofeedia y Snaptrends) por idéntica razón. Además, los responsables de Media Sonar fueron avisados de que si intentaban crear una nueva clave para la API, ésta también se suprimiría “y se tomarían otras medidas según proceda”.

Según Twitter, estas empresas no respetaron la política de Twitter sobre el uso de herramientas de espionaje, alentando a los departamentos de policía a monitorear específicamente las actividades de activistas afroamericanos, evidencia que fue confirmada por la Unión Americana de Libertades Civiles del Norte de California.

Esta compañía fue fundada en 2012, con sede en Ontario (Canadá) y proporciona inteligencia basada en el data-mining para todo tipo de organizaciones, pero parte de su negocio consiste en la venta de software de vigilancia a departamentos de policía de todo Estados Unidos. Se sabe que al menos 19 cuerpos de policía de ámbito local adquirieron licencias del software de Media Sonar (por unos 10.000 dólares) entre 2014 y 2016.

Según la compañía, su software está “diseñado específicamente para facilitar la aplicación de la ley” y según su material promocional “incluye una lista de términos más usados en los medios sociales que pueden ayudar a identificar la actividad ilegal y las amenazas a la seguridad pública”. Pero la Unión Americana de Libertades Civiles de Carolina del Norte denunció que, al igual que ocurría con Geofeedia y Snaptrends, las herramientas de software ofrecidas por Media Sonar estaban enfocadas a la monitorización de la actividad social de activistas afroamericanos vinculados al movimiento #Blacklivesmatter.

#HackNic

Shadow77