Lalin, un hackpack y herramientas de Kali para vagos

Lalin es un remake de Lazykali de bradfreda que corrige algunos bugs, añade nuevas características y actualiza las herramientas. Se trata de un simple script en bash muy útil para tener un recopilatorio a mano e instalar y tener actualizadas un buen número de herramientas para nuestro arsenal en Kali Linux. Es compatible con la última release de Kali (Rolling) y su funcionamiento es trivial:

– Extrae lalin-master a tu home o a otro directorio
– $ sudo chmod +x Lalin.sh
– $ sudo ./Lalin.sh
– Y selecciona lo que quieres hacer simplemente indicando el número

Proyecto: https://github.com/Screetsec/LaLin

Shadow77
#HackNic

Plataforma para crear un SOC enfocado a compartir información de análisis de incidencias malware.

MISP (Malware Information Sharing Platform and Threat Sharing), es una solución de software de código abierto para: recoger, almacenar, distribuir y compartir indicadores de ciberseguridad sobre el análisis de los incidentes de seguridad y malware. MISP está diseñado por y para los analistas de incidentes, profesionales de la seguridad y analista de malware para apoyar sus operaciones del día a día y compartir informaciones estructuradas de manera eficiente.

El objetivo del MISP es fomentar el intercambio de información estructurada dentro de la comunidad de seguridad de la información. MISP proporciona funcionalidades para apoyar el intercambio de información, sino también el consumo de la información  de sistemas de detección de intrusos (NIDS) y también conectarse herramientas de análisis tipo SIEM.

Las funcionalidades básicas de MISP son:

  • Una base de datos eficiente IOC y los indicadores que permite almacenar información técnica y no técnica sobre: muestras de malware, incidentes, los atacantes y la inteligencia.
  • Correlación automática entre los atributos e indicadores de malware, ataques o campañas de análisis.
  • Funcionalidad de compartir integrada para aliviar el intercambio de datos, modelos diferente de distribuciones. Puede sincronizar automáticamente los eventos y atributos entre los diferentes MISP. Se pueden utilizar funcionalidades avanzadas de filtrado para satisfacer cada política de organización e intercambio incluyendo, una capacidad de intercambio de grupo flexible y mecanismos de distribución con alto nivel de atributo.
  • Una interfaz de usuario intuitiva para que los usuarios finales puedan: crear, actualizar y colaborar en eventos, atributos y indicadores.
  • Una interfaz gráfica para navegar sin problemas entre los acontecimientos y sus correlaciones. Funcionalidades avanzadas de filtrado y lista de advertencias para ayudar a los analistas a contribuir.
  • Permite almacenar datos en un formato estructurado (que permite el uso automatizado de la base de datos para diversos fines) con un amplio apoyo de los indicadores de ciberseguridad a lo largo de los indicadores de fraude como en el sector financiero.
  • Soporta la exportación de datos a: IDS, OpenIOC, texto plano, CSV,  MISP XML o salida JSON para integrarse con otros sistemas (IDS de red, ID de host o herramientas personalizadas)
  • Importación masiva con lotes de importación: OpenIOC, GFI sandbox y ThreatConnect CSV.
  • Herramienta importación  en modo texto, flexible para facilitar la integración de los informes no estructurados en MISP.
  • Un sistema ligero para colaborar en eventos y atributos que permiten a los usuarios del MISP proponer cambios o actualizaciones de atributos y indicadores.
  • Intercambio de datos y la sincronización automática con otros grupos de confianza que utilizan MISP.
  • Permite un mecanismo de anonimato simple para distribuir las publicaciones de eventos e indicadores a otras organizaciónes.
  • Una API flexible para integrar MISP con otras soluciones. Incluye  PyMISP que es una biblioteca de Python flexible para: buscar, añadir o actualizar los atributos de eventos y manejar muestras de malware.
  • Taxonomía ajustable para clasificar eventos y etiquetas con esquemas propios de clasificación o clasificación existente . La taxonomía puede ser local en el MISP sino que también se puede compartir entre instancias de MISP.
  • Con módulos de expansión en Python para ampliar los servicios de MISP.
  •  Soporte para obtener observaciones de las organizaciones en relación con los indicadores y atributos compartidos. Contribuyendo a través de la interfaz de usuario MISP o documentos STIX.
  • Permite exportar datos en el formato STIX (XML y JSON).
  • Permite Cifrado y firma de las notificaciones a través de PGP y S/MIME en función de las preferencias del usuario.

El intercambio de información se traduce en una detección más rápida de los ataques  y mejora el ratio de detección al tiempo que reduce los falsos positivos. También evitamos el malware similar al que otros equipos o organizaciones que ya lo analizaran y añadieran información en MISP. Otro beneficio es el de reforzar la inteligencia de nuestros IDS.

Mas información y descarga de MISP:
https://github.com/MISP/MISP

Shadow77

#HackNic

Monitorizar patrones significativos de Ransomware.

Ransomware es un tipo de malware que se instala de forma encubierta en un ordenador, sin el conocimiento del usuario, después restringe el acceso al sistema informático infectado y exige que el usuario pague un rescate a los operadores del malware, para eliminar la restricción. El ataque  del ransomware consiste en cifrar archivos de forma sistemática, en el disco duro del sistema, que se convierten en inaccesibles, si no se paga el rescate. Otros ataques pueden simplemente bloquear los mensajes del sistema y la visualización de un mensaje para convencer al usuario a pagar.

El ransomware normalmente se propaga como un troyano, cuya carga útil se disfraza como un archivo aparentemente legítimo, por ejemplo, como archivo descargado o explotando una vulnerabilidad de software.

El ransomware intenta leer y luego cifrar los archivos, creando un identificador para cada archivo con el que interactúa. No importa qué algoritmo de cifrado utilice, este es un concepto mas a bajo nivel, en función de cómo el núcleo de Windows interactúa con el hardware del sistema. Si somos capaces monitorizar la frecuencia de nuevos identificadores que son creados por cada proceso, es posible detectar la actividad anormal producida por el ransomware. Esto también se aplicaría al malware destructivo que ha sido diseñado para sobrescribir una gran cantidad de archivos para impedir su recuperación.

Teniendo en cuenta que un objeto es una estructura de datos que representa un recurso del sistema, tal como un archivo. Una aplicación no puede acceder directamente a los datos de un objeto o a un recurso del sistema que representa un objeto. En su lugar, una aplicación debe obtener un identificador de objetos, que se puede utilizar para examinar o modificar los recursos del sistema. Cada identificador tiene una entrada en una tabla mantenida internamente. Estas entradas contienen las direcciones de los recursos y los medios para identificar el tipo de recurso. Esta es una de las varias capas de abstracción que separan el usuario (y todos los procesos que están en ejecución), a partir de los activos físicos, tales como el disco duro. Cualquier solicitud de acceso a un archivo en el disco, tiene que pasar por el núcleo de Windows y si desea modificar ese archivo en el modo de usuario, es necesario crear un identificador.

Basado en este patrón de identificación esta diseñada la herramienta para Windows, llamada handle_monitor, que hace un balance de cada identificador de archivo, por proceso a través del sistema. A continuación, tiene una pequeña pausa (a discreción del usuario) y comprueba de nuevo los nuevos identificadores que no se han visto antes y se calcula el número de nuevos identificadores creados. Si el umbral pasa  un número definido de ciclos, a continuación, se genera una alerta y se realiza una acción (tal como la suspensión del proceso sospechoso).

Secuencia de funcionamiento:

  1. Genera un índice de todos los archivos se encarga de todos los procesos en ejecución.
  2. Pausas (/pause=X) para cantidad de tiempo.
  3. Monitoriza los índices, para mantener un recuento.
  4. Después los ciclos definidos (/cycles=X) , lleva a cabo un análisis.
  5. En el análisis comprueba si todos los procesos han sobrepasado el umbral (/threshold=X) de repetición de identificativo.
  6. Si es así, se bien generar una alerta para el proceso (/suspend).

Por defecto, sólo se busca ejecutables sin firmar (para reducir el ruido), pero se puede incluir firmados con “/signed”.

Modo de empleo de  handle_monitor: 

handle_monitor.exe <parametros opcionales>

Parámetros opcionales:

/cycles=X, número de ciclos de monitorización (por defecto: 10)
/threshold=X, establecer umbral de sospecha para el número de nuevos identificadores (por defecto: 10).
/pause=X, establecer pausa en milisegundos entre los ciclos (por defecto: 1000).
/signed, incluir ejecutables firmados en el proceso de revisión.
/suspend, suspender procesos que se consideren sospechosos.
/verbose, mostrar mensajes detallados.

Más información y descarga de  handle_monitor:
https://github.com/adamkramer/handle_monitor

Shadow77

#Hacknic