BackdoorMan-detectando Shell’s ocultas

 

BackdoorMan es un toolkit de código abierto escrito en Python por Yassine Addi y destinado a ayudar a los sysadmins a encontrar scripts PHP y shells maliciosos, ocultos y sospechosos en un servidor, automatizando todo el proceso de detección.

Recordar que es bastante común que cuando se logra comprometer un sitio se ubique un backdoor pues puede dar acceso continuo al sitio (persistencia) incluso si los propietarios del sitio cambian las contraseñas.

Los scripts de un backdoor varían de 100 líneas de código hasta incluso 1 ó 2 líneas y se pueden fusionar en cientos de archivos lo que hace muy difícil descubrirlos, especialmente si el backdoor está inactivo. Hay maneras y herramientas comunes que se pueden utilizar, como grep, pero BackdoorMan automatiza todo y hace más fácil la identificación de código malicioso.

Caracteristicas:

  • Deteccion de shell mediante base de datos de firmas.
  • Reconocimiento de Backdoor’s Web.
  • Deteccion de funciones y actividades sospechosas de php
  • Uso de servicios externos junto a sus funcinalidades
  • Uso de nimbusec shellray API (deteccion de WebShell’s online y  gratuito para archivos php https://shellray.com).
    • Rendimiento alto de reconocimiento WebShell’s.
    • Comprobacion de archivos sospechosos PHP en linea.
    • Facil, Rapido y Confiable.
    • Clasificacion de WebShell’s por comportamiento.
    • Servicio gratuito de nimbusec.
  • El uso de la API pública de VirusTotal (servicio en línea gratuito que analiza los archivos y facilita la detección rápida de virus, gusanos, troyanos y todo tipo de malware), que puede ser útil en nuestra situación.
  • El uso de UnPHP (El decodificador en línea de PHP: UnPHP es un servicio gratuito para el análisis y ofuscado código PHP malicioso) www.unphp.net . Muy útil en nuestra situación.
    • Eval + gzinflate + Base 64.
    • De-Ofuscación recursiva.
    • Función personalizada y soporte expresión regular.

Uso:

Usage: Python BackdoorMan --help
BackdoorMan [options] destination1 [destination2 ...]

A toolkit that helps you find malicious, hidden and suspicious PHP scripts and shells in a chosen destination.
Author: Yassine Addi <yassineaddi.dev(at)gmail(dot)com>.
NOTE: This tool does not require Internet connection but it is highly recommended to benefit from all features.

Options:
  --version             show program's version number and exit
  -h, --help            show this help message and exit
  -o OUTPUT, --output=OUTPUT
                        save output in a file
  --no-color            do not use colors in the output
  --no-info             do not show file information
  --no-apis             do not use APIs during scan (not recommended)

 

Fuente:https://github.com/yassineaddi/BackdoorMan
#HackNic
Shadow77

Cross browser fingerprinting-rastrear con precisión a los usuarios de varios navegadores

Los sitios web, los bancos, anunciantes supervisan las actividades en línea de los usuarios utilizando diferentes técnicas denominadas de forma general “fingerprinting”, incluso en modo incógnito.

Ahora, un equipo de investigadores ha desarrollado recientemente una nueva técnica de “huellas dactilares de navegadores”. Dicen que es la primera técnica confiable para rastrear con precisión a los usuarios de varios navegadores, basándose en información de las extensiones, los complementos, zonas horarias e incluso en los bloqueadores de anuncios. Esto hace que el método sea particularmente útil para los anunciantes, lo que les permite seguir publicando anuncios dirigidos a usuarios en línea.

La nueva técnica se puede encontrar en un trabajo de investigación titulado por Yinzhi Cao y Song Li de Lehigh University y Erik Wijmans de la Universidad de Washington en St. Louis.

Los métodos de huellas digitales conocidos anteriormente usualmente sólo funcionan en un único navegador, pero este nuevo método utiliza las características del sistema operativo y de hardware y es capaz de funcionar en varios navegadores. La nueva técnica se basa en muchas nuevas características del sistema operativo y del hardware, especialmente en las propiedas de la placa gráficas.

Por ejemplo, la tecnología puede utilizarse para identificar la máquina mediante la realización de 20 tareas de WebGL utilizadas para renderizar gráficos 3D en navegadores web. Las características probadas actualmente incluyen la zona horaria, el número de núcleos de la CPU, la GPU, los valores de hash de los resultados de renderizado de la GPU, los complementos, las fuentes, el audio, la proporción y la profundidad de la pantalla, WebGL, bloqueo de anuncios, lienzo, cookies, codificación y lenguaje.

Los investigadores proporcionaron una demostración práctica y el código fuente en GitHub. Realizaron una prueba que incluyó 3.615 huellas dactilares y 1.903 usuarios y encontró que su método identificó con éxito el 99.2% de los usuarios. Por otro lado, la técnica para identificar el navegador, llamada AmIUnique, tuvo una tasa de éxito del 90,8%.

Además de los comercios, los bancos pueden utilizar esta técnica para comprobar si un usuario que inicia sesión en una cuenta en línea utiliza el mismo equipo que ha utilizado en visitas anteriores, asegurando de que el inicio de sesión es legítimo, incluso si el usuario utiliza una máquina diferente a la habitual.

Los investigadores planean presentar su trabajo en el Network and Distributed System Security Symposium programado para el 26 de febrero al 1 de marzo en San Diego, California.

Fuente: The Hacker News

 

Github: Song-Li/cross_browser
#HackNic
Shadow77