Que son los Exploits !!!!?


Las definiciones habituales hablan de un programa o código que se aprovecha de un agujero de seguridad (vulnerabilidad) en una aplicación o sistema, de forma que un atacante podría usarla en su beneficio.

Trasladado a la vida real, sería como si un modelo de cerradura tuviera un fallo de diseño que nos permitiera crear llaves que la abrieran (exploit) y poder así acceder al sitio que trata de proteger y realizar actos delictivos (malware).

Existe confusión entre los usuarios y cierto mito de que un exploit puede considerarse malware. La realidad es que, no es un código malicioso en sí mismo, sino que es la llave para que estos accedan a nuestro sistema.

De esta forma, puede proporcionarles los permisos necesarios para poder ejecutarse en un sistema e infectarlo aprovechándose de una vulnerabilidad.

Tipos de exploits

Ya sabiendo qué es un exploit, podemos distinguir entre dos tipos: los conocidos o desconocidos (zero-day).

Los exploits conocidos son aquellos de los que se tiene constancia y podemos tomar medidas para evitar ver nuestros sistemas afectados.

Suelen ser los que aparecen en la mayoría de noticias de seguridad y aparecen varios cada día, de la misma forma que van apareciendo las vulnerabilidades que tratan de aprovechar.

Por este motivo, es importante que estés informado acerca de qué vulnerabilidades están siendo aprovechadas por exploits y compruebes que tienes todos los sistemas y aplicaciones actualizados.

Y en el caso de no existir una actualización disponible, apliques técnicas que ayuden a mitigar las posibles amenazas.

Por otro lado, hablábamos de los exploits desconocidos o zero-days, los cuales vemos a menudo en las noticias de seguridad.

Estos se utilizan sobre vulnerabilidades que aún no han sido reportadas al público general y, por tanto, suponen una grave amenaza, especialmente si se utilizan en ataques dirigidos a empresas o gobiernos.

Cuando se utilizan no suele haber medidas que puedan bloquear el malware que lo aprovecha, y eso los convierte en prácticamente indetectables.

Es por eso que son muy cotizados entre los delincuentes, permitiéndoles, por ejemplo, robar información importante de una empresa o gobierno o, en casos extremos, atacar cierto tipo de infraestructuras críticas.

Uso común de los exploits

Los delincuentes los utilizan frecuentemente para hacer que sus amenazas infecten un mayor número de equipos, y esto lo hemos visto durante los últimos años en aquellos casos de amenazas que se aprovechaban de vulnerabilidades en productos de Java y Adobe.

Un ejemplo utilizado de forma masiva para explotar vulnerabilidades es el del ransomware también conocido como “Virus de la Policía”.

También con el reciente caso del malware Wannacry que se propago de manera masiva y que todavía sigue afectando hasta la fecha.

Medidas de protección

Y ahora sí, sabiendo qué es un exploit y cómo funciona, podemos adoptar una serie de medidas para evitar que sean utilizados para infectar nuestros sistemas:

  • Mantener todas nuestras aplicaciones y sistemas actualizados: sabiendo que los exploits se aprovechan de los agujeros de seguridad, resulta vital cerrarlos cuanto antes.

Por eso es necesario mantener una política de actualizaciones eficaz para evitar dejar una ventana de tiempo que pueda ser aprovechada por los atacantes.

  • Mitigar los efectos de posibles exploits usados en nuestra contra. Puede suceder que el fabricante del sistema o aplicación vulnerable no haya lanzado todavía una actualización que solucione el problema.

En este caso, se pueden utilizar herramientas como el Kit de herramientas de Experiencia de Mitigación mejorada (EMET) para Windows.

Esto ayudará a evitar que tu sistema se infecte hasta que aparezca una solución definitiva.

  • Contar con una solución de seguridad avanzada, capaz de detectar y bloquear exploits pensados para aprovechar vulnerabilidades en navegadores web y lectores PDF, entre otros.

Conclusión

Los exploits están a la orden del día cuando hablamos de nuevas amenazas y ataques, por lo que es importante que los tengan en cuenta y sepan cómo protegerse aplicando las medidas de seguridad.

De esta forma, minimizará los riesgos y evitarán que sus sistemas e información confidencial caigan en las manos equivocadas.

Fuente: welivesecurity.com

#HackNic – Shadow77

IDA pro, para realizar ingeniería inversa – (Descarga)

Resultado de imagen para ida pro

Interactive Disassembler (Desensamblador Interactivo), más conocido por su acrónimo IDA.

Creado como shareware por Ilfak Guilfanov, IDA fue posteriormente vendido a DataRescue, una compañía belga, que lo mejoró y lo vendió bajo el nombre de IDA Pro.En 2007, Guilfanov fundó Hex-Rays para seguir el desarrollo de la extensión Hex-Rays Decompiler del IDA.

En enero de 2008, Hex-Rays asumió el desarrollo y el soporte del IDA Pro de DataRescue.Guilfanov es el autor principal del IDA (Interactive Disassembler Pro).

Es un desensamblador empleado para ingeniería inversa. Soporta una variedad de formatos ejecutables para diferentes procesadores y sistemas operativos. También puede ser usado como un depurador para ejecutables Windows PE, Mac OS X y Linux ELF.

El IDA realiza mucho análisis automático del código, usando referencias cruzadas entre las secciones del código, conocimiento de parámetros de las llamadas del API, y otra información. Sin embargo, la naturaleza del desensamblado imposibilita una exactitud total, y una gran parte de intervención humana es necesariamente requerida

Sistemas, procesadores y compiladores soportados

  • Sistemas operativos
    • x86 GUI Windows
    • x86 Consola Windows
    • x86 GUI Linux
    • x86 Consola Linux
    • x86 GUI Mac OS X
    • x86 Consola Mac OS X
    • ARM Windows CE
  • Formatos de archivos ejecutables
    • PE (Windows)
    • ELF (Linux, la mayoría de *BSD)
    • Mach-O (Mac OS X)
    • Formato .exe de Netware
    • Formato .exe de OS/2
    • Formato .exe de Geos
    • DOS/Watcom ejecutable LE (sin DOS extender empotrado)
    • raw binary, como con una imagen ROM
  • Procesadores
    • Familia Intel 80×86
    • ARM, incluyendo Thumb code
    • Motorola 68xxx/h8
    • Zilog Z80
    • MOS Technology 6502
    • Intel i860
    • DEC Alpha
    • Analog Devices ADSP218x
    • Angstrem KR1878
    • Atmel AVR series
    • DEC series PDP11
    • Fujitsu F2MC16L/F2MC16LX
    • Familia de 32 bits de Fujitsu FR
    • Hitachi SH3/SH3B/SH4/SH4B
    • Hitachi H8: h8300/h8300a/h8s300/h8500
    • Intel 196 series: 80196/80196NP
    • Intel 51 series: 8051/80251b/80251s/80930b/80930s
    • Intel i960 series
    • Intel Itanium (ia64) series
    • Java virtual machine
    • MIPS: mipsb/mipsl/mipsr/mipsrl/r5900b/r5900l
    • Microchip PIC: PIC12Cxx/PIC16Cxx/PIC18Cxx
    • MSIL
    • Familia Mitsubishi 7700: m7700/m7750
    • Mitsubishi m32/m32rx
    • Mitsubishi m740
    • Mitsubishi m7900
    • Familia Motorola DSP 5600x: dsp561xx/dsp5663xx/dsp566xx/dsp56k
    • Motorola ColdFire
    • Motorola HCS12
    • NEC 78K0/78K0S
    • PA-RISC
    • PowerPC
    • SGS-Thomson ST20/ST20c4/ST7
    • Familia SPARC
    • Samsung SAM8
    • Siemens C166 series
    • TMS320Cxxx series
  • Compilador/Bibliotecas (para reconocimiento automático de funciones de biblioteca)
    • Borland C++ 5.x para DOS/Windows
    • Borland C++ 3.1
    • Borland C Builder v4 para DOS/Windows
    • GNU C++ para Cygwin
    • Microsoft C
    • Microsoft QuickC
    • Microsoft Visual C++
    • Watcom C++ (16/32 bit) para DOS/OS2
    • ARM C v1.2
    • GNU C++ para Unix/common

Enlace:

http://shink.in/RVcn3

Llave de Encriptación del enlace:

http://shink.in/N2fT1

#HackNic – Shadow77

Shadow Brokers vuelven con más 0-Days

Shadow Brokers quienes filtraron el exploit WannaCrypt Windows SMB, vuelven con más 0-Days.

El grupo conocido como  Shadow Brokers público una declaración muy reciente hace horas, prometiendo revelar más Zero-Days, errores y exploits, para plataformas móviles y de escritorio empezando desde junio.

Pero estas revelaciones no estarán disponible a todo el mundo, contaran con un servicio de suscripción.

“TheShadowBrokers esta lanzando el nuevo modelo de suscripción mensual. Es como wine of month club. Cada mes las personas pueden estar pagando cuota de afiliación, a continuación, obtener sólo los miembros los datos cada mes.”

Al parecer, otros hackers, bandas criminales, hackers patrocinados por el Estado, tal vez algunos periodistas y gente de las empresas de tecnología, naturalmente, se unirían a la membresía de ‘TheShadowBrokers’.

Wine of Month Club

Por lo tanto, cualquiera que compre la membresia del “Wine of Month Club ” sería capaz de obtener acceso exclusivo a las próximas filtraciones, que según The Shadow Brokers incluirían:

  • Exploits para navegadores web, routers y teléfonos inteligentes.
  • Exploits para sistemas operativos, como Windows 10.
  • Comprometer los datos de los bancos y los proveedores de Swift.
  • Información de la red robado a los programas de misiles nucleares rusos, chinos, iraníes, y Corea del Norte.

Las afirmaciones hechas por el grupo permanecen sin verificar en el momento de la escritura, pero desde filtración de datos publicada previamente los The Shadow Brokers resultó ser legítima, la declaración del grupo deben tomarse en serio, al menos ahora, cuando conocemos la EternalBlue y DoublePulsar BackDoors desarrollado por la NSA y liberado por The Shadow Brokers el mes pasado fue utilizado por WannaCry para causar el caos en todo el mundo.

Shadow Brokers Arremetieron contra el gobierno de US y Compañías de Tecnologías.

En el reciente post The Shadow Brokers critico a el gobierno de US y a compañías de tecnologías, como Microsoft por no parchear los exploits cuando tuvieron tiempo, meses antes que lo revelaran.

El grupo de hackers dijo que el gobierno de Estados Unidos está pagando las empresas de tecnología no parchear sus Zero Days en sus productos, alegando que tiene espías dentro de Microsoft, entre otras firmas tecnológicas de Estados Unidos.

The Shadow Brokers incluso acusan al equipo de Google Project Zero, diciendo:

“TheShadowBrokers está pensando que Google Project Zero tiene algunos ex miembro TheEquationGroup. Project Zero recientemente libero un” Gusano Zero Days” Microsoft parcheo en un tiempo récord, sabiendo que iba a venir. Coincidencia??”

Sea cierto o no  lo que dicen The Shadow Brokers, será que el mundo debe prepararse para un Ciber Ataque aun mas peor que lo que paso con WannaCry

Fuente: @theshadowbrokers

#HackNic – Shadow77