ROPEMAKER Cambiar el contenido del Email ya enviado para uso malicioso.

 

Un Email puede ser cambiado después de ser enviado, según la última investigación de Mimecast’s denominado ROPEMAKER.

Un nuevo exploit ROPEMAKER que podría permitir a un atacante modificar un email legítimo para volverlo malicioso, incluso después de que este haya llegado a la bandeja de entrada.

Su descubridor ha sido Francisco Ribeiro, investigador de Mimecast dedicado a la seguridad de servicios de email y cloud.

A través de la explotación de Ropemaker, un atacante puede modificar de forma remota el contenido de un email enviado por él mismo, pudiendo por ejemplo sustituir una URL  por otra maliciosa.

El exploit puede ser ejecutado tras recibir el destinatario el email, después de superar todos los filtros de spam y seguridad y sin que el atacante necesite acceder directamente al ordenador de la víctima.

Correo en el buzón de la Víctima:

GodURL Email ROPEMAKER

Correo en el buzon de la Victima modificado sin intervención de la pc de manera remota:

BadURL Email ROPEMAKER

El origen de ROPEMAKER se encuentra en la intersección de las tecnologías de correo electrónico y Web, más específicamente hojas de estilo (CSS) utilizadas con HTML.

Si bien el uso de estas tecnologías Web ha hecho que el correo electrónico sea más atractivo y dinámico en relación con su predecesor basado en texto, esto también ha introducido un vector de ataque explotable para el correo electrónico .

Claramente, dar posibilidad a los atacantes del control remoto sobre cualquier aspecto de las aplicaciones o infraestructura es algo malo.

Esta capacidad de control remoto podría permitir a los malos actores dirigir a los usuarios  a sitios web maliciosos o otras consecuencias perjudiciales mediante una técnica que podría pasar por alto los controles de seguridad comunes y engañar incluso a los usuarios más seguros y experimentados.

ROPEMAKER podría ser apalancado en formas que son limitadas sólo por la creatividad de los actores de la amenaza, que la experiencia nos dice, es a menudo ilimitada.

Fuente: https://www.mimecast.com

#HackNic – Shadow77 

Shard una herramienta para comprobar si se utiliza la misma contraseña en varios sitios

Precisamente hoy vemos Shard, una herramienta para que los atacantes podamos detectar contraseñas compartidas desde la línea de comandos.

Si hay algo imperativo en la sociedad digital actual es NO REUTILIZAR la misma contraseña para distintos servicios. La razón es simple: si uno de ellos es comprometido por ende cualquiera podrá obtener acceso al resto. No obstante, ya sea por la dificultad de recordar tantas contraseñas o por desconocimiento pura vagancia, son muchos los usuarios que todavía ponen la misma contraseña en varios de sus perfiles en redes sociales como Facebook, Twitter, LinkedIn, etc.

Se trata de un fat jar (contiene todas las clases necesarias para hacerlo lo más portable posible) que si quieren pueden compilar ustedes mismos con sbt assembly, y también tiene una segunda implementación en python.

Uso

Sólo tenemos que indicar las credenciales a comprobar y la herramienta automatizará el proceso:

$ java -jar shard-1.2.jar -u username-here -p password-here
21:16:25.950 [+] Running in single credential mode
21:16:30.302 [+] username-here:password-here - Reddit, Instagram

También es posible probar múltiples credenciales (ummm leaks…) indicando un fichero de texto que contenga cada línea con el formato “username”:”password”. Incluso se puede personalizar el formato con la opción –format.

$ java -jar shard-1.2.jar -f /tmp/creds.txt
21:16:39.501 [+] Running in multi-credential mode
21:16:39.516 [+] Parsed 2 credentials
21:16:42.794 [+] username1:password1 - Reddit, Instagram
21:16:45.189 [+] username2:password2 - Facebook, LinkedIn, Twitter

Módulos

Actualmente Shard soporta los siguientes módulos:

$ java -jar shard-1.2.jar -l
Available modules:
        Facebook
        LinkedIn
        Reddit
        Twitter
        Instagram

Aunque si quieren pueden  añadir sus propios módulos fácilmente creando una nueva clase heredada de AbstractModule y añadiendo el módulo a ModuleFactory.
El AbstractModule tiene un método abstracto:

def tryLogin(creds: Credentials): Boolean

Este método toma un objeto de credenciales y devuelve un valor booleano que indica un inicio de sesión correcto. Se recomienda el uso de la TwitterModule como plantilla.

Dependencias

JSoup se utiliza para la comunicación HTTP y análisis de HTML
spray-json se utiliza para el manejo de JSON

Github: https://github.com/philwantsfish/shard

Shadow77
#HackNic

Bro IDS ideal para redes de alta capacidad.

Bro es un analizador de tráfico de red pasivo y de código abierto.

Se trata principalmente de un IDS que inspecciona todo el tráfico en profundidad en busca de signos de actividad sospechosa.

En términos más generales, sin embargo, es compatible con una amplia gama de tareas de análisis de tráfico, incluso fuera del dominio de seguridad, incluyendo mediciones de rendimiento y ayudar en la resolución de problemas.

El beneficio más inmediato que se obtiene a partir de la implementación de Bro es un amplio conjunto de archivos de registro que almacenan la actividad de una red en términos de alto nivel. Estos registros incluyen no sólo un registro completo de todas las conexiones a nivel físico, sino también las transcripciones de la capa de aplicaciones, tales como: todas las sesiones HTTP con su URL solicitado, encabezados clave, tipos MIME y las respuestas de: servidores DNS; certificados SSL; contenido clave de las sesiones SMTP y mucho más.

De forma predeterminada, escribe toda esta información en los archivos de registro separados por tabuladores, bien estructurados, adecuados para el procesamiento posterior con un software externo. Los usuarios pueden también elegir entre un conjunto de formatos de salida alternativos para interaccionar directamente como, por ejemplo, bases de datos externas

Además de los registros, Bro viene con funcionalidad integrada para una serie de tareas de análisis y detección, incluyendo: la extracción de archivos de sesiones HTTP, la detección de malware mediante la interacción con los registros externos, informes de versiones de software vulnerables vistas en la red, la identificación más populares aplicaciones de Internet, detectar ataques SSH de fuerza bruta, validación de cadenas de certificados SSL y mucho más.

Sin embargo, la clave para entender este IDS radica en darse cuenta de que representa una plataforma para el análisis de tráfico que es completamente personalizable y extensible: Bro proporciona a los usuarios un dominio específico, con scripts para la realización de tareas de análisis arbitrarias con un lenguaje de programación Turing completo. Lo que permite utilizar el IDS para tareas especificas escribiendo su propio código. De hecho, todos los análisis predeterminados de Bro, es el resultado de este tipo de scripts.

Bro no se ejecuta en un hardware especififco y por lo tanto ofrece una alternativa de bajo costo para las soluciones propietarias costosas. Va mucho más allá de las capacidades de otras herramientas de motorización de red con hardware especifico, que suelen estar limitadas a un pequeño conjunto de tareas de análisis no modificables. Destaca en particular, que no es un clásico sistema de detección de intrusos basados en firmas. A pesar de que es compatible con dicha funcionalidad estándar, tiene un espectro mucho más amplio de enfoques muy diferentes en la búsqueda de actividades maliciosas incluyendo: la detección semántica, detección de anomalías y el análisis del comportamiento.

Las principales características de Bro son:

Despliegue:

  • Se ejecuta en hardware con sistemas tipo UNIX (incluyendo Linux, FreeBSD y MacOS).
  • Realiza análisis de tráfico totalmente pasivo.
  • Usa un interfaz estándar libpcap para la captura de paquetes.
  • Permite análisis en tiempo real y fuera de línea.
  • Posibilidad de realizar cluster de soporte para despliegues a gran escala.
  • Posee un marco de gestión unificada para el funcionamiento de ambas configuraciones.
  • De código abierto bajo la licencia BSD.

Análisis:

  • Posee un registro exhaustivo de la actividad para el análisis fuera de línea y análisis forense.
  • Análisis por puerto de los protocolos de capa de aplicación.
  • Soporte para muchos protocolos de capa de aplicación (incluyendo DNS, FTP, HTTP, IRC, SMTP, SSH, SSL).
  • El análisis de contenido de los archivos intercambiados a través de protocolos de capa de aplicación, incluyendo MD5 / SHA1 para realizar fingerprinting.
  • Un amplio soporte IPv6.
  • Túnel de detección y análisis (incluyendo Ayiya, Teredo, GTPv1). Bro desencapsula los túneles y luego procede a analizar su contenido..
  • Soporte para trabajar como IDS realizando coincidencia de patrones.

Lenguaje de scripts:

  • Lenguaje Turing completo para análisis de expresión tareas arbitrarias.
  • Modelo de programación basada en eventos.
  • Permite manejar tipos de datos específicos como: las direcciones IP (manejo transparente IPv4 e IPv6), números de puertos y temporizadores.
  • Amplio soporte para realizar una linea de tiempo con el seguimiento y la gestión de estado de la red.

Interfaz de gestión:

  • Por defecto la salida de los registros es en ASCII y bien estructurados.
  • Backends alternativos para Elasticsearch y DataSeries.
  • Integración en tiempo real de los resultados de los análisis.
  • Biblioteca en lenguaje C para el intercambio de eventos con programas externos. Además de Perl, Python y Ruby.
  • Capacidad de desencadenar procesos externos usando lenguaje de script.

Bro se dirige específicamente a redes de alta velocidad y motorización de redes de alto volumen, con enlaces tipo 10GE y de gran capacidad tipo 100GE muy comunes en: universidades, laboratorios de investigación, centros de supercomputación, comunidades científicas abiertas y grandes corporaciones. Mediante el apoyo escalable del balanceo de carga ejecutando “Bro Clusters” en el que un frontend equilibrador de carga, de alta velocidad, distribuye el tráfico a través de un número apropiado de PCś de backend. Un sistema gestor central coordina el proceso de sincronización de estado, a través de los backends y la disponibilidad para los operadores. Con una interfaz de administración central para la configuración y el acceso a los registros agregados, en un marco de gestión integrada llamado BroControl.

Más información y descarga de Bro:
https://www.bro.org/

Shadow77
#HackNic