Analizando Mercado Libre 20th Anniversary Gifts

-
Imagen
 Análisis de mensaje Mercado Libre 20th Anniversary Gifts. En estos días se ha estado compartiendo  un mensaje a través de la aplicación de mensajería Whatsapp, donde supuesta mente Mercado Libre regalara Gifts por su aniversario número 20 y el cual lo catalogan como Phishing. Sin embargo en mi opinión, este no es un ataque de phishing ya que la definición de este es: " El phishing es un tipo de ataque de ingeniería social que se utiliza a menudo para robar datos del usuario, incluidas las credenciales de inicio de sesión y los números de tarjetas de crédito . Ocurre cuando un atacante, disfrazado de entidad confiable, engaña a una víctima para que abra un correo electrónico, mensaje instantáneo o mensaje de texto" De acuerdo a lo anterior y en resumen, el phishing es utilizado para robar credenciales o información personal de la victima, en este caso del famoso mensaje no recolecta ningún tipo de información, unicamente solicita sea compartido con más personas para "re...
Publicar un comentario

MONITORIZACIÓN Y DETECCIÓN DE AMENAZAS (MALTRAIL)

-

MONITORIZACIÓN Y DETECCIÓN DE AMENAZAS
(MALTRAIL)

¿Qué es Maltrail?

Es un sistema de detección de tráfico malicioso que utiliza listas negras, contiene rutas astutas y/o inseguras, compiladas por varios informes de Antivirus (AV), podremos definirlo como usuario (URL, dominios, IP´s, encabezado HTTP User-Agent).
Usa módulos heurísticos avanzados, que nos ayudan en el descubrimiento de amenazas desconocidas (nuevo malware).
Esta herramienta es opensource, creada en Python, destinada a analizar tráfico de red, con el fin de detectar y registrar posibles amenazas.
Aunque existen otras herramientas para el mismo fin, podemos mencionar a Snort, Suricata, pero esos serán otros post, con más tiempo.

¿Para qué sirve?

Se basa en la categorización de amenazas, las diversas fuentes como las IP’s tiene mala reputación, la inteligencia para identificar actividades sospechosas, la identificación de malware.
Muestra estadísticas, números de amenazas, tendencias de eventos clasificados como riesgo alto/medio/bajo, gráficas de pastel por severidad, por top de fuentes atacantes, entro otras.
Este tipo de herramienta es como un IDS (Sistemas de Detección de Intrusos), utiliza sensores de detección que envían eventos a un único servidor, incluso aprovecha, sensores existentes que estén analizando tráfico con otras herramientas opensource e integrar un proceso más.


Desarrollo

La herramienta dispone de una extensa documentación, muy buena y suficiente sobre las virtudes de la misma. La posibilidad de escuchar en al menos una interfaz o en todas las que la máquina sensor tenga.
Emplea impresionante GUI (Interfaz de Usuario Gráfica), facilitando el filtrado de eventos, la interacción con cada columna.

Uno de los inconvenientes es sin duda, que está dentro del único fichero, que para cambiar la contraseña hay que ejecutar un .py que te convierta la contraseña a un hash, y después copiarlo al fichero.
Otro inconveniente es, la gestión web viene en HTTP (puerto 80 por default), a un que se puede configurar a HTTPS (puerto 443), aunque el certificado sea auto-firmado.

Sin embargo, esta herramienta puede ser buena para un auditor y mala para el atacante.

Funcionamiento de la herramienta es:



Figura 1. Extraída de https://github.com/stamparm/maltrail

Las pruebas hechas fueron realizadas con Centos 7 Linux, a un que la podemos realizar la cualquiera distribución Linux, hay algunos cambios. Una vez aclarando este punto empecemos.

Primer paso
Debemos de instalar el paquete pcapy, del cual lo descargamos del proyecto de fedora, con el siguiente comando, wget, y visualizamos el contenido del directorio para ver que lo descargo, con el comando, ls –l, como se muestra en la figura 2.
Nota: debemos de ser root para instalar el módulo rpm.

# wget http://dl.fedoraproject.org/pub/epel/7/x86_64/Packages/p/pcapy-0.10.8-5.el7.x86_64.rpm



Figura 2. Descargando pcapy

Una vez descargado el paquete pcapy pasaremos a instalarlo a nuestra máquina local, con el comando rpm –Uvh, como se nuestra en la figura 3.



Figura 3. Instalando pcapy.

Ahora debemos de descargar otro paquete que es indispensables para que funcione la herramienta. Aplicaremos el comando wget seguirdo de la URL, para hacer la descargar y del comando rpm, para instalar los módulos de RPM. Posteriormente hay que instalar el módulo, como se muestra en la figura 4.

# wget http://packages.psychotic.ninja/7/base/x86_64/RPMS/schedtool-1.3.0-12.el7.psychotic.x86_64.rpm
# rpm –ivh schedtool-1.3.0-12.el7.psychotic.x86_64.rpm



Figura 4. Descargan e instalando el paquete schedtool.

En este momento todo va bien, solo falta instalar git, para descargar los repositorios de github y poder utilizarlos, para ello, usaremos el comando yum install git. Como se muestra en la figura 5.



Figura 5. Instalando Git.

Daremos “y” (sin las comillas), posteriormente en “s” (sin las comillas).
Una vez instalando GIT, parasemos a instalar el repositorio de maltrail, que se encuentra en el repositorio de github.com, para ellos usaremos el comando git clone seguido de l aURL. Como se muestra en la figura 6.



Figura 6. Instalando maltrail del repositorio de github.

Entraremos el directorio de maltrail con el comendo cd nombre_del_directorio, y posteriormente visualizaremos el contenido, con el comando ls –l, como se muestra en le figura 7.



Figura 7. Visualizando el contenido del directorio maltrail.

Bien ahora, debemos de ejecutar el sensor para que este en escucha con el comando sudo Python sensor.py, como se muestra en la figura 8.

# sudo Python sensor.py

Esperamos esta que nos muestre running, tarda un poco la primera vez porque hace las descarga de las URL´s para estar actualizadas.


Figura 8. Ejecutando el sensor de maltrail.

De acuerdo a la documentación, nos indica que podemos iniciar el servidor es opcional, deberemos abrir una terminal y ejecutar lo siguiente:

# sudo Python server.py &


Figura 9. Ejecutando el servidor en segundo plano.

Seguido debemos de activas el puerto 8338 de entrada y salida en el firewall, como se muestra en la figura 10.



Figura 10. Configurando el firewall.

Como podemos ver se realizó con iptables que es para centos 6, también lo podemos ocupar para centos 7 con el siguiente comando, firewall, como se muestra en la figura 10.1.

# ifconfig eth0 promisc
# firewall-cmd --zone=public--add-port=8338/tcp --permanent
# firewall-cmd --reload
# firewall-cmd--zone=public –list-all


Figura 10.1. activar el puerto 8338 en firewall.


Ya casi tenemos funcionando la herramienta, para ver que tenemos funcionando deberemos de utilizar el comando ping –c 5 136.161.101.53, para indicar que mandaremos 5 paquetes a la dirección que tenemos restringida al exterior y la herramienta lo capturará. Como se muestra en la figura 11.


Figura 11. Mandando ping a la IP 136.161.101.53.

Ahora deberemos de abrir nuestro navegador en la dirección http://127.0.0.1:8338, nos pedirá las credenciales de acceso de las cuales son:
Admin:changeme!

Como se muestra en la figura 12.




Figura 12. Entrando el cliente de maltrail.


Una vez entrando a la herramienta, nos muestra gráficas de los sensores capturados, el primero de ellos es una petición a que IP con el protocolo uDP, la segunda por un sensor del protocolo ICMP (ping), como se muestra en la figura 13.


Figura 13. Información de los sensores en la herramienta.

Ahora vamos hacer un escaneo con la herramienta Zenmap, a nuestra máquina local como sabemos tiene la IP 192.168.1.114. como se muestra en la figura 14.


Figura 14. Herramienta Zenmap.

 Debemos de actualizar nuestro navegador y ver como ahora ya tenemos tres sensores capturados por la herramienta, como se muestra en la figura 15.



Figura 15. Tres sensores capturados por la herramienta.


Bingo está funcionando la herramienta maltrail. Espero les allá gustado.

Sin duda, es una herramienta de kit elemental para la seguridad perimetral.


Felices hacking
Y gracias a chock morris por dejarme escribir este post.


Autor: remarh


Comentarios

Publicar un comentario

Entradas más populares de este blog

Reverse shell & Bind Shell

-
Imagen
¿Que es una Shell? En informática, el término shell se emplea para referirse a aquellos programas que proveen una interfaz de usuario para acceder a los servicios del sistema operativo. Estos pueden ser gráficos o de texto simple, dependiendo del tipo de interfaz que empleen. Los shells están diseñados para facilitar la forma en que se invocan o ejecutan los distintos programas disponibles en el computador. Cabe hacer notar que existen 2 tipos de Shell y estos son: Shells de texto común como bash, emacs, símbolo del sistema de Windows, entre otros. Shells gráfico común como GNome, KDE, XFCE, LXDE, Unity, MacOS Desktop Environment, Escritorio Windows, entre otros.   Shells 1. Reverse shell 2. Bind Shell Reverse shell Un Reverse shell es un tipo de shell en la cual el host (maquina victima) se comunica hacia el host del atacante. El host (maquina del atacante) tiene a la escucha un puerto en el cual recibirá la conexión, que va a usar, para lograr la conexión del...
Leer más

TP-LINK WN722N v2 modo monito

-
Imagen
Antena WiFi TP-LINK WN722N v2  TP-LINK WN722Nv2 Hola a todo, en este post vamos hablar un poco sobre el mito que existe sobre la tarjeta de WiFi TP-LINK WN722N v2, el cual es que no se puede poner en modo monitor. Antes de comenzar, quiero decirles que no estén triste, no hicieron una mala inversión, solo basta con investigar un poco y se encuentra la solución. El motivo del porque esta antena no se puede poner en modo monitor cuando recién la compramos, es porque el tipo de chipset el cual es RTL8188EUS, no lo soporta. Para poder dar solución al problema debemos bajar el drive "no oficial del fabricante", el cual fue modificado para permitir utilizar esta antena en modo monitor. Debemos dar gracias al usuario @kimcoder quien es el que libero el driver modificado para poder utilizarlo con kali linux. A la fecha de escribir este post el 10 de Nov del 2019, estoy utilizando la versión de Kali Linux 2019.3 con kernel 5.2.0. Bueno pues dejemos la hablada y vamos a...
Leer más

AhMyth Android RAT

-
Imagen
AhMyth Android RAT (Remote Administration Tool) AhMyth es un herramienta de administracion remota o mejor conocido como RAT, esta herramienta permite crear un APK para android, ya sea, el apk por default, o inyectar otra apk (real) eh incrustrarle la que se crea con AhMyth Se compone de dos partes: Desde el servidor : Una aplicacion de escritorio basada en framwork electron para el panel de control. Desde el Cliente : Aplicacion Adroid (backdoor) Desde el siguiente repositorio de github podemos descargar el codigo de AhMyth: AhMyth En mi caso usare el binario para debian de 64bits, se descarga desde a qui: AhMyth_debian Nota: En caso de tener otra distro podemos descargar el .deb de 32bits o en todo caso el .exe para windows esto lo encontramos a qui: Binario_AhMyth para instalar AhMyth en kali ejecutamos el siguiente comando: # dpkg -i AhMyth_linux64.deb Des esta manera se instalara el paquete, una vez finalizado la instalacion, podemos encontrar AhMyth RAT...
Leer más