Warning!!! Propagación de Malware

Que es Malware?

Por malware se entiende cualquier programa de software que se instala inadvertidamente y de forma discreta en el equipo de un usuario y ejecuta acciones inesperadas o no autorizadas, pero siempre con intenciones maliciosas. Es un término genérico utilizado para referirse a virus, troyanos y gusanos.

Figura 1: Malware

Hoy en día la mayoria de los cibernautas conocen algunos de los tantos metodos de propagacion de malware y por ende  los ciberdelincuentes se ingenian la forma de propagar su Malware.

Casi todo los metodos de propagacion de malware van a compañadas de ingeneria social.

Como es el caso de este metedo que consiste en darle clic al siguiente link  http://ow.ly/2U3rh?=http://www.paisasdivinas.com/ este nos redirige a una pagina web con contenido para mayores de edad.

Figura 2: Pagina web con malware

Si procedemos a hacer clic en el botón para reproducir el video nos desplegara un mensaje  informandonos  que debemos actualizar Flash Player a la version 10.2.

Figura 3: Actualización de Flash Player

Ahora descargamos supuestamente la actualizacion del Flash Player

Figura 4: Descarga de archivo

si observamos el archivo descargado tiene el mismo nombre del Flash Player original y un icono acorde a la ocasión pero no el mismo tamaño.

Figura 5: Archivo con malware

Lo que hace el cibernauta común es analizar el archivo con su antivirus que en la mayoria de las ocasiones esta desactualizado y como el antivirus no le arrojo que era virus el usuario ejecuta el archivo descargado.

El esta confiado de que no es un virus por que el antivirus no arrojo ningún mensaje alertandolo de que es un virus.

Y si analizamos el archivo en un servicio  Multi-Engine Antivirus Scanner como lo tiene NoVirusThanks.org

Resultado del archivo analizado

File Info

Report date: 2010-10-14 19:14:34 (GMT 1)
File name: install-flash-player-ax-exe
File size: 545343 bytes
MD5 Hash: 1c68114948ccbb3033bde7283097d046
SHA1 Hash: 77db1a945f32006ab1cc032a50f7c2c20053e4ba
Detection rate: 0 on 16 (0%)
Status: CLEAN

Detections

a-squared -
Avast -
AVG -
Avira AntiVir -
BitDefender -
ClamAV -
Comodo -
Dr.Web -
F-PROT6 -
Ikarus T3 -
Kaspersky -
NOD32 -
Panda -
TrendMicro -
VBA32 -
VirusBuster -

Scan report generated by
NoVirusThanks.org

Efectivamente ninguno de esos antivirus lo ha detectado como código malicioso.

No estoy diciendo que los antivirus son malos, solo lo que pretendo es comunicarles que también debemos de contar con otros sistemas de seguridad como lo son los FIREWALL, IDS, ANTISPYWARE y seguir las siguientes recomendaciones.

Tips para protegernos del malware

Figura 6:Protección de equipo

• Abra solamente los archivos adjuntos enviados por remitentes conocidos o esperados.
• Elimine todos los mensajes no solicitados y sospechosos sin abrirlos.
• Haga clic solamente en los enlaces Web enviados por remitentes conocidos o esperados.
• Mantener  el sistema operativo actualizado con los parches de seguridad más recientes.

Enlaces relacionados:

http://www.securitybydefault.com/2010/10/la-propagacion-del-malware.html

Authpf



Como habilitar el modo monitor en BCM4312

Después de un año de tener mi portátil el cual posee una tarjeta inalambrica con chip BCM4312 y solo hasta ahora he logrado habilitarle el modo monitor.

Para habilitar el modo monitor debemos de cumplir con tres requisitos

1. kernel linux-2.6.32 o superior
   
2. b43-fwcutter 4.174.64.19 o superior
3. git-core

Para comprar si tu tarjeta es compatible con este proceso ejecuta este comando

# lspci -nn | grep Network

Como podemos ver en la imagen anterior la tarjeta que tenemos es una Broadcom con chip bcm4312 y que nuestro Device ID es 14e4:4315

Comprobaremos la versión de nuestro kernel con este comando

# uname -r

GUIA

Descargamos el firmware con este comando

# wget http://downloads.openwrt.org/sources/broadcom-wl-4.178.10.4.tar.bz2

Descomprimidos y desempaquetados el paquete

# tar xjf  broadcom-wl-4.178.10.4.tar.bz2

Instalaremos git-core

# apt-get install git-core

Con los siguientes comandos vamos a instalar la aplicación que nos va a extraer el firmware

Primero descargamos el paquete de la siguinte forma

# git clone git://git.bu3sch.de/b43-tools.git

Ingresamos al directorio

# cd b43-tools/fwcutter/

Compilamos

# make

Ingresamos al directorio donde se encuentra el firmware

# cd broadcom-wl-4.178.10.4/linux

Vamos a extraer el firmware en /lib/firmware con el siguiente comando

# ../../b43-tools/fwcutter/b43-fwcutter -w /lib/firmware wl_apsta.o

Reniciamos

# reboot

Instalaremos la suite de aircrack-ng

# apt-get install aircrack-ng

Ponemos nuestra en modo monitor

# airmon-ng stop wlan0

# airmon-ng start wlan0

Comprobamos de que si este en modo monitor

# iwconfig

Hacemos una pequeña prueba

# airodump-ng mon0

Buendo esto es todo si quiere seguir  probando miren estos otros tutos bajo su propia responsabilidad

Ataque Chop-Chop

Ataque WPA Rainbows Tables

Instalación de linux en Evo T20

Estuvimos presentes un año más en el FLISOL  2010 (Festival Internacional de Software Libre) en la ciudad de Medellin, Camilo Zapata , Anderson Linares y yo apoyando la zona de instalación de sistemas operativos libres.

Eso como las 11:00 AM nos llega un Evo T20 para la instalacion de cualquiera distribución de linux.

Resulta que la instalacion no es tan comun como la instalacion de un portatil o de un equipo Desktop,  esto nos llevo a la parte de la investigacion de como funciona este dispositivo y cuales son sus caracteristicas de hardware.

En este link pueden encontrar las caracteristicas de hardware y una introducion de como funciona

http://h18000.www1.hp.com/products/quickspecs/10865_div/10865_div.HTML

Por ende nos toco transladar el dispositivo a la casa hacklab para hacer la operacion hack.

Los materiales que necesitamos son los siguientes

Path cord

Usb de 1Gb o superior

Debian instalado

En esta parte les mostraremos como es el proceso de instalación de linux en Evo T20

Lo primero es instalar un tftp y un dhcp con el siguinte comando

#apt-get install tftpd-hpa dhcp3-server

Despues debemos de modificar el archivo de tftpd-hpa para inicie el demonio de la siguiente manera

#nano /etc/default/tftpd-hpa

cambiamos la variable RUN_DAEMON por defecto esta en definida en ¨no¨

Debe de quedar asi

#RUN_DAEMON=¨yes¨

Ahora descargamos el script del siguinte comando el cual nos configura nos inicia los servicios en los puertos que necesitamos para este dispositivo y entre otras cosas.

#wget http://mowson.org/karl/articles/linux-netxfer/netxfer.sh

El script lo movemos a la siguinte ruta /var/lib/tftpboot con el siguinte comando

#mv netxfer.sh /var/lib/tftpboot

Despues nos decargaremos el siguiente Firmware  bootp.bin_Compaq_Evo_T20.usbstick.installation-12.2_0.37.gz

#wget http://li-la.de/pub/baldar/Compaq_Evo_T20/Firmwares/bootp.bin_Compaq_Evo_T20.usbstick.installation-12.2_0.37.gz

Ahora le descomprimimos el Firmware con el siguiente comando

#gzip -d bootp.bin_Compaq_Evo_T20.usbstick.installation-12.2_0.37.gz

Despues le cambiamos el nombre y lo movemos de directotio

#mv bootp.bin_Compaq_Evo_T20.usbstick.installation-12.2_0.37  /var/lib/tftpboot/bootp.bin

Despues ejecutaremos el script

#sh netxfer.sh

Ahora presionamos la tecla ¨p¨  al Evo T20  para que inicie el nextfer

Nos debe aparecer algo  como est0

Despues del  flasheo crearemos tres particiones en la memoria usb en un otro equipo con linux . La primera partición con file system  fat16, la segunda con la dejaremos para swap y la tercera particion con ext2.

El sistema operativo lo descargaremos del siguiente link

http://li-la.de/pub/baldar/Compaq_Evo_T20/Firmwares/Compaq_Evo_T20_T30.usbstick.installation-12.2_0.37.tgz

Crear las tres particiones con fdisk

#fdisk /dev/sdb

las particiones debe de quedar asi

Ahora les vamos hacer  el file system

#mkfs.vfat /dev/sdb1

#mkswap /dev/sdb2 -L swap

#mkfs.ext2 /dev/sdb3 -L slackware-12.2

Ahora copiaremos el sistema operativo en sdb3

#mkdir /media/uno

#mount /dev/sdb3 /media/uno

#tar xzvf Compaq_Evo_T20/Firmwares/Compaq_Evo_T20_T30.usbstick.installation-12.2_0.37.tgz  -C /media/uno

Ya con esto pasos podemos iniciar nuestro nuevo sistema linux en Evo T20

Y si todo a salido bien tendremos una imagen parecida a esta

Referencias

http://www.haxordbox.com/index.php?option=content&task=view&id=40&catid=65&Itemid=54

http://mowson.org/karl/evo_t20/

http://www.kazak.com.co/evo/

http://h20000.www2.hp.com/bizsupport/TechSupport/DocumentIndex.jsp?&lang=en&cc=uk&contentType=SupportManual&docIndexId=179166&prodTypeId=12454&prodSeriesId=96470&lang=en&cc=uk

Alternativa Opensource a Ms-Exchange

Despues de algun tiempo que no me aparecia por estos sectores, hoy quize añadir este manual que se trata de como implementar un sistema de correo totalmente funcional y ademas es totalmente libre.

He encontrado algunos links donde hacen algunas comparaciones de los sistemas de correo en cuanto precio y caracteristicas.
Comparacion en precios

http://www.kyapanel.com/index.php?option=com_content&task=view&id=28&Itemid=46

Comparacion en caracteristicas

http://www.kyapanel.com/wiki/doku.php?id=kyapanel:kp_x_ms

Tambien quiere hacer referencia al blog del compañero Anderson Linares que conjuntamente desarrollamos este trabajo.

Por ultimo dejo dos videos

Este es sobre una simulación de la tecnologia RAID

Este  otro se trata de como utilizar el kyapanel

Tabla comparativa de recuperacion de datos

Como recuperar información de una tarjeta SD

En este post les mostrare un poco como recuperar fotos, musica, videos y cantidad de archivos que hemos perdido en nuestra memoria SD.

Procedemos a descargar el software  que nos permite recuperar la información del siguiente enlace

http://www.cgsecurity.org/wiki/TestDisk_Download

Ahora lo ejecutaremos y procedemos hacer el siguinte procedimiento

Selecionaremos el disco de donde queremos recuperar la información y presionamos ENTER

Ahora seleccionaremos el tipo de particion en mi caso seleccionere none y presionamos ENTER

Despues seleccionaremos la opcion File opt y presionamos ENTER

Ahora procedemos a seleccionar los formatos que vamos a recuperar en mi caso solo selecconare jpg y presionamos ENTER

Ahora procedemos a buscar las imagenes presionando ENTER en la opcion Search

Ahora seleccionameros el tipo de sistema de archivo que es nuestro dispositivo en mi caso es NTFS por eso seleccione Other y presionamos ENTER

Ahora nos pregunta donde queremos guardar los archivos recuperados en mi caso en un directorio llamado waldo lo seleccionamos y presionamos la tecla Y

Ahora esperamos a que nos restaure la información

En la imagen anterior nos da informacion de donde quedaron guardadas y cuantas imagenes recupero

Ahora miremos en el directorio las imagenes

Listo nuestra recuperacion fue exitosa

NOTA: Antes de hacer la restauracion borre todas mis imagenes con un formateo rapido esto quiere decir que el software  que use es muy bueno y ademas es GPL y multiplataforma

Como crear un repositorio local de Debian desde los DVD´s

Para mi es vital tener mi repositorio ya que a veces en el SENA no tenemos internet o si lo hay es muy lento la conexion por esto decidi montar mi propio repositorio y asu vez compartirlo para mis compañeros de estudio.

Los  requisitos fundamentales es tener los 5 DVS de debian y una particion con espacio libre de 20gb

lo primero que haremos es crear una carpeta, en mi caso la creare en un dico duro aparte

#mkdir repositorios

El siguiente paso es copiar dos carpetas de los DVD´s en la carpeta que creamos anteriormente

#cp -R dists/ /media/mirror/repositorios/

#cp -R pool/ /media/mirror/repositorios/

El proceso anterior lo vamos a hacer con cada DVD, es un poco desmorado tendremos paciencia

Ahora vamos a escanear y comprimir los paquetes main y contrib

Paquetes main

#dpkg-scanpackages pool/main/ /dev/null > dists/lenny/main/binary-i386/Packages

#gzip dists/lenny/main/binary-i386/Packages

Paquetes contrib

#dpkg-scanpackages pool/contrib/ /dev/null > dists/lenny/contrib/binary-i386/Packages

#gzip dists/lenny/contrib/binary-i386/Packages

Despues del proceso anterior pasaremos a instalar un servidor Web en mi caso instalare Apache

#apt-get install apache2

Presionamos la tecla Y para continuar con la instalacion

Cuando nuestro apache acabe de instalar procedemos a hacer un link simbolico apuntando a nuestro al directorio donde publica el apache que por defecto es /var/www/

#ln -s /media/mirror/repositorios /var/www

Ya con los pasos anteriores nuestro servidor esta funcionando como mirror local

Ahora vamoa a decirles a los clientes de que direccion se pueden descargar los paquetes

#nano /etc/apt/sources.list

En el archivo sources.list agregaremos la siguiente linea

deb http://xxx.xxx.x.x/repositorios lenny main contrib

Donde estan las X siginifica la IP de nuestro servidor

Ahora guardamos el archivo modificado y actualizamos nuestros repositorios con el siguinte comando

#apt-get update

Listo ya tenes nuestro repositorio local con mayor velocidad a la hora de descargar nuestros paquetes

Manual de proxy basico en Windows

Lo primero es descargar la ultima version estable de squidNT la pueden descargar de esta direccion http://squid.acmeconsulting.it/download/dl-squid.html

Despues descomprimimos el contenido de la carpeta zip en nuestro disco duro en este caso el disco local C:\
quedaria algo asi

Continuamos accede a la carpeta C: \squid\etc y renombramos los archivos que hay alli squid.conf.default y mime.conf.default deja una copia de los archivos por si te equivocas editando el original

Con el notepad o el editor de texto que tu prefieras abre el archivo squid.conf y busca las siguientes lineas y realiza las modificaciones siguientes.

#cache_dir ufs C: \squid\var\cache 100 16 256

Elimina el simbolo de numero de esta linea (#) y ponle la direccion donde se ubicara la cache de squid

El numero que sale por defecto es  (100) es el espacio  en mega bytes que se destinara para la cache, según el espacio que quieras asignar y el disponible en el disco duro puedes poner desde 10MB hasta  10Gb o mas, para este ejemplo asignaremos 1 GB

cache_dir ufs C: \squid\var\cache 1000 16 256

Busca el siguiente grupo de lineas

unregistered ports

acl Safe_ports port 280 # http-mgmt

acl Safe_ports port 488 # gss-http

acl Safe_ports port 591 # filemaker

acl Safe_ports port 777 # multiling http

acl CONNECT method acl all src 0.0.0.0/0.0.0.0

acl manager proto cache_object

acl localhost src 127.0.0.1/255.255.255.255

acl to_localhost dst 127.0.0.0/8

acl SSL_ports port 443 563

acl Safe_ports port 80 # http

acl Safe_ports port 21 # ftp

acl Safe_ports port 443 563 # https, snews

acl Safe_ports port 70 # gopher

acl Safe_ports port 210 # wais

acl Safe_ports port 1025-65535 #CONNECT

Cada una de estas líneas son variables con las que trabajara tu proxy, aquí podrás agregar quien (accede PC o usuario) o que accede a internet o no permitir descargar algunos formatos de archivos (exe, mov, mp3)

De momento bastara con agregar las siguientes líneas

acl net src 192.168.101.0/255.255.255.0

Donde 192.168.101.0 representa el segmento de red en que está configurada  255.255.255.0 representa la máscara de tu red

Busca la siguiente línea

http_access allow manager localhost

Y después de esta agregamos la siguiente línea

http_access allow net

Donde 192.168.101.0 representa el segmento de red en que está configurada  255.255.255.0 representa la máscara de tu red

Donde net representa a tu red, esta regla está dando permisos a tu red de usar el proxy

Si queremos filtrar determinadas palabras hacemos lo siguiente

Crearemos un archivo de texto con las palabras que queremos  que nos  filtre el proxy  y lo guardamos en la siguiente ruta  C:\squid\etc\denegado.txt

Después agregamos una regla después de la siguiente línea ósea que nos vamos a devolver

acl net src 192.168.101.0/255.255.255.0

Le agregamos esta línea

acl palabras url_regex “C:/squid/etc/denegado.txt”

En la imagen anterior vemos como queda la regla

Buscamos la siguiente línea y la modificaremos

http_access allow net

Y le agregas !palabras

Asi quedaría

http_access allow net !palabras

Al final del archivo agregamos esta línea

Visible_hostname server

Busca la siguiente línea y las quitas el símbolo #

http_port  3128

Busca la siguiente línea quítale el símbolo # y cambia la palabra off por on esto hablita la aceleración de navegación

httpd_accel_with_proxy of

Quedaria de la siguiente forma

httpd_accel_with_proxy on

Ahora agregaremos el DNS entonces para hacer esto buscamos estas líneas

# Example: dns_nameservers 10.0.0.1 192.172.0.4

#

#Default:

# none

Y agregamos esta línea

dns_nameservers  192.168.101.1

Con esto acabamos de configurar los parámetros básicos de squid ahora falta ponerlo a funcionar

Por medio de consola o de inicio ejecutar ponemos el siguiente comando

C:\squid\sbin\squid –z

Si no marca ningún error significa que hicimos todo bien

Después ejecutamos este comando

C:\squid\sbin\squid –i

Esto comando instala el servicio proxy en la lista de servicios de Windows server 2003

Ahora reinicias l servicio de squid, esto lo podernos hacer de dos formas, reiniciando tu PC o ir al panel de control, herramientas administrativas , servicios allí busca uno que se llama squidNT y le das reiniciar

Ahora ya tenemos nuestro proxy corriendo

DHCP en OpenBSD con VLANs