Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
▼
2020
(Total:
212
)
-
▼
diciembre
(Total:
46
)
- Lo más buscado en Google España en 2020
- Robo de datos de clientes de T-Mobile: expuestos n...
- Secuestro de Google Docs usando función capturar p...
- Kawasaki informa de un "acceso no autorizado" y un...
- Roban 615.000 credenciales de inicio de sesión med...
- Piratas informáticos rusos accedieron a las cuenta...
- Electrodomésticos Whirlpool afectado por un ataque...
- Encuentran una cuenta de usuario indocumentada en ...
- Cifrar un pendrive USB (proteger pendrive o disco ...
- Detectada una nueva campaña de phishing para Andro...
- El Papa Francisco da por segunda vez un "me gusta"...
- Configuración de una VPN con OpenVPN
- Norcoreanos intentan robar la investigación de la ...
- Encuentran nuevos fallos en el 5G que permiten geo...
- Utilizan la misma dirección IP para subir película...
- Zoom está siendo investigada por su seguridad, pri...
- Qubes OS, uno de los sistemas operativos más segur...
- Microsoft, Google, Cisco y otros presentan un escr...
- Los iPhones de 36 periodistas fueron espiados util...
- Ciberdelincuentes atacan cadenas de suministros de...
- Ransomware DoppelPaymer acosa a las víctimas que s...
- Ministros de la UE exigen cifrado en comunicacione...
- Filtran datos de ordenadores a través de la RAM co...
- Rusia estaría detrás del ataque (Orion de SolarWin...
- Hackean Sistema de marketing de Subway UK
- 115 mil alumnos sin clase por un ciberataque de ra...
- Exingeniero de Cisco condenado a prisión por elimi...
- Funciones avanzadas y opciones de seguridad en Wha...
- AIO 2021 - Compilación herramientas análisis y des...
- La Agencia Europea del Medicamento anuncia que ha ...
- Empresa de ciberseguridad FireEye sufre un hackeo ...
- Amnesia: 33 errores del protocolo TCP/IP
- Ejecución remota de código (RCE) en Microsoft Teams
- Kaspersky publica TinyCheck, herramienta capturar ...
- Arreglada vulnerabilidad crítica (RCE) en PlayStat...
- HDMI vs DisplayPort vs ThunderBolt
- Vulnerabilidad en librería Google Play Core expone...
- Actualizaciones de seguridad para VMWare (Windows-...
- Filtración de 243 millones de registros médicos en...
- Qualcomm anuncia el procesador Snapdragon 888
- Ataque del ransomware Conti a la empresa Advantech...
- Publican detalles exploit WiFi 'Wormable', que sin...
- Estafan, suplantando el e-mail del jefe, más de 9 ...
- Investigadores encuentran evidencia de espionaje t...
- Arrestan 3 estafadores nigerianos por atacar a mil...
- Raspberry Pi 4 Model B+ - Qué modelo comprar - Asu...
- ► septiembre (Total: 21 )
-
▼
diciembre
(Total:
46
)
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet . Es...
-
A finales del mes de agosto hablábamos de que los legisladores estadounidense habían solicitado la investigación de TP-Link . Y así, ya ten...
Kaspersky publica TinyCheck, herramienta capturar todo el tráfico de red de dispositivos
Kaspersky publica TinyCheck, una herramienta para capturar fácilmente las comunicaciones de red desde un teléfono inteligente o cualquier dispositivo que se pueda asociar a un punto de acceso Wi-Fi para analizarlas rápidamente
TinyCheck permite capturar fácilmente las comunicaciones de red desde un teléfono inteligente o cualquier dispositivo que se pueda asociar a un punto de acceso Wi-Fi para analizarlas rápidamente. Esto se puede usar para verificar si se está saliendo alguna comunicación sospechosa o maliciosa desde un teléfono inteligente, mediante el uso de heurísticas o indicadores de compromiso específicos (IoC).
Arquitectura
Para que funcione, necesita una computadora con un sistema operativo similar a Debian y dos interfaces Wi-Fi. La mejor opción es usar una Raspberry Pi (3+) con un dongle Wi-Fi y una pequeña pantalla táctil. Esta pequeña configuración (por menos de $ 50) le permite tocar cualquier dispositivo Wi-Fi, en cualquier lugar.
Historia
La idea de TinyCheck ocurrió en una reunión sobre artículos de acecho con un refugio para mujeres francesas. Durante esta reunión hablamos sobre cómo detectar fácilmente stalkerware sin instalar aplicaciones muy técnicas ni realizar análisis forenses en ellas. El concepto inicial era desarrollar un pequeño dispositivo de quiosco basado en Raspberry Pi que puede ser utilizado por personas sin conocimientos de tecnología para probar sus teléfonos inteligentes contra comunicaciones maliciosas emitidas por stalkerware o cualquier software espía.
Por supuesto, TinyCheck también se puede utilizar para detectar cualquier comunicación maliciosa de ciberdelitos o implantes patrocinados por el estado. Permite al usuario final impulsar sus propios indicadores de compromiso extendidos a través de un backend para detectar algunos fantasmas a través del cable.
Casos de uso
TinyCheck puede ser utilizado de varias formas por personas y entidades:
- A través de una red: TinyCheck se instala en una red y se puede acceder a él desde una estación de trabajo a través de un navegador.
- En modo quiosco: TinyCheck se puede utilizar como quiosco para permitir que los visitantes prueben sus propios dispositivos.
- Totalmente independiente: al usar un banco de energía, puede tocar cualquier dispositivo en cualquier lugar.
Pocos pasos para analizar tu smartphone
- Desactivar el también conocido como móvil. datos del celular
- Desactive el enlace de datos 3G / 4G en la configuración de su teléfono inteligente.
- Cerrar todas las aplicaciones abiertas
- Esto para prevenir algunos FP. También puede ser bueno desactivar la actualización de fondo para las aplicaciones de mensajería / citas / video / música.
- Conecte su teléfono inteligente a la red WiFi generada por TinyCheck
- Una vez conectado a la red Wi-Fi, se recomienda esperar entre 10 y 20 minutos.
- Interactuar con su teléfono inteligente
- Envíe un SMS, haga una llamada, tome una foto, reinicie su teléfono; algunos implantes pueden reaccionar ante tales eventos.
- Detén la captura
- Detenga la captura haciendo clic en el botón.
- Analiza la captura
- Analiza la comunicación captada, disfruta (o no).
- Guarda la captura
- Guarde la captura en una llave USB o mediante descarga directa.
Arquitectura
TinyCheck se divide en tres partes independientes:
- Un backend: donde el usuario puede agregar sus propios IOC extendidos, elementos de la lista blanca, editar la configuración, etc.
- Un frontend: donde el usuario puede analizar la comunicación de su dispositivo creando un AP WiFi efímero.
- Un motor de análisis: se utiliza para analizar el pcap utilizando Zeek, Suricata, IOC extendidos y heurísticas.
El backend y el frontend son bastante similares. Ambos consisten en una aplicación VueJS (fuentes almacenadas en / app /) y un punto final API desarrollado en Flask (almacenado en / server /). Los datos compartidos entre el backend y el frontend se almacenan en el archivo config.yaml para la configuración y la base de datos tinycheck.sqlite3 para la lista blanca / IOC.
Vale la pena señalar que no todas las opciones de configuración son editables desde el backend (como puertos predeterminados, emisores de certificados gratuitos, etc.). No dude en echar un vistazo al archivo config.yaml para ajustar algunas opciones de configuración.
Instalación
Antes de la instalación de TinyCheck, debe tener:
- Una Raspberry Pi con sistema operativo Raspberry Pi (o cualquier computadora con un sistema similar a Debian)
- Dos interfaces Wi-Fi en funcionamiento (verifique su número con ifconfig | grep wlan | wc -l).
- Una conexión a Internet en funcionamiento
- (Recomendado) Una pequeña pantalla táctil previamente instalada para el modo quiosco de TinyCheck.
$ cd / tmp /
$ git clone https://github.com/KasperskyLab/TinyCheck
$ cd TinyCheck
$ sudo bash install.sh
Al ejecutar install.sh, se instalarán todas las dependencias asociadas al proyecto y puede tardar varios minutos dependiendo de la velocidad de Internet. Se van a crear cuatro servicios:
- tinycheck-backend ejecutando la interfaz y el servidor backend;
- tinycheck-frontend ejecutando el servidor frontend & interface;
- tinycheck-kiosk para manejar la versión de kiosco de TinyCheck;
- tinycheck-watchers para manejar los observadores que actualizan automáticamente las IOC / listas blancas de URL externas;
Una vez instalado, el sistema operativo se reiniciará.
Conoce la interfaz
La interfaz, a la que se puede acceder desde http: //tinycheck.local, es una especie de túnel que ayuda al usuario a lo largo del proceso de captura e informes de la red. Permite al usuario configurar una conexión Wi-Fi a una red Wi-Fi existente, crear una red Wi-Fi efímera, capturar las comunicaciones y mostrar un informe al usuario ... en menos de un minuto, 5 clics y sin cualquier conocimiento técnico.
Conoce el backend
Una vez instalado, puede conectarse al backend de TinyCheck navegando por la URL https: //tinycheck.local y aceptando el certificado autofirmado SSL. Las credenciales predeterminadas son tinycheck / tinycheck.
El backend le permite editar la configuración de TinyCheck, agregar IOC extendidas y elementos en la lista blanca para evitar falsos positivos. Ya se proporcionan varios IOC, como algunas reglas suricata, FreeDNS, servidores de nombres, CIDR conocidos por albergar servidores maliciosos, etc. En términos de IOC ampliadas, esta primera versión de TinyCheck incluye:
- Reglas de Suricata
- CIDR
- Dominios y FQDN (denominados genéricamente "Dominios")
- Direcciones IPv4 / IPv6
- Certificados sha1
- Servidores de nombres
- FreeDNS
- TLD de lujo
Conoce el motor de análisis
El motor de análisis es bastante sencillo. Para esta primera versión, las comunicaciones de la red no se analizan en tiempo real durante la captura. El motor ejecuta Zeek y Suricata contra la captura de red previamente guardada. Zeek es un disector de redes muy conocido que almacena en varios registros la sesión capturada.
Una vez guardados, estos registros se analizan para encontrar IOC extendidas (enumeradas anteriormente) o para que coincidan con las reglas heurísticas (que se pueden desactivar a través del backend). Las reglas heurísticas están codificadas en zeekengine.py y se enumeran a continuación. Como solo se analiza un dispositivo a la vez, existe una baja probabilidad de que se aprovechen las alertas heurísticas.
- UDP / ICMP fuera de la red local
- Conexión UDP / TCP con un puerto de destino> 1024
- Host remoto no resuelto por DNS durante la sesión
- Uso de certificado autofirmado por el host remoto
- Conexión SSL realizada en un puerto no estándar
- Uso de emisores de certificados SSL específicos por parte del host remoto (como Let's Encrypt)
- Solicitudes HTTP realizadas durante la sesión
- Solicitudes HTTP realizadas en un puerto no estándar
- ...
En la parte Suricata, la captura de la red se analiza contra las reglas suricata guardadas como IOC. Pocas reglas son dinámicas como:
- Nombre del dispositivo exfiltrado en texto sin cifrar;
- SSID del punto de acceso exfiltrado en texto sin cifrar;
Para mantener los IOC y la lista blanca actualizados constantemente, TinyCheck integra algo llamado "observadores". Es un servicio muy simple con pocas líneas de Python que captura nuevos IOC formateados o elementos de la lista blanca de URL públicas. A partir de hoy, TinyCheck integra dos URL, una para la lista blanca y otra para las IOC (los archivos formateados están presentes en la carpeta de activos).
Si ha visto algo muy sospechoso y / o necesita ser investigado / integrado en una de estas dos listas, no dude en hacernos un ping. También puede hacer su propio observador. Recuerde, compartir es cuidar.
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.