Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1058
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
▼
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
▼
marzo
(Total:
103
)
- Apple y Meta compartieron datos privados de usuari...
- Spring4Shell: un nuevo 0-day en Spring (Java)
- El mayor hackeo de criptomonedas de la historia ac...
- La NVIDIA RTX 3090 Ti es la gráfica más potente y ...
- Filtran informe técnico que revela como Lapsus hac...
- Globant hackeada también por Lapsus
- Detenido por 4º vez Alcasec, esta vez por hackear ...
- Los usuarios de Ucrania se quedan sin internet otr...
- Informe completo del Ransomware Hive
- Sitios hackeados con WordPress fuerzan a los visit...
- Anonymous publica 28 GB de documentos del Banco Ce...
- Las futuras unidades SSD PCIe 5.0 necesitarán refr...
- Tinder te dirá en Estados Unidos si tu futura cita...
- La FCC añade a Kaspersky a su lista de amenazas a ...
- Vulnerabilidades permiten arrancar y abrir remotam...
- Corea del Norte explota vulnerabilidad Zero-Day en...
- Mejorar la seguridad de Windows con herramienta Sy...
- Rusia habría hackeado satélites europeos al inicio...
- Diferencias entre SSL, TLS y HTTPS
- Disponible distro auditorías hacking y pentest Par...
- El sueldo medio de un operador del ransomware Cont...
- Comandos prácticos consola Windows (cmd)
- ¿Quiénes son los miembros del grupo Lapsus? El líd...
- Un ataque DDoS tumba la web del Congreso de los Di...
- Guía compra CPU: arquitecturas y equivalencias de ...
- Técnicas de intrusión hacking con vectores inicial...
- Los rusos se descargan masivamente la Wikipedia an...
- Microsoft confirma que fue hackeado por el grupo L...
- Actualizaciones de seguridad críticas para varios ...
- Anonymous hackea Nestlé y filtra 10 GB de datos co...
- El Apple M1 Ultra es casi 3 veces más grande que u...
- Grupo Lapsus publica un torrent con 37GB de codigo...
- Falso reinicio: Ataque NoReboot para mantener pers...
- Microsoft investiga un supuesto hackeo con robo de...
- Kit Phishing permite crear ventanas realistas de P...
- Twitter prepara «Circles», para mostrar tuits a co...
- Rusia podría quedarse sin espacio de almacenamient...
- Herramienta de Microsoft para escanear routers Mik...
- Un juez del Supremo de Brasil prohíbe el uso de Te...
- Vulnerabilidades críticas en los dispositivos Smar...
- Malware Ruso Cyclops Blink afecta a varios modelos...
- Enviar "fotopollas" será delito en el Reino Unido
- Video falso (deepfake) del presidente ucraniano pi...
- Ver las contraseñas guardadas en redes Wireless en...
- Cloudflare bloquea los servicios IPTV pirata en it...
- Nueva multa a Meta de 17 millones € por incumplimi...
- VirusTotal presenta extensión navegador VT4Browsers
- Transceptores SFP
- Elevación local de privilegios en el Kernel de Lin...
- Intel anuncia una inversión de 33 mil millones de ...
- Microsoft está probando de añadir anuncios en el E...
- Ucrania utiliza el reconocimiento facial en la gue...
- Alemania pide a sus empresas y usuarios desinstala...
- CaddyWiper es un nuevo malware destructivo dirigid...
- El grupo de ransomware Vice Society publica los da...
- Microsoft publica la API DirectStorage para PC, un...
- Conectar pendrive USB al teléfono móvil
- Anonymous hackea la filial alemana de la gran petr...
- Acusan a TP-Link de espiar a sus usuarios mediante...
- Disponible WifiSlax 3.0 Final 2022 para auditorías...
- La aduana de China captura a un hombre con 160 CPU...
- Procesadores Intel pierden hasta un 35% y AMD has...
- Un simulador nuclear 'online' se bloquea debido al...
- Hackean la cuenta Twitter de La Casa Real de España
- Top 10 de ataques al Directorio Activo de Windows
- La empresa Tarlogic denuncia la poca seguridad de ...
- Cómo acceder a la BIOS-UEFI según la marca del por...
- Ubisoft confirma un ciberataque y podría ser obra ...
- Funciones y trucos ocultos de Windows 11
- Google lanza las alertas de ataques aéreos para us...
- Rusia crea su propia Autoridad Certificadora (CA) ...
- La Fundación Wikimedia advierte sobre los peligros...
- Anonymous hackea al Roskomnadzor, el regulador que...
- ¿Qué es un trol de patentes de software?
- Nuevo vector de ataque permite amplificar los ataq...
- BHI (Spectre-BHB) es una nueva vulnerabilidad tipo...
- Apple M1 Ultra es el nuevo procesador de 20 núcleo...
- Twitter estrena web en la red Tor para combatir la...
- Grave vulnerabilidad en el kernel de Linux: Dirty ...
- 12VHPWR es un nuevo conector de hasta 600W para ta...
- Apple presenta el Mac Studio, un equipo mini de al...
- Apple Studio Display un Monitor 5K de 27″ a partir...
- Google compra Mandiant por 5.400 millones de dólar...
- Consiguen hackear Amazon Echo para hacer compras o...
- Anonymous hackea canales de televisión que sirven ...
- Mercado Libre también ha sido hackeado por LAPSUS$...
- Rusia podría permitir el software ilegal (pirata) ...
- Vulnerabilidad en cgroups v1 permite escapar de un...
- Aparecen los primeros malware con los certificados...
- Coinbase y Binance se niegan a expulsar a usuarios...
- Filtradas las credenciales de 71.355 empleados de ...
- Grupo Lapsus hackea Samsung y publica un torrent c...
- Bottles permite ejecutar software de Windows en Li...
- instalación y configuración de Docker en NAS QNAP ...
- IsaacWiper y HermeticWizard: un nuevo wiper y worm...
- Nuevo método ataque DrDDoS utilizando nuevo vector...
- EA elimina la selección Rusa y los equipos Rusos d...
- Miembro pro Ucraniano filtra chats internos, docum...
- Ciberataque detiene la producción del fabricante c...
- Google también veta el acceso a los canales de You...
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
Un fallo de diseño en el mecanismo de registro del servidor VPN de Fortinet puede aprovecharse para ocultar la verificación exitosa de cre...
-
Trinity asegura haber robado 560 GB de datos de la Agencia Tributaria (AEAT) española, así como haber secuestrado parte de sus sistemas, ci...
Técnicas de intrusión hacking con vectores iniciales poco corrientes
Un repaso a las técnicas de acceso inicial de las que posiblemente no haya oído hablar antes. Es poco probable que los encuentre en el marco Mitre ATT&CK y es poco probable que sucedan día a día, pero son perfectamente válidos para los atacantes persistentes. La forma de implementar la detección de estas técnicas también depende del modelo de amenaza y de quién está tratando de atacar.
Las técnicas tradicionales de acceso inicial para amenazas comunes, como operadores de ransomware o grupos de amenazas persistentes avanzadas (APT), incluyen la suplantación de identidad para obtener credenciales, el spam malicioso que contiene malware, la obtención de credenciales de RDP a través de la fuerza bruta o la compra en mercados clandestinos, y la explotación de una vulnerabilidad en un entorno público. sistema de encaramiento. Sin embargo, las técnicas discutidas en este blog requieren un poco más de determinación, oportunismo y pensamiento lateral.
Hackean a un casino mediante una pecera
En primer lugar, se encuentra un informe un tanto icónico cuyo informe Global Threat Landscape de 2017 detalla cómo un actor de amenazas supuestamente usó una pecera conectada a Internet en un casino. Aparentemente, el actor de amenazas (ver la Fig. 1 a continuación) no pudo ingresar a la red de la empresa a través de medios tradicionales (como los que se describieron anteriormente). Después, con un poco de fervor, lograron descubrir un dispositivo anómalo en el perímetro, uno que el equipo de Infosec aparentemente había olvidado. Esto fue todo lo que se necesitó para establecer un punto de apoyo inicial, realizar un movimiento lateral y filtrar datos confidenciales del entorno de destino sin ser detectados.
A través de un blog personal vía Linkedin
A continuación, lass tácticas aprovechadas por un ciberdelincuente ruso llamado Yevgeniy Nikulin que fue arrestado en Praga en 2016 y extraditado a los EE. UU. Él fue quien infamemente hackeó en LinkedIn, así como en Dropbox y Formspring, y robó millones de registros de cada empresa. Tan impresionante como la lista de víctimas que Yevgeniy acumuló, la forma en que las comprometió es más fascinante.
Según los informes, comenzó rastreando LinkedIn en busca de objetivos y encontró un ingeniero de software al que iba a perseguir (ver la Fig. 2 a continuación). Después descubrió que el ingeniero de software tenía un blog personal alojado en una dirección IP residencial. Un reconocimiento adicional de la dirección IP descubrió que era una máquina virtual en un sistema iMac personal. Al explotar una vulnerabilidad conocida, Yevgeniy logró obtener acceso inicial y comprometió la máquina virtual. Lo que siguió a continuación fue algo así como un golpe maestro de un genio maligno. Yevgeniy descubrió que la máquina virtual podía conectarse localmente al host iMac a través de SSH (Puerto 22). Luego se abrió paso a la fuerza bruta hasta la máquina iMac anfitriona, robó las credenciales VPN válidas del ingeniero de software y se conectó a la red corporativa de LinkedIn y el resto fue historia. (fuente)
Fig. 2: cómo el sitio personal de un ingeniero de software condujo al acceso a las bases de datos de LinkedIn
Las Cookies de EA
A Electronic Arts (EA), votada como una de las peores empresas de Estados Unidos (dos veces), le robaron el código fuente de su motor Frostbite y FIFA. Todos los detalles técnicos no están claros, pero tenemos un recuento de uno de los actores de amenazas que supuestamente ayudó en el ataque y
.El incidente en EA probablemente comenzó con un correo electrónico no deseado malicioso que contenía un archivo adjunto dudoso. Alguien con acceso a la instancia de Slack de EA la abrió y se infectó con malware de robo de información (como Raccoon Stealer, Redline Stealer, AZORult o Vidar Stealer) que recopilaba y exfiltraba las credenciales del navegador web, las cookies de sesión web y otros tokens de autenticación (ver Fig. 3 a continuación). Luego, la cookie se puso a la venta en el mercado clandestino cibercriminal de larga data, Genesis Market. Varios otros mercados existen, sin como Russian Market, 2EasyShop, Xleet o Amigos (que cerraron recientemente).
Según los informes, un actor de amenazas vinculado al grupo LAPSUS $ compró más tarde la cookie que le dio acceso al Slack Channel de EA. Mientras iniciaba sesión en una cuenta de empleado legítima, el actor de amenazas se puso en contacto con el servicio de asistencia de TI de EA y los convenció de que proporcionaran acceso a los repositorios de códigos, lo cual se concedió. Esto llevó a que el actor de amenazas descargara gigabytes de datos y, posteriormente, los utilizara en un intento de extorsión para que EA pagara para que no se hiciera público. EA no pagó (AFAIK) y los datos se filtraron posteriormente a la clandestinidad ciberdelincuente.
Fig. 3: cómo un actor de amenazas usó una cookie y realizó ingeniería social para acceder al código fuente de EA
Emulador de Android
En marzo de 2021, los investigadores de ESET descubrieron un ataque a la cadena de suministro de software contra el software de emulación, NoxPlayer, para instalar malware de vigilancia en las computadoras de los jugadores en línea (consulta la Fig. 4 a continuación).
El adversario apuntó a usuarios selectos de NoxPlayer, un paquete de software que emula el sistema operativo Android en PC y Mac. La gente lo usa principalmente para jugar juegos móviles de Android en estas plataformas. El fabricante de NoxPlayer, BigNox, dice que el software tiene 150 millones de usuarios en 150 países.
Según los informes, la infraestructura que pertenece al desarrollador de software, BigNox, fue comprometida por un adversario sofisticado y potencialmente alineado con el estado para impulsar una actualización maliciosa. Y, en algunos casos, el actualizador de BigNox descargó cargas adicionales de servidores controlados por atacantes. Cabe destacar, sin embargo, que a diferencia del infame ataque a la cadena de suministro de SolarWinds, los archivos maliciosos no se firmaron digitalmente como lo hacen las actualizaciones legítimas, lo que sugiere que el sistema de compilación del software BigNox no se vio comprometido; solo lo estaban los sistemas de entrega de actualizaciones. (fuente)
Mediante un pendrive USB
En octubre de 2019, CrowdStrike publicó un informe titulado "ENORME FAN DE SU TRABAJO", que describía con gran detalle cómo los servicios de inteligencia chinos lanzaron una campaña generalizada de robo de propiedad intelectual dirigida a la industria de la aviación. CrowdStrike evalúa que la campaña, denominada TurbinePanda, tenía como objetivo "llenar las brechas clave de tecnología e inteligencia" para permitir que su avión de pasajeros birreactor de fuselaje estrecho, el C919, "compita contra las empresas aeroespaciales occidentales". La campaña (ver Fig. 5 a continuación) dependía de tener personal de TI estacionado dentro de las organizaciones específicas de la industria de la aviación. El individuo tenía acceso físico a sistemas con información confidencial. Se les pasó un dispositivo USB malicioso, que contenía el malware Sakula, para insertarlo en un sistema empresarial. Una vez conectados, los operadores de TurbinePanda tenían acceso a la red de la víctima y podían comenzar a desviar información de propiedad crítica. Para ocultar aún más estas acciones, TurbinePanda también tuvo acceso a un administrador de TI dentro de la organización objetivo que podía borrar los registros de eventos y hacer que las conexiones pareciera que nunca ocurrieron.
Fuentes:
https://blog.bushidotoken.net/2022/03/one-way-or-another-initial-access.html
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.