Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1096
)
- ► septiembre (Total: 50 )
-
▼
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
▼
mayo
(Total:
105
)
- Google deja sin soporte el popular ChromeCast de p...
- Abogados usaron ChatGPT para demandar a una aerolí...
- Ya disponible para descargar: Kali Linux 2023.2
- Le robaron 200€ y acabó denunciado por compartir e...
- Las discográficas culpan a la Wikipedia de sus pér...
- Discos Duros WD para NAS Synology "caducan" a los ...
- Colapsan "The Internet Archive" por culpa del entr...
- Cómo usar Generative Fill, la inteligencia artific...
- Un abogado se enfrenta a sanciones por usar ChatGP...
- Elon Musk ya tiene autorización para probar implan...
- Un simple enlace de WhatsApp cuelga la aplicación ...
- El algoritmo de la activación de Windows XP ha sid...
- Predator, otro spyware mercenario
- Una app de Android grabó audio de sus usuarios en ...
- El malware QBot utiliza del EXE de WordPad en Wind...
- Cómo funciona el procesador de un PC
- El ataque "Hot Pixel" podría robar datos de chips ...
- Microsoft desvela un ataque informático chino a in...
- Microsoft presenta Windows 11 ‘Momentos 3’
- ¿Qué es NIS2 y cómo afecta a la Ciberseguridad en ...
- Videollamadas con la cara y la voz clonada de tu m...
- Podman Desktop 1.0, primera versión mayor de la he...
- Una explosión en el Pentágono creada por inteligen...
- Amouranth ya tiene un chatbot erótico y de pago ge...
- Windows 11 integra nuevo asistente de inteligencia...
- La Audiencia Nacional de España deja en libertad ...
- BugCheck2Linux: Ejecuta Linux después de una panta...
- España pretende prohibir el cifrado de extremo a e...
- Así revelan las apps de Android nuestros secretos ...
- WhatsApp ya permite editar mensajes enviados duran...
- Millones de televisores Android TV y teléfonos bar...
- China prohíbe la compra de los microchips de la es...
- Intel propone eliminar definitivamente los 32 y 16...
- Teléfonos Android son vulnerables a los ataques de...
- CVE-2023-27363: Prueba de concepto para ejecución ...
- Secure Boot, la característica de seguridad de UEFI
- PMFault, una vulnerabilidad que permite dañar físi...
- Meta recibe la mayor multa de la historia de la Un...
- Zero trust: la desconfianza por defecto como clave...
- Apple emite parches de emergencia para Safari (vul...
- Vulnerabilidad en Keepass permite obtener la contr...
- Twitter acusa a Microsoft de usar sus datos de man...
- Microsoft tardará casi un año en terminar de parch...
- El CEO de ChatGPT dice en el Senado de EE.UU que «...
- Los peligros de los nuevos dominios .zip registrad...
- WARP, la VPN gratuita de CloudFlare
- Actualización de seguridad 6.2.1 para WordPress
- Mojo, el nuevo lenguaje de programación creado por...
- En 15 minutos un iPhone podrá hablar con tu voz
- La IA la vuelve a liar: las imágenes de la Ministr...
- Microsoft está escaneando archivos ZIP protegidos ...
- Google eliminará las cuentas que lleven dos años i...
- EE.UU. ofrece una recompensa de 10 millones por la...
- WhatsApp introduce el bloqueo de Chats con contras...
- Euskaltel víctima de un hackeo con robo de 3TB dat...
- LTESniffer, una herramienta open source para inter...
- Alternativas RaspBerry Pi: Orange Pi 5 Plus y Bana...
- Youtuber confiesa que estrelló su avioneta para co...
- Directivo empresa unidades flash pronostica el fin...
- Elon Musk elige a Linda Yaccarino, exdirectora de ...
- Alternativas gratuitas a Photoshop
- El código fuente filtrado de Babuk permite crear n...
- Toyota expone los datos de localización de 2 millo...
- Maltego, la herramienta para recopilar información...
- Cuidado con falsa pantalla de actualizaciones de W...
- El Ayuntamiento de Madrid alertó de multas falsas ...
- uBlock Origin, el complemento más popular del nave...
- YouTube no permite ver vídeos a los usuarios que u...
- Cómo solucionar problemas y recuperar con el Inici...
- Google realiza en su buscador el mayor cambio de t...
- WhatsApp activa el micrófono sin tu permiso por cu...
- Detenidos en España miembros de los Trinitarios ac...
- PlugWalkJoe: el ermitaño que hackeó Twitter se enf...
- Así se las ingenia este usuario para conseguir pen...
- Multan con 200 mil € al Mobile World Congress de B...
- Golpe histórico del FBI a ciberdelincuentes rusos:...
- El FBI incauta 13 dominios utilizados para vender ...
- La Policía española investiga si Alcasec y su soci...
- Disponible distro Parrot OS 5.3 con Linux 6.1 y MA...
- La polícia de San Bernardino (California) paga el ...
- Amazon se llena de reseñas falsas generadas con Ch...
- Rusia usó WinRAR para borrar ficheros a Ucrania en...
- El padre de Elon Musk confirma la existencia de su...
- Detenido por pedir un préstamo suplantando la iden...
- Discord te obligará a cambiar tu nombre de usuario
- QR, bluetooth y criptografía: esta es la idea de G...
- Ataques de DLL sideloading o Hijacking
- Google anuncia el Pixel Fold, su primer móvil pleg...
- Día mundial de las contraseñas
- Resultados financieros de Apple: récord ingresos i...
- Apple estrena los parches de respuesta de segurida...
- Gmail activa los emails verificados con una insign...
- Google dice que solo el 11% entienden el significa...
- FaulTPM es una vulnerabilidad que afecta a los pro...
- La Generalitat Cataluña quiere grabar hasta lo que...
- Apple y Google trabajan para evitar la localizació...
- Herramientas para detectar typosquatting
- Las cuentas de Google admiten claves de acceso y y...
- ProtonPass, el nuevo gestor de contraseñas con cif...
- El 'padrino' de la IA deja Google y avisa de los p...
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
Dado que Unbound DNS en OPNsense no soporta DNS sobre HTTPS (DoH) directamente, fue necesario utilizar el plugin DNSCrypt-Proxy. El plugin t...
-
Los servidores MS-SQL están siendo hackeados a través de ataques de fuerza bruta o diccionario que aprovechan las credenciales de cuenta f...
Golpe histórico del FBI a ciberdelincuentes rusos: Operación Snake
Las autoridades judiciales y de ciberseguridad de Estados Unidos, de la mano de sus pares en el Reino Unido entre otros aliados, anunciaron este martes el desmantelamiento de la considerada como una de las más potentes, peligrosas y persistentes armas del ciberespionaje ruso: el malware o software malicioso Snake, creado por el Servicio Federal de Seguridad (FSB), la organización estatal de espionaje heredera del KGB.
- Llevaba cerca de 20 años obteniendo información confidencial de instituciones, gobiernos y medios de comunicación en al menos 50 países,
- Snake fue apodado “el implante de malware de ciberespionaje a largo
plazo más sofisticado del FSB”, lo que permite a sus usuarios instalar
malware de forma remota en dispositivos comprometidos, robar documentos e
información privada (como credenciales de autenticación), mantener la
persistencia y ocultar sus actividades maliciosas al utilizar este “red
encubierta de igual a igual”.
Los rusos supuestamente usaron el malware para robar información confidencial de los sistemas informáticos en al menos 50 países y para espiar a periodistas y otros “objetivos de interés” rusos, dijeron funcionarios del Departamento de Justicia y del FBI. Los funcionarios rusos supuestamente robarían los materiales y los enrutarían a través de computadoras estadounidenses que habían sido infectadas con malware para tratar de evitar la detección.
"Snake" está considerada la herramienta de espionaje cibernético más peligrosa y sofisticada diseñada y utilizada por el FSB ruso -el KGB moderno- para
la recopilación de inteligencia a largo plazo sobre objetivos
sensibles. Para realizar operaciones con esta herramienta, el FSB creó
una red encubierta "peer-to-peer" (P2P) de numerosos ordenadores infectadas con "Snake" en todo el mundo.
El gobierno de EEUU lanzó la “Operación Medusa” para desactivar de forma
encubierta a Snake, dijeron las autoridades. El FBI hizo esto mediante
la creación de una herramienta cibernética llamada “Perseus”, que
esencialmente usaba codificación para exigir que el malware Snake se
sobrescribiera a sí mismo.
El Departamento de Justicia de EE.UU., el FBI, la Agencia estadounidense de Seguridad Cibernética y de Infraestructuras (Cisa) y el Centro Nacional británico de Ciberseguridad fueron algunos de los órganos que publicaron una alerta con las claves del desciframiento de Snake y la explicación de sus consecuencias.
"Hemos identificado la infraestructura de Snake en más de 50 países de América del Norte, América del Sur, Europa, África, Asia y Australia, incluidos los Estados Unidos y la propia Rusia", anunciaron las agencias participantes en la operación.
Aunque Snake atacaba infraestructuras de todo tipo de entidades e industrias, su orientación tenía una naturaleza táctica y su propósito prioritario era "recopilar inteligencia confidencial de objetivos de alta prioridad, como redes gubernamentales, instituciones de investigación y periodistas", indicaron los expertos de los órganos oficiales.
El objetivo era robar información secreta de redes diplomáticas y gubernamentales, centros de investigación y periodistas
El FSB utilizó el programa "durante casi dos decenios" para invadir y extraer documentos confidenciales de relaciones internacionales y comunicaciones diplomáticas que incluyeron "una víctima en un país de la OTAN".
Dentro de Estados Unidos, el FSB entró efectivamente en ordenadores de redes gubernamentales, centros de investigación, instituciones académicas y educativas, pequeñas empresas y medios de comunicación.
Para poder llevar a cabo el ataque, el FBI ha contado con una orden judicial que les ha permitido acceder a ordenadores de múltiples jurisdicciones que estaban infectadas con el malware. Según la declaración jurada, el FBI pudo identificar 19 direcciones IP asociadas con ordenadores estadounidenses que habían sido infectados con Snake, pero no han detallado el número total de máquinas afectadas en este y el resto de países. La agencia llevaría desde 2015 trabajando con varias organizaciones de víctimas para obtener más información sobre Snake.
En el operativo trabajaron las agencias la Agencia Nacional de Seguridad de EEUU (NSA),
la Oficina Federal de Investigaciones (FBI), la Agencia de Seguridad de
Infraestructura y Ciberseguridad (CISA), la Fuerza de Misión Nacional
Cibernética (CNMF), el Centro Canadiense de Seguridad Cibernética
(CCCS), el Centro Nacional de Seguridad Cibernética del Reino Unido
(NCSC- Reino Unido), el Centro de Seguridad Cibernética de Australia
(ACSC) y el Centro Nacional de Seguridad Cibernética de Nueva Zelanda
(NCSC-NZ).
Reporte técnico (TTP)
Cómo detectar Malware Snake
El siguiente complemento para el marco de análisis de memoria Volatility Plugin buscará en todos los procesos de la máquina el componente del modo de usuario de Snake que se ha inyectado en un proceso. Si se descubre, el complemento mostrará tanto el proceso inyectado como la ubicación de la memoria virtual en la que se carga el componente del modo de usuario de Snake. Si no se encuentra, el complemento no hará nada.
# This plugin to identify the injected usermode component of Snake is based
# on the malfind plugin released with Volatility3
#
# This file is Copyright 2019 Volatility Foundation and licensed under the
# Volatility Software License 1.0
# which is available at https://www.volatilityfoundation.org/license/vsl-v1.0
import logging
from typing import Iterable, Tuple
from volatility3.framework import interfaces, symbols, exceptions, renderers
from volatility3.framework.configuration import requirements
from volatility3.framework.objects import utility
from volatility3.framework.renderers import format_hints
from volatility3.plugins.windows import pslist, vadinfo
vollog = logging.getLogger(__name__)
class snake(interfaces.plugins.PluginInterface):
_required_framework_version = (2, 4, 0)
@classmethod
def get_requirements(cls):
return [
requirements.ModuleRequirement(name = 'kernel',
description = 'Windows kernel',
architectures = ["Intel32", "Intel64"]),
requirements.VersionRequirement(name = 'pslist',
component = pslist.PsList, version = (2, 0, 0)),
requirements.VersionRequirement(name = 'vadinfo',
component = vadinfo.VadInfo, version = (2, 0, 0))]
@classmethod
def list_injections(
cls, context: interfaces.context.ContextInterface,
kernel_layer_name: str, symbol_table: str,
proc: interfaces.objects.ObjectInterface) -> Iterable[
Tuple[interfaces.objects.ObjectInterface, bytes]]:
proc_id = "Unknown"
try:
proc_id = proc.UniqueProcessId
proc_layer_name = proc.add_process_layer()
except exceptions.InvalidAddressException as excp:
vollog.debug("Process {}: invalid address {} in layer {}".
format(proc_id, excp.invalid_address, excp.layer_name))
return
proc_layer = context.layers[proc_layer_name]
for vad in proc.get_vad_root().traverse():
protection_string = vad.get_protection(vadinfo.VadInfo.
protect_values(context, kernel_layer_name, symbol_table),
vadinfo.winnt_protections)
if not "PAGE_EXECUTE_READWRITE" in protection_string:
continue
if (vad.get_private_memory() == 1
and vad.get_tag() == "VadS") or (vad.get_private_memory()
== 0 and protection_string !=
"PAGE_EXECUTE_WRITECOPY"):
data = proc_layer.read(vad.get_start(),
vad.get_size(), pad = True)
if data.find(b'\x4d\x5a') != 0:
continue
yield vad, data
def _generator(self, procs):
kernel = self.context.modules[self.config['kernel']]
is_32bit_arch = not symbols.symbol_table_is_64bit(self.context,
kernel.symbol_table_name)
for proc in procs:
process_name = utility.array_to_string(proc.ImageFileName)
for vad, data in self.list_injections(self.context,
kernel.layer_name, kernel.symbol_table_name, proc):
strings_to_find = [b'\x25\x73\x23\x31',b'\x25\x73\x23\x32',
b'\x25\x73\x23\x33',b'\x25\x73\x23\x34',
b'\x2e\x74\x6d\x70', b'\x2e\x73\x61\x76',
b'\x2e\x75\x70\x64']
if not all(stringToFind in data for
stringToFind in strings_to_find):
continue
yield (0, (proc.UniqueProcessId, process_name,
format_hints.Hex(vad.get_start()),
format_hints.Hex(vad.get_size()),
vad.get_protection(
vadinfo.VadInfo.protect_values(self.context,
kernel.layer_name, kernel.symbol_table_name),
vadinfo.winnt_protections)))
return
def run(self):
kernel = self.context.modules[self.config['kernel']]
return renderers.TreeGrid([("PID", int), ("Process", str),
("Address", format_hints.Hex), ("Length", format_hints.Hex),
("Protection", str)], self._generator(pslist.PsList.list_processes(
context = self.context, layer_name = kernel.layer_name,
symbol_table = kernel.symbol_table_name)))
Fuentes:
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.