Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
▼
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
▼
agosto
(Total:
65
)
- Vulnerabilidad en Skype expone la IP pública de cu...
- El FBI desarticula la famosa red de malware Qakbot
- Joven autista hackeó Rockstar Games desde un hotel...
- Fairphone 5: el móvil sostenible y fácil de repara...
- YouTube cambiará «strikes» por cursos de capacitación
- Las marcas de tarjetas gráficas que más fallan y l...
- China prepara una avalancha de chips para intelige...
- Google presenta una herramienta para detectar imág...
- Toyota ha parado su producción en Japón. En solo u...
- Skyhook: una herramienta para exfiltrar informació...
- La ciberseguridad, el sector con menos desempleo: ...
- Nvidia duplica sus ingresos anuales gracias a la v...
- Ya disponible Kali Linux 2023.3 con nuevas herrami...
- Microsoft Excel integra Python en las hojas de cál...
- Las bombillas inteligentes TP-Link Tapo pueden exp...
- Firefox ya permite importar extensiones de Google ...
- Google Chrome avisará de las extensiones que hayan...
- App Mensajes de Android permitirá pedir ayuda por ...
- Anonfiles, el servicio de intercambio de archivos ...
- Demandan a Western Digital por los graves problema...
- Rusia multa a Google con 32.000 dólares por videos...
- Algunas impresoras 3D empezaron a imprimir de madr...
- Elon Musk quiere eliminar la opción de bloquear cu...
- EE. UU. asegura que Rusia y China quieren espiar a...
- La inteligencia artificial ha producido más imágen...
- Debian cumple 30 años
- YouTube eliminará el contenido médico que contradi...
- La guerra entre Rusia y Ucrania también se libra e...
- Qué es Tiny10 y cómo descargarlo e instalarlo en t...
- Escáner de síntomas de compromiso en Citrix NetSca...
- Robo de credenciales RDP (Escritorio Remoto) con R...
- Apple indemnizará por ralentizar el iPhone
- Google usará la IA generativa para resumir artícul...
- Impresoras HP se niegan a escanear si no hay tinta...
- Trucos básicos parar alargar la batería del móvil ...
- Amazon, contra el teletrabajo, rastrea sin avisar ...
- Twitter ralentiza el tráfico a sitios web que no l...
- Nuevo ataque «MaginotDNS» compromete la seguridad ...
- Microsoft Edge va a empezar a guardar capturas de ...
- Cómo usar Privatezilla para mejorar la privacidad ...
- ASUS presenta la placa SBC: Tinker Board 3N
- Curiosidades sobre Linus Torvalds, el creador de L...
- Hackeo del servidor Exchange de la Comisión Electo...
- EvilProxy: ataque de phishing que esquiva el 2FA
- China quiere restringir el reconocimiento facial p...
- Linux tiene problemas de «stuttering» sobre AMD y ...
- Vulnerabilidades importantes en Zoom
- Tesla Hardware 4 cuenta con la mitad de RAM y de a...
- Principales vulnerabilidades explotadas en 2022
- La banda de ransomware Cl0p ahora utiliza Torrents...
- Tinder usará inteligencia artificial para decirte ...
- Sistemas de seguridad en Android
- Irak bloquea Telegram por motivos de seguridad nac...
- Google te avisará si tus datos personales aparecen...
- LinkPreview, la nueva función experimental de Chro...
- Apple insinúa que los iPhones no tendrán baterías ...
- Robo de cuentas comerciales de Facebook con NodeSt...
- Así es WeChat, la app china “para todo” que inspir...
- EmulationStation Desktop Edition: emulación de vid...
- AMD anuncia el procesador Ryzen 9 7945HX3D, su pri...
- La nueva función de Gmail para protegerte contra l...
- Abyss Locker: ransomware orientado a ESXi de VMware
- Elon Musk amenaza con demandar a investigadores qu...
- Más de 100 detenidos en Madrid y Barcelona por est...
- Estados Unidos en busca de malware chino que afect...
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet . Es...
-
A finales del mes de agosto hablábamos de que los legisladores estadounidense habían solicitado la investigación de TP-Link . Y así, ya ten...
Escáner de síntomas de compromiso en Citrix NetScaler (ADC)
Mandiant ha lanzado un escáner para verificar si un Citrix NetScaler Application Delivery Controller (ADC) o NetScaler Gateway Appliance se vio comprometido en ataques generalizados que explotan la vulnerabilidad CVE-2023-3519.
El fallo crítica de Citrix CVE-2023-3519 se descubrió a mediados de julio de 2023 como un Zero-Day, y los delincuentes informáticos la explotaron activamente para ejecutar código de forma remota sin autenticación en dispositivos vulnerables.
Una semana después de que Citrix hiciera disponibles las actualizaciones de seguridad para abordar el problema, Shadowserver informó que todavía había 15.000 dispositivos expuestos a Internet que no habían aplicado los parches.
Sin embargo, incluso para las organizaciones que instalaron las actualizaciones de seguridad, el riesgo de verse comprometido permanece, ya que el parche no elimina el malware, las puertas traseras y los webshells plantados por los atacantes en la fase posterior al compromiso.
El escáner comprueba si hay dispositivos hackeados
Mandiant lanzó un escáner que permite a las organizaciones examinar sus dispositivos Citrix ADC y Citrix Gateway en busca de signos de compromiso y actividad posterior a la explotación.
"La herramienta está diseñada para hacer un mejor esfuerzo para identificar los compromisos existentes", se lee en la publicación de Mandiant. "No identificará un compromiso el 100% de las veces, y no le dirá si un dispositivo es vulnerable a la explotación".
Mandian't Ctrix IOC Scanner debe ejecutarse directamente en un dispositivo o en una imagen forense montada, ya que escaneará el sistema de archivos local y los archivos de configuración para detectar la presencia de varios IOC.
Cuando termine, el escáner mostrará un resumen que detalla si encontró algún signo de compromiso, como se muestra a continuación. Si detecta que el dispositivo se vio comprometido, el escáner mostrará un informe detallado que enumera los diversos indicadores de compromiso que se detectaron.
A continuación se enumeran algunos de los indicadores de compromiso (IoC) que busca el escáner en los dispositivos Citrix:
Rutas del sistema de archivos que contienen archivos sospechosos:
- /var/netscaler/logon/LogonPoint/uiareas
- /var/netscaler/logon/LogonPoint/uiareas/*/
- /netscaler/ns_gui/epa/scripts/*/
- /netscaler/ns_gui/vpns/theme/default
- /var/vpn/themes/
Atacante conocido o comandos sospechosos en el historial de shell:
- whoami$
- cat /flash/nsconfig/keys
- ldapsearch
- chmod +x /tmp
- openssl des3
- ping -c 1
- cp /bin/sh
- chmod +s /var
- echo <?php
Archivos en directorios de NetScaler con contenidos que coinciden con IoC conocidos:
- /var/vpn/theme/.theme.php
- /var/tmp/the
- /var/tmp/npc
- /var/tmp/conf/npc.conf
- /var/tmp/conf/multi_account.conf
Archivos con permisos o propiedad sospechosos, como binarios setuid inusuales.
- Crontab files for the 'nobody' user.
- Historical cron jobs running as 'nobody'.
- Suspicious running processes running as 'nobody' or running from '/var/tmp'.
Se pueden encontrar más detalles sobre el uso de la herramienta de escaneo y la interpretación de los resultados en el repositorio GitHub de Mandiant para el proyecto.
Si el escáner revela signos de compromiso, se recomienda realizar un examen forense completo de los dispositivos afectados y las partes de la red para evaluar el alcance y la extensión de la infracción, lo que requiere un conjunto diferente de herramientas.
Es importante tener en cuenta que un resultado negativo no debe tomarse como garantía de que un sistema no se ha visto comprometido, ya que los atacantes aún tienen muchas formas de ocultar sus rastros y, en muchos casos, tuvieron mucho tiempo para hacerlo.
El escáner fue diseñado para usarse con Citrix ADC y Citrix Gateway versiones 12.0, 12.1, 13.0 y 13.1.
Fuente: BC
Vía:
https://blog.segu-info.com.ar/2023/08/escaner-de-sintomas-de-compromiso-en.html
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.