Tutoriales y Manuales
Entradas Mensuales
-
▼
2024
(Total:
1019
)
- ► septiembre (Total: 50 )
-
▼
enero
(Total:
124
)
- En Alemania buscan un administrador para MS-DOS y ...
- Meta presenta Code Llama 70B, un modelo open sourc...
- Opera prepara un navegador para iOS basado en inte...
- España participa en una operación mundial para des...
- Los usos curiosos que todavía damos a los disquete...
- Microsoft Edge «roba» datos personales de Chrome s...
- Elon Musk anuncia el primer humano con sus chips c...
- Amazon cancela la compra de iRobot Roomba
- Las imágenes de Taylor Swift que se hicieron viral...
- CPU funcional de 16 bits construida y ejecutada en...
- GoAccess: Analizador de Registros Web en Tiempo Real
- Buscador de Arc hace uso de la IA para crear una w...
- Los ‘deepfakes’ porno de Taylor Swift inundan X (T...
- OpenWrt tiene casi listas las especificaciones de ...
- Spotify acusa a Apple de extorsión por la nueva ta...
- El MIT anuncia una revolucionaria técnica de impre...
- AMD publica un driver para Linux que soporta sus d...
- Una vulnerabilidad en GRUB2 permitía omitir la ver...
- Explotación activa de vulnerabilidad en Atlassian ...
- Vulnerabilidad crítica en GoAnywhere
- Drainer-as-a-Service (DaaS) ¿qué son?
- Congreso Ciberseguridad Hackron XI - Tenerife 2024
- Guía Procesadores Intel Core i3, Core i5, Core i7 ...
- Microsoft despide a 1.900 empleados de Activision ...
- ¿Qué es una botnet? Conoce el control remoto de lo...
- Un nuevo bug en los teléfonos Google Pixel limita ...
- GrapheneOS: alternativa libre a Android
- Sam Altman estaría negociando con TSMC e inversion...
- La IA y la criptominería dispara el consumo de ene...
- Apple gana su primera batalla legal contra NSO Gro...
- Los horrores que viven los moderadores de Meta: “N...
- Ya disponible Parrot 6: la distribución de moda es...
- El delincuente que robó 700 mil € al Ayuntamiento ...
- Microsoft Copilot Pro: qué es, diferencias con la ...
- Google Chrome estrena funciones impulsadas por la ...
- HP asegura que bloquea los cartuchos de impresora ...
- Esta modelo gana 30K dólares al mes escuchando y h...
- Linux Lite o cómo devolver a la vida cualquier PC,...
- El FBI y CISA alertan sobre los posibles riesgos d...
- Función de seguridad "Aislamiento del núcleo" (Cor...
- La infraestructura de PyTorch fue comprometida
- Backups y Snapshots: diferencias y similitudes
- Así usan el reconocimiento facial con rostros por ...
- FraudGPT, BadGPT, WormGPT son dos modelos de ia qu...
- Francia multa con 32 millones a Amazon por el cont...
- La madre de todas las filtraciones: 12TB y 26 mil ...
- OpenWrt trabaja en un router inalámbrico
- Gestión gráfica de contenedores Docker con Portainer
- DDoSia Client: la herramienta del grupo pro-ruso N...
- La British Library, la biblioteca más completa del...
- Escape Room gratuito centrado en ciberseguridad: r...
- Vulnerabilidad en Microsoft Outlook permite extrac...
- Un chatbot de DPD insulta a un cliente
- Fallece David L. Mills: El legado del creador del ...
- Cryptomator: cifrado datos en la nube de Dropbox, ...
- Microsoft sufre un robo de correos corporativos po...
- Publican recopilación de 100 millones de contraseñ...
- Los resultados de un estudio sobre los datos que r...
- Desarrollan una batería nuclear capaz de durar 50 ...
- WebWormhole permite enviar archivos grandes sin in...
- Google Chrome soluciona el enésimo zero-day que es...
- Millones de GPU de Apple, AMD y Qualcomm están afe...
- Seagate presenta discos duros de más de 30TB
- Google Maps encuentra la solución para el mayor pr...
- Las profundidades de la privacidad digital: I2P, L...
- En españa un joven de 17 años es condenado por hac...
- En solo 5 minutos un desarrollador ha aumentado un...
- OpenAI prohíbe a políticos usar su inteligencia ar...
- Ubisoft sobre las suscripciones: "Los jugadores es...
- ¿Cuánto dinero perdería una empresa o un país en u...
- Desaparecen las licencias perpetuas de VMWare y se...
- Apple supera por primera vez a Samsung en ventas g...
- OpenAI autoriza el uso de sus sistemas de IA para ...
- Elon Musk muestra al humanoide de Tesla doblando l...
- Vulnerabilidad crítica en dispositivos de Juniper
- Una de las grandes mejoras del Galaxy S24 requiere...
- Explotación activa de vulnerabilidad Microsoft Sha...
- Google permitirá a los usuarios seleccionar qué se...
- Una empresa de etiquetado de IA contrata a trabaja...
- Una fuga de datos masiva afectaría a todos los ciu...
- Los ataques de ransomware provocan una muerte al m...
- El CEO de Twitch afirma que la plataforma de strea...
- NymConnect: App para mejorar la privacidad en Tele...
- Los medios Españoles empiezan a cobrar a los usuar...
- Descifrador gratuito para ransomware Black Basta y...
- unbound: servidor dns caché rápido y seguro con li...
- Piratas informáticos turcos hackean servidores MS ...
- China afirma haber crackeado el cifrado de Apple A...
- Un centro de salud deberá pagar una multa de más d...
- La nueva consola portátil: MSI Claw
- Mega 95, la consola portátil de Hyperkin que sopor...
- Intel presenta los Raptor Lake Refresh Mobile, nue...
- El Samsung Galaxy S24 se podrá usar como una webca...
- El Aeropuerto Internacional de Beirut, víctima de ...
- Carrefour sufre un ciberataque en Servicios Financ...
- Ransomware BlackHunt afecta a la compañía de telec...
- Alpine Linux: una Distro Linux pequeña, simple y s...
- Cómo configurar el entorno de red en Debian desde ...
- China lanzó un satélite que incluye un kernel Linu...
- El plan de Estados Unidos de regresar a la Luna 50...
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
En el panorama en constante evolución de la seguridad de redes, OpnSense se ha convertido en una formidable solución de firewall. Nacido de...
-
Pese a que Gemini ofrece multitudes de opciones, recientemente, se ha dado a conocer una situación fuera de lo común. Hace unos días, un es...
DDoSia Client: la herramienta del grupo pro-ruso NoName para realizar ataques DDoS
DDoSia es un kit de herramientas de ataque de denegación de servicio distribuido (DDoS), desarrollado y utilizado por el grupo nacionalista hacktivista pro-ruso NoName057(16) contra países críticos con la invasión rusa de Ucrania.
El proyecto DDoSia se lanzó en Telegram a principios de 2022. El
canal principal de Telegram del grupo NoName057(16) alcanzó más de
45.000 suscriptores en junio de 2023, mientras que los canales del
proyecto DDoSia llegaron a tener más de 10.000 usuarios. Los
administradores publicaron instrucciones para posibles voluntarios que
quisieran participar en los proyectos, y añadieron la posibilidad de
pagar en criptomoneda a los usuarios que declararan una cartera TON (Telegram Open Network) válida en función de su contribución a los ataques DDoS.
Tanto los administradores del grupo como la comunidad son muy activos. Se les ha observado realizando ataques DDoS contra sitios web europeos, ucranianos y estadounidenses de agencias gubernamentales, medios de comunicación y empresas privadas. Periódicamente, el grupo publica mensajes en los que reivindica el éxito de los ataques.
DDoSia se escribió inicialmente en Python utilizando hilos de CPU como forma de lanzar varias peticiones de red al mismo tiempo. Desde la primera versión, DDoSia se basó en el protocolo HTTP para la comunicación de Comando y Control (C2), con configuraciones JSON distribuidas por el servidor C2, y está disponible para varios sistemas operativos. El 18 de abril de 2023, Avast publicó un artículo que analizaba el flujo de red entre los usuarios de DDoSia y el C2. El 19 de abril de 2023, los administradores de DDoSia publicaron una nueva versión de su muestra que implementa un mecanismo de seguridad adicional para ocultar la lista de objetivos, que se transmite desde el C2 a los usuarios. Dicho mecanismo se describe en la siguiente sección.
La variante actualizada, escrita en Golang, «implementa un mecanismo de seguridad adicional para ocultar la lista de objetivos, que se transmite desde el [comando y control] a los usuarios»
Cómo funciona el proyecto DDoSia
La comunicación principal de DDoSia se produce a través del canal de Telegram de NoName057(16), con un canal en ruso, que cuenta con más de 45.000 suscriptores, y un segundo en inglés. Los usuarios pueden unirse al grupo del Proyecto DDoSia.
El canal DDoSia - manuales + malware actualizado incluye un manual sobre las acciones que hay que llevar a cabo. El primer paso es registrarse a través del bot de Telegram @DDosiabot. Aunque existen canales dedicados al soporte en inglés, el bot sólo está disponible en ruso.
Después de iniciar la conversación con el comando /start, el bot requiere una billetera TON para recibir criptomonedas. Como se especifica en los tutoriales presentados por los administradores, es posible crear una cartera TON desde un bot de Telegram llamado @CyptoBot.
Cabe destacar que no se proporcionó ninguna cartera para esta investigación. A continuación, el bot transmite dos archivos
- client_id.txt: un archivo que contiene información para identificar de forma única a un usuario. Se trata de un hash que empieza por $2a$16, generado por una función de hash de contraseñas de Bcrypt;
- help.txt: un archivo que contiene varias indicaciones sobre los pasos a seguir para utilizar la muestra, así como enlaces de Telegram para tutoriales de instalación.
Además, una de las funcionalidades del bot permite ver las estadísticas de su propia cuenta así como las de todos los usuarios del bot combinados. También es posible solicitar recrear el archivo client_id.txt.
- d_linux_amd64 ELF ejecutable LSB de 64 bits, x86-64
- d_linux_arm ELF 32-bit LSB ejecutable, ARM
- d_mac_amd64 Mach-O ejecutable x86_64 de 64 bits
- d_mac_arm64 Mach-O ejecutable arm64 de 64 bits
- d_windows_amd64.exe PE32+ ejecutable (consola) x86-64 para Microsoft Windows
- d_windows_arm64.exe PE32+ ejecutable (consola) Aarch64 para Microsoft Windows
Una vez que el usuario dispone de todos los archivos necesarios para participar en ataques DDoS, debe colocar el archivo client_id.txt en la misma carpeta que el ejecutable seleccionado. En este ejemplo, los analistas se ha utilizado d_windows_amd64.exe. Una vez ejecutada la muestra, aparece una línea de comandos en la que es posible ver el número actual de objetivos, así como un resumen de las interacciones de red realizadas hacia un objetivo. La traducción al inglés de la línea de comandos es la siguiente:
Go-Stresser вер�?и�? 1.0 | PID 5420 © NoName057(16)
__________________________________________________
Autorización pasada con éxito
Objetivos recibidos: 54
Respuestas correctas (código http 200): 0
Total de respuestas recibidas: 565
Total de solicitudes enviadas: 1432
Análisis del proyecto DDoSia
Tras descargar los archivos necesarios, los analistas de Sekoia.io crearon una infraestructura dedicada a recuperar la lista de objetivos.
Tras configurar la infraestructura, realizamos sniffing de red para comprobar qué peticiones se enviaban entre el cliente y el C2. El resumen del flujo de red está disponible en el siguiente diagrama:
Cuando se lanza el malware, realiza una petición POST a la URL hxxp://[IP]/client/login para autenticarse con el C2. El campo User-Hash corresponde al contenido del archivo client_id.txt, empezando por $2a$16$;
El campo Client-Hash es un valor generado por la muestra, que contiene la suma SHA256 del UID de la máquina, así como el PID del malware. Este valor se encuentra en una carpeta situada en la misma ubicación que el ejecutable, en una carpeta llamada uid.
Lituania, Ucrania, Polonia, Italia, Chequia, Dinamarca, Letonia, Francia, el Reino Unido y Suiza se han convertido en los países más atacados durante un período que va del 8 de mayo al 26 de junio de 2023. Un total de 486 sitios web diferentes se vieron afectados.
Hasta la fecha, se han descubierto implementaciones de DDoSia basadas en Python y Go, lo que lo convierte en un programa multiplataforma capaz de usarse en sistemas Windows, Linux y macOS.
Tras una semana de campañas contra sitios web de Ucrania, Polonia y Lituania, el grupo patriótico pro-ruso NoName057(16) ha puesto a España en su punto de mira. Los ataques comenzaron el 19 de julio -justo cuatro días antes de las elecciones generales españolas- y duraron hasta el 30 de julio. En casi dos semanas, NoName057(16) reivindicó un total de 85 ataques DDoS dirigidos a más de 50 organizaciones gubernamentales, financieras, de telecomunicaciones, de viajes, de transporte público y de noticias de toda España.
El 23 de julio, el domingo de las elecciones, el grupo intentó interrumpir el sitio web de la Junta Electoral Central, la comisión electoral en España encargada de controlar y registrar las elecciones generales y supervisar el voto en los colegios electorales. También aparecía en la lista de objetivos la web oficial del Instituto Nacional de Estadística (INE), que recopila y publica estadísticas sobre demografía, economía y la sociedad española. Ese domingo se contabilizaron los ataques de denegación de servicio distribuido (DDoS) dirigidos contra múltiples sitios web gubernamentales y de oferta de servicios de venta de billetes para el transporte público en distintas partes del país.
Fuentes:
https://blog.sekoia.io/following-noname05716-ddosia-projects-targets/
https://decoded.avast.io/martinchlumecky/ddosia-project/
https://www.team-cymru.com/post/a-blog-with-noname
https://viuleeenz.github.io/posts/2023/05/extracting-ddosia-targets-from-process-memory/
https://cert.cyberoo.com/en/noname05716-ddosia-tool-analysis-report/
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.