Tutoriales y Manuales
Entradas Mensuales
-
▼
2025
(Total:
241
)
-
▼
enero
(Total:
165
)
-
Inteligencia artificial, TOPs y tokens
-
uBlock Origin dejará de funcionar en Chrome
-
Francia tenía su propia IA para competir con ChatG...
-
México pide en una carta a Google corregir lo que ...
-
GPU AMD RX 7900 XTX supera a la NVIDIA RTX 4090 en...
-
El FBI cierra los dominios de los foros de pirater...
-
DeepSeek sufre una filtración de datos
-
Actualizaciones de seguridad críticas para iPhone,...
-
Parece un inocente PDF, pero es una estafa bancari...
-
DeepSeek tendrá un clon «100% abierto» desarrollad...
-
¿Qué son los tokens en el contexto de los LLM?
-
¿Qué es el destilado de una LLM?
-
Se saltan el sistema de cifrado BitLocker de Windo...
-
Facebook bloquea cualquier tema de Linux de Distro...
-
Ramsomware Makop y Lynx
-
NVIDIA pide explicaciones a Super Micro por vender...
-
Investigadores canadienses afirman que un ajuste d...
-
Vulnerabilidad crítica en Cacti (SNMP)
-
FARM discos duros Seagate
-
DeepSeek habría sido entrenada con datos robados a...
-
Alibaba presenta Qwen2.5-Max, su poderosa IA
-
Huawei dice tener un chip para IA igual de potente...
-
El fabricante de móviles Oppo es víctima de una gr...
-
DeepSeek puede crear malware para robar tarjetas d...
-
Historia del fabricante Asus
-
Instalar DeepSeek (destilado) con Ollama en tu ord...
-
Lossless Scaling: ¿Qué es y cómo funciona?
-
Una hora de anuncios para ver un simple vídeo de Y...
-
Herramientas gratuitas para transcribir de audio a...
-
OpenAI Operator: el agente de IA que automatiza ta...
-
DeepSeek Janus-Pro-7B, otro modelo de IA multimoda...
-
DeepSeek es víctima de un ataque DDoS
-
NVIDIA DLSS 4 (Tecnología de Escalado de nvidia)
-
Sony abandona los discos Blu-Ray grabables, MiniDi...
-
Vulnerabilidad en el framework Llama Stack de Meta...
-
PayPal pagará 2 millones de dólares por la filtrac...
-
DeepSeek, la herramienta china que revoluciona la ...
-
119 vulnerabilidades de seguridad en implementacio...
-
Cómo bloquear y demorar bots IA de Scraping web
-
Oracle, en negociaciones con ByteDance para compra...
-
Descubren que Elon Musk hacía trampas en los juego...
-
Por ser cliente de Movistar en España tienes grati...
-
HDMI 2.2 VS DisplayPort 2.1
-
Filtrados datos personales de asegurados de Asisa
-
Los fallos que cometió Ulbricht para ser detenido:...
-
Instagram desata las críticas de los usuarios espa...
-
Donald Trump indulta a Ross Ulbricht, creador del ...
-
Alia, la IA del Gobierno Español, es un desastre: ...
-
Stargate, un proyecto de Estados Unidos para inver...
-
Ataques del ransomware BlackBasta mediante Microso...
-
El mayor ataque DDoS registrado alcanzó 5,6Tb/s me...
-
Tras el éxito de Doom en documentos PDF, ahora tam...
-
Cae una banda de ciberestafadores que enviaba hast...
-
Cómo desactivar el Antimalware Service Executable ...
-
Herramienta Restablecer Windows
-
Seagate llega a los 36 TB con sus nuevos discos du...
-
YST (‘Yo soy tú’, como se autodenominó irónicament...
-
¿Qué es la pipeline?
-
Una chica de 28 años se enamora de ChatGPT
-
Copilot+ ya permite la búsqueda local
-
DORA: la normativa europea que obliga a los bancos...
-
Apple desactiva funciones de Apple Intelligence po...
-
La empresa de hosting GoDaddy, obligada a reforzar...
-
Domina los ficheros PDF con dos servicios Docker
-
OpenAI desarrolla una IA para prolongar la vida hu...
-
TikTok cierra en Estados Unidos
-
Vulnerabilidad permite eludir UEFI Secure Boot
-
Normativa Drones España 2025
-
Robados los datos personales de 97.000 aspirantes ...
-
¿Cómo volar un dron de noche? Esta es la normativa...
-
Expuestas 15.000 configuraciones robadas de FortiG...
-
Filtración masiva en China expone 1.500 millones d...
-
Un ciberataque expone la identidad de 160.000 guar...
-
La Policía de España advierte sobre una nueva técn...
-
Microsoft estrena protección del administrador de ...
-
Windows 11 con sólo 184 MB de RAM
-
Evilginx 3 para ataques man-in-the-middle mediante...
-
Cómo Barcelona se convirtió en un centro de empres...
-
El Gobierno de España anuncia la creación de un Ce...
-
RDP Bitmap Forensics para investigaciones DFIR
-
Más de 660.000 servidores Rsync expuestos a ataque...
-
El FBI elimina el malware chino PlugX en 4.250 ord...
-
Hiren's BootCD PE con Windows 11
-
Las chicas del ENIAC y las programadoras de los Co...
-
Trucos de Windows 11
-
Millones de cuentas vulnerables por fallo en OAuth...
-
Si no actualizas a Windows 11, no podrás usar Offi...
-
Jugar al DOOM dentro de un archivo PDF
-
Los mejores procesadores para jugar en 2025, ¿cuán...
-
"Explotación masiva" de los firewalls de Fortinet ...
-
Cómo funciona la sincronización en el almacenamien...
-
Parallels ya permite emular Windows y Linux las Ma...
-
Ransomware en Servidores ESXi: Amenazas, Vulnerabi...
-
Roban información con Infostealer Lumma mediante t...
-
Cómo compartir contraseñas en Google Chrome con "M...
-
El arquitecto jefe de Xeon cambia de Intel a Qualc...
-
Hackean cuentas de Path of Exile 2 tras robar una ...
-
Microsoft consigue que su IA se vuelva experta en ...
-
Cómo instalar Stremio en Raspberry Pi para conecta...
-
"Free our Feeds" quiere evitar que los millonarios...
-
-
▼
enero
(Total:
165
)
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Vorwerk , la empresa alemana que fabrica los populares robots de cocina Thermomix , ha confirmado una brecha de datos que afectaría a su fo...
-
Fortinet ha publicado una actualización de seguridad que aborda una vulnerabilidad de alta gravedad en su FortiOS Security Fabric, la...
-
Si eres cliente de O2 o Movistar, puede que hayas tenido problemas para acceder a varias webs durante este fin de semana. Lo cierto es que...
Más de 4.000 puertas traseras usando webshells registrando dominios caducados
Un grupo de investigadores de WatchTowr Labs, en colaboración con The Shadowserver Foundation, logró identificar y neutralizar más de 4,000 puertas traseras web (web shells) activas pero abandonadas. Estos sistemas, que todavía mantenían comunicación con su infraestructura de comando y control (C2), fueron desactivados al registrar los dominios caducados utilizados por los atacantes para controlarlos.
Este esfuerzo no solo detuvo las actividades maliciosas asociadas con estas puertas traseras, sino que también evitó que estas infraestructuras cayeran en manos de actores de amenazas. Entre los sistemas comprometidos se encontraban servidores web de alto perfil, incluidos sistemas gubernamentales, judiciales y universitarios de varios países.
¿Qué son las puertas traseras web o web shells?
Las Webshells son scripts (código que contiene un conjunto de comandos a ejecutar) que se suben malintencionadamente en las páginas webs aprovechando alguna vulnerabilidad, cuya complejidad varía para realizar distintas acciones sobre el servidor que la soporta. Como ejemplo visual se muestra la siguiente imagen:
Las puertas traseras web son scripts o herramientas maliciosas instaladas en servidores web comprometidos. Permiten a los atacantes obtener acceso remoto no autorizado para ejecutar comandos, manipular archivos y realizar actividades maliciosas. Estas herramientas suelen ser utilizadas para mantener acceso persistente a los sistemas comprometidos, facilitando actividades como:
- Ejecutar comandos remotos.
- Exfiltrar datos confidenciales.
- Lanzar ataques adicionales, como movimientos laterales o escaladas de privilegios.
Algunos de los web shells más conocidos incluyen r57shell, c99shell y China Chopper, que ofrecen funcionalidades avanzadas como administración de archivos, ataques de fuerza bruta y ejecución de comandos remotos.
Cómo los investigadores identificaron las puertas traseras activas
El equipo de WatchTowr Labs centró su investigación en dominios asociados con infraestructuras de control de web shells abandonados. Mediante un análisis exhaustivo, identificaron dominios caducados que anteriormente se utilizaban para controlar estas puertas traseras. Posteriormente, los investigadores adquirieron y registraron más de 40 dominios, asumiendo el control de las comunicaciones entre el malware y sus sistemas de comando.
Una vez registrados los dominios, configuraron un sistema de monitoreo para recibir las solicitudes de los 4,000 sistemas comprometidos que intentaban «llamar a casa». Esto les permitió no solo identificar las víctimas, sino también analizar los diferentes tipos de puertas traseras en uso.
Resultados de la investigación: sistemas comprometidos y tipos de puertas traseras
El registro de dominios caducados permitió a los investigadores identificar un amplio rango de sistemas vulnerados, incluyendo:
- Infraestructura gubernamental:
- China: Varias agencias gubernamentales, incluidos tribunales.
- Nigeria: Sistemas del sistema judicial.
- Bangladesh: Redes gubernamentales.
- Instituciones educativas:
- Tailandia, China y Corea del Sur: Universidades y otras entidades académicas.
Entre los tipos de puertas traseras encontradas, se destacan:
- r57shell: Un web shell clásico conocido por su simplicidad y eficiencia.
- c99shell: Más avanzado, con capacidades como fuerza bruta y administración de archivos.
- China Chopper: Ampliamente utilizado por grupos APT debido a su pequeño tamaño y versatilidad.
Un caso particular que destacó en el informe fue la identificación de una puerta trasera que mostró comportamiento asociado con el Grupo Lazarus, aunque los investigadores aclararon que probablemente se trató de la reutilización de herramientas del grupo por otros actores.
Prevención del uso indebido de dominios caducados
Para evitar que estos dominios caigan nuevamente en manos maliciosas, WatchTowr Labs entregó su gestión a The Shadowserver Foundation, una organización dedicada a mejorar la seguridad cibernética global. Shadowserver ahora utiliza técnicas de sinkholing para redirigir todo el tráfico de las puertas traseras hacia un entorno controlado, bloqueando cualquier actividad maliciosa adicional.
El riesgo de los dominios caducados en operaciones de malware
Esta investigación pone en evidencia cómo las infraestructuras maliciosas abandonadas, como los dominios caducados, aún pueden representar una amenaza significativa. Los actores de amenazas pueden simplemente registrar estos dominios y recuperar el control de las puertas traseras web, obteniendo acceso no autorizado a sistemas vulnerados de alto valor.
El esfuerzo conjunto de WatchTowr Labs y Shadowserver demuestra que la reutilización de dominios caducados no solo puede prevenir el abuso futuro, sino también interrumpir las actividades de los atacantes. Este enfoque es particularmente útil para proteger a las víctimas y minimizar el impacto de malware persistente.
Recomendaciones para organizaciones y administradores
- Monitoreo de sistemas: Realizar auditorías regulares de servidores web para identificar web shells u otros indicadores de compromiso.
- Actualización de sistemas: Asegurarse de que todos los sistemas y aplicaciones estén actualizados con los últimos parches de seguridad.
- Control de dominios: Monitorear dominios asociados con infraestructuras críticas y renovar registros antes de que caduquen.
- Prácticas de seguridad web: Implementar controles de acceso estrictos, firewalls de aplicaciones web (WAF) y herramientas de detección de intrusos.
https://labs.watchtowr.com/more-governments-backdoors-in-your-backdoors/
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.