El tunelado TCP es útil porque puedes reenviar conexiones que no son sólo sitios web ejecutando HTTP(s). Los casos de uso donde esto se aplica es el reenvío de cosas como SSH, RDP o Postgres. Recientemente quise usar Cloudflare Tunnels para reenviar conexiones TCP para mi base de datos. Esto me permitiría acceder a mi base de datos desde cualquier parte del mundo usando un túnel seguro y protegido.

RDP Bitmap Forensics for DFIR InvestigationsRemote Desktop Protocol (RDP) es un protocolo ampliamente utilizado que permite a los usuarios conectarse remotamente y controlar otros ordenadores. Por muy cómodo que sea, el RDP también presenta retos y oportunidades únicos para los profesionales de la investigación forense digital y la respuesta a incidentes (DFIR). Uno de los aspectos menos conocidos pero valiosos del análisis forense de RDP implica el examen de los archivos caché de mapa de bits. En este post, exploraremos lo que implica el análisis forense de mapas de bits RDP y proporcionaremos un ejemplo práctico de cómo aprovechar esta técnica en una investigación DFIR.

Si alguna vez quieres acceder a tu PC de forma remota, probablemente hayas oído hablar de Chrome Remote Desktop. Es una extensión para Chrome que te permite conectarte a tu PC desde cualquier parte del mundo. Es una herramienta muy básica pero cumple su función, ya que te permite controlarlo fácilmente desde tu teléfono u otro ordenador. Sin embargo, hay alternativas que puedes utilizar que son definitivamente mejores, incluso si requieren un poco más de trabajo para ponerse en marcha

La cultura del trabajo desde casa, que experimentó un gran repunte durante la pandemia, ha impulsado el crecimiento de las herramientas de escritorio remoto, productividad y colaboración. Según TrustRadius, el tráfico de escritorios remotos se multiplicó por 16 durante la pandemia. Aunque las empresas se abran, es probable que esta tendencia siga siendo relevante, y por eso vamos a buscar formas de mejorar la seguridad mientras se accede a los sistemas remotos. El Protocolo de Escritorio Remoto (RDP, Remote Desktop Protocol) es un protocolo propietario de Microsoft que viene con una interfaz gráfica de usuario. Te permite conectarte y acceder a otros dispositivos de forma remota a través de Internet.

Ayer martes, el Ayuntamiento de Sevilla fue víctima de un ciberataque, presuntamente con ransomware, que ha dejado a la administración municipal paralizada y ha puesto en peligro la seguridad de los datos personales de los sevillanos, tras bloquear el servidor que da soporte a todos los servicios del Ayuntamiento.

 Una herramienta de S12 (si no lo conocéis os recomiendo que echéis un vistazo a su Github y Medium). Se trata de RDPCredStealerDLL escrita en C++ para robar credenciales introducidas en el login de una sesión de Escritorio Remoto (RDP) mediante API hooking usando la librería de Detours. 

Es ya muy conocido que los servicios de Escritorio Remoto (Remote Desktop Protocol o RDP por sus siglas en inglés) son utilizados ampliamente por los cibercriminales como puerta de entrada en sus ataques, tanto por las vulnerabilidades existentes en sistemas Windows como por la poca robustez de las credenciales usadas por muchos de los usuarios y las insuficientes defensas usadas en muchas infraestructuras, quedando expuestos ante cualquier ataque por fuerza bruta. A pesar de esto, cientos de miles de equipos siguen teniendo expuestos servicios de RDP en Internet sin ningún tipo de protección.

Los ataques de fuerza bruta al escritorio remoto de Windows siguen siendo una técnica muy común para infecciones de ransomware.

 Los atacantes que infectan con ransomware a sus víctimas, obtienen acceso principalmente mediante la explotación de conexiones de acceso remoto RDP poco seguras o mediante el uso de correos electrónicos de phishing cargados de malware. Así lo informa la firma de ciberseguridad Group-IB, con base en más de 700 ataques que el equipo de respuesta a incidentes de la compañía investigó en 2021. El monto promedio de rescate exigido en los ataques el año pasado fue de U$S 247.000, lo que fue un aumento del 45 % con respecto a 2020. El año pasado, el 63% de todos los ataques de ransomware que investigó la empresa involucraron la filtración de datos. 

Si eres un administrador de sistemas o redes, es muy probable que hayas tenido que entrar con escritorio remoto a uno de los ordenadores del trabajo para realizar alguna configuración en concreto. Lo mismo ocurre si quieres entrar al ordenador de algún familiar o amigo, e incluso a tus propios equipos para realizar una acción o simplemente apagarlos cuando los hemos dejado encendidos haciendo alguna tarea.  Veremos cómo puedes controlar tu ordenador de forma remota con el teléfono móvil, usando diferentes aplicaciones y plataformas.

Remmina es un cliente de escritorio remoto para sistemas operativos basados ​​en POSIX. Es compatible con los protocolos Remote Desktop Protocol, VNC, NX, XDMCP, SPICE y SSH.. Controlar remotamente cualquier ordenador es un aspecto fundamental hoy en día debido al teletrabajo, tanto para los usuarios domésticos, teletrabajadores, como también para los administradores de sistemas, que les permitirán controlar cualquier equipo de forma fácil y rápida. Poder conectarse a un ordenador de forma remota desde cualquier lugar ofrece a los usuarios una serie de ventajas que no pueden dejarse pasar, sin embargo, en ocasiones es algo complicado establecer las conexiones remotas debido a la gran cantidad de protocolos que existen actualmente.

mRemoteNG es uno de los programas más avanzados para realizar tareas de administración remotas en ordenadores y servidores. Este programa es compatible con sistemas operativos Windows, y nos permitirá administrar de manera muy fácil otros sistemas Windows, Linux y también macOS, ya que este programa incluye compatibilidad con una gran cantidad de protocolos de red diseñados para gestionar conexiones remotas.

La empresa de distribución de productos químicos Brenntag, con 17.000 empleados en todo el mundo, pagó un rescate de $ 4,4 millones en Bitcoin a la banda de ransomware DarkSide  para recibir un descifrador y recuperar los archivos cifrados y evitar que los actores de la amenaza filtraran públicamente 150 GB datos privados robados.

MobaXterm es uno de los programas para realizar tareas de administración en ordenadores y servidores más potente para sistemas operativos Windows. Este programa es una auténtica navaja suiza, al incorporar una gran cantidad de clientes para conectarnos a servidores, e incluso nos permitirá levantar servidores básicos en el equipo local para que se conecten a nosotros de forma fácil y rápida. Este programa ha sido diseñado por y para administradores de sistemas y redes

Primer fue el sonado caso del SEPE Servicio de Empleo Publico Estatal de España (SEPE) víctima del ransomware Ryuk que ha provocado miles de retraso en los pagos y muy recientemente, pero también en España, la Universidad de Castilla-La Mancha también ha sido víctima del mismo ransomware.

El ransomware es un tipo de malware que emplea el uso cifrado para secuestrar la información de la empresa víctima y solicitar un rescate. El cifrado asimétrico (clave pública) es una técnica criptográfica en la que se utilizan un par de claves para cifrar y descifrar un archivo. El delincuente genera de manera exclusiva el par de claves pública-privada para la víctima y almacena la clave privada para descifrar los archivos en su servidor. La víctima solamente podrá acceder a la clave privada tras el pago de un rescate. Utilizar un antivirus en estos casos no sirve absolutamente de nada.

El Escritorio Remoto de Chrome (Chrome Remote Desktop) RDP es una solución de acceso remoto que permite controlar tu PC desde cualquier lugar del mundo vía Internet al igual que las conocidas aplicaciones TeamViewer, AnyDesk o VNC pero directamente desde el propio navegador instalando la extensión de Google Chrome. O acceder a ordenadores personales de terceros para ofrecer (o recibir) ayuda técnica u otras funciones como compartir la pantalla con otros usuarios. 

Un honeypot es una herramienta de seguridad informática que nos permitirá detectar y obtener información de un atacante a nuestra red. Este tipo de programas sirven no solo para protegernos frente a un posible ataque, sino también para alertarnos, para estudiar a un posible atacante y adelantarnos a sus técnicas e incluso ralentizar un posible ataque.

Los servidores Windows RDP que se ejecutan en el puerto UDP 3389 pueden quedar atrapados en redes de bots DDoS y abusar de ellos para rebotar y amplificar el tráfico basura hacia las redes de las víctimas. .El factor de amplificación es 85,9x, y que los atacantes haciendo IP Spoofing (falsificando y suplantando la IP de origen) envían unos pocos bytes y generan "paquetes de ataque" que tienen "una longitud constante de 1260 bytes" que se devuelve a la IP falsa de origen (la que será atacada).

 Hoy día 30 de noviembre se celebra el Día Internacional de la Seguridad de la Información. Los ciberataques en España han registrado un aumento "cualitativo y cuantitativo" durante la pandemia y han incrementado su gravedad, según ha revelado este lunes la directora del Centro Nacional de Inteligencia (CNI), Paz Esteban.La pandemia duplica los ciberataques más graves, 60 de ellos críticos frente a los 37 del año pasado