8.10.13

Evil Foca... La Foca Maldita jaja

Evil Foca (Alpha Version) es una herramienta para pentester y auditores de seguridad que tiene como fin poner a prueba la seguridad en redes de datos IPv4 / IPv6.

La herramienta es capaz de realizar distintos ataques como:

    MITM sobre redes IPv4 con ARP Spoofing y DHCP ACK Injection.
    MITM sobre redes IPv6 con Neighbor Advertisement Spoofing, Ataque SLAAC, fake DHCPv6.
    DoS (Denegación de Servicio) sobre redes IPv4 con ARP Spoofing.
    DoS (Denegación de Servicio) sobre redes IPv6 con SLAAC DoS.
    DNS Hijacking.

Automáticamente se encarga de escanear la red e identificar todos los dispositivos y sus respectivas interfaces de red, especificando sus direcciones IPv4 e IPv6 y las direcciones físicas. 

Evil Foca está dividida en 4 paneles, a la izquierda el panel encargado de mostrar los equipos encontrados en la red, donde se podrá agregarlos a mano, y filtrar los resultados obtenidos.

El segundo panel, dispuesto en el centro con todos los posibles ataques a realizar con la herramienta, y a su derecha una breve descripción de cada uno de ellos.

Colocado bajo el panel anterior, se muestran los ataques que se están realizando, su configuración y su estado, permitiendo activarlo o desactivarlo.

Por último, el panel inferior donde se imprime un log de los eventos de la Evil Foca. 

Fuente y Descarga
Publicado por en No hay comentarios:

Smooth-Sec - IDS / IPS (sistema de detección / prevención de intrusiones) en una caja

No hemos escrito acerca de Smooth-Sec por un tiempo desde que nos enteramos de que en v1 marzo de 2011.

Para aquellos que no están familiarizados, Smooth-Sec es un completamente listos IDS e IPS (Intrusion Detection System y Prevención) de distribución de Linux basada en Debian 7 (sibilancias), para 32 y 64 bits de arquitectura. La distribución incluye la última versión de Snorby, Snort, Suricata, pulledpork y Pocilga. Un proceso de instalación fácil le permite desplegar una completa IDS / IPS del sistema en cuestión de minutos, incluso para los principiantes de seguridad con experiencia en Linux mínimo.

Debian 7 Wheezy base
32 y 64 bits iso disponible. Snorby V 2.6.2
Snort V 2.9.4.6
Suricata V 1.4.3
Pocilga V 0.1.0
Pulledpork V 0.6.1
Puede descargar Smooth Sec aquí -

32-Bit - smoothsec-3.0-i386.iso
64-Bit - smoothsec-3.0-amd64.iso

O leer más aquí.
Publicado por en No hay comentarios:

montar fácilmente un laboratorio de análisis de malware.

Cuckoo Sandbox es un sistema de análisis de malware de código abierto. Esta aplicación permite analizar cualquier archivo sospechoso y en cuestión de segundos,  Cuckoo proporcionará resultados detallados que describen lo que resultaría cuando se ejecuta dentro de un entorno aislado.

El malware es la principal herramienta de los cibercriminales y de los principales ciberataques en organizaciones empresariales. En estos tiempos la detección y eliminación de malware no es suficiente: es de vital importancia entender: cómo funcionan, lo que harían en los sistemas cuando se despliega, comprender el contexto, las motivaciones y los objetivos del ataque. De esta manera entender los hechos y responder con mayor eficacia para protegerse en el futuro. Hay infinidad de contextos en los que se puede necesitar implementar un entorno limitado, desde el análisis de una violación interna, recolectar datos procesables y analizar posibles amenazas.

Cuckoo genera un puñado de diferentes datos brutos, que incluyen:

  • Las funciones nativas y API de Windows llamadas huellas.
  • Las copias de los archivos creados y eliminados del sistema de ficheros.
  • Volcado de la memoria del proceso seleccionado.
  • Volcado completo de memoria de la máquina de análisis.
  • Capturas de pantalla del escritorio durante la ejecución del análisis de malware.
  • Volcado de red generado por la máquina que se utiliza para el análisis.

A fin de que tales resultados sean mejor interpretados por los usuarios finales, Cuckoo es capaz de procesar y generar diferentes tipos de informes, que podrían incluir:

  • Informe JSON.
  • Informe HTML.
  • Informe MAEC.
  • Interfaz de MongoDB.
  • Interfaz HPFeeds.

Lo más interesante, es que gracias a la amplia estructura modular del Cuckoo, es posible personalizar tanto el procesamiento y la fase de presentación de informes. Cuckoo proporciona todos los requisitos para integrar fácilmente un entorno aislado con los sistemas existentes, con los datos que se deseen, de la manera que desee y con el formato que desee.

Más información y descarga de Cuckoo Sandbox:
http://www.cuckoosandbox.org/

Documentación de Cuckoo Sandbox:
http://docs.cuckoosandbox.org/en/latest/
Publicado por en No hay comentarios:

Script para rastrear malware en Joomla!.

Se trata de JAMSS (Joomla! Anti-Malware Scan Script) un script programado para ayudar a todos los administradores de Joomla! a comprobar si su sistema  contiene malware, troyanos u otro código malicioso. El script utiliza patrones actuales de fingerprinting para identificar las amenazas malware más comunes, que puedan afectar a Joomla!. Este script no hace ninguna limpieza por su cuenta , solo informa sobre algún código sospechoso en Joomla!. JAMSS no es 100% preciso, tiene algunos falsos positivos por lo que debe ser utilizado con sabiduría y prudencia.


Como ejecutarlo:


Se sube el archivo “jamss.php” al webroot de la cuenta de hosting.
Se carga el archivo del escáner en el navegador usando una URL como esta:

http://www..com/jamss.php

La secuencia de comandos se ejecutará durante varios segundos, incluso minutos, dependiendo del número de archivos y carga de trabajo del servidor web.

Si  se desea realizar un análisis en profundidad, que puede detectar las versiones más recientes de malware se utiliza el parámetro DeepScan = 1. Esta función busca en los archivos las funciones de PHP que utiliza el malware.

Ejemplo de ejecución en el navegador:

http://www. .com/jamss.php?deepscan=1


Como interpretar los resultados:

El script inspecciona código contenido dentro de archivos y trata de identificar posibles códigos maliciosos usando muchas huellas digitales de malware conocido. Una vez que el script ha terminado de ejecutarse, generará y mostrará un informe para su revisión,  que puede poseer falsos positivos y que debe ser interpretados con el fin de determinar si algún resultado en particular es una potencial amenaza de malware.

Para cada potencial amenaza, el informe mostrará: la ruta de acceso al archivo en cuestión, el patrón que se adapta al código de malware y una breve descripción de lo que este código podría estar haciendo.

Si existe alguna duda acerca de un archivo identificado por JAMSS, el archivo debe ser descargado e inspeccionado para determinar si hay un problema con él.  Si existe sospecha de un archivo en Joomla! o archivos de extensiones: se descargaran todos los paquetes ZIP / TAR.XX y se comprobaran. A continuación, se remplazara el archivo sospechoso por el original correspondiente de Joomla !  y con la misma versión que se está ej

ecutando.  Si el archivo sospechoso no existe en los archivos originales de instalación de Joomla! o en los archivos de extensiones, se puede mover a una nueva carpeta segura (protegida por contraseña, o con permisos restrictivos) para que nadie tenga acceso y luego eliminarlo por completo, una vez que se determina que es un archivo que no necesita para el funcionamiento de Joomla!.
En caso de dudas sobre archivos o extensiones que pertenecen a Joomla!, o qué hacer en caso de una infección, es muy recomendable utilizar los foros de Joomla!:

http://forum.joomla.org/viewtopic.php?f=621&t=582854 

Y no realizar alguna acción que pueda comprometer la disponibilidad de nuestro sitio web. JAMSS es un script para usar con ciertos conocimientos de PHP y como un análisis rápido de malware.

Más información y descarga de JAMSS:
https://github.com/btoplak/Joomla-Anti-Malware-Scan-Script/tree/forum
Publicado por en No hay comentarios:
Suscribirse a: Entradas (Atom)