Expertos en ciberseguridad acaban de descubrir una nueva variante de malware basada en Golang capaz de distribuirse automáticamente a través de servidores Windows y Linux. Este es un malware multiplataforma con capacidades de gusano que le permiten desplegarse mediante ataques de fuerza bruta contra servicios como Tomcat, Jenkins, WebLogic, entre otros, en especial si cuentan con contraseñas débiles.
Los hackers también cuentan con un servidor C&C a través del cual lanzan actualizaciones de forma constante, lo que indica un mantenimiento activo de esta variante de malware. Este servidor C&C aloja una secuencia de comandos PowerShell, el gusano binario basado en Golang, además del cryptojacker XMRig, empleado para minar la criptomoneda Monero sin que el usuario pueda detectar la actividad maliciosa.
Como se menciona anteriormente, el malware se propaga a otras computadoras mediante la búsqueda y el ataque de fuerza bruta contra implementaciones de MySql, Tomcat y Jenkins. Los expertos también detectaron versiones anteriores del gusano tratando de explotar CVE-2020-14882, una falla de ejecución remota de código en Oracle WebLogic.
Después de comprometer los servidores atacados, se implementa el script para cargar el binario y el software de criptominado. Este malware también puede detener su ejecución de forma automática si detecta que los sistemas infectados están siendo monitoreados a través del puerto 52013; si este puerto no está en uso, el gusano iniciará su propio conector de red.
Como método de protección contra estos ataques, los expertos recomiendan limitar los inicios de sesión en los sistemas vulnerables, además de establecer contraseñas difíciles de adivinar en un ataque de fuerza bruta y habilitar mecanismos de autenticación multifactor. Instalar las actualizaciones de software emitidas por los fabricantes también es una buena medida para evitar esta clase de infecciones, ya que estos ataques suelen depender de implementaciones no actualizadas.
No mucha gente lo sabe, pero es muy sencillo entrometerse en el funcionamiento de un teléfono sin que el propietario tenga idea de qué está pasando. En esta ocasión, los expertos en seguridad móvil del Instituto Internacional de Seguridad Cibernética (IICS) le mostrarán cómo usar CallSpam, una herramienta para saturar la línea telefónica de cualquier usuario.
CallSpam es un pequeño script para una aplicación de Android con una función muy simple de explicar; simplemente tomamos un número telefónico y lo enviamos a todos los servicios anunciados desde call centers. Los operadores telefónicos comenzarán a llamar para ofrecer sus servicios, lo que hará colapsar la línea afectada.
Antes de comenzar a usar la herramienta, los expertos en seguridad móvil le recuerdan que debe contar con Termux instalado. Una vez instalada esta herramienta sólo debe ejecutar los siguientes comandos:
apt update && apt upgrade -y
apt install python git -y
pip install requests
pip install transliterate
pip install colorama
git clone https://github.com/kitasS/callspam
cd callspam
python SpamCall.py
Recuerde oprimir “Enter” después de cada línea de comando.
A continuación, ingrese el número de teléfono y el nombre del usuario (puede dejar este espacio en blanco).
A continuación se mostrará una lista de los servicios de los que el usuario objetivo recibirá las llamadas telefónicas.
Para consultar más material sobre seguridad móvil y otros temas, no dude en visitar las plataformas oficiales del Instituto Internacional de Seguridad Cibernética (IICS).
Los equipos de seguridad de Kawasaki Heavy Industries, multinacional japonesa destacada en la manufactura para múltiples industrias, anunciaron que sus sistemas de información se vieron comprometidos durante un incidente de seguridad que podría derivar en la exposición de los datos de empleados y clientes.
En su comunicado la compañía destaca algunos detalles sobre el incidente: “Como resultado de una exhaustiva investigación, hemos determinado que parte de la información en algunas de nuestras oficinas en el extranjero podría haber sido filtrada a plataformas externas”. Aunque Kawasaki sostiene que no se ha encontrado evidencia para afirmar que ha ocurrido una brecha de datos, el incidente está siendo monitoreado para prevenir un mayor daño.
El área de TI de la compañía detectó el acceso no autorizado a un servidor de Japón desde una oficina en Tailandia el pasado 11 de junio, por lo que todas las comunicaciones en Kawasaki fueron interrumpidas: “A la postre detectamos otros accesos no autorizados a los servidores desde ubicaciones en el extranjero; en respuesta hemos mejorado las operaciones de monitoreo de accesos, además de reforzar las restricciones para prevenir y detectar actividad no autorizada”.
La compañía aún teme que la información se vea comprometida debido al carácter confidencial que tienen estos registros, sin mencionar que no se cuenta con indicio alguno de los actores de amenazas: “Este acceso no autorizado fue llevado a cabo empleando herramientas sofisticadas que no dejaron rastro alguno”. Kawasaki ya se ha puesto en contacto con consultores de ciberseguridad externos para prevenir que escenarios como este se repitan en el futuro.
Este no es el único incidente que ha ocurrido a una compañía japonesa en tiempos recientes. Hace algunas semanas los directivos de Mitsubishi Electric y Kobe Steel reconocieron la detección de ciberataques que derivaron en la brecha de miles de registros, aunque se desconoce más información relacionada.
El ciberataque en Kawasaki sigue siendo investigado, por lo que más detalles podrían ser revelados en breve.
Las restricciones a la movilidad son una de las principales estrategias para el combate al coronavirus, por lo que millones de personas de todo el mundo han tenido que acostumbrarse a las compras en línea, lo que ha generado toda clase de consecuencias incluso en términos de ciberseguridad. Expertos detallan la detección de una nueva estafa de tarjetas de regalo para Amazon que podría generar millones de dólares en pérdidas si los usuarios caen en la trampa.
La estafa está dirigida a usuarios de Amazon en E.U. y la Unión Europea, según los reportes recolectados hasta el momento por la firma de seguridad Cybereason, y está basada en la publicación de una oferta demasiado buena para ser real con la que los usuarios serán engañados para recibir el troyano bancario Dridex.
Esta variante del malware se entrega a través de estafas de phishing, usualmente ofreciendo beneficios inusuales a los usuarios afectados, tratándose en este caso de la supuesta tarjeta de Amazon enviada con un mensaje similar a este: “Nos complace enviarle una tarjeta de regalo de Amazon como agradecimiento”.
El mensaje recibido por las víctimas contiene un documento de Word malicioso (en algunos casos se trata de un enlace a un sitio web externo); al interactuar con este documento los usuarios en realidad ejecutan una macro maliciosa que desencadena un script en PowerShell ejecutado en segundo plano para completar la descarga e instalación del troyano.
Los operadores de la estafa están usando un segundo método de entrega del malware, el cual involucra archivos de protector de pantalla con la extensión .scr; expertos reportan que esta es una técnica que ha adquirido popularidad recientemente, pues ayuda a los actores de amenazas a esquivar los mecanismos de seguridad en las plataformas email.
Al completar su descarga e instalación, Dridex comienza a recopilar información del sistema objetivo en busca de cualquier rastro de credenciales bancarias.
En respuesta al reporte Amazon ha emitido una alerta de seguridad: “Queremos asegurarnos de que nuestros clientes estén al tanto de una campaña fraudulenta que anuncia la entrega de falsas tarjetas de regalo”, menciona la compañía. Si recibe un email semejante, debe eliminarlo inmediatamente sin abrirlo. Si por error llega a abrir el mensaje, evite a toda costa descargar el archivo adjunto o hacer clic en los enlaces incluidos. Como último recurso recuerde que Microsoft deshabilita las macros para que no se ejecuten de forma automática.
Especialistas en ciberseguridad han reportado el hallazgo de una vulnerabilidad crítica de cuenta backdoor en múltiples productos de Zyxel, compañía especializada en la fabricación de enrutadores, firewalls, soluciones VoIP y otros dispositivos de red.
Identificada como CVE-2020-29583, esta falla existe debido a la presencia de una cuenta en el sistema (zyfwp), codificada de forma rígida y con una contraseña que no puede ser modificada por los usuarios sin importar sus privilegios. Los actores de amenazas pueden acceder a los sistemas afectados a través de ssh o bien mediante una interfaz web empleando las credenciales codificadas para obtener privilegios administrativos.
La vulnerabilidad recibió un puntaje de 8.7/10 en la escala del Common Vulnerability Scoring System (CVSS) y su explotación exitosa permitiría a los hackers maliciosos comprometer por completo el sistema objetivo.
En su reporte de seguridad Zyxel enlista los siguientes productos afectados por esta falla:
NXC2500, anterior a 6.10 Patch1
NXC5500, anterior a 6.10 Patch1
ZyXEL ZLD 4.60
A pesar de que esta vulnerabilidad puede ser explotada de forma remota por actores de amenazas remotos no autenticados a través del envío de solicitudes especialmente diseñadas, no se han reportado intentos de explotación activa o la existencia de una variante de malware asociada a este ataque.
Los equipos de seguridad de Zyxel ya han lanzado un parche de seguridad, por lo que se recomienda a los usuarios de implementaciones afectadas actualizar a la brevedad para mitigar cualquier intento de explotación activa.
El grupo de hacking ruso identificado como REvil afirma haber extraído más de 900GB de información de una clínica de cirugía plástica de celebridades. Al parecer, los actores de amenazas amenazan con filtrar las fotos de miles de celebridades antes y después de sus cirugías plásticas si sus demandas no son cumplidas. REvil es un grupo de hackers especializado en ataques de ransomware contra organizaciones públicas y privadas de todo el mundo.
La organización afectada es “The Hospital Group”, cuyas clínicas han recibido a populares actrices y actores como Kerry Katona, Tina Malone y Joey Essex. La compañía ya ha confirmado que sus bases de datos se vieron comprometidas después de un incidente de seguridad, además de señalar que la Oficina del Comisionado de Información (ICO) ya ha sido notificada sobre este ataque.
Medios americanos revelaron que las 11 clínicas pertenecientes a la organización (especializada en implantes de senos, operación de nariz e intervenciones para bajar de peso) se vieron comprometidas, por lo que todos sus clientes serán notificados durante los próximos días: “Podemos confirmar que nuestros sistemas informáticos se vieron expuestos a una violación de seguridad; los detalles de las tarjetas de pago de los pacientes no se han visto comprometidos, aunque el incidente involucra la exposición de datos personales”, menciona la notificación.
Sobre la amenaza de los hackers maliciosos, The Hospital Group reconoce que miles de fotos podrían haber sido robadas, aunque obviamente no todas pertenecen a celebridades. A través de redes sociales, algunos antiguos pacientes de estas clínicas mencionaron no haber recibido aún la alerta de seguridad.
Simon Hails, que recientemente se sometió a una intervención quirúrgica en una de las clínicas afectadas, menciona que la compañía le envió un email mencionando el incidente de seguridad aunque no mencionaban explícitamente que sus datos personales habían sido afectados, por lo que sigue preocupado ante la posibilidad de que los hackers maliciosos usen su información confidencial o la vendan en foros de dark web.
Hasta el momento se desconoce si los actores de amenazas están exigiendo el pago de un rescate a cambio de no revelar estas imágenes.
Los equipos de seguridad de Citrix han emitido una alerta de seguridad relacionada con un problema que podría afectar miles de implementaciones de NetScaler, un dispositivo controlador de la entrega de aplicaciones (ADC). Al parecer, la explotación de esta falla permitiría a los actores de amenazas lanzar ataques de denegación de servicios (DDoS).
Al parecer, los atacantes pueden consumir fácilmente el rendimiento de la red Citrix ADC y agotar el ancho de banda de salida: “El efecto de este ataque parece ser mucho más profundo de lo que parece, principalmente en conexiones con ancho de banda limitado”, menciona el reporte de la compañía.
Esta clase de dispositivos están diseñados para mejorar el rendimiento y la seguridad de las aplicaciones web entregadas a los usuarios finales en línea. La compañía menciona que el incidente sigue siendo monitoreado para verificar el impacto real de los ataques, señalando que esta condición se limita a una cantidad reducida de clientes de Citrix en todo el mundo.
Expertos en ciberseguridad comenzaron a rastrear la falla después de algunos informes sobre ataques DDoS sobre UDP/443 contra dispositivos Citrix durante la semana pasada.
La seguridad DTLS se basa en el protocolo TLS, que tiene como objetivo proporcionar comunicaciones seguras de una forma que está diseñada para evitar las escuchas, la manipulación o la falsificación de mensajes. Desde DTLS se utiliza UDP, lo que permitiría a los actores de amenazas falsificar paquetes IP e incluir una dirección de origen arbitrario; cuando Citrix ADC se vuelve objetivo de una gran cantidad de solicitudes DTLS en la dirección IP de origen, las respuestas provocadas conducen a una sobresaturación del ancho de banda, creando la condición DDoS.
Los equipos de seguridad de la compañía siguen trabajando para mejorar la seguridad DTLS y eliminar cualquier riesgo de explotación de la falla, que podría ser corregida por completo el próximo mes de enero. Para determinar si sus dispositivos son vulnerables a este ataque, la compañía recomienda revisar el volumen del tráfico saliente para detectar cualquier posible anomalía en el consumo de recursos de su sistema.
Muchos usuarios lo ignoran, pero al emplear la cámara de su laptop o cualquier otra cámara con conexión WiFi, su dirección MAC se volverá visible para cualquiera en Internet. Además, los expertos en seguridad en redes del Instituto Internacional de Seguridad Cibernética (IICS) mencionan que es posible detectar múltiples datos de un usuario incluso si su cámara no está directamente conectada a la red.
Si la camera utiliza una red cableada, los métodos descritos a continuación no pueden detectar dicho dispositivo. Por otra parte, los dispositivos WiFi y sus direcciones MAC se pueden recopilar usando airodump-ng, para dispositivos en la red a la que estamos conectados, las direcciones MAC se pueden obtener usando Nmap, aunque necesitamos una base de datos de fabricantes de cámaras ocultas y cámaras en general.
Bases de datos con direcciones MAC
Muchas veces no podremos encontrar dichas bases de datos, aunque podremos recurrir a las listas creadas por entusiastas, mencionan los expertos en seguridad en redes. Otra herramienta útil es el sitio web https://ift.tt/37NrJOD, que cuenta con múltiples listas que contienen esta clase de información.
El nombre correcto del fabricante puede coincidir fácilmente con la base de datos MAC, por lo que solo necesitamos recopilar los nombres de los proveedores; esto es perfecto para nuestro objetivo de encontrar cámaras ocultas.
Cree un archivo vendors.sh:
gedit vendors.sh
Copie el siguiente código en el archivo:
#!/bin/bash
TMP_FILE='/tmp/vendors.txt'
FILE='vendors.txt'
curl -s 'https://directory.ifsecglobal.com/screens-monitors-code004843.html' | grep -E 'ed-companyName' | grep -E -o '">[^/]+<' | sed 's/<//' | sed 's/">//' > $TMP_FILE
curl -s 'https://directory.ifsecglobal.com/cameras-code004815.html' | grep -E 'ed-companyName' | grep -E -o '">[^/]+<' | sed 's/<//' | sed 's/">//' >> $TMP_FILE
curl -s 'https://directory.ifsecglobal.com/cctv-poles-and-columns-code004816.html' | grep -E 'ed-companyName' | grep -E -o '">[^/]+<' | sed 's/<//' | sed 's/">//' >> $TMP_FILE
curl -s 'https://directory.ifsecglobal.com/data-storage-solutions-code009685.html' | grep -E 'ed-companyName' | grep -E -o '">[^/]+<' | sed 's/<//' | sed 's/">//' >> $TMP_FILE
curl -s 'https://directory.ifsecglobal.com/voice-video-integrated-data-systems-code004908.html' | grep -E 'ed-companyName' | grep -E -o '">[^/]+<' | sed 's/<//' | sed 's/">//' >> $TMP_FILE
curl -s 'https://directory.ifsecglobal.com/dvr-code004822.html' | grep -E 'ed-companyName' | grep -E -o '">[^/]+<' | sed 's/<//' | sed 's/">//' >> $TMP_FILE
curl -s 'https://directory.ifsecglobal.com/voice-video-integrated-data-storage-code004941.html' | grep -E 'ed-companyName' | grep -E -o '">[^/]+<' | sed 's/<//' | sed 's/">//' >> $TMP_FILE
curl -s 'https://directory.ifsecglobal.com/nvr-code004827.html' | grep -E 'ed-companyName' | grep -E -o '">[^/]+<' | sed 's/<//' | sed 's/">//' >> $TMP_FILE
curl -s 'https://directory.ifsecglobal.com/4k-cameras-code009684.html' | grep -E 'ed-companyName' | grep -E -o '">[^/]+<' | sed 's/<//' | sed 's/">//' >> $TMP_FILE
curl -s 'https://directory.ifsecglobal.com/anpr-code004813.html' | grep -E 'ed-companyName' | grep -E -o '">[^/]+<' | sed 's/<//' | sed 's/">//' >> $TMP_FILE
curl -s 'https://directory.ifsecglobal.com/body-worn-cameras-code007865.html' | grep -E 'ed-companyName' | grep -E -o '">[^/]+<' | sed 's/<//' | sed 's/">//' >> $TMP_FILE
curl -s 'https://directory.ifsecglobal.com/hd-quality-cameras-code007866.html' | grep -E 'ed-companyName' | grep -E -o '">[^/]+<' | sed 's/<//' | sed 's/">//' >> $TMP_FILE
curl -s 'https://directory.ifsecglobal.com/low-light-level-camera-systems-code007867.html' | grep -E 'ed-companyName' | grep -E -o '">[^/]+<' | sed 's/<//' | sed 's/">//' >> $TMP_FILE
curl -s 'https://directory.ifsecglobal.com/camera-housings-code004814.html' | grep -E 'ed-companyName' | grep -E -o '">[^/]+<' | sed 's/<//' | sed 's/">//' >> $TMP_FILE
curl -s 'https://directory.ifsecglobal.com/internet-remote-surveillance-code004932.html' | grep -E 'ed-companyName' | grep -E -o '">[^/]+<' | sed 's/<//' | sed 's/">//' >> $TMP_FILE
curl -s 'https://directory.ifsecglobal.com/cctv-monitoring-code004999.html' | grep -E 'ed-companyName' | grep -E -o '">[^/]+<' | sed 's/<//' | sed 's/">//' >> $TMP_FILE
curl -s 'https://directory.ifsecglobal.com/dome-camera-code004821.html' | grep -E 'ed-companyName' | grep -E -o '">[^/]+<' | sed 's/<//' | sed 's/">//' >> $TMP_FILE
curl -s 'https://directory.ifsecglobal.com/ip-cameras-code004823.html' | grep -E 'ed-companyName' | grep -E -o '">[^/]+<' | sed 's/<//' | sed 's/">//' >> $TMP_FILE
curl -s 'https://directory.ifsecglobal.com/security-camera-lenses-code004824.html' | grep -E 'ed-companyName' | grep -E -o '">[^/]+<' | sed 's/<//' | sed 's/">//' >> $TMP_FILE
curl -s 'https://directory.ifsecglobal.com/security-monitors-code004825.html' | grep -E 'ed-companyName' | grep -E -o '">[^/]+<' | sed 's/<//' | sed 's/">//' >> $TMP_FILE
curl -s 'https://directory.ifsecglobal.com/security-screens-code007437.html' | grep -E 'ed-companyName' | grep -E -o '">[^/]+<' | sed 's/<//' | sed 's/">//' >> $TMP_FILE
curl -s 'https://directory.ifsecglobal.com/ptz-camera-code004828.html' | grep -E 'ed-companyName' | grep -E -o '">[^/]+<' | sed 's/<//' | sed 's/">//' >> $TMP_FILE
curl -s 'https://directory.ifsecglobal.com/switches-code004968.html' | grep -E 'ed-companyName' | grep -E -o '">[^/]+<' | sed 's/<//' | sed 's/">//' >> $TMP_FILE
curl -s 'https://directory.ifsecglobal.com/remote-surveillance-code004829.html' | grep -E 'ed-companyName' | grep -E -o '">[^/]+<' | sed 's/<//' | sed 's/">//' >> $TMP_FILE
curl -s 'https://directory.ifsecglobal.com/public-space-surveillance-code005012.html' | grep -E 'ed-companyName' | grep -E -o '">[^/]+<' | sed 's/<//' | sed 's/">//' >> $TMP_FILE
curl -s 'https://directory.ifsecglobal.com/infrared-cameras-code007439.html' | grep -E 'ed-companyName' | grep -E -o '">[^/]+<' | sed 's/<//' | sed 's/">//' >> $TMP_FILE
curl -s 'https://directory.ifsecglobal.com/thermal-imaging-code004833.html' | grep -E 'ed-companyName' | grep -E -o '">[^/]+<' | sed 's/<//' | sed 's/">//' >> $TMP_FILE
curl -s 'https://directory.ifsecglobal.com/ai-machinelearning-code009668.html' | grep -E 'ed-companyName' | grep -E -o '">[^/]+<' | sed 's/<//' | sed 's/">//' >> $TMP_FILE
curl -s 'https://directory.ifsecglobal.com/security-cameras-code007485.html' | grep -E 'ed-companyName' | grep -E -o '">[^/]+<' | sed 's/<//' | sed 's/">//' >> $TMP_FILE
curl -s 'https://directory.ifsecglobal.com/video-surveillance-code007482.html' | grep -E 'ed-companyName' | grep -E -o '">[^/]+<' | sed 's/<//' | sed 's/">//' >> $TMP_FILE
curl -s 'https://directory.ifsecglobal.com/video-surveillance-code004812.html' | grep -E 'ed-companyName' | grep -E -o '">[^/]+<' | sed 's/<//' | sed 's/">//' >> $TMP_FILE
#curl -s '' | grep -E 'ed-companyName' | grep -E -o '">[^/]+<' | sed 's/<//' | sed 's/">//' >> $TMP_FILE
curl -s 'https://www.ispyconnect.com/sources.aspx?letter=A' | grep -E -o 'man\.aspx\?n=[^"]{1,}"' | sed 's/man.aspx?n=//' | sed 's/"//' | while read -r line ; do
grep -E "$line " vendors.txt >> $TMP_FILE
done
curl -s 'https://www.ispyconnect.com/sources.aspx?letter=B' | grep -E -o 'man\.aspx\?n=[^"]{1,}"' | sed 's/man.aspx?n=//' | sed 's/"//' | while read -r line ; do
grep -E "$line " vendors.txt >> $TMP_FILE
done
curl -s 'https://www.ispyconnect.com/sources.aspx?letter=C' | grep -E -o 'man\.aspx\?n=[^"]{1,}"' | sed 's/man.aspx?n=//' | sed 's/"//' | while read -r line ; do
grep -E "$line " vendors.txt >> $TMP_FILE
done
curl -s 'https://www.ispyconnect.com/sources.aspx?letter=D' | grep -E -o 'man\.aspx\?n=[^"]{1,}"' | sed 's/man.aspx?n=//' | sed 's/"//' | while read -r line ; do
grep -E "$line " vendors.txt >> $TMP_FILE
done
curl -s 'https://www.ispyconnect.com/sources.aspx?letter=E' | grep -E -o 'man\.aspx\?n=[^"]{1,}"' | sed 's/man.aspx?n=//' | sed 's/"//' | while read -r line ; do
grep -E "$line " vendors.txt >> $TMP_FILE
done
curl -s 'https://www.ispyconnect.com/sources.aspx?letter=F' | grep -E -o 'man\.aspx\?n=[^"]{1,}"' | sed 's/man.aspx?n=//' | sed 's/"//' | while read -r line ; do
grep -E "$line " vendors.txt >> $TMP_FILE
done
curl -s 'https://www.ispyconnect.com/sources.aspx?letter=G' | grep -E -o 'man\.aspx\?n=[^"]{1,}"' | sed 's/man.aspx?n=//' | sed 's/"//' | while read -r line ; do
grep -E "$line " vendors.txt >> $TMP_FILE
done
curl -s 'https://www.ispyconnect.com/sources.aspx?letter=H' | grep -E -o 'man\.aspx\?n=[^"]{1,}"' | sed 's/man.aspx?n=//' | sed 's/"//' | while read -r line ; do
grep -E "$line " vendors.txt >> $TMP_FILE
done
curl -s 'https://www.ispyconnect.com/sources.aspx?letter=I' | grep -E -o 'man\.aspx\?n=[^"]{1,}"' | sed 's/man.aspx?n=//' | sed 's/"//' | while read -r line ; do
grep -E "$line " vendors.txt >> $TMP_FILE
done
curl -s 'https://www.ispyconnect.com/sources.aspx?letter=J' | grep -E -o 'man\.aspx\?n=[^"]{1,}"' | sed 's/man.aspx?n=//' | sed 's/"//' | while read -r line ; do
grep -E "$line " vendors.txt >> $TMP_FILE
done
curl -s 'https://www.ispyconnect.com/sources.aspx?letter=K' | grep -E -o 'man\.aspx\?n=[^"]{1,}"' | sed 's/man.aspx?n=//' | sed 's/"//' | while read -r line ; do
grep -E "$line " vendors.txt >> $TMP_FILE
done
curl -s 'https://www.ispyconnect.com/sources.aspx?letter=L' | grep -E -o 'man\.aspx\?n=[^"]{1,}"' | sed 's/man.aspx?n=//' | sed 's/"//' | while read -r line ; do
grep -E "$line " vendors.txt >> $TMP_FILE
done
curl -s 'https://www.ispyconnect.com/sources.aspx?letter=M' | grep -E -o 'man\.aspx\?n=[^"]{1,}"' | sed 's/man.aspx?n=//' | sed 's/"//' | while read -r line ; do
grep -E "$line " vendors.txt >> $TMP_FILE
done
curl -s 'https://www.ispyconnect.com/sources.aspx?letter=N' | grep -E -o 'man\.aspx\?n=[^"]{1,}"' | sed 's/man.aspx?n=//' | sed 's/"//' | while read -r line ; do
grep -E "$line " vendors.txt >> $TMP_FILE
done
curl -s 'https://www.ispyconnect.com/sources.aspx?letter=O' | grep -E -o 'man\.aspx\?n=[^"]{1,}"' | sed 's/man.aspx?n=//' | sed 's/"//' | while read -r line ; do
grep -E "$line " vendors.txt >> $TMP_FILE
done
curl -s 'https://www.ispyconnect.com/sources.aspx?letter=P' | grep -E -o 'man\.aspx\?n=[^"]{1,}"' | sed 's/man.aspx?n=//' | sed 's/"//' | while read -r line ; do
grep -E "$line " vendors.txt >> $TMP_FILE
done
curl -s 'https://www.ispyconnect.com/sources.aspx?letter=Q' | grep -E -o 'man\.aspx\?n=[^"]{1,}"' | sed 's/man.aspx?n=//' | sed 's/"//' | while read -r line ; do
grep -E "$line " vendors.txt >> $TMP_FILE
done
curl -s 'https://www.ispyconnect.com/sources.aspx?letter=R' | grep -E -o 'man\.aspx\?n=[^"]{1,}"' | sed 's/man.aspx?n=//' | sed 's/"//' | while read -r line ; do
grep -E "$line " vendors.txt >> $TMP_FILE
done
curl -s 'https://www.ispyconnect.com/sources.aspx?letter=S' | grep -E -o 'man\.aspx\?n=[^"]{1,}"' | sed 's/man.aspx?n=//' | sed 's/"//' | while read -r line ; do
grep -E "$line " vendors.txt >> $TMP_FILE
done
curl -s 'https://www.ispyconnect.com/sources.aspx?letter=T' | grep -E -o 'man\.aspx\?n=[^"]{1,}"' | sed 's/man.aspx?n=//' | sed 's/"//' | while read -r line ; do
grep -E "$line " vendors.txt >> $TMP_FILE
done
curl -s 'https://www.ispyconnect.com/sources.aspx?letter=U' | grep -E -o 'man\.aspx\?n=[^"]{1,}"' | sed 's/man.aspx?n=//' | sed 's/"//' | while read -r line ; do
grep -E "$line " vendors.txt >> $TMP_FILE
done
curl -s 'https://www.ispyconnect.com/sources.aspx?letter=V' | grep -E -o 'man\.aspx\?n=[^"]{1,}"' | sed 's/man.aspx?n=//' | sed 's/"//' | while read -r line ; do
grep -E "$line " vendors.txt >> $TMP_FILE
done
curl -s 'https://www.ispyconnect.com/sources.aspx?letter=W' | grep -E -o 'man\.aspx\?n=[^"]{1,}"' | sed 's/man.aspx?n=//' | sed 's/"//' | while read -r line ; do
grep -E "$line " vendors.txt >> $TMP_FILE
done
curl -s 'https://www.ispyconnect.com/sources.aspx?letter=X' | grep -E -o 'man\.aspx\?n=[^"]{1,}"' | sed 's/man.aspx?n=//' | sed 's/"//' | while read -r line ; do
grep -E "$line " vendors.txt >> $TMP_FILE
done
curl -s 'https://www.ispyconnect.com/sources.aspx?letter=Y' | grep -E -o 'man\.aspx\?n=[^"]{1,}"' | sed 's/man.aspx?n=//' | sed 's/"//' | while read -r line ; do
grep -E "$line " vendors.txt >> $TMP_FILE
done
curl -s 'https://www.ispyconnect.com/sources.aspx?letter=Z' | grep -E -o 'man\.aspx\?n=[^"]{1,}"' | sed 's/man.aspx?n=//' | sed 's/"//' | while read -r line ; do
grep -E "$line " vendors.txt >> $TMP_FILE
done
curl -s 'https://www.ispyconnect.com/sources.aspx?letter=2' | grep -E -o 'man\.aspx\?n=[^"]{1,}"' | sed 's/man.aspx?n=//' | sed 's/"//' | while read -r line ; do
grep -E "$line " vendors.txt >> $TMP_FILE
done
curl -s 'https://www.ispyconnect.com/sources.aspx?letter=3' | grep -E -o 'man\.aspx\?n=[^"]{1,}"' | sed 's/man.aspx?n=//' | sed 's/"//' | while read -r line ; do
grep -E "$line " vendors.txt >> $TMP_FILE
done
curl -s 'https://www.ispyconnect.com/sources.aspx?letter=4' | grep -E -o 'man\.aspx\?n=[^"]{1,}"' | sed 's/man.aspx?n=//' | sed 's/"//' | while read -r line ; do
grep -E "$line " vendors.txt >> $TMP_FILE
done
curl -s 'https://www.ispyconnect.com/sources.aspx?letter=5' | grep -E -o 'man\.aspx\?n=[^"]{1,}"' | sed 's/man.aspx?n=//' | sed 's/"//' | while read -r line ; do
grep -E "$line " vendors.txt >> $TMP_FILE
done
curl -s 'https://www.ispyconnect.com/sources.aspx?letter=7' | grep -E -o 'man\.aspx\?n=[^"]{1,}"' | sed 's/man.aspx?n=//' | sed 's/"//' | while read -r line ; do
grep -E "$line " vendors.txt >> $TMP_FILE
done
curl -s 'https://www.ispyconnect.com/sources.aspx?letter=8' | grep -E -o 'man\.aspx\?n=[^"]{1,}"' | sed 's/man.aspx?n=//' | sed 's/"//' | while read -r line ; do
grep -E "$line " vendors.txt >> $TMP_FILE
done
curl -s 'https://www.ispyconnect.com/sources.aspx?letter=9' | grep -E -o 'man\.aspx\?n=[^"]{1,}"' | sed 's/man.aspx?n=//' | sed 's/"//' | while read -r line ; do
grep -E "$line " vendors.txt >> $TMP_FILE
done
echo 'Tenda Technology Co., Ltd.' >> $TMP_FILE #https://www.google.com/search?q=Tenda+Technology+CCTV&tbm=isch
echo 'LG Innotek' >> $TMP_FILE #https://www.google.com/search?q=LG+Innotek+CCTV&tbm=isch
echo 'Hand Held Products Inc' >> $TMP_FILE #Handheld Thermal Cameras
echo 'Wistron Neweb Corporation' >> $TMP_FILE #https://www.wnc.com.tw/index.php?action=pro_detail&id=76
echo 'HangZhou KuoHeng Technology Co.,ltd' >> $TMP_FILE #https://www.google.com/search?q=HangZhou+KuoHeng+Technology&tbm=isch
echo 'VCS Video Communication Systems AG' >> $TMP_FILE
echo 'D-Link International' >> $TMP_FILE
echo 'Cisco-Linksys, LLC' >> $TMP_FILE
echo 'ICP Internet Communication Payment AG' >> $TMP_FILE
echo 'China Dragon Technology Limited' >> $TMP_FILE
echo 'SAMSUNG TECHWIN CO.,LTD' >> $TMP_FILE
echo 'Hanwha Techwin Security Vietnam' >> $TMP_FILE
echo 'Beward R&D Co., Ltd.' >> $TMP_FILE
echo 'Lorex Technology Inc.' >> $TMP_FILE
echo 'TP-LINK TECHNOLOGIES CO.,LTD.' >> $TMP_FILE
echo 'ABUS Security-Center GmbH & Co. KG' >> $TMP_FILE
echo 'ACM Systems' >> $TMP_FILE
echo 'Aztech Electronics Pte Ltd' >> $TMP_FILE
echo 'Axium Technologies, Inc.' >> $TMP_FILE
echo 'Ace Axis Limited' >> $TMP_FILE
#echo '' >> $TMP_FILE
echo "Total vendors in the list: "`cat $TMP_FILE | wc -l`
cat $TMP_FILE | sort| uniq > $FILE
echo "Unique vendors in the list: "`cat $FILE | wc -l`
El código se ejecuta de la siguiente forma:
bash ./vendors.sh
Esto creará un archivo vendors.txt.
Estadísticas:
Total vendors in the list: 1665
Unique vendors in the list: 680
En total, se encontraron 680 fabricantes únicos, mencionan los expertos en seguridad en redes. A continuación puede explorar la lista de vendors.txt y eliminar las entradas que crea innecesarias. Por ejemplo, noté que muchas entradas mencionan a “HUAWEI TECHNOLOGIES CO., LTD”, ya que esta empresa también fabrica teléfonos móviles.
Escáner de cámaras ocultas con WiFi por dirección MAC
Ahora que tenemos una base de datos de fabricantes de cámaras ocultas, necesitamos recopilar direcciones MAC a nuestro alcance. Usaremos un método que ha demostrado ser exitoso anteriormente. Los siguientes son los comandos para comenzar a recopilar información. Los expertos en seguridad en redes recomiendan consultar material adicional en caso de no entender plenamente la siguiente instrucción.
Para analizar el archivo .csv, airodump-ng necesita crearlo. Para ello, transferimos la tarjeta inalámbrica al modo monitor. Siempre comienzo con los siguientes dos comandos para que ningún proceso se interponga en el camino:
En el ejemplo, se guarda en el archivo /home/mial/cameras-01.csv; se obtiene una respuesta de 1600 líneas allí, por lo que esto no será analizado manualmente.
cat /home/mial/cameras-01.csv | wc -l
1600
A continuación deberemos usar un script más ligero que simplemente verificará si hay una cámara de vigilancia alrededor. Y si es así, puede ejecutar un script más pesado para analizar a qué puntos de acceso están conectados.
Cree el archivo fc.sh:
gedit fc.sh
Copie ahí el siguiente código:
#!/bin/bash
if [[ "$1" && -f "$1" ]]; then
FILE="$1"
else
echo 'Укажите .csv файл, который вы хотите проанализировать.';
echo 'Пример запуска:';
echo -e "\tbash fc.sh /tmp/test-01.csv";
exit
fi
while read -r line ; do
newline="$(echo $line | grep -E '([A-Z0-9:]{17})')"
if [ "$newline" ]; then
MAC2=`echo "$newline" | sed 's/ //g' | sed 's/-//g' | sed 's/://g' | cut -c1-6`
resultshort="$(grep -i ^$MAC2 ./oui.txt)";
vendor=`echo "$resultshort" | cut -f 3`
#vendor=`echo "$resultshort" | awk -F '\t' '{print $3}'`
if [ "$vendor" ]; then
result3=${vendor%,*}
iscamera=''
iscamera=`cat vendors.txt | grep -i "$result3"`
if [ "$iscamera" ]; then
echo
echo $newline
echo $vendor
echo -e "\t\t\t\033[7mВероятно, это камера или другое устройство слежения\e[0m"
echo
fi
fi
fi
done < <(grep -E '([A-Za-z0-9._: @\(\)\\=\[\{\}\"%;-]+,){5} ([A-Z0-9:]{17})|(not associated)' $FILE | awk -F ',' '{print $1}')
El código se ejecuta como se muestra a continuación:
bash ./fc.sh /ПУТЬ/ДО/ФАЙЛА.csv
Si el archivo que obtuvimos de airodump-ng se encuentra en /tmp/test-01.csv, entonces el comando es el siguiente:
bash fc.sh /tmp/test-01.csv
También necesitamos un archivo con una base de datos de direcciones MAC y sus respectivos fabricantes; descárguelo en el mismo directorio donde colocó el archivo fc.sh. Debe descargar este archivo antes de ejecutar fc.sh y todos los demás scripts de este artículo:
wget http://standards-oui.ieee.org/oui/oui.txt
Arreglamos el archivo descargado, ya que utiliza un salto de línea DOS / Windows. En nuestro caso, sin aplicar las correcciones necesarias el programa grep no pudo encontrar la línea, incluso si coincide con el patrón:
dos2unix -i oui.txt
El script, utilizando una base de datos que asigna a los fabricantes a sus direcciones MAC asignadas (oui.txt), determinará el nombre del proveedor para cada dirección MAC recopilada y luego verificará si este proveedor está presente en la lista de fabricantes de cámaras de vigilancia, mencionan los expertos en seguridad en redes.
El script mostrará la dirección MAC y los nombres de los fabricantes de todas las posibles cámaras. Si el guión no mostraba nada, no se encontró nada.
Recuerde que algunos proveedores producen otros dispositivos además de las cámaras de seguridad, por lo tanto, es muy probable que se produzcan “falsas alarmas”. Si se encuentra algo, o incluso si el script muestra una docena de dispositivos, esto no significa que todos sean cámaras WiFi ocultas. En primer lugar, preste atención al fabricante, puesto que a menudo se trata de fabricantes de smartphones.
Aún así, si encuentra algo interesante los expertos en seguridad en redes le recomiendan usar un script que muestre a qué puntos de acceso están conectados todos los dispositivos.
Cree el archivo findcameras.sh:
gedit findcameras.sh
Copie el siguiente código en él:
#!/bin/bash
if [[ "$1" && -f "$1" ]]; then
FILE="$1"
else
echo 'Укажите .csv файл, который вы хотите проанализировать.';
echo 'Пример запуска:';
echo -e "\tbash findcameras.sh /tmp/test-01.csv";
exit
fi
echo -e "\033[1mВсего точек доступа: \033[0;31m`grep -E '([A-Za-z0-9._: @\(\)\\=\[\{\}\"%;-]+,){14}' $FILE | wc -l`\e[0m"
echo -e "\033[1mВсего клиентов: \033[0;31m`grep -E '([A-Za-z0-9._: @\(\)\\=\[\{\}\"%;-]+,){5} ([A-Z0-9:]{17})|(not associated)' $FILE | wc -l`\e[0m"
echo -e "\033[1mИз них клиентов без ассоциации: \033[0;31m`grep -E '(not associated)' $FILE | wc -l`\e[0m"
echo -e "\033[0;36m\033[1mИнформация о сетях:\e[0m"
while read -r line ; do
if [ "`echo "$line" | cut -d ',' -f 14`" != " " ]; then
echo -e "\033[1m" `echo -e "$line" | cut -d ',' -f 14` "\e[0m"
else
echo -e " \e[3mне удалось получить имя сети\e[0m"
fi
fullMAC=`echo "$line" | cut -d ',' -f 1`
echo -e "\tMAC-адрес: $fullMAC"
MAC=`echo "$fullMAC" | sed 's/ //g' | sed 's/-//g' | sed 's/://g' | cut -c1-6`
result="$(grep -i -A 1 ^$MAC ./oui.txt)";
if [ "$result" ]; then
echo -e "\tПроизводитель: `echo "$result" | cut -f 3`"
else
echo -e "\tПроизводитель: \e[3mИнформация не найдена в базе данных.\e[0m"
fi
is5ghz=`echo "$line" | cut -d ',' -f 4 | grep -i -E '36|40|44|48|52|56|60|64|100|104|108|112|116|120|124|128|132|136|140'`
if [ "$is5ghz" ]; then
echo -e "\t\033[0;31mРаботает на 5 ГГц!\e[0m"
fi
printonce="\tИнформация о подключённых клиентах:"
while read -r line2 ; do
clientsMAC=`echo $line2 | grep -E "$fullMAC"`
if [ "$clientsMAC" ]; then
if [ "$printonce" ]; then
echo -e $printonce
printonce=''
fi
echo -e "\t\t\033[0;32m" `echo $clientsMAC | cut -d ',' -f 1` "\e[0m"
MAC2=`echo "$clientsMAC" | sed 's/ //g' | sed 's/-//g' | sed 's/://g' | cut -c1-6`
result2="$(grep -i -A 1 ^$MAC2 ./oui.txt)";
if [ "$result2" ]; then
echo -e "\t\t\tПроизводитель: `echo "$result2" | cut -f 3`"
ismobile=`echo $result2 | grep -i -E 'Olivetti|Sony|Mobile|Apple|Samsung|HUAWEI|Motorola|TCT|LG|Ragentek|Lenovo|Shenzhen|Intel|Xiaomi|zte|MEIZU'`
warning=`echo $result2 | grep -i -E 'ALFA|Intel'`
if [ "$ismobile" ]; then
echo -e "\t\t\t\033[0;33mВероятно, это мобильное устройство\e[0m"
fi
if [ "$warning" ]; then
echo -e "\t\t\t\033[0;31;5;7mУстройство может поддерживать режим монитора\e[0m"
fi
resultshort="$(grep -i ^$MAC2 ./oui.txt)";
vendor=`echo "$resultshort" | cut -f 3`
if [ "$vendor" ]; then
result3=${vendor%,*}
iscamera=''
iscamera=`cat vendors.txt | grep -i "$result3"`
if [ "$iscamera" ]; then
echo -e "\t\t\t\033[7mВероятно, это камера или другое устройство слежения\e[0m"
fi
fi
else
echo -e "\t\t\tПроизводитель: \e[3mИнформация не найдена в базе данных.\e[0m"
fi
probed=`echo $line2 | cut -d ',' -f 7`
if [ "`echo $probed | grep -E [A-Za-z0-9_\\-]+`" ]; then
echo -e "\t\t\tИскал сети: $probed"
fi
fi
done < <(grep -E '([A-Za-z0-9._: @\(\)\\=\[\{\}\"%;-]+,){5} ([A-Z0-9:]{17})|(not associated)' $FILE)
done < <(grep -E '([A-Za-z0-9._: @\(\)\\=\[\{\}\"%;-]+,){14}' $FILE)
echo -e "\033[0;36m\033[1mИнформация о неподключённых клиентах:\e[0m"
while read -r line2 ; do
clientsMAC=`echo $line2 | cut -d ',' -f 1`
echo -e "\033[0;31m" `echo $clientsMAC | cut -d ',' -f 1` "\e[0m"
MAC2=`echo "$clientsMAC" | sed 's/ //g' | sed 's/-//g' | sed 's/://g' | cut -c1-6`
result2="$(grep -i -A 1 ^$MAC2 ./oui.txt)";
if [ "$result2" ]; then
echo -e "\tПроизводитель: `echo "$result2" | cut -f 3`"
ismobile=`echo $result2 | grep -i -E 'Olivetti|Sony|Mobile|Apple|Samsung|HUAWEI|Motorola|TCT|LG|Ragentek|Lenovo|Shenzhen|Intel|Xiaomi|zte'`
warning=`echo $result2 | grep -i -E 'ALFA|Intel'`
if [ "$ismobile" ]; then
echo -e "\t\033[0;33mВероятно, это мобильное устройство\e[0m"
fi
if [ "$warning" ]; then
echo -e "\t\033[0;31;5;7mУстройство может поддерживать режим монитора\e[0m"
fi
resultshort="$(grep -i ^$MAC2 ./oui.txt)";
vendor=`echo "$resultshort" | cut -f 3`
if [ "$vendor" ]; then
result3=${vendor%,*}
iscamera=''
iscamera=`cat vendors.txt | grep -i "$result3"`
if [ "$iscamera" ]; then
echo -e "\t\t\t\033[7mВероятно, это камера или другое устройство слежения\e[0m"
fi
fi
else
echo -e "\tПроизводитель: \e[3mИнформация не найдена в базе данных.\e[0m"
fi
probed=`echo $line2 | cut -d ',' -f 7`
if [ "`echo $probed | grep -E [A-Za-z0-9_\\-]+`" ]; then
echo -e "\tИскал сети: $probed"
fi
done < <(grep -E '(not associated)' $FILE)
El código se ejecuta así:
bash findcameras.sh /ПУТЬ/ДО/ФАЙЛА.csv
Por ejemplo:
bash findcameras.sh /tmp/test-01.csv
Este script, como el anterior, requiere archivos oui.txt y vendors.txt. Hand Held Products Inc fabrica tanto cámaras termográficas como varios lectores de códigos de barras, etc. Puede ser cualquiera de estos dispositivos, ya que se trata de un TD de una tienda.
Wistron Neweb Corporation fabrica una variedad de productos electrónicos, incluyendo una cámara IP muy popular.
En lugar de conectarse a través de una red WiFi, las cámaras pueden usar una red cableada; estas cámaras no se incluirán en la lista.
Buscar cámaras de vigilancia en la red local
Este método funciona solo en redes donde puede obtener las direcciones MAC de otros dispositivos, es decir, solo en redes locales. Escanear Internet es inútil. Entre las redes LAN a las que nos conectamos a menudo están los puntos de acceso WiFi públicos en aeropuertos, hoteles, restaurantes, transporte público, etc.
Cree el archivo fcl.sh:
gedit fcl.sh
Copie el siguiente código en él:
#!/bin/bash
if [[ "$1" ]]; then
NET="$1"
else
echo 'Укажите подсеть для поиска камер наблюдения';
echo 'Пример запуска:';
echo -e "\tbash ./fcl.sh 192.168.0.0/24";
exit
fi
found=0
while read -r line ; do
newline=$line
if [ "$newline" ]; then
MAC2=`echo "$newline" | sed 's/ //g' | sed 's/-//g' | sed 's/://g' | cut -c1-6`
resultshort="$(grep -i ^$MAC2 ./oui.txt)";
vendor=`echo "$resultshort" | cut -f 3`
if [ "$vendor" ]; then
result3=${vendor%,*}
iscamera=''
iscamera=`cat vendors.txt | grep -i "$result3"`
if [ "$iscamera" ]; then
echo
echo $newline
echo $vendor
echo -e "\t\t\t\033[7mВероятно, это камера или другое устройство слежения\e[0m"
echo
found=1
fi
fi
fi
done < <(sudo nmap -n -sn -PR -PS -PA -PU -T5 $NET | grep -E -o '[A-Z0-9:]{17}')
if [ $found -eq 1 ]; then
sudo nmap -A $NET
fi
Ejecute de este modo (recuerde que Nmap requiere privilegios de administrador):
sudo bash fcl.sh СЕТЬ/МАСКА
Por ejemplo:
sudo bash ./fcl.sh 192.168.0.0/24
Si se encuentran dispositivos con direcciones MAC de fabricantes de cámaras de vigilancia, se mostrarán continuación. En caso contrario, no se mostrará respuesta alguna.
Acorde a los especialistas en seguridad en redes, si se encuentra al menos una cámara, se lanzará otro escaneo de Nmap aún más agresivo, con salida completa de los resultados para que pueda ver la IP del dispositivo, además se tratará de determinar la versión del sistema operativo y los servicios.
Fragmento de salida de escaneo adicional:
|_http-title: NETSurveillance WEB
554/tcp open rtsp H264DVR rtspd 1.0
|_rtsp-methods: OPTIONS, DESCRIBE, SETUP, TEARDOWN, GET_PARAMETER, SET_PARAMETER, PLAY, PAUSE
8899/tcp open soap gSOAP 2.7
|_http-server-header: gSOAP/2.7
El encabezado NETSurveillance WEB sugiere que se trata de una cámara de vigilancia en red. Los puertos abiertos 554 y 8899 pertenecen a los servicios RTSP y ONVIF específicos de las cámaras IP.
Conclusión
La calidad del escaneo está determinada principalmente por la calidad de la lista de fabricantes de cámaras de vigilancia; en otras palabras, se requieren más y mejores listas de direcciones MAC, lo que depende completamente de los entusiastas del hacking ético.
Tenga en cuenta que en el archivo vendors.sh se agregaron varios proveedores. Esta información fue obtenida de las siguientes formas:
Datos capturados en lugares donde las cámaras son visibles (tiendas, bancos, etc.)
Buscando en Google términos como “vendedor CCTV encontrado”, “cámara de vendedor encontrada”, etc.
Este material seguro resultará de gran utilidad para investigadores y especialistas en seguridad en redes. Para consultar más trabajos como este, visite las plataformas oficiales del Instituto Internacional de Seguridad Cibernética (IICS).
En este tutorial, los expertos en hacking ético del Instituto Internacional de Seguridad Cibernética (IICS) le mostrarán cómo enviar miles de mensajes SMS de spam a cualquier usuario directamente desde nuestro smartphone empleando solo algunos comandos.
INSTALE TERMUX
Para un funcionamiento estable, deberá usar un sistema Android superior a v4.4. Para Linux, por supuesto, todo es más fácil, debido a que hay más acciones que se realizan desde la consola.
USO DE PROXIES
Los proxies gratuitos caerán rápidamente, mencionan los expertos en hacking ético. Por otra parte, la mayoría de los vendedores que venden proxies privados tienen sus propios sistemas de control de tráfico; al primer indicio de actividad sospechosa, los administradores bloquean el acceso, pero los atacantes profesionales simplemente aumentarán su grupo de direcciones para estos fines.
CONFIGURACIÓN E INSTALACIÓN DE LOS PAQUETES REQUERIDOS
En la línea de comandos de Termux, se ingresan comandos para agregar paquetes y clonar un repositorio con un script Spammer-Grab.
Clear
pkg update
pkg install git
pkg install python
pkg install python2
pip2 install requests
git clone https://github.com/p4kl0nc4t/Spammer-Grab
ls
chmod +x Spammer-Grab
ls
cd Spammer-Grab
ls
chmod 777 spammer.py
A continuación aparecerá la pregunta “¿Desea continuar?”. Respondemos con la letra S y después de un tiempo se instalarán todos los scripts y paquetes necesarios, además de que se establecerán los derechos y todo lo necesario para el adecuado funcionamiento de la herramienta, mencionan los expertos en hacking ético.
EJECUCIÓN DEL SCRIPT
Para lanzar esta herramienta en Android, debe ejecutar el siguiente comando:
python2 spammer.py —delay x —proxy http: //xxx.xx.xx.xx/ 79xxxxxxxxx
Donde —delay x es el retraso en segundos, —proxy es su proxy, luego un espacio y un número de teléfono sin el símbolo más (+).
Si todo se hace correctamente, el script comenzará a funcionar. Para completar el script y deshabilitar el spammer, simplemente puede salir de la aplicación. Para volver a encenderlo, abra Termux e ingrese:
cd Spammer-Grab
Y luego ingrese nuevamente:
python2 spammer.py —delay x —proxy http: //xxx.xx.xx.xx/ 79xxxxxxxxx
Para trabajar en varios hilos simultáneamente, en la terminal, deslice hacia la derecha y Nueva sesión, luego los mismos 2 comandos anteriores, mencionan los expertos en hacking ético.
Un reporte del Departamento de Seguridad Nacional de E.U. (DHS) advierte a las compañías estadounidenses sobre el uso de hardware y servicios digitales desarrollados o vinculados de algún modo con empresas chinas. Los funcionarios consideran que estos productos podrían contener errores de seguridad, backdoors y otros mecanismos de recopilación de datos que serán enviados a los servidores de empresas asiáticas con el fin de obtener ventajas sobre sus competidores en occidente.
Esta práctica, identificada como “robo de datos auspiciado por la República Popular China”, ha expuesto a múltiples compañías en E.U. a diversas amenazas cibernéticas desplegadas desde el gigante asiático: “Las empresas atacantes buscan una ventaja injusta en el mercado global”, menciona Chad F. Wolf, secretario interino de Seguridad Nacional.
Días después, Wolf también mencionó que China representaba “un peligro claro y real” para la democracia en E.U. Este aviso de DHS fue emitido menos de un mes antes del cambio de administración; se espera que el presidente electo Biden nombre a su próximo encargado del DHS en los próximos días. Durante la administración del presidente Trump múltiples funcionarios estadounidenses se han enfocado en la adopción de severas medidas para contrarrestar el crecimiento de la tecnología china en occidente.
Este es un tema que cada vez preocupa más al gobierno de E.U. A mediados de 2020, el director del Buró Federal de Investigaciones(FBI) Christopher Wray mencionó que casi el 50% de todos los casos de contrainteligencia de la agencia estaban relacionados con el robo de tecnología estadounidense perpetrado por compañías y gobierno de China.
En su más reciente aviso, el DHS advierte que estas actividades de espionaje y robo de información también pueden presentarse a través de equipos de terceros comprometidos: “Cualquier individuo o compañía que adquiera servicios de datos de compañías vinculadas al gobierno de China deberá tomar en cuenta los riesgos financieros, de seguridad y, en algunos casos, legales que conlleva trabajar de esta forma”, concluye Wolf.
Los equipos de seguridad de QNAP han lanzado un conjunto de actualizaciones para corregir múltiples vulnerabilidades críticas presentes en sus dispositivos de almacenamiento conectado a la red (NAS) con los sistemas operativos QES, QTS y QuTS hero. En total se corrigieron seis vulnerabilidades en productos para FreeBDS, Linux y ZFS.
Las fallas reportadas permitirían ataques de scripts entre sitios (XSS), inyección de comandos arbitrarios y el compromiso de contraseñas en versiones vulnerables de estos productos.
Los actores de amenazas que abusan de los errores de inyección de comandos también podrían elevar sus privilegios, ejecutar comandos arbitrarios en el dispositivo o aplicación comprometidos e incluso tomar el control del sistema operativo subyacente. Entre las fallas reportadas se incluyen:
CVE-2020-2503: Falla XSS que permitiría a los atacantes remotos inyectar código malicioso en File Station
CVE-2020-2504: Vulnerabilidad de recorrido de ruta absoluta en QES que permite a los atacantes atravesar archivos en File Station
CVE-2020-2505: Esta falla permite a los hackers remotos acceder a la información confidencial en QES mediante la generación de mensajes de error
CVE-2016-6903: Vulnerabilidad de inyección de comandos en QWES que permite a los atacantes remotos ejecutar comandos arbitrarios en Ishell
CVE-2020-2499: Falla de contraseña codificada en QES que permite a los hackers maliciosos iniciar sesión con una contraseña codificada
CVE-2020-25847: Vulnerabilidad de inyección de comandos en QTS y QuTS hero que permitiría a los atacantes ejecutar comandos arbitrarios en aplicaciones comprometidas
Las fallas fueron corregidas en la versión QES 2.1.1 Build 20201006 y posteriores, QTS 4.5.1.1495 Build 20201123 y posteriores, y QuTS hero h4.5.1.1491 Build 20201119 y posteriores. En su reporte, QNAP menciona: “Se recomienda encarecidamente actualizar a la última versión disponible de su sistema para mitigar el riesgo de explotación”.
Expertos en ciberseguridad mencionan que los dispositivos NAS suelen ser objeto de múltiples ataques mediante los cual se trata de robar documentos confidenciales o implementar cargas de malware debido a que usualmente son utilizados para realizar copias de seguridad o como sistemas para compartir archivos. La compañía alertó a sus clientes sobre las fallas detectadas, recomendando que se implementaran las medidas de seguridad adecuadas para prevenir infecciones de malware y otros ataques.
En una redada identificada como “Operación Nova”, las autoridades de países como Alemania, Suiza, Francia y Estados Unidos tomaron el control de los dominios web y la infraestructura completa de tres servicios de red privada virtual (VPN) presuntamente usados por grupos cibercriminales. Después de ser confiscados, los sitios web (insorg.org, safe-inet.com y safe-inet.net) solo muestran un banner de las autoridades correspondientes.
Se cree que estos servicios, activos por más de 10 años, eran controlados por el mismo individuo o grupo, y gozaban de buena reputación en diversos foros de dark web de habla rusa e inglesa. Los usuarios interesados podían acceder a estos servicios por menos de dos dólares al día en promedio.
En un comunicado de Europol y el Departamento de Justicia de E.U. (DOJ) se menciona que estos tres servicios eran utilizados para ocultar las identidades y ubicaciones reales de grupos de phishing, skimming y hacking vinculados a campañas de robo de información. En el informe se menciona que estos eran servicios de hosting a prueba de balas, un término empleado en ciberseguridad para definir a las organizaciones que alojan contenido ilegal en línea.
El DOJ menciona que: “Los servicios de hosting a prueba de balas suelen ignorar cualquier queja de uso abusivo o abiertamente ayudar a sus clientes a evadir la detección de sus direcciones IP, además de no almacenar ninguna clase de registro para que las autoridades no puedan acceder a datos comprometedores de sus usuarios”.
Por su parte, Europol mencionó que se incautaron servidores a lo largo de cinco países en los que estos proveedores de VPN alojaban su contenido. La información obtenida está en proceso de ser analizada para seguir tomando las medidas necesarias contra el cibercrimen organizado.
La Operación Nova fue coordinada por miembros de Europol y dirigida por agentes de la policía alemana de Reutlingen: “La investigación llevada a cabo por nuestros especialistas ha tenido un gran éxito gracias a la excelente cooperación internacional con nuestros colaboradores de todo el mundo; este es un duro golpe para el cibercrimen”, dijo Udo Vogel, presidente de policía de Reutlingen Jefatura de Policía.
Cada día se revelan más y más fallas de seguridad en múltiples marcas de timbres inteligentes (smart doorbells). Un reciente reporte afirma que los dispositivos de nivel consumidor están repletos de vulnerabilidades que exponen a los usuarios al robo de credenciales, fallas de autenticación y demás errores críticos.
En el informe, a cargo de NCC Group, se evaluaron los mecanismos de seguridad en los timbres de tres fabricantes (Victure, Qihoo y Accfly) llegando a conclusiones poco alentadoras: “Las compañías siguen poniendo a la venta dispositivos con múltiples problemas, mismos que se extienden a los dispositivos de imitación, extendiendo el problema a gran escala”, mencionan los expertos.
Los investigadores encontraron toda clase de problemas de seguridad, muchos de los cuales podrían ser explotados con facilidad por los actores de amenazas. Algunas de las fallas más desconcertantes se relacionan con las aplicaciones móviles empeladas para controlar estos dispositivos, demostrando que los posibles ataques son muy variados.
Los expertos analizaron los siguientes modelos:
Victure VD300
Accfly Smart Video Doorbell V5
Qihoo 360 D819 Smart Video Doorbell
También se analizó un dispositivo identificado sólo como Smart WiFi Doorbell, creado con hardware del fabricante YinXx.
Una de las principales fallas fue detectada en el dispositivo Qihoo, que cuenta con un servicio de DNS no documentado que permitiría la entrega de malware al usuario. Por otra parte, los expertos encontraron un servicio HTTP no documentado ejecutándose en el puerto 80 del timbre Victure.
Sobre las apps móviles para controlar estos dispositivos, los expertos descubrieron que la mayoría de estas usan comunicaciones no cifradas: “En algunos dispositivos ni siquiera se aplica o existe HTTPS; la app móvil de Victure incluso solicita un certificado root a través de una solicitud HTTP”. Como sabrá, la ausencia de cifrado permitiría a los actores de amenazas acceder a información confidencial en el dispositivo y la app, incluyendo nombres de usuario, contraseñas o datos de configuración.
Finalmente, los expertos mencionan que prácticamente todos los dispositivos analizados se ven afectados por severas fallas de diseño a nivel de hardware, que comprometería a miles de usuarios, sobre todo de dispositivos clonados.
El robo de canales de Telegram se ha convertido en una amenaza frecuente y completamente real, mencionan especialistas en seguridad móvil del Instituto Internacional de Seguridad Cibernética (IICS). Es necesario estar preparados contra estos ataques, por lo que a continuación le mostraremos qué condiciones conducen a estos escenarios de riesgo.
Abra el archivo con un editor de código y escriba su información en el código (host, inicio de sesión, contraseña de FTP, que recibirá toda la información, mencionan los expertos en seguridad móvil)
Compile el código Python en un archivo exe. Para esto, se usa auto-py-to-exe
https://pypi.org/project/auto-py-to-exe/
Enviamos el .exe terminado a nuestra víctima. Cuando abra su archivo, recibirá 2 archivos .zip en su servidor FTP
Descargue Telegram Portable e inícielo. Abra la carpeta “tdata” que aparecerá en Telegram. Tendrá una carpeta “D877F783D5D3EF8C”; ábrala y reemplace map0 o map1 (debe usar su archivo del servidor tdata.zip)
Abra nuevamente “tdata” – busque el archivo “D877F783D5D3EF8C” y elimínelo. Ahora transferimos un archivo similar desde su tdata1.zip o tdata2.zip
Inicie Telegram Portable. Si todo se ha realizado de la forma correcta, tendremos una sesión robada en nuestras manos.
Este es un hack simple pero muy poderoso, mencionan los expertos en seguridad móvil. Visite el sitio oficial de IICS para consultar más material como este.
El grupo de hackers Pay2Key, presuntamente patrocinado por el gobierno iraní afirma haber comprometido los sistemas de Israeli Aerospace Industries gracias a un conjunto de ciberataques desplegados a lo largo de la semana pasada.
Los hackers también mencionaron que un administrador de sistemas de la compañía subsidiaria Elta expuso su contraseña luego de un ciberataque. ClearSky, firma de ciberseguridad israelí, publicó un informe sobre este grupo de hacking apenas unos días antes del presunto ataque, mencionando que este grupo podría haberse formado por antiguos integrantes del grupo de hacking Fox Kitten.
En su informe, ClearSky menciona que esta campaña es parte de la campaña de ciberguerra emprendida entre Irán e Israel, que ha causado significativos daños a múltiples compañías privadas en ambos países. Los expertos también mencionan que los hackers de Pay2Key publicaron información confidencial en algunos foros de dark web, aunque se desconoce si otros grupos de hacking han accedido a esta información.
Reportes anteriores sobre Pay2Key mencionan que este es un grupo especializado en ataques de ransomware, comprometiendo a múltiples compañías en Israel como parte de una campaña masiva principalmente en Teherán. “Esta campaña es parte de la guerra de información de Irán destinada a crear pánico en Israel y en otros países del mundo”, agregaron los especialistas.
El hackeo de Elta se produjo después de un gran ataque cibernético, también obra de Pay2Key, según ClearSky. Al parecer, los hackers se llevaron información de los servidores de las víctimas para exponerlas en foros de dark web.
El reporte concluye mencionando que al menos 15 empresas más han sido afectadas por esta campaña; aunque los diversos reportes mencionan que Irán es el principal operador del ataque, se cree que al menos cinco países más han participado en estas campañas de ciberguerra.
Por otra parte, hace una semana se reportó que un grupo de hackers logró robar una gran cantidad de datos personales de clientes de la compañía de seguros Shirbit, mismos que aparentemente comenzaron a vender en foros de dark web.
Un reciente reporte de la firma de seguridad Citizen Lab afirma que decenas de periodistas fueron víctimas de una campaña de espionaje en la que sus dispositivos móviles fueron comprometidos con una variante de malware utilizado por estados nación. Los periodistas afectados trabajan para la agencia de noticias Al Jazeera, y habrían sido atacados a través de un ataque de cero clics basado en una vulnerabilidad en iMessage, aplicación de mensajería de dispositivos Apple. Los hackers lograron hackear los smartphones comprometidos sin requerir de interacción de las víctimas.
El reporte menciona que los iPhone comprometidos fueron infectados con Pegasus, el spyware desarrollado por la firma israelí NSO Group. Los investigadores analizaron el dispositivo del periodista Tamer Almisshal y descubrieron que, entre julio y agosto, su iPhone se conectó a los servidores de NSO Group sin explicación aparente. Los expertos creen que los actores de amenazas habrían activado el micrófono de los dispositivos infectados, además de tomar fotos con la cámara, acceder a las contraseñas de las víctimas y rastrear la ubicación de las víctimas.
Características de Pegasus. FUENTE: Citizen Lab
Los expertos afirman que la mayor parte de los ataques habrían sido desplegados por cuatro de los clientes de NSO Group, entre los que se cuentan países como Arabia Saudita o Emiratos Árabes Unidos. No obstante, el claro interés en acceder a los dispositivos de los reporteros de Al Jazeera indica una campaña específica desplegada por un país que no ha sido nombrado.
NSO Group es conocida por sus relaciones con múltiples estados nacionales, a los que proporciona las herramientas necesarias para desplegar complejas campañas de espionaje contra opositores políticos, activistas, periodistas e incluso empresarios. Reportes anteriores indican que países como Arabia Saudita han usado las soluciones de NSO para espiar las comunicaciones de periodistas destacados que han sido víctimas de atentados e incluso han muerto, como es el caso de Jamal Khashoggi.
Los investigadores concluyeron su reporte señalando una “tendencia acelerada de espionaje” contra periodistas y agencias de noticas. Para ello, los atacantes explotan vulnerabilidades poco conocidas en sistemas de comunicaciones, logrando resultados importantes sin que las víctimas puedan detectar indicios de la actividad maliciosa.
Después de recibir constantes solicitudes de información, NSO Group emitió un comunicado en el que desestimaban estos señalamientos, aunque esta es la medida que la compañía implementa cada vez que se le señala por esta conducta.
Día a día se revelan más detalles sobre el severo incidente de seguridad en SolarWinds. Esta vez, un análisis reporta la detección de un backdoor posiblemente desarrollado por un segundo grupo de hacking involucrado en el ataque; identificado como Supernova, este es un webshell inyectado en el código de SolarWinds Orion que permitiría a los actores de amenazas ejecutar código arbitrario en los sistemas que usan la versión comprometida de este producto.
Supernova es una variante “troyanizada” de una biblioteca .NET legítima (app_web_logoimagehandler.ashx.b6031896.dll) usada en SolarWinds Orion. Los actores de amenazas lograron modificar la biblioteca con el fin de evadir los mecanismos de defensa automatizados del sistema objetivo. El software de Orion usa la DLL para exponer una API HTTP, lo que permite al host responder a otros subsistemas cuando solicita una imagen específica en formato GIF.
Matt Tennis, especialista en seguridad a cargo del reporte, menciona que esta variante de malware podría eludir incluso los procesos de análisis manual, pues el código implementado en la DLL legítima es completamente inofensivo. Los hackers agregaron al archivo legítimo cuatro parámetros para recibir señales del C&C malicioso.
El especialista sólo detectó el método DynamicRun, que compila sobre la marcha los parámetros de un ensamblado .NET en la memoria sin dejar artefactos en el disco del dispositivo objetivo.
Los actores de amenazas habrían empleado este método para enviar código arbitrario y ejecutarlo en el contexto del usuario. Ya hay una muestra de este malware disponible en la base de datos de VirusTotal, gracias al trabajo de 69 motores antivirus. Se desconoce por cuánto tiempo ha estado Supernova presente en Orion Platform, aunque los expertos estiman que la herramienta ha estado comprometida al menos desde marzo de este año.
El reporte menciona que Supernova parece haber sido desarrollado por un grupo de hacking avanzado: “La ejecución de código en la memoria hace que Supernova sea una variante muy extraña, pues elimina la necesidad de devoluciones de llamada de red adicionales demás de eliminar solicitudes C&C iniciales”. Los investigadores siguen analizando las muestras de malware recolectadas después del incidente de seguridad en SolarWinds y, aunque parece demasiado pronto para emitir conclusiones, lo más probable es que haya al menos dos grupos de hacking involucrados.
