lunes, 11 de septiembre de 2017

NMapGUI - Grafical User Interface


¡Buenas a todos! Ya estamos de vuelta por aquí, hoy con una versión gráfica de NMap que me ha parecido muy interesante y vistosa.

Se que muchos de vosotros diréis, bah... pudiendo usar la consola o ya existe Zenmap, pero como se suele decir...para gustos colores...😉

NMapGUI by @danielcues

De momento es solo una aplicación comprimida en Java así que solo tenemos que ejecutar el archivo jar o usar el siguiente comando para ejecutarla:

nohup java -jar nmapGUI-0.3.1-snapshot.jar $


NMapGUI añade unas características bastante cómodas a NMap:

  • Ejecución múltiple de comandos.
  • Salida estándar de NMap.
  • Informe HTML de salida NMap.
  • Guardado como XML.
  • Menú muy útil para encontrar la mayoría de opciones de NMap.
  • Iniciar y detener la aplicación web en cualquier momento. 


Espero que os haya parecido tan curiosa y visual como a mi y la probéis. ¡Un saludo y hasta la próxima entrada!

 Fuente: https://github.com/danicuestasuarez/NMapGUI/wiki/Using-NMapGUI
 

viernes, 1 de septiembre de 2017

DarkComet, el troyano usado por gobiernos y ciberdelincuentes durante casi una década.



Como muchos recordaréis fue uno de los troyanos más famosos hace unos años, creado por el francés Jean-Pierre Lesueur en 2008 y hasta que en 2012 retiró el proyecto principalmente por evitar problemas legales y por motivos morales ya que el RAT DarkComet (Remote Access Tool) se ha usado desde gobiernos hasta por ciberdelincuentes de forma masiva.

No por que en 2012 se cerrara el proyecto DarkComet, desapareció, mas bien todo lo contrario, aparecieron webs como https://darkcomet.net/ en la que van por la versión 8.0 (la última oficial era 5.4.1 legacy) cobrando una suscripción mensual de 30$ y varias comunidades mas en la que se ha ido actualizando el software.

Antes de analizar el software vamos a ver los usos que se le ha dado al RAT DarkComet:

    Siria
    En Siria hemos podido ver como año tras año había diferentes campañas por parte del propio gobierno para controlar a sus ciudadanos y disidentes, empezamos en 2011/2012 cuando lanzaron dos herramientas, una para cifrar las conexiones vía Skype y otra apodada AntiHackers, que prometía securizar tu equipo frente a ataques. Pero la función real de estos archivos  era descargar la versión 3.3 de DarkComet. (https://goo.gl/zPiZuS).
    Poco después se encontró oculto en “documentos revolucionarios” la versión 5.0 vinculada también con el gobierno. La misma versión se detecto en perfiles falsos de mujeres que se intentaban ganarse la confianza de los llamados rebeldes sirios enviándoles fotos infectadas.

    Francia
    En 2015 después de los atentados en París en Charlie Hebdo y aprovechando el hastag #JeSuisCharlie de difundió de forma masiva una foto de un bebe que incluía DarkComet, fue detectado rápidamente pero aun así infecto a miles de equipos.

    Dinamarca
    Una campaña de phishing contra las empresas de arquitectura danesas también en el año 2015 infecto a muchas empresas con DarkComet, el troyano iba oculto en un archivo AutoCAD.

Esto es solo un pequeño resumen de algunos de los casos mas sonados, pero la lista no deja de crecer, aun siendo conocido y detectado por casi todos los antivirus sorprende la facilidad con la que sigue infectando.


DarkComet  



En esta imagen podemos ver como es el panel de gestión con un equipo infectado, todo el panel con diferentes opciones muy variadas y la monitorización.

DarkComet es un troyano inverso, esto quiere decir que nosotros somos el cliente y los equipos infectado son los servidores, por lo tanto el archivo que tendrán que ejecutar instalará un servidor para controlarlo remotamente, vamos a ver el editor de servidores que incorpora DarkComet.

Uno de los principales motivos de un uso tan extendido es la facilidad de creación del archivo de instalación del servidor, no hace falta tener unos conocimientos avanzados en informática, prácticamente con unas nociones muy básicas cualquiera puede crearlo.


En las dos primeras capturas podemos ver como tenemos la configuración básica para la conexión, siempre es recomendable cambiar puertos y nombres por defecto ya que por ejemplo el puerto 1604 es conocido por ser usado por troyanos.


Podemos elegir donde queremos instalarlo y que proceso queremos clonar.


Todos los permisos y funciones que nos dejara desactivar a placer, he probado algunas y parece sorprendente que sigan funcionando sin ningún problema.


Opciones para crear falsos cuadros de mensaje con la primera ejecución, a modo de hacer creer que el archivo ha dado error al ejecutarse.


También nos permite configurar una conexión FTP para enviarnos los logs generados por el keylogger que incorpora. Incluso una sección llamada Anti Virtual Box, viendo la siguiente imagen creo que no necesita explicación ;)


Y como no podía faltar un pequeño editor del propio archivo que queremos generar para hacerlo pasar por otro programa.


DarkComet no fue una pionera en este tipo de herramientas apodadas RAT, pero si innovó, sobretodo haciendo las cosas mas fáciles, aunque su creador, Jean-Pierre, nunca pensó en los usos que le podían llegar a dar.

Espero que os haya parecido interesante esta entrada. !Nos vemos en la próxima!


domingo, 23 de julio de 2017

Lanzando exploits con Android sin root [Parte 2]



Lo prometido es deuda y aquí tenéis la parte 2, en esta continuación vamos a realizar un escáner de vulnerabilidades y como lanzar exploits con RouterSploit y alguna opción mas que trae consigo.

Retomamos donde lo dejamos en la Parte 1.

RouterSploit se divide principalmente en 3 módulos:
  • Exploits: encargados de aprovechar las vulnerabilidades.
  • Scanners: Analiza el host que le indiquemos para ver si es vulnerable a los exploits que trae RouterSploit.
  • Creds: este último módulo es el encargado de realizar pruebas de acceso con credenciales por defecto.

Una vez ejecutado nos vamos a encontrar el prompt* de RouterSploit ("rsf >") vamos a ejecutar el modulo Scanners para realizar el escáner al host:


Nos deberia de cambiar el prompt a "rsf (autopwn) >". Después vamos a seleccionar el host objetivo:


Nos marcará que hemos añadido el objetivo con "[+]". Si queremos seleccionar otro puerto podemos introducir show options para ver los modificadores que podemos añadir:




Para lanzar el escáner lo único que tenemos que escribir es run y lanzar el comando.



Y empezará a analizarnos el router.


Es un escáner bastante rápido que apenas tarda 20 segundos, si encontráis alguna vulnerabilidad y queréis aseguraros de comprobar de que es real podemos explotarla con los siguientes comandos.


Podemos volver a verificar poniendo check o lanzarlo con run de nuevo:


Siempre es mas aconsejable probar check que instalar a nuestro router un backdoor y por supuesto actualizar el firmware del router o cambiarlo para mejorar la seguridad.

Espero que os haya parecido interesante este post dividido en dos partes y recordar que aunque a veces nos olvidemos llevamos en nuestros bolsillos unos equipos con unas posibilidades increibles.

!Un saludo y buen verano a todos!

Fuente: null-byte.wonderhowto.com

jueves, 20 de julio de 2017

Lanzando exploits con Android sin root [Parte 1]


Después de un mes de parón volvemos con Android, una app que imagino que mucha gente conocerá pero a mi me pilla de sorpresa y me parece muy interesante y con muchas posibilidades.

GNURoot Debian, es una app destinada a tener un terminal o varios de Debian con prácticamente todas las posibilidades de un equipo real y lo mas importante, sin tener rooteado nuestro teléfono.

Aquí tenéis el link para descargar desde el Google Play Store:

GNURoot Debian - Google Play Store

Otra aplicación que puede complementar muy bien es Fing, básicamente es un escáner de red, también podéis descargarla del Play Store:

Fing - Google Play Store
   


En este post veremos la instalación de RouterSploit, para los que no la conozcan es un framework similar a Metasploit capaz de hacer búsquedas de vulnerabilidades en routers de forma automatizada y una vez encontradas nos permite lanzar los exploits para explotar la vulnerabilidad detectada.

Una vez instalado GNURoot Debian ejecutamos la aplicación y antes de instalar RouterSploit hay que realizar unas instalaciones básicas.

Antes de nada actualizamos Debian, instalamos sudo y la herramienta git para descargarnos el repositorio.





El siguiente paso que debemos realizar es instalar Python, algún complemento mas y el repositorio con RouterSploit:




Ya tendríamos descargado el framework RouterSploit, solo tenemos que irnos a directorio routersploit:



Y ejecutar el script:





No me gusta que los post se alarguen demasiado, así que por hoy lo vamos a dejar aquí, la parte 2 la tendréis disponible este fin de semana con el uso de RouterSploit y la prueba de concepto de como vulnerar un router.

Espero que os haya parecido interesante esta primera parte. ¡Un saludo y hasta dentro de un par de días!

Twitter Facebook Github Digg Favorites Más

 
Blogger Theme by Lasantha