Núm 18 | Agosto 2020 | www.masterhacks.net
Seguridad Cibernética, tutoriales, software, noticias, tecnología
CONTENIDO ARTÍCULOS
Página ¿Cupón de McDonalds en Facebook? ¡Cuidado!, podría tratarse de un troyano bancario
3
¿Los termómetros infrarrojos son malos para la salud?
7
Vulnerabilidad crítica en GRUB2 afecta a millones de sistemas Linux y Windows
39
Hackers podrían realizar ataques aprovechando HTTP/2 para fugas de canal lateral de temporización remota
41
Acoustic Kitty, el proyecto de la CIA para crear un gato espía
45
ACTUALIDAD
Vulnerabilidades Ripple20 ponen en riesgo a millones de dispositivos IoT
5
Citrix lanza parches críticos para 11 vulnerabilidades en sus productos
9
Investigadores aseguran que la aplicación para Android de drones DJI roba información personal
16
La botnet Prometei está explotando vulnerabilidades SMB para extraer criptomonedas
18
WordPress Incluirá la función de mapa de sitio XML incorporada
19
Hackers norcoreanos utilizan malware multiplataforma a nivel mundial
22
Más de 62,000 dispositivos NAS QNAP han sido infectados con el malware QSnatch
24
CONTENIDO Página Acusan a tres personas involucradas en el hackeo de Twitter
34
Detectan malware para Linux en servidores Docker con API expuestas
35
Vulnerabilidades en VPN industriales permiten a hackers atacar infraestructuras críticas
38
TUTORIALES Ley de enfriamiento de Newton en LabVIEW
10
Cómo desinstalar Microsoft Edge desde Windows PowerShell
14
Cómo consultar la temperatura de tu Raspberry Pi en la terminal
26
Cómo obtener los Datos de Servicio de sistemas Dell EMC Unity en Unisphere
30
SOFTWARE Display Driver Uninstaller 18.0.2.7
20
Bloatbox te ayuda a eliminar todo el bloatware de Windows 10, incluidas algunas aplicaciones del sistema
29
DCManyTools Versión 28-07-2020
32
AstroGrep 4.4.7
44
¿Cupón de McDonalds en Facebook? ¡Cuidado!, podría tratarse de un troyano bancario
E
n noviembre del año pasado, ESET detectó una campaña de malware que involucra restaurantes de comida rápida, bancos y demás empresas, y que además utiliza los anuncios de Facebook para propagarse. Se trata del troyano bancario Mispadu, que actualmente está funcionando en Latinoamérica. Este troyano se ha identificado en campañas dirigidas a Brasil y México. Está escrito en Delphi. Debido a que funciona como puerta trasera, Mispadu puede tomar capturas de pantalla, simular acciones de mouse y teclado, capturar las pulsaciones de las teclas y se actualiza a través de un archivo de Visual Basic Script (VBS) que descarga y ejecuta. Al igual que otras piezas de malware como Amavaldo y Casbaneiro, Mispadu puede identificarse mediante el uso de un algoritmo criptográfico único y personalizado, para ofuscar las cadenas en su código.
Aunque para muchos es fácil darse cuenta que es un anuncio falso, por el hecho de que no aparece el check de verificación al lado del nombre de la fanpage al colocar el cursor, y que el dominio no es el correcto, muchas personas podrían caer en la trampa Ahora, desde junio de 2020, se ha popularizado una por la atractiva promoción de pagar 19 pesos por una campaña publicitaria en Facebook que muestra hamburguesa. anuncios con cupones de descuento de McDonalds, como se puede ver en la siguiente imagen: Al dar clic en el botón Más información, se abre una página cuyo dominio cambia a cupon[.]mcdonalds[.] tech. Según los datos de Who.is, el sitio web está creado con Wix, y es una copia idéntica del sitio web original de McDonalds.
Revista Masterhacks | Núm. 18 | www.masterhacks.net | 3
Si se da clic en generar cupón, se descarga un archivo zip con el nombre Cupón-18002.zip, el cual contiene un archivo MSI y otros dos archivos ejecutables de Windows.
En este anuncio auténtico, se puede observar que el dominio del sitio web es el correcto, además, al poner el cursor sobre el nombre McDonald’s de la fanpage, aparece el check de página verificada.
Podría tratarse de una variante del troyano Mispadu, ya que hasta ahora, el archivo ZIP no es detectado por ningún antivirus. Sin embargo, VirusTotal detecta a uno de los archivos con una gran variedad de nombres vistos en la naturaleza, por ejemplo, cvr8bff.tmp.cvr. y que es un producto creado por Mozilla y firmado por la misma compañía y Symantec.
Como el restaurante está emitiendo anuncios con promociones, es muy probable que la gente se confunda y accedan al sitio equivocado, infectándose con el malware. Es necesario tener mucho cuidado en este aspecto y verificar siempre que el dominio del sitio sea el correcto y que la página en Facebook sea la auténtica.
ESET no detecta el malware, probablemente porque el algoritmo SHA1 es distinto al detectado en la campaña del año pasado, lo que sugiere un nuevo método de ofuscación. Es evidente que Facebook no se preocupa por el contenido que muestra en su plataforma, mismo por el cual recibe una remuneración. Hemos contactado a McDonald’s México para saber si están al tanto de esta campaña de malware que involucra su nombre desde hace varios meses y si le interesa emitir algún comunicado al respecto, pero no hubo una respuesta satisfactoria de su parte. Debido al algoritmo de Facebook para mostrar anuncios relevantes, nos apareció un anuncio auténtico de McDonald’s, que se ve así:
Revista Masterhacks | Núm. 18 | www.masterhacks.net | 4
Vulnerabilidades Ripple20 ponen en riesgo a millones de dispositivos IoT
E
l Departamento de Seguridad Nacional y CISA ICS-CERT, advirtieron sobre un problema de seguridad crítica de asesoramiento1, que involucra 19 nuevas vulnerabilidades que afectan a mil millones de dispositivos conectados a Internet fabricados por más de 500 proveedores en todo el mundo. Nombrado como Ripple20, el conjunto de 19 vulnerabilidades reside en una biblioteca de software TCP/ IP de bajo nivel desarrollada por Treck, que de estar armada, podría permitir a los atacantes remotos tener un control completo sobre los dispositivos objetivo, sin requerir ninguna interacción del usuario. JSOF, compañía israelí de seguridad cibernética que descubrió los defectos, afirma que los dispositivos afectados se utilizan en diversas industrias, desde dispositivos domésticos y de consumo, hasta médicos, centros de datos, empresas, telecomunicaciones, petróleo, gas, energía nuclear, transporte y muchos más.
podría permitir a los hackers ejecutar código arbitrario en dispositivos de forma remota, y un error crítico afecta el protocolo DNS. “Las otras 15 vulnerabilidades están en diversos grados de severidad con un puntaje CVSS que varía de 3.1 8.2, y efectos que van desde la denegación de servicio hasta la posible ejecución remota de código”, dice el informe. Treck o los fabricantes de dispositivos repararon algunas fallas de Ripple20 a lo largo de los años debido a cambios en el código y la configuración de la pila, y por la misma razón, muchas de las fallas también tienen variantes que aparentemente no se corregirán en el corto plazo hasta que los proveedores realicen una evaluación integral de riesgos. • CVE-2020-11896 (CVSS v3 base score 10): manejo inadecuado de la inconsistencia del parámetro de longitud en el componente IPv4/UDP cuando se maneja un paquete enviado por un atacante de red no autorizado. Esta vulnerabilidad puede provocar la ejecución remota de código.
“Solo algunos ejemplos: los datos pueden ser robados de una impresora, el comportamiento de una bomba de infusión puede cambiar, o los dispositivos de control industrial pueden funcionar mal. Un • CVE-2020-11897 (CVSS v3 base score 10): maneatacante podría ocultar el código malicioso dentro jo inadecuado de la inconsistencia del parámede los dispositivos integrados durante años”, dijeron tro de longitud en el componente IPv6 cuando los investigadores2. se maneja un paquete enviado por un atacante de red no autorizado. Esta vulnerabilidad podría “Una de las vulnerabilidades podría permitir la enresultar en una posible escritura fuera de los lítrada desde el exterior a los límites de la red. Esto mites. es solo una pequeña muestra de los riesgos potenciales”, agregaron. Existen cuatro vulnerabilidades críticas en la pila Treck TCP/IP, con puntajes CVSS superiores a 9, lo que Revista Masterhacks | Núm. 18 | www.masterhacks.net | 5
• CVE-2020-11898 (CVSS v3 base score 9.8): manejo inadecuado de la inconsistencia de los parámetros de longitud en el componente IPv4/ICMPv4 cuando se maneja un paquete enviado por un atacante de red no autorizado. Esta vulnerabilidad puede provocar la exposición de información confidencial. • CVE-2020-11899 (CVSS v3 9.8): validación de entrada incorrecta en el componente IPv6 cuando se maneja un paquete enviado por un atacante de red no autorizado. Esta vulnerabilidad puede permitir la exposición de información sensible.
ron la falla y el resto siguen evaluando sus productos antes de hacerlo público. “La divulgación se pospuso dos veces después de que algunos de los proveedores participantes solicitaron más tiempo, y algunos de los vendedores expresaron demoras relacionadas con COVID-19. Por consideración a estas compañías, el período de tiempo se extendió de 90 a más de 120 días. Aún así, algunas de las compañías participantes se volvieron difíciles de tratar, ya que hicieron demandas adicionales, y algunas, desde nuestra perspectiva, parecían mucho más preocupadas por la imagen de su marca que por parchear las vulnerabilidades”, dijeron los investigadores.
• CVE-2020-11900 (CVSS v3 9.3): posible doble libre en el componente de túnel IPv4 cuando se maneja un paquete enviado por Debido a que millones de dispositivos no recibirán un atacante de red. Esta vulnerabilidad pue- actualizaciones de parches de seguridad para aborde provocar la ejecución remota de código. dar las vulnerabilidades de Ripple20 en el corto plazo, los investigadores y la ICS-CERT recomendaron a • CVE-2020-11901 (CVSS v3 9.0): validación de en- los consumidores lo siguiente: trada incorrecta en el componente de resolución DNS cuando se maneja un paquete enviado por un Minimizar la exposición de la red para todos los disatacante de red no autorizado. Esta vulnerabilidad positivos y/o sistemas de control y asegurarse de que puede provocar la ejecución remota de código. no sean accesibles desde Internet. Se puede encontrar más detalles para el resto de las vulnerabilidades en un aviso publicado por el gobierno de Estados Unidos.
Ubicar las redes del sistema de control y los dispositivos remotos detrás de los firewall y aislarlos de la red empresarial.
Los investigadores de seguridad cibernética de JSOF, informaron responsablemente sus hallazgos a la compañía Treck, que luego reparó la mayoría de las vulnerabilidades mediante una versión de pila TCP/ IP 6.0.1.67 o superior.
Además, también se recomienda utilizar redes privadas virtuales para conectar de forma segura sus dispositivos a servicios basados en la nube por medio de Internet.
En su asesoría, CISA también pidió a las organizacioLos investigadores también se comunicaron con más nes afectadas que realicen un análisis de impacto y de 500 vendedores de semiconductores y fabrican- una evaluación de riesgos adecuados antes de impletes de dispositivos afectados, incluidos HP, Schnei- mentar medidas defensivas. der Electric, Intel, Rockwell Automation, Caterpillar, Baxter y Quadros, muchos de los cuales reconocie-
Referencias [1] - https://www.kb.cert.org/vuls/id/257161 [2] - https://www.jsof-tech.com/ripple20/
Revista Masterhacks | Núm. 18 | www.masterhacks.net | 6
¿Los termómetros infrarrojos son malos para la salud?
L
a toma de temperatura en cualquier lugar es necesaria para detectar posibles casos de COVID-19, y esto ha causado que el uso de termómetros infrarrojos creciera exponencialmente, pero a su vez, aumentaron los rumores acerca de que este tipo de dispositivos dañan los ojos o el cerebro.
afirma que los dispositivos con forma de pistola funcionan con un sensor infrarrojo que mide la temperatura corporal y no emiten energía. Es decir, no “radian” energía, como dicen los mensajes falsos en redes sociales, contrario a esto, son receptores de señales externas.
La medición se transforma desEn redes sociales circula informa- pués en una señal eléctrica que ción que asegura que el uso de finalmente se refleja en la pantalla termómetros de “pistola”, mata digital del dispositivo. las neuronas o daña las retinas, algo que es totalmente falso. La FDA dice en su sitio web que el uso de este tipo de termómetros “El cuerpo humano emite ondas permite “reducir el riesgo de contérmicas que expanden el calor taminación cruzada y minimizar humano. Lo que tiene el termó- la propagación de enfermedametro es un sensor que atrapa la des”, debido a que son más fáciles modulación de estas ondas y mide de utilizar, limpiar y desinfectar. su frecuencia para interpretarla y reflejarla digitalmente mediante “El sensor lo que hace es medir un software. Así muestra infor- radiación electromagnética, no la mación en grados centígrados o produce”, dijo Antonio Estay, acaFahrenheit, según corresponda. démico de la Universidad de Chile Básicamente se trata de un sen- en el Departamento de Tecnología sor que atrapa la información Médica. que ya está emitiendo el cuerpo”, explica Carlos Govea, instructor Existen termómetros con láser comercial de equipos médicos de Aunque también existen otros terHergom Medical. mómetros con forma de pistola que emiten una señal láser, tamPor otro lado, un manual de usua- poco son dañinos para la salud. rio de uno de estos termómetros,
Según Govea, estos termómetros sólo utilizan la luz del láser como un sensor de distancia, para tomar la medición de una forma más eficaz. “El láser rojo que se utiliza es como una guía para apuntar, no quema, no emite calor. Es lo mismo que se usa en las operaciones de los ojos, lo que se hace con el láser rojo es marcar, pero el que hace el trabajo no es visible siquiera”. La desinformación ha causado que la gente se rehúse a que le tomen la temperatura o que pida que lo hagan en lugares como manos o brazos, lo que también es un error, ya que la temperatura corporal no es uniforme y en algunos lugares la temperatura podría ser menor. Las partes del cuerpo donde se puede obtener una medición de temperatura más exacta son: la frente, oídos, boca y recto. Además, la distancia correcta para realizar la medición es de entre 3 y 5 centímetros. Una variación en estos factores ocasionaría una toma incorrecta de temperatura.
Revista Masterhacks | Núm. 18 | www.masterhacks.net | 7
Citrix lanza parches críticos para 11 vulnerabilidades en sus productos
C
itrix lanzó ayer nuevos parches de seguridad para 11 fallas graves1 que afectan a sus productos de red Citrix Application Delivery Controller (ADC), Gateway y SD-WAN y WAN Optimization Edition (WANOP).
Aunque Citrix no quiso publicar detalles técnicos de las vulnerabilidades, debido a los esfuerzos de los actores maliciosos para aprovechar los parches y la información para realizar ingeniería inversa, los ataques a la interfaz de administración de los productos podrían resultar en un compromiso del sistema por parLa explotación exitosa de las vulnerabilidades te de un usuario no autenticado, o por medio podría permitir a los hackers no autenticados de Cross-Site Scripting (XSS) en la interfaz de realizar inyecciones de código, revelar infor- administración. mación e incluso, realizar ataques de denegación de servicio contra la puerta de enlace Un adversario también podría crear un enlace o los servidores virtuales de autenticación. de descarga para un dispositivo vulnerable, lo que podría comprometer una computadora Citrix confirmó que los problemas menciona- local al ser ejecutada por un usuario no audos no afectan a otros servidores virtuales, tenticado en la red de administración. como el equilibrio de carga y el cambio de contenido de servidores virtuales. Una segunda clase de ataques se refiere a IP virtuales (VIP), que permite a los atacanEntre los dispositivos Citrix SD-WAN y WA- tes montar DoS contra la puerta de enlace o NOP afectados, se incluyen los modelos escanear remotamente los puertos de la red 4000-WO, 4100-WO, 5000-WO y 5100-WO. interna. La compañía también dijo que las vulnerabilidades no estaban conectadas a una falla de “Los atacantes solo pueden discernir si una NetScaler de día cero, previamente corregida conexión TLS es posible con el puerto y no (CVE-2019-19781), que permitía a los atacan- pueden comunicarse más con los dispositites realizar ejecución de código arbitrario sin vos finales”, dijo Citrix. autenticación adecuada. Además, una vulnerabilidad separada en CiTambién mencionó que no hay evidencia de trix Gateway Plug-in para Linux (CVE-2020que los defectos recientemente revelados 8199), puede otorgar privilegios elevados sean explotados en la naturaleza y que las ba- a un usuario local conectado de un sistema rreras para la explotación de estos defectos Linux. sean altas. “De las 11 vulnerabilidades, hay seis posibles rutas de ataque, cinco de ellas tienen barreras para la explotación. Dos de los tres posibles ataques restantes requieren adicionalmente alguna forma de acceso existente. Eso significa efectivamente que un actor malicioso externo primero necesitaría obtener acceso no autorizado a un dispositivo vulnerable para poder realizar un ataque”, dijo el CISO Fermin Serna.
Referencias: [1]- https://www.citrix.com/ blogs/2020/07/07/citrix-provides-context-on-security-bulletin-ctx276688/
Revista Masterhacks | Núm. 18 | www.masterhacks.net | 9
Ley de enfriamiento de Newton en LabVIEW En este tutorial se creará un programa en LabVIEW que realice los cálculos de la Ley de enfriamiento de Newton.
Marco teórico Se denomina enfriamiento newtoniano al proceso de enfriamiento que sigue una ley experimentalmente determinada por Isaac Newton, en la que la velocidad de enfriamiento de un cuerpo cálido en un ambiente más frío Tm, cuya temperatura es T, es proporcional a la diferencia entre la temperatura instantánea del cuerpo y la del ambiente.
La expresión de la ecuación #1 no es del todo precisa y se considera una aproximación válida para pequeñas diferencias entre T y Tm. En todo caso, la expresión es útil para mostrar cómo el enfriamiento de un cuerpo sigue aproximadamente una ley de decaimiento exponencial:
Una formulación más precisa sobre el enfriamiento de un cuerpo en un medio requeriría un análisis del flujo de calor del cuerpo cálido en un medio heterogéneo de temperatura. La aplicabilidad de esta ley simplificada se determina por el valor del número de Biot.
Ecuaciones utilizadas para el desarrollo del programa
• T es la temperatura del objeto (en grados centígrados) • Tm es la temperatura del medio en la que se encuentra el objeto (en grados centígrados) • t es el tiempo en que se enfría o calienta el objeto (en segundos) Ecuación para determinar la temperatura de un objeto en un tiempo determinado:
Ecuación para encontrar la temperatura del medio ambiente donde está el objeto a analizar:
Ecuación para obtener la constante de integración C:
Ecuación para obtener la constante de proporcionalidad K:
Ecuación para encontrar el tiempo transcurrido ante una temperatura determinada:
Dónde: • K es la constante de proporcionalidad Revista Masterhacks | Núm. 18 | www.masterhacks.net | 10
El panel frontal del prototipo del programa en LabVIEW queda de la siguiente forma:
Para que el programa funcione, es necesario cono- de proporcionalidad K. cer los cuatro datos de entrada: temperatura inicial, tiempo final, temperatura después de un tiempo Para hacer el cálculo de la constante de integración, determinado y temperatura ambiente (Ti, Tf, tf, Tm). se calcula el logaritmo natural de la variable r (variable correspondiente de la función nodo de fórmula Con estos datos, el programa calcula la constante de que toma el valor de una operación antes realizada). integración C y la constante de proporcionalidad K. Mismo caso para obtener el tiempo, calculando el loCon un control de temperatura, el usuario puede va- garitmo natural de la variable o, correspondiente a riar la temperatura o el tiempo según se requiera. una operación anterior. El diagrama de bloques queda como se observa en la siguiente imagen.
Con una gráfica, se observa el comportamiento de la temperatura respecto al tiempo transcurrido en segundos. Se puede exportar una tabla de Excel con los datos obtenidos.
Al ejecutar el programa, es necesario activar los botones en la sección “Datos que se conocen”, para tener en cuenta que se tienen los datos necesarios Para enviar los datos a la gráfica, se toman los valores para poder realizar el cálculo. del tiempo de la temperatura y con un build array, se obtiene una salida tipo Array 2D, que se enviará al Los datos conocidos, se ingresan en los controlado- indicador de la gráfica. res numéricos, una vez ingresados los 4 valores, se obtiene la constante de integración C y la constante Revista Masterhacks | Núm. 18 | www.masterhacks.net | 11
Diagrama de bloques
En el caso de los botones de información, se utiliza la función “Display Message to User”, que se habilita con un botón.
Prueba del programa Se tiene el siguiente cuestionamiento como prueba: La temperatura de una taza de café acabada de servir es de 200 °C. Un minuto después, se ha enfriado a una temperatura de 190 °C en una habitación que se encuentra a una temperatura ambiente de 70°C. ¿Cuál es el tiempo que debe transcurrir para que el café alcance una temperatura de 150 °C? Para obtener la constante de integración, se desarrolla la siguiente integral:
Al desarrollar la integral, se obtiene la diferencial de T, después se obtiene el logaritmo natural de la sustracción de T y 70, dejando la constante de integración como incógnita, obteniendo el resultado al completar la integral, en este caso, C = 130. Después, se sustituyen los valores proporcionados en el programa, mediante las ecuaciones proporcionadas anteriormente.
Se puede observar los resultados en el programa al ingresar los datos obtenidos:
Se observa una ligera variaciĂłn en los decimales del resultado final debido a que el programa toma una cantidad diferente de decimales para los cĂĄlculos.
Puedes descargar el VI para ver su funcionamiento en: https://masterhacks.net/ejemplos/Proyecto_ecuaciones.vi
Revista Masterhacks | NĂşm. 18 | www.masterhacks.net | 13
Cómo desinstalar Microsoft Edge desde Windows PowerShell
Microsoft comenzó a distribuir su navegador web basado en Chromium como una actualización (KB4559309), aunque era posible evitar su instalación con la herramienta Edge Blocker1 Toolkit, los usuarios que lo recibieron han reportado que no es posible desinstalarlo como cualquier otro programa. En Configuración> Aplicaciones, el botón de desinstalar se encuentra desactivado, y en Panel de control> Programas y características, no aparece la opción de Desinstalar.
Si eres de los que piensa que tener • Verá el archivo setup.exe un segundo navegador es útil, quizás no te moleste tener Microsoft • No salga de la carpeta InsEdge en tu sistema. Pero el que te taller. Abra PowerShell lo impongan para usarlo y después como administrador. Pueno puedas quitarlo, no es lo misde hacerlo de dos maneras: mo. • Clic en Archivo, Abrir WinDesinstalar Microsoft dows PowerShell> Abrir Edge desde Windows Windows PowerShePowerShell ll como administrador
• Navegue a la ruta: C:\Program • O dentro de la carpeta InstaFiles (x86)\Microsoft\Edge\ ller, en una parte vacía, manApplication tenga presionada la tecla Aunque para muchos, este naveMayus o Shift mientras da gador es más rápido que Google • Ahí encontrarás una carpeta clic derecho, aparecerá ahí la Chrome, por las características con el número actual de la veropción «Abrir la ventana de que se le siguen integrándose, sión de Microsoft Edge, ábraPowerShell aquí» para algunos simplemente es otro la. Después entre a la carpeta navegador web de Microsoft. Installer
Revista Masterhacks | Núm. 18 | www.masterhacks.net | 14
Ahora ingresa el siguiente comando:
Si desea evitar que Microsoft Edge se reinstale, puede leer este artículo: Cómo impedir que Microsoft Edge se instale trás actualizar Windows 102
Referencias:
[1] - https://www.hiberhernandez.com/2019/12/ microsoft-se-prepara-para-lanzar-el-nuevo-edge-a-winDespués de esto, puede instalar dows-10-a-traves-de-winDe igual forma es posible hacerlo Microsft Edge cuando guste. Una dows-update-como-impedirlo/ con el Símbolo del sistema, solo instalación manual de este naveque tiene que ir navegando carpe- gador, evita realizar todos los pa- [2] - https://www.hiberta por carpeta con el comando CD, sos anteriores. hernandez.com/2019/12/ hasta llegar a la carpeta Installer microsoft-se-prepara-pade Microsoft Edge. Es por eso que, ra-lanzar-el-nuevo-edge-a-winWindows PowerShell es la manera dows-10-a-traves-de-winmás rápida aquí. dows-update-como-impedirlo/ setup.exe --uninstall --system-level --verbose-logging --force-uninstall
http://commlink.mx/ https://fb.me/commlinkmexico
Revista Masterhacks | Núm. 18 | www.masterhacks.net | 15
Investigadores aseguran que la aplicación para Android de drones DJI roba información personal
I
nvestigadores de seguridad cibernética revelaron este jueves problemas de seguridad en la aplicación de Android desarrollada por el fabricante chino de drones, Da Jiang Innovations (DJI), que cuenta con un mecanismo de actualización automática que evita Google Play Store y podría usarse para instalar apps maliciosas y transmitir información personal confidencial a los servidores de DJI. Los informes de Synacktiv1 y GRIMM2, especifican que la aplicación Go 4 de DJI para Android, no solo solicita permisos extensos y recopila datos personales (IMSI, IMEI, número de serie de SIM), sino que además, utiliza técnicas de anti depuración y de encriptación para frustrar el análisis de seguridad. “Este mecanismo es muy similar a los servidores de comando y control encontrados con malware. Dados los amplios permisos requeridos por DJI Go 4 (contactos, micrófono, cámara, ubicación, almacenamiento, cambio de conectividad de red), los servidores chinos DJI o Weibo tienen un control casi total sobre el teléfono del usuario”, dijo Synacktiv.
cación no se aplican a su versión de iOS, que no está ofuscada, ni tiene la función de actualización oculta. GRIMM asegura que su investigación se realizó como respuesta a una auditoría de seguridad solicitada por un proveedor de tecnología de defensa y seguridad pública no identificado, que buscaba “investigar las implicaciones de privacidad de los drones DJI dentro de la aplicación Android DJI Go 4”. A su vez, Synacktiv dijo que descubrió la existencia de una URL (“hxxps: //service-adhoc.dji.com/app/ upgrade/public/check”), que utiliza para descargar una actualización de la aplicación y solicitar al usuario que conceda permiso para “instalar aplicaciones desconocidas”. “Modificamos esta solicitud para activar una actualización forzada de una aplicación arbitraria, lo que llevó al usuario primero a permitir la instalación de aplicaciones que no son de confianza, y luego le impidió usar la aplicación hasta que se instaló la actualización”, dijeron los investigadores.
La aplicación de Android tiene más de un millón de No solo es una violación directa de las pautas de instalaciones a través de Google Play Store. Pero las Google Play Store, sino que las implicaciones de esta vulnerabilidades de seguridad identificadas en la apli- función son enormes. Revista Masterhacks | Núm. 18 | www.masterhacks.net | 16
Un atacante podría comprometer el servidor de actualización para apuntar a los usuarios con actualizaciones de aplicaciones maliciosas. Además, la aplicación sigue ejecutándose en segundo plano, aún después de cerrarla, y aprovecha un SDK de Weibo (“com.sina.weibo.sdk”) para instalar una aplicación descargada arbitrariamente, activando la función para los usuarios que optaron por la transmisión en vivo de video de drones a través de Weibo. GRIMM dijo que no encontró evidencia de que fuera explotado para apuntar a personas con instalaciones de aplicaciones maliciosas. Los investigadores también descubrieron que la aplicación aprovecha MobTech SDK para pasar metadatos sobre el teléfono, incluido el tamaño de la pantalla, el brillo, la dirección WLAN, la dirección MAC, los BSSID, las direcciones Bluetooth, los números IMEI e IMSI, el nombre del operador, el número de serie de la SIM, la información de la tarjeta SD, el idioma del sistema operativo, la versión del kernel y la información de ubicación.
Postura de DJI DJI cuestionó la investigación3 y llamó a los hallazgos como “preocupaciones típicas de software”, afirmando que contradice los “informes del Departamento de Seguridad Nacional de Estados Unidos4, Booz Allen Hamilton y otros que no han encontrado evidencia de conexiones inesperadas de transmisión de datos de las aplicaciones de DJI diseñadas para clientes gubernamentales y profesionales”.
En mayo, advirtió a las empresas que sus datos pueden estar en riesgo si utilizan drones comerciales fabricados en China y que “contienen componentes que pueden comprometer sus datos y compartir su información en un servidor al que se accede más allá de la propia empresa”. “Esta decisión deja en claro que las preocupaciones del gobierno de Estados Unidos sobre los drones DJI, que constituyen una pequeña parte de la flota de DOI, tienen poco que ver con la seguridad y, en cambio, son parte de una agenda políticamente motivada para reducir la competencia en el mercado y apoyar el dron producido en el país, independientemente de sus méritos”, dijo la compañía en un comunicado5 en enero.
Referencias [1] - https://www.synacktiv.com/en/publications/ dji-android-go-4-application-security-analysis.html [2] - https://blog.grimm-co.com/2020/07/dji-privacy-analysis-validation.html [3] - https://www.dji.com/newsroom/news/dji-statement-on-recent-reports-from-security-researchers [4] - https://www.auvsi.org/sites/default/files/ DHS%20report.pdf
“No hay evidencia de que alguna vez fueron explo- [5] - https://www.dji.com/newsroom/news/dji-statados, y no se usaron en los sistemas de control de tement-on-us-department-of-interior-drone-order vuelo de DJI para clientes gubernamentales y profesionales. En futuras versiones, los usuarios también podrán descargar la versión oficial de Google Play si está disponible en su país. Si los usuarios no dan su consentimiento para hacerlo, su versión no autorizada de la aplicación se desactivará por razones de seguridad”, dijo la compañía. DJI es el mayor fabricante a nivel mundial de drones comerciales, y se ha enfrentado a un mayor escrutinio junto con otras compañías chinas debido a preocupaciones de seguridad nacional, lo que lleva al Departamento del Interior de Estados Unidos a aterrizar su flota de drones DJI a inicios de enero.
Revista Masterhacks | Núm. 18 | www.masterhacks.net | 17
La botnet Prometei está explotando vulnerabilidades SMB para extraer criptomonedas
S
e ha descubierto una nueva botnet en la naturaleza explotando el protocolo SMB de Microsoft Windows para moverse de forma lateral a través de los sistemas mientras mina criptomonedas de forma encubierta. En un informe , Cisco Talos explicó que el malware Prometei ha estado en funcionamiento desde marzo de 2020. 1
principal. La botnet está organizada en dos ramas de funciones principales: una rama C++ dedicada a las operaciones de minería de criptomonedas, y otra, basada en .NET, que se centra en el robo de credenciales, el abuso de SMB y la ofuscación.
Sin embargo, la rama principal puede operar de forma independiente de la segunda, ya que contiene funcionalidad para coLa nueva red de bots se considera municarse con un C2, robo de crepeligrosa ya que utiliza un sistema denciales y minería de criptomomodular extenso y una variedad nedas. de técnicas para comprometer los sistemas y ocultar su presencia a También se le agregaron módulos los usuarios finales para extraer auxiliares que pueden ser utilizala criptomoneda Monero (XMR). dos por el malware para comunicarse por medio de redes TOR o La cadena de infección de Pro- I2P, para recopilar información del metei comienza con el intento de sistema, verificar puertos abiercompromiso del protocolo de Blo- tos, extenderse a través de SMB y queo de Mensajes de Windows escanear la existencia de cualquier Server (SMB) de una máquina a billetera de criptomonedas. través de vulnerabilidades que incluyen Eternal Blue2. Una vez que un sistema se compromete y se agrega a la red esclaMimikatz y otros ataques de fuer- va, el atacante puede realizar una za bruta se utilizan para buscar, variedad de tareas, como la ejecualmacenar y probar credenciales ción de programas y comandos, el robadas, y las contraseñas descu- lanzamiento de shells de comanbiertas se envían al servidor de co- dos, la configuración de claves de mando y control (C2) del operador cifrado RC4 para comunicación, para su reutilización por “otros apertura, descarga y robo de armódulos que intentan verificar chivos, y lanzamiento de operaciola validez de las contraseñas en nes de minería de criptomonedas, otros sistemas que utilizan pro- entre otras funciones. tocolos SMB y RDP”, según los investigadores. Según los análisis de Cisco Talos En total, la botnet cuenta con más en el módulo de minería, el númede 15 módulos ejecutables que ro actual de sistemas infectados son controlados por un módulo con Prometei está en los “miles
bajos”. La botnet solo ha estado funcionando durante cuatro meses, por lo que las ganancias no son altas actualmente, generando solo 1,250 dólares por mes en promedio. Se han detectado solicitudes del C2 de Prometei en países como Estados Unidos, Brasil, Turquía, China y México. Uno de los servidores C2 fue incautado en junio, pero esto parece no haber tenido ningún impacto material en la operación de Prometei. “Aunque las ganancias de 1250 dólares por mes no parecen ser una cantidad significativa en comparación con otras operaciones cibercriminales, para un desarrollador en Europa del Este, esto proporciona más que el salario mensual promedio para muchos países. Quizás por eso, si miramos las rutas incrustadas a los archivos de la base de datos del programa en muchos componentes de botnet, vemos una referencia a la carpeta C:Work”, dijeron los investigadores. Referencias [1] - https://blog.talosintelligence. com/2020/07/prometei-botnetand-its-quest-for-monero.html [2] - https://blogs.masterhacks. net/noticias/hacking-y-ciberdelitos/detectan-el-primer-ataque-masivo-aprovechando-la-vulnerabilidad-bluekeep/
Revista Masterhacks | Núm. 18 | www.masterhacks.net | 18
Incluirá la función de mapa de sitio XML incorporada
W
ordPress, el sistema de gestión de contenidos más utilizado en el mundo, está recibiendo soporte integrado para mapas de sitio XML. La función se lanzará en la versión 5.5 del CMS a finales de este otoño. Los mapas de sitio XML son archivos especiales que contienen una lista de todas las páginas del sitio, publicaciones de blog, etiquetas y otro contenido. Los motores de búsqueda como Google, Bing, etcétera, utilizan los mapas de sitio para indexar el contenido de una página web, siendo XML el formato más utilizado para los mapas del sitio. Desde su lanzamiento en 2003, WordPress no ha admitido la generación de mapas del sitio, una función que ha dejado disponible para los plugins de terceros.
El desarrollo para agregar soporte incorporado para una función de generación de mapa del sitio en la base del código principal de WordPress, comenzó el año pasado luego de muchas solicitudes de los usuarios en los últimos años. Según el equipo de desarrolladores de WordPress, cada sitio generará un archivo central llamado índice de mapa del sitio, que puede hacer referencia a hasta 50,000 mapas de sitio XML adyacentes, cada uno con hasta dos mil entradas para indexar varios tipos de contenido. “Por defecto, los mapas del sitio se crean para todos los tipos de publicaciones y taxonomías públicas y que se pueden consultar públicamente, así como para los archivos de los autores y, por su puesto, la página de inicio del sitio”, dijo el equipo de WordPress.
Además, los nuevos archivos de mapa de sitio de La mayoría de los administradores de sitios de Wor- WordPress también serán compatibles con los estándPress de hoy en día, suelen utilizar algún plugin SEO dares y formatos utilizados por los principales motoo generador de mapa de sitio para crear un mapa res de búsqueda como Google y Bing, por lo que los XML y agregarlo a los motores de búsqueda y lograr propietarios del sitio pueden tener contenido listo así mejores clasificaciones en los resultados de bús- para indexar una vez que esté disponible. queda. “Con la versión 5.5, WordPress expondrá un índice Referencias de mapa de sitio en /wp-sitemap.xml. Este es el archivo XML principal que contiene la lista de todas [1] - https://make.wordpress.org/core/2020/07/22/ las páginas de mapa de sitio expuestas por un sitio new-xml-sitemaps-functionality-in-wordpress-5-5/ de WordPress”, dijo el equipo de WordPress1. “El archivo robots.txt expuesto por WordPress hará referencia al índice del mapa del sitio para que los motores de búsqueda puedan descubrirlo fácilmente”, agregó. Revista Masterhacks | Núm. 18 | www.masterhacks.net | 19
Display Driver Uninstaller 18.0.2.7
D
DU (Display Driver Uninstaller) es una utilidad de eliminación de controladores que puede ayudarte a desinstalar completamente los controladores y paquetes de tarjetas gráficas AMD/ NVIDIA de tu sistema, sin dejar restos (incluyendo claves de registro, carpetas y archivos, almacén de controladores). Los controladores de video AMD/ NVIDIA normalmente se pueden desinstalar desde el panel de control de Windows, este programa de desinstalación de controladores fue diseñado para usarse en casos en los que falla la desinstalación del controlador estándar, o de todos modos cuando necesita eliminar completamente los controladores de la tarjeta de video NVIDIA y ATI.
Al igual que con cualquier herramienta de este tipo, Registro de cambios: se recomienda crear un nuevo punto de restauración del sistema antes de usarlo, para que pueda • AMD: Soporte agregado para Adrenalin 20.7.1 revertir su sistema en cualquier momento si tiene • Vulkan: Eliminado una clave de registro que alproblemas. gún controlador de NVIDIA agregado podía causar algunos problemas al cambiar a AMD. • Realtek: Se agregaron archivos ASIO/eliminación Uso recomendado de claves de registro. • La herramienta se puede usar en modo Nor- • INTEL (DCH): la eliminación de los paneles de control Intel de Microsoft Store es opcional. mal, pero para una estabilidad absoluta cuando se usa DDU, Safemode es siempre el mejor. • Nuevo argumento de línea de comando: -RetireINTELCP. • Haga una copia de seguridad o una restauración del sistema (pero normal- Registro de cambios oficial en: https://www. mente debería ser bastante seguro). wagnardsoft.com/content/display-driver-uninstaller-ddu-v18027-released • Es mejor excluir completamente la carpeta DDU de cualquier softwa- Descarga: https://www.wagnardsoft.com/forums/ re de seguridad para evitar problemas. viewtopic.php?f=5&t=3202
Revista Masterhacks | Núm. 18 | www.masterhacks.net | 20
Impresión 3D CAD o ñ e Dis
Impresi ón en serie
Envío a toda la República Mexicana
Imprimimos tus ideas en 3D, a partir de tu diseño o de ser necesario, hacemos el diseño de la pieza que desees Envía un correo para solicitar una cotización contacto@masterhacks.net
Hackers norcoreanos utilizan malware multiplataforma a nivel mundial
L
azarous Group, el famoso grupo de hackers con vínculos con el régimen norcoreano, está detrás de un nuevo marco de malware multiplataforma, con el objetivo de infiltrarse en entidades corporativas de todo el mundo, robar bases de datos de clientes y distribuir ransomware. El marco de malware MATA, llamado así por la referencia de los autores a la infraestructura como “MataNet”, capaz de apuntar a los sistemas operativos Windows, Linux y MacOS, cuenta con una amplia gama de características diseñadas para llevar a cabo una variedad de actividades maliciosas en las máquinas infectadas.
Después, en mayo, Jamf y Malwarebytes3 descubrieron una variante para macOS de Dacls, que se distribuyó por medio de una aplicación de autenticación de dos factores troyanizada. En el último desarrollo, la versión para Windows de MATA, consiste en un cargador utilizado para activar una carga útil cifrada de la siguiente etapa: un módulo orquestador (lsass.exe), capaz de cargar 15 complementos adicionales al mismo tiempo y ejecutarlos en la memoria.
Los complementos en sí mismos son ricos en funciones, con características que permiten que el malware manipule archivos y procesos del sistema, inyecte arLa campaña MATA comenzó a inicios de abril de chivos DLL y cree un servidor proxy HTTP. 2018, con la victimología rastreada a compañías no identificadas en el desarrollo de software, comercio Los complementos MATA también permiten a los pielectrónico y sectores de proveedores de servicios ratas informáticos apuntar a dispositivos de red sin de Internet ubicados en Polonia, Alemania, Turquía, disco basados en Linux, como enrutadores, firewalls Corea, Japón e India, según dijo Kaspersky1. o dispositivos IoT, y sistemas macOS al enmascararse como una aplicación 2FA llamada TinkaOTP, que se El informe ofrece una versión digital del marco MATA, basa en una aplicación de autenticación de dos facal mismo tiempo que se basa en evidencia previa re- tores de código abierto llamada MinaOTP. copilada por investigadores de Netlab 360, Jamf y Malwarebytes en los últimos ocho meses. Una vez que se implementaron los complementos, los hackers intentaron localizar las bases de datos de 2 En diciembre pasado, Netlab360 reveló un troya- la empresa comprometida y ejecutar varias consulno de administración remota (RAT), completamen- tas de la base de datos para obtener los detalles del te funcional llamado Dacls, dirigido a plataformas cliente. Linux y Windows, que compartían infraestructura clave operada por Lazarous Group. Revista Masterhacks | Núm. 18 | www.masterhacks.net | 22
Aún no está muy claro si tuvieron éxito en sus inten- electrónico de Estados Unidos y Europa para plantar to. Además, los investigadores de Kaspersky dijeron skimmers de pago basados en JavaScript. que se utilizó MATA para distribuir el ransomware VHD a una víctima anónima.
Referencias
Kaspersky informó que vinculó MATA con el Grupo Lazarus basándose en el formato de nombre de archivo [1] - https://securelist.com/mata-multi-platform-tarúnico que se encuentra en el orquestador (“c_2910. geted-malware-framework/97746/ cls” y “k_3872.csl”), que se ha visto anteriormente en algunas variantes del malware Manuscrypt4. [2] - https://blog.netlab.360.com/dacls-the-dualplatform-rat-en/ Lazarus Group, patrocinado por el estado, también conocido como Hidden Cobra o APT38, se ha rela- [3] - https://blog.malwarebytes.com/threat-analycionado con muchas ofensivas cibernéticas impor- sis/2020/05/new-mac-variant-of-lazarus-dacls-rattantes, como el ataque a Sony Pictures en 2014, el distributed-via-trojanized-2fa-app/ hackeo bancario SWIFT en 2016 y la infección del ransomware WannaCry en 2017. [4] - https://us-cert.cisa.gov/ncas/analysis-reports/ Recientemente, el grupo agregó el skimming web a ar20-133a su repertorio, apuntando a sitios web de comercio
Revista Masterhacks | Núm. 18 | www.masterhacks.net | 23
Más de 62,000 dispositivos NAS QNAP han sido infectados con el malware QSnatch
A
gencias de seguridad cibernética del Reino Unido y Estados Unidos, publicaron hoy una alerta de seguridad conjunta acerca de QSnatch, una variante de malware que ha estado infectando dispositivos de almacenamiento conectado a la red (NAS) del fabricante taiwanés QNAP. En las alertas de la Agencia de Seguridad Cibernética e Infraestructura de Estados Unidos1 (CISA), y el Centro Nacional de Seguridad Cibernética2 (NCSC) de Reino Unido, ambas agencias afirman que los ataques con el malware QSnatch se remontan a 2014, pero los ataques se intensificaron durante el último año cuando el número de infecciones reportadas aumentó de 7000 en octubre de 2019, a más de 62 mil a mediados de junio de 2020.
“La primera campaña probablemente comenzó a inicios de 2014 y siguió hasta mediados de 2017, mientras que la segunda comenzó a fines de 2018 y todavía seguía activa a fines de 2019”, dijeron las agencias.
Capacidades del malware QSnatch CISA y NCSC informan que las dos campañas utilizaron diferentes versiones del malware QSnatch, también rastreado bajo el nombre de Derek. La alerta conjunta se centra en la última versión, utilizada en la campaña más reciente. Según los informes, la nueva versión de QSnatch tiene un conjunto mejorado y amplio de características que incluyen funcionalidades para módulos como:
De estos reportes, CISA y NSCS aseguran que aproximadamente 7,600 de los dispositivos infectados se • Registrador de contraseña CGI: Instala una verencuentran en Estados Unidos, mientras que unos sión falsa de la página de inicio de sesión de ad3,900 se encuentran en Reino Unido. ministrador de dispositivo, registra autenticaciones exitosas y las pasa a la página de inicio de sesión legítima. • Raspador de credenciales. • Puerta trasera SSH: Esto permite al atacante ejecutar código arbitrario en un dispositivo. • Exfiltración: Al ejecutarse, QSnatch roba una lista predeterminada de archivos, que incluye configuraciones del sistema y archivos de registro. Estos se cifran con la clave pública del actor y se envían a su infraestructura por medio de HTTPS. • Funcionalidad de shell web para acceso remoto.
Revista Masterhacks | Núm. 18 | www.masterhacks.net | 24
Sin embargo, aunque los investigadores de CISA y de NCSC lograron analizar la versión actual del malware QSnatch, dicen que aún no saben exactamente cómo el malware infecta inicialmente los dispositivos.
Las agencias recomiendan a las compañías y usuarios domésticos que utilizan dispositivos QNAP, seguir los pasos para remediar y mitigar los ataques, enumerados en la página de soporte del proveedor3.
Los hackers podrían estar explotando vulnerabilidades en el firmware QNAP o podrían estar utilizando contraseñas predeterminadas para la cuenta de administrador, sin embargo, no se ha podido verificar esto.
Omitir la eliminación del malware significa permitir a los hackers el uso de una puerta trasera en las redes de la empresa y acceso directo a los dispositivos NAS.
Una vez lograda la infección, los investigadores afirman que QSnatch se inyecta en el firmware, desde donde toma el control total del dispositivo y bloquea futuras actualizaciones del firmware para permanecer en la NAS víctima.
Referencias [1] - https://us-cert.cisa.gov/ncas/alerts/aa20-209a [2] - https://www.ncsc.gov.uk/news/legacy-risk-malware-targeting-qnap-nas-devices
Según la alerta conjunta, la infraestructura del servidor del grupo QSnatch que se utilizó en la segunda [3] - https://www.qnap.com/en/security-advisory/ serie de ataques, está ahora inactiva, pero las infec- nas-201911-01 ciones de QSnatch aún siguen activas en Internet y dispositivos infectados.
Revista Masterhacks | Núm. 18 | www.masterhacks.net | 25
Cómo consultar la temperatura de tu Raspberry Pi en la terminal
S
i requieres monitorear la temperatura de tu Raspberry Pi con el fin de verificar que no se esté calentando demasiado, puedes hacer fácilmente en Raspbian desde la terminal.
Si tienes tu Raspberry Pi en una carcasa, con sus disipadores y ventilador, no deberías tener problemas de temperatura, en estas condiciones, podría mantenerse una temperatura entre 35 y 45 grados centígrados. Sin embargo, si realizas tareas que requieran mucha potencia, entonces podría incrementarse la temperatura. Si de pronto te aparece un termómetro en la esquina superior derecha, marcando la mitad en rojo, significa que tu placa está entre 80 y 85 grados centígrados, si aparece completamente lleno, significa que supera los 85 grados centígrados. Entonces, pasa saber a qué temperatura se encuentra tu Raspberry, solo teclea el siguiente comando en la terminal de Linux: vcgencmd measure_temp
También es posible ver la temperatura y frecuencia cada segundo, utilizando el siguiente comando: watch -n 1 “vcgencmd measure_clock arm; vcgencmd measure_temp” Aquí, el número 1 es la cantidad de segundos en la que se actualizará la información.
Revista Masterhacks | Núm. 18 | www.masterhacks.net | 26
Si tu Raspberry es antigua, posiblemente tendrás que agregar una ruta al comando: /opt/vc/bin/vcgencmd measure_temp Ahora, si te interesa algo más gráfico, es posible crear una gráfica en la barra de tareas. Para esto, damos clic secundario en la barra y seleccionamos “Añadir/quitar elementos del panel”. Nos dirigimos a la pestaña Miniaplicaciones del panel y damos clic en el botón Añadir.
En la ventana que se abrirá, damos doble clic sobre CPU Temperature Monitor. Cerramos las preferencias del panel y podremos observar la temperatura en la esquina superior derecha.
Revista Masterhacks | Núm. 18 | www.masterhacks.net | 27
Bloatbox te ayuda a eliminar todo el bloatware de Windows 10, incluidas algunas aplicaciones del sistema
A
Microsoft no le importa si te agradan o no las aplicaciones que integran junto a Windows 10, todo ese bloatware siempre han sido innecesario, al menos para mí; aunque supongo que no para todos los usuarios.
Aunque es posible desinstalar algunas de las aplicaciones que ya vienen integradas en Windows 10, la mayoría no se pueden quitar del sistema, y es ahí en donde se utilizan programas de terceros.
Bloatbox desinstala aplicaciones de
Existen algunas herramientas gratuitas para deshacerse de todas esas aplicaciones que vienen pre-in- Windows 10 integradas y taladas en Windows 8 y Windows 10, por ejemplo, patrocinadas. GeekUninstaller, Iobit Uninstaller Portable, Revo Uninstaller, O&O AppBuster, BCUninstaller, scripts De los creadores de Cleanmgr+, de la obsoleta herraejecutados mediante PowerShell hacen bien el tra- mienta Windows Debotnet y de muchas otras utilebajo, entre otros. rías, Mirinsoft ha creado Bloatbox1.
Bloatbox es una herramienta portatil, pequeña, gratuita y de código abierto, que, en un principio fue diseñada como una extensión para Spydish (otra herramienta de Mirinsoft), da la posibilidad a los usuarios de desinstalar las aplicaciones del sistema y las de Windows 10.
Uso de Bloatbox Aunque su uso es muy simple. Aquí enumeramos los pasos de forma resumida: • Del panel izquierdo, seleccione una por una cada aplicación o mantenga presionada la tecla Mayus para seleccionar varias. Después de clic de “Add selected” para agregar las aplicaciones seleccionadas o “Add all” para agregar todas las aplicaciones. • Ahora, de clic en “Uninstall” para desinstalar las aplicaciones seleccionadas. • La herramienta te mostrará una ventana de confirmación. Acepta si estás seguro para proceder con la desinstalación.
Bloatbox te da la opción de mostrar las aplicaciones del sistema. Eso lo encuentras en el panel izquierdo de la pantalla, en el botón “Show System apps”. Por ejemplo, Microsoft Edge aparecerá ahí, y podrás quitarlo. Se recomienda crear una copia de seguridad antes de desinstalar cualquier aplicación, para evitar “romper” alguna funcionalidad del sistema. Puedes descargar Bloatbox desde nuestro sitio web de descargas, o desde Mirinsoft2, el sitio web oficial.
Referencias [1] - https://github.com/builtbybel/bloatbox/releases/tag/0.12.0
Si deseas quitar una aplicación de la lista de selección, da clic en “Remove selected”, ahora esa aplica- [2] - https://www.mirinsoft.com/ ción no se desinstalará. Revista Masterhacks | Núm. 18 | www.masterhacks.net | 29
Cómo obtener los Datos de Servicio de sistemas Dell EMC Unity en Unisphere
L
os sistemas de almacenamiento digital Dell EMC Unity, cuentan con una consola web llamada Unisphere, en la que se puede observar la configuración del sistema, ver alarmas, espacio de almacenamiento, entre otras funciones.
Al iniciar sesión, veremos el dashboard, donde podremos observar la salud en general del sistema. Para obtener los logs, nos dirigimos al menú del lado izquierdo, en SYSTEM, y damos clic en Service.
En este panel, se pueden obtener los logs completos del sistema, también llamados Service Data, para poder observar qué alarmas o fallas se tienen y en qué fecha se registraron. Para esto, es necesario acceder a Unisphere desde tu navegador web, tecleando la dirección IP asignada al sistema SAN.
Damos clic en la pestaña Service Tasks y nos aseguramos que Collect Service Information esté seleccionado y damos clic en Execute.
Iniciamos sesión en Unisphere (si no cuentas con las credenciales de inicio de sesión, debes contactar al proveedor para solicitarlas).
Revista Masterhacks | Núm. 18 | www.masterhacks.net | 30
Ahí veremos los logs creados, si queremos informa- No es necesario mantener abierta la ventana, puedes ción nueva, tendremos que crear un Service Data cerrar sesión y la tarea se seguirá ejecutando, luego nuevo, dando clic en el signo +. podrás descargar el archivo cuando vuelvas a iniciar sesión. En caso de no tener acceso a Unisphere, puedes realizar la acción por medio de comandos, como lo especifica esta guía de EMC1.
Referencias
Damos clic en Full Collect y veremos un mensaje que dice Job Create. Esperamos el tiempo necesario, que puede variar dependiendo del tamaño del sistema y se descargará automáticamente un archivo .tar con la información requerida.
[1] - https://blogs.masterhacks.net/wp-content/ uploads/2020/01/KB_How_To_Printable_PDF.pdf
Revista Masterhacks | Núm. 18 | www.masterhacks.net | 31
DCManyTools Versión 28-07-2020
Y
a está disponible la nueva versión de DCManyTools, la navaja suiza de todo técnico informático, con más de 500 utilidades para diversas versiones de Microsoft Windows.
“DCManyTools es un explorador de archivos basado en DoubleCommander que cuenta con más de 500 herramientas gratuitas y portables para sistemas operativos con Windows 7, Windows 8 y Windows 10”, dice el sitio web oficial1. El desarrollador, Hiber Hernández2, anunció algunos cambios importantes en el software, entre estos, la actualización de algunas herramientas como: • • • • • • • • • • • • • • • • • • •
AnyBurn Rufus WinBINIso Windows-ISO-Downloader WinNTSetup grepWin Dism++ DontSleep FileRenamer StopUpdates10 Sumo Winaero Tweaker Windows Repair Toolbox Pictor WinScan2PDF Edge Blocker Filezilla 3D Youtube Downloader MegaDownloader
• • • • • • • • • • •
Pale Moon TeamViewer CrystalDisklnfo GPU-Z HWiNFO IsMyLcdOK System Information Viewer (SIV) Bulk Crap Uninstaller (BCUninstaller) BlankAndSecure BleachBit CCleaner
Entre otras. Puedes ver el listado completo de actualizaciones en sitio de registro de cambios3. Una vez descargado, lo ejecutas y extraes la carpeta en la ubicación que prefieras. Luego ejecutas el archivo DoubleCommander.exe. Una vez abierta la herramienta, en la barra de menú podrás encontrar distintos iconos que corresponden a las aplicaciones, configuraciones, scripts y accesos directos, que al darles clic, comienza un breve proceso de descompresión para abrir el programa, o en su defecto, abrir el navegador web o asistente de configuración. La ventana principal de Double Commander muestra un administrador de archivos, con el que podrás trabajar para explorar todos tus archivos y carpetas de todas las unidades de tu computadora.
Revista Masterhacks | Núm. 18 | www.masterhacks.net | 32
En el menú, podremos encontrar los accesos a todas Referencias las utilidades con las que cuenta DCMT, que son más de 500, que van desde scripts y configuraciones para [1] - https://www.hiberhernandez.com/dcel sistema, hasta software gratuito y de código abier- manytools/software/dcmt/ to. [2] - https://www.hiberhernandez.com “DCManyTools integra herramientas para CD/DVD/ USB/, Administrador de archivos, Herramientas del [3] - https://www.hiberhernandez.com/dcsistema, Imagen y diseño, Herramientas para Inter- manytools/changelog/ net, Información del sistema y Hardware, Limpieza y optimización, Multimedia, Procesos y registro, Programación y editores de texto, Recuperación de archivos, Recuperación de contraseñas, Respaldo y drivers, Seguridad y antivirus, Systernals, Suite de NirSoft y Juegos”.
Revista Masterhacks | Núm. 18 | www.masterhacks.net | 33
Acusan a tres personas involucradas en el hackeo de Twitter
T
res personas fueron acusadas este viernes por sus presuntos roles en el hackeo de Twitter1 ocurrido el pasado 15 de julio, según informó el Departamento de Justicia de Estados Unidos. Mason Sheppard, alias “Chaewon”, de 19 años de edad, de Bognor Regis, Reino Unido, fue acusado en una denuncia penal en el Distrito Norte de California por conspiración para cometer fraude electrónico, conspiración para cometer lavado de dinero y acceso intencional a una computadora protegida. Nima Fazeli, alias “Rolex”, de 22 años, de Orlando, Florida, fue acusada en una denuncia penal en el Distrito Norte de California por ayudar e instigar el acceso intencional de una computadora protegida. El tercer acusado es un menor de edad. Con algunas excepciones, los procedimientos de menores en un tribunal federal están sellados para proteger la identidad del menor.
“De conformidad con la Ley Federal de Delincuencia Juvenil, el Departamento de Justicia ha remitido a la persona al Fiscal del Estado para el 13° Distrito Judicial en Tampa, Florida”, dice el comunicado2 del Departamento de Justicia.
estafaron tanto a los usuarios de la cuenta como a otras personas que enviaron dinero en base a sus solicitudes fraudulentas. La rápida investigación de esta conducta es un testimonio de la experiencia de nuestros investigadores, nuestro compromiso de responder rápidamente a los ataques ciber“Existe una falsa creencia dentro néticos y las estrechas relaciones de la comunidad de hackers crimi- que hemos establecido con los nales de que los ataques como el socios de las fuerzas del orden en hackeo de Twitter pueden perpe- todo el mundo”, dijo el Secretario trarse anónimamente y sin con- de Justicia Auxiliar Interino, Brian secuencias. El anuncio de la acu- C. Rabbit de la División Criminal sación de hoy demuestra que la del Departamento de Justicia. euforia de la piratería nefasta en un entorno seguro por diversión o «Al abrir una investigación sobre beneficio será de corta duración. este ataque, nuestros investigaLa conducta criminal en Internet dores trabajaron rápidamente puede parecer sigilosa para las para determinar quién era respersonas que la perpetran, pero ponsable y localizar a esas perno hay nada sigiloso al respecto. sonas. Si bien las investigaciones En particular, quiero decirle a los sobre infracciones cibernéticas a posibles delincuentes, violen la veces pueden llevar años, nuesley y los encontraremos”, dijo el tros investigadores pudieron defiscal federal David L. Anderson tener a estos hackers en cuestión para el Distrito Norte de Califor- de semanas. Independientemente nia. de cuánto tiempo nos lleve identificar a los hackers, seguiremos la “Los piratas informáticos supues- evidencia hasta donde nos lleve, tamente comprometieron más de y en última instancia, responsabi100 cuentas de redes sociales y lizaremos a los responsables de Revista Masterhacks | Núm. 18 | www.masterhacks.net | 34
las intrusiones cibernéticas por sus acciones. Los ciberdelincuentes no encontrarán refugio detrás de sus teclados”, dijo el Agente Especial del FBI de San Francisco, John F. Bennett.
to de Estados Unidos, Oficina de Campo de San Francisco.
Según las quejas, el ataque de Twitter consistió en una combinación de infracciones técnicas e ingeniería social. El resultado del hackeo “El anuncio de hoy demuestra fue el compromiso de aproximaque los cibercriminales ya no pue- damente 130 cuentas de Twitter den esconderse detrás del anoni- pertenecientes a políticos, celemato global percibido. El Servi- bridades y músicos. cio Secreto sigue comprometido a perseguir a los responsables Los hackers crearon una billetera del fraude cibernético y seguirá Bitcoin fraudulenta, robaron el acresponsabilizando a los ciberde- ceso a cuentas verificadas de Twitlincuentes por sus acciones. Esta ter, enviaron solicitudes de dichas investigación es un testimonio de cuentas con la falsa promesa de las sólidas alianzas entre el Servi- duplicar los depósitos de bitcoin cio Secreto, la Oficina del Fiscal de realizados en la cuenta y luego roEstados Unidos, el FBI, el IRS, así baron los bitcoin que las víctimas como nuestros socios policiales enviaron. estatales, locales e internacionales”, dijo Thomas Edwards, Agen- El caso sigue en investigación por te Especial a Cargo, Servicio Secre- la División de San Francisco del
FBI, con asistencia de la Unidad de Investigación Cibernética del IRS, el Servicio Secreto de Estados Unidos, entre otras agencias.
Referencias [1] - https://blogs.masterhacks. net/noticias/criptomonedas/hackean-cuentas-de-twitter-de-empresas-y-personalidades-como-bill-gates-y-elon-musk-para-estafa-con-bitcoin/ [2] - https://www.justice.gov/ usao-ndca/pr/three-individuals-charged-alleged-roles-twitter-hack
Detectan malware para Linux en servidores Docker con API expuestas
I
nvestigadores de seguridad cibernética descubrieron un malware para Linux1 completamente indetectable, que explota técnicas indocumentadas para permanecer bajo el radar y apuntar a servidores Docker de acceso público alojados en plataformas de nube populares, incluidas AWS, Azure y Alibaba Cloud.
Según la última investigación de Intezer2, una campaña de bots de minería de Ngrok que escanea Internet en busca de puntos finales de API Docker mal configuradas, ya ha infectado muchos servidores vulnerables con el nuevo malware.
Aunque la botnet de minería Ngrok ha estado activa por los últimos dos años, la nueva campaña se Docker es una solución popular de plataforma como centra principalmente en tomar el control de los servicio (PaaS), para Linux y Windows, diseñada para servidores Docker mal configurados y explotarlos facilitar a los desarrolladores la creación, prueba y para configurar contenedores maliciosos con criptoejecución de sus aplicaciones en un entorno aislado mineros que se ejecutan en la infraestructura de las llamado contenedor. víctimas. Revista Masterhacks | Núm. 18 | www.masterhacks.net | 35
Nombrado Doki, el nuevo malware multiproceso aprovecha un “método no documentado para contactar a su operador al abusar de la cadena de criptomonedas Dogecoin de una forma única para generar dinámicamente su dirección de dominio C2 a pesar de que las muestras estén disponibles de forma pública en VirusTotal”. Según los investigadores, el malware: • Fue diseñado para ejecutar comandos recibidos de sus operadores • Utiliza un explorador de bloques de criptomonedas Dogecoin para generar su dominio C2 en tiempo real de forma dinámica • Utiliza la biblioteca embedTLS para funciones criptográficas y comunicación de red • Crea URL únicas con una vida útil corta y las usa para descargar cargas útiles durante el ataque “El malware utiliza el servicio DynDNS y un Algoritmo de Generación de Dominio (DGA) único basado en la cadena de bloques de criptomonedas Dogecoin para encontrar el dominio de su C2 en tiempo real”. Además, los atacantes detrás de la nueva campaña, también lograron comprometer las máquinas host al vincular los contenedores recién creados con el directorio raíz del servidor, lo que les permite acceder o modificar cualquier archivo en el sistema.
groso debido al hecho de que el atacante usa técnicas de escape de contenedores para obtener el control total de la infraestructura de la víctima”. Una vez hecho, el malware también aprovecha los sistemas comprometidos para escanear aún más la red en busca de puertos asociados con Redis, Docker, SSH y HTTP, utilizando una herramienta de escaneo como zmap, zgrap y jq. Doki logró permanecer bajo el radar durante más de seis meses a pesar de haber sido cargado en VirusTotal el 14 de enero de 2020, y escaneado varias veces desde entonces. Sorprendentemente, hasta ahora no es detectable por 60 principales motores de detección de malware. A fines del mes pasado, se encontraron actores maliciosos apuntando a puntos finales expuestos de la API de Docker e imágenes infestadas de malware para facilitar ataques DDoS y minar criptomonedas.
Referencias [1] - https://www.virustotal.com/gui/file/4aadb47706f0fe1734ee514e79c93eed65e1a0a9f61b63f3e7b6367bd9a3e63b/detection [2] - https://www.intezer.com/container-security/ watch-your-containers-doki-infecting-docker-servers-in-the-cloud/
“Al usar la configuración de enlace, el atacante puede controlar la utilidad cron del host. El atacante modifica el cron del host para ejecutar la carga útil descargada cada minuto. Este ataque es muy peliRevista Masterhacks | Núm. 18 | www.masterhacks.net | 36
I
Vulnerabilidades en VPN industriales permiten a hackers atacar infraestructuras críticas
nvestigadores de seguridad cibernética descubrieron vulnerabilidades críticas en las implementaciones de VPN industriales utilizadas principalmente para proporcionar acceso remoto a redes de tecnología operativa (OT), que podrían permitir a los hackers sobrescribir datos, ejecutar código malicioso y comprometer los sistemas de control industrial (ICS). Un nuevo informe publicado por la compañía de seguridad cibernética industrial, Claroty1, demuestra múltiples vulnerabilidades graves en instalaciones VPN de nivel empresarial, incluido el servidor Secomea GateManager M2M, Moxa EDR-G902 y EDR-G903, y el cliente eCatcher VPN de HMS Networks eWon. Estos productos vulnerables se utilizan ampliamente en industrias basadas en el campo, como el petróleo y gas, los servicios públicos de agua y los servicios eléctricos para acceder, mantener y monitorear remotamente ICS y dispositivos de campo, incluidos controladores lógicos programables (PLC) y dispositivos de entrada/salida.
Según los investigadores de Claroty, la explotación exitosa de las vulnerabilidades puede brindar a un atacante no autenticado acceso directo a los dispositivos ICS y potencialmente causar daño físico. En GateManager de Secomea, los investigadores descubrieron múltiples fallas de seguridad, incluida una vulnerabilidad crítica (CVE2020-14500) que permite sobrescribir datos arbitrarios, ejecutar código arbitrario o causar una
condición DoS, ejecutar comandos como root y obtener contraseñas de usuario debido al uso de un tipo de hash débil.
Los investigadores de Claroty también probaron eCatcher de HMS Networks, un cliente VPN patentado que se conecta al dispositivo eWon VPN de la compañía, y GateManager es un servidor de descubrieron que el producto es acceso remoto ICS ampliamente vulnerable a un desbordamiento utilizado implementado en todo de búfer crítico basado en pila el mundo como una solución SaaS (CVE-2020-14498), que puede exbasada en la nube, que permite a plotarse para lograr la ejecución los usuarios conectarse a la red in- remota de código. terna desde Internet por medio de un túnel encriptado mientras evita Un atacante necesita engañar a las las configuraciones del servidor. víctimas para que visiten un sitio web malicioso o abrir un correo La falla crítica, identificada como electrónico malicioso que contenCVE-2020-14500, afecta al com- ga un elemento HTML específicaponente GateManager, la instan- mente diseñado que desencadena cia de enrutamiento principal en la falla en eCatcher, y finalmente la solución de acceso remoto Se- permite a los atacantes tomar el comea. La falla se produce debido control completo de la máquina a un manejo inadecuado de algu- objetivo. nos de los encabezados de solicitud HTTP proporcionados por el Los tres proveedores fueron noticliente. ficados sobre las vulnerabilidades y respondieron rápidamente para Esta falla puede explotarse remo- lanzar soluciones de seguridad tamente y sin requerir ninguna que corrijan las fallas de sus proautenticación para lograr la eje- ductos. cución remota de código, lo que podría resultar en obtener acceso Se recomienda a los usuarios completo a la red interna de un de Secomea que actualicen sus cliente, junto con la capacidad de productos a las versiones liberadescifrar todo el tráfico que pasa das de GateManager 9.2c/9.2i, a través de la VPN. los usuarios de Moxa deben actualizar EDR-G902/3 a la versión En los servidores VPN industria- v5.5 mediante la aplicación de les Moxa EDR-G902 y EDR-G903, actualizaciones de firmware dislos investigadores descubrieron ponible para la serie EDR-G902 y un error de desbordamiento de EDR-G903. Los usuarios de HMS búfer basado en pila (CVE-2020- Networks también deberían ac14511), en el servidor web del tualizar eCatcher a la versión 6.5.5 sistema que puede activarse sim- o posterior. plemente al enviar una solicitud HTTP especialmente diseñada, Referencias que eventualmente permite a los atacantes llevar a cabo ejecución [1] - https://www.claroty. remota de código sin necesidad com/2020/07/28/vpn-securide credenciales. ty-flaws/ Revista Masterhacks | Núm. 18 | www.masterhacks.net | 38
Vulnerabilidad crítica en GRUB2 afecta a millones de sistemas Linux y Windows
U
n equipo de investigadores de seguridad cibernética reveló los detalles de una nueva vulnerabilidad de alto riesgo que afecta a miles de millones de dispositivos en todo el mundo, incluyendo servidores y estaciones de trabajo, computadoras portátiles, computadoras de escritorio y sistemas IoT que ejecutan casi cualquier distribución de Linux o sistema Windows. Nombrada como BootHole y rastreado como CVE2020-10713, la vulnerabilidad reportada reside en el gestor de arranque GRUB2, que de ser explotada, podría permitir a los hackers eludir la función de arranque seguro y obtener acceso persistente y sigiloso de alto privilegio a los sistemas de destino. El arranque seguro es una característica de la interfaz de firmware extensible unificada (UEFI), que utiliza un cargador de arranque para cargar componentes críticos, periféricos y el sistema operativo al tiempo que garantiza que solo se ejecute el código firmado criptográficamente durante el proceso de arranque.
Vulnerabilidad del cargador de arranque GRUB2 Descubierto por investigadores de Eclypsium, BootHole es una vulnerabilidad de desbordamiento de búfer que afecta a todas las versiones de GRUB2 y existe en la forma en que analiza el contenido del archivo de configuración, que generalmente no está firmado como otros archivos y ejecutables, lo que brinda a los atacantes la oportunidad de romper la raíz de hardware del mecanismo de confianza. Para tener en cuenta, el archivo grub.cfg se encuentra en la partición del sistema EFI, y por lo tanto, para modificar el archivo, un atacante necesita un punto de apoyo inicial en el sistema de destino con privilegios de administrador que eventualmente le proporcionarán al atacante una escalada adicional de privilegio y persistencia en el dispositivo. Aunque GRUB2 es el gestor de arranque estándar utilizado por la mayoría de los sistemas Linux, también es compatible con otros sistemas operativos, núcleos e hipervisores como XEN.
“Uno de los objetivos de diseño explícitos de Secure Boot es evitar que el código no autorizado, incluso con privilegios de administrador, obtenga privile“El desbordamiento del búfer permite al atacante gios adicionales y persistencia previa al SO deshaobtener una ejecución de código arbitrario dentro bilitando Secure Boot o modificando la cadena de del entorno de ejecución UEFI, que podría usarse arranque”, dice el informe de los investigadores. para ejecutar malware, alterar el proceso de arranque, parchear directamente el núcleo del sistema operativo o ejecutar cualquier cantidad de acciones maliciosas”, según los investigadores. Revista Masterhacks | Núm. 18 | www.masterhacks.net | 39
Para explotar la vulnerabilidad BootHole en sistemas Winows, los atacantes pueden reemplazar los cargadores de arranque predeterminados en sistemas Windows con una versión vulnerable de GRUB2 para instalar rootkit. “El problema también se extiende a cualquier dispositivo de Windows que utilice el arranque seguro con la Autoridad de Certificación UEFI de terceros de Microsoft”, dice el informe. Según el informe detallado1, la vulnerabilidad puede tener graves consecuencias, y eso se debe principalmente a que el ataque permite a los hackers ejecutar código malicioso aún antes de que se inicie el sistema operativo, lo que dificulta que el software de seguridad detecte la presencia de malware o eliminarlo.
El simple hecho de instalar parches con el gestor de arranque GRUB2 actualizado, no resolverá el problema, debido a que los atacantes aún pueden reemplazar el gestor de arranque existente del dispositivo con la versión vulnerable. Segpun Eclypsium, la “mitigación requerirá que se firmen y se implementen nuevos gestores de arranque, y los gestores de arranque vulnerables deberían ser revocados para evitar que los adversarios utilicen versiones más antiguas y vulnerables en un ataque”.
Además, los investigadores agregaron que “el entorno de ejecución de UEFI no tiene la asignación aleatoria del diseño del espacio de direcciones (ASLR) o la prevención de ejecución de datos (DEP/NX) u otras tecnologías de mitigación de exploits que normalmente se encuentran en los sistemas operativos modernos, por lo que crear exploits para este tipo de vulnerabilidad es significativamente más difícil”. Los expertos de Eclypsium ya se pusieron en contacto con entidades relacionadas de la industria, incluyendo los proveedores de sistemas operativos y fabricantes de computadoras, para ayudarlos a solucionar el problema.
CA de terceros de Microsoft. Finalmente, la lista de revocación UEFI (dbx) también debe actualizarse en el firmware de cada sistema afectado para evitar ejecutar el código vulnerable durante el arranque. Probablemente, el proceso de mitigación de múltiples etapas lleve años, debido al tiempo que requieren las organizaciones para completar los parches.
“Sin embargo, la implementación completa de este proceso de revocación probablemente será muy lenPor lo tanto, los proveedores afectados necesitarían ta. Las actualizaciones relacionadas con UEFI han primero lanzar las nuevas versiones de sus calzas de tenido un historial de inutilización de dispositivos, y cargador de arranque para ser firmados por la UEFI los proveedores deberán ser muy cautelosos. Revista Masterhacks | Núm. 18 | www.masterhacks.net | 40
Si la lista de revocación (dbx) se actualiza antes de un Linux dado, y el gestor y la cuña se actualizan, luego el sistema operativo no se cargará”, dicen los investigadores.
Referencias
Microsoft emitió un aviso2 en el que reconoce el problema y dijo que se “está trabajando para completar la validación y las pruebas de compatibilidad de una actualización de Windows requerida que aborde esta vulnerabilidad”.
[2] - https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200011
[1] - https://eclypsium.com/wp-content/ uploads/2020/07/Theres-a-Hole-in-the-Boot.pdf
[3] - https://access.redhat.com/security/vulnerabilities/grub2bootloader
También recomendó a los usuarios aplicar parches [4] - https://ubuntu.com/security/notices/USNde seguridad tan pronto como se implementen en 4432-1 las siguientes semanas. [5] - https://www.suse.com/c/suse-addresAdemás de Microsoft, muchas distribuciones popula- ses-grub2-secure-boot-issue/ res de Linux también publicaron avisos relacionados que explican la falla, las posibles mitigaciones y la lí- [6] - https://www.debian.org/securinea de tiempo en los próximos parches de seguridad, ty/2020-GRUB-UEFI-SecureBoot/ como Red Hat3, Canonical4, SuSE5, Debian6,VMware7 y HP8. [7] - https://kb.vmware.com/s/article/80181 [8] - https://support.hp.com/us-en/document/ c06707446
Hackers podrían realizar ataques aprovechando HTTP/2 para fugas de canal lateral de temporización remota
I
nvestigadores de seguridad cibernética encontraron una nueva técnica que hace que un ataque de canal lateral basado en el tiempo remoto sea más efectivo, independientemente de la congestión de red entre el adversario y el servidor objetivo.
de la conexión de red en un determinado momento. Pero debido a que medir el tiempo necesario para ejecutar algoritmos criptográficos es crucial para llevar a cabo un ataque de temporización, y en consecuencia, filtrar información, la fluctuación en la ruta de red desde el atacante al servidor puede hacer que sea poco práctico explotar exitosamente los canales laterales de temporización que dependen de una pequeña diferencia en el tiempo de ejecución.
Los ataques de temporización remota que funcionan por medio de una conexión de red se ven afectados principalmente por variaciones en el tiempo de transmisión de la red, que a su vez, depende de la carga Revista Masterhacks | Núm. 18 | www.masterhacks.net | 41
El nuevo método, llamado Timeless Timing Attacks1 (TTAs), por investigadores de DistriNet Research Group y la Universidad de Nueva York, Abu Dhabi, aprovecha la multiplexación de protocolos de red y la ejecución concurrente por aplicaciones, haciendo que los ataques sean inmunes a las condiciones de la red.
A diferencia de los típicos ataques basados en el tiempo, en los que los tiempos de ejecución se miden de forma independiente y secuencial, esta técnica intenta extraer información del orden y la diferencia del tiempo relativa entre dos solicitudes ejecutadas simultáneamente sin depender de ninguna información de tiempo.
“Estos ataques de sincronización basados en la concurrencia infieren una diferencia de sincronización relativa al analizar el orden en que se devuelven las respuestas y, por lo tanto, no se basan en ninguna información de sincronización absoluta”, dijeron los investigadores.
Para hacerlo, un atacante inicia un par de solicitudes HTTP/2 al servidor de la víctima directamente o utilizando un sitio cruzado, como un anuncio malicioso o engañando a la víctima para que visite una página web controlada por el atacante, para lanzar solicitudes al servidor a través de código JavaScript.
Multiplexación de solicitudes de HTTP/2 para reducir la fluctuación de fase
El servidor devuelve un resultado que contiene la diferencia en el tiempo de respuesta entre la segunda solicitud y la primera. El TTA funciona teniendo en cuenta si la diferencia es positiva o negativa, donde el positivo indica que el tiempo de procesamiento de la primera solicitud lleva menos tiempo que el procesamiento de la segunda solicitud.
“La diferencia de tiempo más pequeña que pudimos observar en un ataque de tiempo tradicional en Internet, fue de 10 μs, 100 veces mayor que nuestro ataque basado en la concurrencia”.
Una limitación de este enfoque es que los ataques dirigidos a servidores que usan HTTP/1.1 no pueden explotar el protocolo para unir múltiples solicitudes “En los servidores web alojados por medio de en un solo paquete de red, lo que requiere que se HTTP/2, encontramos que una diferencia de tiempo realice un ataque de sincronización concurrente utitan pequeña como 100 ns se puede inferir con pre- lizando múltiples conexiones en lugar de enviar tocisión del orden de respuesta de aproximadamente das las solicitudes por medio de la misma conexión. 40,000 pares de solicitudes”, dijeron los investigadores. Revista Masterhacks | Núm. 18 | www.masterhacks.net | 42
Esto se debe al uso del bloqueo de cabecera de línea (HOL) de HTTP/1.1, que hace que todas las solicitudes a través de la misma conexión se manejen de forma secuencial, mientras que HTTP/2 resuleve el problema mediante la multiplexación de solicitudes. En la actualidad, el 37.46% de todos los sitios web de escritorio2 se sirven a través de HTTP/2, número que aumenta al 54.04% para los sitios que admiten HTTPS. Aunque esto significa que se trata de una gran cantidad de sitios web susceptibles a los TTA, los investigadores destacan que muchos de los sitios dependen de las redes de entrega de contenido (CDN), como Cloudflare, que aún utiliza HTTP/1.1 para las conexions entre el CDN y el sitio de origen.
Servicios Tor Onion y Wi-Fi EAP-PWD vulnerables Los investigadores descubrieron que los ataques de temporización basados en la concurrencia también se pueden implementar contra los servicios Onion Tor, incluidos lo que solo admiten HTTP/1.1, lo que permitiría a un atacante crear dos conexiones Tor a un servicio onion en particular, y luego enviar simultáneamente una solicitud en cada una de las conexiones para medir una diferencia de tiempo de un micro segundo. Además, el método de autenticación EAP-PWD, que utiliza una contraseña compartida entre el servidor y el solicitante cuando se conecta a redes WiFi, se vuelve vulnerable a los ataques de diccionario al explotar una fuga de tiempo en el protocolo de enlace Dragonfly3 para revelar la información de la contraseña.
fidencial. Los investigadores han demostrado que es posible explotar los canales laterales de la caché para detectar las contraseñas SSH de la caché de la CPU Intel (NetCAT4) e incluso, lograr una ejecución especulativa similar a Spectre5 a través de una conexión de red (NetSpectre). “Dado que los ataques de NetSpectre apuntan a aplicaciones por encima de la capa de red, un atacante podría, en teoría, aprovechar nuestros ataques de tiempo basados en la concurrencia para mejorar la precisión del tiempo”, dijeron los investigadores. Estos hallazgos se presentarán en el Simposio de Seguridad USENIX6 a finales de 2020. Los investigadores también publicaron una herramienta basada en Python7 para probar los servidores HTTP/2 en busca de vulnerabilidades de TTA.
Referencias [1] - https://tom.vg/papers/timeless-timing-attack_ usenix2020.pdf [2] - https://almanac.httparchive.org/en/2019/http2#adoption-of-http2 [3] - https://tools.ietf.org/html/rfc7664 [4] - https://blogs.masterhacks.net/noticias/hacking-y-ciberdelitos/netcat-permite-a-hackers-robar-informacion-remotamente-a-traves-de-procesadores-intel/ [5] - https://blogs.masterhacks.net/noticias/hacking-y-ciberdelitos/spectre-1-1-y-spectre-1-2-sonlas-nuevas-vulnerabilidades-que-afectan-a-los-nuevos-procesadores/
Aunque los ataques de tiempo pueden ser contrarrestados al asegurar la ejecución en tiempo constante, no es tan fácil como suena, especialmente para aplicaciones que dependen de componentes de terceros. De forma alternativa, los investigadores su- [6] - https://www.usenix.org/conference/usenixsegieren agregar un retraso aleatorio a las solicitudes curity20/presentation/van-goethem entrantes y asegurarse de que las diferentes solici[7] - https://github.com/DistriNet/timeless-titudes no se combinen en un solo paquete. ming-attacks Esta no es la primera vez que se utilizan ataques de temporización remota para filtrar información con-
Revista Masterhacks | Núm. 18 | www.masterhacks.net | 43
AstroGrep 4.4.7
A
stroGrep es una herramienta de búsqueda disponible en español, para encontrar texto dentro de archivos rápidamente. El texto encontrado dentro de cada archivo se muestra con las opciones de la barra lateral para un mayor filtrado y preferencias para el diseño de resultados de texto.
Las búsquedas que usan palabras clave y expresiones regulares son compatibles con opciones adicionales para imprimir, almacenar rutas utilizadas recientemente y abrir archivos externamente con un editor de texto (hasta el número de línea y columna exactos, si el editor lo admite).
Sitio web: http://astrogrep.sourceforge.net/download/
El programa no es un programa de búsqueda de indexación, lo que significa que comprueba el contenido de todos los archivos cada vez que busca. Basado en la popular búsqueda grep utilizada en *nix.
Revista Masterhacks | Núm. 18 | www.masterhacks.net | 44
Acoustic Kitty, el proyecto de la CIA para crear un gato espía
L
a Operación Acustic Kitty (Gatito Acústico), fue un proyecto creado por la Agencia Central de Inteligencia y desarrollado por el Directorado de la CIA para la Ciencia y Tecnología durante la Guerra Fría, consistente en el uso de gatos para interceptar conversaciones potencialmente peligrosas. El documento1 que registra el desarrollo y la puesta en marcha del proyecto, fue revelado al público en el año 2001, luego de un proceso de desclasificación documental2, aunque todavía se encuentra potencialmente censurado, ya que la CIA no pretende mostrar todos los datos de la operación. “Abrieron el gato, le pusieron pilas, lo cablearon. La cola se usó como antena. Hicieron una monstruosidad”, dijo Victor Marchetti, asistente ejecutivo del director de la CIA en la década de 1960, según dice el libro publicado en 2001 de Jeffrey Richelson, The Wizards of Langley. La agencia invirtió alrededor de 10 millones de dólares en el diseño, operación y capacitación del primer Kitty acústico, según múltiples versiones relacionadas con los hechos. Para poder convertir al gato en un animal apto para interceptar con-
versaciones con la mayor eficacia posible, era necesario manipular su anatomía por medio de cirugía, de forma que se le pudiera implantar un micrófono en su canal auditivo y una antena por medio de la cola.
saba lo golpeara y lo matara. “Allí estaban, sentados en la camioneta y el gato estaba muerto”, dijo Marchetti.
La duración del proyecto fue de cinco años, desde 1961 hasta Sin embargo, en las primeras prue- 1966, durante los cuales, el gato bas que se realizaron, se observó fue amaestrado y sometido a inque el gato se distraía con fre- tervenciones quirúrgicas nececuencia buscando algo de lo que sarias para dotarlo de los dispopudiera alimentarse, por lo que sitivos que pudieran captar las los científicos sometieron al ani- conversaciones. La operación fue mal a una nueva operación para financiada con 20 millones de dóanularle la sensación de hambre. lares, aunque existen fuentes que Además, el animal tuvo que ser reducen la cantidad a 15 millones. adiestrado para que obedeciera y pudiera llevar a cabo las misiones Con la muerte accidental del gato con la máxima precisión posible. se perdió todo el dinero invertido durante los cinco años, por lo que “Abrían el gato mediante un tajo, posteriormente la CIA optó por colocaban las baterías en él y las abandonar el proyecto. En los doconectaban. Lo probaron una cumentos desclasificados se dice y otra vez. Descubrieron que el que “los factores ambientales y gato podría abandonar el traba- de seguridad que concurren en jo cuando sintiese hambre, por lo el uso de esta técnica en una sique pusieron otro cable dentro de tuación real, nos obliga a concluir él para anularla”, dijo Marchetti. que para nuestros propósitos no sería viable”. Al llegar el momento de la misión de inauguración, los agentes de la Referencias CIA liberaron a su agente novato de la parte trasera de una camio- [1] - https://documents.theblackneta indescriptible y lo observaron vault.com/documents/cia/acousansiosos emprender su misión. El tickitty-cia.pdf gato acústico se acercó a la embajada, haciendo un recorrido de 10 [2] - https://nsarchive2.gwu.edu// pies antes de que un taxi que pa- NSAEBB/NSAEBB54/st27.pdf Revista Masterhacks | Núm. 18 | www.masterhacks.net | 45
REVISTA MASTERHACKS Autores: Igor Stepanenko Hiber Hernรกndez /mast3rhacks
/Masterhacksnet
@Masterhacks_net
@masterhacks_net
www.masterhacks.net www.hiberhernandez.com contacto@masterhacks.net Ediciรณn 18, Agosto de 2020
