Boletín #2 - Upgrade? si o no ahora que hacemos? Adiós DNSPY!
Snifer@L4b'sEn este segundo Boletín de Seguridad Informática del proyecto Snifer@L4b's, que viene algo con retraso por razones de fuerza mayor, compartimos con la comunidad cual fue el vector de ingreso de FireEye, si quieres ver el boletin anterior está disponibles aquí.
Todos los boletines serán desarrollados y seleccionados de la mejor manera, no dudes en dar sugerencias en el buzón:
sniferl4bs.news{arroba}gm@il(.)com
¡SolarWinds culpable del ataque a grandes empresas!
Mencionamos en el anterior boletín que FireEye fue comprometido llegando a compartir con la comunidad las reglas respectivas para su detección.
Esta semana que paso confirmaron que el vector fue por medio de SolarWinds, utilizando una de sus soluciones de monitorización de redes conocida como Orion, llegando a infectar varias empresas donde este se encuentre instalado, por ahora se conoce que se vieron afectados Estados Unidos, Europa, Asia y Medio Oriente.
El nombre del malware es conocido por FireEye como Sunburst, por Microsoft como Solorigate, si Microsoft también confirmo que se vio afectado por este ataque.
Esta infección fue realizada por medio de un compromiso realizado con anterioridad en el software Orion el cual era legitimo, leyendo en diferentes fuentes mencionan que fue comprometido el 2019, desde entonces estaban haciendo pruebas y con el ataque a FireEye fue descubierto.
Recientemente atribuyeron el ataque al grupo APT29 aka Cozy Bear de origen Ruso que se les atribuye varios ataques.
Aquí viene la pregunta y titulo de este Boletín que tanto podemos confiar en las actualizaciones de las aplicaciones que utilizamos y más de carácter global o uso masivo. Solo nos queda confiar ciegamente, creen que debería de existir alguna clausula o punto en el cual lleguen a pagar los daños en el caso de que alguna empresa pequeña o de países no desarrollados se vea afectado.
SolarWinds Inc. es una empresa estadounidense que desarrolla software para empresas para ayudar a administrar sus redes, sistemas e infraestructura de tecnología de la información. Wikipedia
Avast detecta extensiones maliciosas de los navegadores Chrome y Edge
El equipo de Avast a detectado extensiones en las tiendas de los dos buscadores que son usados por muchos usuarios lo cual conlleva a múltiples instalaciones de los mismos, los cuales realizaban redirecciones a sitios de terceros, para realizar una monitización por las visitias.
Por que no fue detectado con anterioridad los plugins?.
Mayormente sucede porque esta actividad es realizada después de la instalación de los mismos, es decir que están funcionando por un par de días y luego comienzan a realizar procesos dudosos.
Del mismo modo a inicio de año Firefox elimino extensiones además de ir realizando este proceso constantamente que puede verlo en https://blocked.cdn.mozilla.net
Utilizas alguna de las extensiones mencionadas? cual ?
Vulnerabilidades en Golang
Se identificaron 3 vulnerabilidades correspondientes al parser de XML en Golang las cuales estan asignadas con los CVE, CVE-2020-29509, CVE-2020-29510 y CVE-2020-29511.
Referencias:
- CVE-2020-29509: XML attribute instability in Go’s encoding/xml
- CVE-2020-29510: XML directive instability in Go’s encoding/xml
- CVE-2020-29511: XML element instability in Go’s encoding/xml
Adiós Vaquero ! Dnspy se archiva....
Hoy vi la noticia por Telegram que Dnspy se paso a mejor vida, fue cerrado el proyecto, por si no la conocías la herramienta permite realizar el desamblado de proyectos realizados en .net.
Utilizaba la herramienta regularmente además de usar dotPeek, a continuación dejo algunas alternativas.
[+] dotPeek de Jetbrains
[+] ILSpy
[+] JustDecompile
[+] de4dot
Herramienta para aprender!
Esta oportunidad quiero compartir con todos ustedes un web proxy que le tengo mucho cariño y es Burp Suite, como saben tenemos en el blog una serie de entradas sobre el uso de la herramienta y los videos que iniciamos este año en Youtube.
Además de contar con un laboratorio online 100% gratuito el cual puedes acceder y aprender más de ataques web en Web Security Academy
#BugBountyTips, #Oneliner and #HackingTips
Ya que este Boletin esta dedicado en la herramienta para aprender a Burp Suite porque no dar un Tip para el mismo, con el cual nos permitira importar subdominios o direcciones URL que previamente se identificaron y mandarlo a Burp por Bash.
xargs-burp-subdoms(){ FILE_SUBDOMS="$1" xargs -n1 -P 10 -i bash -c 'curl http://{} > /dev/null -x 127.0.0.1:8080 -skL --no-keepalive --connect-timeout 2' < $FILE_SUBDOMS xargs -n1 -P 10 -i bash -c 'curl https://{} > /dev/null -x 127.0.0.1:8080 -skL --no-keepalive --connect-timeout 2' < $FILE_SUBDOMS }
Como también el siguiente:
xargs-burp-urls(){xargs -n1 -P 10 -i bash -c 'curl {} > /dev/null -x 127.0.0.1:8080 -skL --no-keepalive --connect-timeout 2' < $1 }
El uso del mismo es
$ xargs-burp-subdoms /tmp/subdomainslist
Proyectos en Snifer@L4b's - Canal de Youtube
Por si no conocían contamos con el canal de youtube donde se tiene pensado este 2021 empezar nuevamente.
Actualmente contamos con algunos hangouts realizados, los podcast, la serie de Cápsulas de Seguridad Informática, donde compartiamos sobre Metasploit, Python y Hacking Wireless.
Sin dejar de lado la nueva serie de Burp Suite desde O, quisiera preguntarles que temas desearían que abordemos en el Canal de Youtube, continuar con la serie desde O, quisiera que des tu opinión en el Grupo de Telegram.
Acceder al Canal del blog en Youtube
Deseas apoyar al proyecto Snifer@L4b's puedes hacerlo por Paypal o Patreon