No quiero lastimarte pero es peor que te sigan mintiendo

Con este post doy por inagurada mi sección de phishing & malware.
La idea es poder hacer un repositorio con los mails fraudulentos y que quede como registro la existencia de estas técnicas para engañar a los usuarios a través de ingeniería social.

from:

E1TbjGY-00041S-4O@bro.bromiossites.com.br

Subject:
No quiero lastimarte pero es peor que te sigan mintiendo
Body:

Hola te mande este mail hace 4 dias y no me respondes igualmente quiero que sepas esto por favor no te enojes

Me tomo el atrevimiento de enviarte este email, porque no quiero decirtelo personalmente, me siento con la obligacion de avisarte porque te quiero mucho, abri los ojos te estan siendo infiel, se que es dificil que me creas pero como las imagenes valen mas que mil palabras, te envio estas fotos para que las veas con tus propios ojos

No quiero lastimarte pero peor es que te sigan mintiendo

Estas son las imagenes:. Foto01 .- Foto02 .- Foto03

Las "imágenes" .exe hacen referencia a un index1.php el cual ha sido hospedado en un server Apache 2.2.11 el cual corresponde a la versión del 13 de Diciembre del 2008.

6 de 43 motores de malware de VirusTotal detectan al ejecutable como malicioso.

Anubis no encuentra peligro alguno en el ejecutable.

Conclusiones:
El sitio que ha hospedado el malware claramente está desactualizado. De hecho hace tiempo no veía una web1.0. Se recomienda siempre estar actualizado a las últimas versiones de software para evitar que comprometan nuestros servicios por bugs o fallas ya reportadas.
El malware en este caso debe tener muy poco tiempo de vida ya que casi ningún motor de búsqueda lo detecta.
Los otros servicios aparte de apache, serán vulnerables también?
Continuará...

DoS de Wifi a Smartphones con chipset Broadcom

La lista de equipos vulnerables son:

Los dispositivos afectados con el chipset BCM4325:

Apple iPhone 3GS

Apple iPod 2G

HTC Touch Pro 2

HTC Droid Incredible

Samsung Spica

Acer Liquid

Motorola Devour

Vehículo Ford Edge

Dispositivos afectados con el chipset BCM4329:

Apple iPhone 4

Apple iPhone 4 Verizon

Apple iPod 3G

Apple iPad Wi-Fi

Apple iPad 3G

Apple iPad 2

Apple Tv 2G

Motorola Xoom

Motorola Droid X2

Motorola Atrix

Samsung Galaxy Tab

Samsung Galaxy S 4G

Samsung Nexus S

Samsung Stratosphere

Samsung Fascinate

HTC Nexus One

HTC Evo 4G

HTC ThunderBolt

HTC Droid Incredible 2

LG Revolution

Sony Ericsson Xperia Play

Pantech Breakout

Nokia Lumina 800

Kyocera Echo

Asus Transformer Prime

Malata ZPad

About

La vulnerabilidad (CVE-2012-2619) permite alterar el tráfico WiFi a través del envío de tramas RSN (Robust Security Network) que interviene en la negociación y establecimiento del tipo de autenticación y cifrado utilizado durante una sesión WPA/WPA2.

Basta con ejecutar la aplicación para que todos los smartphones que escuchan el medio inalámbrico corten su conexión y no puedan establecerla nuevamente, denegando su servicio Wifi.

Para ejecutar se debe instalar sus dependencias:

git clone https://code.google.com/p/lorcon/

cd lorcon

./configure

make 

sudo make install

wget https://pylorcon2.googlecode.com/files/PyLorcon2-0.1.tar.gz

tar xzvf PyLorcon2-0.1.tar.gz

cd PyLorcon2-0.1

python setup.py build

sudo python setup.py install

Al ejecutar el PoC (Prueba de Concepto) obtendremos algo así:

Con esto todos los celulares antes mencionados se desconectarán de su red Wifi y no se podrán volver a conectar hasta matar el proceso.

Validado en un Motorola Atrix!

Fuente del script en python:

http://unaaldia.hispasec.com/2012/10/denegacion-de-servicio-multitud-de.html

Improved Sequence Number in the Payload

Acabo de publicar un mod que hice para hping3 llamado ISNIP para poder tener números de secuencia superiores a 65535 y así poder detectar por ejemplo paquetes perdidos en un enlace a altas tasas de transferencia, donde claramente 65535 son insuficientes.
Con este mod, hay un límite para enviar 10^14 paquetes con número de secuencia distintos.

Para obtener los números de secuencia se debe pasar el .pcap a formato raw y filtrar por "NB".

Cabe destacar que los frames deben ser de tamaño 1514 bytes para que el número de secuencia quede en la posición correcta.

Velocidad en TFTP

Haciendo mediciones en una Lan y emulando la Wan con Netem he llegado a las siguientes conclusiones:

• Bajo una LAN, el protocolo tftp logra tasas de velocidad de 12Mbps
• Al agregar una latencia de 3ms, disminuye a 1Mbps
• Para enlaces WAN donde la latencia es de 300ms aprox, su velocidad no supera los 15Kbps

Search Users by Domain

Acabo de publicar un nuevo script en google code llamado SUD. Este script en bash busca usuarios de un dominio específico, basándose en las cuentas de correo que están públicas. Para realizar las búsquedas utiliza yahoo.
Dentro de las mejoras que se le harán a futuro será:

• Refinar patrones de búsqueda de mails
• Agregar más motores de busqueda
• Buscar en más de 100 resultados

Reset Your Adsl IP

En esta ocasión he publicado RYAI en google code. Es un script que permite resetear la ip pública que asigna la ISP. Está hecho para los modelos de router:

• Huawei HG520b 
• Huawei HG520c

Utiliza sus valores por defecto, y requiere de la conexión por telnet, por lo que si no está activa se debe habilitar desde el ACL de la paǵina de configuración del router.

Les dejo una captura de su funcionamiento:

Check Valid Mail Users

Acabo de subir a google code CVMU. Está desarrollado en bash y permite chequear la existencia de usuarios en servidores de mail. Es la versión 1.0, asi que cualquier sugerencia o aporte es bienvenido.
Si tienen servidores que permitan chequear usuarios, les agradecería hacermelos llegar para verificar que el software los detecte.
Espero sus comentarios

About

Ha pasado harto tiempo desde que no publico material en la web. La mayor cantidad de post que he publicado están en el sitio http://blogs.udp.cl/nboettcher , pero ya era hora de tener mi sitio personal.
En este sitio podrán encontrar información sobre los temas que manejo, que son principalmente las redes de telecomunicaciones (no confundir con redes sociales) y sobre la seguridad de los datos.
Acá publicaré herramientas que voy desarrollando para hacer mediciones o PoC.
Atentos a las publicaciones que se vienen...