lunes, 9 de febrero de 2015

VSE Vostreran: ProcessExplorer y Autoruns

Por desgracia, no tengo capturas hechas en vivo cuando me tuve que pegar con este riskware.

Recientemente he tenido que hacer una asistencia en la que el equipo, con un Windows 7, nada más entrar, además de pedir la clave de licencia (que ya estaba activada), no mostraba nada más una vez se solicitaba volverla a introducir más tarde.

Una de las primeras cosas que hice fue buscar algún disco de arranque con un antivirus para intentar hacer un análisis rápido. El problema estaba en que el CD era bastante antiguo (mucho), por lo que mientras se perdía el tiempo en descargar todas las actualizaciones necesarias, yo invertí el mío en buscar varias herramientas que me harían falta.

Una de ellas, como no, iban a se las sysinternals. De éstas, casi siempre suelo tirar de dos de sus programas: el process explorer y el autoruns. Además, y no recuerdo si lo hice en esta etapa o ya con acceso al sistema, tuve que hacerme con el programa product key de NirSoft.

Una vez pude pasar el antivirus en modo offline las carpetas del sistema y pude escoger qué eliminaba, o qué dejaba ya estaba más o menos en situación para arrancar el sistema.

Con el sistema arrancado, pero inutilizado, lo único que podía hacer era abrir el administrador de tareas a través de la combinación de teclas Ctrl+Shift+Esc:
Administrador de tareas o task manager: Ctrl+Shift+Esc
Administrador de tareas o task manager: Ctrl+Shift+Esc
Una vez abierto, pude arrancar desde Archivo --> Nueva Tarea una consola:

Nueva tarea: cmd
Nueva tarea: cmd
A partir de aquí, lancé las dos herramientas mencionadas antes. La primera que me puse a mirar fue autoruns. Me permitió desactivar ciertos programas que no tenían por qué lanzarse. 

Autoruns
Autoruns
Entre otros, uno me llamó la atención pero no estaba muy seguro qué era. Se llamaba algo así como vse_vestreran. Me llamó la atención pero no sabía muy bien qué podía ser. Aún así, lo dejé por si las moscas y ya miraría de qué se trataba. Por lo tanto, dejé el sistema lo suficientemente preparado para que no lanzase cosas innecesarias. Pero, aún así, no había atinado con qué hacía que no se pudiera vez nada y no se pudiera trabajar con el equipo.

Por lo tanto, aún teniendo el autoruns lanzado, me propuse mirar qué me mostraba el process explorer. De lo que veía que me parecía sospechoso, lo enviaba a Virus Total por si las moscas. Todos los que enviaba, resultaba que eran "inocuos" (en el sentido de que eso no existe al 100%) o descubría que pertenecía (por la ruta o por el programa del que colgaba) que podía no ser el causante del follón en el que nos encontrábamos. Pero había uno especialmente me volvió a llamar la atención: VSE_Vestreran. Estaba colgando de otros procesos. Recordemos que lo tenía lanzado sin tener escritorio y sólo podía utilizar la consola o lo que ésta me permitiera ejecutar. Así, hice dos cosas, y no recuerdo el orden: enviarlo a Virus Total y matarlo. Ambas acciones dieron sus frutos. Tres o cuatro Unos cuantos motores de antivirus lo catalogaron como riskware:

Resultados en VirusTotal: 8 detecciones
Resultados en VirusTotal: 8 detecciones
Como se puede ver, no lo califican directamente como bicho, sino como adware o riskware. Para mi sorpresa (lo raro es que me sorprenda), es que han aumentado las detecciones. El sábado pasado (el 31 de enero) sólo eran 4. He podido lanzar los tests porque me hice una copia de la carpeta donde se encontraba la ejecución de este programa. Lo que me da es que a lo mejor no terminé de copiar todo. Ya veré. Quiero jugar un poco con este tipo de cosas para poder aprender a hacer mejores análisis de qué cambios hay antes y después de su ejecución. 

Por lo tanto, una vez pude ver que éste sí que me lo podía cargar, tiré otra vez del autoruns para impedir su ejecución en el arranque. Maté su proceso, lo que me permitió ver ya todo el escritorio y poder trabajar mejor, así podría reiniciar y ver que todo marchaba bastante mejor al reiniciar. 

Lo último que hice fue hacerle un repaso al sistema para ver que iba bien, desinstalar todas las cosas que no servían de nada y tirando millas. Soy consciente de que sin un análisis más en profundidad lo suyo hubiera sido reinstalar, por si las moscas. Pero en este caso, prácticamente no lo vi necesario. A parte de que normalmente es otra persona la que le suele hacer ese tipo de tareas. 

De las últimas cosas que hice fue recomendarle un blog en el que podría aprender bastante: Angelucho tendrá otra persona más a la que enseñar los peligros de la red. 
Publicado por agux en 05:15 0 comentarios
Etiquetas: ,

lunes, 26 de enero de 2015

Análisis forense digital en profundidad por Securizame

Hoy, mirando los feeds que tenía pendientes, me he encontrado con que la empresa Securizame, ha vuelto a lanzar la formación que ya inició el año pasado, análisis forense digital en profundidad.

Tiene muy buena pinta y los profesores que formarán a aquellos que se apunten son de gran renombre, entre otros, el mismo fundador de la empresa, Lorenzo Martinez (@lawwait), Juan Garrido (Juanito, @tr1ana), Pedro Sánchez (@ConexionInversa)...

Según informan, el horario será de 16 a 18, hora peninsular. Aún así, también indican que las sesiones se grabarán para aquellos que no las puedan ver en directo, ya que se emitirán a través de la plataforma WebEx.

Como de costumbre en este tipo de informaciones, recuerdo que no este medio no es oficial y que para verla, habrá que visitar el enlace indicado.
Publicado por agux en 06:15 0 comentarios
Etiquetas:

miércoles, 14 de enero de 2015

RootedCon 2015

Ayer llegó un correo en la lista de la RootedCon en el que se nos informaba que abrirían las inscripciones al evento del presente año.

Parece ser que ya avisaron algo días antes por otras redes sociales, pero como no todos las estamos avisando, menos mal que nos han dado un toque desde la lista. Además, ya han avanzado algunos de los ponentes:


  • Raul Siles
  • Hugo Teso
  • Jorge Bermúdez
  • Andrzej Dereszowski
Esto tiene muy buena pinta. A ver si nos da tiempo a comprar las entradas. 

Para la información oficial, ya sabes.

¡No te quedes sin asistir!

Publicado por agux en 21:55 0 comentarios
Etiquetas: ,

lunes, 12 de enero de 2015

Contraseñas guardadas en claro

Recientemente me han llegado una serie de correos de spam un tanto extraños. Pero, por ciertas circunstancias, resulta que por el asunto de los mismos me eran muy familiares. Sobretodo porque también venía una descripción de cosas que hice hace bastantes años. Además, también estaba incluido el nombre del servicio que utilicé en su momento.

El tema es que eran unos foros de esos gratuitos que podías incluir en tus páginas. Por lo que después de echarles un vistazo y los contenidos no me sonaban de nada. Nada de nada. Aún así, yo sabía que tuve foros relacionados con los títulos de estos foros. Por lo que me propuse acceder al panel de control.

Mi primer problema: ni idea de qué usuario y contraseña utilicé por aquel entonces. Por lo tanto, mirando a qué dirección de correo me había llegado, me propuse a solicitar un reseteo de la contraseña. Lo solicito, y... ¿Os podéis imaginar qué me encuentro? Seguro que por el título os lo imaginaréis: La contraseña completamente en claro. ¡Increible!

 Lo primero que quiero hacer es quitarme estos foros de encima (para que ya no llegue spam) y eliminar la contraseña de una vez por todas. Si me puedo quitar la cuenta, mucho, mucho mejor.

Lo que no me puedo creer es que a estas alturas, aún siga habiendo servicios que estén funcionando y no metan las contraseñas en una cripta, (¿flame, cuando hasta hace unos pocos años atras yo dudaba de cuál era la correcta?) cifren las contraseñas.

Si tuvieras que contar cuántos servicios conoces que también las guardan así, sin meditarlo: ¿cuántos dirías? Por favor: seamos responsables y no demos nombres.

Publicado por agux en 07:15 0 comentarios
Etiquetas:

viernes, 9 de enero de 2015

HangOutOn: Seguridad esencial en Android

Ayer jueves 8, se hizo un hangout por parte de HangoutON, en el que moderaban Yolanda Corral (@yocomu) y Antonio Postigo (@antoniogestion).

Los participantes, unas joyas:


A las preguntas de las formas de securizar, unas pinceladas de qué se puede hacer para tener los dispositivos seguros, eran, por ejemplo, el tener cuidado con las redes wifis a las que se accede, o los lugares donde descargarse las aplicaciones o, aunque aquellos markets sean oficiales, asegurarse de que la aplicación que se quiere descargar no es una falsa.

Además, también se ha hablado no sólo de móviles, sino también de otros dispositivos como, por ejemplo, las tablets. Independientemente de los dispositivos, el tener cuidado con cómo se configura el dispositivo para que los niños lo puedan usar de manera segura.

Más ejemplos: el soporte multiusuario que permite que ciertos usuarios no puedan hacer determinadas acciones.  Una aplicación que han propuesto es Knox, si bien otro ponente (Edu, si no recuerdo mal), ha indicado que parece ser que se ha encontrado un bug que permitiría saltárselo.

Una comparación que también han hecho es comparar las tables y su uso por los niños con dejarle al crio un Ferrari cuando no ha conducido nunca.

Se han hecho preguntas como, por ejemplo, ¿realmente hace falta un antivirus en el móvil?¿Cómo es de eficaz? Josep, que trabaja para ESET, reconoce que hacen bastante bien su trabajo, aunque no sean capaces de parar un 100% de las amenazas.

Se han nombrado otras aplicaciones como Prey y Cerberurs, cuya funcionalidad es la misma: poder acceder al móvil en remoto si este fuera robado.

Se ha podido ver que cada uno de los participantes indicar que algunas temas los puede tratar otro de sus compañeros.

Después de que se me cortase la conexión, he llegado cuando estaban hablando de los tap jacking.

 Han respondido las preguntas de distintas preguntas.

Y ahí lo he dejado, no he podido continuar mucho más.

La verdad, el formato me ha gustado mucho. He podido ir escribiendo este post mientras que se estaba realizando el evento. Espero poder repetir, aunque sea un rato, otros HangoutsON.


Publicado por agux en 05:15 0 comentarios
Etiquetas: ,

domingo, 28 de diciembre de 2014

Linux y algunos parámetros del kérnel: Linux casado

La primera parte creía que ya la había contado en otra ocasión, pero, una vez más, no he sido capaz de encontrarlo. Pero bueno, para refrescar la memoria...

Como muchos sabréis, en linux, si quieres saltarte la contraseña de root, porque, por ejemplo, ésta se haya perdido, lo que hay que hacer es editar el menú del grub cuando éste se muestre y añadir al final de la línea la palabra single:

Editando el grub en linux
Editando el grub en linux
Y vamos a editar el kernel:

Editando grub: añadiendo single como parámetro del kernel
Dependerá de la versión que tengas el cómo te lo muestre, pero en definitiva, hay que añadirlo ahí. 

Una vez lo tengas, tendrás acceso al sistema con permisos de root sin haber usado la contraseña. Eso sí, la carga es muy limitada, por lo que tendrás servicios que no funcionen. 

Lo curioso es el resultado que nos ofrece si en vez de single, le ponemos married. Me gustaría mucho que lo probaseis y me lo comentarais para que después os pueda dar mis resultados y así los contrastamos. ¿Os parece?

Publicado por agux en 12:50 0 comentarios
Etiquetas:

miércoles, 24 de diciembre de 2014

¡Felices Fiestas!

Sólo escribo este  post para desearos a todos vosotros tengáis unas felices fiestas con todos los que os quieren.

Espero que os podáis reunir con vuestras familias o amigos... ¡O con todos!

Disfrutadlas tanto como The piano guys parece que han disfrutado montado este vídeo:



¡Un abrazo a todos!
Publicado por agux en 10:00 0 comentarios
Etiquetas:
Suscribirse a: Entradas (Atom)