Bits y Lentejas

sábado, 22 de agosto de 2009

Evolucionar o morir

Está claro que solo el que sabe adaptarse sobrevive, podemos verlo en cómo está evolucionando el phishing bancario.

Usar el típico dominio fraudulento que apunta a un único servidor fraudulento cada vez se lleva menos. Bloquear una única direccion IP es una tarea rápida y sencilla... esto lo saben quienes se están lucrando con este tipo de actividades.

Últimamente se está incrementado el número de casos de ataques de phishing con Fast-Flux en dominios ".es". Usar cientos o miles de máquinas para alojar contenido fraudulento y añadir una gran cantidad de registros en el DNS de un dominio (con un reducido TTL), apuntando a todas esas máquinas, dificulta la labor de quienes deben poner solución al problema puesto que, seguramente, ya no estemos hablando de un único ISP ni una única dirección IP.

En estos casos, la única salvación de todas las víctimas potenciales es usar la cabeza y el sentido común para no morder el anzuelo, en su defecto, tendremos que confiar en la rápida actuación del Agente Registrador o la entidad gestora del dominio.

Etiquetas: ,

entrada de Francisco Losada a las 9:45 | 0 comentarios

viernes, 21 de agosto de 2009

Cada dia esto va a peor

Curioso el caso que nos hemos encontrado hoy revisando un problema en un servidor que habia sido comprometido, acabamos encontrado varias shells diferentes subidas en diferentes fechas.

Esta claro que la culpa es de los "administradores", pero es mucho peor si por culpa de la configuracion puedes acceder a mas dominios dentro de tu hosting, como era el caso de hoy.

Fallos en el joomla, subieron una shell y empezaron a meter phishings, luego vinieron otros que vieron el mismo fallo y aparte de subir una shell pues aprovecharon para comprometer mas dominios, no vaya a darse alguien cuenta de las shells...

includes.php
path.php
admin.php
...

El problema de todo esto ya no es que te tomen el control de una maquina con 20 o 30 dominios, el problema es que despues en cada uno de ellos cuelgan phishing y los "usuarios" acaban palmando pasta.

Todo por que hay gente que por instalar un apache y un mysql se creen administradores de sistemas y se venden como tal. Claro esta que mucho mas baratos que gente especializada y cuando pasan estas cosas pues se andan quejando, sobretodo cuando no saben lo que es un backup.

Solo una peticion a esa gente que se hacen pasar por profesionales, pensar que pasaria si se hiciera lo mismo en otras profesiones como la medicina por ejemplo...

Etiquetas: , ,

entrada de Juan Carlos Montes a las 19:19 | 0 comentarios

jueves, 20 de agosto de 2009

El timo de la e-stampita

Iniciamos nuestra incursion en el peligroso mundo de los blogs con un articulo sobre como se puede engañar a los "usuarios" con un timo de los que habia en epocas de Paco Martinez Soria.

Hablo del crecimiento de los falsos antivirus, la distribucion de supuestos antivirus o antiespias proporciona una via para no solamente hacer que un usuario pague por un software que no hace nada, si no que ademas es una forma de crear una entrada de malware a las maquinas de los "usuarios" que se crean todo lo que ven.

La verdad es que les esta bien merecido, mas de uno deberia usar el PC como pisapapeles, pero ese no es el tema de hoy.

Estos sistemas de descargas de falsos antivirus estan muy bien diseñados.

Por un lado tenemos varios dominios que nos llevan a la misma IP pero en funcion del dominio usando para acceder el antivirus que nos descargamos tiene un hash diferente.

Tienen sistemas de balanceo de carga, para asegurar que todo el mundo pueda ser infectado, :)

El siguiente esquema ha sido sacado despues del analisis de una de estas redes, las IPs son reales, por si alguno necesita un antivirus, :)





Hay que destacar que los servicios de pago usan certificados validos para dar la sensacion de seriedad.

Como os dareis cuenta, aparte de pagar por un software que no hace nada, capturan los datos de la tarjeta de credito para futuros usos.

Para finalizar os dejo una capturas interesante, de un analisis de este antivirus en su version online.
Interesante el resultado:
  • Analizando hal.dll entre otros...
  • Detectando archivos infectados
  • Detectando que tengo la proteccion de internet explorer desactivada...
Y todo esto en mi debian, :)



Espero que os sirva de algo esta informacion.

Un saludo y hasta la proxima entrada.

Etiquetas: , ,

entrada de Juan Carlos Montes a las 11:36 | 0 comentarios

miércoles, 19 de agosto de 2009

Konnichiwa

Bueno, con esto empiezan las andanzas de cinco individuos en el gran mundo de los blogs.

Nos dedicamos a la seguridad informatica y de eso trataran los post... bueno... igual cae alguna receta de cocina por el medio, :)

Espero que encontreis interesantes nuestras historias y que alguna os sirva de algo en algun momento.

Un saludo y bienvenidos.

entrada de Juan Carlos Montes a las 19:19 | 0 comentarios