jueves, 19 de noviembre de 2015

DeepSound. Esconder ficheros en archivos de audio...

Estimados amigos de Inseguros !!!

Independientemente del asunto de los atentados de París, el ISIS y esas historias, desde hace mucho años existen herramientas y procesos para esconder información en sitios no sospechados.


Lorenzo Martínez de Security By default publicó el otro día un vídeo muy interesante hablando sobre Canales Encubiertos.

Antes de los atentados también se realizaban estos procesos. Es más, cuando te reunes con directivos de empresas y les hablas de seguridad informática, ellos no piensan en exploit´s, sqli, xss y demás, suelen pensar en el DLP (Data Lost Prevention) o prevención de fuga de información. Vamos, lo que viene siendo que los empleados no le roben la propiedad intelectual, la lista de precios, los clientes, etc.

Vamos a hablar de la herramienta DeepSound. Una aplicación gratuita de sencillo uso que nos permite insertar un archivo o varios dentro de un archivo de sonido.

Vamos a ver un poco el proceso.

Voy usar un mp3 cualquiera de mi ordenador:


Seleccionamos el fichero de audio, seleccionamos el fichero o ficheros a ocultar y procedemos.




El proceso inverso se realiza seleccionado un fichero de audio cualquiera y pulsando simplemente sobre Extract Secret Files.

Poco misterio tiene esta herramienta, pero sin duda, un problemilla más a la hora de controlar la exfiltración de datos no controlada en nuestras empresas.

Como siempre, gracias por leerme, espero que os guste !!!


AÑADIDO:

Me dice el Sr. Josep Albors que esta herramienta es la que usa el personaje de la serie MR.ROBOT

qué curioso !!!



martes, 17 de noviembre de 2015

Tips&Tricks.- Subir máquina que no se encuentra en el catálogo oficial de Azure. OSSIM

Estimados amigos de Inseguros !!!

Quiero aprovechar la suscripción que me regalan desde Microsoft para Azure por ser MVP :-) (150€/mes) para subir una máquina OSSIM en la nube para mis pruebas.


Es lógico, o no, pero no aparece aún en el conjunto de máquinas disponibles para instalar por lo que hay que crear una instalación en local, en Hyper-v, para crear el disco duro VHD, y luego subirlo a Azure. Este procedimiento sirve también si quieres subir un Debian, un Kali o cualquier distribución que no esté soportada nativamente por Azure.

El proceso comienza instalando el conjunto de extensiones PowerShell específica para Azure.

Debemos abrir Azure PowerShell y no PowerShell con el icono que hay por defecto en Windows 2012 en la barra de tareas. Ejecutamos Get-AzurePublishSettingsFile y mediante la web, nos descarga el fichero de configuración de nuestro entorno Azure, basicamente un certificado.

Una vez descargado ejecutamos, en mi caso: PS C:\> Import-AzurePublishSettingsFile  C:\kinotest\cred.publishsettings

Ahora en el portal de administración de nuestro Azure debemos anotar la url de nuestro portal de almacenamiento y nuestro contenedor, algo así como: https://pvportalvhd* *****xcx9b7r.blob.core.windows.net/vhds



Ahora debemos efectuar la subida del disco, como haríamos con un Datastore Vmware o Hyper-v convencional. Un detalle, el disco debe estar en formato VHD y no en el nativo de 2012 VHDX, por lo que si has creado la máquina virtual con hyper-v sin especificarle lo contrario, deberás convertir el disco de vhdx a vhd con el editor de discos del propio Hyper-v, o con PowerShell mediante:

Convert-VHD –Path c:\test\MY-VM.vhdx –DestinationPath c:\test\MY-NEW-VM.vhd


Una vez solventados los requisitos, procedemos con el comando para subir el fichero de disco.
Add-AzureVhd -Destination "<BlobStorageURL>/<YourImagesFolder>/<VHDName>.vhd" -LocalFilePath <PathToVHDFile>




Después de mil días y una noche, ya tenemos nuestro disco duro subido en la nube de Microsoft.


Una vez terminado el proceso de subida del disco, debemos configurar en Azure una nueva imágen, en la que añadimos un disco duro. Sería como una plantilla. Una vez tenemos la imágen creada, iniciamos el proceso normal de creación de una máquina virtual, seleccionando desde nuestras imágenes la distribución que acabamos de subir, en este caso OSSIM de AlienVault.




De esta manera ya podemos acceder a nuestra instancia OSSIM por SSH, habilitar los extremos para publicar el web interface puerto 80, y comenzar a darle caña.

Espero que os haya gustado este procedimiento sencillo para subir máquinas virtuales Linux en Azure.

Gracias por leerme !!!




lunes, 16 de noviembre de 2015

Reglas snort ip y dominios maliciosos NOVIEMBRE

Estimados amigos de Inseguros !!!

Aquí os dejo dos ficheros de reglas Snort para detectar actividad maliciosa por parte de ip y dominios que durante la primera quincena de Noviembre de 2015 he detectado de distintas fuentes como maleantes :-)


Espero que os guste !!!

https://drive.google.com/folderview?id=0BzL-SWiR1frCZTNHTDRwUlVlZm8&usp=sharing