MIRAI boTNET - Live map attack

Amigos y para seguir con esto del ataque a estados unidos aquí les dejamos un mapa en vivo donde se ven todos los ataques e ip´s infectadas por esta BOTNET 

y en próximo artículo enseñaremos como los hacker´s la configuraron y la pusieron en marcha este BOTNET MIRAI.

MIRAI BOTNET Realtime infecction MAp

Algo que se destaca en esta  BOTNET  es su gran poder que lo toma específicamente  de todos los dispositivos de CÁMARAS conectadas en Internet y muchos otros dispositivos mas  de los llamados INTELIGENTES  y que pertenecen  a la IOT  y que tienen un alcance de 900 Gbps y 1 Tbps.

  Esperen mas ataques de estos y mas duros amigos 

Saludos

Necesitas conferencias y talleres de seguridad informática y hacking ?     CONTACTAME 

Li. Rodolfo H. Baz

www.ccat.edu.mx

www.rodolfohbaz.net  
rodolfohbaz@x25.org.mx

MIRAI BOtnet Code : USada para atacar EUA - P0C

MIRAI BOtnet: Usada para atacar EUA 

- P0C

--------------------------------------------------------------

ADVERTENCIA:   No seré responsable de cualquier daño causado con este código, este es de libre distribución en Internet y solo se pone y da para que los expertos en seguridad lo analicen y vean su funcionamiento, cualquier uso indebido sera solo su responsabilidad del que lo ejecute y use.

---------------------------------------------------------------- 

despues de esto continuemos:   --->  
 

Amigos esta botnet fue la que hiso padecer de un dolor muy grande en el chirriscuis a los amigos de DYNDNS  durante un tiempo y se dice que fue el ataque mas grande que hubo  en la historia ya que usaron millones de ipś  mas o menos 10 millones o mas de ipś para poder atacar y saturar los servicios de los DNS de DYNDNS.

Y LO LOGRARON aunque sea por una hr.o dos pero lo lograron.

Pero todo mundo habla del ataque y que fue una BOTNET llamada MIRAI y muchos de ustedes querrán saber y tener el código usado para ese ataque, bueno pues aquí en este articulo se los daremos.

Pues si amigos en el Grupo X. Hacking News le dejo 3 zips con 3 diferentes modificaciones del código botnet usado para atacar a DYNDNS  en pasados días.

DISCLAIMER   Usenlo con moderación.     ;P


Haber sres.  muchos se soprende que puse el código y lo estoy distribuyendo, sabias que ese codigo esta en distribución libre en diferentes sitios.
 

Requerimientos para su INSTALACION:

* gcc
* golang
* electric-fence
* mysql-server
* mysql-client

-= REQUISITOS PARA SU  USO MINIMO: =-

2 servidores: 

1 para el CNC + mysql, 
1 para el receptor de exploración, 
1 para la carga 1+


 -= REQUISITOS PARA SU  USO PROFESIONAL: =-
 

• 2 o 4 servidores VPS
• 1 VPS que este bien configurado para la base de datos del servidor
• 1 VPS, rootkitted, scanReceiver y distribuidor
• 1 servidor de CNC (utilizado con un 2% de la CPU con 400k bots).
• Servidores de 10 Gbps 3x nForce para la carga con distribución igual para otros 3 servidores.

-= DESCRIPCIÓN GENERAL DE LE INFRAESTRUCTURA DE MIRAI =-

• - Para establecer la conexión con CNC, robots de resolución un dominio (resolv.c / resolv.h) y conectarse a esa dirección IP. 

• Motores de búsqueda telnet  utilizando un escáner SYN avanzada que es de alrededor de 80x más rápido que el de Qbot, y utiliza casi 20x menos recursos.  Esto se encadena a un servidor independiente para cargar automáticamente en los dispositivos. 

• Los Resultados son enviados por defecto en el puerto 48101. 

• La utilidad llamada scanListen.go de herramientas se utiliza para recibir los resultados (que estaba recibiendo alrededor de 500 resultados por segundo a pico). 

• Si se construye en modo de depuración, debería ver el binario utitlity scanListen aparece en la carpeta de depuración. 

• Mirai utiliza un mecanismo de propagación similar a la auto-repetición, pero lo llama "tiempo real de carga". Básicamente, lo envía a un servidor que escucha con la utilidad scanListen, que envía los resultados al cargador. a este bucle se le conoce en lo bots como carga en tiempo real. 

• El cargador se puede configurar para utilizar la dirección IP múltiple para evitar el stress del puerto en Linux (hay un número limitado de puertos disponibles, lo que significa que no hay suficiente variación en la tupla para obtener más de 65 mil conexiones salientes simultáneas - Tendría tal vez 60k - 70k conexiones salientes simultáneas (carga simultánea) distribuida a través de 5 IPs.
  

DESCARGAR DE AQUÍ EL CODE

Recuerden este código es solo para uso educativo.  ----------------->









pd. Conferencias, cursos, certificaciones  ! CONTACTENME !


SAludos

  LI: Rodolfo H. Baz
www.rodolfohbaz.net

CyberWar anhelada por unos, temida por otros

 

GUErraaaaaa GUErraaaaaa

----------------------------------------.
.

Eso es lo que vengo oyendo desde la mañana en Internet en diferentes artículos que ponen  por los ataques de DDOS a DNS que están haciendo a los puntos mas importantes en EUA.

Con todo eso que eh estado escuchando y viendo en Internet, sali del trabajo, llegué a casa, abrí mi celular y desde ahí me dispuse a navegar por los sitios mas conocidos y wowwwwwww no pude creerlo, varios sitios caídos, PAYPAL, TWITTER y mas,  quise entrar a youtube y nada de poder entrar, quise entrar a mi blog de google y sin ningún resultado mmmmm.

En ese momento sentí un frío que empezó en mi cabeza y recorrió todo mi cuerpo y se me vino a la mente

REALMENTE EMPEZO LA GUERRA COMO ALGUNOS DICEN?

Y mi cerebro empezó a temblar e imaginar los escenarios mas terroríficos

•  "todo un caos"
• " no comunicaciones" 
• "anarquía total" 
• " la ley del mas fuerte prevalecera"  
•  

ufff escenarios escalofriantes, hasta puedo decir que las películas de apocalipsis como:

• Caza al octubre rojo
• Un dia despues
• Duro de matar 4 

Se quedaron cortos con lo que yo imagine en mi mente en ese momento, senti que mi cabeza iba a estallar  y pase toda la mañana y tarde con este sueño NUCLEAR, donde con un pequeño y rojo botón un hombre podía volarnos en mil pedacitos, algo como en los juegos electrónicos matando marcianitos así se divertirán con nosotros.

Pero dije: 
.

Volveré a probar si sirve Internet"
.

Y lo hice perooooooo estaba en lo cierto nada funcionaba......  :( wowwwwwwwww solo pude decir esas palabras y pensar 

YA NOS LLEVO LA FREGADA........

tambien se me vino  a la mente salir corriendo a AURRERA, CHEDRAUI O COSTCO a comprar latas de atun, agua embotellada y demas cosas para poder subsistir minimo y aunquesea un mes encerrado en casa en lo que se sabia exactamente que habia pasado.

Pero mi sexto sentido me dijo: 
.

Checa si tienes crédito en tu celular--------

.

Y rápido y presuroso me metí en la sección de llamadas telefónicas y marqué la clave para ver cuanto tenia de crédito

*133#  Send
.

 y vean la imagen........>

Al verla todo regreso a mi ser, mi cordura y mi miedo se disiparon, NO ERA LA TERCERA GUERRA MUNDIAL NI LA CIBERWAR tan anhelada por unos y temida por otros.

simplemente me di cuenta que 

NO PODÍA NAVEGAR POR QUE NO TENIA CRÉDITO. 

Ufff   gracias a dios podre dormir tranquilo

Saludos

Li. Rodolfo H. Baz
www.rodolfohbaz.net  
.
.
 

NO nada mas bancomer si no Banorte tambien tiene spam

Ayer recibí un email de BANORTE donde me decían que mi cuenta se había bloqueado por una transacción fraudulenta e inmediatamente entre en pánico... NO PUEDE SER ME ESTAN ROBANDO MI DINEROOOO.......... y en un segundo recobre mi tranquilidad ya que me dije: " Rodolfo, yo no tengo cuentas en BANORTE" A jijo entonces empecé analizar el email y esto fue lo que encontré:

Primeramente lo que hice fue analizar el email y lo que decía y además ver cuantos links o acceso al exterior venían incluidos en el email:

y abajito de este mensaje de bloqueo viene un link sospechoso:

El cual me pide que por motivos de seguridad verifique mis datos porque eh sido bloqueado jejejejeje  pero al poner el link encima de link ese miren lo que aparece en la parte inferior izquierda de mi pantalla:

http://kcn.my/includes/bal01.html

Nota:  para evitar eso hubieran usado onmouseover para que saliera el link banorte.com y se la creyera mas el cliente que es verdadero. :p

  Un link que no es de BANORTE  woowwwwww se quieren poner berracos los que crearon este SPAM  pero se les olvido ocultar esa parte de que no aparezca el link verdadero a donde te redirigirá al darle click y con eso estos creadores de este spam cayeron de mi gracia por que son chafas al no preveer este error que hace que a leguas se vea que no es real el email.

de ahí lo que hice fue seguir viendo el email y me encontré mas link que redirigen al mismo link:

• Términos legales
• Aviso de privacidad 
• www.banorte.com

Neta chavos que no pueden hacer bien las cosas para engañar mejor a la gente? jajajajajajajaj.

  

ANALIZANDO LA CABEZERAS Y BODY DEL EMAIL

Una vez hecho ese análisis a simple vista me puse a ver toda la estructura interna del email  y encontré esta  primera cosa:

 Pues si amigos el emial fue enviado de SUPPORT@VILLE-LECHAMBONFEUGEROLLES.FR  jajajaja no mam.... ya ni la burla perdonan los spammers esto a leguas dice que no es verdadero y entonces hacemos una búsqueda rápidamente en google del dominio y miren lo que me encontré:

jajajajja una comunidad francesa, a chingao    allá tiene sucursales BANORTE?   ahora si les queda a los creadores de este email spam  el nombre de este pueblito frances.....

CHAMBON-NES haber si hacen las cosas bien.  :p  

Sigamos analizando, una vez hecho esto revise mas abajo los links a donde redirigía y miren:

Confirmado amigos jejejej  el link malicioso con el sitios web donde se localiza.

Ahora analizemos  el dominio KCM.my  y encontramos esto:

El sitio esta OFFLINE  pero los folder donde esta el archivo BAL01.HTML están activos:

Para eso abro el folder sin abrir el archivo html malicioso y me da el error 403 que nos  indica que el servidor se niega a permitir la acción solicitada. En otras palabras, el servidor ha podido ser contactado, y ha recibido una petición válida, pero ha denegado el acceso a la acción que se solicita.



Uff creo que ahí la llevamos continuemos analizándolo.......

de ahí veo algo peculiar que es un dominio:

Envios.banorte.com

Le hago un WHOIS y veo que fue creado en GODDADY:

y podemos ver también que esta registrado a nombre de Salvador sierra Hernández.

y amigos esto a leguas se ve que es un SPAM

PERO MUY MAL HECHO.











Suerte para la próxima spammer´s y hechenle mas ganas en hacer mejor las cosas...... ;p



Saludos -> Asesoria en Seguridad, Conferencias, ! contactenme  !

Li. Rodolfo H. Baz
www.rodolfohbaz.net
www.ccat.edu.mx

Pentesting: Escaneos oportunistas y Escaneos a profundidad

 

 Buen día amigos

 

Hoy hablaré sobre dos tipos de escaneos que toda buena utilería usada para el pentesting debería de manejar,  mas bien yo dividiría todos los escaneos de vulnerabilidades en dos vertientes y que no eh visto mucha información en internet sobre ellos que son:

 

• Escaneo Oportunista

• Escaneo a profundidad

 

Pero antes daremos una breve descripción de que es un pentesting, logicamente para no tardarme mucho pondré el concepto de lo que dice wikipedia:

----> Proceso consiste en identificar el o los sistemas del objetivo. Las pruebas de penetración pueden hacerse sobre una "caja blanca" (donde se ofrece toda la información de fondo y de sistema) o caja negra (donde no se proporciona información, excepto el nombre de la empresa ). Una prueba de penetración puede ayudar a determinar si un sistema es vulnerable a los ataques, si las defensas (si las hay) son suficientes y no fueron vencidas <----

Ahora si hablemos de los dos tipos de escaneos:

 

-= Escaneo de pentesting oportunista = 

 

Este tipo de escaneo esta basado en la lógica de utilizar todas las huellas que se van encontrando osea en palabras llanas se podría decir que se va utilizando lo que se encuentra para poder encontrar las vulnerabilidades,  un ejemplo seria:

Si se ve que se esta ejecutando WINDOWS Server, el sistema tomará en primera instancia hacer un pentesting  de todo lo conocido en vulnerabilidades de ese sistema y si por ejemplo en ese primera  instancia encuentra que tienes wordpress o jommla, el sistema de escaneo añadirá pasos adicionales.


-= Escaneos de pentesting a profundidad =-

Se basa en buscar todo puerto, servicio y protocolo instalado en el sistema y de ahí parte a realizar la búsqueda de vulnerabilidades, recordando que este escaneo se basa en que entre mas servicios encuentre mas profundo será la búsqueda de vulnerabilidades y por lo tanto tardará mucho mas tiempo en darnos los resultando.

 

 Saludos

Li. Rodolfo H. Baz
www.rodolfohbaz.net
www.ccat.edu.mx 

Guía de superviviencia ante un Pulso Electromagnético (PEM)

PASOS para protegerte de un Pulso Electro magnético

------------------------------------------------------------------

1.- Decide a qué frecuencias quieres proteger tus discos duros.

2.- Compra una malla metálica (de un metal que sea buen conductor.

3.- Los agujeros de la malla deben de tener un diametro menor a que la longitud de onda de esas frecuencias.

4.- Saca una tierra a esa malla.

Nota: no vayas a comprar malla de corral de pollo o vallas a querer sacar de su corral los pollos que tienes :p

---------------------------------------------------------------------

Recuerden:

1.- Una explosión con pulso electromagnético en altitud sería capaz de inutilizar todos los sistemas electrónicos de un país.

2,. la radiación electromagnética proveniente de una gran explosión (especialmente una explosión nuclear) o de un campo magnético que fluctúa intensamente causado por la fuerza de empuje del efecto Compton en electrones y fotoelectrones de los fotones dispersados en los materiales del aparato electrónico o explosivo.

3.- Recuerden que en el punto 1 hablo de la frecuencia a protegernos ya que puede ser del tipo: E1 - E2 - E3

 

E1: Es el PEM de una explosión nuclear y puede destruir ordenadores y equipos de comunicación y es además muy rápida para los protectores habituales contra rayos.

 

E3:  Este pulso es muy lento, tardando entre decenas y centenares de segundos, y está provocado por el calor de la detonación.

 

Si necesitan mas información leer este documento:

 

Comission to Assess the Threat to the United States from Electromagnetic Pulse (EMP) Attack.

 

PRECAUCIÓNES A TOMAR:

 

crea una caja de FARADAY  CASERA:

Caja Faraday

Conserva una computadora portátil y un teléfono móvil dentro de una caja Faraday en caso que el pulso electromagnético no haya afectado todo el continente. Si el pulso afecta sólo sólo una región específica, Internet y algunas torres inalámbricas funcionarán.

Es posible construir una caja Faraday utilizando una caja de metal y espuma de embalar para mantener seguros todos los dispositivos electrónicos. Guarda baterías suplementarias para estos aparatos ya que no podrás enchufarlos.


Y SUERTE PARA todo eso 

LI. Rodolfo H. Baz
www.rodolfobaz.net

NOta a perdón si existiera un PEM  ya no me podrán visitar en mi página web.     ADIÓS .:P

Donde y con quien comprar tus libros y gadgets de seguridad y Hacking

Nota: Esta es solo mi opinión basado en costo/beneficio de lo que encontré  más asequible en internet para la hora de comprar cosas de Hacking y libros. (Ya cada quien comprará en donde más le guste.  :p

Muchos de nosotros hemos buscado diferentes opciones de tiendas ONLINE en las cuales podemos comprar libros de Seguridad Informática con los cuales pasemos horas de entretenimiento y me di a la tarea de buscar las tiendas ONLINE con precios más asequibles a nuestro bolsillo y así podamos comprar más cosas de seguridad con menos dinero invertido.

Y me encontré dos  opciones:

1era. opción:

La empresa principal que distribuye y vende los libros de seguridad de la empresa y marca

 0XW0RD 

 2da. OPCIÓN

La empresa EHACK 

 Y de las cuales me di a la tarea de analizar y ver sus paginas web donde ponen a disposición diferentes libros de diferentes temas de hacking y seguridad informática y lo mas importante " estuve viendo sus diferentes ofertas  de libros que venden y al hacer cálculos matemáticos me di cuenta que"

COMPRARLOS CON LA EMPRESA QUE LOS DISTRIBUYE ES LA MEJOR OPCIÓN.

Pero porque digo que es la mejor opción  HAGAMOS CUENTAS MATEMÁTICAS Y VEAMOS CUAL ES EL MEJOR Servicio, económico y mas barato incluyendo el envío hasta nuestra casa.

Para el análisis tomaré el ejemplo de un libro que tienen disponibles las dos empresas y comparemos los costos Beneficios para el cliente:

0XW0RD:

Descripción del producto:

El libro Hacker Épico aspira a entretener e informar a partes iguales sobre un mundo tan apasionante como es el de la seguridad informática. Técnicas de hacking web, sistemas y análisis forense, son algunos de los temas que se tratan con total rigor y excelentemente documentados en esta mezcla de novela negra y manual técnico.

 
Escrito por Alejandro Ramos y Rodrigo Yepes con intención de ser una herramienta didáctica y de entretenimiento, tanto para la audiencia con conocimientos técnicos básicos como para aquellos más avanzados.
Para adquirir una copia debe hacerlo directamente en la página web de la editorial 0xWord por un precio de 20€ más gastos de envío.

-= HACIENDO CUENTAS =-

Como podemos ver en la imagen  el costo del libro es de 22 euros y mas los impuestos y mas el envío sale en 30 euros contando con esto el total seria:

Convertido a pesos mexicanos:

Por lo tanto saldría comprandolo ese libro en la empresa que lo distribuye en su país natal serian:   

$ 630.49  pesos mexicanos incluyendo envío.

 y comprándolo en la empresa EHACK en México saldría, costando que ellos te dan varias opciones para pagar como lo son:

 saldria en:  $ 600.00 + gastos de envio.

Osea amigos que viendo las cosas fríamente y pensando en el ahorro de nuestros bolsillos nos conviene mas comprarlos vía online directamente en la empresa que los distribuye originalmente o con la empresa EHACK que nos da bueno varidad de libros y gadgets de hacking.

Nota: cabe mencionar que ya cada quien decidirá con quien comprarlo, este artículo es solo una referencia de el tema que una vez un amigo me pido comentar.


Saludos

Li. Rodolfo H. Baz
www.rodolfohbaz.net