nmap: localizando confiker (gusano informático)

Por allá por el 2008 hace ya muchos años que apareció el gusano conficker, el cual me he seguido encontrando cada vez menos pero por algún lado se ha encontrado ya que aún existen ecosistemas de red antiguos que ni se han renovado ni se van a renovar en un tiempo. Este gusano tiene varios métodos de propagación..

Auto-Propagación por Internet: Aprovechándose de la vulnerabilidad CVE-2008-4250, la cual ya fue solucionada por Microsoft el paso Octubre con el parche MS08-067

Auto-Propagación por Red Interna: A través de carpetas compartidas en red protegidas con contraseñas débiles, Conficker tiene la capacidad de ir infectando a toda nuestra red en solo minutos.

Auto-Propagación por USB: Mediante cualquier dispositivo de almacenamiento extraíble por USB (Pendrives, Flashmemory, Cámaras, discos duros, etc..) creando un archivo autorun.inf infectado cuya acción sea autoejecutar la copia del gusano cada vez que conectamos el dispositivo extraíble a un PC.

una vez vistos hay que ver sus síntomas y hay que seguir pasos precisos para eliminarlo completamente como nos indican en forospyware o Kaspersky. 

Al ser un gusano muy escurridizo nos podemos vamos a valer de nmap para detectar el problema al entrar en una nueva red. Nmap mediante este script podemos analizar la red en busca de ordenadores infectados como indica en su web. 

Una vez visto extraemos un ejemplo el cual nos permite escanear toda la red en busca del conficker y al final indicamos dependiendo en la subred que estemos, en el caso del ejemplo "192.168.1.0/24".


nmap -p139,445 -vv --script p2p-conficker,smb-os-discovery,smb-check-vulns --script-args=checkconficker=1,safe=1 -T4 192.168.1.0/24

Como se ve escanea todo los posibles hosts.

Una vez escaneados y localizados los hosts existentes inicia el escaneo uno a uno en busca de los hosts infectados.

Al final, se muestra un pequeño resumen.

Y por último si queremos un escaneo, mas completo y lento iniciamos el siguiente script.

nmap --script p2p-conficker,smb-os-discovery,smb-check-vulns -p- --script-args=checkall=1,safe=1 -vv -T4 192.168.1.0/24

Una vez localizado, iniciaremos los pasos para la eliminación de los equipos, para ello podemos seguir los pasos que nos indican en forospyware o en kaspersky.

Nmap: Listar host de red.

Como dije en la primera entrada de introducción a nmap, voy a ir haciendo pequeñas entradas para esos pequeños trucos que podemos hacer con nmap. En esta primera vez veremos lo básico hacer un barrido de nuestra red, detectando las direcciones ocupadas por los host que hay en la red.

En esta entrada nos vamos a limitar a ver los host que hay en nuestra red, esto lo podremos hacer de diferentes maneras. La primera de ella sera mediante peticiones ping, gracias a esto listaremos los host de nuestra red junto a su mac. A la hora de poner la dirección o el rango tendremos que tener en cuenta el rango donde nos encontramos en mi caso es una 192.168.1.X/24. 

sudo nmap -sP 192.168.1.0/24

Una vez ejecutado, podemos ver como se han listado los dispositivos de la red con su ip, su mac y si recibe respuesta por parte del sistema operativo, con que sistema operativo esta trabajando. Al final del todo nos marcará el número de dispositivos y el tiempo que le ha llevado realizar este escaneo. 

Podemos también centrarnos en un rango de direcciones ip.

sudo nmap -sP 192.168.1.1-50

Tenemos otras opciones como, como syn, timestamp, netmask request, UDP. Aquí un par de ejemplos:

timestamp > nmap -PP 192.168.1.0/24

netmask > nmap -PM 192.168.1.0/24

Ampliar señal / covertura Wi-Fi con ASL-26555 (OpenWrt)

Una vez realizan la migración a la fibra o cambian de compañía últimamente muchos se quedan con el antiguo router ASL-26555 como pisapapeles sin saber que hacer con él. Muchos de ellos aprovechan para preguntarme sí podría ampliar la cobertura Wi-Fi para su pequeño negocio o simplemente para cubrir aquellas zonas de su vivienda donde queda una señal débil o nula sin que le suponga un coste adicional en la compra de un nuevo hardware. A lo que yo respondo con un rotundo sí y os explico como en esta entrada. 

Lo primero que haremos es librarnos del firmware que trae de fábrica e implantar OpenWrt, este proceso y sus pasos ya lo hemos visto anteriormente en el tema " Instalando OpenWrt en ASL-26555 ".

Una vez realizado este paso pasaremos a configurarlo de manera que podamos ampliar la covertura Wi-Fi o disponer de otro punto de acceso a nuestra red.


· Configuración

La estructura de red será la siguiente:

Una vez pensada la idea nos conectamos al router configurado y una vez dentro nos dirigimos a red>Wifi.

Una vez dentro le damos a "Explorar" porque nos vamos a conectar al router del cual vamos a coger la señal y repetirla.

Ahora vemos todos dispositivos wireless y nos conectamos al nuestro.

Una vez en el le daremos a "Unirse a Red". Nos pedirá la contraseña del dispositivo al cual nos vamos a conectar, la introducimos y le damos a guardar.

Vemos que se ha guardado la conexión, con su contraseña y los datos suficientes para establecer la conexión.

Una vez establecida la conexión volvemos a "Red>Wifi" y ahora le damos a "Añadir".

Una vez dentro vamos a empezar a configurar con el nombre del repetidor en mi caso puse uno diferente para que en el ejemplo pueda diferenciarse, pero en caso de que queramos "ampliar la señal" podemos poner el mismo con la misma contraseña y ya nuestro ordenador se encargará de conectarse al que mejor señal tenga. Luego elegiremos el tipo de red en "lan" y guardaremos y aplicaremos.

Ahora elegiremos la encriptación, cifrado y contraseña que sea lo suficientemente robusta. Guardaremos y aplicaremos.

Se nos muestra finalmente todo montado.

Al final podremos ver la conexión de nuestra señal repetida ( este paso puede tardar en mostrarse ya que el router tiene que aplicar los cambios). 

Y finalmente ya tenemos nuestro router configurado ahora tan solo tendremos que enchufarlo donde tengamos una zona sin cobertura Wireless.

Explorando Powershell: Mostrando y matando procesos (Get-Process)

Hoy en "Explorando Powershell", veremos get-process y como sacarle partido a este.

Escribimos en nuestro powershell "get-process" o también funcionan los alias "gps" o "ps" y vemos todos los procesos.

También podemos buscar los procesos de manera especifica si conocemos el nombre, conocemos las primeras letras o podemos buscar varios procesos separándolo mediante comas como se muestra en la imagen.

Podemos mostrar diferentes características del proceso como la compañía, la versión del producto y más características.

Y finalmente podemos eliminar un proceso mediante su código "Id" y el comando "kill".

Popcorn-time, porque todo no iba a ser trabajar.

Todo no iba a ser trabajo, ¿verdad?. Hoy os quiero presentar algo que lleva un tiempo circulando y que se va y vuelve al igual que thepiratebay, esto es popcorn-time.

Popcorntime no es más que una aplicación que nos permite ver películas y series directamente desde los rastreadores de torrent. En resumen podemos ver los torrents mientras se descargan en una carpeta temporal sin tener que esperar a que se descargue.

A continuación vamos a ver su instalación en linux y posteriomente en windows.

Para instalar en linux yo he decidido entre dos opciones o descargas de su web el archivo y realizas la instalación o añades os repositorios de webupd8team e instalas desde allí. He decido la segunda ya que con 3 líneas en nuestra consola ya lo tendremos instalado.

sudo add-apt-repository ppa:webupd8team/popcorntime
sudo apt-get update
sudo apt-get install popcorn-time

Con esto ya lo tendremos instalado en nuestro Debian o derivado como pueden ser Linux Mint o Ubuntu.

Ahora vamos con windows donde nos dirigimos a su web y descargamos el ejecutable.

Una vez descargado lo ejecutamos y como siempre en windows vamos dando a siguiente mirando los pasos para su instalación.

Y finalmente ya lo tenemos instalado lo ejecutamos aceptamos los términos de uso y ya lo tenemos. La apariencia es el la misma en todas las plataformas.

Una vez dentro tan solo nos tenemos que mover por las pestañas "TV Series, Movies, etc.." que como dije antes es idéntica interfaz en todas las plataformas. Luego elegimos nuestra serie, el capitulo y empezamos a ver en Watch now.

Una vez empieza nuestra serie elegimos los subtitulos y a ver nuestra serie tranquilamente, siempre recomiendo en inglés ( que no se nos olvide practicarlo).

Bueno y a disfrutar que un poco nos lo merecemos y todo no va a ser trabajar.

Nmap, una herramienta básica para cualquier IT.

¿Que es Nmap?

Nmap es un programa de código abierto que nos permite el escaneo de red, pudiendo así escanear puertos, host, ver que sistema operativo son, que servicios están distribuyendo, características hardware y dispone de scripts que nos aumentarán el catálogo de posibilidades de escaneo. Nmap lo podemos encontrar en múltiples plataformas (Linux, Mac, Windows).

¿Como lo instalo en mi Linuxmint, Ubuntu u otra derivada de Debian?

sudo apt-get install nmap

Una vez instalado, podemos visitar su web y empaparnos de toda la información que nos sirve.

De aquí en adelante realizaré entradas en el blog para ver lo que nos permite hacer y como le podemos sacar partido a esta herramienta imprescindible de cualquier IT.

Envío correo SPAM a mis contactos ¿Que puede pasar?

Esta vez veremos un poco por encima el spam en nuestro correo recibido desde algún conocido y como actuar ante esto. Hace unos días me llegó una llamada de un cliente, este tenía un problema que quería consultar conmigo. Al parecer un amigo suyo tenía un problema y era que sin él realizarlo estaba enviando emails basura o spam. Estos problemas se deben dos principales vulneraciones.

Nuestro sistema o credenciales han sido comprometidos.

Lo que ha podido pasar es que nos han vulnerado las contraseñas. Esto ha podido ser realizado mediante phishing, robo normal de contraseña, malware o keyloger en nuestro dispositivo, servidor de correo comprometido o simplemente con un mitm en cualquier lugar no confiable.

· Analizar y limpiar nuestro sistema de malware.

Si no se tienen conocimientos ponerse en contacto con un experto o en algún lugar donde nos ayuden.

· Entrar, cambiar las credenciales y activar la autenticación en dos pasos.

Para mejorar la protección de nuestras credenciales de correo, esto lo podemos realizar mediante una aplicación o mediante sistema de SMS y ya lo implementan la amplia mayoría de servicios de correo.

· Revisar el correo saliente:

Si ha sido vulnerado nuestro correo tendremos posiblemente correo saliente en el buzón.

· Revisar las últimas localizaciones donde hemos conectado:

Otro aspecto que podemos ver es la localización, es decir desde donde han conectado a nuestro correo. Este servicio lo integran ya muchos servicios de correo como Gmail y demás en las propiedades de seguridad.

· Revisar importaciones de otras cuentas y reglas de reenvió.

Una vez realizado todo esto ya solo nos queda esperar y comprobar que no seguimos realizando el envío de spam, si sigue siendo emisor de spam tal vez esté siendo presa del email-spoofing y eso lo veremos más adelante.

Estamos sufriendo una suplantación de identidad o comúnmente llamado email-spoofing.

Si estamos recibiendo un suplantación de indentidad, no tenemos nada vulnerado. Es simplemente un engaño al correo. Esto se realiza mas fácil de lo que pueda parecer y tan solo necesitan tu dirección de correo y por supuesto la de tus amigos para que parezca todo más confiable.

¿Como consiguen tu email y mi lista de contactos?

Tu dirección email la consiguen, con scripts que buscan direcciones de emails en la red, uno de esos correos con postales navideñas, vídeos de gatitos que reenviáis o simplemente vulneraron alguna agenda de contactos, tu mismo facebook y obtuvieron la lista.

¿Y que hacer en estos casos? 

Bastante poco, denunciarlo a tu proveedor de correo, denunciarlo a la sección de delitos telemáticos ( la suplantación de identidad es un delito) y finalmente si dispones de conocimientos o tienes algún conocido, puedes revisar las cabeceras de los mensajes en busca de los rebotes hasta encontrar el origen de quien envía estos correos.