Cazando webshells

Buenas a todas y todos hoy con un tema que no son nada nuevo, pero continua dándole dolores de cabeza a los profesionales de seguridad y sus clientes. Hoy hablaremos de las webshell, como prevenir y detectarlas.

¿Qué son las webshells?

“Es un script o programa escrito en un lenguajes de programación como: Perl, Ruby, Javascript, Python, JSP, PHP o ASP o ASPX, que se carga en un servidor web para habilitar la administración remota de la máquina. La función principal  de este script es ejecutar comandos de sistema operativo en forma remota, por medio de una interfaz web.”

webs3

Entre algunas webshells conocidas encontramos:

  • “c100.php“
  • “r57shell.php”
  • “r57.php”
  • “b374k.php”
  • “c99shell.php”
  • “phpshell.php”
  • “sh3llZ.php”
  • “C99shell.php”
  • “angel.php”
  • “dq99.php”
  • “netcat.php”
  • “shell.aspx”
  • “zehir.asp”

Usos:

Estas webshells son utilizadas para tomar el control de servidores web para ser utilizados en acciones delictivas.

Problemática:

Los profesionales en seguridad y sus clientes se enfrentan a una baja tasa de detección de los antivirus y una evolución constante de las Webshells al considerarse un elemento open-source.

Medidas:

Es recomendado contar con un set de herramientas o medidas que ayuden en la prevención y detección de las Webshells, a continuación se enumeran algunas de ellas:

Medidas para detectar las Webshells:

Detección en Redes

Monitoreo e análisis de trafico de red:

  • Reglas en IDS: Snort
  • Patrones de tráfico: Wireshark

Uso de herramientas de Security Analytics: (proceso de usar herramientas de recopilación, agregación y análisis de datos para el monitoreo de seguridad y la detección de amenazas.)

  • OpenSOC
  • Splunk
  • IKANOW’s

Detección en Servidor

Servicios Online:

  • Utilizar los servicios online como fuente de monitoreo ejemplo: Zone-h.org o mirr0r.org (Repositorios de defacement)

webs1

  • Servicios online de escaneo de sitios web.

3

  • Utilizar Hacking de buscadores como fuente de monitoreo.

webs

  • Utilizar el servicio online para verificar archivos sospechosos de posibles webshell en nuestro servidor:  https://shellray.com/

webs2

Detectores de WebShells:

“You do it” o Hazlo tu:

  • Crea tu propio script para detectar patrones o cadenas de texto sospechosas.

Chequear Logs:

  • Revisión periódica de los logs de servidor web y sistema operativo.

Chequear Integridad:

  • Establecer política de administración de cambios para sus servidores web.
  • Monitoreo de cualquier cambio en el contenido por medio de un sistema de integridad de archivos:
    • Samhain
    • TripWire
    • AIDE

Medidas básicas de prevención de Webshells:

  • Realizar periódicamente un análisis de vulnerabilidades de nuestro servidor Web.
  • Realizar Hardering del servidor Web.
  • Proteger nuestras aplicaciones por medio de un firewall de aplicaciones web (WAF).
  • Mantenerse al día de actualizaciones y vulnerabilidades que afecten nuestro servidor web.
  • Mantener un antivirus actualizado.

 

Saludos, os dejo………Si conoces alguna otra medida o herramienta déjala en tus comentarios.

Anuncios

Agenda de Junio 2018 (Charlas o Actividades de Tecnología o Ciberseguridad)

flag

Buenas todas y todos en un poco difícil mantenerse informado de todas las actividades o charlas pero intentare hacer una lista por mes de actividades o charlas de tecnología o ciberseguridad que me encuentre en noticieros o redes sociales.

8 junio

12 junio

19 junio

28 – 30 junio

Continuara actualizándose hasta finales de junio del  2018…

Si alguno conoce alguna otra actividad o charla relacionada a “Tecnología o Ciberseguridad” para este mes de Junio 2018, déjenla en sus comentarios.

 

Agenda de Mayo 2018 (Charlas y Actividades de Tecnología o Ciberseguridad)

flag

Buenas todas y todos es un poco difícil mantenerse informado de todas las actividades o charlas pero intentare hacer una lista por mes de actividades o charlas de tecnología o ciberseguridad que me encuentre en noticieros o redes sociales que se realicen durante cada mes del año.

23 de mayo

  • Hacking Challenge 2018.

Referencia: http://www.hackingchallenge.net

24 de mayo

  • TechDay 2018 Costa Rica.

Referencia: http://techday.pro/techday-costa-rica/

28 – 30 de mayo

  • I Simposio Internacional sobre Derecho Informático.
  1. Comercio Electrónico y fraudes por medios electrónicos. (Lunes 28 de mayo)
  2. Libertad de información y expresión por medios electrónicos. (Martes 29 de mayo)
  3. Plataformas tecnológicas, Fintech, criptodivisas y regulación. (Miércoles 30 de mayo)

Referencia: https://adalidmedrano.com/i-simposio-internacional-sobre-derecho-informatico/2018/

Si alguno conoce alguna otra actividad o charla relacionada a “Tecnología o Ciberseguridad” para este mes de Mayo 2018, déjenla en sus comentarios.

CiberAtaque Costa Rica (Defacement)

Buenas a todas y todos, el pasado sábado 12 de mayo se vieron atacados sitios web de la municipalidad de Corredores, Puntarenas, Matina, San Isidro y el proyecto Amigos de la Infancia sufrieron el ataque “defacement”, de un del grupo de Pakistán los ciber activistas denominados “Pak Cyber Thunders”

index

En el defacement aparece un texto de reclamo:

Message

Your Site Is Hacked Is Because of Your High Security!

PayBack of Hacking Pakistani Sites

Free Kashmir, Because Its Our!

Pakistan Zindabad

Se ha confirmado los ataques en redes sociales, noticieros nacionales e internacionales así como por el mismo grupo “Pak Cyber Thunders” a través de sus redes sociales.

rs

De igual forma se corrobora el ataque por la web “zone-h.org” (un sitio web que contiene un repositorio de defacements).

1

¿Qué sucedió?

La afectación de un servidor que aloja varios sitios web estrictamente informativos de gobiernos locales de Costa Rica.

lookup

En cinco sitios informativos se perpetuo un ataque informático conocido como defacement (“modificar o alterar la apariencia del sitio web”)

2

Supongamos el ¿Por qué atacan sitios web del Gobierno de Costa Rica?

  • El situación se generó tras la tensión entre Estados Unidos e Irán por el acuerdo nuclear.
  • La amenaza de los hackers incluye a los países aliados a Estados Unidos. Esto coloca a Costa Rica en una lista negra. Especialistas consideran los ataques con fines políticos en el caso de Costa Rica los sitios (.go.cr) afectados son de instituciones gubernamentales.

Post- Defacement (Respuesta al Incidente)

  • El día 14 se reunieron expertos en Ciberseguridad y responsables en la temática de distintas instituciones del país convocados por el Ministro del MICITT para atender de manera oportuna los reportes de incidentes

En la reunión se presentaron representantes del MICITT, del Instituto Costarricense de Electricidad (ICE), del Organismo de Investigación Judicial (OIJ), del Ministerio de Seguridad Pública (MSP), de la Dirección de Inteligencia y Seguridad (DIS) y de NIC Costa Rica (administrador de los dominios .cr)

      Las instituciones acordaron:

  1. Establecer un grupo de trabajo para fortalecer la gestión de los incidentes y proponer soluciones correctivas.
  2. Un plan remedial a las instituciones afectadas.
  3. Formalizar de un protocolo de comunicación de las entidades.
  • Actualmente los sitios afectados han sido restablecidos.

Sigamos avanzando…

Guardemos este acontecimiento para evidenciar la importancia de impulsar un CSIRT-CR (centro de respuesta a incidentes) y la formulación de un protocolo para dar respuesta a incidente semejantes.

“Las organizaciones gastan millones de dólares en firewalls y dispositivos de seguridad, pero tiran el dinero porque ninguna de estas medidas cubre el eslabón más débil de la cadena de seguridad: la gente que usa y administra los ordenadores”
     Kevin Mitnick

 

Delitos Informáticos en Costa Rica (Enero-Marzo) 2018

d3

Buenos a todas y todos en esta noche les deseo compartir información sobre estadísticas de delitos informáticos que suceden en nuestro país, de igual forma que en la anterior entrada Delitos Informáticos en Costa Rica 2017, primeramente darles merecidas gracias a la Unidad de Análisis Criminal del OIJ por brindarme información estadística de los delitos informáticos. Me brindaron una respuesta muy rápida e profesional y un informe de lujo, dicho informe fue un insumo muy valioso para el desarrollo de esta entrega.

Luego de merecidos agradecimientos, esta entrega veremos una visión de parte del primer trimestre del periodo (01/enero al 22/marzo) del año 2018.

Visión parte del primer trimestre del año 2018

De enero hasta parte del mes de marzo del 2018 se registran 167 delitos informáticos. En el siguiente gráfico podríamos apreciar la cantidad de delitos por mes.

2

Reflejando el mes de Enero del 2018 con mayor cantidad de delitos informáticos, este mes esta relacionado a “Finales de navidad e Inicio de Año Nuevo”, mmmmm!!!

A continuación una visión de delitos informáticos por mes clasificados por modo de operar. Entre las categorías de delitos informáticos por modo de operar se determinan:

  • Estafa Informática.
  • Suplantación de Identidad.
  • Suplantación de Páginas Electrónicas.

4

Lo anterior resumido en el siguiente gráfico:

7

En el cual podemos interpretar el delito informático con alta incidencia en parte del primer trimestre del 2018 fue “Estafa Informática”

Dato interesante es la cantidad de delitos informáticos según la provincia, representado de color anaranjado para el año 2018:

5

En parte del primer trimestre del 2018 se presenta a San José como la provincia más afectada y las provincias de Puntarenas e Guanacaste con menor incidencia.

Conclusiones

De estas cifras podemos recalcar la importancia de denunciar a las autoridades en nuestro caso al OIJ la sección de delitos informáticos. A continuación una infografía resumiendo las estadísticas del delito informático para primer trimestre del 2018.

delitos 2


 

Alguna recomendación para que, “NO seas parte de estas cifras”, recuerda hay muchas recomendaciones pero la más importante “Sentido común”.

Espero que les guste esta entrada, espero sus comentarios.

Saludos y hasta la próxima…

Delitos Informáticos en Costa Rica 2017

d3

Buenas a todas y todos en esta noche les deseo compartir información estadística sobre delitos informáticos que suceden en nuestro país, primeramente darles merecidas gracias a la Unidad de Análisis Criminal del OIJ por brindarme información estadística de los delitos informáticos. Me brindaron una respuesta  rápida e profesional y un informe de lujo, dicho informe fue un insumo muy valioso para el desarrollo de esta entrega.

Luego de merecidos agradecimientos, esta entrega veremos una visión del 2017 de los delitos informáticos en nuestro país.

Visión del año 2017

De enero a diciembre del 2017 se registran 674 delitos informáticos. En el siguiente gráfico podemos evidenciar la cantidad de delitos por mes.

1

Reflejando el mes de Noviembre del 2017 con mayor cantidad de delitos informáticos,  ¿casualidad o no? Noviembre un mes cercano a “el Cierre Fiscal, Viernes Negro y cercanía de Navidad”, interesante observación mi querido Watson!

A continuación una visión de delitos informáticos por mes clasificados por modo de operar. Entre las categorías de delitos informáticos por modo de operar se determinan:

  • Estafa Informática.
  • Suplantación de Identidad.
  • Suplantación de Páginas Electrónicas.

3

Lo anterior resumido en el siguiente gráfico:

6

En el cual podemos interpretar el delito informático con alta incidencia en el año 2017 fue “Suplantación de Identidad”

Dato interesante es la cantidad de delitos informáticos según la provincia, representado con color azul para el año 2017.

5

Para el año 2017 se presenta a San José como la provincia más afectada y las provincias de Puntarenas e Guanacaste con menor incidencia.

Conclusiones

De estas cifras podemos recalcar la importancia de denunciar a las autoridades en nuestro caso el OIJ la sección de delitos informáticos. A continuación una infografía resumiendo las estadísticas del delito informático para el 2017.

delitos 1


 

Además algunas recomendaciones para que, “NO seas parte de estas cifras”, recuerda hay muchas recomendaciones pero la más importante “Sentido común”.

  1. Destruye tus documentos personales cuando ya lis dejes de necesitar.
  2. Piensa antes de publicar o compartir información personal.
  3. Limita el número de documentos personales que llevas contigo.
  4. Cuidado cuando te soliciten información en persona, por internet o teléfono.
  5. Investiga si recibes tarjetas de crédito, servicios o artículos que no hayas solicitado.
  6. Mantén alerta ante cualquier transacción bancaria inusual o sospechosa.
  7. Mantén siempre a la vista tu tarjeta de crédito o débito.
  8. Verifica a quien le das tus datos, no compartas tu información personal con cualquiera.
  9. No tengas una misma contraseña para todo.
  10. Utiliza contraseñas en todos tus dispositivos (Tablet, celular, computadoras).
  11. No permita que fotografías o fotocopias de su tarjeta, su información puede ser utilizada para realizar compras de manera virtual.

 

  • Recomendaciones para no ser víctima de la Estafa Informática:
  1. Solo descarga aplicaciones móviles desde las tiendas oficiales.
  2. Desconfía de correos no solicitados, especialmente de aquellos que piden datos o transferencias.
  3. Aplicar sentido común, nada es gratis.
  4. Realizar compras solo en sitios de internet seguros y recomendados por la misma entidad bancaria emisora de la tarjeta.
  5. No descargues o abras links sospechosos.
  • Recomendaciones para no ser víctima de la Suplantación de Páginas Electrónicas:
  1. No ingresar a direcciones de páginas web desde redes sociales, es recomendable ingresar directamente desde el navegador.
  2. Procura que las páginas visitadas utilice un protocolo seguro (HTTPS) el candado verde.
  3. Procura utilizar algún plugin en tu navegador de evaluación de la reputación de los sitios web. Ejemplo: WOT.
  4. Si desconfías de la página que deseas visitar, evalúa la URL en algún antivirus online. Ejemplo: VirusTotal

Espero que les guste esta entrada, espero sus comentarios. La siguiente entrega será de delitos informáticos en Costa Rica para el primer trimestre del presente año 2018.

Saludos y hasta la próxima….

Leyes relacionadas a “Seguridad de la Información” en Costa Rica

Buenas a todos y todas hoy les quiero presentar una recopilación de la legislación jurídica de Costa Rica referente a temas relacionado a la Seguridad de la Información.

flag

Legislación Nacional:

Primeramente tenemos a la Ley Nº 4573, referente al Código Penal de Costa Rica se entiende:

  • “El conjunto unitario de las normas jurídicas punibles (que merece castigo) del Estado, un compendio ordenado de la legislación aplicable en materia penal “
  • “Grupo de leyes que sanciona los distintos delitos y que establece los procedimientos legales para tratar a los procesados. “

 Algunas Leyes:

1

Decreto:

2

Normativa de Gobierno

3

Convenios Internacionales:

4

Te pido si conoces alguna otra ley, normativa o decreto relacionado con el tema de “Seguridad de la Información” deja en los comentarios ese conocimiento.

Saludos, espero tus comentarios.

 

 

 

 

Estrategia Nacional de Ciberseguridad en Costa Rica.

flag

El 11 de octubre del 2017 el vice ministro de Ciencia y Tecnología afirmo que Costa Rica cuenta con una estrategia nacional de ciberseguridad.

La estrategia se desarrollo en forma participativa con sectores vinculados en el área dentro de la estrategia se estableció la figura de un Coordinador Nacional que recae en el MICITT y un Comité Consultivo el cual velara por el establecimiento de un plan operativo para la ejecución de la “Estrategia Nacional de Ciberseguridad”.

El comité estará conformado de la siguiente forma:

  • 2 miembros del ministerio de Ciencia y Tecnología (MICITT)
  • 1 miembro del Poder Judicial
  • 1 miembro de la Superintendencia de Telecomunicaciones (Sutel)
  • 2 miembros de la sociedad civil
  • 2 miembros de la academia
  • 2 miembros del sector privado

Con la estrategia se establece un marco de orientación para Costa Rica en materia de seguridad para el uso de las TIC y permitirá crear un ámbito de coordinación entre los sectores publico y privado.

Continuamos avanzando, sumado a la estrategia Costa Rica cuenta con un set de  Leyes relacionadas a “Seguridad de la Información” que ayudan proteger al paìs.

Saludos.

 

 

 

II. OSINT de número de teléfonos en Costa Rica

CRtelefonos

El propósito del articulo es hacer notar la cantidad de datos que se pueden obtener de fuentes abiertas en internet relacionados a un número de teléfono, es el segundo articulo de una serie de “OSINT en Costa Rica”.

OSINT: “Open Source Intelligence o Inteligencia de fuentes abiertas; la definición estándar dice que es la inteligencia proveniente de fuentes abiertas, cualquier información desclasificada y públicamente accesible en Internet en forma gratuita, este termino fue acuñado y muy empleado entre militares, fuentes del orden y personal de inteligencia de las agencias gubernamentales”.

Entrando en contexto después de definir OSINT la realidad nacional, ¿Realidad o Descuido?, datos que están publico en internet ha manos de todos publico, facilitando la identificación o contacto de una persona física por medio de la relación de otros datos obtenidos de mas fuentes de datos publicas.

A continuación una lista fuentes y datos que se encontraron en internet relacionados a un número de teléfono:

Fuentes: Sitios Web de entidades bancarias o sitio de pago del servicio telefónico:

Algunos datos de los cuales podríamos encontrar en internet solamente utilizando el numero de teléfono:

1- Pago de Servicio Telefónico:

  • Nombre de propietario y monto ha pagar.

*IMPORTANTE: No importa si el número de teléfono esta registrado como “privado” con solo ingresar el número de teléfono aparecerá la información del propietario.

Fuentes: Sitios Web de entidades gubernamentales:

1- Consultar de Nombre del Operador o Proveedor que brinda el servicios al numero de teléfono proporcionado.

Fuentes: Sitios de proveedoras de servicios telefónicos.

Algunos datos de los cuales podríamos encontrar en internet solamente utilizando el numero de teléfono:

1. Consultar Facturas Pendientes:

  • Datos obtenidos (Periodo, Monto de factura, Vencimiento).

Algunos datos de los cuales podríamos encontrar en internet solamente utilizando el nombre de la persona o local a la cual pertenece el número de teléfono:

2. Consultar en Guía Telefónica Digital o Paginas Blancas Residenciales:

  • Datos obtenidos (Nombre propietario, número de teléfono y localización).

3. Consultar en Guía Comercial o Paginas Amarillas:

  • Datos obtenidos (Nombre local, número de teléfono, localización, horario de atención).

Otras fuentes publicas de datos:

1. Consultar en el Número de asistencia o guía telefónica utilizando el código de teléfono proporcionado por la entidad telefónica para dar este servicio. Ejemplo 1113 o 1115

  • Datos obtenidos: (Nombre numero de teléfono).

2. Consultar en paginas de “Reverse Phone lookup” son sitios web con base de datos teléfonos a nivel mundial.

  • Datos obtenidos: (Nombre propietario, localización y país)

Fuentes: Buscadores de Internet

  1. Podremos encontrar gran cantidad de información publica realizando una búsqueda en Google o su buscador de preferencia .

Concluyendo OSINT es una arma de doble filo, depende en las manos y objetivo para el cual se utilice. Es interesante recalcar como el número de teléfono “privado” también en cierta medida es público ya que en algunas entidades bancarias o sitio de pago de servicios telefónico con brindar el número de teléfono para el pago de la factura te brindan el nombre completo del propietario. ¿Realidad o Descuido?

Medidas para protegernos:

  • Infórmate sobre la ley 8968 “Ley de protección de la persona frente al tratamiento de sus datos personales”.
  • Toma precaución de NO revelar datos referente a tu persona o tu teléfono en sitios de internet o redes sociales recuerda mucha de esta información sera publica al ser indexada por los buscadores de internet.

“El producto de datos aislados con una relación directa o indirecta son parte un universo identificable.” by cyberspynet

Si eres de Costa Rica, comenta que otra información esta accesible públicamente; si eres de otro país cuéntanos como es tu país en estos temas.

Saludos, Comparte y Comenta.

I. OSINT de número de placa de vehículos en Costa Rica

CRvehiculos

El propósito del articulo es hacer notar la cantidad de datos que se pueden obtener de fuentes abiertas en internet relacionados al número de placa de un vehículos que transitan en nuestras calles costarricenses, es el primer articulo de una serie de “OSINT en Costa Rica”.

OSINT: “Open Source Intelligence o Inteligencia de fuentes abiertas; la definición estándar dice que es la inteligencia proveniente de fuentes abiertas, cualquier información desclasificada y públicamente accesible en Internet en forma gratuita, este termino fue acuñado y muy empleado entre militares, fuentes del orden y personal de inteligencia de las agencias gubernamentales”.

Entrando en contexto después de definir OSINT la realidad nacional, ¿Realidad o Descuido?, datos que están publico en internet ha manos de todos publico, facilitando la identificación de una persona física por medio de la relación de otros datos obtenidos de mas fuentes de datos publicas.

A continuación una lista fuentes y datos que se encontraron en internet relacionados a la placa de un vehículo:

Fuentes: Sitios Web de instituciones gubernamentales, entidades bancarias o aseguradoras:

1- Consulta de Infracciones de estacionometro (parquímetros):

  • Tiene infracciones de estacionamiento.
  • Información de la Infracción (Lugar, Monto de Infracción, Fecha, Motivo de Infracción).
  • Datos característicos de vehículo (Clase, Tipo, Placa).

2- Consulta de infracciones de transito:

  • Tiene infracciones de transito.
  • Nombre de Conductor.
  • Datos característicos de vehículo (Placa, Serie, Modelo, Tipo, Clase, Marca).
  • Información de la Infracción (Lugar, Monto de Infracción, Estado de Cancelación, Fecha, Motivo de Infracción).

3- Consultar Marchamo (en algunas entidades bancarias o aseguradoras proporcionan el medio para consulta el marchamo):

  • Nombre de propietario.
  • Cédula de propietario.
  • Monto del Marchamo.
  • Datos de vehículo: Fabricante, Modelo.

4- Tiene su rtv (riteve) al día.

5- Tiene su marchamo al día.

6- Consulta el valor del vehículo:

  • Valor fiscal.
  • Monto del impuesto de su vehículo.
  • Características del vehículo (Clase, Placa, Marca, Estilo, Carrocería, Modelo, Cilindrada, Combustible, Cabina, Tracción, Transmisión).

7- Consultar registro de propiedad del vehículo:

  • Placa.
  • Datos de propietario.

Fuentes: Sitios Web o sección de clasificados de venta de vehículos:

  1. Consultar datos de características de vehículo, placas (en las fotografías de venta), datos de vendedor (posible dueño) (Nombre, teléfono, dirección), Tipo de financiamiento.

Fuentes: Buscadores de Internet

  1. Podremos encontrar gran cantidad de información publica con una búsqueda en Google o su buscador de preferencia con el siguiente conjunto de palabras claves “consulta placa costa rica”.

Concluyendo OSINT es una arma de doble filo, depende en las manos y objetivo para el cual se utilice, como hemos visto existe gran cantidad de fuentes y datos públicos relacionada a una placa de vehículo, es importante mencionar el problema no es el número de placa del vehículo sino la información de una persona física que puede ser obtenida a partir ese número, ya que a partir de datos obtenidos de otras fuentes publicas de información es factible la identificación física de un individuo.

“El producto de datos aislados con una relación directa o indirecta son parte un universo identificable.” by cyberspynet

Medidas para protegernos:

  • Infórmate sobre la ley 8968 “Ley de protección de la persona frente al tratamiento de sus datos personales”.
  • Si deseas vender tu vehículo, no reveles información que perjudique tu bienestar o de tus seres queridos.
  • Toma precaución de NO revelar datos referente a tu persona o tu vehículo en sitios de internet o redes sociales recuerda mucha de esta información sera publica al ser indexada por los buscadores de internet.

Si eres de Costa Rica, comenta que otra información esta accesible públicamente; si eres de otro país cuéntanos como es tu país en estos temas.

Saludos, Comparte y Comenta.

Continua leyendo la segunda parte.

II. OSINT de número de teléfonos en Costa Rica

 

Tip ¿En que grupo de dominio Windows estoy?

Buenas todas y todos, les ha pasado ¿que necesitan conocer a que grupos de dominio pertenecen ustedes o pertenece algún otro usuario?.

Para lo siguiente abrimos una consola de Windows o ”cmd.exe” y digitaremos el comando señalado:

Conociendo a que grupos de dominio pertenece cualquier usuario:

1.  Comando: net user USERNAME /domain

Nota: Reemplazar USERNAME con el nombre de usuario, sin prefijo de dominio.

Función: Realiza la consulta en el controlador de dominio principal (PDC) del dominio actual, obteniendo información de usuario del dominio.

Resultado: Dentro la información que despliega se encuentra la sesión “Miembros del grupo global” o “Miembros del grupo local” donde encontraremos los grupos de dominio Locales y Globales.

Si deseas solo obtener el nombre de los grupos únicamente podría aplicar filtro a los resultados anteriores ejemplo:

net user USERNAME /domain | findstr “*”

net user

 

Conociendo a que grupos de dominio pertenece el usuario actual:

2. Comando:  gpresult /V

Función: Muestra la configuración de la política de grupo y el conjunto de políticas resultante (RSOP) para un usuario o una computadora.

Resultado: Dentro la información que despliega se encuentra la sesión “El usuario es parte de los siguientes Grupos de seguridad” donde encontraremos los grupos de dominio Locales y Globales.

gpresult

 

3. Comando: whoami /groups

Nota: podríamos identificar por medio de SID (S-1-5-21….) los grupos que perteneces a un dominio.

Función: Despliega los “grupos de usuario” a los cuales pertenece el usuario actual.

Si deseas solo obtener el nombre de los grupos únicamente podría aplicar filtro a los resultados anteriores ejemplo:

whoami /groups /FO LIST | findstr “Nombre”

whoami

Espero que les sea de utilidad este tip de Windows, si conocen alguna otra forma por favor indicárnoslo en sus comentarios. Saludos y Gracias.

Minando bitcoins sin “MI” permiso: Cryptojacking

Buenas a todas y todos  hoy les comento sobre esta técnica que utilizan ciberdelicuentes para minar bitcoins o criptomonedas usando recursos de nuestra computadora sin permiso.

Cryptojacking proviene de la combinación de los términos en inglés cryptocurrency (criptomoneda) y hijacking (secuestro).

Sucede cuando usuarios maliciosos o los anfitriones de un sitio web insertan un código “destinado a minar o generar crytomonedas” en un sitio web, cuando una persona visita el sitio web, el código se apodera (secuestra) ciclos de CPU de la computadora sin autorización del visitante para extraer criptomonedas como Bitcoin o Monero, de esta forma incurriendo en el uso no autorizado de nuestros recursos para minar las divisas digitales.

Les recomiendo esta herramienta que ayudan a verificar si el sitio web que deseamos visitar está minando criptomonedas sin tu consentimiento, el “notmining.org” es un buscador online que busca directamente el código “minero” en la web analizada, sin utilizar listas negras (blacklist) de dominio.

notmining

Entre algunas de sus características

  • Proporciona un archivo texto con un blacklist de URL’s de sitios que minan criptomonedas.
  • Proporciona búsqueda múltiple de URL’s.
  • Proporciona extensión para Firefox y Chrome.
  • Muestra las ultimas web analizadas que dieron positivo a minería.

Información Extra:

Entre algunas estadísticas que menciona el blog de notmining.org

  • 75% minero detectado en NotMining procede de Coinhive.

Contramedida para cryptojacking:

  • Deshabilitar el JavaScript o utilizar una extensión que permita gestionar el uso de JavaScript como (NoScript)
  • Utilizar la extensión de NotMining disponibles para Firefox y Chrome

Saludos, comenta y comparte!