Category Archives: Windows

Funny Story: To DoS or DDoS? … that is the question.

I recently received an invitation to attend a seminar in “How to protect your business from DDoS attacks” the invitation was sent via an HTML attachment.

So, in my paranoia I opened the file in an editor before trying to load it in a browser.  While in the editor view I saw a link to a web server using an IP address directly.

Again I wanted to investigate further, so I loaded the root of the server (http://1.2.3.4/) on Firefox with “Header Spy” add-on in Firefox, just to see some info on the server.

To my surprise the server loads the default IIS page, and with the Header Spy information and look of the page I confirmed it was running IIS 8.5 on Windows (of course).

So I searched for vulnerabilities on IIS 8.5 and came up with MS15-034 bulletin so to make sure, I did manual check using curl with the following lien of code:

curl -v http(s)://hostname (or ip)/ -H “Host: anything” -H “Range: bytes=018446744073709551615” -k

dos

So I used some vulnerability checks from Offensive Security DB and a PoC on Python to be 100% sure and it was confirmed.

So the funny part: A DDoS prevention announcement on a DoS vulnerable host with a 1 year old vulnerability.  Isn’t it funny? #LOL

Ping with creativity … on windows

Recently saw a blog post on netstat , so I tough that if someone could blog about netstat I can blog about ping.  #insidejoke

First of all,  ping is a windows/unix command used to check connectivity between to points using ICMP protocol, but that’s not all you can do with it.

Disclaimer:  Many networks block ICMP, so this may not help you in any way.

First let see our options:

ping-help

As you can see there are a lot of options, but lets test three (3) of the most common ones.

Check connectivity to target

Check for DNS resolution on target

Manipulate TTL,  lets check the third (3rd) hop on a route to target

So let’s be creative with it:

Traceroute & check 30 hops

Do a ping sweep discovery on a /24 subnet

Now we can do  a reverse DNS walk

So now you see how an everyday  “insignificant” command can be of very much use.

In unix we have more tools available to manipulate strings and with the power of Bash more so.  But in essence you can do the same. I will cover this in a future post.

jq2106

Como protegerse del “ransomware” #Locky

Saludos,

Recientemente varios usuarios han sido afectados por un nuevo virus de modalidad “ransomware” llamado Locky.  Las preguntas son muchas  al igual que la confusión, así que les dejo este corto artículo para ayudarles.

 ¿Qué es ransomware?

Rasomware es un tipo de virus de cifra los datos del usuario y solicita un rescate para descifrarlos, en efecto secuestrando los datos de usuario. Estos pagos son solicitados utilizando Bitcoin, una moneda digital casi imposible de rastrear como si fuera efectivo digital.

 ¿Cómo los hace?

El virus utiliza una llave criptográfica imposible de quebrantar la cual es almacenada en servidores controlados por el programador del mismo. Estas llaves solo pueden ser accedidas pagando el rescate solicitado.

 ¿Hay exfiltración de datos?

Hasta el momento no se ha confirmado que los datos del usuario sean transmitidos fuera del sistema.  Existe la posibilidad que otras versiones del virus tengan la funcionalidad de robo de datos.  Por tanto toda persona que maneje datos sensitivos debe tomar todas las medidas de seguridad posibles.

 ¿Que tiene este virus que lo hace especial y nocivo?

Este virus al momento conocido como “Locky” está atacando a instituciones de salud en particular debido a la importancia de los datos que manejan.  Todo dispositivo (computadora, móvil, tableta, etc.) que contenga datos de pacientes está cubierto bajo la ley HIPAA la cual impone multas por la exfiltración de datos de pacientes si no se toman las medidas de seguridad necesarias.

 ¿Cómo nos protegemos?

  1. Actualizar antivirus (AV) y escanear el sistema diariamente.  Recordemos que los AV solo detectan lo que conocen y lo que pueden ver.
  2. Actualizar sistema operativo (Updates) por lo menos una vez en semana.
  3. Actualizar aplicaciones (PDF, Flash, Zip, etc) por lo menos una vez en semana.
  4. Hacer resguardo de datos fuera del sistema y en un medio desconectado (offline). Ej. USB o DVD
  5. Si es posible deshabilitar Macros en Productos de Office

https://support.office.com/en-us/article/Enable-or-disable-macros-in-Office-documents-7b4fdd2e-174f-47e2-9611-9efe4f860b12

  1. NO abrir correos enviados por personas que usted no conoce.
  2. NO abrir documentos del SPAM/Junk mail bajo ninguna circunstancia.

 

¿Qué hago si detecto que mi equipo ha sido infectado?

Apague el equipo inmediatamente y comuníquese con el personal de apoyo técnico lo antes posible.

Al momento de esta publicación no hay forma de recuperar los datos más allá de pagar el rescate.  :-(

— jq

Configurando Python en Windows

Por: Jose Quiñones (@josequinones)

Saludos,

Esta guia es para ayudar a aquellos que necesitan consejos de como configurar su sistema de Python en Windows. Hay mucho material disponible en el Internet pero de esta forma tengo mi propia guía para el futuro y como buen n00b la comparto con ustedes.

Lo primero que deben hacer es bajar las versiones de python que estaran utilizados.  Eso es facil, lo pueden hacer de la página de Python.org:

Ahí encontrarán versiones de 32 y 64 bits y adicionalmente podran bajar versiones anteriores.  Como soy un “n00b” estoy en las ultimas versiones: 3.3 y 2.7.6, pero pueden bajar e instalar todas las versiones que deseen y correrlas lado-a-lado en carpetas separadas. Ej, c:\python27, c:\python33, etc. Una vez bajen la version que desean necesitarán un editor o un Integrated Development Environment (IDE); la gran ventaja del IDE es que podrá detectar errores en la sintaxis y los ayudará a completar fácilmente sus declaraciones y código. Utilizar Notepad es para masoquistas, asi que lo menos que les recomiendo es NotePad++ si son simplistas pero si desean mas poder deben utilizar PyScripter o Eclipse Standard.  Los pueden bajar aqui:

Para Notepad++ y PyScripter no hay que realizar ninguna configuración mayor mas allá de sus gustos personales. Para Eclipse Standard si necesitamos hacer algo adicional.  Necesitamos instalar Java,  PyDev y configurarlo. No voy a cubrir como instalar Java pero recuerden su plataforma si es 32 o 64 bits. Una vez bajen y descompriman el archivo en un lugar de su predilección por ejemplo c:\eclipse, ejecuta el binario eclipse.exe para activar el programado.

Una vez arranque te preguntará donde pondrás los archivos de trabajo.  Puede ser  C:\Users\%username%\Documents\Workspace

Una vez suba procedemos a instalar PyDev a traves de del menu Help –> Install New Software …

Clickeas el botón de Add y llenas los blancos:

  • Name: PyDev
  • Location: http://pydev.org/updates

Marcas PyDev y pulsas el botón de Next

Pulsas nuevamente el botón Next, aceptas los términos de uso y finalmente pulsas el botón Finish. Acepto el certificado:

Aceptas nuevamente los parámetros por defecto y al final preguntará si deseas reiniciar Eclipse, pulsa el botón Yes. OK, ahora la configuración “final” de Eclipse.

En le Menu escoje Window –> Preferences, ve a la sección de PyDev, expande y busca la sección Interpreters –> Python Interpreter.

Pulsa el botón de New …y completa la información

  • Interpreter Name: Python27
  • Interpreter Executable: c:\python27\python.exe

Pulsas el botón OK, y OK nuevamente.

** Este proceso lo repites para todas las versiones de Python que tengas instaladas.

Depues vas a la Crear un proyecto

Recuerda escoger el interpretador correcto para el proyecto.

new-project-2

 

Ahora creas una carpeta nueva para tus archivos.  Puedes utilizar tu carpeta de Github y asi es mas facil manejar el código.

new-folder-1

new-folder-2

 

Ahora creas tu primer script

new-file-1

 

new-file-2

 

new-file-3

 

Corre tu script y prueba si el interpretador está funcionando correctamente.

run-file-1

 

run-file-2

 

Y este es el output a pantalla.

run-file-4

 

 

 

 

Si tiene algun consejo para mejorar esta guía, los comentarios son bienvenidos.

JQ

 

How to delegate and audit password changes on a Domain

Recently I was asked to give some administrative personnel the ability to reset, unlock and change passwords. To which I said: HELL NO!, but since this was not my decision to make and it was my task to complete I had to come up with a solution.  So I had to give these muggles access but have the ability to audit what they were doing.

… so that is how this post came to be.
Continue reading How to delegate and audit password changes on a Domain

¿Estamos listos para el zombi apocalipsis?

zombiesEsto NO es un plug de “Walking Dead” aunque todo el que me conoce sabe que soy fan, nada más divertido  que ver cómo le revienta la cabeza a un zombi.

La realidad es que les hablo de los zombis de computadoras, esos NO son nada divertidos porque son dañinos y como los zombis de “Walking Dead” no saben lo que hacen son automatas.  Todas aquellas PCs que están infectadas por el virus X, el gusano Y o el troyano Z, todos son malware y están pre-programados o esperando recibir un comando para atacar a un pobre infeliz que no ha parchado su PC, a realizar un DDoS, infectar un red local o tratar de destruir el Internet; estos son zombis.

Es nuestro trabajo aprender a manejar estos ataques y defender a nuestros clientes o patronos.  Tenemos los antivirus, pero no deberíamos depender de un antivirus para resolver una infección, tenemos muchísimas herramientas como los que provee Mark Russinovich de Sysinternals (http://technet.microsoft.com/en-us/sysinternals/bb545021.aspx)  ahora manejado por Microsoft; además Windows nos provee las herramientas de línea de comando como: tasklist.exe, sc.exe, net.exe, openfiles.exe, taskkill.exe, reg.exe,  wmic.exe, netstat.exe, powershell.exe y muchos otros . Muchas veces el “malware” no les deja ejecutar los comandos pero casi siempre es tan facil como cambiarle el nombre y ya.  Les recomiendo que infecten una VM e intenten limpiarla utilizado estas herramientas, será muy divertido (almenos para mi lo es).

Para encontrar malware en el Internet es bien fácil solo busca en Google un término popular y cuando veas en el link http://sitio.com/JhajTA2y5gHg  (nota los caracteres aleatorios al final del link) probablemente este infectada la página.

Aquí tienen un par de sitios para que se entretengan jugando con malware y tengan más información y detalles de como funcionan.

Adicional para veas como se están moviendo los botnets en el internet visita:

Si no aprendemos como funcionan para defendernos de ellos llegará el dia que tendremos que buscar a “Rick” y su magnum 357 cañón largo para defendernos de los zombis. Si sabes de algún otro sito compártelo.

JQ

How to restore/fix the default Domain Policies in Windows Server

Hello guys!

First of all, you should never modify the default policies in any windows environment (Workstation, Stand alone, Member server or DC), the right way to do it is to create polices based on what ever you want to achievied and link those policies to the appropiate OU. For example: Desktop Control, User Station settings, Base Security Settings, Network Settings, Internet Control, etc.  Well you get the idea, use your imagination and keep it simple but don’t go over board creating one gpo for every setting you want to change.

BUT, if you did not know better, or inherited a windows system from another administrator, you probably have modifications made to the default policies. Or maybe, it’s broken!
Continue reading How to restore/fix the default Domain Policies in Windows Server