CCNA: Cybersecurity Operations. Análisis del Exploit Kit Angler

Para la practica final del curso CCNA: Cybersecurity Operations que pude realizar gracias a haber conseguido el acceso a las Becas Digitaliza de Cisco, realizamos el análisis de un Exploit Kit, concretamente Angler. A continuación el análisis que realicé por mi parte. Tened en cuenta que no tiene por ser 100% verídico, y que puede haber cosas que no sean del todo correctas conceptual o técnicamente hablando, pues bien es cierto que en este tema soy de momento un aprendiz.

Espero que de alguna manera sirva para ayudar a aclarar algunas dudas a quienes hayan realizado el curso, o que estén analizando el comportamiento de Angler EK.

La practica se realiza analizando eventos principalmente en SGUIL, aunque también se hace uso de ELSA.

Análisis inicial

En este ataque por lo que se puede ver se producen 11 eventos relacionados, los cuales SNORT es capaz de detectar correctamente:

Sigue leyendo “CCNA: Cybersecurity Operations. Análisis del Exploit Kit Angler”

Sending FAIL2BAN notifications using a Telegram Bot

To install fail2ban just execute the following command:

apt-get install fail2ban

After install fail2ban there is nothing important to do to let it works, it’s just simply works. For the SSH daemon the default configuration is that after 5 failed logins the IP address get banned during 10 minutes.

Sigue leyendo “Sending FAIL2BAN notifications using a Telegram Bot”

Enviar notificaciones de FAIL2BAN usando un bot de Telegram

Si no tenéis fail2ban, la instalación es realmente simple:

apt-get install fail2ban

Para que fail2ban empiece a funcionar no hay que hacer realmente nada, la configuración por defecto para SSH es que tras 5 intentos fallidos de inicio de sesión la IP sea baneada durante 10 minutos. Ejemplo de mi VM Kali baneada en mi Raspberry:

Sigue leyendo “Enviar notificaciones de FAIL2BAN usando un bot de Telegram”

El mejor análisis técnico de Stuxnet

En el curso de CCNA Cybersecurity Operations, me han recomendado el que vendría a ser el mejor análisis técnico de Stuxnet. La verdad que el análisis es realmente fantástico y recomiendo al 100% la lectura, dejo el enlace a continuación:

https://www.langner.com/wp-content/uploads/2017/03/to-kill-a-centrifuge.pdf

La cita en la portada, que se puede ver en la imagen principal:

“The definitive analysis of Stuxnet”

Bruce Schneier

Es hecha por un experto en seguridad informatica y criptografo que llevo siguiendo varios años en su blog: https://www.schneier.com/ el cual recomiendo.

Así que echadle un vistazo al análisis de Stuxnet y al blog del señor Schneier.

Haciendo ficheros intocables con CHATTR en Linux

Una forma muy sencilla de evitar que los ficheros mas importantes de nuestro sistema sean modificados o borrados, es que solo nosotros como administradores tengamos permisos de escritura y lectura sobre dichos archivos; pero que ocurre cuando somos nosotros mismos que por error eliminamos un fichero vital, o que un script que hemos creado, por error elimine o modifique un fichero vital (?)… ahí es donde no nos sirve el hecho de que solo nosotros tengamos permisos… Una de las soluciones más rápidas que he descubierto es el comando chattr, con este comando haremos que nuestros directorios o ficheros sean intocables.

La sintaxis del comando para convertir el fichero “ficheroimportante.bkp” en intocable, sería:

Sigue leyendo “Haciendo ficheros intocables con CHATTR en Linux”