Blog

The Blueliv blog is home to the latest threat intelligence analysis, content from investigations, corporate news, information about our modular cyberthreat intelligence solutions, and more. Take some time to explore the archives and perspectives from our intelligence analysts and management team.

research-blog
mount.cifs arbitary file identification 0day
Durante el wargame de la rootedcon 2012, además de participar, me dediqué a revisar un poco los sistemas. Puesto que no tenía disponible el /proc/kallsyms, hacer ataques al kernel, supondría ir a ciegas, bruteforcear símbolos … , incluso posiblemente crashear el kernel. De manera que me enfoqué sobretodo a...
research-blog
Proxy multi-protocolo sha0proxy v2
Normalmente el desarollo de exploits requiere más tiempo del que uno tiene, de manera que hay que ingeniarse técnicas y herramientas que faciliten el trabajo. Personalmente, antes que parchear una aplicación cliente, o utilizar las apis de ciertos protocolos, prefiero capturar el tráfico y enviar las cabeceras a bajo...
research-blog
Respuesta a Incidentes: Analizando un mailer desde la memoria
Es especialmente crítico que al detectar un incidente, como puede ser la infección por malware de cualquier equipo de una red interna, inmortalizar la “escena del crimen” con la máxima información posible acerca del estado de los equipos infectados. En este caso, particularizaremos sobre lo importante que puede ser...
research-blog
Resconstruyendo datos mediante el ingenio – Análisis forense en dispositivos móviles (II)
Existen situaciones en las que un investigador forense necesita sobrepasar las limitaciones técnicas intrínsecas a las herramientas existentes en la actualidad. Un claro ejemplo de esto sucede cuando el investigador necesita interpretar datos que contiene un teléfono móvil, los cuales pueden sufrir una fuerte fragmentación y, además, las entradas...
research-blog
Análisis Forense de una Infección – PARTE III
Tal y como comentamos en el post anterior, en el escrito de hoy vamos a realizar un análisis dinámico del malware. Concretamente, hemos tomado el ejecutable A0029519.exe situado en: System Volume Information_restore{2D9E3322-AD12-427C-8050-DC9B1714968D}RP126 con tamaño 42579 bytes y  hash sha1 2566f4de9d1f789314c0e67fcdc4f2d4778308d. Una vez ya tenemos el especimen a analizar, hemos...
research-blog
Detección de vulnerabilidades en servicios de red mediante fuzzing – Parte I
Una de las técnicas más utilizadas para la búsqueda de vulnerabilidades es el fuzzing. Consiste en probar, de forma más o menos inteligente, el comportamiento de una aplicación frente a unos datos generados específicamente para hacer que un programa falle, ya sea generando datos en una codificación diferente, enviando...
research-blog
Análisis Forense de una Infección por Malware – PARTE II
Retomando el tema de análisis de malware que introducimos en el post anterior “Análisis Forense de una Infección por Malware – PARTE I“, ahora nos centraremos más en analizar los artefactos de Windows para así obtener más información de las modificaciones efectuadas por especimen en la infección del equipo...
research-blog
Adquisición remota con Ad|Quiere
Con la salida de la nueva versión de Ad|Quiere,  se  ha incluido una aplicación que facilita la adquisición remota de la evidencia. Esta aplicación, “Reversessh”, establece un túnel inverso usando ssh contra una máquina remota. Así, el investigador forense podrá tener acceso a la máquina incluso estando detrás de...
research-blog
Análisis Forense de una Infección por Malware – PARTE I
Incluso en el periodo estival cuando las personas normales tienen vacaciones, surgen incidentes de seguridad. Este es el caso de un conocido, quien muy amablemente ha prestado su ordenador para someterlo a una adquisición y posterior análisis, para investigar un posible comportamiento algo extraño por el cual se manifestaban...
corporate-blueliv
Nueva versión de ad-Quiere (v0.9)
Desde hoy mismo, es posible descargarse la distribución forense que, junto con Aedel, venimos desarrollando desde https://www.blueliv.com/ad-Quiere/ad-Quiere_i386_v0.9.iso y su correspondiente checksum en https://www.blueliv.com/ad-Quiere/checksum_v0.9.txt La lista de cambios introducidos son: Se ha añadido Volatility, pasa a formar parte de la colección de herramientas. Se ha añadido el menú “Forensics” para...
research-blog
Cómo evadir las restricciones de seguridad establecidas en un kiosko
Se define como kiosco aquella máquina, puesta a disposición pública, para que usuarios utilicen los servicios ofrecidos por la empresa que facilita su acceso.   Seguro que muchos habéis visto algún kiosko similar, ofreciendo diversos servicios a través de Internet, ya sea en aeropuertos, estaciones de tren o incluso...
research-blog
Análisis forense en dispositivos móviles (I)
De todos es sabido que los teléfonos móviles cada vez son más parecidos a un ordenador común. La punta de lanza de esta tendencia está encabezada por las dos plataformas más evolucionadas en el marco de la telefonía móvil. Hablamos de Android e Iphone. La plataforma Android tiene un...
corporate-blueliv
¡Nos hemos mudado!. We’ve moved!.
Antes de iniciar el descanso estival hemos decidido cambiar el sitio y el diseño de nuestro web, dándole un toque más marino y fresco. A partir de ahora encontraréis nuestro blog en: bluelog.blueliv.com, por lo que por favor actualizar vuestros lectores de feeds.  Esperemos que este sea de vuestro agrado...
research-blog
Nmap Querier (NQu)
Durante la ejecución de un pentest, recurrimos a muchas herramientas para obtener información que nos llevará a conducir el test de intrusión por un camino u otro. Entre esas herramientas se encuentra la vetusta nmap que ya ha alcanzado su versión 5 y que hemos podido ver en un...
research-blog
Meterpreter Cheat Sheet
Con el objetivo de contribuir en la divulgación de conocimiento en materia de seguridad informática y comunicaciones, desde blueliv, hemos desarrollado un “chuletario” de los comandos más relevantes de Meterpreter. Muchos de vosotros, os preguntareis ¿qué es Meterpreter? y ¿para qué sirve?. La respuesta es muy simple, Meterpreter es...
research-blog
Seguridad en entornos Lotus Domino
En un contexto globalizado, como el actual, es frecuente encontrarse con servidores Lotus Domino accesibles desde Internet, a través de su acceso Web. La mayoría de estos disponen de mecanismos control de acceso mediante usuario y contraseña, no obstante, no es extraño encontrar accesos anónimos a recursos de dichas...
research-blog
Recuperando correos electrónicos de archivos PST
En las investigaciones forense en las que se investiga las posibles acciones fraudulentas efectuadas por un empleado de una Organización, es muy común, entre otros análisis, realizar un recuperación de ficheros en base a un búsqueda de strings y un posterior filtrado de los mismos aplicando un listado de...
research-blog
Solución al reto forense #5 de Sans
El día 1 de Abril, Sans organizó un nuevo concurso forense desde la página http://forensicscontest.com/2010/04/01/ms-moneymanys-mysterious-malware. El concurso consiste en responder una serie de cuestiones que se nos plantean desde la organización, ofreciendo una captura de red como evidencia. Al final, después del plazo estipulado, el ganador se lleva un...
research-blog
Reconstrucción de sucesos mediante múltiples fuentes de evidencias digitales
Como en cualquier investigación, las digitales también requieren de en una reconstrucción de los hechos, donde un investigador dispone de una piezas de puzzle que deberá encajar para poder determinar qué ha pasado. Es por ello que, en numerosos casos, nos podemos encontrar investigaciones digitales en las que tan...
research-blog
La Clasificación de Vulnerabilidades bien entendida
La clasificación de las debilidades de seguridad en TI es realmente antigua. Ya en 1976, el proyecto RISOS, en su informe “Security Analysis and Enhancements of Computer Operating Systems”, reflejaba este interés por catalogar la naturaleza de vulnerabilidades própias de Sistemas Operativos.
research-blog
Sobre adquisiciones forenses y copia de discos duros
Como publicamos a principios de semana, con la colaboración de AEDEL (Asociación Española de Evidencias Electrónicas) hemos lanzado un proyecto que tiene por objetivo construir una distribución LiveCD específica para realizar adquisiciones forenses. En el LiveCD podemos encontrar herramientas de adquisición de evidencias, pero sin duda alguna, estas herramientas...
corporate-blueliv
AD|QUIERE una distribución forense colaborativa para la comunidad hispana
Las actuales distribuciones forenses se están moviendo desde formatos abiertos y gratuitos a formatos de pago. Dichas herramientas forenses empiezan con buenas ideas e intenciones y finalmente, se apoderan de ellas empresas con ánimo de lucro, perdiendo así su filosofía GNU. Por estos motivos, blueliv y AEDEL lanzan AD|QUIERE...
research-blog
Reduciendo falsos positivos en las búsquedas de strings
Desde blueliv hemos encontrado diversidad de proyectos relacionados con el ámbito forense. Entre los más abundantes, los casos de fraude corporativo, dónde uno o varios trabajadores de la Organización se ven involucrados en una investigación de fraude interno. Es común, en éste tipo de casos, el uso de búsquedas...
research-blog
Volcando bases de datos mediante el uso de SQL Injection
Sobre los fundamentos de SQL Injection, pocas cosas nuevas pueden decirse. Basta con realizar breves búsquedas en Internet para encontrar información sobre sus principios, su explotación, técnicas de evasión e incluso la automatización en la recuperación de la base de datos. El presente post aborda algunos detalles, útiles para...
research-blog
Desenmascarando una botnet mediante el uso de criptoanálisis
En los últimos tiempos estamos asistiendo a un auge significativo de botnets, puestas a la disposición de actividades fraudulentas, como pueda ser el robo masivo tanto de credenciales de banca online como de tarjetas de crédito. Dada la rentabilidad, derivada de las actividades maliciosas, facilitada por una botnet, las...
research-blog
Cuando la ToIP se queda sin voz
La telefonía IP se usa ampliamente en las organizaciones. Por ello, es necesario que este servicio esté libre de amenazas, tales como la intercepción de comunicaciones o las denegaciones de servicio. Es necesario securizar dichas plataformas de comunicación esencial y realizar revisiones periódicas de seguridad para comprobar a que...
corporate-blueliv
El hacking y las nuevas tendencias
Mucho han cambiado las cosas desde finales de la década de los 80, en que los hackers no se movían por objetivos económicos sino más bien por filosofía, por ganarse el reconocimiento de otros o como protesta, culminando en movimientos hacktivistas. Algunos afirman que el termino se acuñó para...
research-blog
Nuevos vectores de ataque vinculados al negocio
La lógica del negocio está condicionada por su diseño inicial, por lo que la seguridad en la lógica de negocio debe tenerse en cuenta desde el mismo instante en el que se diseña dicha plataforma. Un buen punto de partida podría ser un diseño por capas, confiando a cada...
corporate-blueliv
La Seguridad y la Información pública u oculta en la red
Internet se ha convertido en una enorme base de datos de información distribuida y accesible a través de toda una serie de servicios y utilidades que han ido apareciendo: RSS, buscadores Web, redes sociales, foros de noticias, redes P2P, etc. Por otro lado, y como posible evolución, La Web...
corporate-blueliv
bluenews, un sistema inteligente de recolección de fallos de seguridad
Dentro del marco de la solución sýnap-link, la propuesta de blueliv para la gestión de la Seguridad de la Información en formato 24×7, es un factor clave mantenerse actualizado acerca de nuevas vulnerabilidades que afectan a diferentes fabricantes y productos. Del mismo modo, es esencial mantener una base de...
corporate-blueliv
Nuestro primer post
En este proyecto, el cual arrancamos con toda la ilusión y motivación posible, nos gustaría explicarte de dónde viene nuestro nombre. Desde que empezamos a pensar en las forma en que queríamos cambiar el mundo de la Seguridad de la Información, nos vino a la cabeza aquello que nos...
Demo Free Trial Community Newsletter