Troyano que evade firewalls en Windows

 En esta ocasión, os voy a hacer una POC de como ejecutar un troyano en Windows que es capaz de evadir firewalls en la red. Esto lo consigue por que el troyano usa el protocolo ICMP para la comunicación entre la maquina atacante y la maquina victima.



Entradas populares de este blog

Escaneando el abismo: detección masiva de fallos con Shodan e IPs públicas

Imagen
  Shodan es un motor de búsqueda especializado que permite encontrar dispositivos conectados a Internet , como servidores, cámaras IP, routers, sistemas SCADA, IoT, y más. A diferencia de Google, que indexa sitios web, Shodan indexa información de los servicios expuestos (banners) y puede mostrar: Puertos abiertos Versiones de software Localización geográfica Información del sistema operativo Posibles vulnerabilidades (si están asociadas) Es ampliamente utilizado en ciberseguridad , auditorías y reconocimiento avanzado para detectar configuraciones inseguras o dispositivos expuestos. Con su versión gratuita, podemos hacer numerosas busquedas de equipos vulnerables, camaras expuestas, servidores mal configurados, etc. Aunque con esta versión no podemos usar la busqueda con los " Vulnerability search filter" (solo disponible con la versión de pago) que nos permite hacer busquedas especificas de vulnerabilidades de una forma más completa y tirando a tiro fi...
Leer más

Protección en el protocolo SMB

Imagen
  Tipos de Versiones SMB y su Impacto en la Seguridad en Windows Server Message Block (SMB) es un protocolo esencial en los sistemas Windows que permite compartir archivos, impresoras y otros recursos a través de una red además de ser necesario para el buen funcionamiento del Directorio Activo. A lo largo de los años, SMB ha pasado por diversas actualizaciones que han mejorado su funcionalidad y seguridad. Sin embargo, la coexistencia de versiones antiguas y modernas en redes empresariales plantea importantes desafíos de seguridad. SMB 1.0: Una Amenaza Persistente Lanzada en los años 80, SMB 1.0 fue ampliamente utilizada en sistemas como Windows NT y Windows 95. Aunque fue fundamental en su época, esta versión presenta varias vulnerabilidades que la hacen inadecuada para redes actuales: Sin cifrado: Los datos se transmiten en texto claro, lo que facilita su interceptación por parte de atacantes. Autenticación débil: Usa métodos obsoletos como NTLMv1, que son susceptibles a ataq...
Leer más

No useis direcciones IP en Windows. !Usad nombres de red!

Imagen
Conexión remota en Escritorio Remoto con una dirección IP.   El uso de nombres de red en vez de direcciones IP en entornos Windows ofrece beneficios importantes en términos de seguridad, especialmente cuando se utiliza Kerberos para la autenticación como viene siendo por defecto. Detallamos las razones clave por las que esta práctica es recomendable; 1. Compatibilidad con Kerberos Kerberos, como protocolo de autenticación en Active Directory, depende de los nombres de red para realizar su función de autenticación segura. Cuando se intenta establecer una conexión con direcciones IP, Kerberos no puede verificar la identidad del servidor, lo que lleva a un posible retroceso a métodos de autenticación menos seguros, como NTLM (un protocolo inseguro). Esta degradación disminuye la protección ya que Kerberos ofrece autenticación mutua basada en el uso de nombres de dominio completos. Microsoft ya anunció en octubre de 2023  su intención de desaprobar todas las versiones de NTLM, inc...
Leer más