TheNote
RSS SANS Internet Storm Center... Nota
GooglePlay AppStore

RSS SANS Internet Storm Center, InfoCON: verde

El sitio web 'isc.sans.edu' es parte del Instituto SANS, una de las instituciones más confiables para la capacitación y certificación en ciberseguridad. Está predominantemente centrado en la información y ofrece numerosos recursos en el campo de la ciberseguridad. La página de inicio de 'isc.sans.edu' ofrece actualizaciones en tiempo real sobre amenazas y vulnerabilidades cibernéticas del Centro de Tormentas de Internet de SANS. Esto se muestra en forma de un tablero con las últimas actualizaciones, un gráfico de nivel de amenaza y una pizarra de anuncios. Ofrecen un proyecto de diagnóstico, que incluye firmas de malware, alimentadores de amenazas y conjuntos de reglas para un análisis de ciberseguridad completo. Además, el sitio 'isc.sans.edu' también ofrece educación y capacitación para profesionales de la ciberseguridad, así como un foro para discusiones sobre temas de ciberseguridad. Las principales secciones del sitio incluyen: 1. InfoStorms: Rastrea y informa sobre tormentas, y también ofrece pasos para mitigar amenazas inmediatas. 2. Amenazas: Esta categoría incluye amenazas cibernéticas globales actuales. 3. Herramientas gratuitas: Para probar y evaluar sistemas contra amenazas cibernéticas, hay numerosas herramientas gratuitas disponibles en el sitio web. 4. Educación: Tienen una variedad de cursos de capacitación en ciberseguridad para elegir. 5. Vulnerabilidades: Esta sección revela información sobre vulnerabilidades pasadas y ofrece orientación sobre cómo mitigarlas.
SANS Internet Storm Center, InfoCON: green isc.sans.edu
RSS isc.sans.edu
RSS Hunter RSS Hunter 22 ago 2024

Hilo de notas

De Desplazamientos de YARA a Direcciones Virtuales, (Viernes, 5 de septiembre)

YARA es una herramienta excelente que la mayoría de ustedes probablemente ya conocen y utilizan a diario. Si no es así, busquen en isc.sans.edu, tenemos un montón de diarios sobre ella[1]. YARA es muy poderosa porque pueden buscar arreglos de bytes que representan código ejecutable. En este caso, proporcionan la representación hexadecimal del código de máquina binario.
From YARA Offsets to Virtual Addresses, (Fri, Sep 5th) bsky.app
CdXz5zHNQW_cS8hYap0Qu.png
RSS Hunter RSS Hunter 5 sept 2025

Intentos de Explotación para Dassault DELMIA Apriso. CVE-2025-5086, (Mié, 3 Sep)

"Cuando pienso en la seguridad de los entornos de fabricación, suelo centrarme en los dispositivos IoT integrados en las líneas de producción. Todos los pequeños sensores y actuadores suelen ser muy difíciles de proteger. Por otro lado, también hay "gran software" que se utiliza para gestionar la fabricación. Un ejemplo es DELMIA Apriso de Dassault Systèmes. Este tipo de sistema de gestión de operaciones de fabricación (MOM) o sistema de ejecución de fabricación (MES) conecta todo y promete conectar las plantas de fabricación con los sistemas de planificación de recursos empresariales (ERP)".
Exploit Attempts for Dassault DELMIA Apriso. CVE-2025-5086, (Wed, Sep 3rd) isc.sans.edu
RSS Hunter RSS Hunter 3 sept 2025

Obtener un Mejor Control sobre Nombres de Dominio Internacionales y Punycode, (mar, 26 de ago)

Los nombres de dominio internacionales (IDN) siguen siendo un tema interesante. En su mayoría, probablemente son menos problemáticos de lo que algunas personas los hacen parecer, dado que navegadores populares como Google Chrome son bastante selectivos al mostrarlos. Pero, por otro lado, aún se utilizan legítimamente o no, y mantener el control sobre ellos es interesante.
Getting a Better Handle on International Domain Names and Punycode, (Tue, Aug 26th) isc.sans.edu
RSS Hunter RSS Hunter 26 ago 2025

Leer posición de valor de ubicación de lectura en documentos de Microsoft Word, (lun, 25 de agosto)

Mientras estudiaba para el GX-FE [1], comencé a explorar el valor "Position" en el registro que ayuda a indicar a Microsoft Word dónde te "quedaste". Es una función que muchas personas que usan Word han visto en numerosas ocasiones y se explora en FOR500: Windows Forensic Analysis [2].
Reading Location Position Value in Microsoft Word Documents, (Mon, Aug 25th) isc.sans.edu
RSS Hunter RSS Hunter 25 ago 2025

El fin de una era: Direcciones IP correctamente formateadas en todos nuestros datos. (Dom, 24 de ago)

Los sitios web del Internet Storm Center y DShield tienen aproximadamente 25 años. En aquel entonces, tomé algunas decisiones cuestionables que nunca he terminado de arreglar. Una de estas decisiones fue usar un formato de "15 caracteres con relleno de ceros" para las direcciones IP. Este formato rellenaba cada byte de la dirección IP con ceros iniciales, asegurando que todos tuvieran 15 caracteres de largo (incluyendo los puntos).
The end of an era: Properly formated IP addresses in all of our data., (Sun, Aug 24th) isc.sans.edu
RSS Hunter RSS Hunter 24 ago 2025

"No olvides la opción de línea de comandos "-n", (jue, 21 de ago)"

A mucha gente le gusta la línea de comandos, la CLI, el shell (llámalo como quieras) porque proporciona muchas herramientas potentes para realizar investigaciones. ¡El mejor ejemplo es probablemente el análisis de registros! Incluso si tenemos SIEM para ingerirlos y procesarlos, muchas personas todavía recurren a la vieja y buena suite de grep, cut, awk, sort, uniq, y muchas más.
Don't Forget The "-n" Command Line Switch, (Thu, Aug 21st) isc.sans.edu
RSS Hunter RSS Hunter 21 ago 2025

Escaneos de router de Airtell y nombres de usuario mal etiquetados (miércoles, 20 de agosto)

Al observar los nuevos nombres de usuario recopilados por nuestros honeypots de Cowrie, notará en primer lugar una serie de encabezados HTTP. Es muy común que los atacantes escaneen servidores web en puertos que están cubiertos por nuestros honeypots de Telnet. El resultado es que los encabezados de las solicitudes HTTP terminan en nuestra base de datos de nombres de usuario y contraseñas.
Airtell Router Scans, and Mislabeled usernames, (Wed, Aug 20th) isc.sans.edu
RSS Hunter RSS Hunter 20 ago 2025

Aumento de Escaneos de Reconocimiento de Elasticsearch, (martes 19 de agosto)

"Noté un aumento en escaneos que parecen intentar identificar instancias de Elasticsearch. Elasticsearch no es un objetivo nuevo. Su capacidad para almacenar y gestionar fácilmente datos JSON, combinada con una sencilla API HTTP, lo convierte en una herramienta conveniente para almacenar datos directamente accesibles desde el navegador a través de JavaScript. Elasticsearch ha sido particularmente popular para consolidar datos de registros, y la plataforma "ELK" (Elasticsearch, Logstash, Kibana) ha sido un estándar muy exitoso para la gestión de registros de código abierto."
Increased Elasticsearch Recognizance Scans, (Tue, Aug 19th) isc.sans.edu
RSS Hunter RSS Hunter 19 ago 2025

Vigilancia ante ataques de MFA-bombing (lunes, 18 de agosto)

Me desperté recientemente (como se hace cada día, con suerte) y vi que había recibido varios mensajes de autenticación de dos factores de Microsoft durante la noche. Como acababa de despertar, simplemente los eliminé, y dos minutos después me di cuenta - esto significa que una de mis contraseñas había sido comprometida, y no tenía idea de qué sitio web correspondía a las credenciales comprometidas.
Keeping an Eye on MFA-Bombing Attacks, (Mon, Aug 18th) isc.sans.edu
RSS Hunter RSS Hunter 18 ago 2025

SNI5GECT: Capturando y Inyectando Tráfico 5G sin Estaciones Base Rogue, (jue, 14 de ago)

A medida que el mundo adopta y transiciona gradualmente al uso de 5G para dispositivos móviles, tecnología operativa (OT), automatización y dispositivos de Internet de las Cosas (IoT), una infraestructura de red 5G segura sigue siendo fundamental. Recientemente, el Grupo de Investigación sobre Seguridad de Sistemas Automatizados (ASSET) ha lanzado un nuevo marco llamado SNI5GECT [pronunciado Sni-f-Gect (sniff + 5G + inject)] que permite a los usuarios del marco i) capturar mensajes de la comunicación 5G previa a la autenticación en tiempo real y ii) inyectar cargas útiles de ataque dirigidas en las comunicaciones de enlace descendente hacia Equipos de Usuario (UE). Anteriormente, escribí sobre cómo se establecen las conexiones 5G, por lo que me sumergiré directamente en el marco SNI5GECT. En este diario, proporcionaré una breve descripción general del marco SNI5GECT y discutiré un nuevo ataque de degradación en múltiples etapas que aprovecha el marco SNI5GECT.
SNI5GECT: Sniffing and Injecting 5G Traffic Without Rogue Base Stations, (Thu, Aug 14th) isc.sans.edu
CdXz5zHNQW_JRiixrrV7h.png
RSS Hunter RSS Hunter 15 ago 2025

CVE-2017-11882 Nunca Morirá, (Miércoles, 13 de agosto)

"Uno de los mensajes clave difundidos por profesionales de seguridad es: "Parchea, parchea y parchea de nuevo!". Pero hay vulnerabilidades feas que siguen siendo explotadas por atacantes incluso si son bastante antiguas. %%cve:2017-11882%% es una de ellas: esta ejecución de código remoto afecta a Microsoft Office y, más precisamente, al buen viejo "Editor de Ecuaciones". Esta herramienta incluso fue "asesinada" por Microsoft debido a numerosos problemas de seguridad[1]. Pero sigue siendo utilizada por atacantes para propagar malware moderno."
CVE-2017-11882 Will Never Die, (Wed, Aug 13th) isc.sans.edu
CdXz5zHNQW_Is5ajcqjUj.png
RSS Hunter RSS Hunter 13 ago 2025

Martes de Parches de Microsoft de agosto de 2025 (martes, 12 de agosto)

La última actualización de parches de Microsoft aborda 111 vulnerabilidades, de las cuales 17 se consideran críticas. Una de ellas es una vulnerabilidad de día cero en Windows Kerberos, que permite la escalada de privilegios de administrador de dominio. Una vulnerabilidad crítica en el Componente Gráfico de Windows permite la ejecución remota de código al explotar punteros de función no inicializados al decodificar imágenes JPEG. El componente GDI+ también tiene una vulnerabilidad crítica de ejecución remota de código, explotable a través de la red mediante la carga de metarchivos especialmente diseñados a servicios web. Si bien Azure Portal tiene una vulnerabilidad crítica de elevación de privilegios, Microsoft la ha mitigado por completo. Otra vulnerabilidad crítica en Windows NTLM permite la escalada de privilegios al nivel de SYSTEM. Microsoft Office tiene una vulnerabilidad crítica de ejecución remota de código, explotable a través del Panel de Vista Previa cuando un usuario previsualiza un documento comprometido. Ninguna de estas vulnerabilidades ha sido explotada en la naturaleza, pero se recomienda encarecidamente la aplicación inmediata de las actualizaciones. Las vulnerabilidades críticas presentan riesgos como la ejecución remota de código y la elevación de privilegios. Estos parches son esenciales para proteger los sistemas contra posibles amenazas.
Microsoft August 2025 Patch Tuesday, (Tue, Aug 12th) isc.sans.edu
RSS Hunter RSS Hunter 12 ago 2025

¿Siguen funcionando las estafas de sextorsión en 2025? (miércoles, 6 de agosto)

Los correos electrónicos de sextorsión han existido durante bastante tiempo, y hoy en día, la mayoría de los profesionales de la seguridad tienden a pensar en ellos más como un "ruido de fondo en el correo electrónico" en lugar de una amenaza seria. Dado que su existencia es razonablemente bien conocida incluso entre el público en general, este punto de vista parecería justificado... Pero, ¿son realmente irrelevantes los mensajes de sextorsión como amenaza en este momento, y podemos, por lo tanto, omitir este tema de manera segura durante las capacitaciones de concienciación sobre seguridad?
Do sextortion scams still work in 2025?, (Wed, Aug 6th) isc.sans.edu
CdXz5zHNQW_dQgujz5TJV.png
RSS Hunter RSS Hunter 6 ago 2025

Las cookies nos ayudan a ofrecer nuestros Servicios. Al utilizar nuestros Servicios o hacer clic en Acepto, aceptas nuestro uso de cookies .