Cuando Rudra Saraswat presentó al mundo a este proyecto, lo cierto es que tuve sentimientos encontrados. Por una parte, sonaba muy bien eso de poder instalar paquetes de cualquier distribución – y más adelante de Android -; por otra, su creador también está detrás de Ubuntu Unity, Unity Desktop, Ubuntu Web, UbuntuEd y no sé si me dejo algo, por lo que preocupaba que pudiera dejar este proyecto como otros. Pero el tiempo va pasando, y blendOS v4 ha llegado continuando su progresión.

blendOS v4 sigue con su modelo de desarrollo. Es una distribución inmutable, lo que significa que es de sólo lectura y no se puede romper. La diferencia entre esta distro y otras como las de Fedora o SteamOS es que incluye las herramientas por defecto para instalar paquetes de otras distribuciones. Además de inmutable también es atómica, y desde blendOS v4, completamente declarativa.

blendOS v4 ya disponible

Que sea totalmente declarativa permite tener cualquier paquete, kernel o drivers de los repositorios de Arch Linux o su repositorio del usuario, también conocido como AUR por sus siglas en inglés, mientras incluye opciones de GNOME, KDE, XFCE, MATE y Budgie para que no tengamos que descargar los entornos gráficos por nuestra cuenta, lo que también nos obligaría a configurarlos para que quedaran bien.

Saraswat no ha publicado mucha más información sobre las novedades de blendOS v4, pero se sabe que usa Linux 6.9 y se han actualizado los paquetes a versiónes más recientes.

Para quienes no lo conozcan, el soporte para Android existe, pero sólo en escritorios con soporte completo para Wayland – como GNOME y KDE – y no se puede usar en máquinas virtuales. Para poder ver todo el potencial de esta distribución inmutable y atómica hay que realizar una instalación nativa, es decir, no usarlo en una sesión en vivo ni en una máquina virtual.

Los usuarios interesados pueden descargar la nueva ISO desde este enlace.

from Linux Adictos https://ift.tt/4am2FId
via IFTTT

Hace pocos días, Black Lotus Labs dio a conocer, mediante un informe reciente, detalles sobre una vulnerabilidad que dejo inservibles más de 600,000 routers para oficinas pequeñas y domésticas.

Y es que durante un período de 72 horas (entre el 25 y 27 de octubre de 2023) más de 600,000 routers fueron inhabilitados por un troyano de acceso remoto (RAT) conocido como «Chalubo». Este evento, que tuvo lugar, resultó en la inoperabilidad permanente de los dispositivos infectados y la necesidad de su reemplazo físico.

Sobre el incidente

Black Lotus Labs informa en su publicación que el ataque se llevó a cabo utilizando el malware Chalubo, conocido desde 2018, organiza el control centralizado de la botnet y se utiliza en dispositivos Linux basados en arquitecturas ARM, x86, x86_64, MIPS, MIPSEL y PowerPC de 32 y 64 bits.

El malware Chalubo implica tres etapas de implementación:

1. Inicio del Script Bash:
   • Tras la explotación de una vulnerabilidad o el uso de credenciales comprometidas, un script bash se ejecuta en el dispositivo comprometido.
   • Este script verifica la presencia del archivo ejecutable malicioso /usr/bin/usb2rci. Si el archivo no está presente, el script desactiva los filtros de paquetes con iptables -P INPUT ACCEPT; iptables -P OUTPUT ACCEPT;.
2. Evaluación del Script get_scrpc:
   • El script get_scrpc evalúa la suma de comprobación MD5 del archivo usb2rci.
   • Si la suma de comprobación no coincide con un valor predefinido, el script carga y ejecuta un segundo script, get_fwuueicj.
3. Ejecución del Script get_fwuueicj:
   • Este script comprueba la presencia del archivo /tmp/.adiisu. Si está ausente, lo crea.
   • Luego, carga el archivo ejecutable principal del malware, compilado para la CPU MIPS R3000, en el directorio /tmp con el nombre crrs y lo inicia.

Nuestro análisis identificó a «Chalubo», un troyano de acceso remoto (RAT), como la principal carga útil responsable del evento. Este troyano, identificado por primera vez en 2018 , empleó técnicas inteligentes para ocultar su actividad; eliminó todos los archivos del disco para ejecutarlos en la memoria, asumió un nombre de proceso aleatorio ya presente en el dispositivo y cifró todas las comunicaciones con el servidor de comando y control (C2)

En cuanto al comportamiento de Chalubo, se menciona que este realiza la:

• Recopilación y envío de información: El ejecutable de Chalubo recoge la información del host, como la dirección MAC, ID del dispositivo, versión de software y direcciones IP locales, y la envía a un servidor externo.
• Descarga y ejecución del componente Principal: Chalubo verifica la disponibilidad de los servidores de control y descarga el componente principal del malware, que es descifrado utilizando el cifrado de flujo ChaCha20.
• Ejecución de scripts lua: El componente principal puede descargar y ejecutar scripts Lua arbitrarios desde el servidor de control, determinando las acciones futuras del dispositivo, como participar en ataques DDoS.

Como tal no hay información concreta sobre cómo se comprometieron exactamente los dispositivos para instalar el malware y sobre ello los investigadores suponen que el acceso a los dispositivos podría haberse obtenido debido a credenciales no confiables proporcionadas por el proveedor, el uso de una contraseña genérica para ingresar a la interfaz de administración, o la explotación de vulnerabilidades desconocidas. Ya que los atacantes con acceso a los servidores de control de la botnet, probablemente aprovecharon la capacidad de Chalubo para ejecutar scripts Lua, sobrescribiendo el firmware del dispositivo y desactivándolo.

Ademas de ello, Black Lotus Labs discute cómo este ataque tuvo consecuencias significativas, incluida la necesidad de reemplazar equipos de hardware, especialmente en áreas rurales y marginadas, ya que un análisis de la red tras el incidente reveló que 179 mil dispositivos ActionTec (T3200 y T3260) y 480 mil dispositivos Sagemcom (F5380) fueron reemplazados por equipos de otro fabricante.

Este incidente es notable no solo por la magnitud del ataque, sino también porque, a pesar de la prevalencia del malware Chalubo (con más de 330,000 IP registradas accediendo a servidores de control a principios de 2024), las acciones maliciosas se limitaron a un solo proveedor, sugiriendo un ataque muy específico.

Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.

from Linux Adictos https://ift.tt/C3imsTX
via IFTTT

Como acabábamos de adelantar en el artículo sobre el lanzamiento de Parrot 6.1, hace unos instantes han hecho público el lanzamiento de Kali 2024.2, y aquí viene el artículo sobre este aterrizaje. Entre las novedades encontramos nuevas herramientas y actualizaciones de dos de los entornos gráficos que se ofrecen en esta distribución de hacking ético. Pero en donde se han extendido más es en hablarnos de la transición a t64 que han realizado.

Esta transición finalizó el pasado 20 de mayo, y ha sido necesaria, entre otras cosas, para evitar un problema que los sistemas informáticos experimentarán en 2038. ¿Recordáis el efecto 2000? Pues algo parecido, pero en este caso por el diseño del lenguaje de programación C. Quien quiera saber más sobre esto, lo mejor es que lea las notas de este lanzamiento.

Kali 2024.2 introduce GNOME 46

Kali 2024.2, cuya numeración debe a que es la segunda versión de este 2024, incluye ahora como opción GNOME 46, y todos los temas y extensiones se han actualizado de acuerdo con la nueva versión del entorno gráfico. Por otra parte, el escritorio Xfce ha recibido actualizaciones, concretamente en los modos Kali-Undercover y HiDPI. Estas actualizaciones mejoran la estabilidad e incluyen varias correcciones de errores, asegurando un soporte mejorado para las últimas mejoras en el escritorio.

Además de esto, Kali 2024.2 introduce 18 nuevas herramientas:

• autorecon – Herramienta de reconocimiento de red multihilo.
• coercer – Obliga automáticamente a un servidor Windows a autenticarse en una máquina arbitraria.
• dploot – Reescritura en Python de SharpDPAPI.
• getsploit – Utilidad de línea de comandos para buscar y descargar exploits.
• gowitness – Utilidad de captura de pantalla web usando Chrome Headless.
• horst – Herramienta de escaneo de radios altamente optimizada.
• ligolo-ng – Herramienta avanzada, aunque sencilla, de tunelización/pivoteo que utiliza una interfaz TUN.
• mitm6 – pwning IPv4 via IPv6.
• netexec – Herramienta de explotación de servicios de red que ayuda a automatizar la evaluación de la seguridad de grandes redes.
• pspy – Monitoriza procesos Linux sin permisos de root.
• pyinstaller – Convierte (empaqueta) programas Python en ejecutables independientes.
• pyinstxtractor – Extractor de PyInstalller.
• sharpshooter – Marco de generación de cargas útiles.
• sickle – Herramienta de desarrollo de cargas útiles.
• snort – Sistema flexible de detección de intrusos en la red.
• sploitscan – Búsqueda de información CVE.
• vopono – Ejecuta aplicaciones a través de túneles VPN con espacios de nombres de red temporales.
• waybackpy – Accede a la API de Wayback Machine usando Python.

Con esta versión, Kali Nethunter ahora soporta Android 14, entre otras actualizaciones.

Los usuarios interesados ya pueden obtener Kali 2024.2 desde su página web de descargas.

from Linux Adictos https://ift.tt/71r0J4k
via IFTTT