Habilitar la papelera de reciclaje en Windows Server 2012

Habilitar la papelera de reciclaje en Windows Server 2012

Hola a tod@s

Como gran novedad en Microsoft  Windows Server 2012 han incluido una papelera de reciclaje en Active Directory.

La papelera de reciclaje tiene las siguientes características:
  • Por defecto viene deshabilitada. Una vez habilitada no podemos deshabilitarla.
  • Los objetos son recuperables o permanecen en la papelera 180 días por defecto (tombstone lifetime by default in Windows Server 2012).
  • Una vez que hemos habilitado la papelera de reciclaje en Directorio Activo, los objetos eliminados pueden ser localizados en la OU Deleted Objects.

A continuación se va mostrar como habilitar la papelera de reciclaje.
1.       Se accede a uno de los controladores de dominio.
2.       Abrir Active Directory Administrative Center desde Server Manager/Tools

clip_image002
Imagen 1: Active Directory Administrative Center

3.       A continuación seleccionar  el domino en el que se desee trabajar.

clip_image004
Imagen 2: Active Directory Domain Services

4.       Una vez que se está en el dominio deseado, hacer clic sobre Enable Recycle Bin, situado a la derecha del panel.

clip_image006
Imagen 3: Ventana de Confirmación


Y finalizado, ya está habilitada la papelera de reciclaje, al activar la papelera de reciclaje se observará que cuando es borrado un objeto, este aparecerá en la estructura Ous, una nueva OU llamada Deleted Objects.

clip_image008
Imagen 4: Nueva OU



Si quieres conocer las novedades y secretos de la nueva versión del sistema operativo servidor de Microsoft te recomendamos Windows Server 2012 para IT Pros.
Si quieres aprender mucho más sobre los secretos de los sistemas Microsoft Windows, te recomendamos leer el libro de Sergio de los Santos “Máxima Seguridad en Windows: Secretos Técnicos”.
Si quieres aprender más secretos, configuraciones, integraciones, desarrollo de PowerShell te recomendamos leer el libro de Pablo González y Ruben Alonso “PowerShell: La navaja suiza de los administradores de sistemas” y, por último, te recordamos que si te ha gustado el artículo puedes suscribirte al Canal RSS de Windows Técnico para estar al día de las novedades e información técnica de interés.
clip_image010


No seáis malos. 

Análisis Virus Flame



Hola a tod@s

El virus que tiene atemorizada a toda la Red se llama Flame, este virus sobre todo afectó a los equipos informáticos de Oriente Medio, es capaz de grabar audios espías desde un micrófono conectado y realizar capturas de pantalla, actúa como keylogger, etcétera.



¿Qué es Flame?

Karspersky describe a Flame: “como un troyano con las capacidades de un gusano informático”. El punto de entrada del virus es desconocido, pero una vez que se ha introducido en un equipo, el virus es capaz de propagarse a través de memorias USB y redes locales. Por lo que Flame está destinado a recabar información de las computadoras afectadas.
Para Kaspersky, el virus es muy similar al gusano Stuxnet que causó verdaderos estragos en Irán durante el año 2010, sólo que Flame es mucho más complejo porque sus módulos ocupan más de 20 MB  de código, “si para analizar el código de Stuxnet se necesita varios meses, para descifrar el de Flame seguramente requeriremos de años”.



¿Cómo y quien lo detectó?

Kaspersky no tiene nada claro la fecha original de su creación. Fue el Ministerio del Petróleo el que dio la voz de alarma en Irán, cuando descubrió que varios servidores habían sido a atacados. Por el momento, también se desconoce quién es el creador del virus, aunque seguramente estemos hablando de autores, ya que los expertos de numerosas compañías de seguridad creen que detrás de Flame se encuentra un grupo organizado, quizás ciberguerra, quizás Israel o Estados Unidos, quien sabe.
  
¿A quién afecta?

Otro dato que hace pensar mucho y plantear cosas es que Flame no fue pensado para robar datos bancarios y obtener el dinero de las cuentas, sino que todo apunta que su objetivo es el de robar información, como si de una trama de espionaje se tratara. Decirme que delincuente fabrica un virus o troyano para no llenarse los bolsillos. Pues ninguno todos los ciberdelicuentes que existen en la red buscan estafar a los usuarios con por ejemplo Phishing bancario.
 Y las empresas de seguridad tampoco están alertando a los usuarios comunes, como lo hicieron con el virus de Flashback.



Su principal arma

Flame tiene componentes de un troyano, un backdoor, y un gusano, al ser un bicho tan complejo su estudio se hace muy complicado, su principal arma se centra en su modulo principal que lleva el nombre de MSSECMGR.OCX.
El módulo principal del bicho es un archivo DLL llamado mssecmgr.ocx. Han descubierto dos cambios de este módulo. La mayoría de las máquinas infectadas contenía su versión de 6 MB de tamaño.
La primera activación de este archivo es iniciada por uno de los rasgos externos  ya sea herramientas de Windows WMI mediante un archivo MOF.
Cuando se activa, mssecmgr se registra como un paquete de autenticación personalizada en el Registro de Windows y en el siguiente arranque del sistema, el módulo es cargado automáticamente por el sistema operativo.
Después de actualizar el registro de Windows, mssecmgr se hace más fuerte y extrae los módulos adicionales que están presentes en su sección de recursos cifrado y comprimido y los instala. El recurso es un diccionario que contiene las opciones de configuración para los módulos mssecmgr y otros. Cuando la instalación se haya completado, mssecmgr carga los módulos disponibles y comienza la ejecución. La funcionalidad del módulo se separa en diferentes "unidades" que tienen espacios de nombres diferentes en la configuración de recursos y tienen nombres diferentes en los mensajes de registro, que se usan ampliamente en todo el código.



Algunas de las unidades disponibles del recurso 146 son las siguientes:
Beetlejuice: Bluetooth: enumera los dispositivos que hay cerca del ordenador infectado.
Puede convertirse en una baliza. Muestra el ordenador como un dispositivo detectable y codifica el estado del programa malicioso en la información del dispositivo mediante base64.
Microbe : Graba audio desde recursos existentes de hardware. Enumera todos los dispositivos multimedia, guarda la configuración completa de los dispositivos, intenta seleccionar el dispositivo de grabación mas apropiado.
Infectmedia : Selecciona uno de los métodos para infectar los dispositivos, como los discos USB. Métodos disponibles: Autorun_infector, Euphoria.
Autorun_infector : Crea “autorun.inf” que contiene el programa malicioso y comienza con un comando especial “open”. Stuxnet usaba el mismo método antes del exploit LNK.
Euphoria : Crea un directorio “punto de empalme” con “desktop.ini” y “target.lnk” desde las entradas LINK 1 y LINK 2 del recurso 146 (no se encontraban en el archivo recurso). El directorio actúa como un atajo para ejecutar Flame.
Limbo : Crea cuentas puerta trasera cuyo login es “HelpAssistant” en los ordenadores en la red del dominio si se cuenta con las autorizaciones apropiada.
Frog : Infecta ordenadores mediante cuentas predeterminadas de usuario. La única cuenta de usuario especificada en el recurso de configuración es “HelpAssistant” que se crea mediante el ataque “Limbo”.Munch : Servidor HTTP que responde a "/ view.php" y "/" wpad.dat peticiones.
Snack : Escucha las interfaces de la red, recibe y guarda paquetes NBNS en un archivo de registro. Cuenta con una opción para comenzar solo cuando comienza "Munch". Entonces, los datos recopilados se usan para replicaciones en la red.
Boot_dll_loader :  Sección de la configuración que contiene la lista de todos los módulos adicionales que deben cargarse y ejecutarse.

Weasel : Crea un listado de directorio del ordenador infectado.
Boost : Crea una lista de archivos "interesantes" usando varias mascaras para los nombres de archivo.
Telemetry : Facilitador de registros log.
Gator : Cuando una conexión a Internet está disponible, se conecta con los servidores de comando y control, descarga nuevos módulos, y carga los datos recogidos (data./td>).
Security : Identifica los programas que pueden ser peligrosos para Flame, como las soluciones antivirus y los cortafuegos.
Bunny - Dbquery - Driller - Headache – Gadget: Por el momento se desconoce el propósito de estos módulos..

Modulos adicionales

Los módulos adicionales se instalan en la carpeta%windir%\system32\directorio:
·         mssecmgr.ocx
·         advnetcfg.ocx
·         msglu32.ocx
·         nteps32.ocx
·         soapr32.ocx
·         ccalc32.sys
·         boot32drv.sys

Módulos adicionales que se descargan desde los servidores de comando y control se instalan en el mismo directorio.
Los módulos de Flame producen varios archivos de datos que contienen extensos registros de ejecución, además de la información recolectada: capturas de pantalla, listas de procesos, listas de hardware, etc.
Los archivos se guardan en el directorio %windir%\temp bajo estos nombres:

~DEB93D.tmp

~8C5FF6C.tmp

~DF05AC8.tmp

~DFD85D3.tmp

~DFL*.tmp

~dra*.tmp

~fghz.tmp

~HLV*.tmp

~KWI988.tmp

~KWI989.tmp

~rei524.tmp

~rei525.tmp

~rf288.tmp

~rft374.tmp

~TFL848.tmp

~TFL849.tmp

~mso2a0.tmp

~mso2a1.tmp

~mso2a2.tmp

sstab*.dat

También hay archivos opcionales que se pueden encontrar en el directorio% windir% \ system32:
  • Advpck.dat
  • ntaps.dat
  • Rpcnc.dat




Flame guarda sus objetos persistentes en archivos con diferentes formatos. Todos los objetos están codificados con diferentes algoritmos y llaves. Algunos archivos son bases de datos que se crearon mediante una biblioteca SQLite3 incorporada. Los contenidos de estas bases de datos provienen de información robada y de rutinas de replicación. En posteriores publicaciones en este post ofreceremos más información sobre estos archivos.
Los nombres de directorio que usan los componentes adicionales de Flame pueden variar ligeramente según el tipo de instalación y las opciones de configuración desde el recurso 146:
C:\Program Files\Common Files\Microsoft Shared\MSSecurityMgr
C:\Program Files\Common Files\Microsoft Shared\MSAudio

C:\Program Files\Common Files\Microsoft Shared\MSAuthCtrl

C:\Program Files\Common Files\Microsoft Shared\MSAPackages

C:\Program Files\Common Files\Microsoft Shared\MSSndMix
Estos directorios pueden contener los siguientes archivos:

  • dstrlog.dat
  • lmcache.dat
  • mscrypt.dat (or wpgfilter.dat)
  • ntcache.dat
  • rccache.dat (or audfilter.dat)
  • ssitable (or audache)
  • secindex.dat

wavesup3.drv (una copia del modulo principal,mssecmgr.ocx, en el directorio MSAudio)
Flame también puede producir o descargar archivos con los siguientes nombres:

svchost1ex.mof

Svchostevt.mof

frog.bat

netcfgi.ocx

authpack.ocx

~a29.tmp

rdcvlt32.exe

to961.tmp

authcfg.dat

Wpab32.bat

ctrllist.dat

winrt32.ocx

winrt32.dll

scsec32.exe

grb9m2.bat

winconf32.ocx

watchxb.sys

sdclt32.exe

scaud32.exe

pcldrvx.ocx

mssvc32.ocx

mssui.drv

modevga.com

indsvc32.ocx

comspol32.ocx

comspol32.dll

browse32.ocx


¿Cómo saber si estoy infectado por Flame?

Realice una búsqueda para el archivo ~ DEB93D.tmp. Su presencia en un sistema significa lógicamente que está infectado por Flame.

Compruebe la HKLM_SYSTEM clave de registro \ CurrentControlSet \ Control \ Lsa \ Packages autenticación.

Si encuentra mssecmgr.ocx o authpack.ocx allí - usted está infectado con Flame.




Verificar la presencia de los siguientes catálogos
C: \ Archivos de programa \ Archivos comunes \ Microsoft Shared \ MSSecurityMgrC: \ Archivos de programa \ Archivos comunes \ Microsoft Shared \ MSAudioC: \ Archivos de programa \ Archivos comunes \ Microsoft Shared \ MSAuthCtrlC: \ Archivos de programa \ Archivos comunes \ Microsoft Shared \ MSAPackagesC: \ Archivos de programa \ Archivos comunes \ Microsoft Shared \ MSSndMix

Sinceramente no creo que el usuario de a pie este infectado por este tipo de virus, como se ha expuesto con anterioridad este virus fue diseñado para espiar a países y/o empresas poderosas. Los que si tendrían que realizar un estudio intensivo de sus servidores son los analistas de malware de grandes compañías y algún que otro país, quizás tengan ahí viviendo el bichito a sus anchas.


No seáis malos. 
Actualízate a Windows 8

Actualízate a Windows 8

Hola a tod@s

Desde que Steven Sinofsky, presidente de la división Windows en Microsoft, confirmara que la versión final de Windows 8 vería la luz el pasado 26 de Octubre, a fecha de hoy el nuevo sistema operativo ha logrado vender más de 40 millones de licencias, muy pesar de que podía ser una apuesta arriesgada principalmente por el cambio de imagen que experimento Windows 8 con su estilo metro.

Su antecesor Windows 7 vendió 60 millones de licencias en los primeros tres meses. De seguir así Windows 8 podría convertirse en el sistema operativo más vendido de la historia.
Las claves de su éxito radica en su bajo coste, ya que la actualización a Windows 8 se encuentra en (30-40€) y en las novedades que ofrece su nuevo  aspecto y usabilidad.

La nueva pantalla de inicio
clip_image002
Imagen 1: Nueva pantalla inicio

Una de las principales novedades, desaparece el menú de inicio pero, para sustituirlo llega un mosaico muy estético de aplicaciones de Windows que ofrecen información en tiempo real, además cabría destacar la fluidez y rapidez al abrir las aplicaciones, la personalización del escritorio, entre otras.

El modo táctil
clip_image004
Imagen 2: Modo táctil

La compañía de Redmond hace una apuesta firme hacia el mundo táctil, ya que con ésta revolución Microsoft cubre una cuota de mercado que no tenia cubierto hasta el momento, como lo es el mundo táctil.

Con Windows 8 puedes trabajar con el ratón y teclado como se hace habitualmente o simplemente utilizar los dedos para realizar tus tareas obteniendo una gran experiencia de usuario. Además gracias a la Charms Bar se puede navegar por Windows 8 de una manera fácil e intuitiva.

Rendimiento
clip_image006

Los dispositivos que soportaban Windows Vista eran totalmente compatibles con el sistema operativo sucesor, Windows 7. De igual manera ocurre con MS Windows 8, ya que las características mínimas de hardware que solicitaba la penúltima versión de Windows serán más que suficientes para que la nueva versión funcione de forma óptima. Como curiosidad también podríamos comentar que Windows 8 y Windows Phone 8 comparten el mismo Kernel.

La velocidad de inicio ha mejorado con respecto a su antecesor, también las aplicaciones se ejecutan de forma más rápida. Sin embargo la  mejora más importante, a lo que rendimiento se refiere, es que Windows 8 necesita menos memoria para funcionar.

Como no podría ser de otra manera, el tema de la seguridad ha tenido gran protagonismo ya que el estándar IBM PC BIOS que se ha utilizado durante años  se remplaza por UEFI (Unified Extensible Firmware Interface), una especificación originalmente diseñada por Intel pero que ahora se ha convertido en una norma, que ofrece arranques mucho más rápidos y mayor seguridad.
Algunas de las características que presenta el sistema UEFI son:
·         Evita malware avanzado como rootkits y bootkits en el arranque del sistema.
·         Mejora en las contraseñas con dos tipos de contraseñas a través de fotografía y de PIN de cuatro dígitos.

Por último recordar que cualquier usuario que tenga Windows XP, Vista o Windows 7 puede actualizarse al futuro con Windows 8.

Si quieres aprender mucho más sobre los secretos de los sistemas Microsoft Windows, te recomendamos leer el libro de Sergio de los Santos "Máxima Seguridad en Windows: Secretos Técnicos" y el libro de Fraude Online para conocer mejor cómo funcionan las mafias de ciber criminales en Internet. Además  si te ha gustado el artículo puedes suscribirte al Canal RSS de Windows Técnico o al Canal Google+ de Windows Técnico para estar al día de las novedades e información técnica de interés.

clip_image007
 
 
 
No seáis malos. 

Nuevo Phising BBVA



Hola a tod@s


La semana pasada al entrar en mi cuanta me llego un aviso de BBVA advirtiéndome que un nuevo phising anda circulando por ahí, el mensaje de advertencia decía: que si al entrar en la web aparece una pantalla como en la imagen de abajo no introduzcamos nada ya que ellos no mandan este tipo de mensajes”.

Imagen 1: Aviso BBVA


En esta ocasión el phising está un poco más currado que muchos que hay por ahí circulando, con este tipo de phising es más fácil que la víctima caiga en la trampa puesta por el atacante ya que no está solicitando ningún tipo de información comprometedora como puede ser las claves de acceso o de operaciones, pins, etc. 



El atacante como es habitual en los casos de phising envía a la víctima un correo electrónico suplantando la identidad del banco e invitando a la víctima a acceder al banco mediante una dirección web falsa, en este caso los atacantes solicitan al usuario que motivos de seguridad introduzcan su número de teléfono, seguramente para añadirlos a suscripciones premium sin que la víctima se de cuanta hasta que llegue la factura,  o también puede ser adware móvil (avisos publicitarios), también llamdo madware es algo molesto que interrumpe la experiencia del usuario y puede llegar a exponer detalles de ubicación, información de contacto, en fin ganan dinero contigo por medio de la publicidad y cediendo tus datos a empresas y tú sin enterarte.


En los últimos nueve meses, el número de aplicaciones que incluyen las formas más agresivas de madware ha aumentado 210%.


En definitiva por supuesto no facilitéis datos bancarios por correo electrónico, ni tampoco datos móviles como vuestros teléfonos móviles.

Y muy bien por las entidades bancarías y a los profesionales de seguridad que la componen que tengan a los clientes informados de estos fraudes online.



No seáis malos.