Menú

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Temas - sadfud

#1
En este post mostrare como es posible explotar la característica de windows god mode y aprovecharla para la creación y ocultación de malware con un simple código de cuatro lineas.

Aqui la explicación oficial de microsoft sobre esta característica de windows.
https://support.microsoft.com/es-es/kb/979240

El código a continuación mostrado es un simple script en autoit que automatiza este proceso


*Nota: En caso de desconocer el nombre de usuario se puede usar @Username

Pero como puede esto ser aprovechado por un desarrollador de malware?

Seguro que hay muchas formas de aprovechar esta característica, a mi de entrada se me ocurren dos:

La primera consistiría en crear una entrada en el registro para iniciar nuestra aplicación en el arranque, copiando previamente el binario a esa localizacion.

La segunda y poniendo un ejemplo practico podría ser aprovecharnos de esta característica con un keylogger, almacenando los logs en esa localización, de este modo se podrían almacenar tranquilamente en texto plano.

proyecto en github

https://github.com/SadFud/-Automated.GodMode
#2
Ingeniería Inversa / Safebox Crackme
6 Mayo 2016, 17:26 PM
Buenas
Vengo a dejar un crackme algo mas innovador de lo que se suele encontrar por ahí, la idea se me ocurrió hace un rato al volver de clase, tenia al lado un chaval jugando a un juego en android con el mismo concepto, aunque estéticamente mucho mas bonito xD

Como se ve en la imagen en este crackme hay que manejar las barras laterales hasta dar con la combinación correcta que abra la caja fuerte.
La idea es interpretar el funcionamiento desde algún debugger, ya que no tiene protección ninguna, lo único que esta limitado a 10 intentos, quizás alguien tenga suerte y lo acierte en esos primeros 10 intentos, aunque hay 100000 posibles combinaciones. Por tanto hay una posibilidad entre 10000 de acertar aleatoriamente. [size=85]Suerte xD.[/size]
Como dato añadir que esta escrito en .net y el código no esta ofuscado.  Ademas los valores aleatorios, que evidentemente oscilan entre 0 y 9 se generan diferentes en cada ejecución.
http://www.mediafire.com/download/unswaz6tj2isat7/SafeBox+Crackme.zip
analisis
https://www.virustotal.com/en/file/eabcd80079a217a5c2efbb8bf1afa28981fc152c532eb97e76cfa00532743794/analysis/1462548587/
#3
Hola
En esta ocasion voy a mostrar la resolucion de este crackme (http://crackmes.de/users/shadow_/shadows_registerme/) hecho en .net, no es demasiado dificil, consta principalmente de una nag al abrir, un formulario donde introducir usuario y contraseña y otra nag al salir.
Tiene proteccion anti olly.





Esa es toda la estructura que tiene el crackme, empezaremos intentando entender el algoritmo de generacion de seriales, para ello usaremos  ilspy e ildasm. En ilspy veremos el codigo desempacado, debemos buscar en el boton register que es el que verifica nuestras credenciales.



Este es el codigo que nos devuelve
[code2=cpp]private void Button1_Click(object sender, EventArgs e)
{
this.shadow = this.rand.Next(1, 99999999);
if (Operators.ConditionalCompareObjectEqual(this.TextBox2.Text, Operators.ConcatenateObject(this.TextBox1.Text + this.TextBox3.Text + this.TextBox4.Text + this.TextBox5.Text + this.TextBox6.Text + this.TextBox7.Text + this.TextBox8.Text + this.TextBox9.Text + this.TextBox1.Text, this.shadow), false))
{
this.Button2.Enabled = true;
this.Button1.Enabled = false;
this.Button1.Text = "Registered to Shadow";
this.Text = "Registered to Shadow!";
}
else
{
Interaction.MsgBox("Incorrect serial, noob.", MsgBoxStyle.OkOnly, null);
}
}[/code2]

El codigo lo que hace es declarar una variable a la que le asigna un valor numerico generado de forma aleatoria y luego lo concatena con la informacion de una serie de textbox. Ahora tenemos que buscar que informacion contiene cada textbox, ya que en el formulario solo aparecen 2 y ahi vemos que hay hasta 9.
La informacion que buscamos la encontramos en


Echando un vistazo vemos que el textbox1 corresponde a nuestro nombre de usuario y el textbox2 es el correspondiente a la contraseña. El resto de textbox hacen una concatenacion de la siguiente manera

'username'ur'a'stupid'dumb'idiotic'crazy'noob'username'numero aleatorio

*Sin comillas

Generar un algoritmo/keygen para generar seriales validos deberia ser muy facil de no ser por el numero aleatorio del final (hasta 99999999). Para resolver este problema intentaremos ver si se puede sustituir el numero random por un numero fijo, ya que de no ser asi cada vez que generasemos un serial tendriamos una posibilidad entre 99999999  de que fuese valido, algo totalmente ridiculo.

Para ello vamos a ildasm y buscamos el boton register

Pero que buscamos exactamente aqui? Buscamos el numero  99999999 en hexadecimal para saber donde esta y en que zona mas o menos tenemos que buscar

Podemos usar mismamente la calculadora de windows



Ya sabemos que el numero aleatorio estara identificado en el codigo con 5F5E0FF



Esta es la linea que buscamos

IL_0008:  /* 20   | FFE0F505         */ ldc.i4     0x5f5e0ff

Ahora tenemos que localizar la zona donde empieza este procedimiento, osea el offset.

Method begins at RVA 0x2f60

Esa linea es la que nos interesa, el

RVA = (VA – RA)

Ahora buscamos el VA y el RA  con el programa peID

RA = 00002000

VA = 00000400

Simplemente restamos (hexadecimalmente) y obtenemos

1C00

Ahora le restamos 1C00 a 2F60 = 1360

Ahora abrimos nuestro crackme con un editor hexadecimal y nos dirigimos al offset 0x1360



Ahi tenemos marcado en verde el offset buscado y recuadrado en azul el numero aleatorio, ahora simplemente vamos a ahcer que ese numero no sea aleatorio sino que sea siempre 1.



Tal que asi.

Ahora vamos a crear un keygen, ya que el algoritmo consiste en una concatenacion vamos a hacer algo rapido en lenguaje batch

[code2=batch]@echo off
color a
:inicio
set/p nom=nombre de usuario?=
pause
cls
echo la contraseña es:
echo %nom%urastupiddumbidioticcrazynoob%nom%1
pause
cls
goto inicio[/code2]

De este modo y usando como nombre de usuario reversecoder.tk

obtenemos:



reversecoder.tkurastupiddumbidioticcrazynoobreversecoder.tk1

Verificamos



Ahora solo nos quedan las nags del principio y del final, para ello haremos un procedimiento parecido, localizaremos su posicion en memoria y quitaremos ese procedimiento.

Para la nag 1 que sale al abrir, buscamos en el ildasm



Vemos que su RVA es 3088, hacemos el mismo procedimiento que antes, es decir, le restamos 1C00 y obtenemos el offset donde se encuentra el procedimiento

0x1488

Nopeamos todas las instrucciones con ceros exxcepto el ret



Para la nag2 exactamente lo mismo, su posicion en memoria seria

3074 – 1C00 = 1474

offset nag 2 = 0x1474

Parcheamos



Ya tenemos resuelto el crackme con proteccion anti ollydbg y desarrollado en net.

Fuente:reversecoder.tk
#4
Análisis y Diseño de Malware / Icon changer
12 Marzo 2015, 18:04 PM
Hola, os dejo este icon changer que hice hace un par de meses



Filename: IconChanger 1.00.exe
Type: File
Filesize: 794624 bytes
Date: 10/03/2015 - 22:23 GMT+2
MD5: 6476a723503ae363393c7831306fae82
SHA1: 71bad36f3552395dab9b1792b21e3abc26227944
Status: Infected
Result: 11/35

AVG Free - Trojan horse Generic_vb.HJV
Avast - Win32:Malware-gen
AntiVir (Avira) - OK
BitDefender - Gen:Variant.Sirefef.942
Clam Antivirus - OK
COMODO Internet Security - OK
Dr.Web - OK
eTrust-Vet - OK
F-PROT Antivirus - OK
F-Secure Internet Security - Gen:Variant.Sirefef.942
G Data - Gen:Variant.Sirefef.942
IKARUS Security - OK
Kaspersky Antivirus - Trojan.Win32.Inject.uazj
McAfee - OK
MS Security Essentials - OK
ESET NOD32 - Trojan.Win32/Injector.BSWP
Norman - Gen:Variant.Sirefef.942
Norton Antivirus - OK
Panda Security - OK
A-Squared - OK
Quick Heal Antivirus - OK
Solo Antivirus - OK
Sophos - OK
Trend Micro Internet Security - OK
VBA32 Antivirus - infected TScope.Trojan.VB
Zoner AntiVirus - OK
Ad-Aware - Gen:Variant.Sirefef.942
BullGuard - Gen:Variant.Kazy.533354
FortiClient - OK
K7 Ultimate - OK
NANO Antivirus - OK
Panda CommandLine - OK
SUPERAntiSpyware - OK
Twister Antivirus - OK
VIPRE - OK

Scan Result: http://v2.scan.majyx.net/?page=results&sid=472182
Scan by MaJyx Scanner


Código (url) [Seleccionar]
http://www71.zippyshare.com/v/zdovYjBT/file.html
Mod: Reportes de posible malware, usar con precaución.

EDIT: Puedes usar una herramienta gratuita y libre de virus, ResourceHacker:
http://www.angusj.com/resourcehacker/
#5
Hola, hace tiempo que llevo intentando hacer lo siguiente y no encuentro el modo:
Quiero generar un archivo de texto a partir de la informacion que se encuentre en un textbox del formulario, de este modo.

Código (vbnet) [Seleccionar]
Private Sub Form1_Load(sender As System.Object, e As System.EventArgs) Handles MyBase.Load
       Dim obj As New Object
       Dim archivo As New Object
       Dim ruta As String = "C:\prueba.txt" 'Ej: Documentos\archivo1.txt

       obj = CreateObject("Scripting.FileSystemObject")
       archivo = obj.CreateTextFile(ruta, True)
       'Luego agregas las lineas que quieras al archivo
       archivo.WriteLine("primera liinea")
       archivo.WriteLine("segunda linea")
       archivo.WriteLine("aqui la info del text box")
       archivo.close() 'Al final cierras el archivo para que se libere de la memoria  
   End Sub


Bien, el codigo para generar el archivo y esta bien porque me lo genera de este modo
Linea 1
Linea 2
etc
Lo que yo quiero es que en la linea 3 me escriba el texto que yo tenga en un textbox.

Alguna idea de como hacerlo? gracias de antemano




[MOD]: Utiliza las etiquetas GeShi para insertar código, porfavor lee las normas del foro de programación.
#6
Seguridad / Bloqueador de conexion a troyanos
10 Febrero 2015, 00:00 AM
He codeado un pequeño programa para bloquear puertos. Incluye una lista de los puertos mas utilizados por los malwares.
https://www.mediafire.com/?4k41jikavu55uk4



Espero que a alguien le sea de utilidad
#7
Hola
Llevo muchos meses en este foro ( con otro nombre de usuario) y de algun modo quiero agradecer a los usuarios sus aportes liberando un crypter que diseñe hace unos meses para una tarea concreta..
Pues eso que quiero dedicarlo al foro, ahora esta ya con algunas quemaduras, nada serio, sigue siendo indetectable para 32 antivirus. https://www.metascan-online.com/en/scanresult/file/c0078587fdf34368a9bd82b17e6c4736

https://www.mediafire.com/?ofdowhzctwom8i8

PD: no se si incumplire las nuevas normas con esto, si es asi una pena, queria tener el detalle, pero que el admin decida.

Salud!