Temas

Hola, adjunto éste listado de repositorios que he ido guardando.

Temáticas:

Programación, redes, bases de datos, hacking, sistemas operativos, criptografía, ethical hacking.....

http://index-of.es/

https://repo.palkeo.com/repositories/ # Login:repo / Password:repo

https://repo.zenk-security.com/

https://mega.nz/folder/NlAD2IDT#rx2-KvgURclZRWSuVuQv5w

https://mega.nz/folder/EZ4i0RoB#F6ZZ6h1Ehlt0GuuLUMQbcg

https://mega.nz/folder/5PYj2aoQ#p52qjtbk_cRaGQuqtlC5Jg/folder/gLpH3IbA

https://mega.nz/folder/CwB02RLB#JKKOjxpC8xRyGUx3T9rtpQ

https://mega.nz/folder/EZ4i0RoB#F6ZZ6h1Ehlt0GuuLUMQbcg/folder/UQxihYJK

https://mega.nz/folder/l91GTAZC#_l2QkseMCXYkTUBGeBAXuQ/folder/RpFgwCba

https://mega.nz/folder/Na4CCbKB#hSqcGhZac741lJFTYiiLPw/folder/YXYXRbQK

https://mega.nz/folder/kE1AjaCJ#EOQcUzAhfhSsfbLOoLhN9w

https://mega.nz/folder/rI4n0QRJ#BXwBsQG2SONep_g5B4LBJA

https://doc.lagout.org/ --> Copiar texto del documento o carpeta en la URL !!!

http://nube.burningthetowers.com/ebook/Ebook_informatica/

https://www.exploit-db.com/papers

http://www.handgrep.se/repository/

https://vxug.fakedoma.in/papers/

https://vx-underground.org/papers.html

https://github.com/The-Art-of-Hacking/h4cker

https://mega.nz/folder/ywlDDJaI#tGS2CmDJdeLg6TFWvJm-LQ

https://mega.nz/folder/rhc0UDJZ#uh6Ri-H5wIn236E4sSObDA

https://mega.nz/folder/S74XkKoZ#_OzRqczzCAKZvTy1Awymog

Hay material de sobras para aprender casi todas las disciplinas enfocadas en la informática, espero les sean de ayuda.

Actualizado: 08.11.2020

Saludos.

Hola a todos, algunos ya lo habrán visto, si no es así, aquí lo tenéis.

Módulos:

Módulo 1: Introducción al Ethical Hacking
Módulo 2: Huellas y Reconocimiento
Módulo 3: Escaneo de redes
Módulo 4: Enumeración
Módulo 5: Análisis de Vulnerabilidades
Módulo 6: Hackeo de Sistemas
Módulo 7: Amenzas con Malware
Módulo 8: Sniffing
Módulo 9: Ingeniería social
Módulo 10: Denegación de servicio
Módulo 11: Secuestro de sesiones
Módulo 12: Evasión de IDS, firewalls y honeypots
Módulo 13: Hackeo de servidores web
Módulo 14: Hackeo de aplicaciones web
Módulo 15: Inyección SQL
Módulo 16: Hackeo de redes inalámbricas
Módulo 17: Hackeo de plataformas móviles
Módulo 18: Hackeo de IoT
Módulo 19: Computación en la nube
Módulo 20: Criptografía

Tools: https://mega.nz/folder/VpYHgSLQ#xPMa6dqf8oSADytV_N6TSQ
Mirror: https://mega.nz/folder/pgBF1ChJ#kFJvSNTF9GwS0HlhEsX8eA

Pdf: https://mega.nz/folder/jnIG1AgI#qeCo3dfep3DUkHzPOHYFxw
Mirror: https://mega.nz/folder/0tJwkQKS#ZsdiJNYVJUXyGB8fxf1xFg

Saludos.

Este tutorial me ha costado encontrarlo, disfrutenlo.....

Tipo: PDF y EPUB
Páginas: 558.
Peso: 27 y 14 MB
Oreilly: https://learning.oreilly.com/library/view/learning-malware-analysis/9781788392501/
Link PDF: https://www.pdfdrive.com/learning-malware-analysis-explore-the-concepts-tools-and-techniques-to-analyze-and-investigate-windows-malware-d176269731.html
Link EPUB: https://mega.nz/#!ZtoXyKiY!ZhlN7GF-2ZFyTcmtUU9MRry5cVYHnt16QEGVp06KmEo

Saludos.

Hola, estoy mejorando el análisis de malware de forma estática y creo que este libro puede servir muy bien, aquí os dejo la info.....

Idioma: Español
Páginas: 370
Peso: 31,1 MB
Link: https://mega.nz/#!MsxhHYbS!g30hipJ2j9cwk9k2WAAyyGJ83wJSBKIVOZFSddL2Ano

Saludos.

Hola, os dejo aquí este tutorial en pdf sobre los rootkit y bootkit.
Aún no me lo he leido, le he echado un vistazo rápido y parece de lo más interesante....

Peso: 15,4 MB
Páginas: 450
Idioma: Inglés
Link: https://mega.nz/#!mn53laqQ!IrW31hYCnLH3dJnZth1ce9Kooh60ToVsd2BCQaZXN-0

Espero que os guste, un saludo.

Buscando un tutorial específico para el análsis de malware, me encontré con éste repositorio de tutoriales en pdf. Lamentablemente la mayoría están en francés, aunque también los hay en inglés.

Temarios relacionados:

- Conferencias antiguas del 2016.
- Criptografía, algoritmos, steganografia.
- Análisis forense.
- Lockpicking
- Programación
- Reversing, cracking
- Virus

etc, etc....

Aquí adjunto el link:

https://repo.zenk-security.com/

Saludos

Hola, hace 3 dias más o menos que entre a mi foro y al hacer un click en una zona vacía se me abrió una ventana que posteriormente me bloqueó el antivirus.
He revisado los logs de acceso al foro y no hay nada extraño. Llevo todo el día revisando los permisos o algo que se me hubiese pasado por alto en la configuración y no hay nada raro.
Por un momento pensé que me había infectado con algo, pero probé en mis cinco ordenadores y el resultado fue el mismo, sólo que en cada ordenador se habría una publicidad diferente.
Aquí dejo los ads y las url de publicidad que se muestran:

https://pastebin.com/Eg2u8NtS

Me ha dado por mirar otros foros de foroactivo.com y les pasa lo mismo, la misma publicidad en todos los foros que he mirado, ahora será cuestión de avisar al admin de foroactivo para ver porque les ha sucedido.

Un saludo.

Pequeño análisis del funcionamiento sobre KernelCallBackTable.

Link: https://modexp.wordpress.com/2019/05/25/windows-injection-finspy/

Aquí hay algunos métodos populares utilizados para la inyección de procesos en el sistema operativo Windows.

Link: https://github.com/odzhan/injection

Saludos.

[Añado aquí el decrypter para el GrandCrab ransomware. Todas las versiones:]

Desde la página de emisoft.com, van publicando diferentes decrypters para ransomware.
Aquí expongo para los diferentes ransomware existentes:

PClock
Harasom
CryptoDefense
CryptInfinite
Radamant
KeyBTC
LeChiffre
Gomasom
CrypBoss
DMALocker
HydraCrypt
DMALocker2
Nemucod
AutoLocky
777
Xorist
BadBlock
Apocalypse
ApocalypseVM
Stampado
Philadelphia
Fabiansomware
FenixLocker
Al-Namrood
Globe
Globe2
OzozaLocker
NMoreira
GlobeImposter
OpenToYou
Globe3
Marlboro
MRCR
CryptON
Damage
Cry9
Cry128
Amnesia
Amnesia2
NemucodAES
BigBobRoss
PewCrypt
HKCrypt
Aurora
Planetary
CryptoPokemon
ZQ
MegaLocker
JSWorm 2.0
GetCrypt

Tenéis información técnica sobre el ransomware + la guía de uso de cada desencriptador.

Link: https://www.emsisoft.com/decrypter/

En éste otro tema tenéis más decrypters, aunque son más viejos:

https://foro.elhacker.net/seguridad/herramientas_gratuitas_para_eliminar_ransomware_y_el_cifrado_de_archivos-t449464.0.html

Añado aquí el decrypter para el GrandCrab ransomware. Todas las versiones:

Link: http://download.bitdefender.com/am/malware_removal/BDGandCrabDecryptTool.exe

Saludos.

[5.swf]

Aquí les dejo este reproductor web de audio hecho en flash.
Los archivos incluidos en el .rar son los siguientes (menos el index.php):

5.swf: Esta es la interfaz del reproductor.
audiolist.xml: Esta es la lista con las canciones a incluir para el reproductor.
Nota: No cambiar el nombre del archivo, si no no funcionará...
Index.php: Este será el index de la página donde se incluye el reproductor.
Nota: Si no sabes como hacer el index, pídemelo y lo adjunto en el tema...

Estos tres archivos son los que tiene que subir a su servidor favorito.
Se aconseja utilizar con Firefox, porque en I.Explorer y Chrome no funciona como debería...

Link: https://mega.nz/#!QwAVHKLL!eHwX71dhFSQ3jHdLHAsBrUXAhnhafjJexyeI35yUYpo

Aquí os dejo la muestra de como quedaría el reproductor una vez subidos los archivos al servidor:

Link: http://perturb3d.5gbfree.com/

Espero que os guste, es el reproductor que más me gusta de todos los que he probado.
Cualquier duda, comentar en este post.

Saludos.

Aquí os dejo todo lo que pude recopilar sobre este bootkit.
Ya hace tiempo que se dejo de disponer del código fuente desde la fuente original, así que aquí os dejo un mirror para que le echéis un vistazo.
Está muy completo, se incluyen tutoriales, videos demostrativos y todo el source completo.

Link: https://mega.nz/#!Foo1RILT!glTwhIl1W8f3PpfIYbeZ8B5JXeoR0Vf0PglgONYuyFw
Peso (comprimido): 69 MB
Pass: malware

Saludos.

Aunque ya es viejo, aquí os dejo el paper y el source de éste bootkit:

Link: https://github.com/williamshowalter/hdroot-bootkit-analysis
Paper: http://williamshowalter.com/assets/a-universal-windows-bootkit/A%20Universal%20Windows%20Bootkit.pdf
Análisis: http://williamshowalter.com/a-universal-windows-bootkit/

Saludos.

Sources variados, se incluyen troyanos, bootkits, troyanos para android, etc.

Alina Spark (Point of Sales Trojan)
Betabot, Neurevt (Trojan)
Bleeding Life 2 (Exploit Pack)
Carberp (Botnet)
Carberp (Banking Trojan)
Crimepack 3.1.3 (Exploit Pack)
Dendroid (Android Trojan)
Dexter v2 (Point of Sales Trojan)
Eda2, Stolich, Win32.Stolich (Ransom)
Sednit, Fancy Bear, APT28, Sofacy, Strontium (Gmail C2C)
FlexiSpy (Spyware)
Fuzzbunch (Exploit Framework)
GMBot (Android Trojan)
Gozi-ISFB - (Banking Trojan)
Grum (Spam Bot)
Hacking Team RCS (Remote Control System)
Hidden Tear (Ransom)
KINS (Banking Trojan)
Mazar (Android Trojan)
Mirai (IoT Botnet)
Pony 2.0 (Stealer)
Poshspy (APT29 backdoor)
PowerLoader (Botnet)
RIG Front-end (Exploit Kit)
Rovnix (Bootkit)
Tinba (Tiny ASM Banking Trojan)
TinyNuke, Nuclear Bot, Micro Banking Trojan, NukeBot (Banking Trojan)
Trochilus, RedLeaves (RAT)
ZeroAccess (Toolkit for ZeroAccess/Sirefef v3)
Zeus (Banking Trojan)

Link: https://github.com/m0n0ph1/malware-1

Saludos.

Aunque son antiguas ya, nunca está demás para aprender y desarrolar tu propia botnet.
Aquí os dejo diferentes sources para ir probando:

Link: https://github.com/m0n0ph1/Botnet

Saludos.

Proyecto de instalación de captura de malware.

El Proyecto Stratosphere IPS tiene un proyecto hermano llamado Proyecto de instalación de captura de malware que se encarga de realizar las capturas a largo plazo. Este proyecto está continuamente obteniendo malware y datos normales para alimentar a Stratosphere IPS.

¿Por qué capturamos tráfico malicioso, normal y mixto?
Los algoritmos de aprendizaje automático deben verificarse para averiguar su rendimiento preciso en datos reales. Especialmente en la seguridad informática de la red, es realmente importante tener buenos conjuntos de datos, ya que los datos en las redes son infinitos, cambiantes, variados y con un alto concepto de deriva. Estos problemas nos obligan a obtener buenos conjuntos de datos para entrenar, verificar y probar los algoritmos.

Para hacer una buena verificación necesitamos tres tipos de tráfico: Malware, Normal y Fondo. El tráfico de Malware incluirá todas las cosas que queremos detectar, especialmente las conexiones de C&C (Comando y Control). El tráfico normal es muy importante para conocer el rendimiento real de nuestros algoritmos al calcular los falsos positivos y los verdaderos negativos. El tráfico de fondo es necesario para saturar los algoritmos, verificar su rendimiento de memoria / velocidad y probar si el algoritmo se confunde con los datos.

Lista de conjuntos de datos de malware
En cada carpeta de captura hay varios archivos asociados a cada ejecución de malware, incluido el archivo pcap y zip original protegido por contraseña con el archivo binario utilizado para la infección. La contraseña de todos los archivos zip con malware es: infected.

El IPS Stratosphere se alimenta con modelos creados a partir de capturas de tráfico de malware real. Al usar y estudiar cómo se comporta el malware en la realidad, nos aseguramos de que los modelos que creamos sean precisos y que nuestras mediciones de rendimiento sean reales. Nuestro proyecto hermano, Malware Capture Facility Project, está a cargo de monitorear continuamente el panorama de amenazas para detectar nuevas amenazas emergentes, recuperar muestras maliciosas y ejecutarlas en nuestras instalaciones para capturar el tráfico.

Info:
https://www.stratosphereips.org/datasets-overview

CTU-13 Dataset:
https://www.stratosphereips.org/datasets-ctu13

Malware captures:
https://www.stratosphereips.org/datasets-malware

Normal captures:
https://www.stratosphereips.org/datasets-normal

Mixed captures:
https://www.stratosphereips.org/datasets-mixed

Descarga de archivos:
https://mcfp.felk.cvut.cz/publicDatasets/CTU-13-Dataset/

En caso de que el sitio principal para descargar los archivos esté inactivo, puede intentar descargar los archivos desde aquí:

Mirror: https://mega.nz/#F!vdRmBA6D!yMZXx74nnu8GjhdwSF54Sw

Saludos.

[Ubertooth:]

Herramientas útiles para el análisis de este tipo de dispositivos inteligentes.

Ubertooth, Attify Badge, Killerbee y Attify OS.

Ubertooth:

Una gran cantidad de dispositivos inteligentes utilizan Bluetooth para comunicarse con equipos cercanos, como teléfonos móviles o controles remotos. En este sentido, poder interceptar y analizar este tráfico puede ser de gran utilidad para encontrar fallas de seguridad o para realizar ataques de MiTM y lograr enviar mensajes o comandos remotos al equipo.
El proyecto Ubertooth tiene todo lo necesario para experimentar y analizar la tecnología Bluetooth, ya que permite capturar e inyectar tráfico tanto BLE (Bluetooth Low Energy) como las conexiones clásicas de Bluetooth (Basic Rate).

Link: https://github.com/greatscottgadgets/ubertooth
Wiki: https://github.com/greatscottgadgets/ubertooth/wiki

Este proyecto consta de:
La antena Ubertooth ONE, que puede comprarse en tiendas online o construirse. Dado que el proyecto es de código abierto y que en el repositorio se encuentra el paso a paso para su ensamblado, así como también el Firmware que consta de un bootloader para el arranque y un software de recepción y transmisión de Bluetooth.
El software que se ejecuta en cualquier computadora con Linux o MacOS, y que permite interactuar con la antena o incluso analizar el tráfico capturado.
Una vez instalado el software y conectada la antena, podrán descargar y utilizar las diferentes herramientas que se incluyen en el repositorio para facilitar el análisis de los datos interceptados. Incluso, es posible analizar los paquetes capturados utilizando Wireshark, el cual ya incluye desde su versión 1.12 el plugin para el tráfico BLE.

Attify Badge:

Tener acceso al harwdare del dispositivo que se quiere analizar es una gran ventaja, ya que muchos puertos de comunicación no cuentan con protección contra el acceso físico al dispositivo. Desde el punto de vista del análisis, poder conectarse directamente al hardware del equipo permite interceptar el tráfico de las comunicaciones a más bajo nivel, analizarlo o incluso modificarlo e inyectar comandos.
De hecho, los ataques a través de JTAG y UART son los más efectivos para dispositivos IoT. JTAG (Joint Test Action Group) es una interfaz electrónica de cuatro o cinco pines utilizada para probar los módulos de circuitos integrados, y es muy útil también como mecanismo para depuración de aplicaciones embebidas, ya que provee una puerta trasera para acceder al sistema. UART (Universal Asynchronous Receiver-Transmitter), por su parte, es el chip que controla los puertos y dispositivos serie, tomando bytes de datos y transmitiendo los bits individuales de forma secuencial. Entre otras funciones, maneja las interrupciones de los dispositivos conectados al puerto serie y convierte los datos en formato paralelo, transmitidos al bus de sistema, a datos en formato serie, para que puedan ser transmitidos a través de los puertos y viceversa.
Attify Badge es una pequeña placa electrónica que permite interactuar con varios protocolos y puertos de comunicación muy utilizados en dispositivos inteligentes, como UART, SPI, I2C, JTAG y GPIO, entre otros. También, tiene varios pines GPIO (General Purpose Input/Output, Entrada/Salida de Propósito General), que pueden customizarse y utilizarse para diferentes propósitos, como sniffear el tráfico UART, conseguir acceso root desde un puerto serie, debaggear el dispositivo a través de JTAG o realizar un dump de la memoria del dispositivo. Según sus propios creadores, es la navaja suiza de la explotación de hardware IoT.

Info: https://blog.attify.com/hack-iot-device/

Killerbee:

La aparición de dispositivos pequeños, con recursos limitados, ha hecho que nuevos protocolos se vuelvan cada vez más populares. Uno de ellos es ZigBee, un protocolo de comunicación inalámbrico muy utilizado en domótica por su bajo consumo eléctrico. Es muy común encontrarlo en luces inteligentes, sensores de temperatura, y todo tipo de dispositivos para el control del hogar.
Al igual que muchos otros protocolos, este también cuenta con un framework de código abierto para su análisis. Se trata del proyecto KillerBee, pensado para la explotación del protocolo ZigBee y otras redes IEEE 802.15.4.
Al igual que Ubertooth, KillerBee también consta de un software instalable, principalmente desarrollado en Python, y un hardware (antena) para poder capturar el tráfico. La más común es la Atmel RZ RAVEN USB Stick, pero también pueden conseguirse otras alternativas.
Una vez instalado, Killerbee permite interceptar el tráfico de los protocolos inalámbricos, realizar inyección de paquetes, ataques de denegación de servicio y hasta crear exploits personalizados utilizando SCAPY. Otro punto a favor es que soporta la modalidad wardriving, lo cual permite analizar diferentes canales para encontrar redes disponibles.
Si bien este framework nos resultó un poco difícil de instalar y dejar a punto, una vez sorteados estos obstáculos, es sencillo de utilizar y posee una interfaz amigable.

Link: https://github.com/riverloopsec/killerbee/

Attify OS:

Así como encontramos una gran variedad de dispositivos, también existen muchas aplicaciones para su análisis. Instalar y configurar todas estas herramientas, y sus dependencias, puede ser tedioso y demandar una gran cantidad de tiempo. Con el objetivo de facilitar la instalación, surge Attify OS, una distribución pre configurada de Ubuntu 14.04 con una gran cantidad de herramientas para hacer análisis y auditorías de dispositivos inteligentes.
Entre otras cosas, ya cuenta con el software para utilizar la Ubertooth ONE y Attify Badge (mencionadas anteriormente), así como también las librerías necesarias para trabajar con otros protocolos de radio y comunicación, como ZigBee, GNU Radio y la suite de HackRF. En lo que refiere a aplicaciones de análisis, las más útiles han sido JADx e IDA y el Firmware Analysis Toolkit para hacer análisis y emulación de firmwares.

IDA: https://out7.hex-rays.com/files/idafree70_windows.exe
JADx: https://github.com/skylot/jadx
Firmware Analysis Toolkit: https://github.com/attify/firmware-analysis-toolkit

Esta distribución nos ha resultado muy útil para realizar análisis de firmwares, debuggear la interfaz JTAG, reversear aplicaciones móviles, sniffear tráficos de protocolos BLE y ZigBee, entre otras tantas tareas. Sin embargo, la desventaja que hemos encontrado es que sólo está disponible la imagen virtualizada, para utilizar con VMWare, Virtual Box o algún otro framework de virtualización. Esto puede resultar un poco complicado cuando no tenemos un entorno virtualizado donde trabajar o cuando la virtualización trae algunos problemas con el hardware, especialmente, las conexiones USB. Sin embargo, en nuestra experiencia, ha resultado sumamente útil en la mayoría de los análisis.
Si bien es una distribución que ya tiene cerca de dos años, lo cierto es que sus aplicaciones no han pasado de moda y basta con realizar una actualización una vez levantada la máquina virtual.

Link: https://github.com/adi0x90/attifyos

Cómo analizar dispositivos IoT: vulnerabilidades más comunes y cómo encontrarlas:

Link: https://www.welivesecurity.com/la-es/2019/01/22/como-analizar-dispositivos-iot/

Fuente: WeLiveSecurity

Saludos.

Hola, aquí les dejo el source del Carbanak:

Source: https://mega.nz/#!FoJynAoD!KVwY4NtP97foMn25iywvRKAiu7gAa-g0xKXH1sUUTrc
Plugins: https://mega.nz/#!00B2haaK!PUX7e1veqYGG_XSYHYarJR9dcEFToVxs_CKTYmsdcg4

Sin contraseña, ojo al antivirus.

Más info: https://www.fireeye.com/blog/threat-research/2019/04/carbanak-week-part-one-a-rare-occurrence.html

App Any Run:

Source: https://app.any.run/tasks/bfc8d8ce-bd6d-436c-9b6b-833843f12151
Plugins: https://app.any.run/tasks/d4cc50e8-2962-4351-8ffd-2fbee49233b7

Virustotal:

Source: https://www.virustotal.com/gui/file/783b2eefdb90eb78cfda475073422ee86476aca65d67ff2c9cf6a6f9067ba5fa/detection
Plugins: https://www.virustotal.com/gui/file/4116ec1eb75cf336a3fdde253c28f712668d0a325a74c41445c7fa87c4e9b7a5/detection

Saludos.

Aquí tenemos una gran noticia para todos los amantes de iPhone Jailbreak y una relacionada con el resto de usuarios de iPhone.
Un investigador chino de seguridad cibernética ha revelado hoy detalles técnicos de vulnerabilidades críticas en el navegador web Apple Safari y iOS que podrían permitir a un atacante remoto liberar y comprometer el iPhoneX de las víctimas con iOS 12.1.2 y versiones anteriores.
Para hacerlo, todo lo que un atacante debe hacer es engañar a los usuarios de iPhoneX para que abran una página web especialmente diseñada con el navegador Safari, eso es todo.
Sin embargo, encontrar fallas y crear un exploit que funcione para llevar a cabo tales ataques no es tan fácil como puede parecer para todos los hackers de iOS.
Descubierto por el investigador de seguridad Qixun Zhao del Equipo Vulcan de Qihoo 360, el exploit aprovecha dos vulnerabilidades de seguridad que se demostraron por primera vez en el concurso de piratería TianfuCup celebrado en noviembre del año pasado y luego se informó de manera responsable al equipo de seguridad de Apple.
Zhao lanzó hoy algunos detalles y una demostración de video de prueba de concepto para su hazaña, que denominó "Caos", luego de que Apple lanzara ayer la versión 12.1.3 de iOS para solucionar los problemas.

[youtube=640,360]https://youtu.be/JznReTetgOI
[/youtube]

Más info: https://thehackernews.com/2019/01/ios12-jailbreak-exploit.html

Saludos.

Aquí os dejo otro bloqueador de publicidad llamado SmartAdblock.

Info: https://www.malekal.com/smartadblock-supprimer-publicites/

Firefox: https://addons.mozilla.org/fr/firefox/addon/smartadblock/
Chrome: https://chrome.google.com/webstore/detail/smartadblock/fofomggefchbeiemhdhacdojbefmkhfb

Saludos.

Aquí os dejo el link para poder descargar la última herramienta de Kaspersky para el Ransomware:

Link: https://www.kaspersky.co.uk/blog/kaspersky-anti-ransomware-tool-for-business/
Peso: 74,7 MB
Mega: https://mega.nz/#!RxYkTCLT!Q9OqOMjRIqLTRQPzFRuEf3Og5LqtDIA9rsW2mBshhYg

PD: Yo me he inventado los datos, menos el email y he podido descargarla.

Algunas capturas:

Detección en ejecución:



Proceso en ejecuión:



Red:



Ring-0 Hooks:



Servicios:





Adjunto video de funcionamiento:

[youtube=640,360]https://www.youtube.com/watch?v=Jpy0easn2p4
[/youtube]
Saludos.

Pentesting de aplicaciones Android, reversing y superficies de ataque.

Info: https://medium.com/@tnvo/an-intro-to-pentesting-an-android-phone-464ec4860f39
Web: https://santoku-linux.com/download/
D.Directa: https://sourceforge.net/projects/santoku/files/latest/download
Torrent: https://sourceforge.net/projects/santoku/files/Torrents/santoku_0.5.iso.torrent/download

Peso: 2,4 GB
Md5: c2dcab27e6444730acc9bc351f34e543
Sha1: 4d39adc01c443ac24a53a33f0ac077980d77c1fe

Observaciones: Santoku requiere Lubuntu 14.04 64-bit.

Saludos.

DnSpy es un editor debugger y ensamblador .NET. Puede usarlo para editar y depurar ensamblajes incluso si no tiene ningún código fuente disponible.



Caracteristicas
Debug .NET Framework, .NET Core y Unity juegos de juegos, no se requiere código fuente
Edite los ensamblados en C # o Visual Basic o IL, y edite todos los metadatos
Temas claros y oscuros
Extensible, escribe tu propia extensión.
Alta compatibilidad con DPI (por cada DPI en el monitor)
Y mucho más, ver más abajo.
dnSpy usa el motor de descompilador ILSpy y el compilador Roslyn (C # / Visual Basic) y muchas otras bibliotecas de código abierto, vea más abajo para más información.

Depurador
Debug .NET Framework, .NET Core y Unity, no se requiere código fuente
Establecer puntos de interrupción y paso en cualquier conjunto
Locales, reloj, autos ventanas.
Las ventanas de variables permiten guardar variables (por ejemplo, matrices de bytes desencriptadas) en el disco o verlas en el editor hexadecimal (ventana de memoria)
ID de objeto
Se pueden depurar múltiples procesos al mismo tiempo
Ruptura en la carga del módulo
Puntos de seguimiento y puntos de ruptura condicionales
Exportar / importar puntos de interrupción y puntos de rastreo
Pila de llamadas, hilos, módulos, procesos de ventanas.
Romper en las excepciones lanzadas (1ª oportunidad)
Las ventanas de variables admiten la evaluación de expresiones C # / Visual Basic
Los módulos dinámicos se pueden depurar (pero no los métodos dinámicos debido a las limitaciones de CLR)
La ventana de salida registra varios eventos de depuración, y muestra las marcas de tiempo por defecto.
Los ensamblajes que se descifran en tiempo de ejecución se pueden depurar, dnSpy usará la imagen en memoria. También puede forzar a dnSpy a usar siempre imágenes en memoria en lugar de archivos de disco.
API pública, puede escribir una extensión o usar la ventana interactiva de C # para controlar el depurador

Editor:
Todos los metadatos pueden ser editados
Edite métodos y clases en C # o Visual Basic con IntelliSense, no se requiere código fuente
Agregue nuevos métodos, clases o miembros en C # o Visual Basic
Editor de IL para la edición del cuerpo del método de IL de bajo nivel
Se pueden editar tablas de metadatos de bajo nivel. Esto utiliza el editor hexadecimal internamente.

Editor hexadecimal:
Haga clic en una dirección en el código descompilado para ir a su código IL en el editor hexadecimal
A la inversa de lo anterior, presione F12 en un cuerpo IL en el editor hexadecimal para ir al código descompilado u otra representación de alto nivel de los bits. Es genial saber qué frase modificó un parche.
Aspectos destacados de las estructuras de metadatos .NET y las estructuras de PE
La información sobre herramientas muestra más información sobre el campo de metadatos / PE .NET seleccionado
Ir a la posición, archivo, RVA
Vaya al token de metadatos .NET, cuerpo del método, #Blob / #Strings / #US offset o #GUID heap index
Seguir referencias (Ctrl + F12)

Info: https://www.kitploit.com/2019/01/dnspy-net-debugger-and-assembly-editor.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+PentestTools+%28PenTest+Tools%29
Github: https://github.com/0xd4d/dnSpy

PD: Yo de momento no le voy a poder dar uso, pero lo mismo le sirve a alguien con más expereiencia que yo.

Saludos.

OnionShare comparte tus archivos a través de la red Tor, lo que te mantiene anónimo. También cifra tus archivos protegiendo tus datos y privacidad.
OnionShare está disponible para dispositivos GNU / Linux, Windows y MacOS.

Web: https://onionshare.org/
Github: https://github.com/micahflee/onionshare/wiki
Descarga: https://onionshare.org/#downloads
Info: https://security.sflc.in/guides/share-files-anonymously-using-onionshare

Saludos.

PE-sieve es una herramienta liviana que ayuda a detectar malware que se ejecuta en el sistema, así como a recopilar material potencialmente malicioso para su posterior análisis. Reconoce y descarga una variedad de implantes dentro del proceso de escaneado: PE reemplazados / inyectados, códigos de shell, ganchos y otros parches en memoria.
Detecta ganchos en línea, huecos de procesos, procesos de duplicación, inyección reflexiva de DLL, etc.



Link: https://github.com/hasherezade/pe-sieve

Descarga:

32 bits: https://github.com/hasherezade/pe-sieve/releases/download/v0.1.6/pe-sieve32.exe
64 bits: https://github.com/hasherezade/pe-sieve/releases/download/v0.1.6/pe-sieve64.exe
Source: https://github.com/hasherezade/pe-sieve/archive/v0.1.6.zip

Saludos.

Descarga e información de herramientas de seguridad.

Lulu:
Info: https://objective-see.com/products/lulu.html
Descarga: https://bitbucket.org/objective-see/deploy/downloads/LuLu_1.1.2.zip

Do Not Disturb:
Info: https://objective-see.com/products/dnd.html
Descarga: https://bitbucket.org/objective-see/deploy/downloads/DoNotDisturb_1.3.0.zip

KnockKnock:
Info: https://objective-see.com/products/knockknock.html
Descarga: https://bitbucket.org/objective-see/deploy/downloads/KnockKnock_2.0.5.zip

TaskExplorer
Info: https://objective-see.com/products/taskexplorer.html
Descarga: https://bitbucket.org/objective-see/deploy/downloads/TaskExplorer_2.0.1.zip

ReiKey
Info: https://objective-see.com/products/reikey.html
Descarga: https://bitbucket.org/objective-see/deploy/downloads/ReiKey_1.1.0.zip

BlockBlock (beta)
Info: https://objective-see.com/products/blockblock.html
Descarga: https://bitbucket.org/objective-see/deploy/downloads/BlockBlock_0.9.9.4.zip

RansomWhere?
Info: https://objective-see.com/products/ransomwhere.html
Descarga: https://bitbucket.org/objective-see/deploy/downloads/RansomWhere_1.2.5.zip

OverSight
Info: https://objective-see.com/products/oversight.html
Descarga: https://bitbucket.org/objective-see/deploy/downloads/OverSight_1.2.0.zip

Lockdown
Info: https://objective-see.com/products/lockdown.html
Descarga: https://bitbucket.org/objective-see/deploy/downloads/Lockdown_1.0.0.zip

KextViewr nfo:
Info: https://objective-see.com/products/kextviewr.html
Descarga: https://bitbucket.org/objective-see/deploy/downloads/KextViewr_1.1.0.zip

Ostiarius
Info: https://objective-see.com/products/ostiarius.html
Descarga: https://bitbucket.org/objective-see/deploy/downloads/Ostiarius_1.2.0.zip

Dylib Hijack Scanner
Info: https://objective-see.com/products/dhs.html
Descarga: https://bitbucket.org/objective-see/deploy/downloads/DHS_1.3.1.zip

What's Your Sign
Info: https://objective-see.com/products/whatsyoursign.html
Descarga: https://bitbucket.org/objective-see/deploy/downloads/WhatsYourSign_1.5.0.zip

Saludos.

Variantes soportadas por Aurora Decrypter:

.Nano
.animus
.Aurora
.desu
.ONI
.aurora



Link: https://www.bleepingcomputer.com/news/security/how-to-decrypt-the-aurora-ransomware-with-auroradecrypter/
Descarga: https://download.bleepingcomputer.com/demonslay335/AuroraDecrypter.zip

Saludos.

Aquí dejo el link de otra página más para analizar muestras infectadas o simplemente para revisar que hace un ejecutable en concreto:

Link: https://cape.contextis.com/submit/
Github: https://github.com/ctxis/CAPE

Saludos.

[MOD: Imagen adaptada a lo permitido.]

PA Toolkit es una colección de complementos de análisis de tráfico para extender la funcionalidad de Wireshark desde una herramienta de microanálisis y un disector de protocolo hasta el analizador de macros y el cazador de amenazas. PA Toolkit contiene complementos que cubren varios escenarios para múltiples protocolos, que incluyen:

WiFi (resumen de la red WiFi, detección de balizas, inundaciones deauth, etc.)
HTTP (Listado de todos los sitios web visitados, archivos descargados)
HTTPS (Listado de todos los sitios web abiertos en HTTPS)
ARP (tabla MAC-IP, detección de falsificación de MAC y envenenamiento de ARP)
DNS (Listado de servidores DNS utilizados y resolución de DNS, detección de túneles de DNS)

Link: https://github.com/pentesteracademy/patoolkit
Readme: https://github.com/pentesteracademy/patoolkit/blob/master/README.rst
Pdf: https://github.com/pentesteracademy/patoolkit/blob/master/PA-Toolkit.pdf



Saludos.

MOD: Imagen adaptada a lo permitido.

[p]

Desde ésta página podréis encontrar muestras de archivos .apk para su análisis:

Web: http://contagiomobile.deependresearch.org/index.html
Contraseña de archivos: Para todos es infected666 seguido del último caracter del archivo comprimido.
Ejemplo: http://contagiomobile.deependresearch.org/%20ackposts_5622aac15cbc2f04cbf843b6b36864d2_android_samp.zip

La contraseña sería: infected666p

La autora es MilaParkour (@snowfl0w), buen trabajo de recolección.

Saludos.

Puppy es robusto contra archivos PE mal formados y diseñados, lo que lo hace útil para los inversores, malware y aquellos que desean inspeccionar los archivos PE con más detalles. Se admiten todos los directorios en un archivo PE, incluyendo Exportación, Importación, Recurso, Excepción, Certificado (se basa en la API de Windows), Reubicación de base, Depuración, TLS, Configuración de carga, Importación enlazada, IAT, Importación diferida y CLR (.Net).

Both PE32 and PE64 support
Examine YARA rules against opened file
Virustotal and OPSWAT's Metadefender query report
Statically analyze windows native and .Net executables
Robust Parsing of exe, dll, sys, scr, drv, cpl, ocx and more
Parse Rich Header
Edit almost every data structure
Easily dump sections, resources and .Net assembly directories
Entropy and MD5 calculation of the sections and resource items
View strings including URL, Registry, Suspicious, ... embedded in files
Resolve ordinal to name in imported APIs
Detect common resource types
Extract artifacts remained in PE file
Anomaly detection
Right-click for Copy, Search in web, Whois and dump
Built in hex editor
Explorer context menu integration
Descriptive information for data members
Refresh, Save and Save as menu commands
Drag and drop support
List view columns can sort data in an appropriate way
Open file from command line
Checksum validation
Plugin enabled

Web: https://www.mzrst.com/
D.Directa: https://www.mzrst.com/puppy/PPEE(puppy)%201.12.zip
Peso: 488 KB
MD5: B380F0CBB356F0A4022DCBFFB749FCF3

Requerido: Visual C++ 2010 Redistributable Package

Saludos.

Aquí os dejo 100 links para descargar muestras y poder analizarlas....

Link: http://www.vxvault.net//URL_List.php

Saludos.

Hola a todos, vamos a crear un grupo con el objetivo de analizar muestras de malware, ya sea análisis estático o dinámico.
Buscamos aportes frescos con relación a la ingeniería inversa de muestras de malware en concreto, de momento estamos el moderador del foro de análisis de malware (Fary) y yo.
Nos pondremos en contacto via IRC en el canal que creó @drvy desde aquí:

https://webchat.freenode.net/?channels=ircehn

Para más información, enviar mensaje privado al moderador, a mi o directamente en el canal de IRC.

Saludos.

Aquí podréis descargar una muestra fresca de esta variante de GrandCrab:

hxxp://92.63.197.48/m/mb.exe - No disponible
hxxp://92.63.197.48/m/1.exe - No disponible
hxxp://ovz1.fl1nt1kk.10301.vps.myjino.ru/topup.exe - No disponible

Archivos mb.exe y 1.exe subidos a Mega:
https://mega.nz/#!c9YyWY6D!GA1QLapdBHqZaNdXXtOdy3_H8oxcvMM17F6cj0mE1bQ
Pass: infected

Actualizado: 19.01.2019

Saludos.

Ayer, Adobe lanzó el boletín de seguridad APSB19-02 que describe dos actualizaciones de seguridad para vulnerabilidades críticas en Adobe Acrobat y Reader. En estas actualizaciones solo se solucionaron dos vulnerabilidades, pero se clasifican como críticas porque permiten la escalada de privilegios y la ejecución de código arbitrario.

Arbitrary Code Execution - Critico - CVE-2018-16011
Security Bypass   Privilege Escalation - Critico - CVE-2018-19725

A la primera vulnerabilidad se le asignó el ID CVE-2018-16011 y es un uso después de un error gratuito que podría permitir la ejecución de código arbitrario. Este tipo de vulnerabilidad podría permitir a un atacante ejecutar comandos, como descargar malware, en la computadora afectada sin el conocimiento de la víctima.

La segunda vulnerabilidad fue asignada CVE-2018-19725 y permite a los atacantes ejecutar código en un nivel de privilegio más alto.

Ambas vulnerabilidades fueron reportadas por Zero Day Initiative de Trend Micro, y el investigador de ZDI, Abdul-Aziz Hariri, descubrió internamente CVE-2018-19725.

ZDI le dijo a BleepingComputer por correo electrónico que emitirían avisos para estas CVE en un futuro próximo y que no se utilizarían en la explotación activa.

Para resolver estas vulnerabilidades, los usuarios deben actualizar a la última versión de Acrobat DC / Acrobat Reader DC versión 2019.010.20069, Acrobat 2017 / Acrobat Reader DC 2017 versión 2017.011.30113, y Acrobat DC / Acrobat Reader DC versión 2015.006.30464.

Saludos.

Como analista de malware o investigador de seguridad, tener una utilidad de análisis potente y dinámico es vital para poder identificar el malware de manera efectiva y eficiente. FortiAppMonitor es una utilidad gratuita desarrollada y lanzada por Fortinet diseñada para monitorear el comportamiento de los programas en macOS. Permite a los usuarios comprender las capacidades de malware y analizar rápidamente los comportamientos maliciosos de malware dirigido a macOS. Sus capacidades incluyen las siguientes características:

1. Supervisa la ejecución del proceso con argumentos de la línea de comando y la salida del proceso.
2. Supervisa todos los eventos comunes del sistema de archivos, incluidas las operaciones de abrir, leer, escribir, eliminar y renombrar archivos.
3. Supervisa las actividades de la red, incluidos UDP, TCP, consulta y respuesta de DNS, e ICMP para los protocolos IPv4 e IPv6.
4. Supervisa los eventos de carga de .dylib.
5. Supervisa los eventos de carga y descarga de KEXT.

También proporciona un filtro detallado para que los usuarios puedan establecer un filtro para los tipos de eventos que les interesan, así como una potente función de búsqueda para que los usuarios puedan buscar rápidamente en los registros basados ​​en las palabras clave. Los usuarios también pueden guardar todos los registros en un archivo de formato JSON. Además, se puede acceder a todas estas funciones de FortiAppMonitor a través de un diseño de GUI fácil de navegar. Los usuarios también pueden copiar un registro específico en una pantalla GUI al portapapeles usando la tecla de acceso directo "Comando + C".

Esta utilidad fue demostrada inicialmente por el investigador de FortiGuard Labs, Kai Lu, en el Black Hat USA 2018 Arsenal, titulado "Aprenda cómo construir su propia utilidad para monitorear comportamientos maliciosos de malware en macOS". En esta presentación, Kai presentó esta solución avanzada para monitorear los comportamientos maliciosos de malware en el kernel macOS. También guió a los asistentes a través de todos los detalles técnicos clave para la implementación de esta utilidad. Para usuarios interesados ​​en un tutorial rápido, puede descargar sus diapositivas de presentación aquí.

Pdf: https://fortinetweb.s3.amazonaws.com/fortiguard/research/Learn_How_to_Build_Your_Own_Utility_to_Monitor_Malicious_Behaviors_of_Malware_on%20macOS_KaiLu.pdf





Versiones soportadas:
macOS 10.11 (OS X El Capitan)
macOS 10.12 (macOS Sierra)
macOS 10.13 (macOS High Sierra)
macOS 10.14 (macOS Mojave, Beta)

Descarga: https://fortinetweb.s3.amazonaws.com/fortiguard/research/fortiappmonitor_1.0.0_release.pkg
Peso: 52.1 MB
SHA-1: 6DDA29A5B96B5AB9AC64471B94600FFD8024398C

Saludos.

https://www.bleepingcomputer.com/news/security/master-decryption-key-released-for-fileslocker-ransomware/
https://www.bleepingcomputer.com/ransomware/decryptor/how-to-decrypt-the-fileslocker-ransomware-with-fileslockerdecrypter/



Descarga: https://www.bleepingcomputer.com/download/fileslockerdecrypter/

Saludos.

Esta herramienta le permite reproducir masivamente cualquier video de YouTube con Chromecasts obtenida de Shodan.io

Prerrequisitos
Lo único que necesitas instalar es Python 3.x

sudo apt-get install python3
También es necesario tener instalado cURL

sudo apt-get install curl
También necesita el módulo de Shodan python

pip instalar shodan
Usando la API de Shodan
Esta herramienta requiere que poseas una API de Shodan actualizada

Puede obtener uno gratis en Shodan si se registra con un correo electrónico .edu

https://github.com/649/Crashcast-Exploit/
https://github.com/649/Crashcast-Exploit/blob/master/README.md

Saludos.

¡Ejemplos prácticos de desbordamiento de búfer, valores hexadecimales y variables de entorno!



https://0xrick.github.io/binary-exploitation/bof2/

Saludos.

Más muestras para analizar.



https://objective-see.com/malware.html
https://objective-see.com/downloads/MacMalware_2018.pdf

Aquí las muestras:

https://objective-see.com/malware.json
Paasword: infect3d

A trabajar, saludos.

X-NetStat es una herramienta de monitoreo de red versátil para Windows.



Web: https://freshsoftware.com/xnetstat-home
Link: https://mega.nz/#!c55AFKwQ!iZ4e88gQexjSV0XDgLCEP1mxQnarqscPw9Lzs3LpfPc
Peso: 1,9 MB
S.O: Todos los windows para 32 y 64 bits

Incluye keygen, si no te fias ejecutar bajo sandboxie y listo....



Saludos.

PE Explorer es el programa con más funciones para inspeccionar el funcionamiento interno de su propio software y, lo que es más importante, las bibliotecas y aplicaciones de Windows de terceros para las que no tiene código fuente.

PE Explorer le permite abrir, ver y editar una variedad de diferentes tipos de archivos ejecutables de Windows de 32 bits (también llamados archivos PE) que van desde lo común, como EXE, DLL y controles ActiveX, a los tipos menos familiares, como SCR ( Salvapantallas), CPL (paneles de control), SYS, MSSTYLES, BPL, DPL y más (incluidos los archivos ejecutables que se ejecutan en la plataforma MS Windows Mobile).



Web: http://www.heaventools.com/overview.htm

Link: https://mega.nz/#!l4gDwKID!EKAytqzK7GISQJqeHwbsf4hQha7sIV4peX6FamwhOXs
Peso: 4,6 MB

Saludos.

Descripción general de LAPS:
LAPS (Local Administrator Password Solution) es una herramienta para administrar contraseñas de administrador local para computadoras unidas a dominios. Almacena contraseñas / secretos en un atributo confidencial en el objeto de directorio activo correspondiente de la computadora. LAPS elimina el riesgo de movimiento lateral al generar contraseñas aleatorias de los administradores locales. La solución LAPS es una extensión del lado de la directiva de grupo (CSE) que se instala en todas las máquinas administradas para realizar todas las tareas de administración.

Los administradores de dominio y cualquier persona que tenga control total sobre los objetos de computadora en AD pueden leer y escribir ambas piezas de información (es decir, contraseña y fecha y hora de caducidad). La contraseña almacenada en AD está protegida por ACL, le corresponde a los administradores de sistemas definir quién puede y quién no puede leer los atributos. Cuando se transfiere a través de la red, tanto la contraseña como la marca de tiempo están cifradas por kerberos y cuando se almacenan en AD, tanto la contraseña como la marca de tiempo se almacenan en texto claro.

Componentes de LAPS:
Agente - Extensión de cliente de directiva de grupo (CSE)
Registro de eventos y generación de contraseñas aleatorias
Módulo PowerShell
Configuración de la solución
Directorio Activo
Objeto informático, atributo confidencial, registro de auditoría en el registro de seguridad del controlador de dominio

En primer lugar, identificaremos si se ha instalado la solución LAPS en la máquina en la que nos hemos posicionado. Aprovecharemos el cmdlet de powershell para identificar si existe el admpwd.dll o no.

Código [Seleccionar] Expandir

Get-ChildItem 'c:\program files\LAPS\CSE\Admpwd.dll'

El siguiente paso sería identificar quién tiene acceso de lectura a ms-Mcs-AdmPwd. podemos usar Powerview para identificar a los usuarios que tienen acceso de lectura a ms-Mcs-AdmPwdt.

Código [Seleccionar] Expandir


Get-NetOU -FullData | Get-ObjectAcl -ResolveGUIDs |
Where-Object {
($_.ObjectType -like 'ms-Mcs-AdmPwd') -and
($_.ActiveDirectoryRights -match 'ReadProperty')
}




Si RSAT (Remote Server Administration Tools) está habilitado en la máquina víctima, existe una forma interesante de identificar que el usuario tiene acceso a ms-Mcs-AdmPwd. Simplemente podemos disparar el comando:

Código [Seleccionar] Expandir

dsacls.exe 'Path to the AD DS Object'

[youtube=640,360]https://youtu.be/yhB7JKr12nw[/youtube]

Más información: https://akijosberryblog.wordpress.com/2019/01/01/malicious-use-of-microsoft-laps/

Saludos.

Retefe unpacker
Este es un resumen sobre cómo implementar un desempaquetador para las versiones actuales (en el momento de la publicación) del malware bancario Retefe.

Recursos sobre la amenaza:

El troyano bancario de Retefe aprovecha el exploit de EternalBlue en campañas suizas
La saga de retefe
Invertir Retefe
Nueva versión de Retefe Banking Trojan usa EternalBlue
Históricamente, parece haber alguna variación en las formas en que el malware ha almacenado su carga útil de javascript. Algunas fuentes mencionan archivos ZIP autoextraíbles y otros datos XORed. La versión actual utiliza una clave XOR de 4 bytes que se genera según la longitud de los scripts y algunas operaciones matemáticas que se realizan en ella. El post Reversing Retefe de aproximadamente dos meses atrás (2018-11-08) muestra el uso de una clave XOR de un byte que indica que el actor de amenazas ha cambiado su código base después del lanzamiento de ese post. Esta publicación se realiza con la intención de arrojar algo de luz sobre la forma actual en que Retefe almacena su carga útil.

Mirar la imagen binaria asignada con IDA muestra una gran cantidad de datos no explorados que se encuentran en el segmento .data.

Link: https://github.com/Tomasuh/retefe-unpacker

Más información: https://github.com/Tomasuh/retefe-unpacker/blob/master/README.md

Saludos.

Análisis

1. cargador
1.1. Embalador de primera etapa
1.2. Segunda etapa, embalador / inyector personalizado.
1.2.1. Trucos Antidebug
1.2.1.1. Antidebug trucos: ofuscación API
1.2.1.2. Trucos Antidebug: Trucos del tiempo
1.2.1.3. Trucos Antidebug: HKCU \ Software \ Microsoft \ Windows \ Identifier
1.2.1.3. Trucos Antidebug: cheques CPUID
1.2.1.4. Trucos Antidebug: Camina ejecutando procesos buscando nombres conocidos
1.2.1.5. Trucos Antidebug: Camina los módulos del propio proceso buscando nombres conocidos
1.2.1.6. Trucos Antidebug: IsDebuggerPresent / CheckRemoteDebuggerPresent
1.2.2. Inyección
1.2.3. Otros detalles
1.2.3.1. BotId y mutex
1.2.3.2. PRNG
2. módulo banquero
2.1. WebInjects
2.2. Ganchos del navegador
2.3. Otras capacidades de ladrón
3. Similitudes con el código fuente filtrado NukeBot
3.1. Función InjectDll en el módulo de banquero
3.2. Hollow-process explorer.exe
3.3. BotId aleatorio
4. Conclusiones

Link: http://www.peppermalware.com/2019/01/analysis-of-neutrino-bot-sample-2018-08-27.html

Saludos.

Nueva versión de CryptoTester para el análisis de #ransomware. v1.3.0.0 trae una copia fija, la capacidad de pegar / editar el hexágono de entrada, mostrar la clave generada, encontrar claves PGP en exe y agregar SharpAESCrypt. .NET 4.6.1+ requerido ahora.



D.Directa: https://download.bleepingcomputer.com/demonslay335/CryptoTester.zip

Descargar con Firefox u otro, porque Chrome lo detecta como archivo peligroso

Saludos.