Mensajes

El módulo de Python WinAppDbg permite a los desarrolladores codificar rápidamente scripts de instrumentación en Python en un entorno Windows.

Utiliza ctypes para envolver muchas llamadas a la API de Win32 relacionadas con la depuración, y proporciona una capa de abstracción orientada a objetos para manipular subprocesos, bibliotecas y procesos, adjuntar su script como depurador, rastrear la ejecución, enganchar llamadas a API, manejar eventos en su depurador y configurar puntos de interrupción de diferentes tipos (código, hardware y memoria). Además, no tiene ningún código nativo, por lo que es más fácil de mantener o modificar que otros depuradores de Windows.

La audiencia destinataria son ingenieros de control de calidad y auditores de seguridad de software que deseen probar / difuminar aplicaciones de Windows con scripts de Python codificados rápidamente, así como analistas e investigadores de malware que deseen instrumentar y probar binarios de Windows. Se envían varias utilidades listas para usar y se pueden utilizar para estos fines.

Las características actuales también incluyen desensamblar código nativo x86 / x64, depurar múltiples procesos simultáneamente y producir un registro detallado de fallas de aplicaciones, útil para pruebas automatizadas y fuzzing.

Link: https://www.youtube.com/playlist?list=PLKwUZp9HwWoDCm0qqSyXtZqfmbFahmDfn
WinAppDbg: https://github.com/MarioVilas/winappdbg

Saludos.

En los últimos días se ha conocido la detención de más de 50 sospechosos acusados de robar en cajeros automáticos del Banco Santander explotando un error de software. La realización de estos robos se ha circunscrito a varias ciudades de Estados Unidos, donde varios grupos de criminales utilizaron tarjetas válidas y falsas de crédito y débito precargadas para retirar más dinero del que estaba almacenado en estas tarjetas.

Inicialmente este error del software permaneció en secreto, si bien acabó compartiéndose en varias redes sociales. Esto propició la explotación del error por parte de más grupos criminales y provocó un aumento repentino de retirada de efectivo en cajeros automáticos que hizo que saltaran las alarmas y se realizara una investigación.
El martes de esta semana, todos los cajeros automáticos fueron desactivados para evitar más robos, y en el día de ayer se abrieron de momento sólo para clientes del banco. A raíz de conocerse la noticia, los dos principales fabricantes de cajeros automáticos, Diebold Nixdorf y NCR, han lanzado actualizaciones de software para corregir estos errores. Por un lado, Diebold Nixdorf ha parcheado la vulnerabilidad CVE-2020-9062, la cual afectaba a cajeros automáticos ProCash 2100xe USB ATMs con software Wincor Probase, mientras que NCR ha parcheado la vulnerabilidad CVE-2020-10124 con afectación en cajeros SelfServ con software APTRA XFS.

Ambas vulnerabilidades permitían a un atacante interceptar y modificar mensajes relativos a la cantidad de dinero o valor de la moneda depositada, debido a que los cajeros no cifran ni autentican la integridad de los mensajes entre el cajero y el ordenador central. De esta forma, en un proceso de dos pasos, un atacante podía depositar una suma de dinero, modificando los mensajes en cuanto a la cantidad de este o el valor de la moneda, y posteriormente realizar la extracción del dinero con el valor o cantidad introducido en el mensaje. Ambas compañías han implementado ya actualizaciones del software para proteger las comunicaciones entre el cajero y el ordenador central.

https://www.zdnet.com/article/tens-of-suspects-arrested-for-cashing-out-santander-atms-using-software-glitch/

Saludos.

Malwoverview.py es una herramienta sencilla para realizar una clasificación inicial y rápida de muestras de malware, URL y hashes. Además, Malwoverview puede mostrar cierta información de inteligencia de amenazas.

Link: https://github.com/alexandreborges/malwoverview
S.O: Ubuntu, Kali Linux 2020, REMnux, Windows 8.1 and 10
Requisitos:

pefile>=2019.4.18
python-magic>=0.4.18
colorama>=0.4.3
simplejson>=3.17.2
requests>=2.22.0
validators>=0.16
geocoder>=1.38.1
polyswarm-api>=2.1.2
pathlib>=1.0.1
configparser>=5.0.0

Esta herramienta tiene como objetivo:

Determine muestras de malware ejecutables similares (PE / PE +) de acuerdo con la tabla de importación (imphash) y agrúpelas por diferentes colores (preste atención a la segunda columna de la salida). Por tanto, ¡los colores importan!
Muestra información hash en los motores Virus Total, Hybrid Analysis, Malshare, Polyswarm, URLhaus, Alien Vault, i Malpedia y ThreatCrowd.
Determinar si las muestras de malware contienen superposición y, si lo desea, extraerla.
Verifique los archivos sospechosos en Virus Total, Hybrid Analysis y Polyswarm.
Verifique las URL en los motores Virus Total, Malshare, Polyswarm, URLhaus y Alien Vault.
Descargue muestras de malware de los motores Hybrid Analysis, Malshare, HausURL, Polyswarm y Malpedia.
Envíe muestras de malware a VirusTotal, Hybrid Analysis y Polyswarm.
Enumere las últimas URL sospechosas de URLHaus.
Enumere las últimas cargas útiles de URLHaus.
Busque cargas útiles específicas en Malshare.
Busque cargas útiles similares (PE32 / PE32 +) en el motor Polyswarm.
Clasifique todos los archivos en un directorio buscando información sobre Virus Total e Hybrid Analysis.
Realice informes sobre un dominio sospechoso utilizando diferentes motores como VirusTotal, Malpedia y ThreatCrowd.
Verifique los paquetes APK directamente desde los dispositivos Android contra Hybrid Analysis y Virus Total.
Envíe paquetes APK directamente desde dispositivos Android a Hybrid Analysis y Virus Total.
Muestra las URL relacionadas con una etiqueta proporcionada por el usuario desde URLHaus.
Muestra cargas útiles relacionadas con una etiqueta (firma) de URLHaus.
Muestra información sobre una dirección IP de Virus Total, Alien Vault, Malpedia y ThreatCrowd.
Muestra información de dirección IP, dominio y URL de Polyswarm.
Realice una metabúsqueda en Polyswarm Network utilizando varios criterios: imphash, IPv4, dominio, URL y familia de malware.
Recopile información de búsqueda de amenazas de AlienVault utilizando diferentes criterios.
Reúna información sobre la caza de amenazas de Malpedia utilizando diferentes criterios.
Recopile información de búsqueda de amenazas de ThreatCrowd utilizando diferentes criterios.

Saludos.

Via tweeter, me entero de este nuevo servicio por parte de elevenpaths....

Documentos analizados:
- DOC, DOCX, DOCM, DOT, DOTX. DOTM, XML (Word 2003 XML Document)
- XLS, XLSX, XLSM, XLT, XLTX, XLTM
- PDF

URL: https://diario.elevenpaths.com/
Cómo funciona: https://diario.elevenpaths.com/assets/video/diario.mp4
Espero les sea de utilidad

Saludos.

Encontré varias muestras, a ver si te sirven....

https://bazaar.abuse.ch/browse.php?search=sality

PD: el password para descomprimir es infected

Saludos.

BruteShark es una herramienta de análisis forense de red (NFAT) que realiza un procesamiento profundo e inspección del tráfico de red (principalmente archivos PCAP). Incluye: extracción de contraseñas, construcción de un mapa de red, reconstrucción de sesiones TCP, extracción de hashes de contraseñas cifradas e incluso convertirlas a formato Hashcat para realizar un ataque de fuerza bruta fuera de línea.
El objetivo principal del proyecto es proporcionar una solución a los investigadores de seguridad y administradores de red con la tarea de analizar el tráfico de la red mientras intentan identificar las debilidades que pueden ser utilizadas por un atacante potencial para obtener acceso a puntos críticos de la red.
Hay dos versiones de BruteShark disponibles, una aplicación basada en GUI (Windows) y una herramienta de interfaz de línea de comandos (Windows y Linux).
Los diversos proyectos de la solución también se pueden utilizar de forma independiente como infraestructura para analizar el tráfico de red en máquinas Linux o Windows. Para obtener más detalles, consulte la sección Arquitectura.

Source: https://github.com/odedshimon/BruteShark
Descarga para windows: https://github.com/odedshimon/BruteShark/releases/latest/download/BruteSharkDesktopInstaller_x64.msi
Descarga para linux: https://github.com/odedshimon/BruteShark/releases/latest/download/BruteSharkCli.zip

Videos:

[youtube=640,360]https://youtu.be/AreguLxCCz4[/youtube]

[youtube=640,360]https://youtu.be/am1xU_kAxiI[/youtube]

Saludos.

Hola, aquí os dejo el código fuente de éste rootkit....

Info: https://www.blackhat.com/us-20/briefings/schedule/index.html#demystifying-modern-windows-rootkits-20918
Source: https://github.com/d4stiny/spectre
PDF: https://i.blackhat.com/USA-20/Wednesday/us-20-Demirkapi-Demystifying-Modern-Windows-Rootkits.pdf

Saludos.

Hola, hace ya un tiempo que al descargar peliculas , me encontraba con que algunas tenian éste codec. Fui a la microsoft store y vi que había que pagar 0,99 € para poder descargarlo.
Buscando encontré una alternativa de la que microsoft no quería que supieramos y así tener que pagar.

Puedes reproducir vídeos de codificación de vídeo de alta eficiencia (HEVC) en cualquier aplicación de vídeo en tu dispositivo Windows 10. Estas extensiones están diseñadas para aprovechar las funcionalidades de hardware en dispositivos modernos, incluidos los procesadores Core de séptima generación de Intel y GPU más recientes para admitir contenido Ultra HD y 4K. En el caso de los dispositivos que no admiten hardware para vídeos HEVC, se proporciona compatibilidad de software, aunque la experiencia de reproducción puede variar en función de la resolución del vídeo y del rendimiento de tu equipo. Estas extensiones también te permiten codificar contenido HEVC en dispositivos que no contienen ningún codificador de vídeo basado en hardware.

Este es el link oficial:

https://www.microsoft.com/es-es/p/extensiones-de-video-hevc/9nmzlz57r3t7?activetab=pivot:overviewtab

La alternativa para no tener que pagar por el códec, es utilizar el códec para fabricantes de portátiles y equipos. La razón de ello radica en que los fabricantes puedan probar el funcionamiento del equipo.
Aquí tenéis el link:

https://www.microsoft.com/es-es/p/hevc-video-extensions-from-device-manufacturer/9n4wgh0z6vhq?activetab=pivot:overviewtab

Eso es todo, ahora ya podeis hacer uso de éste códec de video...

Saludos.

Aquí tienes tutoriales para la categoría que más te guste:

https://foro.elhacker.net/tutoriales_documentacion/listado_de_repositorios_para_aprender_hacking_programacion_y_mas-t504955.0.html

Saludos.

Tienes muchisimos proyectos ya hechos con su código fuente que puedes adaptar a tu proyecto....
Donde más puedes encontrar es en github, en el buscador pones el tipo de malware que deseas crear para tu proyecto:

https://github.com/search?q=botnet
https://github.com/search?q=trojan
https://github.com/search?q=rootkit
https://github.com/search?q=ransomware

Si quieres algo especial y documentado, tienes los bootkit.
Eso si, tendrás que ingeniartelas para hacerlo funcionar en todos los windows.
Aquií te dejo un source de uno bien documentado:

Stoned Bootkit:
https://mega.nz/#!Foo1RILT!glTwhIl1W8f3PpfIYbeZ8B5JXeoR0Vf0PglgONYuyFw

Aquí tines más sources:
https://virusymalware.wordpress.com/

Etc, etc....