Mensajes

Aunque ya es viejo, aquí os dejo el paper y el source de éste bootkit:

Link: https://github.com/williamshowalter/hdroot-bootkit-analysis
Paper: http://williamshowalter.com/assets/a-universal-windows-bootkit/A%20Universal%20Windows%20Bootkit.pdf
Análisis: http://williamshowalter.com/a-universal-windows-bootkit/

Saludos.

Sources variados, se incluyen troyanos, bootkits, troyanos para android, etc.

Alina Spark (Point of Sales Trojan)
Betabot, Neurevt (Trojan)
Bleeding Life 2 (Exploit Pack)
Carberp (Botnet)
Carberp (Banking Trojan)
Crimepack 3.1.3 (Exploit Pack)
Dendroid (Android Trojan)
Dexter v2 (Point of Sales Trojan)
Eda2, Stolich, Win32.Stolich (Ransom)
Sednit, Fancy Bear, APT28, Sofacy, Strontium (Gmail C2C)
FlexiSpy (Spyware)
Fuzzbunch (Exploit Framework)
GMBot (Android Trojan)
Gozi-ISFB - (Banking Trojan)
Grum (Spam Bot)
Hacking Team RCS (Remote Control System)
Hidden Tear (Ransom)
KINS (Banking Trojan)
Mazar (Android Trojan)
Mirai (IoT Botnet)
Pony 2.0 (Stealer)
Poshspy (APT29 backdoor)
PowerLoader (Botnet)
RIG Front-end (Exploit Kit)
Rovnix (Bootkit)
Tinba (Tiny ASM Banking Trojan)
TinyNuke, Nuclear Bot, Micro Banking Trojan, NukeBot (Banking Trojan)
Trochilus, RedLeaves (RAT)
ZeroAccess (Toolkit for ZeroAccess/Sirefef v3)
Zeus (Banking Trojan)

Link: https://github.com/m0n0ph1/malware-1

Saludos.

Aunque son antiguas ya, nunca está demás para aprender y desarrolar tu propia botnet.
Aquí os dejo diferentes sources para ir probando:

Link: https://github.com/m0n0ph1/Botnet

Saludos.

Proyecto de instalación de captura de malware.

El Proyecto Stratosphere IPS tiene un proyecto hermano llamado Proyecto de instalación de captura de malware que se encarga de realizar las capturas a largo plazo. Este proyecto está continuamente obteniendo malware y datos normales para alimentar a Stratosphere IPS.

¿Por qué capturamos tráfico malicioso, normal y mixto?
Los algoritmos de aprendizaje automático deben verificarse para averiguar su rendimiento preciso en datos reales. Especialmente en la seguridad informática de la red, es realmente importante tener buenos conjuntos de datos, ya que los datos en las redes son infinitos, cambiantes, variados y con un alto concepto de deriva. Estos problemas nos obligan a obtener buenos conjuntos de datos para entrenar, verificar y probar los algoritmos.

Para hacer una buena verificación necesitamos tres tipos de tráfico: Malware, Normal y Fondo. El tráfico de Malware incluirá todas las cosas que queremos detectar, especialmente las conexiones de C&C (Comando y Control). El tráfico normal es muy importante para conocer el rendimiento real de nuestros algoritmos al calcular los falsos positivos y los verdaderos negativos. El tráfico de fondo es necesario para saturar los algoritmos, verificar su rendimiento de memoria / velocidad y probar si el algoritmo se confunde con los datos.

Lista de conjuntos de datos de malware
En cada carpeta de captura hay varios archivos asociados a cada ejecución de malware, incluido el archivo pcap y zip original protegido por contraseña con el archivo binario utilizado para la infección. La contraseña de todos los archivos zip con malware es: infected.

El IPS Stratosphere se alimenta con modelos creados a partir de capturas de tráfico de malware real. Al usar y estudiar cómo se comporta el malware en la realidad, nos aseguramos de que los modelos que creamos sean precisos y que nuestras mediciones de rendimiento sean reales. Nuestro proyecto hermano, Malware Capture Facility Project, está a cargo de monitorear continuamente el panorama de amenazas para detectar nuevas amenazas emergentes, recuperar muestras maliciosas y ejecutarlas en nuestras instalaciones para capturar el tráfico.

Info:
https://www.stratosphereips.org/datasets-overview

CTU-13 Dataset:
https://www.stratosphereips.org/datasets-ctu13

Malware captures:
https://www.stratosphereips.org/datasets-malware

Normal captures:
https://www.stratosphereips.org/datasets-normal

Mixed captures:
https://www.stratosphereips.org/datasets-mixed

Descarga de archivos:
https://mcfp.felk.cvut.cz/publicDatasets/CTU-13-Dataset/

En caso de que el sitio principal para descargar los archivos esté inactivo, puede intentar descargar los archivos desde aquí:

Mirror: https://mega.nz/#F!vdRmBA6D!yMZXx74nnu8GjhdwSF54Sw

Saludos.

[Ubertooth:]

Herramientas útiles para el análisis de este tipo de dispositivos inteligentes.

Ubertooth, Attify Badge, Killerbee y Attify OS.

Ubertooth:

Una gran cantidad de dispositivos inteligentes utilizan Bluetooth para comunicarse con equipos cercanos, como teléfonos móviles o controles remotos. En este sentido, poder interceptar y analizar este tráfico puede ser de gran utilidad para encontrar fallas de seguridad o para realizar ataques de MiTM y lograr enviar mensajes o comandos remotos al equipo.
El proyecto Ubertooth tiene todo lo necesario para experimentar y analizar la tecnología Bluetooth, ya que permite capturar e inyectar tráfico tanto BLE (Bluetooth Low Energy) como las conexiones clásicas de Bluetooth (Basic Rate).

Link: https://github.com/greatscottgadgets/ubertooth
Wiki: https://github.com/greatscottgadgets/ubertooth/wiki

Este proyecto consta de:
La antena Ubertooth ONE, que puede comprarse en tiendas online o construirse. Dado que el proyecto es de código abierto y que en el repositorio se encuentra el paso a paso para su ensamblado, así como también el Firmware que consta de un bootloader para el arranque y un software de recepción y transmisión de Bluetooth.
El software que se ejecuta en cualquier computadora con Linux o MacOS, y que permite interactuar con la antena o incluso analizar el tráfico capturado.
Una vez instalado el software y conectada la antena, podrán descargar y utilizar las diferentes herramientas que se incluyen en el repositorio para facilitar el análisis de los datos interceptados. Incluso, es posible analizar los paquetes capturados utilizando Wireshark, el cual ya incluye desde su versión 1.12 el plugin para el tráfico BLE.

Attify Badge:

Tener acceso al harwdare del dispositivo que se quiere analizar es una gran ventaja, ya que muchos puertos de comunicación no cuentan con protección contra el acceso físico al dispositivo. Desde el punto de vista del análisis, poder conectarse directamente al hardware del equipo permite interceptar el tráfico de las comunicaciones a más bajo nivel, analizarlo o incluso modificarlo e inyectar comandos.
De hecho, los ataques a través de JTAG y UART son los más efectivos para dispositivos IoT. JTAG (Joint Test Action Group) es una interfaz electrónica de cuatro o cinco pines utilizada para probar los módulos de circuitos integrados, y es muy útil también como mecanismo para depuración de aplicaciones embebidas, ya que provee una puerta trasera para acceder al sistema. UART (Universal Asynchronous Receiver-Transmitter), por su parte, es el chip que controla los puertos y dispositivos serie, tomando bytes de datos y transmitiendo los bits individuales de forma secuencial. Entre otras funciones, maneja las interrupciones de los dispositivos conectados al puerto serie y convierte los datos en formato paralelo, transmitidos al bus de sistema, a datos en formato serie, para que puedan ser transmitidos a través de los puertos y viceversa.
Attify Badge es una pequeña placa electrónica que permite interactuar con varios protocolos y puertos de comunicación muy utilizados en dispositivos inteligentes, como UART, SPI, I2C, JTAG y GPIO, entre otros. También, tiene varios pines GPIO (General Purpose Input/Output, Entrada/Salida de Propósito General), que pueden customizarse y utilizarse para diferentes propósitos, como sniffear el tráfico UART, conseguir acceso root desde un puerto serie, debaggear el dispositivo a través de JTAG o realizar un dump de la memoria del dispositivo. Según sus propios creadores, es la navaja suiza de la explotación de hardware IoT.

Info: https://blog.attify.com/hack-iot-device/

Killerbee:

La aparición de dispositivos pequeños, con recursos limitados, ha hecho que nuevos protocolos se vuelvan cada vez más populares. Uno de ellos es ZigBee, un protocolo de comunicación inalámbrico muy utilizado en domótica por su bajo consumo eléctrico. Es muy común encontrarlo en luces inteligentes, sensores de temperatura, y todo tipo de dispositivos para el control del hogar.
Al igual que muchos otros protocolos, este también cuenta con un framework de código abierto para su análisis. Se trata del proyecto KillerBee, pensado para la explotación del protocolo ZigBee y otras redes IEEE 802.15.4.
Al igual que Ubertooth, KillerBee también consta de un software instalable, principalmente desarrollado en Python, y un hardware (antena) para poder capturar el tráfico. La más común es la Atmel RZ RAVEN USB Stick, pero también pueden conseguirse otras alternativas.
Una vez instalado, Killerbee permite interceptar el tráfico de los protocolos inalámbricos, realizar inyección de paquetes, ataques de denegación de servicio y hasta crear exploits personalizados utilizando SCAPY. Otro punto a favor es que soporta la modalidad wardriving, lo cual permite analizar diferentes canales para encontrar redes disponibles.
Si bien este framework nos resultó un poco difícil de instalar y dejar a punto, una vez sorteados estos obstáculos, es sencillo de utilizar y posee una interfaz amigable.

Link: https://github.com/riverloopsec/killerbee/

Attify OS:

Así como encontramos una gran variedad de dispositivos, también existen muchas aplicaciones para su análisis. Instalar y configurar todas estas herramientas, y sus dependencias, puede ser tedioso y demandar una gran cantidad de tiempo. Con el objetivo de facilitar la instalación, surge Attify OS, una distribución pre configurada de Ubuntu 14.04 con una gran cantidad de herramientas para hacer análisis y auditorías de dispositivos inteligentes.
Entre otras cosas, ya cuenta con el software para utilizar la Ubertooth ONE y Attify Badge (mencionadas anteriormente), así como también las librerías necesarias para trabajar con otros protocolos de radio y comunicación, como ZigBee, GNU Radio y la suite de HackRF. En lo que refiere a aplicaciones de análisis, las más útiles han sido JADx e IDA y el Firmware Analysis Toolkit para hacer análisis y emulación de firmwares.

IDA: https://out7.hex-rays.com/files/idafree70_windows.exe
JADx: https://github.com/skylot/jadx
Firmware Analysis Toolkit: https://github.com/attify/firmware-analysis-toolkit

Esta distribución nos ha resultado muy útil para realizar análisis de firmwares, debuggear la interfaz JTAG, reversear aplicaciones móviles, sniffear tráficos de protocolos BLE y ZigBee, entre otras tantas tareas. Sin embargo, la desventaja que hemos encontrado es que sólo está disponible la imagen virtualizada, para utilizar con VMWare, Virtual Box o algún otro framework de virtualización. Esto puede resultar un poco complicado cuando no tenemos un entorno virtualizado donde trabajar o cuando la virtualización trae algunos problemas con el hardware, especialmente, las conexiones USB. Sin embargo, en nuestra experiencia, ha resultado sumamente útil en la mayoría de los análisis.
Si bien es una distribución que ya tiene cerca de dos años, lo cierto es que sus aplicaciones no han pasado de moda y basta con realizar una actualización una vez levantada la máquina virtual.

Link: https://github.com/adi0x90/attifyos

Cómo analizar dispositivos IoT: vulnerabilidades más comunes y cómo encontrarlas:

Link: https://www.welivesecurity.com/la-es/2019/01/22/como-analizar-dispositivos-iot/

Fuente: WeLiveSecurity

Saludos.

Hola, aquí les dejo el source del Carbanak:

Source: https://mega.nz/#!FoJynAoD!KVwY4NtP97foMn25iywvRKAiu7gAa-g0xKXH1sUUTrc
Plugins: https://mega.nz/#!00B2haaK!PUX7e1veqYGG_XSYHYarJR9dcEFToVxs_CKTYmsdcg4

Sin contraseña, ojo al antivirus.

Más info: https://www.fireeye.com/blog/threat-research/2019/04/carbanak-week-part-one-a-rare-occurrence.html

App Any Run:

Source: https://app.any.run/tasks/bfc8d8ce-bd6d-436c-9b6b-833843f12151
Plugins: https://app.any.run/tasks/d4cc50e8-2962-4351-8ffd-2fbee49233b7

Virustotal:

Source: https://www.virustotal.com/gui/file/783b2eefdb90eb78cfda475073422ee86476aca65d67ff2c9cf6a6f9067ba5fa/detection
Plugins: https://www.virustotal.com/gui/file/4116ec1eb75cf336a3fdde253c28f712668d0a325a74c41445c7fa87c4e9b7a5/detection

Saludos.

Adjunto un análisis estático:

https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/happy-new-year-2019-anatova-is-here/

Saludos.

Cierto, no te adjunté el link:

https://www.cvedetails.com/vulnerability-list/vendor_id-833/product_id-3704/Linksys-Wrt54g.html

Saludos.

No veo muy lógico que te cobren por un servicio que tendría que ser coste 0, ya que tendría que ir incluido en el servicio.
Si no quieres pagar ese 30% , tan solo te queda cambiar de compañía y asesorarte bien sobre el servicio que ofrecen.
Si sigues en el empeño de buscar un exploit aquí te dejo algunos CVE para que puedes indagar en los servicios vulnerables del router.
Dado las ofertas que hay a día de hoy, cambiaría de ISP y problema resuelto, siempre y cuando el ISP te proporcione los datos de configuración.

Saludos.

El usuario pide solo subir imágenes, mírate esto a ver si te sirve:

https://es.stackoverflow.com/questions/19905/subir-imagen-en-php

Saludos.