Mensajes

Retefe unpacker
Este es un resumen sobre cómo implementar un desempaquetador para las versiones actuales (en el momento de la publicación) del malware bancario Retefe.

Recursos sobre la amenaza:

El troyano bancario de Retefe aprovecha el exploit de EternalBlue en campañas suizas
La saga de retefe
Invertir Retefe
Nueva versión de Retefe Banking Trojan usa EternalBlue
Históricamente, parece haber alguna variación en las formas en que el malware ha almacenado su carga útil de javascript. Algunas fuentes mencionan archivos ZIP autoextraíbles y otros datos XORed. La versión actual utiliza una clave XOR de 4 bytes que se genera según la longitud de los scripts y algunas operaciones matemáticas que se realizan en ella. El post Reversing Retefe de aproximadamente dos meses atrás (2018-11-08) muestra el uso de una clave XOR de un byte que indica que el actor de amenazas ha cambiado su código base después del lanzamiento de ese post. Esta publicación se realiza con la intención de arrojar algo de luz sobre la forma actual en que Retefe almacena su carga útil.

Mirar la imagen binaria asignada con IDA muestra una gran cantidad de datos no explorados que se encuentran en el segmento .data.

Link: https://github.com/Tomasuh/retefe-unpacker

Más información: https://github.com/Tomasuh/retefe-unpacker/blob/master/README.md

Saludos.

Análisis

1. cargador
1.1. Embalador de primera etapa
1.2. Segunda etapa, embalador / inyector personalizado.
1.2.1. Trucos Antidebug
1.2.1.1. Antidebug trucos: ofuscación API
1.2.1.2. Trucos Antidebug: Trucos del tiempo
1.2.1.3. Trucos Antidebug: HKCU \ Software \ Microsoft \ Windows \ Identifier
1.2.1.3. Trucos Antidebug: cheques CPUID
1.2.1.4. Trucos Antidebug: Camina ejecutando procesos buscando nombres conocidos
1.2.1.5. Trucos Antidebug: Camina los módulos del propio proceso buscando nombres conocidos
1.2.1.6. Trucos Antidebug: IsDebuggerPresent / CheckRemoteDebuggerPresent
1.2.2. Inyección
1.2.3. Otros detalles
1.2.3.1. BotId y mutex
1.2.3.2. PRNG
2. módulo banquero
2.1. WebInjects
2.2. Ganchos del navegador
2.3. Otras capacidades de ladrón
3. Similitudes con el código fuente filtrado NukeBot
3.1. Función InjectDll en el módulo de banquero
3.2. Hollow-process explorer.exe
3.3. BotId aleatorio
4. Conclusiones

Link: http://www.peppermalware.com/2019/01/analysis-of-neutrino-bot-sample-2018-08-27.html

Saludos.

Nueva versión de CryptoTester para el análisis de #ransomware. v1.3.0.0 trae una copia fija, la capacidad de pegar / editar el hexágono de entrada, mostrar la clave generada, encontrar claves PGP en exe y agregar SharpAESCrypt. .NET 4.6.1+ requerido ahora.



D.Directa: https://download.bleepingcomputer.com/demonslay335/CryptoTester.zip

Descargar con Firefox u otro, porque Chrome lo detecta como archivo peligroso

Saludos.

Aquí os dejo el Unhackme para que podáis echarle un vistazo a vuestros equipos en busca de rootkits de sistema.
Incluye la versión portable, solo hay que registrarlo y listo para usar.

Os aconsejo el enlace de descarga desde torrent:

Link: https://crackingpatching.com/2018/02/unhackme-9-60-build-660-incl-patch-portable.html

Saludos.

Puedes compartir el Script?

Aquí tienes un ejemplo con el código explicado para que puedas crear uno nuevo a partir de cero:

Link: http://www.pythondiario.com/2017/05/como-crear-un-keylogger-remoto-con.html

¿en python? veamos, en principio es un script, así que salvo  tenga instalado python no se ejecutará, ni hablar que para hacer el keylogger, la captura, etc debes usar otras bibliotecas que también deben estar instaladas. supongamos que creas un exe para que no este python instalado, el exe es enorme y además necesita otras dependencias. en resumidas cuentas, salvo que lo hagas de forma manual en la pc victima es un proyecto bastante malo el que intentas. Para eso te conviene algún lenguaje compilado, tipo asm, c, C##,etc. y sino en script vbscript o powershell que vienen de forma nativa con windows.

Te adjunto la cita de tincopasan porque el proyecto te puede dar quebraderos de cabeza como bien se explica....

Saludos.

Tienes razón, el foro ha pegado un bajón muy drástico.
Como ya ha dicho .:UND3R:., este tema se ha hablado varias veces en el foro de colaboradores y nunca ha surgido nada nuevo.
Mira Underc0de con una media de 4.000 visitas diarias y no tiene mucho contenido nuevo que digamos. En éste foro se postean más dudas sobre programación con sus respectivas soluciones que en underc0de.
Necesitamos contenido nuevo y fresco, pero para ésto hace falta crear nuevos posts para poder subir nuevamente y ser el foro que  fue en su día
Hace falta mucha colaboración que por el momento no hay como puedes ver.

De responder respuestas no vivirá jamás el foro, irá muriendo poco a poco.
Es una pena porque lleva 16 años online, los que arriman el hombro terminan quemaqndose con el tiempo, y eso creo que es por falta de contenido y colaboración por parte del staff.
El único moderardor que postea a diario s wolfbcn y de noticias jamás se sostendrá el foro.

Saludos.

.
Características: ProcessMgmt (Módulo / Hilo / Mango / Memoria / Ventana / Enganches, etc.), File + RegistryMgmt, Devolución de llamadas del Kernel / Análisis de enganches, Usermode-Hook-Scans, Depuración simple de Kernel, etc.

Windows Kernel Explorer es compatible con 32/64 Bit, hasta Win10

Link: https://github.com/AxtMueller/Windows-Kernel-Explorer



Saludos.

[Jiska Classen] y [Dennis Mantz] crearon una herramienta llamada Internal Blue que pretende ser una navaja suiza para jugar con Bluetooth en un nivel inferior. La base de su herramienta se basa en tres funciones que son comunes a todos los conjuntos de chips Broadcom Bluetooth: una que le permite leer memoria arbitraria, que le permite ejecutarla y otra que le permite escribirla. Bueno, eso fue fácil. El resto de su trabajo fue analizar este código y aprender a reemplazar el firmware con su propia versión. Eso les llevó unos meses de duro trabajo de reversión.

Al final, Internal Blue les permite ejecutar comandos en una capa más profunda, la capa LMP, que permite monitorear e inyectar fácilmente. En una serie de demostraciones en vivo (¡y exitosas!), Exploran un Nexus 6P de un Nexus 5 modificado en su escritorio. Aquí es donde comenzaron a buscar en la pila de Bluetooth de otros dispositivos con conjuntos de chips Broadcom, y ahí es donde empezaron a encontrar errores.

Como suele ser el caso, [Jiska] solo estaba hurgando y encontró un controlador de código externo que no hacía la verificación de límites. Y eso significaba que podía ejecutar otras funciones en el firmware simplemente pasando la dirección. Ya que esencialmente están llamando a funciones en cualquier ubicación de la memoria, encontrar qué funciones llamar con qué argumentos es un proceso de prueba y error, pero las ramificaciones de esto incluyen al menos un bloqueo y restablecimiento del módulo Bluetooth, pero también pueden generar tales trucos. como poner el módulo Bluetooth en el modo "Dispositivo a prueba", que solo debería ser accesible desde el propio dispositivo. Todo esto es antes de vincularse con el dispositivo: solo pasar por allí es suficiente para invocar funciones a través del controlador de buggy.

[youtube=640,360]https://youtu.be/4_nI9ok7iQg[/youtube]

Más información: https://hackaday.com/2018/12/30/finding-bugs-in-bluetooth/

Saludos.

En Linux tienes un Backup (Bookmarks.bak) de tus marcadores en la ruta: ".config/google-chrome/Default/" y en Windows: "AppData\Local\Google\Chrome\UserData\Default"






Saludos.

Puertos abiertos, usuarios y contraseñas.

[youtube=640,360]https://youtu.be/7QCBh9Enl2M[/youtube]


Instalación: ./install.sh
Uso: brutex target <port>
Docker: docker build -t brutex .
docker run -it brutex target <port>

Saludos.