Mensajes

Aprendamos: Descifrando la última plantilla de cadena de cargador "TrickBot" y la nueva comunicación del servidor Tor Plugin

Objetivo: Documentar la presencia del nuevo servidor de complementos TrickBot Tor y desofuscar la última plantilla de cadena de malware TrickBot Loader.
Trick Loader MD5: 6124c863c08f92732da180d4cf7cbf38

I. Antecedentes
II. Nuevo descubrimiento: Tor Plugin Server en Config
III. TrickBot Loader Deobfuscation Tutorial
IV. Análisis del descargador TrickBot difuso
  A. Comprueba la presencia de los procesos de la máquina virtual y las DLL de análisis
  B. Proceso inyectado
  C. DLL importado
  D. Argumentos de la línea de comando a través de
  cmd.exe y PowerShell -DisableRealtimeMonitoring
  E. Controles de procesos
  F. Almacenamiento de configuración
  G. Nombre del directorio en% APPDATA%
  H. rarezas

I. Antecedentes
Al analizar una de las últimas muestras de TrickBot del suplantador de Danske Bank (gracias a @ dvk01uk para la muestra), decidí profundizar en TrickBot Loader.
II. Nuevo descubrimiento: Tor Plugin Server en Config
El equipo de TrickBot implementó recientemente una comunicación de servidor de complemento a través de Tor .onion en el puerto: 448 para buscar módulos de malware.
Es una técnica novedosa para TrickBot; es probable que estén experimentando con el conector Tor para mejorar y / o mantener el módulo de primera capa y la resiliencia del servidor proxy. También es posible que el conector Tor sea una nueva norma para que el equipo de TrickBot no solo busque módulos sino también comunicaciones entre el cliente y el servidor de manera similar a como se realiza en las otras variantes de malware como Gozi ISFB Botnet "4000".
III. TrickBot Loader Deobfuscation Tutorial
A. Recupere la primera carga útil TrickBot desempaquetada autoinyectada en la memoria y vacíela como un ejecutable y disco.
B. Ubique la plantilla de cadena codificada en OllyDBG y configure un punto de interrupción de hardware en el acceso (DWORD), y ejecútelo hasta que vea la clave y la ejecución de la plantilla.



Más información: http://www.vkremez.com/2018/07/lets-learn-trickbot-new-tor-plugin.html

Saludos.

Una máquina virtual (VM) de Windows es una de las herramientas más importantes disponibles para analizar malware. Una VM permite la flexibilidad para depurar malware en vivo sin temor a infectar a su host. Si la VM está infectada, puede volverse rápidamente a una instantánea limpia para continuar el análisis.

Tradicionalmente, los analistas de malware han tenido que mantener sus propias máquinas virtuales con una colección de herramientas de análisis. Pero todo esto cambió en 2017 con el lanzamiento del excelente proyecto FLARE-VM. FLARE-VM está construido sobre el administrador de paquetes Chocolatey para Windows y proporciona administración central para el software de Windows. Hemos ampliado la idea detrás del proyecto FLARE-VM y hemos creado un instalador específico OALabs-VM que configurará automáticamente una máquina virtual completa con las herramientas que necesita para seguir nuestros tutoriales de análisis de malware.

Este tutorial proporciona instrucciones para la instalación y configuración de una máquina virtual de Windows 7 gratuita con el instalador de OAlabs-VM. Los siguientes pasos serán cubiertos en detalle.

Instalando VirtualBox
Descargar una VM de Windows 7 (x86) GRATIS de Microsoft
Importación de la máquina virtual de Windows 7 en VirtualBox y configuración de la configuración
Descargando y ejecutando la secuencia de comandos del instalador OALabs-VM
Una descripción general de las herramientas de OLabs y su ubicación en la máquina virtual
Configuración de una máquina virtual de 64 bits para su uso con el desensamblador IDA gratuito
Mire nuestro tutorial de instalación aquí: Malware Analysis VM Setup Tutorial

[youtube=640,360]https://youtu.be/gFxImi5t37c[/youtube]

Más información:
https://oalabs.openanalysis.net/2018/07/16/oalabs_malware_analysis_virtual_machine/

Saludos.

Investigadores montan un exitoso ataque de suplantación GPS contra los sistemas de navegación en carretera.

Los académicos dicen que han montado un exitoso ataque de suplantación GPS contra los sistemas de navegación de la carretera que puede engañar a los humanos para que conduzcan a ubicaciones incorrectas.

La investigación es notable porque los ataques anteriores de suplantación GPS no han podido engañar a los humanos, quienes, en experimentos anteriores, a menudo recibían instrucciones de manejo maliciosas que no tenían sentido o no estaban sincronizadas con la infraestructura vial, por ejemplo, girando a la izquierda en una carretera recta.

Una nueva investigación engaña exitosamente a los humanos
Pero un equipo de investigación formado por académicos de Virginia Tech y de la Universidad de Ciencia y Tecnología Electrónica de China, junto con expertos de Microsoft Research, han presentado un método mejorado para llevar a cabo ataques de suplantación GPS que tienen en cuenta el diseño de la carretera.

Para llevar a cabo el ataque, los investigadores desarrollaron un algoritmo que funciona casi en tiempo real, junto con un dispositivo portátil de suplantación GPS que cuesta alrededor de $ 223, que se puede conectar fácilmente a un automóvil o subir a un vehículo que alcanza el auto del objetivo a distancias de hasta a 50 metros.



Más información: https://www.bleepingcomputer.com/news/security/researchers-mount-successful-gps-spoofing-attack-against-road-navigation-systems/

Saludos.

Les comparto este buen curso en español (y tambien en ingles) sobre ingenieria inversa, creado por el uruguayo Martin Balao (https://www.linkedin.com/in/martinuy/), me pareció un curso bien estructurado y muy practico ya que incluye buenos laboratorios para probar los conocimientos adquiridos.



Link: https://comunidad.dragonjar.info/discussion/9807/curso-de-ingenieria-inversa-por-martin-balao

Saludos.

Gracias por responder con la solución a tu problema.

Saludos.

DorkMe es una herramienta diseñada por blueudp con el objetivo de acelerar la búsqueda de vulnerabilidades con google.

Dependencias:

Código [Seleccionar] Expandir

pip install google
pip install argparse

Se recomienda agregar más dorks para una búsqueda efectiva,

Uso:

python DorkMe.py --help example:python DorkMe.py --url bible-history.com --dorks vulns -v (recommended for test) python DorkMe.py --url bible-history.com --dorks Deprecated,Info -v (multiple dorks) python DorkMe.py --url bible-history.com --dorks all -v (test all)

Link: https://github.com/blueudp/DorkMe

Saludos.

Dont Hijack Esta es una herramienta anti-hacker para reparar todo el daño causado por el malware. Activa los componentes de Windows desactivados. Elimina por completo todas las infecciones de bots / virus / malware.

[youtube=640,360]https://youtu.be/Hznk_wxS870
[/youtube]





Próximamente:
Anti Rootkit
Anti Adware (mejorado)
Visor de procesos ocultos

Caracteristicas
Repara el daño causado por el malware
Elimina adware / bots / malware
Restaura la conexión a Internet
Anti Hacker
Restaura los componentes de Windows
Corrige las vulnerabilidades del sistema

Link: https://sourceforge.net/projects/donthijackthis/?source=directory

Saludos.

En este post se comenta sobre la herrameinta que estás utilizando, te puede aclarar tus dudas:

https://foro.elhacker.net/dudas_generales/lazagne-t477251.0.html

Saludos.

Una herramienta para bloquear virus en memoria flash / disco USB de funcionamiento automático. Cuando se inserta un disco USB, esta herramienta no solo bloquea el archivo "autorun.inf", sino que también bloquea todos los virus relacionados con la ejecución automática y otros archivos sospechosos.





Link: https://sourceforge.net/projects/noautorun/?source=directory

Saludos.

Perdona, me precipité.
Buscas un live cd para linux y los que te puse aunque se basan en distros de linux son para windows.

Encontré este live cd, aquí te dejo el link:

http://antiviruslivecd.4mlinux.com/
https://sourceforge.net/projects/antiviruslivecd/

incluye el escáner ClamAV. Está diseñado para usuarios que necesitan un CD en vivo liviano, que les ayudará a proteger sus computadoras contra virus. Ethernet, WiFi, PPP y PPPoE son compatibles con Antivirus Live CD para permitir actualizaciones automáticas de sus bases de datos de firmas de virus. Todas las particiones se montan durante el proceso de arranque para que puedan ser escaneados por ClamAV. Las imágenes ISO de Antivirus Live CD son totalmente compatibles con UNetbootin, que se puede utilizar para crear un Antivirus Live USB fácil de usar.

Saludos.