Si es referido a Malware, puedes ponerlo aqui junto con el source del programa.
- Bienvenido a Test Foro de elhacker.net SMF 2.1.
Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.
#22
Nivel Web / Re: Clickjacking + Facebook = Likejacking
21 Julio 2011, 05:21 AM
No darle el código hecho es ayudarlo, para que aprenda a hacer sus propias cosas.
No vengo a discutir, asi que espero que no se diga más nada, solo me molestó la forma en la que se relacionó edu con nostros.
No tengo la menor idea, me haré una cuenta e investigaré, si logró algo, lo publico.
Saludos compañero !
No vengo a discutir, asi que espero que no se diga más nada, solo me molestó la forma en la que se relacionó edu con nostros.
Cita de: .:UND3R:. en 21 Julio 2011, 05:15 AM
PD: buena info la del que comentaba, no la conocía, otra cosa funcionará con google+?
No tengo la menor idea, me haré una cuenta e investigaré, si logró algo, lo publico.
Saludos compañero !
#23
Foro Libre / Re: ¿Blogs de Hackers?
21 Julio 2011, 00:46 AMCita de: mansan[a] en 14 Julio 2011, 16:27 PM
troyanos y virus .com .ar jaja es coña
malandrines.net y ahi a la derecha hay enlaces de blogs
Tiene contenido troyanizado (:
http://www.securitybydefault.com/
http://www.elladodelmal.com/
#24
Nivel Web / Re: Clickjacking + Facebook = Likejacking
21 Julio 2011, 00:41 AM
Primero y principal, si buscas pelear, tenes los MP.
Segundo, nadie te va a dar el código hecho, necesitas sirvientes? Andá y pagá por alguno en tu país.
Tercero, como se te ha dicho anteriormente, y de manera educada, investiga y luego pregunta en la sección correspondiente y se te dará una mano.
Saludos.
PD: xxx-zero-xxx? Que raro que no te hallan banneado. Nunca cambias.
Segundo, nadie te va a dar el código hecho, necesitas sirvientes? Andá y pagá por alguno en tu país.
Tercero, como se te ha dicho anteriormente, y de manera educada, investiga y luego pregunta en la sección correspondiente y se te dará una mano.
Saludos.
#25
Dudas Generales / Re: Me lo ha parecido ami o un usuario ha posteado datos de cuentas bancarias?
20 Julio 2011, 22:46 PM
O se movió a zona privada..
#26
Software / Re: Problema con instalacion Microsoft Office 2010
20 Julio 2011, 21:00 PM
http://www.piriform.com/ccleaner/download
Desintalalo, reinicia, limpia el registro con eso e intenta instalar nuevamente.
Tambien te servirá
http://support.microsoft.com/kb/290301
Desintalalo, reinicia, limpia el registro con eso e intenta instalar nuevamente.
Tambien te servirá
http://support.microsoft.com/kb/290301
#27
Seguridad / Protege contra escritura tus dispositivos USB en Windows
20 Julio 2011, 05:52 AMDesde el editor de registro de windows Inicio - Ejecutar - "Regedit"
Vamos a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
Ahora clic derecho > Nueva Clave
Y creamos una nueva clave con el nombre de StorageDevicePolicies
En el panel derecho vamos a crear un nuevo valor DWORD
Ahora, para proteger contra escritura los dispositivos que se conecten, basta con asignarle dicho valor a 1 (uno). Para desactivar la protección asignamos 0 (cero).
Si quisieramos automatizar dicho procedimiento, solo basta con exportar la clave que generamos.
Podemos crear ambos estados (Protección ON – OFF) para facilitar la tarea.
El contenido de cada .reg debe ser similar al de la imagen
Por lo tanto, si requerimos activar la protección contra escritura de un dispositivo USB, solo tenemos que hacer doble click en la llave con el valor 1. Y si trataramos de escribir de alguna manera en dicho dispositivo, nos encontramos con la siguiente advertencia.
Funciona correctamente en Windows XP, Vista y 7. No recuerdo en cuales, me parece que en los ultimos dos, necesita reiniciar.
Fuente: www.sec-track.com
Vamos a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
Ahora clic derecho > Nueva Clave
Y creamos una nueva clave con el nombre de StorageDevicePolicies
En el panel derecho vamos a crear un nuevo valor DWORD
Ahora, para proteger contra escritura los dispositivos que se conecten, basta con asignarle dicho valor a 1 (uno). Para desactivar la protección asignamos 0 (cero).
Si quisieramos automatizar dicho procedimiento, solo basta con exportar la clave que generamos.
Podemos crear ambos estados (Protección ON – OFF) para facilitar la tarea.
El contenido de cada .reg debe ser similar al de la imagen
Por lo tanto, si requerimos activar la protección contra escritura de un dispositivo USB, solo tenemos que hacer doble click en la llave con el valor 1. Y si trataramos de escribir de alguna manera en dicho dispositivo, nos encontramos con la siguiente advertencia.
Funciona correctamente en Windows XP, Vista y 7. No recuerdo en cuales, me parece que en los ultimos dos, necesita reiniciar.
Fuente: www.sec-track.com
#28
Análisis y Diseño de Malware / Botnets: una breve mirada al interior de ZeuS
20 Julio 2011, 01:53 AM
Internet se ha transformado en una preciada plataforma de ataque donde la diseminación de malware a través de aplicativos crimeware es cosa de todos los días. Una gran parte del malware actual se encuentra diseñado con la intención de reclutar computadoras zombis que luego formarán parte de alguna botnet.
Por ejemplo aquí tenemos una pantalla de login del Comando y Control (C&C) de una de estas redes:
Este tipo de aplicativos permiten a los botmaster administrar y controlar cada una de las computadoras infectadas a través de una panel de administración desde el cual pueden ejecutar de manera remota, además de la propagación de malware, otros tipos de acciones maliciosas como DDoS (Denegación de Servicio Distribuida) o el envío de spam, como es el caso de la botnet formada por el troyano Waledac. Aquí, uno de estos panel donde se puede ver la cantidad de sistemas controlados por país:
Hace tiempo pudimos conocer el poder de las botnets cuando se polemizó la prueba realizada por la BBC en torno a una investigación sobre el crimeware actual, dejando en completa evidencia que para quienes se dedican a ello, las botnet, el malware y el crimeware en general, constituyen un negocio sin fronteras.
ZeuS (o Zbot) representa una de las botnet con mayor actividad de la actualidad formando parte del conjunto de aplicativos crimeware que permiten su administración vía web a través de una interfaz.
Sus diferentes módulos de ataque, escritos en PHP, le permiten al botmaster (o a cualquiera de los personajes que alquilan la botnet, como por ejemplo un spammer) llevar a cabo diferentes actividades de índole delictiva y propagar diferentes códigos maliciosos que colaboran con los ataques; siendo uno de los más activos, los ataques de phishing.
El Kit de este crimeware, ya posee una serie de archivos escritos en html donde cada uno de ellos es la clonación de la página web de diversas entidades bancarias, que ZeuS clasifica de acuerdo al idioma. Es decir, dentro de su estructura encontramos carpetas que alojan cada phishing en idioma español, inglés, ruso (este crimeware proviene de Rusia) y en algunos casos alemán dependiendo de la versión del Kit, listos para ser propagados por el ciberdelincuente.
La siguiente captura muestra el phishing a dos conocidas entidades bancarias:
Las posibilidades fraudulentas que ofrece la botnet son más amplias y no sólo posee clonaciones de páginas de entidades bancarias sino que también de compañías que ofrecen servicios a través de Internet. Entre las que forman parte de la nómina se encuentran:
Además, este crimeware propaga diferentes códigos maliciosos diseñados para realizar diferentes actividades delictivas.
Al igual que otros kits de control, administración y monitoreo vía web a través de una interfaz, estos paquetes crimeware incorporan diferentes módulos de ataque que posibilitan al botmaster propagar diferentes códigos maliciosos a través de diferentes técnicas.
En este sentido, ya vimos una breve introducción a ZeuS, mostrando también la capacidad que posee de realizar ataques de phishing a importantes entidades bancarias y otras compañías que ofrecen servicios por Internet.
Ahora, para completar un poco más el conocimiento sobre esta botnet, que en la actualidad se encuentra muy activa y con alto porcentaje de equipos infectados que forman parte de su red, veamos cuáles son los diferentes códigos maliciosos que propaga.
En principio cabe aclarar que la cantidad y variedad de malware capaz de propagar ZeuS cambia levemente con cada versión del Kit, salvo por el propio código malicioso de la botnet, creado a partir de una aplicación interna del paquete.
Es decir, que también propaga el malware que describo a continuación:
Pero tampoco se queda con ese grupo de cuatro códigos maliciosos, ZeuS es capaz de propagar otros, quizás un poco más conocidos por nuestros lectores:
Se trata de tres códigos maliciosos detectado por ESET NOD32 como:
Como podemos apreciar, un total de siete códigos maliciosos que dejan en evidencia que la capacidad de propagación de malware de este crimeware son muy amplias.
Eso es todo, el que esté interesado en el descargar el source de ZeuS puede hacerlo desde aquí:
ZeuS 2.0.8.9 by ANTRAX [pass: zeus]
Saludos!
Fuente: Laboratorios ESET
Por ejemplo aquí tenemos una pantalla de login del Comando y Control (C&C) de una de estas redes:
Este tipo de aplicativos permiten a los botmaster administrar y controlar cada una de las computadoras infectadas a través de una panel de administración desde el cual pueden ejecutar de manera remota, además de la propagación de malware, otros tipos de acciones maliciosas como DDoS (Denegación de Servicio Distribuida) o el envío de spam, como es el caso de la botnet formada por el troyano Waledac. Aquí, uno de estos panel donde se puede ver la cantidad de sistemas controlados por país:
Hace tiempo pudimos conocer el poder de las botnets cuando se polemizó la prueba realizada por la BBC en torno a una investigación sobre el crimeware actual, dejando en completa evidencia que para quienes se dedican a ello, las botnet, el malware y el crimeware en general, constituyen un negocio sin fronteras.
ZeuS (o Zbot) representa una de las botnet con mayor actividad de la actualidad formando parte del conjunto de aplicativos crimeware que permiten su administración vía web a través de una interfaz.
Sus diferentes módulos de ataque, escritos en PHP, le permiten al botmaster (o a cualquiera de los personajes que alquilan la botnet, como por ejemplo un spammer) llevar a cabo diferentes actividades de índole delictiva y propagar diferentes códigos maliciosos que colaboran con los ataques; siendo uno de los más activos, los ataques de phishing.
El Kit de este crimeware, ya posee una serie de archivos escritos en html donde cada uno de ellos es la clonación de la página web de diversas entidades bancarias, que ZeuS clasifica de acuerdo al idioma. Es decir, dentro de su estructura encontramos carpetas que alojan cada phishing en idioma español, inglés, ruso (este crimeware proviene de Rusia) y en algunos casos alemán dependiendo de la versión del Kit, listos para ser propagados por el ciberdelincuente.
La siguiente captura muestra el phishing a dos conocidas entidades bancarias:
Las posibilidades fraudulentas que ofrece la botnet son más amplias y no sólo posee clonaciones de páginas de entidades bancarias sino que también de compañías que ofrecen servicios a través de Internet. Entre las que forman parte de la nómina se encuentran:
- gruposantander.es
- finanzportal.fiducia.de
- bankofamerica.com
- bbva.es
- bancaja.es
- online.lloydstsb.co.uk
- bancopopular.es
- ebay.com
- us.hsbc.com
- e-gold.com
- paypal.com
- usbank.com
- citizensbankonline.com
- extranet.banesto.es
- citibank.de
- bancoherrero.com
Además, este crimeware propaga diferentes códigos maliciosos diseñados para realizar diferentes actividades delictivas.
Al igual que otros kits de control, administración y monitoreo vía web a través de una interfaz, estos paquetes crimeware incorporan diferentes módulos de ataque que posibilitan al botmaster propagar diferentes códigos maliciosos a través de diferentes técnicas.
En este sentido, ya vimos una breve introducción a ZeuS, mostrando también la capacidad que posee de realizar ataques de phishing a importantes entidades bancarias y otras compañías que ofrecen servicios por Internet.
Ahora, para completar un poco más el conocimiento sobre esta botnet, que en la actualidad se encuentra muy activa y con alto porcentaje de equipos infectados que forman parte de su red, veamos cuáles son los diferentes códigos maliciosos que propaga.
En principio cabe aclarar que la cantidad y variedad de malware capaz de propagar ZeuS cambia levemente con cada versión del Kit, salvo por el propio código malicioso de la botnet, creado a partir de una aplicación interna del paquete.
Es decir, que también propaga el malware que describo a continuación:
- Win32/PSW.LdPinch: un troyano cuyo objetivo es recolectar información sensible y confidencial relacionada a nombres de usuarios y contraseñas
- Win32/TrojanClicker.Delf: otro tipo de troyano que busca registrar la mayor cantidad de click sobre servicios como AdSense y similares
- Win32/TrojanDownloader.Small: diseñado para descargar otros códigos maliciosos en el equipo infectado
Pero tampoco se queda con ese grupo de cuatro códigos maliciosos, ZeuS es capaz de propagar otros, quizás un poco más conocidos por nuestros lectores:
Se trata de tres códigos maliciosos detectado por ESET NOD32 como:
- Win32/Adware.SpywareProtect2009: un conocido rogue ampliamente propagado, incluso por otros aplicativos crimeware
- Win32/Koobface: un gusano diseñado para explotar diferentes redes sociales robando información sensible de los usuarios que hacen uso de ella, volviéndo a la carga recientemente.
- PDF/Exploit.Pidief: orientado a explotar vulnerabilidades conocidas en los lectores de archivos PDF Acrobat Reader y Foxit Reader
Como podemos apreciar, un total de siete códigos maliciosos que dejan en evidencia que la capacidad de propagación de malware de este crimeware son muy amplias.
Eso es todo, el que esté interesado en el descargar el source de ZeuS puede hacerlo desde aquí:
ZeuS 2.0.8.9 by ANTRAX [pass: zeus]
Saludos!
Fuente: Laboratorios ESET
#29
Análisis y Diseño de Malware / Malware vs. Analistas de Malware
20 Julio 2011, 01:51 AM
A la hora de analizar malware, los analistas e investigadores nos encontramos con todo tipo de muestras. Muchas veces nos encontramos con binarios empaquetados cuya finalidad es dificultar su estudio. En esta oportunidad analizaremos una muestra que no solo esta empaquetada, sino que tiene otras características adicionales orientadas a dificultar su análisis y detección.
El binario estudiado en este caso, esta empaquetado con el popular empaquetador UPX, cosa que podemos ver fácilmente con el detector de packers ProtectionID:
Si queremos verificar esto, podemos mirar el Entry Point (EP) con un debugger:
Aquí podemos ver el clásico PUSHAD en el EP de un archivo empaquetado con UPX. Para desempaquetarlo podemos hacerlo a mano, utilizando un método llamado PUSHAD (no lo explicaremos en esta oportunidad pero si alguien quiere consultarlos, puede dejarnos un comentario), o el método mas sencillo, mediante el comando upx -d como vemos en el siguiente gráfico:
Vale destacar que este método no siempre funciona en versiones de UPX modificadas. Finalmente, con cualquiera de ambos métodos llegamos al Original Entry Point, mas conocido como OEP. Para este malware el mismo esta en la dirección 4012c2:
Ya con el programa desempaquetado, al ejecutarlo, una de las primeras llamadas a funciones interesantes que encontramos es GetUserDefaultUILanguage de la librería Kernel32.dll. Esta función sirve para identificar la configuración del lenguaje del teclado en el sistema operativo.
¿Por qué decimos que es una función interesante ? Porque serviría para restringir la infección del malware a determinados equipos con la finalidad de acotar su expansión geográfica. Este tipo de chequeos regionales podemos verlos en Swizzor, que utiliza la función GetSystemDefaultLangID para obtener el lenguaje del sistema. Luego lo compara con un valor hexadecimal para decidir si infecta o no el equipo. También observamos este tipo de acciones en Conficker, que utiliza la función GetKeyboardLayoutList, de la cual obtiene la distribución del teclado y a partir de ella chequea si se instala o no.
Siguiendo con el tema de protecciones anti-debugging, podemos ver que esta muestra posee protecciones contra máquinas virtuales y chequea si es ejecutado en alguno de los entornos virtuales mas conocidos como son VMware. VirtualBox, VirtualPC y QEMU. A continuación podemos ver dicha porción en el código:
Cómo vemos en la imagen de arriba, el código aparece completamente en amarillo, esto se debe a que al iniciar el programa, las direcciones de memoria donde están las instrucciones anti-virtuales se encontraban vacías. Esto nos indica que el código se descomprimió en ejecución. Para poder visualizar este código hay que ejecutarlo, sino solo veríamos estas secciones vacías. Aquí una imagen de como se veían estas mismas secciones antes de ejecutar el programa:
Para terminar con el análisis de las protecciones, esta muestra también chequea nombres y ID de procesos, en este caso como lo debuggeamos con el programa Immunity Debugger, el malware identifica el proceso Immunitydebugger.exe. Otra cosa interesante que hace es identificar si existe o no alguna solución antivirus instalada.
De todas las protecciones que detallamos en este post, la que mas nos perjudica a la hora de analizar malware es la protección anti-VM. Existen muchas formas de detectar que un archivo esta siendo debuggeado en un entorno virtual. Esto puede llegar a ser muy tedioso, ya que la mayoría de los análisis que se hacen son dentro de estos entornos virtualizados, para tratar de aislar así la infección y poder simular lo más posible el comportamiento del malware en un entorno "real". Por suerte existen varias formas de saltearse estas detecciones y lograr ejecutar el malware adentro de una maquina virtual, pero esto ya requiere mas conocimientos para poder identificar en que momento se realiza este chequeo. Una opción mas fácil y totalmente viable, aunque más costosa, seria poseer una maquina física específicamente dedicada para el análisis de malware ya que no recomendamos analizar muestras directamente en la computadora que se utiliza a diario.
Fuente: Laboratorios ESET
El binario estudiado en este caso, esta empaquetado con el popular empaquetador UPX, cosa que podemos ver fácilmente con el detector de packers ProtectionID:
Si queremos verificar esto, podemos mirar el Entry Point (EP) con un debugger:
Aquí podemos ver el clásico PUSHAD en el EP de un archivo empaquetado con UPX. Para desempaquetarlo podemos hacerlo a mano, utilizando un método llamado PUSHAD (no lo explicaremos en esta oportunidad pero si alguien quiere consultarlos, puede dejarnos un comentario), o el método mas sencillo, mediante el comando upx -d como vemos en el siguiente gráfico:
Vale destacar que este método no siempre funciona en versiones de UPX modificadas. Finalmente, con cualquiera de ambos métodos llegamos al Original Entry Point, mas conocido como OEP. Para este malware el mismo esta en la dirección 4012c2:
Ya con el programa desempaquetado, al ejecutarlo, una de las primeras llamadas a funciones interesantes que encontramos es GetUserDefaultUILanguage de la librería Kernel32.dll. Esta función sirve para identificar la configuración del lenguaje del teclado en el sistema operativo.
¿Por qué decimos que es una función interesante ? Porque serviría para restringir la infección del malware a determinados equipos con la finalidad de acotar su expansión geográfica. Este tipo de chequeos regionales podemos verlos en Swizzor, que utiliza la función GetSystemDefaultLangID para obtener el lenguaje del sistema. Luego lo compara con un valor hexadecimal para decidir si infecta o no el equipo. También observamos este tipo de acciones en Conficker, que utiliza la función GetKeyboardLayoutList, de la cual obtiene la distribución del teclado y a partir de ella chequea si se instala o no.
Siguiendo con el tema de protecciones anti-debugging, podemos ver que esta muestra posee protecciones contra máquinas virtuales y chequea si es ejecutado en alguno de los entornos virtuales mas conocidos como son VMware. VirtualBox, VirtualPC y QEMU. A continuación podemos ver dicha porción en el código:
Cómo vemos en la imagen de arriba, el código aparece completamente en amarillo, esto se debe a que al iniciar el programa, las direcciones de memoria donde están las instrucciones anti-virtuales se encontraban vacías. Esto nos indica que el código se descomprimió en ejecución. Para poder visualizar este código hay que ejecutarlo, sino solo veríamos estas secciones vacías. Aquí una imagen de como se veían estas mismas secciones antes de ejecutar el programa:
Para terminar con el análisis de las protecciones, esta muestra también chequea nombres y ID de procesos, en este caso como lo debuggeamos con el programa Immunity Debugger, el malware identifica el proceso Immunitydebugger.exe. Otra cosa interesante que hace es identificar si existe o no alguna solución antivirus instalada.
De todas las protecciones que detallamos en este post, la que mas nos perjudica a la hora de analizar malware es la protección anti-VM. Existen muchas formas de detectar que un archivo esta siendo debuggeado en un entorno virtual. Esto puede llegar a ser muy tedioso, ya que la mayoría de los análisis que se hacen son dentro de estos entornos virtualizados, para tratar de aislar así la infección y poder simular lo más posible el comportamiento del malware en un entorno "real". Por suerte existen varias formas de saltearse estas detecciones y lograr ejecutar el malware adentro de una maquina virtual, pero esto ya requiere mas conocimientos para poder identificar en que momento se realiza este chequeo. Una opción mas fácil y totalmente viable, aunque más costosa, seria poseer una maquina física específicamente dedicada para el análisis de malware ya que no recomendamos analizar muestras directamente en la computadora que se utiliza a diario.
Fuente: Laboratorios ESET