Menú

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Mensajes - apuromafo CLS

#1
explorer.exe funciona en el equipo y si buscas alternativas comienza por otros programas que hagan esa integración

https://www.softzone.es/programas/sistema/mejores-alternativas-explorador-archivos-windows/

si buscas hacer tampering/modificaciones en explorer, lo menos que debes saber es que tiene a mucho interactuando con el,

personalmente en exploracion de archivos y directorios prefiero winrar, es mas potente, no se tu, pero todos tenemos la opción de elegir, antiguamente usaba total commander, es bien accesible en precio y uso.

Saludos Cordiales.
#2
Mini tutorial:
al momento de descargar hay 4 bajadas:

0) la app es de 64bits, exeinfo pe refiere
Citarx64 - MinGW-w64 GCC: (GNU) compiler (exe) - [v4.9.2 - no " libgcj-1.x " ]  - http://mingw-w64.sourceforge.net ,
Overlay : 2E6669... Nothing discovered
igual el usuario indicó que estaba hecho en "mingw en el ide dev-c++"

1) al abordar vía IDA pro se tiene algo así

Código (cpp) [Seleccionar]
int __cdecl main(int argc, const char **argv, const char **envp)
{
 __int64 v3; // rax
 __int64 v4; // rax
 __int64 v5; // rax
 int v7; // [rsp+2Ch] [rbp-4h]

 _main();
 system("Title CrackNumb - by cheater10");
 system("Color 0a");
 v3 = std::operator<<<std::char_traits<char>>(refptr__ZSt4cout, "Ingresar la llave maestra:");
 std::ostream::operator<<(v3, refptr__ZSt4endlIcSt11char_traitsIcEERSt13basic_ostreamIT_T0_ES6_);
 std::istream::operator>>(refptr__ZSt3cin);
 if ( v7 == 1 )
 {
   v4 = std::operator<<<std::char_traits<char>>(refptr__ZSt4cout, "Bienvenido al Sistema de Cheater10");
   std::ostream::operator<<(v4, refptr__ZSt4endlIcSt11char_traitsIcEERSt13basic_ostreamIT_T0_ES6_);
   system("Pause");
 }
 else
 {
   v5 = std::operator<<<std::char_traits<char>>(refptr__ZSt4cout, "Acceso no autorizado, vuelve a intentarlo.");
   std::ostream::operator<<(v5, refptr__ZSt4endlIcSt11char_traitsIcEERSt13basic_ostreamIT_T0_ES6_);
   system("Pause>Nul");
 }
 system("Pause");
 return 0;
}


esto indica que si el valor obtenido en la llamada del valor es 1, entonces será autorizado, si es otro, no será autorizado, veamos que tiene el call
Código (cpp) [Seleccionar]
std::ostream *__fastcall std::operator<<<std::char_traits<char>>(std::ostream *a1, char *Str)
{
 if ( Str )
 {
   strlen(Str);
   std::__ostream_insert<char,std::char_traits<char>>(a1);
 }
 else
 {
   std::ios::clear(
     (char *)a1 + *(_QWORD *)(*(_QWORD *)a1 - 24i64),
     *(_DWORD *)((char *)a1 + *(_QWORD *)(*(_QWORD *)a1 - 24i64) + 32) | 1u);
 }
 return a1;
}


calcula el largo y lo retorna dependiendo del formato del mismo

2)como su título indica validar números , validamos la clave "0"
CitarIngresar la llave maestra:
0
Acceso no autorizado, vuelve a intentarlo.
3) validamos la clave "1"
CitarIngresar la llave maestra:
1
Bienvenido al Sistema de Cheater10
Presione una tecla para continuar . . .


Con esto ya está ok
Plan b: parchar

4) abrimos x64dbg sin system entrypoint, sin tls de inicio, vemos el flujo al main, y validamos donde indica la bienvenida:

Citar00000000004015 | 83F8 01               | cmp eax,1                          | eax:EntryPoint
00000000004015 | 75 30                 | jne corrupted.4015C2               |
00000000004015 | 48:8D15 AF6A0800      | lea rdx,qword ptr ds:[488048]      | rdx:EntryPoint, 0000000000488048:"Bienvenido al Sistema de Cheater10"
comparación de eax con 1, y un salto de no ser iguales, lo cual indicaría que debemos nopear el salto o forzar que esa comparación siempre sea 1
Sea como sea la decisión de cada uno , en mi caso nopearé el salto (nop x2)

patcher de x64dbg (export del parche indica:
Citar>>corrupted.exe
0000000000001590:75->90
0000000000001591:30->90

para lo cual valido
5)
CitarIngresar la llave maestra:
apuromafo
Bienvenido al Sistema de Cheater10
Presione una tecla para continuar . . .


Saludos Cordiales
PD:
A ratos es bueno analizarlo en una fuente de 3ros:
Análisis de malware en virustotal:
0/0
https://www.virustotal.com/gui/file/7f4db208921587a1a1703ded3b6f64b2485f37a048a41522f79e50a1ae5b1b22?nocache=1
en resumen nada sospechoso: ejecuta los comandos como variable de sistema:
Citar2396 - Corrupted.exe
2752 - C:\Windows\system32\cmd.exe /c Pause
2708 - C:\Windows\system32\cmd.exe /c Pause>Nul
2664 - C:\Windows\system32\cmd.exe /c Color 0a
2616 - C:\Windows\system32\cmd.exe /c Title CrackNumb - by cheater10
se valida en Virustotal Windows Sandbox, indicando que todas esas peticiones no arrojan ni modifican una app de 3ro, no hay nada raro.

Se aborda a analizar su pe header:
se aprecia que el checksum no está alineado

Y veamos potencialidad de apis y técnicas solo para tener referencia:

Potencialidad de APIS abordadas en este ejecutable de 1.8 MB (abordandolo en CAPA.exe) :
Código (bash) [Seleccionar]
+------------------------+------------------------------------------------------------------------------------+
| md5                    | f8fa9579daf56738008735b38fc2b6ae                                                   |
| sha1                   | 293f3d7500a96ece4d29e49f791e2d668d28a832                                           |
| sha256                 | 7f4db208921587a1a1703ded3b6f64b2485f37a048a41522f79e50a1ae5b1b22                   |
| path                   | A:\Corrupted.exe                                    |
+------------------------+------------------------------------------------------------------------------------+

+------------------------+------------------------------------------------------------------------------------+
| ATT&CK Tactic          | ATT&CK Technique                                                                   |
|------------------------+------------------------------------------------------------------------------------|
| DEFENSE EVASION        | Obfuscated Files or Information [T1027]                                            |
| DISCOVERY              | System Information Discovery [T1082]                                               |
| EXECUTION              | Shared Modules [T1129]                                                             |
+------------------------+------------------------------------------------------------------------------------+

+-----------------------------+-------------------------------------------------------------------------------+
| MBC Objective               | MBC Behavior                                                                  |
|-----------------------------+-------------------------------------------------------------------------------|
| CRYPTOGRAPHY                | Encrypt Data::RC4 [C0027.009]                                                 |
|                             | Generate Pseudo-random Sequence::RC4 PRGA [C0021.004]                         |
| FILE SYSTEM                 | Read File [C0051]                                                             |
|                             | Write File [C0052]                                                            |
| MEMORY                      | Allocate Memory [C0007]                                                       |
| PROCESS                     | Allocate Thread Local Storage [C0040]                                         |
|                             | Create Mutex [C0042]                                                          |
|                             | Create Thread [C0038]                                                         |
|                             | Resume Thread [C0054]                                                         |
|                             | Set Thread Local Storage Value [C0041]                                        |
|                             | Suspend Thread [C0055]                                                        |
|                             | Terminate Process [C0018]                                                     |
+-----------------------------+-------------------------------------------------------------------------------+

+------------------------------------------------------+------------------------------------------------------+
| CAPABILITY                                           | NAMESPACE                                            |
|------------------------------------------------------+------------------------------------------------------|
| encrypt data using RC4 PRGA                          | data-manipulation/encryption/rc4                     |
| contain a thread local storage (.tls) section        | executable/pe/section/tls                            |
| query environment variable                           | host-interaction/environment-variable                |
| read file (2 matches)                                | host-interaction/file-system/read                    |
| write file (3 matches)                               | host-interaction/file-system/write                   |
| create mutex (32 matches)                            | host-interaction/mutex                               |
| allocate thread local storage                        | host-interaction/process                             |
| get thread local storage value (4 matches)           | host-interaction/process                             |
| set thread local storage value (4 matches)           | host-interaction/process                             |
| allocate RWX memory                                  | host-interaction/process/inject                      |
| terminate process                                    | host-interaction/process/terminate                   |
| create thread                                        | host-interaction/thread/create                       |
| resume thread (3 matches)                            | host-interaction/thread/resume                       |
| suspend thread                                       | host-interaction/thread/suspend                      |
| link function at runtime (2 matches)                 | linking/runtime-linking                              |
| parse PE header (10 matches)                         | load-code/pe                                         |
+------------------------------------------------------+------------------------------------------------------+


en resumen puede haber posibilidad de apis que puedan cargar un header, crear rutinas, inyectar y crear de forma ofuscada, pero dado el comportamiento en virustotal, de seguro debe ser todas las apis que mete el compilador de forma genérica, pero como bien aprecian hay apis o funciones que están de más.

Solo comentar que no se aprecia nada irregular.

Saludos Cordiales
#3
puedes usar herramientas como esta en firefox
https://foro.elhacker.net/desarrollo_web/saber_que_fuente_utiliza_un_sitio_web_con_firefox-t323437.0.html

o bien si usas otro navegador como chrome :
ver el codigo de fuente  en general se aprecia que el sitio utiliza las de google:
https://fonts.googleapis.com/css?family=Oswald:400,700,300

para bajar esa fuente es https://fonts.google.com/specimen/Oswald#about

por otro lado si colocas inspeccionar, verás como está en herramientas de desarrollador, en inspeccionar, estilos: algunos dirán "font-family", algunos podrás identificar que usan Helvetica, Arial, sans-serif

pero como te digo, todo dependerá del tamaño en pixeles y necesidad del mismo.

si quieres por plugins en chrome existe el "WhatFont" y también tiene la misma intención, de encontrar el tipo de tipografía utilizada.


Espero que puedas encontrar la fuente que estás necesitando.

Saludos Cordiales
#4
Cita de: Mosqueperro en  8 Septiembre 2021, 17:49 PM
Hola, siempre he tenido la curiosidad de si al buscar imágenes desde un buscador web ¿se corre riesgo de malware o algo parecido? o al no acceder a la url específica no habría riesgo, gracias.

ya te lo han dicho, si usas un buscador como google, o bases de datos para imágenes, no debería haber riesgo

Si navegas por sitios poco éticos, pues claramente puedes encontrarte desde publicidad que ejecute scripts y comandos poco éticos...

de seguro existen sitios que usas con brechas de seguridad, y eso te hace pensar que todo es inseguro, pero ahi decides, por donde eliges ver y que hacer...

Saludos
#5
Seguridad / Re: Ransomware
12 Septiembre 2021, 18:59 PM
Hola:

Idea 0:
Las herramientas en el mercado que están publicas para descifrar ransomware o identificarlo es:
https://www.nomoreransom.org/  o inclusive  https://www.nomoreransom.org/en/decryption-tools.html
luego
https://id-ransomware.malwarehunterteam.com/

Idea 1:
Si ya validaste esa ruta, pues las sugerencias de backup, restauración u otros suele parecer como lo mas viable

Idea 2:
buscando algun responsable..denuncia y deja en manos de profesionales el seguimiento o historia de como inició todo eso , SI no confías en policía ni medios pues tema forense y vuelta de página e iniciar denuevo con nuevas medidas.


Idea 3:
Dime, si formateas, puedes recuperar información?, si tu respuesta es sí...pues tienes una idea nueva

Idea 4:
Si pagas es una opcion? Nadie de ciberseguridad te dirá que pagues, esto es porque nadie te asegura que realmente te entregarán la llave xD

Entender como funcionan los ransomware (tampoco es opción, cifran tus datos y le colocan una clave, abren puertos en tu dispositivo además para lekear los datos, aún si te regalaran la clave, pueden volver a hacerlo, si ya comprometieron tu equipo.)

Sea cual sea la ideas que te puedan indicar:
Un ransomware una vez ejecutado, no es una buena opción buscar mas ayuda, sino tomar medidas para solucionar y comenzar denuevo, si tienes suerte en descifrar, respalda lo necesario y inicia denuevo considerando las medidas mínimas , creo que ya te han comentado todo lo viable de hacer.


Saludos Cordiales Apuromafo
#6
algo leí del tema, tenías una app en visual basic, pero veo que dado que ya lo abordaste, decidiste borrar los mensajes

tema :pcode, eso es para largo si eres nuevo, intenta ver todos los tutoriales de la serie de ricardo mas el buscador a lo menos en temas de PCODE.

A estudiar y usar las herramientas (vb decompiler, ida, estudiar los opcodes y como funciona)
De lo demás, es importante que si estos son programas corporativos o hay NDA, no pueden ser difundidos ni comentados fuera de la empresa(te puedes exponer a multas)

Saludos Cordiales.
#7
busca en internet que es sniffing, y como funciona el MITM


por el lado de depurador, las apis de conexión a sockets, son las que trabajan , pero para lo que necesitas, no creo que te sirva eso, intenta por las sugerencias anteriores.

Saludos Cordiales
Apuromafo
#8
cambia de parchador al de at4re patcher, o bien haz uno (que parche los lugares)

pero no creo que sean indetectable ninguno para un antivirus...asi que quedas avisado de antemano...

saludos cordiales
#9
Cita de: Anonymous- en 16 Junio 2021, 02:43 AM
Alguien sabe por que se da el error de acceso denegado en el mirror de la web de karpoff.

http://www.mirrorkarpoffespanishtutor.comxa.com/


si alguien sabe como solucionar el problema por favor digame.


muchos sitios del pasado están fuera de linea, porque han pasado mas de 20 años o similar, para actualizarte te sugeriría ir por el faq y retomar los cursos con ricardo narvaja a lo menos


Saludos Cordiales Apuromafo
pd: hay mirrow de contenido de karpoff, de orc, flavia y otros tantos, el tema es que ya tuvo su época con uso de softice y ollydbg, creo que es tiempo que abordes un poco de IDA, un poco de depuradores como radare e inclusive uso de x32dbg/x64dbg entre otros./gdb etc
#10
Ingeniería Inversa / Re: Editar exe con IDA
20 Junio 2021, 20:47 PM
el foro/grupo tiene normas,(ejemplo no colocar link a software comercial) no se trabaja con peticion de cracks, y menos con que mandes ejecutables para que te hagan el trabajo...
el que quiere aprender hay chinchetas y faq, de seguro si no te ayudaron es porque no has hecho algo de tu parte...

Usar IDA, usar x32dbg o lo que sea, involucra al menos dedicarse un poco a aprender del lenguaje y sintaxis de uso...

Saludos Cordiales Apuromafo