No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
En las aproximaciones se ve la profesión, yo lo habría encontrado capturando el tráfico de red. Pero muy interesante.

Enviado desde mi Moto G (4) mediante Tapatalk

Si pero entonces seria dinámico y no estático, se que en muchas ocasiones no queda otra que ejecutar pero cuando hay otras opciones, este tipo de análisis me parece mas bonito =D

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Buenas

Me gusta ver neuvos post de analisis por la seccion. 
Solo un apunte; Que el desarrollador llame a esa rutina de cifrado (muy probablemente base64 modificando X bytes) "PolymorPhicDec" no convierte el malware en polimorfico.

Saludos

Muchas gracias ahora estoy con esto y muy probablemente siga en la misma linea tienes toda la razon, no es polymoric ya que el codigo no varia jajajaj he cambiado el titulo,joder esq es tan bonita esa palabra, polimorfico

Abrimos el malware con dnspy,vemos que hace la llamada al archivo server.exe desde Resources.


Una vez localizado el fichero lo guardamos con click derecho


Abrimos el fichero server con dnspy y vemos que el contenido esta obfuscado,pero lo que llama la atención es que hay 4 ficheros que los vuelve a llamar desde resources como anteriormente


Aquí encontramos la clave con la que lo cifra el tipo de cifrado que utiliza


Vamos a copiar el contenido de los ficheros en un notepad para poder desobfuscar el codigo


Copiamos todo el contenido, lo pegamos, copiamos la clave que habiamos encontrado anteriormente, seleccionamos el algoritmo y le damos a build, y listo ya tenemos nuestro server construido.

Lo abrimos con dnspy de nuevo y vemos que no esta obfuscado y nada por lo que ha resultado facil y rapido



Nota: se aceptan criticas constructivas, apenas me estoy iniciando en esto

DOWNLOAD:No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
PASS:infected

Muy buenas en este POST quiero mostrar como podemos encontrar y extraer malware en aplicaciones .net, buscando por internet me encontre esta herramienta maravillosa que permite "hackear wifi", empecemos.


Abrimos el ejecutable con dnspy, vemos que el codigo no esta cifrado, por lo que buscamos a ver si encontramos algo,observamos algo raro ahi, "server.exe" mmmm sospechoso.


Seguimos buscando donde puede estar ese "server.exe" y viendo en referencias donde utliza fotos para el programa, iconos y demas, vemos el cantoso "server.exe"


Lo guardamos haciendo click derecho guardar, y al abrilo con dnspy vemos que el código esta ofuscado, por lo que utilizare la herramienta exeinfo PE, nos dice que esta utilizando Rummage v3.1 para ofuscar el codigo y que para desobfuscarlo utilicemos de4dot


Lo abrimos con de4dot y ya tendriamos nuestro ejecutable desobfuscado


Al abrirlo con dnspy vemos el Host y el puerto donde el malware conectara, que es la informacion que realmente nos interesa

si quieres coser un jersey y tienes una maquina de coser y aparte una aguja y un dedal con su hilo, que es mas eficiente? lo primero o lo segundo?, conclusion, usa sqlmap!!

Buenas anoche descubrí esta botnet llamada spacenet,puedes descargarla No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

En la guia no lo dice creo recordar pero para activar el servidor ejecutamos logicamente el fichero No tienes permitido ver los links. Registrarse o Entrar a mi cuenta tiene que salir algo asi


Este es el panel de login que la password la ponemos nosotros,es decir, puedes poner la que quieras en la interfaz grafica no necesitas modificar ningun archivo,lo debes modificar de los archivos es la direccion IP y el puerto a la escucha del servidor que esta explicado en el manual.


El builder lo podeis encontrar en la carpeta Software/Agent/Builder

Hola buenas dias!

No se me ha ocurrido otro titulo,soy malo para los titulos,pero me gusta.


Bien,voy hablaros del javascript No tienes permitido ver los links. Registrarse o Entrar a mi cuenta que muchos ya conocereis que nos permitira minar monero inyectando ese javascript en nuestra web(o en cualquier otra) y cada vez que un usuario acceda a la web, el javascript se ejecutara y utilizaremos los recursos de su CPU para poder minar Monero.

Este javascript lo podemos configurar para que cuando el usuario que visite nuestra pagina le salga una advertencia diciendo "Esta pagina web utiliza este minero para minar...... por favor haga click en aceptar" y si acepta se activara el minero,pero siendo realistas nadie le dara click en aceptar,asi que configuremoslo para que no salga dicho aviso


Quedaria algo asi,obviamente si nada de texto y sin los monigotes minando,es solo una prueba para que se muestre lo que esta haciendo,sin dar ningun aviso.
Parece todo maravilloso y facil de que podamos conseguir que la gente mine metiendose en nuestro sitio web,pero nos enfrentamos a grandes enemigos como el adblocker y AntiVirus que puedan detectar nuestro javascript malicioso jeje
En el caso de adblocker lo que hice basicamente fue buscarme un javascript igual que bloquease el adblocker(pero tambien hay maneras para que esto no nos funcione,pero no he venido a hablar sobre el adblocker,antiblocker etc...)


Esa seria una web donde tengo el javascript que se ejecuta sin avisar,existen paginas como whois mining que nos dicen que sitios estan utilizando codigo para minar,veremos que pasa si busco la mia


Y tenemos la sorpresa de que dice que no esta minando nuestra pagina web,pero si nos fijamos en la otra imagen de arriba, si que estaba minando,bueno muchos de vosotros ya sabreis lo que pude hacer,basicamente lo que hice fue ofuscar el codigo javascript con un ofuscador online y efectivamente dio buenos resultados,seguia funcionando el minero y ademas estos sitios parece ser que apriori no lo detectan.


Bueno pues uno de los AV que detecta esto a la primera es el AVG.Este es el aviso que nos da


Aunque si ofuscamos el codigo no nos deberia sacar el aviso y por lo tanto conseguiriamos bypassearlo!!!
Podeis utlizar este que utlize yo,No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
"The recommended version for Python 2 is 2.7.x , the recommended version for Python 3 is 3.5.x and don't use 3.6 because it's not supported yet by PyInstaller"

Ahí mismo menciona que si usas Python 2 que sea 2.7.x y si es Python 3 que sea 3.5.x.
Pruebalo y nos cuentas que tal te fue

Gracias por responder pero me sigue tirando el mismo error he probado con las dos versiones de python y al final me dice el error de que el pyinstaller no esta instalado :S :S



Amantes del malware HELP ME!!!!

Hola estaba probando esta herramienta No tienes permitido ver los links. Registrarse o Entrar a mi cuenta y una vez instalada con sus depencias sin dar ningun tipo de error cuando va a compilar el exe me sale ese error que dice que no esta instalado el pyinstaller,pero si que lo tengo instalado,he leido que da problemas dependiendo de la version de python y aconseja usar 2. 3. he probado con las dos y me tira el mismo error,la herramienta la verdad es que tiene muy buena pinta y viendo videos y demas a la gente le funciona pero no se porque me sale ese error y buscandolo en google no hay apenas informacion de una situacion parecida a la mia


Cualquier cosa gracias

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Hola,

Gracias por responder

Ya he arreglado los inputs pero aún así lo hacen no entiendo

Podrías mandarme un mensaje privado y te mando la WEB que administro así me comentas

Sería un favor que te agradecería bastante

Saludos

Vale amigo anoche te envie un MP

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Quizá un poco tonto pero probaste con find?

find -name troyano1

Gracias por leer,
DUDA

Si, y tampoco

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Hola,

Buenas Noches

Soy Nuevo en este foro de seguridad

El tema de hoy es que necesitó ayuda ya que están atacando el sitio web que administro y me dedico a todo su mantenimiento el tema no es un DDos ni nada por el estilo el tema es que alguien está accediendo a la base de datos y me gustaría saber cómo accede si he puesto de todo y aparte detecto la ip cuanto dumpean la base de datos la bloqueo y la cambian como si nada.

Lo agradecería mucho!!

Lo que tienes que hacer es arreglar el codigo para que no haya SQLi y te dumpeen la bbdd,deberas validar los inputs de entrada que tengas.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Probaste ver si no está oculto?
/. troyano1.apk

si hice un ls -a y naada

Hola que hay!!

Estaba probando el troyano DroidJack en un ubuntu y a la hora de generar el apk me la genera como podeis ver en la imagen,pero a la hora de buscar el apk en el sistema no esta he buscado en la carpeta obviamente, he probado hacer un locate con el nombre del apk que supuestamente me ha generado y nada,no esta..


¿Alguna sugerencia?

Se que en windows funciona porque ya lo habia probado antes pero queria hacerlo en mi ubuntu,gracias de antemano

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Se me escapó esa 
No estaba en mi lan, solo digo eso jaja

Vaya Vaya que me quita la foto y todo

No se porque la verdad si todas las fotos que tienes puestas del Burpsuite son del BWAPP, es que no entiendo porque lo tapas tio jajaja osea quizas con tu cliente se lo hayas hecho pero lo que estas posteando son pruebas de la plataforma bwapp men :S :S

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No estaba en mi lan.

¿Como que no esta en tu LAN? Si el ataque lo estas haciendo en la maquina bwapp (tiene buena pinta la verdad)

=P

Fantastico, no conocia esa vulnerabilidad, lo que no entiendo es porque tapas en la peticion del burpsuite la parte del Host, si lo estas haciendo en Local y sale la Ip de la maquina virtual en el parametro "Referer"

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
hola a  todos y buenas madrugadas estoy probando el ahmyth con ngrok, cuando pongo el puerto a la escucha no detecta ninguna conexion, probé en dos celulares de forma simultanea y no paso nada. si alguien me podria decir alguna posible solucion seria genial

Desde mi punto de vista y experiencia,olvida ese RAT, prueba mejor SpyNote la ultima version es la 5.0 la puedes encontrar en el foro pero siendo sinceros te recomiendo la 3.2 que en mi opinion es la mas estable

Un saludo

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Hola comunidad. Alguien me podría ayudar, ya entiendo como monitorear y capturar el headspeak pero hay quedó con el archivó .cap alguna ayuda

En la medida de lo posible creo que te refieres al "handshake"....Pero realmente no entiendo a ciencia cierta tu problema,quiero pensar que estarias intentando realizar una auditoria wifi al procolo wpa2 y habras capturado ese "handshake" y no sabes como descifrarlo para hayar el contenido de la clave en texto plano, no es asi?

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Me gustaría aprender redes en profundidad ya que sé lo que es ip pública, privada, lo que es una mac y un poco del tema de los puertos, el problema es que ya no sé cómo seguir avanzando, todos los manuales y tutoriales que encuentro explican cosas muy básicas que ya he aprendido, sé que hay mas cosas de redes que debería saber pero no sé cuáles son, me gustaría que alguien me dijera un camino a tomar, algo que aprender o que me pasen algún PDF ya que estoy bastante perdido.

Gracias de antemano.

Buenas yo te recomiendo que leas sobre protocolos de red como como por ejemplo http,smtp , que leas como funciona un DNS, diferencias entre LAN y WAN, sobre el protocolo ARP, te recomiendo tambien que pruebes a instalarte XAMPP y que aprendas a utilizarlo