Busca los tutoriales de Franco Guidi Polanco,( por decirte alguien que es muy didáctico en las explicaciones) en Java.
Tiene ejercicios básicos en ellos.

Pues no son fans, nikolai47. Uso Win y Ubuntu.

De hecho, no son fans de nada. 

Gabi.

PD: Esperamos tus aportes!!

Me encontré con Qlink, una herramienta que permite enviar mensajes, archivos o información de una forma segura (¿?) a través de internet; y de momento, gratuita.

¿Por qué sus desarrolladores la califican de segura? Porque una vez que el mensaje es leído por el destinatario, éste se autodestruye.

Hice la prueba desde aquí: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

[Dominio italiano, que según Ricarso Bianchi (uno de los desarrolladores), se eligió para facilitar que se retenga en la medida que se asocia a "qlinkealo"].

Como se ve en las capturas, es de muy sencillo uso.
Se accede al sitio web, se redacta el mensaje y adjunta el archivo y click en qlink.



Aparecerá un mensaje que nos dice que se está "encriptando" el mensaje y/o archivo. A continuación aparece una clave  (cifrado con una llave de 4096 bits) de carácter aleatorio,   el cual  se deberá copiar y hacerle llegar al destinatario, por el medio que deseemos: Whasapp, email, Skype, etc.



Si bien no es necesario, es recomendable obtener el "Numero de Entrega", porque en la misma página se nos permite comprobar si el mensaje fue leído.








Cuando el destinatario abre el mensaje, se encuentra con la advertencia de que una vez que abandone la página ya no podrá volver a leerlo.





Y el sitio web nos informará que el mensaje fue leído.





El hecho que el mensaje pueda ser leído una vez, y solo una vez, asegura que si el auténtico destinatario del mismo lo leyó, es porque nadie lo hizo antes (MitM) ni lo podrá hacer después (en caso que el mensaje fuera interceptado), debido a que su contenido no puede ser recuperado.

Cuando intenté leer por segunda vez el mismo mensaje, me apareció la notificación que aparece en la siguiente imagen:






Más aún, en caso de que la clave enviada no fuera usada, el mensaje también se auto-elimina luego de 24 horas de creado. Otra ventaja que tiene esta herramienta de transferencia de información es el anonimato, ya que no requiere registro  o creación de cuenta por parte del emisor ni del receptor.

Por otro lado,  Ezequiel Álvarez (otro de los integrantes del equipo desarrollador) nos dice que el link enviado "es una llave (que descifra el mensaje) a la cual nosotros no tenemos acceso. You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login genera una llave al azar en función de la velocidad con la que tocas las teclas o mueves el mouse. La genera, codifica el mensaje y nos lo manda a nosotros, pero no la llave, que te la muestra como un link... El mensaje va por el servidor y la llave va por otro lado, que desconocemos. No sabemos quién genera la llave ni quién la recibe. "

Asimismo, Ricardo Bianchi , reseña: "Un punto muy importante a nivel técnico, [es que] todos los mensajes encriptados se almacenan en una memoria RAM y no en nuestros servidores. Lo cual hace al sistema más volátil porque hackear una memoria RAM es mucho más difícil que en un servidor."


Por último, puede usarse en ANDROID (y próximamente in iOS):

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login


Fuente: La información fue obtenida de distintas web

No te tomes a mal, pero en esto, no busques que te den todas las respuestas: prueba, juega, vuelve a probar, ensaya y equivócate, y hazlo de nuevo hasta que te salga.

Gabi

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

...............

Enhorabuena, nikolai47

La esencia de la Comunidad es, precisamente, la colaboración y la solidaridad.

Esperamos que te sientas a gusto en Underc0de, y contribuyas con nuestros objetivos; mientras aprendes.



Gabi

CitarPD: No me agrada este post U_U
PD2: Solo molesto porque Gaby es la que inicio los post..
PD3: Avenged Sevenfold - Seize The Day

No me agrada tu selección musical.
Eres un maldito.!XD

Tus trabajos, siempre impecables, Roda.

Gracias, por compartirlos!


Gabi.

Foreign Linux, es una herramienta análoga a Wine, pero a la inversa; en la medida que "es  un traductor de binarios y un emulador de llamadas del sistema para Windows. Es capaz de ejecutar binarios compilados para Linux en Windows sin ningún tipo de modificación ni la necesidad de usar controladores adicionales."
La herramienta viene así a llenar una necesidad de los usuarios de  Windows, habilitando correr software diseñado para Linux en el sistema de Microsoft.
--------

El proyecto se encuentra bajo intenso desarrollo y ya es capaz de ejecutar muchas herramientas para Linux entre las que se encuentran las siguientes:

*Herramientas básicas: bash, vim, nano.
*Entornos de programación: python y gcc.
*Gestores de paquetes: pacman.
*Juegos basados en el terminal: vitetris y nethack.
*Herramientas de red: wget, curl y ssh.
*Aplicaciones X: xeyes, xlock y glxgears.

Estos son sólo algunos ejemplos pero Foreign Linux puede con más. Algunas de las funciones más importantes que quedan por implementar son el permiso en los archivos, gestor de procesos, señales, ejecución de programas multi-hilo y algunas otras. Todos los programas que dependan de estas funciones no se podrán ejecutar o lo harán con fallos. De momento se encuentra en una fase temprana de desarrollo por lo que pueden ocurrir cosas como que de repente un programa empiece a consumir todo el disco duro.


Las principales características de Foreign Linux son:

*Permite ejecutar programas compilados para Linux sin necesidad de modificarlos, sin usan controladores adicionales ni una máquina virtual.
*Soporta tanto ejecutables compilados dinámicamente como estáticamente.
*Tiene soporte para crear enlaces duros y simbólicos en particiones NTFS.
*Incluye un emulador de consola del estilo de Xterm
*Tiene soporte para sockets.


Más detalles pueden verse en: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El análisis del malware se recomienda hacerlo en entornos controlados.

Antes de continuar, entre otros muchos, aquí podéis profundizar en el tema:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login


Sigamos...no obstante lo dicho, la ejecución de un malware en una máquina virtual, no nos exime que las nuevas generaciones de aquéllos contengan código que permita detectar si se ejecutan en un contexto virtualizado y en consecuencia, ocultar su   su verdadero comportamiento, el caso práctico a continuación explora esta hipótesis.


Para comenzar con el análisis, tomaremos un ejecutable de nombre Notificacao-Infracao.cpl  (#). Si bien a simple vista este archivo puede no parecer ejecutable. No obstante, si intentamos ejecutar este archivo en nuestra máquina virtual, no observaremos ningún comportamiento malicioso. En otras palabras, del análisis dinámico de la amenaza no obtendremos nada útil, pero del análisis estático vemos algunas strings sospechosas, como dos URL de descarga de archivos ejecutables, entre otras cosas. Luego, podríamos pensar que la muestra probablemente esté dañada, pero hay una string que nos llama la atención: "vmware". Por ello, abriremos la muestra con IDA Pro y buscaremos dónde se hace referencia a esa string. Obtenemos lo siguiente:



Como se ha resaltado en la imagen, no sólo encontramos una referencia a VMWare, sino también a Wine y Virtual PC. También observamos que esas strings son utilizadas por sub_404720, que se encarga de almacenarlas en algún sitio. Bajo esta premisa, primeramente se almacena la cadena "Native", que indicaría la ausencia de virtualización. Luego, se comprueba la presencia de Wine dos líneas más abajo, en sub_4ABAE8. Si esta sub-rutina determina la existencia de una emulación bajo Wine, la cadena "Wine" es almacenada, remplazando a "Native". Caso contrario, se comprueba la presencia de VMWare en sub_4AB9E8 y de Virtual PC en sub_4ABB2C.

En la siguiente imagen vemos el código de comprobación para Wine. No nos detendremos demasiado en esta parte, pero podemos observar que se carga ntdll.dll en memoria y se realizan llamadas a wine_get_version ywine_nt_to_unix_file_name. Dichas rutinas no forman parte de la API de Windows, pero sí están presentes en Wine.


Luego, viene la parte del código que nos interesa y aquella que está disparando la detección en nuestro caso: la de comprobación de VMWare. En este caso, los autores del malware han utilizado un mecanismo bastante conocido: solicitar la versión de VMWare mediante la comunicación con los puertos de E/S. Esto es posible dado que VMWare monitorea e intercepta el uso de la instrucción in, acción necesaria para poder garantizar la comunicación entre la máquina virtual y el host.

En particular, cuando se ejecuta la instrucción "in eax, dx" con el número mágico 0x564D5868 (o "VMXh" en ASCII) en EAX, a través del puerto 0x5668 ("VX") especificado en DX, se obtiene una respuesta que depende de la operación especificada en ECX y se almacena en EBX. Puede que todo esto suene a trabalenguas, pero es más sencillo de lo que parece: si se llama a la instrucción in con los registros como se ha especificado y con el código de operación 0x0A en ECX, y se obtiene como resultado el número mágico en EBX, sabremos que la aplicación está corriendo en VMWare. Esto puede observarse en la siguiente imagen:



Ahora, si abrimos la muestra con OllyDbg, probablemente nunca llegaremos a ejecutar estas instrucciones, y el programa terminará su ejecución prematuramente, al igual que nos ocurría inicialmente. Para evitar esta situación, debemos recordar que un CPL es en realidad una DLL. Así, el código de comprobación que estamos buscando se encuentra en DllMain, rutina que se ejecuta al momento de cargar el CPL en memoria, luego de una llamada a LoadLibrary. Por lo tanto, para poder esquivar el mecanismo de detección en Olly, sólo basta con parchear el salto luego de la comparación con el número mágico.

Además, si lo que buscamos es que la muestra también se ejecute fuera del debugger, podemos editar manualmente el archivo binario, y cambiar el valor del número mágico en la comparación.
No nos detendremos a explicar el mecanismo utilizado para la detección de Virtual PC, pero pueden verlo en la siguiente imagen. Se ve la utilización de la instrucción vpcext, la cual no existe en una arquitectura x86 nativa, pero sí en Virtual PC. De hecho, Olly no es capaz de interpretarla.




Luego de parchear la detección, podemos ver que la aplicación maliciosa continúa corriendo y ejecuta su payload: descarga dos archivos ejecutables desde dos URL distintas y los levanta con ShellExecuteA.




Si bien los mecanismos utilizados no son demasiado difíciles de encontrar, especialmente considerando que las strings no se encuentran cifradas en esta muestra, la inclusión del código en DllMain podría jugarnos una mala pasada.


(#) El tema de los archivos cpl podéis mirar aquí:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login


Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Hola a todos!

El objetivo de este post y sucesivos, es acercarnos, conocernos y tener un espacio de ocio en la Comunidad. Entre todos, podemos formular distintas propuestas o juegos, que permitan ver si la idea funciona.


Para comenzar: ¿Qué estás escuchando ahora?  o ¿Qué te gustaría escuchar ahora?

Por cierto, puedes responder repetidas veces, si te apetece; pues la música cambia según el momento que nos pille. 

Si quieres nos cuentas por qué esa música... o que te recuerda o que te provoca. Hay libertad de comentarios.

Comienzo: En este momento escucho:




Porque la Oreja de  Van Gogh es uno de mis grupos predilectos... y además me la pasó alguien a quien quiero mucho.


Siguiente...

whatspy, te damos la bienvenida a la Comunidad.

Esperamos serte de ayuda y poder compartir conocimientos, dudas, aportes...

Si gustas, pasa por nuestro canal de IRC.


Gabi.

Kc159, bienvenido!!

Seguramente, en Underc0de encontrarás apoyo para los estudios que has iniciado.
Y en esa ida y vuelta de dar y recibir, compartiremos contigo la experiencia de aprender.



Gabi.

Enhorabuena por el registro, Alex259!.

Deseamos poder hacer muchísimos intercambios y que pronto te sientas parte de Underc0de.


Gabi.

Se han dado varias propuestas de solución.
Cierro el tema.

Como punto de partida del análisis, debemos entender qué son los archivos .cpl.

Desde el punto de vista más simple, un archivo .cpl es una librería de enlace dinámico (o dll) que implementa una función especial con la cual interactúa el Panel de Control de Microsoft Windows. Asimismo, una dll se asemeja a un archivo ejecutable en el sentido de que puede contener código, datos y recursos de una aplicación, pero difiere en que no puede ejecutarse por sí misma: ofrece un conjunto de funciones que serán ejecutadas por otras aplicaciones.

Luego, un archivo de extensión .cpl tampoco puede ejecutarse por sí mismo, pero será ejecutado por el Panel de Control en forma automática. Tal es así que si se hace doble clic sobre una dll, no se ejecutará ninguna acción; por otro lado, si se hace doble clic en un cpl, el Panel de Control ejecutará la aplicación contenida en dicho archivo, lo que puede representar un riesgo potencial en ciertos casos, y una oportunidad muy atractiva para los cibercriminales.

Ahora bien, si analizamos la estructura de un archivo cpl, encontraremos que se exporta u ofrece a otras aplicaciones una función llamada CPlApplet(). Es la presencia de esa función la que diferencia una simple dll de una cpl, lo cual se observa en la siguiente imagen. Allí se comparan las funciones exportadas por una dll (a la derecha), de aquellas exportadas por una cpl (a la izquierda):




Esta función debe ser desarrollada de tal modo que el Panel de Control pueda enviar mensajes a través de una estructura de datos. Los mensajes que se envían pueden indicarle al cpl si debe iniciarse, cerrarse o si se ha hecho doble clic en él. El prototipo de la función, en Delphi por ejemplo, se muestra en la siguiente imagen:





Los diferentes mensajes que pueden ser enviados se almacenan en uMsg, y se encuentran detallados en la documentación oficial. Así, la implementación de CPlApplet debe proveer una respuesta para cada uno de los posibles mensajes, llamando a la funcionalidad principal de la librería dentro del mensaje CPL_DBLCLK. Para ilustrar esto, en la siguiente imagen se muestra una implementación esquelética de CPlApplet en Delphi:






Lo dicho hasta el momento no tiene necesariamente conexión con el malware, pero si lo ponemos en perspectiva, veremos las ventajas que este modelo ofrece a los cibercriminales. Si los archivos con extensión .cpl implementan CPlApplet correctamente y son copiados en la carpeta System32 de Windows, automáticamente son agregados al Panel de Control de Windows, sin necesidad de realizar otro tipo de tareas de instalación. Más allá de esto, en todas las muestras recibidas por el Laboratorio hemos observado que ellas no son copiadas en esta carpeta (ya que requeriría confirmación del usuario) y no se instalan dentro del Panel de Control de Windows, sino que son ejecutadas en forma manual por el usuario, apelando a la influencia de técnicas de Ingeniería Social.


El punto clave, sin embargo, es el que ya hemos mencionado: los archivos .cpl no requieren de la existencia de otra aplicación que los ejecute, como si necesitan las dll. Por lo tanto, cuando un usuario hace doble clic sobre un archivo de tipo cpl, se lanza inmediatamente la aplicación del Panel de Control, control.exe, la cual se encarga de ejecutar la funcionalidad definida en CPlApplet. Esto lo observamos en la siguiente imagen:





De la captura de Process Monitor observamos que, después de hacer doble clic en el archivo cpl, automáticamente se ejecuta control.exe con la ruta hasta el cpl como argumento. Éste a su vez llama a rundll32.exe para ejecutar las instrucciones de CPlApplet.

Como conclusión, podemos decir que mediante la utilización de archivos cpl los cibercriminales tienen un método muy atractivo de propagar malware, tanto por las ventajas ya mencionadas por sobre las dll, como por el desconocimiento que los usuarios en general tienen respecto al uso de los applets del Panel de Control de Windows.



Fuente:You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Gracias Facu, por tu detalle para nosotras y el recuerdo especial que me dejas!!!.

Un abrazo.

Gabi.

Enhorabuena, RobinRood!!

Deseamos que pronto te sientas uno más en nuestra Comunidad.
Disfruta tu estancia.
Si te apetece, pasa por nuestro canal de IRC.

Gabi

Facu, te quedaron geniales!!!!

Gracias por traerlos!



Gabi

Como todos tus aportes, Blackdrake: estupendos.!!!
Claro, explicado y continuado de la parte I.

Gracias

Gabi