Menú

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Mensajes - fudmario

Páginas 1 ... 7 8 9 10
#161
Dudas y pedidos generales / Re:Determinar si la ip esta encriptada
Marzo 05, 2015, 11:42:25 PM

Bueno a menos que sepas que tipo de cifrado hubiese sido  usado, lo veo muy complicado(o si talves el ejecutable esta Empaquetado tampoco lo podrias ver), lo que puedes hacer es Ejecutar el Archivo en un entorno Controlado(Maquinas Virtuales o Sandbox) y Dumpear el Proceso y apartir de ahi buscar coincidencias Con IP's.

Otra Opcion sería, usar apateDNS+Sandbox, para lograr obtener la url donde conecta y luego con un PING a esa URL sabrias su IP.

Si estuviese empaquetado aqui hice un video  desenpaquetando un Ejecutable, para poder extraer url( es el Primer Video ).


You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
#162
Dudas y pedidos generales / Re:Un ransomware un poco especial
Enero 31, 2015, 02:25:11 AM
Si aun lo tienes y quieres, puedes enviarme la muestra por MP o Skype, haber si se puede Solucionar,...
#163
Tutoriales y Manuales de Malwares / Re:Android: Análisis de Malware | by fudmario
Agosto 14, 2014, 12:00:41 AM
Gracias por comentar...

Aquí dejo un Videogif como usar Eset Simplocker Decryptor:



Saludos.
#164
Tutoriales y Manuales de Malwares / Android: Análisis de Malware | by fudmario
Agosto 13, 2014, 12:56:05 AM

Hace un par de semanas me preguntaron sobre esto, así que me saque algo de tiempo y decidi hacer este mini-tutorial para todos, y bueno veremos algunas formas para poder identificar APK's maliciosas y tambien el uso de aplicaciones que nos ayudaran en este proceso.

Comencemos...

¿Qué es una APK?

Cita de: WikipediaUn archivo con extensión .apk (Application PacKage File) es un paquete para el sistema operativo Android. Este formato es una variante del formato JAR de Java y se usa para distribuir e instalar componentes empaquetados para la plataforma Android...

Un archivo .apk normalmente contiene lo siguiente:

    AndroidManifest.xml
    classes.dex
    resources.arsc
    res (carpeta)
    META-INF (carpeta)
    lib (carpeta)
   
El Formato APK es básicamente un archivo comprimido ZIP con diferente extensión por lo cual pueden ser abiertos e inspeccionados usando un software archivador de ficheros como 7-Zip, Winzip, WinRAR o Ark.





  • AndroidManifest.xml
Es un archivo XML codificado como XML binario que nos muestra los datos de la aplicación(Actividades, permisos, servicios, etc.)



  • classes.dex
Aquí se encuentra el código de la aplicación compilado en un el formato que interpreta la maquina virtual de Dalvik



  • resources.arsc
Aquí se encuentran todos los recursos pre-compilados de la aplicación.



  • res
En esta carpeta estan  los recursos de la aplicación.



  • META-INF
En esta carpeta encuentran los certificados de la aplicación.

Utilizaremos una muestra disponible en Contagio Mobile
¿Qué es Simplocker?

Cita de: ESETSimplocker es un troyano apuntado a móviles, uno de la los primeros de esta clase que tiene por objetivo los dispositivos móviles con Android. Este código malicioso explora la tarjeta SD residente en busca de ciertos tipos de archivos (.jpeg, .jpg, .png, .bmp, .gif, .pdf, .doc, .docx, .txt, .avi, .mkv, .3gp, .mp4), encripta estos archivos utilizando AES, y luego demanda un rescate de parte del usuario a cambio de la descripción de esos archivos vulnerados. El resultado determina que hasta que el rescate sea pagado, los usuarios no podrán acceder a su archivos personales (fotografías, descargas, canciones , etc.).

Nuestro punto de inicio será el archivo AndroidManifest.xml, este archivo nos mostrará que es lo que va a hacer, si intentamos leer el contenido de este archivo no será legible, para poder leerlo correctamente podemos usar: "AXMLPrinter2" o "xml-apk-parser".

AXMLPrinter2: Obtiene el XML desde el archivo xml binario.
Código: text
Uso: java -jar AXMLPrinter2.jar <Archivo xml binario>
xml-apk-parser: Obtiene el XML directamente desde la APK
Código: text
Uso: java -jar APKParser.jar <Archivo apk>





El Archivo AndroidManifest:


  • Android:versionCode =  Indica la versión de nuestra aplicación
  • Android:versionName =  Indica la versión de nuestra aplicación mostrada al usuario
  • package = Es el nombre del paquete Java que contiene el elemento raíz de nuestra aplicación
  • uses-permission = Esto declara los permisos que necesita la aplicación para funcionar.
  • permission = Esto declara los permisos que las actividades o servicios que necesita.
  • application = Esto define nombre, actividades, icono, etc.


Contenido del Archivo AndroidManifest de Simplocker:


  • android.permission.INTERNET = Permite a las aplicaciones abrir sockets de red
  • android.permission.ACCESS_NETWORK_STATE = Permite que las aplicaciones accedan a información sobre redes
  • You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login_PHONE_STATE = Permite acceso de sólo lectura al estado del teléfono.
  • android.permission.RECEIVE_BOOT_COMPLETED = Permite que una aplicación para recibir el ACTION_BOOT_COMPLETED que se emite después de que el sistema termine de iniciarse.
  • android.permission.WAKE_LOCK = Permite el uso de PowerManager WakeLocks mantener procesador de dormir o la pantalla de oscurecimiento
  • android.permission.WRITE_EXTERNAL_STORAGE = Permite que una aplicación escriba en el almacenamiento externo
  • You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login_EXTERNAL_STORAGE = Admite una aplicación que lee de almacenamiento externo.

Ahora vamos a decompilar el proyecto:

Como al principio hemos dicho que basicamente se trata de un archivo comprimido con diferente extensión, usando WinRAR podriamos extraer el contenido y con el archivo classes.dex pasandolo por Dex2jar obtendriamos el codigo

DEX2JAR



JD-GUI:Decompiler(Haz Clic para ver el VIDEOGIF)
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Otra alternativa sería usar(aunque es de pago) "AndroChef Java Decompiler", es bastante completo tu solo seleccionas tu apk y nos muestra todo el codigo decompilado.







CREANDO UN ENTORNO VIRTUAL:

Bueno para probar vamos a usar un Emulador para Android(yo usaré el Android SDK)


ANDROID VIRTUAL




Para instalar Aplicaciones utilizaremos el "adb.exe" ubicado en la carpeta "platform-tools"
el modo de uso es el Siguiente:

Código: text
adb.exe install <tu archivo .apk>

Instalando APK


Simplocker Instalado


Pantalla Principal


Archivos Encryptados




Referencias:
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Liberar los archivos encryptados:
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login






Si te gusta y quieres compartirlo adelante, recuerda respetar el autor del Post.
#165
Tutoriales y Manuales de Malwares / Ransomware: Análisis de Malware by fudmario
Junio 29, 2014, 04:45:45 PM

Hola a todos, hoy vamos a ver un tipo de variante de Malware conocida como Ransomware, si bien esto no es nada nuevo este tipo de Malwares podrian ser muy daniños, veremos con un ejemplo como funciona y como podemos desinfectarnos.



¿Qué es  un Ransomware?[/B]


Cita de: Wikipedia
Un ransomware es un tipo de programa informático malintencionado que restringe el acceso a determinadas partes o archivos del sistema infectado, y pide un rescate a cambio de quitar esta restricción. Algunos tipos de ransomware encriptan los archivos del sistema operativo inutilizando el dispositivo y coaccionando al usuario a pagar el rescate.


Similares  lo que hacen es bloquear el escritorio(muchas veces cambiandolo desde el editor registro)  y mostrar en pantalla que simulan ser de alguna tipo de autoridad diciendo que se ha bloqueado el acceso al sistema por violacion de alguna ley, actividades ilegales, etc. Para luego pedir  dinero a cambio de poder acceder al sistema.



Entre las modificaciones que generalmente hacen:



  • Para evitar ser Eliminados, modifican valores en registro para que no se pueda iniciar en modo seguro(F8).

Código: text
    
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\minimal
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network

  • Restringir el uso de herramienta utilies  de Windows:

    Código: text
    REGEDIT(Editor de Registros), TASKMGR(Administrador de Tareas), CMD()

  • Tambien modificar el inicio("explorer.exe"):


    Código: text
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon



    Aqui podemos ver como es un Builder de este  tipo de Malware:



    Muchos se preguntarán: ¿Es posible desinfectarse?.

    Depende del tipo de Variante de este Malware, podria llegar a solucionarse o no.

    Hoy vamos a ver el comportamiento de una de estas variantes de Malware.

    Aqui la muestra:




    Actualmente es detectado segun VirusTotal => [45/52]




    Decir que al intentar pasarlo por .Reflector se puede notar que  esta empaquetado(SmartAssembly 6.6.3.41), podriamos intentar desempaquetarlo,para luego mediante Reversing obtener mucha más info(pero solo veremos que es lo que hace).



    Lo siguiente que haremos será ejecutar en un entorno Controlado:

    lo ejecutaré en mi VirtualBox, con WinXP(previamente hice un .backup de la Misma).



    Vemos que despues de ejecutar nos muestra el siguiente mensaje.










    Para una Nueva extension, crea los siguientes Valores:


    Código: text

    HKLM\SOFTWARE\Classes\.LOCKED\: "BQBDQKUSAWICLUB"
    HKLM\SOFTWARE\Classes\BQBDQKUSAWICLUB\: "LOCKED"
    HKLM\SOFTWARE\Classes\BQBDQKUSAWICLUB\DefaultIcon\: "C:\DOCUME~1\User\CONFIG~1\Temp\NBj27xt2TijUNe8.exe,0"
    HKLM\SOFTWARE\Classes\BQBDQKUSAWICLUB\shell\open\command\: "C:\DOCUME~1\User\CONFIG~1\Temp\NBj27xt2TijUNe8.exe"


    Autoinicio:

    Código: text

     HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Alcmeter: "C:\DOCUME~1\User\CONFIG~1\Temp\NBj27xt2TijUNe8.exe"







    y que comienza a cifrar todo los archivos con extensiones conocidas(Dumpeando el proceso tambien se puede observar las extensiones afectadas).

    Código: text

    *.exe *.zip *.rar *.7z *.tar *.gzip *.jpg *.jpeg *.tif *.psd *.cdr *.dwg *.max *.bmp *.gif *.png *.doc *.docx *.xls *.xlsx *.ppt *.pptx *.txt *.pdf *.djvu *.htm *.html *.mdb *.cer *.p12 *.pfx *.kwm *.pwm *.1cd *.md *.mdf *.dbf *.odt *.vob *.iso *.ifo *.csv *.torrent *.mov *.m2v *.3gp *.mpeg *.mpg *.flv *.avi *.mp4 *.wmv *.divx *.mkv *.mp3 *.wav *.flac *.ape *.wma *.ac3 *.epub *.eps *.ai *.pps *.pptm *.accdb *.pst *.dwg *.dxf *.dxg *.wpd *.dcr *.kdc *.p7b *.p7c *.raw *.cdr *.qbb *.indd *.qbw


    Ademas cambia el modo como se abre los archivos.



    Ficheros que se Crean


    ya sabemos con funciona, ahora si las 2 preguntas mas importantes:


    ¿Cómo desinfectarse?.

    Primero vamos a borrar todo rastro de este Malware, vamos a regedit y eliminamos el autoinicio, y tambien desde "Classes" para quitar la extension .LOCKED()

    ¿Comó Desbloquear los Archivos?

    Pues gracias a You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, que nos brinda herramientas gratuitas, utilizaremos una de ellas "xoristdecryptor" una herramienta bastante util que combate con este tipo de Malware's con la que se puede llegar a decifrar los ficheros. La pueden descargar desde:


    You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login









    Y listo con esto ya tenemos de nuevo funcionando nuestro Sistema.


    Código: text
    [I]Eso es todo amigos,trate de ser lo más claro en la explicación y espero que sirva de ayuda, cualquier duda, sugerencia, critica, aqui estamos para ayudar. [/I]




    Recomendaciones:


    •   Mantener siempre un antivirus actualizado, si bien no siempre es efectivo esto nos podrá ayudar evitar posibles infecciones.
    • Cualquier Fichero descargado de la Red( Keygen, crack o similares), en lo posible ejecutarlo en un entorno Controlado, Maquinas Virtuales(VBOX,VMWARE,ETC) o Sandbox(si bien no son 100% seguros pero esto podria llegar a minimizará el daño a tu PC).



    Autor: Fudmario.


    PD: "Si alguien decide llevar este tutorial a otros lados, se pide respetar el Autor y la Fuente de la misma".
#166
Seguridad / ScanRat v2 | Multi-Tools by fudmario
Junio 29, 2014, 03:58:21 PM
Hola a todos, aquí les dejo la versión 2.0 del ScanRat, en esta versión no he añadido ningún RAT a la lista, solo he implementado algunas herramientas, algo simple que nos ayudará a detectar las modificaciones de algun malware en caso de que no se encuentre en la lista de detecciones.




Caracteristicas:


  • Detector de Rat's:
    Nos permite detectar si tenemos algun rastro de Rat/Worms en nuestra PC en esta versión se ha implementado la opcion de limpiar los rastros.

    Lista de Detecciones(1/2 Deteccion Simple 2/2 Completa):

    • Spynet v2.6         [2/2]
    • DarkCometRat v5.3.1  [1/2]
    • Bozok Rat 1.4.1      [1/2]
    • Bozok Rat 1.4.3     [1/2]
    • Bozok Rat 1.5       [1/2]
    • Cybergate v1.07.5   [2/2]
    • CyberSpread-v-2.0   [2/2]
    • Cybergate v1.04.0   [2/2]
    • Cybergate v1.02.0   [2/2]
    • Cybergate v1.01.18  [2/2]
    • Cybergate v1.00.1   [2/2]
    • Cybergate v3.4.2.2  [2/2]
    • Worm v2.4 Hacker_Pan [2/2]
    • L6-Rat Beta 1        [2/2]
    • nJRat v0.6.4         [2/2]
    • nJRat v0.7d          [2/2]
    •   H-Worm Plus by Houdini  [2/2]



  • USB:
    Nos permite analizar nuestro pendrive en busca de worm, tambien tiene las opciones de: Quitar atributos de ocultos,Eliminar archivos con extensión (.lnk,.vbs,vbe), inhabilitar el Autorun.Inf.
  • Inicio de Windows:

    Nos permite detectar las aplicaciones  de inicio de Windows(HKCU,HKLM,StartUp file), con la opcion de abrir la ruta del Fichero, Eliminar el Valor del Registro.
  • Visor & Capturador de Procesos:

    Nos permite obtener los procesos ejecutados y la opción de Matar el Proceso de diferentes formas, tambien nos permite capturar aplicaciones que se ejecutan.
  • Visor de Eventos:

    Captura Eventos de Creación, Modificación, Eliminación & Cambio.
  • Bloqueo/Desbloqueo de Carpetas:

    Bloqueay desbloquea accesos  a carpetas.

DEMO:


Requerimientos:


  • .NetFramework 2 o Superior.
  • .Ejecutar con Privilegios Adminstrativos.
  • Compatible:Win7 & Win8

Descarga: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
MD5 = 39110406004a7abf788acb999dc5cdb8

Para descarga directa, desmarcar: "Use our download manager and get recommended downloads"
#167
Seguridad / Re:ScanRat v1.3 | by fudmario
Mayo 05, 2014, 02:37:59 PM
@idei: Actualiza tu WinRar a 5 o Superior.


Saluds.
#168
Seguridad / ScanRat v1.3 | by fudmario
Mayo 03, 2014, 11:17:38 PM
Hola amigos, eh realizado algunas modificaciones y añadidos un Par de RATs y algunos Worms a la lista de detecciones entre otras cosas.








Para los que no lo conocen aquí la Info:
Citar
Generalmente los servers de los diferentes Rat's ,al generar el server muchas veces se puede randomizar cosas como: Claves de StarUp, Mutex, Ruta de instalación,etc... pero en algunas cosas matienen constantes como archivos, Valores en registro.

Lo que hace esta Herramienta es básicamente es buscar esas constantes(en esta versión usamos los nombre ficheros del keylogger, rutas usuales que dejan los Rat's) y si coincide indica en el log a que rat se trata.
Tambien aclarar, que debido a publicar los codigos fuentes de los Rat suelen ser Rippeados y por lo tanto, en esta herramienta puede detectarlo como otro RAT.(Ej: L6-Rat Beta 1 es detectado como njRAT v0.6.4 ).

Si quieren que agregue más RATs a la lista de  deteccion, comentar en el post o enviar por MP







TEST: njRAT by njq8



TEST: H-WORM by HOUDINI.




Para los desconfiados:

VirusScan

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login




Descarga: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Contraseña: byfudmario


#169
Tutoriales y Manuales de Malwares / Re:Anti-Anti Virtuales by fudmario
Abril 14, 2014, 09:02:41 AM
Listo, pensaba que no se podia modificar no vi la Opcion de "Modifcar" al inicio del post.

Saluds.
#170
Tutoriales y Manuales de Malwares / Anti-Anti Virtuales by fudmario
Abril 14, 2014, 08:50:19 AM
Anti-Anti Virtuales by fudmario

Uno de los problemas que existen al momento de Realizar Análisis de Malware, es cuando nos encontramos con diversas técnicas que utilizadas para evitar ser analizados, entre ellas:



  • Verificar si estan cargadas ciertas DLLs (Ej: SandBoxie => SbieDll.dll).
  • Verificar la Existencia de algunos ficheros(Ej: Driver-VirtualBox => VBoxMouse.sys).
  • Verificar si algunos procesos estan en ejecución(Ej: VBoxService.exe, VMWareUser.exe, Wireshark.exe, etc.).
  • Verificar el identificador del Disco Principal.
  • Deteccion de Breakpoints, Presencia de Anti-Debuggers, etc...

En SI, un sin fin de formas que utilizan los malware's para evitar ser analizados.

En esta primera parte vamos a ver como modificar nuestro entorno Virtual, esto para eludir la técnicas que generalmente tienen ciertos Malware's para evitar ser ejecutados en entornos Controlados(suena repetitivo xD).

Vamos a modificar nuestra Maquina Virtual de "Virtual Box", al igual que se puede dejar indectectables los Malware's, tambien volveremos indetectable a nuestra Maquina Virtual por así decirlo.

Comencemos:

Parte 1:
En esta parte renombraremos ficheros, valores en registro, teniendo en cuenta que cada modificación debe realizarse verificando que no dañe nuestra VM.

Técnica #1 "VirtualBox Shared Folders Minirdr NP"

Comprueba si esta cargada esta DLL: "VBoxMRXNP.dll"

Lo que haremos será renombrarla: añadirle un caracter al el nombre o randomizar el nombre, creo que si randomizamos será muy dificil que sea detectado.
A por ello:

Cambiaremos el nombre del Fichero:

Código: text

'Ruta del Fichero:
%WinDir%\system32\VBoxMRXNP.dll
'Por:
%WinDir%\system32\POIUYT.dll 'Randomizar el Nombre del Fichero.


Y tambien lo modificaremos desde el Editor de Registro para que no cause ningun error.

Código: text

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VBoxSF\NetworkProvider








Técnica #2 "VBoxMouse.sys"

De la misma forma anteriormente mostrada, renombraremos el nombre del fichero.

Código: text

%WinDir%\system32\drivers\VBoxMouse.sys

%WinDir%\system32\drivers\FLGKHJ.sys


desde el Editor de Registro, tambien modificaremos, en las siguientes rutas:

Código: text

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VBoxMouse

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\VBoxMouse

En ImagePath, cambiaremos:

Código: text

System32\DRIVERS\VBoxMouse.sy
por:
System32\DRIVERS\FLGKHJ.sys







Técnica #3 "vboxservice.exe"

Más de lo mismo a renombrarlo.

Código: text
%WinDir%\system32\vboxservice.exe
por

%WinDir%\system32\RNDSRVC.exe


Y modificarlo tambien en el Editor de Registro.
Código: text

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VBoxService
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\VBoxService
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VBoxService


Vamos a modificar en ImagePath por el nuevo nombre del Fichero.






Técnica #4 "VirtualBox Guest Additions"

Cambiaremos el Nombre de la siguente Clave:

Código: text

HKEY_LOCAL_MACHINE\SOFTWARE\Oracle\VirtualBox Guest Additions

HKEY_LOCAL_MACHINE\SOFTWARE\Oracle\RANDOMGUESTADDITIONS_fudmario






Parte 2:
Esta parte es similar al anterior hasta cierto punto, en la anterior parte modificamos por así decirlo permanentemente, pero en esta parte no se puede  ya que al reiniciar se restablecerá las modificaciones realizadas ya que si no se podria dañar nuestra VM.


Técnica #5 "HARDDISK"
Modificaremos en el Editor de Registro:
Código: text
HKEY_LOCAL_MACHINE\HARDWARE\DEVICEMAP\Scsi\Scsi Port 0\Scsi Bus 0\Target Id 0\Logical Unit Id 0

en Identifier:
VBOX HARDDISK
por Cualquiera otra cosa.




Técnica #6  , Técnica #7   "SystemBiosVersion" | "VideoBiosVersion"


Código: text
HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System


Modificaremos en informacion de Valor, de SystemBiosVersion y VideoBiosVersion por cualquier cosa.


Técnica #8 "Verificando el Tamaño del Disco"
En ocaciones tambien puede pasar que el Malware  Revise si el tamaño de disco es menor a un valor dado, que generalmente son  20GB, 30GB ó 50GB esta técnica no se usa generalmente, pero hay les dejo el dato para que le puedan agregar en Expansion Dinamica a el Disco un Tamaño mayor a eso.



Test1:

ANTES:



AHORA:




Test2:



Hasta el momento solo se me ocurren esas, si alguien conoce otras técnica, comenten en el post para seguir añadiendo. Esto tambien Aplica a VMWare, Qemu, pero prefiero a VBOX ya que es gratuito.


Autor: fudmario

"Si deciden llevar esto a otros lados, se pide respetar la fuente y el autor de la Misma"
#171
Tutoriales y Manuales de Malwares / Re:Herramientas para Análisis de Malware
Abril 02, 2014, 11:36:54 PM

Dependency Walker

Dependency Walker es una Herramienta la cual nos permite enumeran todas las funciones que se exportan de un Aplicación sin ejecutar el Fichero. En la cual podemos consultar sobre cada funcion en linea.





Web:
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login


PeStudio


PeStudio es una herramienta ideal para el analisis estatico de archivos ejecutables, es portable.
Incluye una comprobacion de ficheros con VirusTotal para el archivo que se esta analizando enviando el MD5 del fichero(esta opcion se puede desactivar desde el fichero: PeStudioVirusTotal.xml)
Tambien contiene una version  CommandLine(PeStudioPrompt.exe), más info en You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login.

Uso CL:
Código: text
PeStudioPrompt -file:input -xml:report












Web:
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login




OllyDBG

OllyDbg, creado por Oleh Yuschuk, es un depurador a nivel de aplicación. La interfaz OllyDbg muestra el código ensamblador, volcado hexadecimal, la pila y registros de la CPU. OllyDbg también soporta rastreo, puntos de interrupción condicionales, visión de cabecera PE, edición hexadecimal.


Algunos Plugins de OllyDBG:



  • Hide Debugger => Este Plugin emplea diverso métodos para ocultar  a OllyDbg de detectores de Debugger, incluidos: IsDebuggerPresent(), FindWindow() y EnumWindows(), TerminateProcess(),...

  • IsDebuggerPresent => Permite ocultar de la API de Windows => IsDebuggerPresent

  • OllyDump => Dumpea procesos activos a archivo PE

  • Olly Advanced =>


Web
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Plugins
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login





Immunity Debugger



Immunity Debugger is a powerful new way to write exploits, analyze malware, and reverse engineer binary files. It builds on a solid user interface with function graphing, the industry's first heap analysis tool built specifically for heap creation, and a large and well supported Python API for easy extensibility.





  •     A debugger with functionality designed specifically for the security industry
  •     Cuts exploit development time by 50%
  •     Simple, understandable interfaces
  •     Robust and powerful scripting language for automating intelligent debugging
  •     Lightweight and fast debugging to prevent corruption during complex analysis
  •     Connectivity to fuzzers and exploit development tools
   
   Web
   You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
   Descarga:
   You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#172
Tutoriales y Manuales de Malwares / Re:Herramientas para Análisis de Malware
Marzo 31, 2014, 10:29:53 AM
Gracias  Antrax, luego ire añadiendo más Herramientas al el POst.
Podrias Editar la URL donde puse:
Existen diversas herramientas para extraer la memoria RAM, una de las formas fue mostrada en este post:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se me paso por alto.

Saludos.
#173
Tutoriales y Manuales de Malwares / Herramientas para Análisis de Malware
Marzo 31, 2014, 10:16:35 AM

En este Post vamos a estar añadiendo Herramientas destinadas al Análisis de Malware.
Tambien sabemos que existen herramientas que tienen diversas funciones y entre ellas el Análisis de Malware, las cuales tambien se incluiran, con el enfoque principal-> Análisis de Malware.



Volatility Framework

Volatility es un Framework con un conjunto de herramientas desarrolladas enteramente en Python con licencia GNU. Este Framework esta pensado para extraer de una imagen de un disco los datos volátiles que estaban en memoria RAM. Estas técnicas de extracción están pensadas para que no dependan del sistema operativo del investigador, es decir podemos utilizar Windows y/o Linux.
Existen diversas herramientas para extraer la memoria RAM, una de las formas fue mostrada en este post:
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login





Código: text
Supported Plugin Commands:

apihooks        Detect API hooks in process and kernel memory
atoms           Print session and window station atom tables
atomscan        Pool scanner for _RTL_ATOM_TABLE
bioskbd         Reads the keyboard buffer from Real Mode memory
callbacks       Print system-wide notification routines
clipboard       Extract the contents of the windows clipboard
cmdscan         Extract command history by scanning for _COMMAND_HISTORY
connections     Print list of open connections [Windows XP and 2003 Only]
connscan        Scan Physical memory for _TCPT_OBJECT objects (tcp connections)
consoles        Extract command history by scanning for _CONSOLE_INFORMATION
crashinfo       Dump crash-dump information
deskscan        Poolscaner for tagDESKTOP (desktops)
devicetree      Show device tree
dlldump         Dump DLLs from a process address space
dlllist         Print list of loaded dlls for each process
driverirp       Driver IRP hook detection
driverscan      Scan for driver objects _DRIVER_OBJECT
dumpcerts       Dump RSA private and public SSL keys
dumpfiles       Extract memory mapped and cached files
envars          Display process environment variables
eventhooks      Print details on windows event hooks
evtlogs         Extract Windows Event Logs (XP/2003 only)
filescan        Scan Physical memory for _FILE_OBJECT pool allocations
gahti           Dump the USER handle type information
gditimers       Print installed GDI timers and callbacks
gdt             Display Global Descriptor Table
getservicesids  Get the names of services in the Registry and return Calculated SID
getsids         Print the SIDs owning each process
handles         Print list of open handles for each process
hashdump        Dumps passwords hashes (LM/NTLM) from memory
hibinfo         Dump hibernation file information
hivedump        Prints out a hive
hivelist        Print list of registry hives.
hivescan        Scan Physical memory for _CMHIVE objects (registry hives)
hpakextract     Extract physical memory from an HPAK file
hpakinfo        Info on an HPAK file
idt             Display Interrupt Descriptor Table
iehistory       Reconstruct Internet Explorer cache / history
imagecopy       Copies a physical address space out as a raw DD image
imageinfo       Identify information for the image
impscan         Scan for calls to imported functions
kdbgscan        Search for and dump potential KDBG values
kpcrscan        Search for and dump potential KPCR values
ldrmodules      Detect unlinked DLLs
lsadump         Dump (decrypted) LSA secrets from the registry
machoinfo       Dump Mach-O file format information
malfind         Find hidden and injected code
mbrparser       Scans for and parses potential Master Boot Records (MBRs)
memdump         Dump the addressable memory for a process
memmap          Print the memory map
messagehooks    List desktop and thread window message hooks
mftparser       Scans for and parses potential MFT entries
moddump         Dump a kernel driver to an executable file sample
modscan         Scan Physical memory for _LDR_DATA_TABLE_ENTRY objects
modules         Print list of loaded modules
mutantscan      Scan for mutant objects _KMUTANT
patcher         Patches memory based on page scans
printkey        Print a registry key, and its subkeys and values
privs           Display process privileges
procexedump     Dump a process to an executable file sample
procmemdump     Dump a process to an executable memory sample
pslist          Print all running processes by following the EPROCESS lists
psscan          Scan Physical memory for _EPROCESS pool allocations
pstree          Print process list as a tree
psxview         Find hidden processes with various process listings
raw2dmp         Converts a physical memory sample to a windbg crash dump
screenshot      Save a pseudo-screenshot based on GDI windows
sessions        List details on _MM_SESSION_SPACE (user logon sessions)
shellbags       Prints ShellBags info
shimcache       Parses the Application Compatibility Shim Cache registry key
sockets         Print list of open sockets
sockscan        Scan Physical memory for _ADDRESS_OBJECT objects (tcp sockets)
ssdt            Display SSDT entries
strings         Match physical offsets to virtual addresses (may take a while, VERY verbose)
svcscan         Scan for Windows services
symlinkscan     Scan for symbolic link objects
thrdscan        Scan physical memory for _ETHREAD objects
threads         Investigate _ETHREAD and _KTHREADs
timeliner       Creates a timeline from various artifacts in memory
timers          Print kernel timers and associated module DPCs
unloadedmodules Print list of unloaded modules
userassist      Print userassist registry keys and information
userhandles     Dump the USER handle tables
vaddump         Dumps out the vad sections to a file
vadinfo         Dump the VAD info
vadtree         Walk the VAD tree and display in tree format
vadwalk         Walk the VAD tree
vboxinfo        Dump virtualbox information
vmwareinfo      Dump VMware VMSS/VMSN information
volshell        Shell in the memory image
windows         Print Desktop Windows (verbose details)
wintree         Print Z-Order Desktop Windows Tree
wndscan         Pool scanner for tagWINDOWSTATION (window stations)
yarascan        Scan process or kernel memory with Yara signatures



Descargas:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Web:
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login





Buster Sandbox Analyzer

BSA, herramienta diseñada para analizar cambios que ocurren en el sistema, basada en Sandboxie permitiendo ejecutar ficheros en un ambiente controlado.
Una de las Principales caracteristicas es que hace hook a la funcion NtQuerySystemInformation(ssdt Hook)

Compatible con la version 3.76 de Sandboxie, recientemente se fixeo la Injection DLL en la version 4.09.1 la cual causaba la incompatibilidad con BSA, aun no es al 100% Compatible,tambien requiere WinPCap.





Ejemplo de Reporte:



Descargas:
BSA

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

SANDBOXIE

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

WinPCap

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Web:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login




PeFrame
[/B]

PEframe es una herramienta OPEN SOURCE, ideal para el Análisis Estático de Malware.





USO:
       
Código: text
 peframe <opt> <file>


OPCIONES:

Código: text

-h      --help          This help
-a      --auto          Show Auto analysis
-i      --info          PE file attributes
        --hash          Hash MD5 & SHA1
        --meta          Version info & metadata
        --peid          PE Identifier Signature
        --antivm        Anti Virtual Machine
        --antidbg       Anti Debug | Disassembler
        --sections      Section analyzer
        --functions     Imported DLLs & API functions
        --suspicious    Search for suspicious API & sections
        --dump          Dumping all the information
        --strings       Extract all the string
        --file-url      Extract File Name and Url
        --file-verbose  Discover potential file name
        --hexdump       Reverse Hex dump
        --import        List Entry Import instances
        --export        List Entry Export instances
        --resource      List Entry Resource instances
        --debug         List Entry DebugData instances



Web:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
#174
C# - VB.NET / [VB.NET] Coleccion de Temas + Tutorial
Marzo 05, 2014, 08:50:30 AM


    Aquí les dejo  esta coleccion de Temas para sus proyectos en
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login


  • 1.vb
  • Adobe_Theme.vb
  • Advantium_Theme.vb
  • av.vb
  • Avast_Modern_Theme.vb
  • Beyond_Theme.vb
  • BitDefender_Theme.vb
  • Black_Shades_Theme.vb
  • Blue_Theme.vb
  • Booster_Theme.vb
  • Bullion_Theme.vb
  • CarbonFiber_Theme.vb
  • Classic_Theme.vb
  • Classic-Dark_Theme.vb
  • clsNeoBuxTheme.vb
  • Cypher_Theme.vb
  • Dark-Matter.vb
  • Dev-Point_Theme.vb
  • Drone_Theme.vb
  • DynamUIT_Theme.vb
  • Effectual_Theme.vb
  • Effectual+GDI+_Theme.vb
  • Electric_Theme.vb
  • Exion_Theme.vb
  • Facebook_Theme.vb
  • Flat-UI_Theme.vb
  • Flow_Theme.vb
  • Fusion_Theme.vb
  • GameBooster_Theme.vb
  • Ghost_Theme.vb
  • Green_Theme.vb
  • Influence_Theme.vb
  • Influx_Theme.vb
  • Leaked_Private_Sky_Dark_Theme.vb
  • Meph_Theme.vb
  • Multi-Design_Theme.vb
  • NamelessTheme.vb
  • NYX_Theme.vb
  • Orains_Theme.vb
  • Origin_Theme.vb
  • PalaDIn_Theme.vb
  • Perplex_[Finally Finished]_Theme.vb
  • Positron_Theme.vb
  • Prime_Theme.vb
  • Purity_Theme.vb
  • Purityx_Theme.vb
  • Reactor_Theme.vb
  • Recon_Free_Theme.vb
  • RecuperareII_Theme.vb
  • Redemtion_Theme.vb
  • RockStart_Theme.vb
  • Sharp_Theme.vb
  • Simpla_[Pure GDI+]_Theme.vb
  • Simple_Theme.vb
  • Simple-Draw_Theme.vb
  • SLC_Theme.vb
  • Steam_Theme.vb
  • Steam2_Theme.vb
  • Studio_Theme.vb
  • SubSpace_Theme.vb
  • Sugar_Release_Theme.vb
  • Tab_Theme.vb
  • Teen_Theme.vb
  • Tennis_Theme.vb
  • Thief3 You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login_Theme.vb
  • Thirteen_Theme.vb
  • Twitch_Theme.vb
  • Ubuntu_Theme.vb
  • V2Black_Theme.vb
  • VI_Custom_Theme.vb
  • VibeLander_Theme.vb
  • Visceral_Theme.vb
  • Vitality_Theme.vb
  • xVisual_[12Controls-Ligth & Dark Custom]_Theme.vb
  • Youtube_Theme.vb


Como agregar temas en You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

[LIST=1]
  • Clic en Proyecto -> Agregar Clase o tambien en Agregar elemento Existente y seleccionar el Tema de este Pack(Si sigues lo segundo, saltar al paso 3).





  • Si sigues lo primero, copiar todo el código del tema y reemplazarlo y Guardar todo.





  • Luego darle a Compilar Solución.



  • En la parte Izquierda, en el Cuadro de Herramientas Apareceran los controles del tema.





Descarga: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Contraseña: pack_vb.net_byfudmario
#175
Tutoriales y Manuales de Malwares / Re:The Hunting-by fudmario
Febrero 04, 2014, 11:00:22 AM

Malware Sample #2

Ahora tenemos otro archivo para revisar.


Viendo con el RDG Packer Detector, se puede notar que se trata de una aplicacion que esta creada en You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login y ademas esta protegido por "Confuser v1.9".



El método  para limpiarlo ya lo habiamos visto en el taller 1,así que voy a omitir el paso. Una vez quitado esa proteccion, lo pasaremos a el reflector.
Vemos un enlace a una Aplicación y que al parecer descarga y copia en "C:\" luego lo ejecuta(en la imagen me equivoque y no cambie el modo "Visual Basic" pero se entiende).

con esto quedá claro que se trata de un Downloader.

Pues ahora vamos a ir a esa direccion a descargar esa aplicacion, para ver que  que es lo que hace ese ejecutable.


Pues nada igual que el otro protegido por Confuser, lo limpiamos y ahi obtenemos lo siguiente:



Pues se trata de nJRat v0.7d, y con eso tenemos todos los datos del server(host,puerto,ruta de instalación, etc...) podemos ejecutar para probar, pero para no ser tan repetitivos usando una y otra vez ApateDNS, vamos a hacer otra cosa interesante.

como el archivo lo tenemos Cargado en el .NetReflector, vamos a usar un plugin para el Reflector de Red Gate, se llama Reflexil(más información Aqui) You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Nos Vamos a la Pestaña Tools -> Add-Ins y ahi cargamos el Reflexil y luego procederemos a usarlo.




En la parte de abajo vemos que se puede visualizar igualmente que sin cargarlo, lo interesante de esto es que con esto podemos modificarlo de tal forma que en vez de que se Conecte a ese sitio re-direccionaremos a localhost, ¿comó?, fácil le damos click derecho al host donde se conecta y luego le daremos en Edit.
("Tambien podemos modificar el puerto y otras cosass más")

Ahi podremos Cambiarlo una vez modificado le damos a "UPGRADE".




Para guardar lo que modificamos, de la misma forma.



Con esto ya podemos ejecutar si temor a que conecte a algun host maligno, o descargue otros Malwares.
#176
Tutoriales y Manuales de Malwares / The Hunting-by fudmario
Febrero 04, 2014, 02:45:53 AM
The Hunting - by fudmario [1/2]

Análisis de Malware parte III



Hola a todos, hoy vamos a ver algunas tecnicas más para el Análisis de Malware, asi de alguna u otra forma no depender tanto de los Antivirus y como siempre tratando de sea lo mas comprensible.

Si no viste los dos anteriores aqui les dejo los links:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Recordaran que en los dos talleres sobre "Análisis de Malware", obtuvimos toda la informacion del server(nJrat v0.6.4) y procedimos quitar al malware tan solo Redireccionado las conexiones a localhost y como no tenia Contraseña ese RAT fue bien sencillo quitarlo, bueno por ahi me preguntaron: Y si tiene contraseña el server? se puede? ...tambien se puede cuando tiene Contraseña, hoy veremos una forma.

En general muchos siempre cuando descargan aplicaciones lo primero que hacen es ejecutarlo sin antes revisarlo,grave error, antes se debe tratar de obtener información acerca de lo que ejecutemos en nuestra PC, para así evitar perdida de información, a continuacion veremos que es lo que hariamos en este Caso.

Malware Sample #1

 
Accidentalmente ejecute una aplicación en una maquina virtual, Ahora bien debemos determinar si el archivo es malicioso, si realiza conexiones, registros,etc... lo de siempre, asi que vamos a probar con los RATs más comunes, utilizaremos el "Scan-Rat by fudmario", pueden obtenerlo You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login.

"Como no tengo .NetFrameWork instalado en la virtual, lo ejecutaré en mi PC Real en una SandBox para sacar la información necesaria con el Scan Rat"


Observamos que se trata del "Spynet v2.6", ahora que sabemos donde se ha instalado, Registro para su ejecucion despues del Reinicio, lo que nos queda será matar el proceso(Aqui dejo el link de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login que hice) y borrar todo rastro de este RAT, pero les mostraré una forma mas interesante de hacerlo, ¿Comó? mediante un "Volcado de Memoria".

Bueno Explico, si el archivo no estuviese encryptado esto sería un poco más Fácil, lo hariamos con un editor HexaDecimal mirando las Strings del archivo, ahora con el "Volcado de Memoria" intentaremos obtener informacion que no pueda ayudar.

Utilizaremos "DumpIt" para el volcado de memoria, utilizado para Análsis Forense, es pequeño, portable y fácil de usar, si ustedes quieren pueden probar a usar otros.
depende de la memoria puede tomar algo de tiempo al momento del Volcado.


Una vez que haya finalizado, el archivo lo pasaremos al Editor Hexadecimal(), y buscaremos cadenas de texto que nos pueda dar informacion útil.
Para no buscar y buscar en todo el archivo solo extraje poca información usando esos 2 filtros, pero en el archivo(.raw) encotraras más información.


Filtrando un poco más  nos encontramos con esto.


Reportes:

[ 1 ] Reporte de Scan-Rat by fudmario:
Código: text

[Info]
    [+] SpyNet  
    [+] Version - v2.6
    [+]  Found Malicious Files 
¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬
[Dropped - File]
    [+]  C:\Program Files\updater\servercito.exe
    [+]  C:\Users\fudmario\AppData\Roaming\logs.dat
[StartUp]
    [+]  HKCU\Software\microsoft\Windows\CurrentVersion\Policies\Explorer\Run => C:\Program Files\updater\servercito.exe
    [+]  HKLM\Software\microsoft\Windows\CurrentVersion\Policies\Explorer\Run => C:\Program Files\updater\servercito.exe
    [+]  HKCU\Software\microsoft\Windows\CurrentVersion\Run => C:\Program Files\updater\servercito.exe
[Active Setup]
	[+]  StubPath -> C:\Program Files\updater\servercito.exe


   
[ 2 ] Reporte del Volcado de Memoria:

Filtrando todo el archivo(.raw), obtuvimos lo siguiente:

Código: text
- FileName: servercito.exe
- Pass: abcd1234
- Host: adobe-updaterx300.no-ip.biz
- Port: 667




Ya sabiendo de que Rat se trata y conociendo el Host, puerto, y la contraseña lo que haremos será redireccionar todas las conexiones a localhost mediante ApateDNS y des-instalarlo con el propio Spynet(Otra vez como no tengo .NetFrameWork no podré ejecutar el ApateDNS así que solo les mostraré como sería desde  Win7).






------------------------------------------------------------------------------------------
Eso es todo amigos,trate de ser lo más claro en la explicación y espero que sirva de ayuda, cualquier duda, sugerencia, critica, aqui estamos para ayudar.
------------------------------------------------------------------------------------------


Autor: Fudmario.


PD: "Si alguien decide llevar este tutorial a otros lados,se pide respetar el Autor y la Fuente de la misma".
#177
Seguridad / Re:Kill Process v1.0 | by fudmario
Enero 31, 2014, 02:01:56 AM
En el post Indica: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login



Requiere .NetFrameWork 4 o Superior.


Saludos.
#178
Desarrollo y modificación de malwares / Re:CodeShell v1.4
Enero 28, 2014, 04:11:50 PM
Excelente Devilboy, buen trabajo...


Saludos.
#179
Seguridad / Re:Kill Process v1.0 | by fudmario
Enero 28, 2014, 09:43:44 AM
Gracias a por Comentar, cualquier cosa solo avisen aquí o por MP.



Saludos.
#180
Seguridad / Kill Process v1.0 | by fudmario
Enero 28, 2014, 02:03:06 AM
Kill Process v1.0 | by fudmario










  • Caracteristicas:

    • Kill Process - Normal
    • Kill Process - protegindo por BSOD
    • Kill Process - Procesos Persistentes(**)
    * Boton OFF|ON, Si esta Activado(ON) detecta cualquier proceso que se ejecute y pregunta si desea eliminar.
    ** Si no se ejecuta el explorer click en start

    Descarga: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
    Contraseña: byfudmario
Páginas 1 ... 7 8 9 10