Mostrar Mensajes

Esta sección te permite ver todos los posts escritos por este usuario. Ten en cuenta que sólo puedes ver los posts escritos en zonas a las que tienes acceso en este momento.

Mensajes - fudmario

Páginas: 1 ... 8 9 [10]
181
Seguridad / Re:Kill Process v1.0 | by fudmario
« en: Enero 28, 2014, 09:43:44 am »
Gracias a por Comentar, cualquier cosa solo avisen aquí o por MP.



Saludos.

182
Seguridad / Kill Process v1.0 | by fudmario
« en: Enero 28, 2014, 02:03:06 am »
Kill Process v1.0 | by fudmario










  • Caracteristicas:
  • Kill Process - Normal
  • Kill Process - protegindo por BSOD
  • Kill Process - Procesos Persistentes(**)
* Boton OFF|ON, Si esta Activado(ON) detecta cualquier proceso que se ejecute y pregunta si desea eliminar.
** Si no se ejecuta el explorer click en start

Descarga: You are not allowed to view links. Register or Login
Contraseña: byfudmario

183
Seguridad / Scan Rat v1.0|by fudmario
« en: Enero 18, 2014, 12:52:09 pm »
   
 
   
   
 
 
 

  • Añadido:

   - Scan personalizado donde muestra los ficheros Creados/StartUP
   - KillProcess para procesos que protegidos por el BSOD(esto para el njRat/Test|Win7).
   - RAT -> nJRat v06.4.|
 

 
 
 Descarga: You are not allowed to view links. Register or Login
 Contraseña: byfudmario

 

184

[Mega Pack] Modding Tools by fudmario
Hola Amigos aquí les traigo esto que recolecte hace tiempo, eh añadido algunas herramientas más del anterior pack.











Lista de Herramientas:


  • HexWorkshop 6.0.1.
  • CFF Explorer.
  • PE Explorer.
  • Resource Tuner.
  • Resource Hacker + [Mod | FXer].
  • StudPe 2.6 .
  • Lord PE by Yoda..
  • ProcDump.
  • OllyDbg.
  • PEiD.
  • PE Labz by Abronsius.
  • Offset Patcher by Metal.

  • RunPE Generator By Pink
  • RunPE Generator By M3
  • RunPE Generator By V0id
  • Generador de RC4 Ascii by Matabarras
  • Unique Encrypter Generator by M3
  • Gerador ofusccao Xor by Thocks
  • Obfuscate Api by M3
  • [ACO] v0.3
  • [ACO] v0.4
  • JunkCode Generator.

  • Cambiador de Delimitadores by Expermicid
  • Source Undetector v0.1
  • M3 Code Ofsucator v1
  • Comparador de Offset by Expermicid
  • PeCompact + K
  • Petite 2.3
  • Private exe Protector 3.1.4
  • MoleBox 4309
  • String Generator by fudmario
  • Stub Generator[Beta] by fudmario


| ANOTADORES |



  • Anotador by LuisN2
  • Anotador by Leem
  • R-007 Offset Anotador
  • Anotador by Kr34t0r.
  • AnotadoR by M3
  • Anotador M-H
  • Anotador by Metal
  • BoLiTa -FUD(0-37)
  • Bolita v1.0
  • JackBolita

| BBCode GENERATOR | CHK4ME |



  • Chk4me bb-code gen by Metal v2
  • Chk4me BBCode Generator by Crypt
  • chk4me scan by Velario
  • M3 Online BBCode

| GUI | COMMAND LINE SCANNER |


  • A-Squared CLS
  • Avast CLS
  • BitDefender CLS
  • DrWeb CLS
  • Kasperky Borrado de Archivos
  • F-Prot CLS
  • Ikarus CLS
  • Sophos Scanner
  • Nod32 CLS
  • Norman CLS
  • Panda CLS
  • VBA CLS Borrador Automatico.
  • Avira CLS by Metal [Fixed]
  • Essentials CLS by metal V2
  • Panda CLS by Metal [Fixed]
  • Vipre CLS by Metal
  • ClamWin Portable.
  • MultiScanner V3 by Expermicid
  • OverSec Multiscanner V3



| OFFSET LOCATOR | EDITION COLLECTIONS |


  • AAV-TOOLS 2008
  • AAV-TOOLS 2009
  • Apofis-Locator [By AX]
  • AV Fucker Traduced By MicroAttackeR
  • Chamaeon Offset Locator 1.0
  • Chamaeon Offset Locator 2.0
  • M-H Offset Locator By Expermicid
  • ForoMalware Offset Locator
  • [C]orp-51 Offset Locator 1.0
  • [C]orp-51 Offset Locator 1.6
  • [C]orp-51 Offset Locator 1.8
  • [C]orp-51 Offset Tester By ØnLy
  • UDT Offset Locator 1.0
  • UDT Offset Locator 2.0
  • Indetectables Offset Locator 1.0
  • Indetectables Offset Locator 2.0
  • Indetectables Offset Locator 2.2
  • Indetectables Offset Locator 2.5
  • Indetectables Offset Locator 2.6
  • Monster Modder Tools By DaPimP
  • DSplit By Slek
  • FUDOnly Offset Locator V3
  • Optimize DSplit by ØnLy
  • Optimized Offsets Locator By ØnLy
  • Signature Zero [ES]
  • Signature Zero [EN]
  • OverSec Offset Locator
  • Dekoders Offset Locator
  • IND Locator v1.1 By Swash
  • Offset Remover
  • Indetectables Special Offset Locators
  • Locator Special v0.4 By Metal
  • Udt Offset Checker v1.3 By Metal
  • Underc[0]de Offset Locator v Beta
  • Underc[0]de Offset Locator v1.0 By Expermicid
  • X - Offset Locator By Satyr90




Descarga: You are not allowed to view links. Register or Login
Alternativa: You are not allowed to view links. Register or Login

Contraseña Mega-Pack 2013-214

185
Una de las desventajas que se ve al momento de realizar el análisis de Estático,es que no se puede obtener siempre los datos suficientes, de que es lo que hará al momento de ejecutarlo. Por lo tanto recurriremos a un segundo tipo de análisis.

"Análisis Dinámico" ¿Qué quiere decir?, ¿en qué consiste?

Este tipo de análisis implica ejecutar el malware y ver el comportamiento del mismo en el sistema es decir: modificaciones en sistema(directorios y archivos creados), modificaciones en el registro, procesos en ejecución después de ejecutar el malware, que conexiones hace y más.

Un aspecto muy importante antes de realizar este tipo de análisis, es hacerlo en entornos controlados, ¿Qué quiere decir?, Usar Software de Virtualización(Maquinas Virtuales), donde se va a llevar a cabo la ejecución del Malware, esto con el fin de evitar posibles perdidas de datos, daños en su equipo,etc.

Entre los más usados:

  • VBOX    ->   You are not allowed to view links. Register or Login
  • VMWARE  ->   You are not allowed to view links. Register or Login
En el peor de los casos el malware tendrá protección anti-virtual, si ese fuese el caso antes de ejecutarlo se debe recurrir a crear respaldo de su equipo. También esta el uso de SandBox, de esto hablaremos un poco al final del tutorial.

Veamos un ejemplo Práctico:
Recapitulando lo que obtuvimos anteriormente:

You are not allowed to view links. Register or Login

Al realizar el análisis nos mostró los siguientes datos:


  •     "java.exe"
  •     "TEMP"
  •     "d2be3e6d11846430c067fc874a79f583"
  •     "evilevil.no-ip.org"
  •     "1177"
  •     "True"


Llegamos a la conclusión de que se crea un archivo con el nombre "java.exe" en los documentos temporales y se conectaba a la dirección : "evilevil.no-ip.org" a través del puerto "1177"  y lo de "TRUE" era porque tenia un par de opciones habilitadas al momento de crear el server y al ver que la aplicación era(.NET) talvez se trataba del nJRAT. Como dije al principio no siempre se puede llegar a mostrar los datos suficientes de lo que hace o no hace el malware, pero siempre es bueno tener referencias antes de ejecutarlo.



Ahora toca ejecutar el archivo: "TiGeR-Firewall-Setup.exe", para lo cual utilizaremos algunas aplicaciones que nos ayudaran durante el análisis.

Una de las herramientas que nos ayudará en este proceso es Process Monitor.


Ejecutamos el Process Monitor y también el archivo  "TiGeR-Firewall-Setup.exe" y si vemos el programa al parece inicia el instalador  pero también vemos que se crea otro proceso a continuación lo que haremos será filtrar con el fin de poder ver mejor todo lo que ocurre al momento de ejecutar el archivo, podemos filtrar desde Filter/Filter(o simplemente Ctrl+L), miren es bastante simple, nosotros lo haremos por Process Name(Nombre del proceso), también se puede por: WriteFile,FileCreate,RegCreateKey, TCP Send, depende como filtres se puede obtener resultados más fáciles de leer.




Si vemos todo lo que nos filtro podemos ver lo siguiente:
 




se puede ver dónde se copia el malware y lo que hace para garantizar su permanencia en el sistema.

Ahora lo veremos desde Process Explorer.



Como podemos observar tras ejecutar el instalador también se ejecuto otro proceso con el nombre "JAVA.EXE" si miramos entre las propiedades.



como podrán ver nos muestro la ruta donde se de donde se esta ejecutando el archivo y también vemos que se ah creado un valor en el registro para volver a ejecutar tras el reinicio:


  • C:\Users\fudmario\AppData\Local\Temp\JAVA.EXE
  • HKCU\Software\Microsoft\Windows\CurrentVersion\Run\d2be3e6d11846430c067fc874a79f583


si miramos desde el regedit:



  • d2be3e6d11846430c067fc874a79f583
  • "C:\Users\fudmario\AppData\Local\Temp\JAVA.EXE" ..
  • HKCU\Software\Microsoft\Windows\CurrentVersion\Run\



Si lo vemos desde CurrPorts, veremos que también la aplicación "java.exe" conecta a través del puerto: 1177 al host: evilevil.no-ip.org



si entramos en los documentos temporales veremos también:


   
Los archivos Creado son:


  • JAVA.EXE.tmp
  • JAVA.EXE
  • TIGER-FIREWALL-SETUP.EXE


Resumiendo de todo lo que obtuvimos:

Archivos que se Crean:

  • JAVA.EXE.tmp
  • JAVA.EXE
  • TIGER-FIREWALL-SETUP.EXE


Valores  que se añaden al registro:

  • HKCU\Software\Microsoft\Windows\CurrentVersion\Run\d2be3e6d11846430c067fc874a79f583
  • "C:\Users\fudmario\AppData\Local\Temp\JAVA.EXE" ..


Conecta a:

  • HOST :        evilevil.no-ip.org
  • IP :        XXX.XXX.YXY.YYY
  • Puerto :        1177


Si comparamos nuestro análisis estático con el Dinámico vemos que en ambos casos llegamos a lo mismo hasta cierto punto.



CONCLUSIONES:

A partir de los Datos Obtenido, solo nos queda eliminar los archivos creados y los valores añadidos al registro, esto se lo debe realizar entrando en modo seguro al sistema ya que muchas veces suelen tener persistencia o en este caso la protección BSOD.

Mi conclusión, con los datos obtenidos:  el archivo que se crea "java.exe" + el otro archivo "java.exe.tmp" + El directorio donde dropea "TEMP" + el puerto por defecto "1177" + el tipo de aplicacion (.NET) + Valor de Registro "d2be3e6d11846430c067fc874a79f583" + Al tratar de eliminar el proceso llega a mostrar la pantalla azul, y todo lo demás se puede llegar a concluir que el único RAT con esas funciones o configuración en el server. se trata del nJRAT(99.97%).


Ya que sabemos que se trata de este RAT su desinfección es super fácil:
Re-direccionaremos todo las conexiones  a localhost(127.0.0.1) usando Apate DNS.



 Y ejecutaremos nuestro nJRAT ya que en este RAT el server no contiene contraseña será fácil, usaremos el mismo puerto donde conecta el server para desinfectarnos, fácil Verdad.




------------------------------------------------------------------------------------------
Las aplicaciones que se usaron en este tutorial:

Process Monitor
URL: You are not allowed to view links. Register or Login

Process Explorer
URL: You are not allowed to view links. Register or Login

 CurrPorts

URL: You are not allowed to view links. Register or Login

ApateDNS
URL: You are not allowed to view links. Register or Login

------------------------------------------------------------------------------------------


BONUS.

Otro tipo de Herramientas que se utilizan al momento de analizar son las SandBox, Exiten varias algunas online, le mostraré un par/las más utilizadas por muchos y una herramienta que me parecio bastante interesante.

Anubis:

Anubis es un servicio de análisis de malware Online, con informes muy detallados.
más información...
URL: You are not allowed to view links. Register or Login

malwr:
servicio de análisis de malware gratuito hecho a partir de un sandbox Cuckoo
URL: You are not allowed to view links. Register or Login


Buster Sandbox Analyzer(BSA):

Basado en el proyecto Sandboxie, analiza el comportamiento del malware, mostrando a detalle cualquier cambio al ejecutarse el archivo. Una de las caracteristicas interesantes de BSA, es que hookea a nivel kernel(ZwQuerySystemInformation), con el fin de evitar posibles protecciones(anti-sandbox) del algunos malware's.
más información...
URL: You are not allowed to view links. Register or Login

ProcDOT:

ProcDot una herramienta desarrollada por Christian Wojner en el CERT de Austria. Esta herramienta analiza la información provista por Process Monitor y WinDump para generar un gráfico en función del tiempo, donde es posible hacer un seguimiento de las actividades del código malicioso, no es una herramienta que captura datos sino que su función principal es ayudar a los analistas a procesar la información.
Su dependencia más importante reside en la utilización de Graphviz, un software para generar los gráficos con los que representa las relaciones entre los procesos(i-eset).

ProcDot:
URL: You are not allowed to view links. Register or Login

ProcMon
URL: You are not allowed to view links. Register or Login

WinDump:
URL: You are not allowed to view links. Register or Login

Graphviz:

URL: You are not allowed to view links. Register or Login



------------------------------------------------------------------------------------------

Eso es todo amigos,trate de ser lo más claro en la explicación y espero que sirva de ayuda para todos los que se inician y/o quieren aprender a analizar archivos, esto muy básico pero con el tiempo, cada uno podrá usar diferentes tipos de Herramientas más complejas y poder analizar cualquier archivo. Como podrán notar existe una gran cantidad de herramientas para realizar el análisis de Malware.
------------------------------------------------------------------------------------------

Autor: Fudmario.



PD: "Si alguien decide llevar este tutorial a otros lados,se pide respetar el Autor y la Fuente de la misma".

186
Claro @ANTRAX, no hay problema adelante...


Saludos.

187
Hola Amigos, aquí les presento un pequeño tutorial, donde veremos como detectar archivos Infectados, es bastante simple nada de otro mundo, pero espero sirva a más de uno.

Lo que veremos hoy será una forma de analizar, llamado:

"Análisis Estático" ¿Qué quiere decir?

Se trata de obtener  información  de  archivos(Malware's), pero sin ejecutar el mismo. Esto implica que en el análisis estático se utilizará algunas aplicaciones que permitan analizar el código del programa con el fin de obtener(el tipo de archivo, en que lenguaje y cuando se ha programado, librería que usa,..etc.).




Comencemos, hace poco me descarga un programa de un foro X: "TiGeR-Firewall-Setup.exe", me puse a revisar si no traía regalitos, así que para comenzar busque por la red,  si existe alguna web oficial o si es de algún autor que posteo en algún foro( esto puede significar mucho o nada al momento de analizar), encontré uno y me lo descargue, al observar los archivos, existía una diferencia de Tamaño en los archivos y al compararlos también la diferencia de Hash de los archivo.



    Archivo Sospechoso:
       
  • Nombre         =     TiGeR-Firewall-Setup.exe
  • Hash MD5    =     15903C8FAE011F2A7969525796F0E30A
  • Tamaño        =     2,89 MB

       
       
       

    Archivo Original:

  • Nombre         =     TiGeR-Firewall-Setup_o.exe
  • Hash MD5    =     E84762B1128B1E910E6D632FC88A732B
  • Tamaño        =     2,69 MB

       
   
   
Citar
HASH:Un hash es un valor de tamaño fijo obtenido como resultado de aplicar una función matemática (hash function) a un valor de entrada, obteniendo en teoría un resultado único para ese valor. De tal modo que si H(x) = H(y) entonces x=y.
"extraída de elixicorp".
Siguiendo con esto, ahora utilizaremos la siguiente herramienta:

"You are not allowed to view links. Register or Login" ¿Qué es?. Es un detector de packers,Cryptors,Compiladores, Packers Scrambler,Joiners,Installers.

Esto para ver en que lenguaje se hizo, también se puede observar la diferencia que hay entre los archivos.
 


 De aqui extraemos lo siguiente: Visual .Net, Múltiples protecciones, UPX, antidebuggers,...y ademas el archivo contiene un archivo adjunto, ahora extraeremos el archivo adjunto, para ello utilizaremos esta misma herramienta...
 

 
Cargamos el archivo extraído a  You are not allowed to view links. Register or Login. y vemos lo siguiente:
 

 como podemos ver se ve otro archivo adjunto, podemos seguir extrayendo, hasta llegar con el programa original ya que según lo que se ve esta bindeado, pero a partir de este momento utilizaremos otra aplicación.
 "You are not allowed to view links. Register or Login" (de4dot es un Deobfuscator/ de código abierto escrito en C#  para .NET Reverse Engineering.)
 Vamos usarla, para que se vea claro, ya que si lo cargamos directamente en .Net Reflector o CodeReflector, al inter usarla usar, será ilegible gran parte del código y no sacaremos nada.



 
miramos otra vez desde You are not allowed to view links. Register or Login:


Nos muestra: Confuser 1.9...Ahora utilizaremos una herramienta más:
"ConfuserStringDecryptor1.0".



Ahora lo cargamos desde "You are not allowed to view links. Register or Login"( .NETCodeReflect permite des compilar cualquiera. NET para C #, VB.NET o MSIL ), después de mirar casi todo,  encontramos algo interesante:


Encontramos lo siguiente:


  • "java.exe"
  • "TEMP"
  • "d2be3e6d11846430c067fc874a79f583"
  • "evilevil.no-ip.org"
  • "1177"
  • "True"


Y a partir de aquí se puede sacar  conclusiones.

Crear un archivo "java.exe" en el directorio Temporal ("TEMP") y conecta  a la direccion "evilevil.no-ip.org" a través del puerto "1177"
y que ademas tiene 2 opciones marcadas como "True" que supongo que debe ser: 1.-auto inicio + 2.-Protección BSOD, Generalmente  el puerto y el lenguaje(.NET) que viene aquí hace suponer que se trata de: "nJRAT"

Jaja o simplemente  eso(de: java.exe,temp,evilevil.no-ip.org)son solo textos incrustados en la aplicación.. para eso

En la siguiente Parte Veremos como Se Realiza el otro tipo de análisis: "Análisis Dinámico" y evitar esa protección BSOD ;C


Si alguien decide llevar este tutorial, a otros lados, se pide respetar la fuente  y el autor de la misma


Autor: fudmario

188
Presentaciones y cumpleaños / Hola a todos!!!
« en: Diciembre 02, 2013, 02:49:48 pm »
hola a todos.

me gusta la programación, modding, malware, etc...

Espero ampliar mis conocimientos y aportar con lo que pueda por aquí.

Páginas: 1 ... 8 9 [10]