DFIR - HUNTING

.

KILL CHAIN, DIAMOND, RESILIENCE, DETECT...

Normas, métodos, buenas prácticas.

SONDAS, AMENAZAS, INCIDENTES, ANALISIS

Productos, configuraciones y análisis.

CYBERWARFARE, GOBIERNOS, APT AVANZADO

Los mejores casos en Conexión Inversa.

CIBERGUERRA, MALWARE

Te contamos como se diseñan y como se aplican.

ATAQUES EN RED, INTRUSIONES, MALWARE Y APTs

Todo lo necesario para minimizar el impacto.

jueves, 12 de julio de 2007

Troyanicos!!


Holaaaa...

Hoy tuve la visita de mi compañero Sergio de los Santos, de la empresa Hispasec Sistemas (¿os suena?), el cual se puso muy contento, de
que por fin este en 'linea'. Ayer discutimos de virus, troyanos y demás bichos de la fauna informática y además nos cabreamos hablando del DNI Electrónico (¡¡ yo que es seguro, el que no... El tiempo decidirá, de momento gano yo, jeje!!)

Yo creo a mi entender que el DNI Electrónico y otras medidas, como las claves de un solo uso, son buenas opciones para matar to
dos estos bichos... y más todavía, si se utiliza para firmar transacciones en un movimiento económico.

Es decir que si estáis como clientes de algunas de mis Cajas, podéis realizar una transferencia desde un 'ciber' de forma tranquila, por que os enviamos la clave al móvil. Esta clave es de un solo uso exclusivo p
ara la operación (importe, ordenante, destino, etc) que estáis realizando y la clave tiene una duración de cuatro minutos.

No obstante si tenéis o detectáis algún ejecut
able sospechoso podéis hacer cuatro cosas:

1.- Eliminarlo sin más
2.- Enviarlo a Virustotal.com

3.- Mandármelo a mi cuenta de gmail.
4.- Hacer un pequeño análisis vosotros mismos. ¿como?. Muy sencillo

Vamos a imaginar que 'sin querer' hemos ido a parar a una página de pornografía , esta contiene un 'banner' que nos descarga el fichero 'foto.exe'

Paso 1:


Disponer de Linux o una máquina virtual y ejecuta
r los siguientes comandos

$ ls -l foto.exe
-rw-r--r-- 1 no no 861031 Dec 28 21:37 foto.exe

$ md5sum foto.exe
866efca20e87813350e326c92681accc foto.exe
$ file foto.exe
PostCard.exe: MS-DOS executable (EXE), OS/2 or MS Windows


Esto nos indica que evidentemente es un fichero ejecutable, si estuviera renombrado a JPG, seguiría dándonos la cadena de 'MSDOS Executable'

Paso 2:

Ver el posible contenido del ejecutable, por ejemplo datos del programador, arquitectura, posibles comandos, etc.

$ strings foto.exe | less
=A t
:jgS

[…]

processorArchitecture="X86" name="Roshal.WinRAR.WinRAR" type="win32" /> WinRAR archiver.



Vemos que esta empaquetado con Winrar, es decir parece que el ejecutable se auto descomprime en su instalación

Paso 3:

Ver que ficheros y como se instala


$ unrar t -v foto.exe

UNRAR 3.30 freeware Copyright (c) 1993-2004 Eugene Roshal


Testing archive foto.exe

Path=C:\WINDOWS\system\
SavePath
Setup=C:\WINDOWS\system\svchost.exe
Setup=C:\WINDOWS\system\exec.bat
Silent=1
Overwrite=1

Testing autdownload.exe OK
Testing aliases.ini OK
Testing control.exe OK
Testing fullname.exe OK
Testing nicks.txt OK
Testing script.ini OK
Testing servers.exe OK

Testing svchost.exe OK
Testing exec.bat OK
All OK


Como veis pasos sencillos y nada complicados que nos permiten ver el contenido de estos virus....

$ strings autdownload.exe | less
=A M
:cxS
http://stabor7.info/western-junior-amateur.html
[…]

En este caso se descarga a su vez el fichero setup.exe de la página 'stabor7.info', para comprobarlo entramos directamente a la página en cuestión.



El análisis de este ¿troyano? os lo dejo a vosotros. Cuidado con la página que alguno se volverá tonto!!

miércoles, 11 de julio de 2007

The Returns of Tkanomi


¡¡ Holaaa, por fin he vuelto!!

Luche y gane esta batalla, ahora a por todas las demás

También quiero mandar un cariñoso abrazo a la princesa...ya que no esta pasando un buen momento...¡¡ Animo, que todo pasa y se convierte en Luz !!

He vuelto, no con la misma intensidad de la de antes, pero por fin ya estoy de vuelta. Poco a poco iremos escribiendo este blog...vuestro blog

Hoy como comienzo os pongo un link muy curioso de mi colega Al3x que ha evaluado la seguridad de los IDS/IPS Proventia.

No os perdáis la cantidad de vulnerabilidades que tiene la máquina en cuestión.

El articulo se llama "Having Fun with “Sensor Appliance” Proventia GX5108 & GX5008"....y tiene un final que promete!!

http://www.milw0rm.com/papers/168

Saludos....


Análisis Forense en profundidad 2.0 - Nuevo Curso -

Buenas lectores, De nuevo y de la mano de @securizame llega una nueva entrega del curso "Análisis Forense en profundidad 2.0" ...