jueves, 31 de enero de 2013

6Scan, búsqueda de vulnerabilidades y malware

Compartir este artículo:

Los servicios que se encargan de buscar vulnerabilidades o malware en las páginas webs.

Una de esas webs que ofrecen ese servicio es 6scan. Esta web posee un servicio gratuíto y otro de pago, que ofrecen distintas alternativas.

Para configurar un escaneo es muy sencillo, solo deberemos de hacer para empezar poner nuestro correo electrónico y la páginas web que escanearemos.

Si el servicio de 6scan encuentra una vulnerabilidad o malware seremos avisados por correo en la versión FREE y por SMS en la versión PREMIUM.

Se lanza el escaneo a la web en cuestión:

 

6scan

El escano como bien dice, nos avisará en el caso de encontrar una vulnerabilidad.Podemos añadir mas sitios en el servicio: 

6scan sites

Como bien decía dependiendo de si escogemos el servicio gratuito o no, tendremos unas caraterísticas u otras. 

Servicios

Buen servicio que nos ayudará a mitigar en gran medida vulnerabilidades que puedan salir en una fase de desarrollo mal hecha o incluso también poder mitigar malware que nos salga

miércoles, 30 de enero de 2013

El peor Phising de la historia (Parte III)

Compartir este artículo:
Buenas a todos, volvemos hoy con la cadena El Peor Phising de la Historia, con un nuevo Phising que hoy nos envía nuestro amigo Adrián Villa.Un dato estadistico bastante curioso que queríamos remarcar es que todos los phising que nos estáis enviando pertencen al banco BBVA. Por lo que lanzamos la siguiente pregunta al aire (cómo diría Mou...) ¿Por qué? 

Podéis seguir enviandonos nuevos phising "curiosos" que recibáis a vuestros buzones de correo.

Saludos!

martes, 29 de enero de 2013

Episodio de Pentesting (Parte V)

Compartir este artículo:

Hola! hoy seguiremos con nuestra cadena Episodio de Pentesting hablando sobre el proceso de configuración del exploit que seleccionamos en el capítulo anterior.

Lo primero que debemos hacer es llamar al exploit, pero si no nos sabemos la ruta exacta podemosutilizar la función search de Metasploit. Se ve mejor en esta imagen:

(Configuración básica de Metasploit)

En la imagen de arriba podemos observar que si hacemos un “show options”, se nos muestran los parámetros de configuración modificables para el exploit, y su configuración por defecto. Al lado de cada parámetro viene una breve descripción del mismo, por lo que no me voy a extender demasiado. Pero es importante echar un vistazo a SRVHOST, SRVPORT, LHOST y para este exploit en concreto, podemos configurar el nombre del applet malicioso modificando APPLETNAME, e incluso la firma del applet con CERTN. Los parámetros se modifican como en el siguiente ejemplo:

“set APPLETNAME EXPLOIT”

A continuación, la parte más importante de la configuración de un exploit consiste en la elección del Payload, pues será el programa que se encargará de realizar la conexión inversa desde la víctima hasta el host. En este caso, vamos a utilizar el payload más famoso de Metasploit que se llama Meterpreter, y para ser más exactos, en su versión de puertos TCP. Dicho esto, el paso siguiente es setearlo en nuestro exploit, dando la siguiente instrucción:

“set PAYLOAD windows/meterpreter/reverse_tcp”

Una vez configurado completamente el exploit con las opciones que necesitemos escribimos en la consola de MSF “exploit” y automáticamente MSF montará el servidor web con el contenido infectado. De forma predeterminada, MSF monta la inyección del exploit en una URL aleatoria del tipo http://127.0.0.1/XXXXXXX pero si queremos especificar un nombre en la dirección tendremos que configurar URIPATH en la configuración del exploit.

Ahora solo deberemos hacer que la víctima entre en el enlace y permita la instalación del complemento de Java. Para ello podríamos hacer uso de ingeniería inversa, a través de un mail o de cualquier otro servicio, pero puesto que suponemos que la víctima está en la misma red local, vamos a usar DNS Poisoning, lo que explicaremos a continuación.

Eso es todo por hoy, saludos!

lunes, 28 de enero de 2013

Freesshd Authentication Bypass: Pivote + Zero Day = Owned! (Parte II)

Compartir este artículo:

Tras el artículo anterior vamos a comenzar con la práctica y el ejercicio o episodio, como le gusta a @nicomda llamar a estas cosas. Bien, el primer paso es vulnerar a la máquina con XP algo que puede parecer sencillo, pero como este actualizada puede complicarse en exceso. Siempre nos quedará el robo de credenciales, la suplantación de identidades o de usuarios, en fin, el arte de la guerra.

En esta prueba queremos realizar la mayoría de las cosas, o todo, con Metasploit y de este modo recordaros el potencial de este framework. En primer lugar utilizaremos la inspección de puertos abiertos sobre la máquina del XP de la siguiente manera:

Podemos visualizar el famoso puerto 445, “yes, i am smb!”, saludando… Si dispongo de credenciales podría intentar subir un payload a través de este servicio autenticándome en el servicio. Bueno, también podría lanzar el MS08_067_netapi, igual cuela… Como este es un escenario perfecto, colará… también decir que al contrario de lo que mucha gente puede pensar, hemos detectado rangos de direcciones IP donde esta vulnerabilidad sigue presente… pero por supuesto hay que ser ético y no aprovecharse, que las cosas están muy mal, con el tema leyes.

¡Bingo! Y parecía que sería más difícil, fallo épico de la gente de sistemas que no tienen parcheado ese equipo. Sigamos, ahora hay que ver qué equipos ve esa máquina, vamos a utilizar el comando ipconfig para ver en qué redes está.

Bueno, pues ya tenemos dos redes nuevas. Por un lado la red 11.0.0.0, la cual desconocíamos a priori, y la red 192.168.0.0, que es en la que nos encontramos.

Llegó el momento de hacer el pivoting sobre la máquina Windows XP con el fin de poder escanear en busca de máquinas. Para ello se ejecutará el comando route o el script autoroute de Meterpreter:

Es interesante decir que Metasploit dispone de distintas herramientas Auxiliary con las que podemos llevar a cabo distintos tipos de escaneo. Como se puede visualizar en la siguiente imagen haremos un barrido:

Parece que hay un servicio no corriente en entornos Windows, un puerto 22 abierto. Vale además, tenemos a nuestro amigo SMB, podemos probar lo mismo que antes, o si disponemos de alguna autenticación… probar…

=============================================================

Freesshd Authentication Bypass: Pivote + Zero Day = Owned! (Parte I)

Freesshd Authentication Bypass: Pivote + Zero Day = Owned! (Parte II)

Freesshd Authentication Bypass: Pivote + Zero Day = Owned! (Parte III)

=============================================================

domingo, 27 de enero de 2013

Informe Flu – 108

Compartir este artículo:

Buenas a todos, una semana más os traemos el resument de la semana en Flu Project:

Lunes 22 de EneroMartes 23 de EneroMiércoles 24 de EneroJueves 25 de Enero

Viernes 26 de Enero

Sábado 27 de Enero

sábado, 26 de enero de 2013

Browserscan, comprueba mas tu seguridad

Compartir este artículo:

Dado que los cibercriminales aprovecharán cualquier fallo en la parte de cliente para explotar vulnerabilidades, mas vale asegurarnos que tenemos las versiones adecuadas.

Existen servicios en la red donde podremos navegar con nuestro browser preferido para comprobar por ejemplo que tenemos todos los plugins actualizados. Uno de estos servicios es BrowserScan, del equipo de Rapid7. Accediendo a la URL de BrowserScan comprobaremos si tenemos Java, Adobe y el plugin de quick time actualizado.

En mi caso parece que tengo la versión de Java desactualizada, mas vale que la actualice sino quiero caer en los exploits que están aprovechando la vulnerabilidad 0day.

El uso de este tipo de webs nos ayudarán a tener una de las partes mas importante actualizadas, el navegador y algunos plugins. Ya que los criminales están aprovechando las páginas webs para poder explotar las vulnerabilidades.

viernes, 25 de enero de 2013

Scythe – account enumerator

Compartir este artículo:

En el artículo de hoy os traigo una herramienta que nos sirve para enumerar cuentas de usuario en distintos servicios. La herramienta se llama Scythe.

Para empezar deberemos de bajar la herramienta para ello lo mas sencillo es que hagamos un git clone del repositorio del GitHub.

darkmac:fingerprinting marc$ git clone https://github.com/ChrisJohnRiley/Scythe.gitCloning into ‘Scythe’…remote: Counting objects: 458, done.remote: Compressing objects: 100% (145/145), done.remote: Total 458 (delta 306), reused 453 (delta 301)Receiving objects: 100% (458/458), 3.61 MiB | 397 KiB/s, done.Resolving deltas: 100% (306/306), done.darkmac:fingerprinting marc$ cd Scythe/darkmac:Scythe marc$

Ya tenemos el repositorio clonado ahora lo primero que haremos será ver que módulos tenemos disponibles.

——————————————————————————>>>>> Module Information <<<<<——————————————————————————| Name | | Category | | Version |——————————————————————————blogspot.com (Username) social 1delicious.com (Username) blogs 1goodreads.com (Username) blogs 1livejournal.com (Username) blogs 1mahalo.com (Username) blogs 1newsvine.com (Username) blogs 1posterous.com (Username) blogs 1resumebucket.com (Username) blogs 1squidoo.com (Username) blogs 1tumblr.com blogs 1tumblr.com blogs 1Wordpress.com blogs 2ebay.com (Username) commerce 1etsy.com (Username) commerce 1kaboodle.com (Username) commerce 1Github.com (Email) development 2Github.com (username) development 1BackTrack Forum forums 1buzznet.com (Username) forums 1cafemom.com (Username) forums 1colourlovers.com (Username) forums 1deviantart.com (Username) forums 1epinions.com (Username) forums 1families.com (Username) forums 1fanpop.com (Username) forums 1instructables.com (Username) forums 1wikipedia.org (Username) forums 1kongregate.com (Username) games 1dailymotion.com (Username) media 1flickr.com (Username) media 1funnyordie.com (Username) media 1hulu.com (Username) media 1justin.tv (Username) media 1last.fm (Username) media 1photobucket.com (Username) media 1soundcloud.com (Username) media 1twitpic.com (Username) media 1ustream.com (Username) media 1vimeo.com (Username) media 1yfrog.com (Username) media 1youtube.com (Username) media 1zooomr.com (Username) media 1badoo.com (Username) social 1bitly.com (Username) social 1cardcloud.com (Username) social 1disqus.com (Username) social 1facebook.com (Email/Phone) social 4flixster.com (Username) social 1foursquare.com (Username) social 1gather.com (Username) social 1linkedin.com (Username) social 1myspace.com (Username) social 1Reddit.com (username) social 1slideshare.net (Username) social 1stumbleupon.com (Username) social 1Twitter.com (Email/Phone) social 2Twitter.com (username) social 2wefollow.com (Username) social 1xing.com social 2GMail (username) email 1Hushmail (hushmail.com email) email 1Hushmail (hushmail.me email) email 1Hushmail (hush.com email) email 1Hushmail (hush.ai email) email 1Hushmail (mac.hush.com email) email 1Yahoo (yahoo.com email) email 1Yahoo (ymail.com email) email 1Yahoo (rocketmail.com email) email 1Yahoo (yahoo.co.uk email) email 1

Como veis la cantidad de sitios donde podemos hacer el check es impresionante.

Como primer ejemplo lo que haremos será consultar una lista de usuarios en una de las redes sociales, en este caso será Facebook.

darkmac:Scythe marc$ python scythe.py –single facebook.com –accountfile=users.txt,,mm `7MMMM MM,pP”Ybd ,p6″bo `7M’ `MF’mmMMmm MMpMMMb. .gP”Ya8I `” 6M’ OO VA ,V MM MM MM ,M’ Yb`YMMMa. 8M VA ,V MM MM MM 8M”"”"”"L. I8 YM. , VVV MM MM MM YM. ,M9mmmP’ YMbmd’ ,V `Mbmo.JMML JMML.`Mbmmd’,VOOb” ::: account harvester :::ver 0.2.8 (Lazy Lizard)ChrisJohnRiley——————————————————————————[-] Account File ::: users.txt[-] Module Directory ::: ./modules/[-] Single Module ::: facebook.com[-] Verbose ::: Verbose[-] Retries (delay) ::: 1 (30 secs)——————————————————————————[-] Starting to load modules from ./modules/[-] Starting to load modules from ./modules/blogs[-] Starting to load modules from ./modules/commerce[-] Starting to load modules from ./modules/development[-] Starting to load modules from ./modules/forums[-] Starting to load modules from ./modules/games[-] Starting to load modules from ./modules/media[-] Starting to load modules from ./modules/social[+] Extracted module information from facebook.com (Email/Phone)[!] Note [facebook.com (Email/Phone)]:-> Account names must be in email address or telephone number format.-> Permalinks will cause flase positives[-] Starting to load modules from ./modules/webmail——————————————————————————>>>>> Testcases <<<<<——————————————————————————[-] Starting testcases (2 in total)[X] Account seifreed exists on facebook.com (Email/Phone)[X] Account chemaalonso exists on facebook.com (Email/Phone)[-] tests completed in 0.09 seconds[+] 2 matches found—————————————————————————— 

Hemos podido encontrar dos de los usuarios en la red social Facebook.

No solo podremos buscar de manera individual en WordPress, facebook, Wikipedia, sino que podremos buscar por categorías.

darkmac:Scythe marc$ python scythe.py –category=social,blogs –accountfile=users.txt –summary,,mm `7MMMM MM,pP”Ybd ,p6″bo `7M’ `MF’mmMMmm MMpMMMb. .gP”Ya8I `” 6M’ OO VA ,V MM MM MM ,M’ Yb`YMMMa. 8M VA ,V MM MM MM 8M”"”"”"L. I8 YM. , VVV MM MM MM YM. ,M9mmmP’ YMbmd’ ,V `Mbmo.JMML JMML.`Mbmmd’,VOOb” ::: account harvester :::ver 0.2.8 (Lazy Lizard)ChrisJohnRiley——————————————————————————[-] Account File ::: users.txt[-] Module Directory ::: ./modules/[-] Categories ::: social, blogs[-] Verbose ::: Verbose[-] Retries (delay) ::: 1 (30 secs)——————————————————————————[-] Starting to load modules from ./modules/[-] Starting to load modules from ./modules/blogs[+] Extracted module information from blogspot.com (Username)[+] Extracted module information from delicious.com (Username)[+] Extracted module information from goodreads.com (Username)[+] Extracted module information from livejournal.com (Username)[+] Extracted module information from mahalo.com (Username)[+] Extracted module information from newsvine.com (Username)[+] Extracted module information from posterous.com (Username)[+] Extracted module information from resumebucket.com (Username)[+] Extracted module information from squidoo.com (Username)[+] Extracted module information from tumblr.com[+] Extracted module information from tumblr.com[+] Extracted module information from WordPress.com[-] Starting to load modules from ./modules/commerce[-] Starting to load modules from ./modules/development[-] Starting to load modules from ./modules/forums[-] Starting to load modules from ./modules/games[-] Starting to load modules from ./modules/media[-] Starting to load modules from ./modules/social[+] Extracted module information from badoo.com (Username)[+] Extracted module information from bitly.com (Username)[+] Extracted module information from cardcloud.com (Username)[+] Extracted module information from disqus.com (Username)[+] Extracted module information from facebook.com (Email/Phone)[!] Note [facebook.com (Email/Phone)]:-> Account names must be in email address or telephone number format.-> Permalinks will cause flase positives[+] Extracted module information from flixster.com (Username)[+] Extracted module information from foursquare.com (Username)[+] Extracted module information from gather.com (Username)[+] Extracted module information from linkedin.com (Username)[+] Extracted module information from myspace.com (Username)[+] Extracted module information from Reddit.com (username)[+] Extracted module information from slideshare.net (Username)[+] Extracted module information from stumbleupon.com (Username)[+] Extracted module information from Twitter.com (Email/Phone)[+] Extracted module information from Twitter.com (username)[+] Extracted module information from wefollow.com (Username)[+] Extracted module information from xing.com[-] Starting to load modules from ./modules/webmail——————————————————————————>>>>> Testcases <<<<<——————————————————————————[-] Starting testcases (58 in total)[X] Account seifreed exists on mahalo.com (Username)[X] Account seifreed exists on WordPress.com[!] Zero byte response received from bitly.com (Username)[-] [##] 24% complete[!] Zero byte response received from disqus.com (Username)[X] Account seifreed exists on facebook.com (Email/Phone)[X] Account seifreed exists on linkedin.com (Username)[X] Account seifreed exists on Reddit.com (username)[X] Account seifreed exists on slideshare.net (Username)[X] Account seifreed exists on Twitter.com (username)[-] [####] 48% complete[X] Account chemaalonso exists on mahalo.com (Username)[!] Zero byte response received from bitly.com (Username)[-] [#######] 74% complete[!] Zero byte response received from disqus.com (Username)[X] Account chemaalonso exists on facebook.com (Email/Phone)[X] Account chemaalonso exists on slideshare.net (Username)[X] Account chemaalonso exists on Twitter.com (username)[-] [#########] 98% complete[-] tests completed in 0.26 seconds[+] 11 matches found——————————————————————————>>>>> Successful Matches <<<<<————————————————————————————————————————————————————| Module | | Account |——————————————————————————Reddit.com (username) seifreedTwitter.com (username) seifreedTwitter.com (username) chemaalonsoWordpress.com seifreedfacebook.com (Email/Phone) seifreedfacebook.com (Email/Phone) chemaalonsolinkedin.com (Username) seifreedmahalo.com (Username) seifreedmahalo.com (Username) chemaalonsoslideshare.net (Username) seifreedslideshare.net (Username) chemaalonso——————————————————————————

El poder enumerar usuarios nos puede ayudar entre otras cosas para poder realizar un ataque dirigido, entre otras cosas.

jueves, 24 de enero de 2013

Freesshd Authentication Bypass: Pivote + Zero Day = Owned! (Parte I)

Compartir este artículo:

Hace un mes que se conoce, pero debe ser que el no denominarse Java o Adobe Reader hacen que sus desarrolladores vivan en un mundo más tranquilo. El 0 day que se presentan en estas líneas corresponde con la aplicación Freesshd. Muchos diréis, ¿qué cosa es esa?, bien, sencillamente es un servidor SSH para equipos Windows. Este servidor, el cual podemos encontrar en algunas empresas del panorama nacional, permite gestionar sesiones de shell y subida de archivos mediante FTP de manera “segura”. Es seguro hasta que sale un 0-day y te deja el entorno empantanado, teniendo que aplicar rápidamente la medida DID o DIDi, ejercicio militar del modelo defensa en profundidad. También puede conocerse como ¡sálvese quien pueda!

El escenario presentado en esta ocasión no es más que el reflejo de una posible situación tan real como la vida misma. No pretendemos enseñaros a que este escenario tiene que ser exactamente así para que todo funcione, debéis dejaros llevar por la imaginación y por las pruebas. Como un señor (quizá ya por edad) me dijo una vez, el hacking o ethical hacking es 95% frustrante y negativo hasta que llegas a ese 5% del tiempo en el que llegas al éxito, y empieza lo divertido.

Escenario

El escenario que se tratará en esta serie de artículos es el siguiente:

  • Máquina XP SP3 vulnerable al famoso MS08_067_netapi. Sí, muchos de vosotros diréis: “¡buah el típico artículo!”, a lo que yo os contesto: “¡seguir leyendo!” :D
  • BackTrack, o si queréis un Metasploit en cualquier plataforma.
  • Máquina Windows 7 (también podrías probar con Windows 8 uhhh).

La configuración de las redes es la siguiente:

  • XP SP3 con 2 tarjetas de red. La primera configurada en la red 11.0.0.0/24, con dirección IP 11.0.0.1 y la segunda configurada en la red 192.168.0.0/24 con direccionamiento 192.168.0.60.

  • El atacante se encuentra en el segmento 192.168.0.0/24, con direccionamiento 192.168.0.59 o cualquiera, esto es independiente.

  • Windows 7, se encuentra en la red 11.0.0.0/24, con direccionamiento 11.0.0.2.

¿Veis por dónde vamos? El atacante no tiene conectividad con el Windows 7, ¿qué tendrá ese Windows 7 para no poder llegar a él? Ya vimos en su día que el pivoting no es sólo baloncesto, así que utilizaremos a éste para llegar a ese Windows 7 :D ¿Y después? ¿Simplemente un poco de pass the hash? Eso está muy visto, es hora de descubrir servicios y verificar que podemos darle caña a un 0day.

=============================================================Freesshd Authentication Bypass: Pivote + Zero Day = Owned! (Parte I)Freesshd Authentication Bypass: Pivote + Zero Day = Owned! (Parte II)Freesshd Authentication Bypass: Pivote + Zero Day = Owned! (Parte III)=============================================================

miércoles, 23 de enero de 2013

El peor Phising de la historia (Parte II)

Compartir este artículo:

Buenas a todos, hoy volvemos con la segunda entrega de nuestra nueva cadena "El peor Phising de la historia" con un nuevo phising que nos envia Francisco Albor desde México (¡gracias, un saludo!).

De nuevo y como en el caso del anterior phising, nos encontramos con un email "poco trabajado" y con frases con poco sentido, aunque en esta ocasión sin faltas de ortografía destacables.

Como de costumbre el correo trata de engañar a la víctima para que pulse sobre una imagen que camufla un link para redireccionarnos a una página de su control.

Podéis seguir enviandonos phisings a info@flu-project.com

Saludos!

martes, 22 de enero de 2013

Jornadas de Prevención y Seguridad en Internet

Compartir este artículo:

Buenas a todos, los próximos días 1 y 2 de Febrero se celebran en Elche las Jornadas de Prevención y Seguridad en Internet para familias y educadores. Tengo el placer de asistir como ponente con mi gran amigo Angelucho. Ambos iremos representando nuestros "verdes colores" :-) e impartiremos la charla conjunta "Radiografía de un Ciberdeprador" - "A la caza del Ciberdepredador",  que creo que puede ser bastante interesante, esperamos que os guste.

Aprovecho para enviar agradecimientos a la organización por invitarnos

Os dejamos con el cartel y el programa del evento:

Si alguno os acercáis por Elche comentadnos para vernos por allí.

Saludos!

lunes, 21 de enero de 2013

Episodio de Pentesting (Parte IV)

Compartir este artículo:

Hola! hoy volvemos con el cuarto artículo de la cadena sobre Pentesting para hablaros de como seleccionar una vulnerabilidad.

Gracias a MSF y su gigantesca base de datos de exploits funcionales, tenemos miles de posibilidades para hacernos con un ordenador remoto. El momento de elegir que vulnerabilidad vamos a aprovechar es importante, ya que marcará el rumbo del proceso para hacernos con la máquina remota. En este caso, uno de los puntos más importantes, es que la elección del exploit debe realizarse pensando en el sistema operativo de la víctima, y en los servicios que operan por defecto en los puertos que hayamos detectado abiertos. Por tanto, podríamos elegir vulnerabilidades de diferentes clases.

Para Windows XP (incluyendo SP3) cabe destacar el exploit “ms08_067_netapi” que ha sido uno de los más utilizados durante la vida de XP, ya que permite su ejecución sin intervención alguna del usuario remoto, por lo que evita la ingeniería social. El exploit aprovecha las vulnerabilidades CVE-2006-4446 y CVE-2006-4777 y permite la apertura incluso de una sesión de meterpreter, y la escalada de privilegios en el sistema.

Sin embargo, debido a su compatibilidad con diferentes navegadores y sistemas operativos, en este escenario voy a utilizar la que posiblemente sea la vulnerabilidad más utilizada de MSF, “Java_signed_applet”. El exploit se inyecta en el servidor http del atacante, junto con los payloads generados para los diferentes sistemas operativos, y permite la ejecución de una sesión de meterpreter, cuyas virtudes estudiaremos más adelante, en la victima.

El exploit Java signed applet nos permite crear un complemento envenenado de java para el navegador, que puede incluso firmarse si tenemos el JDK (Java Development Kit) instalado en la VM. Este complemento se inyecta en el servidor web independientemente de la página web que haya creada, lo cual es bastante interesante y aumenta con creces la maniobrabilidad de la ingeniería social. Una vez hemos aceptado su ejecución, el payload entrará en la VM víctima y se ejecutará, creando una conexión “reverse-tcp” que se comunicará directamente con metasploit.

Eso es todo por hoy, la próxima semana veremos como configurar el exploit :)

Hasta la semana que viene!

domingo, 20 de enero de 2013

Informe Flu – 107

Compartir este artículo:

Buenas a todos, una semana más os traemos el resument de la semana en Flu Project:

Lunes 14 de EneroMartes 15 de EneroMiércoles 16 de EneroJueves 17 de Enero

Viernes 18 de Enero

Sábado 19 de Enero

sábado, 19 de enero de 2013

WAF, WAF, protección para WordPress – WP-WAF

Compartir este artículo:

El uso masivo de CMS hace que los criminales se centren en este tipo de aplicativos para buscar vulnerabilidades. Además los exploits en los que el atacante consigue subir algún tipo de archivo al servidor remoto, los usan para infectarlos y por ejemplo poner Exploits Kits con los que los usuarios que acceden al site web quedan infectados.

Las medidas para que no ocurran estas cosas ya las conocemos, actualizar siempre el core de la aplicación, y sobretodo los plugins de terceros que se sabe que no se revisa en la parte de seguridad igual que el core de la aplicación.

Además de todo esto, en WordPress tenemos plugins que nos ayudarán a mejorar un poco mas la seguridad del CMS . En este caso tenemos WP-WAF. Este plugin lo podemos encontrar en el repositorio de plugins de WordPress y para instalarlo solo hace falta que lo copiemos a la carpeta plugins dentro de wp-content.

La configuración del plugin es muy sencilla.

Seleccionamos las opciones que necesitemos y ponemos el MAIL para que las alertas generadas nos lleguen a nuestro correo.

Si el atacante, intenta por ejemplo realizar un atacante de XSS, le saldrá lo siguiente:

El ataque ha sido detectado por el plugin de WordPress y también ha llegado la notificación por correo.Aunque no es la única solución que se puede aplicar a los CMS, es un plugin a tener en cuenta.

viernes, 18 de enero de 2013

El peor Phising de la historia (Parte I)

Compartir este artículo:
Buenas a todos, el otro día nuestro amigo Alberto (¡gracias!), nos envió un phising (bastante gracioso) que le llegó al correo, simulando provenir del Banco BBVA. Nos hizo tanta gracia que se nos ocurrió hacer una cadena como la de Pantalla Pública, pero para recoger los phisings peor hechos que os llegan a vuestras bandejas de correo :)Por lo que comenzamos la cadena con el phising que nos envió Alberto:

La verdad que el tema de los "premios" está un poco machacado, pero debe resultar cuando lo siguen intentando (¿aunque... qué banco regala dinero hoy en día? :P). Por otro lado, por el poco sentido que tienen las frases se ve que no ha sido escrito por una persona que sepa español nativo y además no tiene los logotipos que suele utilizar el banco para las notificaciones, el recuadro azúl, la dirección del remitente del bbva, y un largo etc... En resumen, un candidato para nuestra nueva cadena "El peor Phising de la historia" :)

Podéis enviarnos los phising que recibáis a info@flu-project.com, y los publicaremos para el aviso a caminantes (para que tomen precauciones) y el despiporre popular.

Saludos!

jueves, 17 de enero de 2013

COLD BOOT ATTACK: El peligro de la persistencia en la memoria RAM

Compartir este artículo:

Buenas a todos, hoy os dejamos con un artículo de nuestro amigo Iván Flores, sobre el peligro de la persistencia en memoria RAM.

Cold Boot Attack

Que tal, bueno el día de hoy hablare de lo que es elCold Boot Attack (ataque de arranque en frió) , este ataque se basa en aprovechar la persistencia en la memoria ram mediante el enfriamiento de la memoria.

Pero primero que nada:

¿Que es la persistencia?  Es la capacidad de un equipo para mantener la información incluso después de apagar la computadora.

La persistencia en la memoria ram es ocasionada por el material con las que están fabricadas, esta persistencia después de apagar la computadora puede tardar hasta 1 o 2 minutos en borrar por completo la información de la memoria.

El Cold boot attack se realiza enfriando la memoria para extender el tiempo de la persistencia de la información hasta 5 a 10 minutos.

Esta información es basada sobre una investigación hecha por la universidad de Princeton https://citp.princeton.edu/research/memory/

Aquí es donde entra la inseguridad, como hemos visto en post pasados de como Obtener las credenciales de servicios desde la memoria ram  el peligro que puede ser que nos saquen una copia a nuestra memoria Ram.

Imagen que muestra la persistencia en la memoria Ram hasta los 5 minutos después de apagar el equipo

Antes los investigadores forenses se llevaban el equipo informático apagado, ahora realizan puentes eléctricos para poderse llevar los equipos al laboratorio sin a pagarlo.

En esta ocasión mostrare un poco de la investigación hecha por princeston en la cual se basan en obtener las credenciales de los cifrados como de Bitlocker o Truecrypt, el problema es que la clave de cifrado tambien se guarda en la memoria RAM, y es posible extraerla.

Para realizar un dumpeo de una memoria ram con un cold boot attack se puede hacer la siguiente forma.

1.- Destapar las tapas de la memoria ram, y sin apagar usar un bote casero de Aire comprimido. Estos tiene una particularidad en que si los usas en una posicion que queden al revez, sueltan un liquido muy frio que se puede aplicar en la memoria directamente para enfriarla. En un caso mucho mas profesional se usa el nitrógeno

2.- Enfriamos la memoria, y cortamos la energia de la computadora o la apagamos bruscamente.

3.- Al volver a encenderla tenemos se tiene que bootear desde una usb o por PXE, podemos usar estas herramientas que brinda la universidad de princeston https://citp.princeton.edu/research/memory/code/

4.- Con la herramienta ya booteada podremos realizar una copia bit stream de la memoria, para poder analizarla. Tambien como parte de la investigacion de la universidad  de princeston publicaron herramientas para la localizacion de las Claves (AES o RSA).

Veamos el video de la prueba de concepto hecha por alumnos del Princeston.

[youtube JDaicPIgn9U nolink]

Bueno ya podemos ver lo valioso de la información guardada en la memoria RAM.

Contra medidas:  Aumentar la seguridad física de tu equipo informático, y apagar la computadora si no esta en uso.

Saludos

Twitter: IvanFlores

miércoles, 16 de enero de 2013

Episodio de Pentesting (Parte III)

Compartir este artículo:

Hola, hoy continuaremos con la cadena de artículos “Episodio de Pentesting” hablando del proceso de escaneado de nuestra víctima.

Lo primero que necesitamos para poder hacer uso de nuestro supuesto exploit, y tras instalar las herramientas necesarias en nuestra máquina, es seleccionar una o varias víctimas en las que tratar de hacer efectivo el ataque. Para ello, y con el fin de escanear las posibles vulnerabilidades que expongan a las víctimas ante nuestro ataque, necesitamos información sobre las direcciones a las que vamos a atacar. Para ello, lo primero es ejecutar un análisis de puertos. Y a estas alturas estaréis pensando en Nmap, la cual evidentemente podemos utilizar. Así que sería bastante fácil ponernos manos a la obra y ejecutar un escaneo generalizado con Nmap, del cual pondré un ejemplo simplemente por lo que explicaré a continuación.

Escaneo vía Nmap

Ejecutamos en terminal la siguiente orden:

“nmap –A 192.168.1.26”

(Orden ejecutada en BT5)

La orden anterior básicamente realiza un scan rápido a la IP que especificamos, en este caso 192.168.1.26, y añade un scan de SO con el atributo –A. Habitualmente se usa también –v para visualizar más información del proceso, pero puesto que es un ejemplo la he omitido.

Escanear una red mediante Nmap es una forma totalmente válida para lo que necesitamos en este proceso, incluso podríamos utilizar Zenmap que es la GUI de Nmap, pero para que se observe el potencial de Metasploit, vamos a realizar el scan directamente desde el propio MSF, ya que incluye módulos de escaneo. Por tanto, iniciamos directamente la consola de Metasploit con “msfconsole” y vemos que escaneos tenemos disponibles para realizar con los siguientes comandos mostrados en la imagen siguiente. Los escaneos más habituales son el TCP y el SYN, pero como de momento solo necesito averiguar cuál es la versión del SO, me vale  cualquiera.

(Ejecutando SYN scan)

He configurado el RHOST con la dirección del equipo atacado porque en este caso la sabemos. Pero si quisiéramos escanear una red, normalmente se realiza un scan a los equipos limitados por la máscara de subred 255.255.255.0, es decir, desde 192.168.1.0 hasta 192.168.1.255. Se especifica de la siguiente manera “set RHOSTS 192.168.1.0/24”.

Escaneamos el puerto 445 que viene abierto por defecto en todos los Windows ya que es utilizado por SMB (Server Message Block, sistema para compartir archivos e impresoras de Microsoft) y que nos servirá para saber la versión del sistema operativo. Observamos que está abierto, por lo que buscamos algún scan para SMB.

(Ejecutando SMB scan)

Una vez que sabemos el sistema operativo que ejecuta el sistema en cuestión y hemos obtenido la información adicional de puertos, debemos pasar a la elaboración del plan de ataque, empezando por la elección de la vulnerabilidad que vamos a utilizar.

Eso es todo por hoy, nos vemos en el próximo post de la cadena, saludos!

Nicolás Moral de Aguilar

martes, 15 de enero de 2013

Utiliza recursos, no te infectes!!!

Compartir este artículo:

Hace unos días un amigo que no conozco X) me dijo que se había bajao un keymaker. Este tipo de software que autogeneran los números de serie.

Este tipo de programas suelen llevar premio, es decir, que cuando te generan el número de serie te infectan la máquina con adware que te saca popups de publicidad o otro tipo de software malicioso.

Así que pensé que como podía obtener los serials del keymaker sin tener que llegar a revisar haciendo ingeniería inversa si el keymaker llevaba un malware asociado.

Primero miré que tipo de archivo era:

darkmac:Downloads marc$ file KeymakerKeymaker: Mach-O 64-bit executable x86_64

Vale, es un ejecutable.

Si mostramos el archivo…

darkmac:Downloads marc$ more Keymaker“Keymaker” may be a binary file.  See it anyway?<CF><FA><ED><FE>^G^@^@^A^C^@^@<80>^B^@^@^@^P^@^@^@x^F^@^@<85>^@ ^@^@^@^@^@^Y^@^@^@H^@^@^@__PAGEZERO^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^A^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^Y^@^@^@x^B^@^@__TEXT^@^@^@^@^@^@^@^@^@^@^@^@^@^@^A^@^@^@^@ ^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@ ^@^@^@^@^@^@^G^@^@^@^E^@^@^@^G^@^@^@^@^@^@^@__text^@^@^@^@^@^@^@^@^@^@__TEXT^@^@^@^@^@^@^@^@^@^@<C0>^R^@^@^A^@^@^@<9B>^A^@^@^@^@^@^@<C0>^R^@^@^D^@^@^@^@^@^@^@^@^@^@^@^@^D^@<80>^@^@^@^@^@^@^@^@^@^@^@^@__stubs^@^@^@^@^@^@^@^@^@__TEXT^@^@^@^@^@^@^@^@^@^@\^T^@^@^A^@^@^@0^@^@^@^@^@^@^@\^T^@^@^A^@^@^@^@^@^@^@^@^@^@^@^H^D^@<80>^@^@^@^@^F^@^@^@^@^@^@^@__stub_helper^@^@^@__TEXT^@^@^@^@^@^@^@^@^@^@<8C>^T^@^@^A^@^@^@`^@^@^@^@^@^@^@<8C>^T^@^@^B^@^@^@^@^@^@^@^@^@^@^@^@^D^@<80>^@^@^@^@^@^@^@^@^@^@^@^@__const^@^@^@^@^@^@^@^@^@__TEXT^@^@^@^

Y pense, y si le paso un strings, de esta manera podría ser capaz de sacar los serials

darkmac:Downloads marc$ strings Keymaker4Z2TW-XXXX-1ZUZ0XXXX-9AK5VJA0JC-XXXXX-JZT-31XXXXX-2AJ1H

Como véis ha sido posible extraer los serials sin tener que ejecutar la muestra.

Esta pequeña entrada es para que sepais que en ocasiones no hace falta hacer nada a bajo nivel, con comandos que ya conocemos para otras cosas podemos sacar, por ejemplo en este caso, los serials del Keymaker.

lunes, 14 de enero de 2013

FluHashes, la nueva app para Android

Compartir este artículo:

Esta Navidad ha sido intensa y el equipo de Flu Project ha desarrollado una serie de aplicaciones para Android que te ayudarán a realizar ciertas funcionalidades. Hoy presentamos a Flu Hashes, o FH, la cual permite realizar distintas labores, todas ellas relacionadas con las contraseñas, hashes y ficheros. FH (FluHashes), es una aplicación para Android desarrollada por Miguel Ángel, autor del curso de Flu Project - Introducción al Desarrollo en Android. Mediante esta aplicación el usuario podrá realizar las siguientes funciones:

- Generación de Hashes: el usuario podrá generar hashes asociados a palabras de cualquier tamaño. Los algoritmos disponibles para la generación de hashes son: MD5, SHA-1, SHA-256, SHA-384 y SHA-512. El usuario podrá copiar el hash en su portapapeles con el fin de aplicarlo en otros contextos.

- Comparación de ficheros: el usuario podrá realizar comparaciones de ficheros almacenados en el dispositivo móvil a través de su hash. Los algoritmos disponibles son: MD5, SHA-1, SHA-256, SHA-384 y SHA-512.

- Generación de contraseñas: el usuario podrá generar contraseñas de hasta 16 dígitos. Las combinaciones disponibles de caracteres son: Números - Letras Mayúsculas, Números - Letras Minúsculas, Letras Mayúsculas - Letras Minúsculas y Alfanuméricos. El usuario podrá copiar la contraseña en su portapapeles con el fin de aplicarla en otros contextos.

Descarga Flu Hashes

A continuación os ponemos unas imágenes para que veáis el aspecto de esta utilidad.

Seguimos trabajando... :D

domingo, 13 de enero de 2013

Informe Flu – 106

Compartir este artículo:

Buenas a todos, una semana más os traemos el resument de la semana en Flu Project:

Lunes 7 de EneroMartes 8 de Enero
  • El martes publicamos nuestra nueva herramienta, Liberad a Wifi Revolution, con la que mejoramos en numerosos puntos la anterior utilidad para descifrar redes Wifi que habíamos desarrollado, Liberad a Wifi, y que tanto éxito tuvo con casi 700.000 descargas
Miércoles 9 de EneroJueves 10 de Enero

Viernes 11 de Enero

Sábado 12 de Enero
  • Ayer arrancamos Flu Project Social, para poner otro pequeño granito de arena para ayudar a la gente a despegar sus proyectos

sábado, 12 de enero de 2013

Flu Project - Proyectos sociales en Móstoles (Madrid)

Compartir este artículo:

Hoy la entrada no es de Seguridad, sí... ultimamente lo hacemos mucho, pero creemos que no todo en la vida es Seguridad y tenemos la suerte de poder escribir lo que se nos pase por la cabeza, o por nuestras vidas. Hablando con Juanan llegamos a la conclusión de que en los tiempos que estamos se podía hacer más por la gente que día a día lucha por mejorar en su vida, lograr sus sueños, vivir lo que es la vida...

Queremos ayudar a todos los proyectos, ya sean comerciales y no comerciales, con origen en Móstoles o cercanos a él. La vía que se propone es realizar un Social Month con diversos proyectos, ya sean blogs, empresas, asociaciones, ideas, y todo ello con origen mostoleño... Dispón de un sábado para anunciarte en Flu Project y que tu visibilidad aumente, utiliza la herramienta Flu Project Social Marketing y ¡ayúdanos a realizar el segundo black SEO Friendly!

Si estás interesado envía un correo electrónico a: info@flu-project.com (Y las dudas!)

Tras presentarnos la idea, se deberá presentar un post donde se explique vuestro proyecto, empresa, idea comercial, hobby o pasatiempo el cual queréis promocionar. Y en breve comenzaremos con el Flu Project Social Month para que los mostoleños seamos escuchados en la red, contamos con vosotros :) 

viernes, 11 de enero de 2013

Cuckoo Sandbox: Automated Malware Analysis (por ifsecurity)

Compartir este artículo:

Buenas a todos, desde hace varios meses venimos hablando en Flu Project del sistema Cuckoo, una utilidad fantástica para el análisis de malware que Marc nos ha explicado en detalle. Hoy queríamos dejaros con un artículo que ha publicado nuestro amigo Ivan Flores en el blog de ifsecurity en el que además de detallar el proceso de configuración de Cuckoo, lo utiliza para analizar nuestro troyano educativo, Flu. Disfrutadlo!:

Cuckoo Sandbox: Automated Malware Analysis

En este post hablaré de un área que he estado investigando y aprendiendo durante estos meses, el analisis de Malware.

Hoy escribiré sobre Cuckoo que es un sistema abierto automatizado para el analisis de Malware, se utiliza para ejecutar, analizar y recopilar informacion sobre el malware, mientras es ejecutado en un entorno aislado, en pocas palabras en una Sandbox.

Cuckoo es una alternativa a otros proyectos como dionaea,  Sandboxie, o Buster SandboxCon Cuckoo se puede utilizar para analizar:

  • Genéricos ejecutables de Windows
  • Archivos DLL
  • Los documentos PDF
  • Documentos de Microsoft Office
  • URL
  • Scripts PHP
  • Casi todo lo demás

Generando los siguientes resultados:

  • Los rastros de win32 llamadas API realizadas por todos los procesos generados por el malware.
  • Los archivos que se crean, eliminan y descargar el malware durante su ejecución.
  • Los volcados de memoria de los procesos de malware.
  • Red de seguimiento de tráfico en formato PCAP.
  • Capturas de pantalla del escritorio de Windows tomada durante la ejecución del malware.
  • Volcados de memoria completos de las máquinas.

Arquitectura

Cuckoo consiste en un software de gestión central que se encarga de la ejecución y análisis de muestras.

Cada análisis se pone en marcha en una máquina virtual nueva y aislada. La Infraestructura de Cuckoo está compuesto por una máquina host (software de gestión) y un número de máquinas de clientes (máquinas virtuales para el análisis).

architecture-main

La configuracion de cuckoo recomendada es usarlo en un sistema operativo Linux con un windows xp virtualizado, pero tambien funciona desde un Mac Os con windows xp o 7 virtualizado.

Ya que vimos un poco de lo que es Cuckoo, pasaremos a la instalación.

Como habíamos visto en la bugtraq2 habían agregado esta herramienta, así que partiré de la configuración de cuckoo desde el sistema operativo de Bugtraq2.

En caso de que quieras hacer la instalación de Cuckoo con otro sistema operativo linux les dejo aquí una guia.

Para el uso de Cuckoo necesitamos instalar las siguientes librerias en nuestra maquina anfitrion

 sudo apt-get install pythonsudo apt-get install python-sqlalchemy sudo pip install sqlalchemysudo apt-get install python-dpkt python-jinja2 python-magic python-pymongo python-libvirt python-bottle python-pefilesudo apt-get install tcpdump

Y necesitamos darle permisos de root al Tcpdump, lo hacemos con el siguiente comando

sudo setcap cap_net_raw,cap_net_admin=eip /usr/sbin/tcpdump

Ahora para los que hagamos la configuración de cuckoo en la bugtraq2  donde cuckoo ya viene instalado y solo hay que configurar, solo tenemos que hacer algo antes de empezar.

En este caso como sistema para el virtualizado usaremos virtualbox, pero también con vmware podemos usar cuckoo.Si usamos el virtualbox desde la bugtraq2 nos encontraremos con un pequeño fallo al querer correr cualquier sistema.

Kernel driver not installed (rc=-1908)

En este caso quise recompilar el kernel pero no me funciono así que tuve que volver a reinstalar el virtualbox que venia por defecto en la bugtraq2.

Podemos hacerlo fácilmente, lo puedes eliminar desde el Centro de Software o desde el Gestor de Paquetes Synaptics.

Una vez eliminado podemos descargar la version mas actual desde la pagina de Virtualbox

Y la instalación la podemos hacer con el siguiente comando:

sudo sh ./nombre del archivo.run

Con esto tenemos ya listo nuestro virtualbox para configurar cuckoo

Primeramente instalaremos nuestro sistema operativo invitado. En mi caso use el Windows XP SP1  ya que es el que mas vulnerabilidades tiene para que el malware a prueba pueda explotar.

Captura de pantalla - 12312012 - 02_40_37 PM

Crearemos una maquina virtual con el nombre de “cuckoo1″ en caso de que vallamos agregando mas usar un orden(cuckoo2,cuckoo3,cukoo4), si instalamos un windows xp le pondremos 256 mb de ram, si es un windows 7 le ponemos 5120mb.

Captura de pantalla - 01032013 - 07_15_32 PM

Una vez ya instalado el windows, pasaremos a configurar la maquina invitado, empezamos instalando el “Guest Additions”Para instalar lo pueden hacer dando click en Dispositivos y luego en “Instalar Guest Addtions” en virtualbox

Configuramos nuestra maquina virtualbox el area de Red y la pondremos en modo Bridge (puente) y recuerden el nombre de la interfaz que usaran(vboxnet, eth0,etc)

Instalaremos Python en nuestra maquina virtual http://www.python.org/getit/

También podemos instalar aplicaciones de preferencia versiones viejas que sean vulnerables, las podemos descargar desde Oldapps

Configuramos una ip estática para nuestra maquina virtual, desactivamos el firewall y las actualizaciones automáticas y reiniciamos la computadora.

Ahora tenemos que agregar el Agente de Cuckoo a nuestra maquina virtual, el agente es un archivo en python que hara la conexion de nuestra maquina invitada a la anfitriona,El archivo esta localizado en /bugtraq/tools/laboratories/sandbox/cuckoo/agent/agent.py

Captura de pantalla - 01032013 - 08_43_29 PMCopiaremos el agent.py a nuestra maquina virtual en el directorio que tu quieras.

Despues de esto abrimos el archivo, y tomaremos una imagen instantanea, esto hara que cada que iniciemos la maquina virtual inice en ese estado en cual tomamos la imagen.  Para hacer la instantanea lo podemos hacer dando clicl en Maquina, luego en Tomar Instantanea.

Ahora configuraremos los archivos .conf  de cuckoo.

confEn el archivo cuckoo.conf solo modificaremos la interface que configuraste en el virtualbox.

virtualboxconf

En el archivo Virtualbox.conf configuraremos el nombre de la maquina que especificamos en el virtualbox.Y especificaremos la IP que le habíamos asignado a la maquina virtual.

El archivo reporting.conf ese lo pueden modificar a su gusto, y no olviden guardar los cambios.

Ahora ya tenemos configurado nuestra maquina virtual invitada y nuestra maquina anfitriona.

Para iniciar cuckoo podemos hacerlo con el comando

python cuckoo.py

O hacerlo desde el acceso directo que viene en la bugtraq2

cuckoo

Cuckoo quedara a la espera de el envió de algún archivo para su análisis.

Ahora para enviar un archivo para analizarlo podremos hacerlo de diferentes formas.

Podemos hacerlo usando el submit.py

usage: submit.py [-h] [--url] [--package PACKAGE] [--custom CUSTOM]                 [--timeout TIMEOUT] [--options OPTIONS] [--priority PRIORITY]                 [--machine MACHINE] [--platform PLATFORM] [--memory]                 [--enforce-timeout]                 target

Ejemplo : enviar un binario local:

$. / Utils / submit.py / ruta / hacia / binario

Ejemplo : enviar una URL:

$. / Utils / submit.py - http://www.example.com url

Ejemplo : enviar un binario local y especificar una prioridad más alta:

$. / Utils / submit.py - Prioridad 5 / ruta / hacia / binario

Ejemplo : enviar un binario local y especificar un tiempo de espera de análisis personalizado de 60 segundos:

$. / Utils / submit.py - timeout 60 / ruta / hacia / binario

Ejemplo : enviar un binario local y especifique un paquete de análisis personalizado:

$. / Utils / submit.py - <nombre paquete de / a / paquete> / ruta binario

Ejemplo : enviar un binario local y especificar un paquete de análisis personalizado y algunas opciones (en este caso un argumento de línea de comandos para el malware):

$ / Utils / submit.py -. Exe paquete - Opciones argumentos = - dosomething / ruta / al / Binary.exe

Ejemplo : enviar un binario local que se ejecuta en la máquina virtual de cuckoo1 :

$. / Utils / submit.py - cuckoo1 máquina / ruta / hacia / binario

Ejemplo : enviar un binario local que se ejecuta en un equipo Windows:

$. / Utils / submit.py - Windows / plataforma binarios camino / al /

Ejemplo : enviar un binario local y tomar un volcado de memoria completa de la máquina de análisis:

$ / Utils / submit.py -. Memoria / ruta / hacia / binario

Ejemplo : enviar un binario local y forzar el análisis a ser ejecutado por el tiempo muerto (sin tener en cuenta el mecanismo interno que Cuckoo utiliza para decidir cuándo terminar el análisis):

$. / Utils / submit.py - aplicar-timeout / ruta / hacia / binario
O hacerlo desde la interfaz WEB 

Captura de pantalla - 01032013 - 08_34_54 PM

Para usar la interfaz web hay que correr el archivo web.py localizado en la ruta: Bugtraq/tools/laboratories/sandbox/cuckoo/utilsUna vez ya estando en ese directorio solo usamos el comando python web.py  y correra el servicio, para ingresar usaremos la direccion 0.0.0.0:8080Para actualizar las firmas usaremos el siguiente comando. python community.py -aCon esto añadiremos las firmas creadas por la comunidad de Cuckoo, tambien puedes crear tus propias firmas  aqui les dejo el link de como hacerlo.Tambien podemos añadir al reporte la deteccion con virustotal para agregar esto debemos modificar el archivo virustotal.py que se encuentra dentro de /modules/processing/

virustotal

Para conseguir el API de virustotal hay que registrarnos y en el area de tu perfil te dan tu codigo de la API.Para agregarlo a cuckoo solo pegas el codigo de la API dentro de las comillas de VIRUSTOTAL_KEY

Captura de pantalla - 01032013 - 08_35_02 PM

Aquí reportes de Análisis ya hechos.

Captura de pantalla - 01032013 - 08_35_10 PM

Un Analisis al troyano de FLU.

Un analisis de Zeus con Cuckoo

[vimeo 34230399 nolink]

Cuckoo against a Flash Player Exploit. 

Bueno aqui termino, les dejo este gran proyecto para el analisis de malware, aunque tiene sus Pros tambien tiene sus contras. Si no chequen este articulo de Iñaki Rodriguez

de Securitybydefault

Saludos

Twitter: IvanFlores

jueves, 10 de enero de 2013

Postales con regalo...

Compartir este artículo:

En uno de esos servicios que dicen, “Hola! alguien te ha enviado una postal” estuve mirando que era, así que le di al enlace de descargar la postal. Lo que, es raro porque a continuación se me descargó un fichero .exe. Que raro, pensé.

Analizé la muestra con peframe a ver que resultados me daba primero.

File Name:    Postalescompostaldeamistadrefverdate07112012.exeFile Size:    90112 byteCompile Time:    2012-08-28 04:06:34DLL:        FalseSections:    3MD5   hash:    df428e4631c8248ea1cfe880f3c31922SHA-1 hash:    88cc95b9df527dddf89eaa815fd05cfb43d7c4c6Packer:        Microsoft Visual Basic v5.0Anti Debug:    NoneAnti VM:    NoneFile and URL:FILE:        USER32.dllFILE:        MSVBVM60.DLLFILE:        VB6ES.DLLFILE:        VBA6.DLLFILE:        USER32.dllFILE:        USER32.dllFILE:        MSVBVM60.DLLURL:        NoneSuspicious API Functions:Suspicious API Anti-Debug:Suspicious Sections:Translation: 0x0c0a 0x04b0LegalCopyright: Electroel Electroel Electroel Electroel Electroel Electroel ElectroelInternalName: Electroel2FileVersion: 1.00CompanyName: ElectroelProductName: ElectroelCommentseElectroel Electroel Electroel Electroel Electroel Electroel Electroel Electroel Electroel: 4CompanyNameProductVersion: 1.00OriginalFilename: Electroel2.exe

Parece que la muestra la habían compilado hace poco y estaba programa con visual basic.

Si ejecutabas la muestra se conectaba a un HOST remoto.

Vaya, parece que la muestra se pensaba descargar otro binario, es decir actuaba como dropper. En este caso, no tuve suerte.Ni postales te pueden enviar ya…