Suplantacion de IP

Suplantacion de IP: "

Suplantación de dirección IP

'La 'suplantación de dirección IP' es una técnica que consiste en reemplazar la dirección IP de un paquete IP del remitente por la dirección IP de otro equipo.

Esta técnica le permite al pirata enviar paquetes de manera anónima. No se trata de cambiar la dirección IP, sino de suplantar la dirección IP al enviar los paquetes.

Algunas personas se inclinan a incorporar el uso de un proxy (que posibilita ocultar la dirección IP) con suplantación de IP. Sin embargo, los proxys sólo envían paquetes. Por lo tanto, aunque la dirección aparentemente está oculta, se puede encontrar a un pirata fácilmente gracias al archivo de registro del proxy.

Ataque de suplantación

La técnica de suplantación de dirección IP permite que un pirata envíe paquetes a una red sin que el sistema de filtrado de paquetes (firewall) los intercepte.

Los sistemas firewall a menudo se basan en reglas de filtrado que indican las direcciones IP autorizadas a comunicarse con la red de los equipos internos.

Un paquete cuya dirección IP se ha suplantado por la de un equipo interno parecerá provenir de la red interna y se transferirá al equipo de destino, mientras que un paquete con una dirección IP externa será rechazado automáticamente por el firewall.

Sin embargo, el protocolo TCP (protocolo que básicamente garantiza la transferencia fiable de datos a través de Internet) se basa en relaciones de autenticación y confianza entre la red de los equipos. Esto significa que para aceptar el paquete, el receptor debe acusar recibo del remitente y éste tiene que acusar recibo de la confirmación.

Modificación del encabezado TCP

La información circula por Internet gracias al protocolo IP, que garantiza la encapsulación de datos en estructuras llamadas paquetes (o más precisamente datagramas IP). Así es la estructura de un datagrama:

La suplantación de una dirección IP implica modificar el campo origen para simular un datagrama que proviene de otra dirección IP. Pero los paquetes en Internet se envían, por lo general, a través del protocolo TCP, lo que garantiza una transmisión 'fiable'.

Antes de aceptar un paquete, el equipo primero debe acusar recibo del paquete enviado por el equipo remitente y esperar que éste acuse recibo de la confirmación.

Relaciones de confianza

El protocolo TCP es uno de los protocolos principales del nivel de transporte de los modelos TCP/IP. En el nivel de aplicación, permite administrar datos que provienen del (o van al) nivel más bajo del modelo (es decir, el protocolo IP).

Aunque use el protocolo IP (que no verifica el envío de datagramas), el protocolo TCP permite la transferencia de datos fiable gracias al sistema de acuse de recibo (ACK) que permite que el cliente y el servidor se aseguren de que se hayan recibido los datos en ambos lados.

Los datagramas IP agrupan paquetes TCP (llamados segmentos) que se estructuran así:

Al enviar un segmento, éste se asocia a un número de secuencia y el intercambio de segmentos que contienen campos especiales (llamados indicadores) posibilita sincronizar al cliente y al servidor.
Este diálogo (que se llama negociación de tres vías) permite iniciar la comunicación que se divide en tres fases, como su nombre lo sugiere:

• Primero, el equipo remitente (el cliente) envía un segmento cuyo indicador SYN está en 1 (para demostrar que es un segmento de sincronización) con un número de secuencia N, que se llama el número de secuencia inicial del cliente.
• En segundo lugar, el equipo receptor (el servidor) recibe el segmento inicial del cliente y luego envía un acuse de recibo, es decir, un segmento cuyo indicador ACK no sea nulo (acuse de recibo) y cuyo SYN esté en 1 (ya que aun es una sincronización). Este segmento contiene un número de secuencia que es igual al número de secuencia inicial del cliente. El campo más importante en este segmento es el de acuse de recibo (ACK) que contiene el número de secuencia inicial del cliente incrementado en 1.
• Por último, el cliente envía al servidor un acuse de recibo, que es un segmento cuyo indicador ACK no es nulo y cuyo indicador SYN está en cero (ya no es más un segmento de sincronización). Su número de secuencia está incrementado y el acuse de recibo representa el número de secuencia inicial del servidor incrementado en 1.

. El equipo con IP suplantada responderá con un paquete TCP cuyo indicador RST (restablecimiento) no será nulo, lo que concluirá la conexión.

Destrucción del equipo con IP suplantada

Al llevar a cabo un ataque de suplantación de una dirección IP, el atacante no recibe información a cambio porque las respuestas del equipo de destino son direccionadas a la red de otro equipo (esto se conoce como ataque a ciegas).

Además, no deja al atacante intentar una conexión ya que sistemáticamente envía un indicador de RST al equipo de destino. Por consiguiente, el trabajo del pirata consiste en invalidar el equipo con IP suplantada al hacerlo inaccesible durante todo el ataque.

Predicción de números de secuencia

Una vez que el equipo con IP suplantada se ha invalidado, el equipo de destino espera el paquete que contiene el acuse de recibo y el número de secuencia correcto. Lo que el pirata debe hacer es 'adivinar' el número de secuencia a devolver al servidor y así establecer la relación de confianza.

Para logarlo, los piratas usan, en general, el enrutamiento de origen, es decir, usan el campo opción en el encabezado IP para indicarle al paquete una ruta de retorno específica. Por lo tanto, gracias al rastreador de puertos, el pirata podrá leer el contenido de los paquetes de retorno.

Basta saber el último número de secuencia enviado para que el pirata trace las estadísticas sobre su incrementación y envíe acuse de recibo hasta obtener el número de secuencia correcto.

Fuente: http://es.kioskea.net/contents/attaques/usurpation-ip-spoofing.php3

"

Virus y Antivirus para Celulares

Virus y Antivirus para Celulares: "

VIRUS PARA CELULARES

Unicos en la red. la coleccion mas grande de virus para celulares de la red.

Contenido:
CommWarrior: Todas las versiones (8 en total)
Cabir: Todas las Versiones (19 en total)
Doombot: 4 versiones
Skudo: 2 versiones
Skull: Todas las versiones (14 en total)
Otros: varios virus desconocidos hasta para mi mas el agregado del Source code de algunos

DESCARGAR VIRUS

--Descripción de los virus--

.......::::::cabir:::::::......

tipo: virus-gusano
so : Symbian


Cabir es, concretamente, un gusano que utiliza las señales bluetooth, y ya se ha expandido por 20 países. Reduce drásticamente la potencia de los teléfonos infectados, y las variantes más dañinas pueden desactivar el terminal, que debe ser reiniciado en un establecimiento especializado.

Cabir se propaga en forma de un archivo llamado Caribe.sis, que se instala automáticamente en el sistema cuando el usuario acepta la transmisión,El virus vuelve a ejecutarse desde otra ubicación, y el teléfono es reiniciado. Igualmente, el virus se ejecutará cuando el teléfono sea encendido, y seguirá activo a pesar de que sea borrado del directorio APPS.

*DESINFECCION:

Para remover el gusano de un equipo infectado, se deberá instalar un administrador de archivos y habilitar la opción para ver archivos en el directorio de sistema.

Luego, buscar en unidades de la A: a la Y: directorios de nombre \System\Apps\Caribe. Una vez encontrado deben ser eliminados los siguientes archivos:

Caribe.App
Caribe.Rsc
Flo.Mdl

Buscar también el directorio \System\Symbiansecuredata\Caribesecuritymanager y eliminar allí los archivos:

Caribe.App
Caribe.Rsc
Caribe.Sis

Bajo el directorio \System\Recogs eliminar el archivo Flo.Mdl.

Dado que el archivo Caribe.Rsc no puede ser eliminado mientras se esté ejecutando, se deberán eliminar todos los otros archivos, luego reiniciar el equipo y por último eliminar dicho archivo.

Finalmente, eliminar el archivo Caribe.Sis del directorio \System\Installs.

....::::::Commwarrior::::::.....

tipo: virus-gusano
so : Symbian



Este gusano poseé las mismas caracteristicas que el cabir pero puede reproducirse por
SMS, MMS, MMS y mandar datos como texto, videos, imagenes etc.
Es el primer gusano con esta capacidad

En algunos modelos de teléfonos, el gusano cambia el logo de la operadora telefónica, por uno propio con el siguiente texto:

Infected by Commwarrior

El gusano tambien puede abrir una página Web con el navegador del celular

modelos afectados:


----Symbian OS Series 60----

Nokia 3650, 3600
Nokia 3660, 3620
Nokia 6600
Nokia 6620
Nokia 7610
Nokia 7650
Nokia N-Gage
Panasonic X700
Sendo X
Siemens SX1

*DESINFECCION:

Eliminación manual

Para eliminar el gusano de un dispositivo infectado, sigue estos pasos:

1. Selecciona la opción 'CommWarrior' de la lista de aplicaciones.

2. Selecciona 'Cancel' (Exit CommWarrior?) y confirma con 'Yes'.

3. Borra la carpeta 'CommWarrior' utilizando el manejador de archivos (file manager):

C:\system\apps\CommWarrior\


Aunque el sistema por defecto se instala en la unidad C, esto puede cambiar en algunos casos.

Si no puedes borrar estos archivos, apaga y vuelva a encender tu dispositivo.

.....::::::Doomboot::::::.....

tipo: troyano
so : Symbian


Doomboot es un troyano que al ejecutarlo automaticamente se descarga el gusano Commwarrior
Doomboot provoca que los teléfonos no se reinicien como debe. Esta diversidad de efectos virales dañan a los usuarios de smartphones de la serie 60 de Symbian, especialmente a los usuarios que utilizan juegos piratas.

Doomboot provoca que el teléfono no pueda reiniciar y Commwarrior provoca tráfico Bluetooth que hace que el teléfono se quede sin bateria en menos de una hora. Si alguien se infecta de Doomboot tiene menos de una hora para darse cuenta y desinfetcarse, de lo contrario perderá todos sus datos

Doomboot puede distribuirse de dos formas, por mensajes MMS y por menajes Bluetooth


*DESINFECCION:

1. Elimina los siguientes ficheros que localizarás en las ubicaciones indicadas:

* C:\Etel.dll
* C:\etelmm.dll
* C:\etelpckt.dll
* C:\etelsat.dll
* C:\system\apps\Cabir AA detected\Cabir AA detected EVS is disinfecting re-boot your phone.rsc - 0 bytes
* C:\system\apps\Cabir AA detected\Cabir AA detected EVS is disinfecting re-boot your phone.MBM - 0 bytes
* C:\system\apps\Cabir AA detected\Cabir AA detected EVS is disinfecting re-boot your phone.app - 0 bytes
* C:\system\apps\Cabir AA detected\Cabir AA detected EVS is disinfecting re-boot your phone.app - 0 bytes
* C:\system\apps\EVS\EVS.aif - 3,245 bytes
* C:\system\apps\EVS\EVS.app - 30,368 bytes
* C:\system\apps\EVS\EVS.rsc - 671 bytes
* C:\system\apps\EVS\EVS_caption.rsc - 60 bytes
* C:\system\apps\EVS\exovirusstop.mbm - 3,961 bytes
* C:\system\apps\velasco\marcos.mdl - 0 bytes
* C:\system\apps\velasco\velasco.app - 0 bytes
* C:\system\apps\velasco\velasco.rsc - 0 bytes

2. Reinicia tu terminal y explora todo la unidad C: con un antivirus para asegurarte de la eliminación del troyano.

.....::::::skudoo::::::.....

tipo: troyano
so : Symbian



Askudoo fecta a dispositivos móviles y opera sobre dispositivos con plataforma Windows CE, J2ME, Symbian, iPhone, Blackberry o Android. Puede ser recibido a través de MMS, vía Bluetooth o descargado a través de páginas web.

es un troyano diseñado para dispositivos móviles, que llegando bajo una apariencia inofensiva, permite en realidad llevar a cabo intrusiones y ataques contra el mismo.

Skudoo no se propaga automáticamente por sus propios medios, pero puede ser recibido a través de mensajes MMS, Bluetooth o ser descargado desde sitios web con contenido malicioso.

.....::::::skulls::::::.....

tipo: troyano
so : Symbian

skulls es un troyano que se camuflagea con el nombre Extended Theme Manager,
induce al usuario a creer que al ejecutarlo podrá crear sus propios temas en su teléfono móvil. Sin embargo, Skulls cambia todos los íconos del teléfono con imágenes de calaveras.

Asimismo, las aplicaciones instaladas en el teléfono no pueden ser usadas una vez que Skulls se ha ejecutado.
Skulls se ha propagado mediante sitios de shareware para teléfonos Symbian.


*DESINFECCION:

Para remover el gusano de un equipo infectado, se deberá instalar un administrador de archivos y habilitar la opción para ver archivos en el directorio de sistema.



1. Ir a c:\System\apps\appinst y borrar
c:\System\apps\appinst
c:\System\apps\menu
c:\System\apps\mce
2. Abre el menú de aplicaciones
3. Busca navegador web
4. Descargar F-Secure Mobile Anti-Virus para su dispositivo
http://www.f-secure.com/wireless/download/
o con el propio móvil: http://mobile.f-secure.com
5. Instale F-Secure Mobile Anti-Virus
6. Inicie F-Secure móvil Anti-Virus
7. Analice su dispositivo para eliminar los archivos que se usan para bloquear el sistema de aplicaciones críticas
8. Ir al gestor de aplicaciones
9. Desinstalar 'Extended Theme.sis'

ANTIVIRUS PARA CELULARES

Simworks Antivirus 1.2.4
NetQin v2.0
Anti CommWarrior v1.0
Kaspersky Antivirus Mobile v2.0.45 Beta2
McAfee Virus Scan v1.11
Symantec Mobile Threats Removal Tool v 1.05
Symantec Mobile Security 4.0
Trend Micro Mobile Security

DESCARGAR ANTIVIRUS

"

¿Qué son y cómo funcionan los troyanos bancarios?

¿Qué son y cómo funcionan los troyanos bancarios?: "

En este documento nos comentan cómo se han depurado las técnicas de captura de usuarios y contraseñas y las de monitorización. Pequeños trucos en los que por ejemplo, avisan que observar la presencia del candado de seguridad en la página de la entidad bancaria y comprobar la autenticidad del certificado de seguridad son insuficientes

La lectura es recomendable para cualquier usuario de Internet, con el que aprenderá las técnicas que emplean los troyanos para monitorizar las visitas a páginas bancarias o cuáles son los métodos utilizados para el robo de sus credenciales, entre ellos:

* Registro de teclas pulsadas
* Captura de formularios
* Capturas de pantalla y grabación de vídeo
* Inyección de campos de formulario fraudulentos
* Inyección de páginas fraudulentas
* Redirección de páginas bancarias
* Man-in-the-middle

Además podremos ver qué sucede con los datos robados y cómo se materializa finalmente el robo.

En definitiva un documento muy interesante para aquellos que no estén familiarizados con este tipo de troyanos y deseen conocerlos un poco más.

Descargar Documento

"

[Tutorial] Como indetectar cualquier malware por codigo

[Tutorial] Como indetectar cualquier malware por codigo: "

Dedicacion:

Antes de comenzar con el tutorial dare gracias a dos webs que en verdad me han servido de mucho en principal a 'Indetectables' que con ella me introduje al mundo del malware y verme motivado porque muchos de los usuarios publican sus propias herramientas….. la otra web es 'hackhound' que aunque no este activo en esa web agradesco mucho a los usuario que ahi es donde aprendo mas leyendo cada post que hacen

Conocimientos Minimos:

Pues antes que nada para poder entenderme bien tendras que tener por lo menos conocimientos de como usar vb6 y entender que es una variable y todo eso que deberias aprender antes de meterte a la programacion en vb6 x]!….

Introduccion al tuto:

Como veo que muchos en Indetectables se dedican a codear y en parte para dejarlos FUD los Modean pero estoy seguro que hay personas como yo que no les gusta Modear por el tiempo que uno hace escaneando con cada antivirus y moviendo de maquinas virtuales …. En fin mi objectivo es que no solo existe esa manera de dejarlo FUD sino que tambien por codigo y a mi parecer la mas facil y rapida ya que moviendo unos cuantos codigos o cambiandolos de nombre podemos sakar muchos Avs ya que varios comparten las mismas firmas de esta manera podrias ahorrarte tiempo ; ) .. I hope u got my point hehe..



Entramos a la guerra:



Ahora si comenzare con el tutorial explicando cada parte y todos los metodos que se para dejar FUD nuestro Stub o cualquiera aplicacion que deseen ;) …….


Encriptando Strings:

Esto es lo mas fundamental de todo el codigo pues ay muchos strings que llevan como texto WINDOWS, System32, textos del registro como HKCU, HKLM y otros …

Hay muchas maneras de encriptarlas les mostrare las que me acuerdo ahora

Ejemplo de string



La parte '.exe' jala algunas firmas y por eso tenemos que enciptarla y podemos ponerla de las siguientes maneras



[1] En este usamos un String Reverse
[2] En este convertimos a Ascii el texto '.exe' :D
[3] Un ejemplo de como usarlo con alguna encriptacion de las cuales hay muchas o alguna propia que tengan

Con todo esto vemos que tan solo moviendo un poco y usando alternativas para algo que sera igual sacaremos firmas :D...



Cambiando Variables:

Muchos de los casos nosotros usamos variables como son las siguientes



Pero lo que no sabemos es que ya muchos de estos son tomadas como firmas para los Avs y por ende son detectadas… ahora en el caso de obviar eso podemos poner algunos valores no muy obvios como lo son en el ejemplo anterior sino como este



Ahora yo no te pido que hagas exactamente como lo acabo de poner solo puse asi como referencia sobre lo que trato de decir… con solo esto puedes quitar muchos avs ahora si te es molestoso trabajar asi pues simplemente pones tus variables normales y al final cuando ya hayas acabado puedes presionar [Ctrl + F] y reemplazar todos por la nueva variable…



Reemplazando Funciones:

Para hacer esto es simplemente buscar alternativas sobre funciones que tengan el mismo proposito un ejemplo muy visto es al momento de hacer un buffer cuando vamos a sacar datos de un archivo esto me sirvio cuando queria tratar de sacar al NOD espero que a ustedes tambien



Modificamos el buffer de la siguiente manera serviria igual pero la estructura del codigo cambiaria ahora si deseas puedes usar Lenfile() por LOF() o otra que sepan ;)





Cambiando nombre de Function y Subs:

Esta es otra manera de sacar unos Avs que nos estan molestando en especial aquellos nombres que tiene algo en referencia al diccionario hack xD



Ahora eh visto que RC4 es detectado bueno en mi caso me ah pasado y lo de sAntis tambien para poder sacar algunos Avs en caso de que estas sean detectadas seria cambiarlo de nombre como este




Y milagrosamente algunos saldran jejeje….


Moviendo el orden de los Subs o functions:

Otra manera es tambien moviendo el orden de las Funciones y Subs ya que hay avs que guardan porcion o estructura de un malware y con tan solo moverlo un poco puede desaparecer la deteccion :D


Ejemplo:






Y moviendo el orden un poco quedaria algo asi





Y si escaneamos pueda ser que salieron 1 o 2 Avs :)….


Agregando codigo basura o Junk Code:

En este caso el significado de Codigo basura o en ingles Junk Code es que añadiremos codigos inservibles a nuestro stub como ejemplo tenemos Loops , Variables, String Values, Ifs , Gotos ……..

Dejare algunos ejemplos de como podrian ser ya cada uno puede hacer el suyo o usar los que dejo



Esto puedes ponerlo como Subs o functions pero otro seria agregarlos dentro de uno como este ejemplo




Agregando Fake Apis a sus modulos:

Esta es con la que podemos sacar AVIRA en los RunPE agregando falsos Apis que haran despistar a los avs :D esto sera interesante para muchos ;)

Ejemplo de declaracion de un RunPE



Y ahora poniendo fakes Apis o simplemente Apis de la libreria como los de graficos, de sonido principalmente los que cualquier Av lo vea inofensivo ;)

Ejemplo ya con Apis




Cambiando nombre de la Carpeta:

Esto si toma gran parte de detecciones poner un proyecto dentro de una carpeta llamada 'Stub' esto lo lleva consigo al momento de compilarlo para confirmar esto abran su stub con bloc de notas y veras la ruta del archivo :D asi que como recomendacion pongan un nombre como Windows, Microsoft que se yo usen la imaginacion x]!




Cambiar de nombre a los modulos, Forms, Modulos de Clase y otros:

Es preferibles que no pongan nombre relacionados al hacking y seria mejor poner nombres aleatorios como lo muestro en el siguiente ejempo




Compilando en disco C:

Hay ciertas firmas que son detectadas y aun asi moficiando partes del codigo no ponemos sacarlas en tal caso una solucion seria compilar el proyecto teniendolo en el disco C: de esa manera sacarias a Kaspersky y a otros con el mismo problema :D




Nombre de Compilado:

Es obvio que poniendo como nombre 'Stub.exe' al compilar sea muy detectado por muchos avs la solucion a esto es poniendo un nombre aleatorio en especial uno no reconocible y ya una vez compilado puedes cambiar el nombre a 'Stub.exe'




Modificando Info:

Esto si es efectivo cambiar el nombre de toda la informacion por nombres aleatorios ya que con esto sera compilado y el Av tambien lo tendra en cuenta al momento de escanear…. este seria un ejemplo de como ustedes pueden hacerlo






Y pues obvio cambiar el texto para cada uno de los tipos de informacion como son Comments…. Company Name…..etc (Mi vb6 esta en ingles :D)



Cambiando Icono:

Esto principalmente es para quitarnos de encima al Avira no siempre funcionara pero ya en un tutorial aparte les enseñare a quitar al avira profundamente en especial del encriptado ;)…...


Pasar Nuestro proyecto a uno nuevo:

Ahora si hemos intentado todo esto y si alguno de los Avs siguen detectando nuestro stub o alguna otra aplicacion lo recomendable es cambiar todo el codigo del proyecto a otro que quiero decir con eso simplemente copiar todos los codigos de los forms, modulos, clases de modulos para pegarlos en otros del nuevo proyecto

Ejemplo:





Conclusion:

Hasta el momento que estuve escribiendo fueron todos estos los que me acorde aunque siento haberme olvidado de algunos …. Pero bueno solo espero que a muchos les haya servido este tutorial y si les ayudo en algo porfavor no se olviden de dar creditos ya que esto lo hago por compartir con ustedes lo que eh aprendido y seria algo lammer que esten diciendo que ya lo sabian cuando no fue asi… pero de todas maneras se que talvez algunos ya los saben pero hay muchos que no y esto va dirigido hacia ellos ya sin mas nada que decir solo espero que hagan FUD sus tools y colaboren con la comunidad :D… Salu2..

Tips Finales

En el caso de que sea un Stub nuestro proyecto les recomiendo que por nada del mundo vayan a usar stub como variable o como nombre de algun form simplemente evita el uso de esa palabra

Posteado por Sm0kes en Indetectables.net

"