Mini Guía para analizar malware Online

Este fin de semana me encontraba algo “inspirado” razón por la cual voy a publicar una Mini Guía para poder analizar el malware de forma Online.

Sin duda alguna no quiero que se considere esta guía como una verdad absoluta, porque analizar el malware es todo una ciencia ya que el verdadero malware es diseñado por gente muy capaz en el tema y la única limitante para ellos es su creatividad… o en su caso su habilidad para programar.

Por otro lado cabe destacar que con esta guía nos evitaremos muchos dolores de cabeza a la hora de ejecutar software de dudosa procedencia, o archivos extraños que nos pasan algunos amigos por el MSN.

Como comentario me gustaría recomendarle a mis lectores que no ejecuten software de dudosa procedencia o en su caso siempre revisen las extensiones de los archivos que ocupen.

Dejando a un lado la parte ¿aburrida? Comencemos en forma con nuestra guía.

Como analizar Malware Online

A estas alturas se supondrá que el lector ya tiene una ligera idea de lo que es malware, pero para no meternos en problemas con los fanáticos diremos que el malware es cualquier software  que puede modificar la forma en que trabaja nuestra computadora con fines meramente maliciosos.

Una vez partido de esta semidefinicion es de mencionarse que en las plataformas Windows los binarios o archivos ejecutables son los causantes de la mayoría de los problemas con respecto a los usuarios “domésticos” ya que a veces este tipo de Archivos dependiendo de donde hayan sido descargados se encuentran infectados por virus o malware en general.

Ahora la pregunta del millón ¿Cómo analizar los exe’s desconocidos?

Para ello vengo a proponerles dos alternativas de uso gratuito para poder examinar malware online ya que a veces puede que nuestro antivirus no realice bien su labor o que no se encuentre correctamente actualizado.

La primer alternativa para analizar malware online es virustotal.com , una página que analiza tu ejecutable online con 44 antivirus. Básicamente es una muy buena alternativa ya que nos permite “tener diferentes opiniones” con respecto a un mismo ejecutable.

virustotal
virustotal

Simplemente una herramienta espectacular teniendo en cuenta que es gratis. Además de que las personas de virustototal.com a la hora de tu enviar un archivo, ellos también  envían el mismo a las respectivas firmas antivirus para poder tener un mejor radio de detección.

En la imagen siguiente muestro el análisis de un archivo descargado de Taringa.

virustotal-2
virustotal-2

 

La segunda alternativa para poder analizar malware online seria ocupar la herramienta nombrada Anubis del departamento de IsecLab que básicamente es una herramienta que te permite analizar Binarios desconocidos.

anubis-malware
anubis-malware

La bondad de esta herramienta es que te da un reporte detallado de absolutamente todo lo que hace el ejecutable dentro del sistema desde las entradas del registro de Windows que modifica hasta el uso de las librerías DLL que usa el ejecutable sin duda alguna un reporte demasiado completo,  incluso hasta te da una captura de pantalla del software ejecutándose.

Además tienes la opción de una vez generado el reporte poder descargarlo en PDF para futuras referencias.

Yo personalmente he analizado un ejecutable de Taringa, así que si desean ver el reporte completo pueden revisarlo en el siguiente enlace.

Sin duda alguna una  muy útil y lo mejor de todo es que es completamente gratuita.

iPAD un dispositivo muy seguro segun SSI-UNAM

seguridad-ipad

Recientemente me encontraba navegando por la pagina seguridad de la UNAM y mirando en su boletín di con un articulo un tanto interesante, espero les sea útil.

El iPad es uno de los dispositivos más seguros que puedes usar. Su combinación de seguridad en hardware y software se traducen en que sea problablemente el dispositivo más seguro si se compara con la PC o Mac, especialmente si tomas las medidas correctas para asegurarlo.

Debido a que actualmente no hay ataques remotos conocidos contra iPads, el mayor riesgo de seguridad es perder físicamente el dispositivo. Por lo tanto, el primer paso es asegurarte que los datos de tu tableta están a salvo en caso de que se pierda o sea robada. Para eso sugiero una combinación de cifrado y borrado remoto.

Contraseñas y cifrado

Todos los iPad vienen con un poderoso hardware de cifrado, pero es necesario habilitarlo. La forma más sencilla de hacerlo es ponerle una contraseña a tu iPad: Tan pronto como lo hagas, todos tus datos serán automáticamente cifrados. Para habilitar la contraseña ve a – Ajustes / General / Bloqueo con Código – y luego teclea una clave de 4 dígitos. Si quieres estar aún más seguro, puedes apagar la opción de Código simple en la misma página y podrás usar contraseñas más largas. Ya estando ahí, también deberías seleccionar – Solicitar contraseña por no más de 15 minutos – y encender Borrar datos. (Técnicamente, el iPad borra tu llave de cifrado, no los datos, es más rápido e igual de efectivo).

Todos los dispositivo modernos iOS también vienen con una segunda capa de cifrado llamada Protección de Datos. Mientras que el cifrado básico, habilitado mediante la selección de una contraseña, protege todos los datos del dispositivo (incluyendo tus aplicaciones), ésta puede pasarse por alto mediante el jailbreak. Protección de Datos cifra tus correos y sus adjuntos; no puede ser descifrada aún si la contraseña es despojada con Jailbreak. Protección de Datos también está disponible para los programadores en sus aplicaciones, pero pocos sacan provecho de ella. (Por el momento, no se ha hecho jailbreak para el iPad2, así que el cifrado básico sigue siendo seguro, pero eso probablemente no durará para siempre).

FUENTE: http://www.seguridad.unam.mx/noticias/?noti=4712

Google espía tus emails con Gmail

En ocasiones suelo ocupar alguno de los servicios de “La Bestia” como es el caso de Google Apps , donde para ser más específicos ocupo el servicio de Gmail para mi dominio.
Y recientemente redactando un email para un cliente me di cuenta que Google espía descaradamente cada palabra de lo que escribo en el email, a continuación una prueba de lo que digo:

En definitiva no creo que Google sea el unico que haga este tipo de cosas, pero si el unico del cual me he dado cuenta 🙂

La botnet Zeus ahora su codigo fuente al alcance de todos

Sin duda alguna como la mayoría sabrán  la creación de malware se ha ido incrementando en los últimos años, ya que la mayoría de los coder’s ya no solo codean  por “la satisfacción personal de saber que pueden hacerlo” si no que ahora ya absolutamente todo es hecho para percibir dinero.

Como sabrán la botnet Zeus ha sido catalogada como una de las botnets mas “peligrosas” por así decirlo…. (En definitiva no creo que sea la más peligrosa).

Si aun no están enterados de ¿Quién es la botnet Zeus? Les invito a ver el siguiente video, así como un artículo muy bueno de segu-info.ar

Artículo en Segu-info.com.ar sobre la Botnet Zeus


 

Y el salto a la fama que ha tenido en los últimos meses ha sido impresionante ya que es considerada como una de las botnets más mediáticas. Esto se logro gracias a que el creador de la botnet ofrecía muchas mejoras con respecto al crimeware  “tradicional” y ofrecía de forma regular actualizaciones así como módulos para personalizar tu botnet. Ahora sí que como quien dice: un TODO EN UNO del crimewire.

El costo de la Botnet variaba… dependiendo de quien la vendiera, ya que incluso había resellers de la botnet (según parece TODO un negocio…)

Zeus-botnet

Lo curioso es que ahora el código fuente de la misma ha sido filtrado y hecho público, y lo más curioso del asunto es que al parecer es verdadero, no es FAKE. Sin duda alguna yo no sé porque, ni cómo es que el código se filtro, lo único que sé es que el source está libre en internet y esto desde mi perspectiva…. Acarreara muchos problemas..

Porque si nos ponemos a pensar, ahora cualquier Script Kiddie   podrá robar y tener su ejército de zombies.

Sin duda alguna esto no es del todo bueno, pero pues que le vamos a hacer… Simplemente tener un poco mas de precaución ya que todo apunta a que la Botnet Zeus regresa “Recargada”.

Y como el código ahora es público, pues procedo a compartir el Código Fuente de la Botnet Zeus.

http://www.megaupload.com/?d=TR5ZW69D pass zeus

Cabe aclarar que el enlace no es mío, fue obtenido de un foro underground  así que dense prisa ya que el enlace no creo que este mucho tiempo online.

Como Bypassear un formulario de Contacto y de paso Joder a un webmaster

Recientemente me encuentro aprendiendo PHP (un lenguaje muy interesante por cierto) y una vez en la sección de formularios con PHP, me pregunte: ¿Qué tan fácil será bypassear un X formulario utilizando PHP? La respuesta es… nada difícil (hasta para mí que soy un novato).

Primero que nada para esto necesitaremos una página de prueba … y un script prefabricado por ser los más vulnerables ya que la mayoría de los webmasters nunca los revisan a detalle … Por azares del destino emplearemos el script llamado “FormMail”  que es uno de los más populares así como los mas “protegidos ” que he encontrado.

Ahora a lo que nos interesa hacer el bypass, primero que nada podemos hacer una búsqueda  por medio de la técnica Google Hacking para encontrar potenciales víctimas, o si ustedes ya han elegido alguien pues … mal por el XD. La keyword a ingresar en Google es:  intitle:”FormMail v1.92″ una vez que tengamos ubicada a una víctima, lo que haremos será navegar por el source y ver cómo es que hacen las peticiones al script.

Si ocupan firefox una vez en la sección de contacto de la página basta con presionar en su teclado Crtl + U y después Crtl + F e ingresar form, por lo que veremos una sección como esta:

bypass-formulario

Después de ubicar donde se encuentra alojado el script probaremos que el mismo se encuentre funcional, para hacerlo tan solo deberán ingresar a la URL completa donde se encuentra alojado el script (http://www.victima.com/cgi-bin/FormMail.pl), si el mismo se encuentra operacional veremos algo como lo siguiente:

bypass-formulario-2

De ser así estará listo para joder al webmaster un rato… Aunque eso depende… ya que me imagino que habrá uno que otro gandalla que podría acabarse el límite de emails de ese host XD

Como podemos ver el script es llamado por medio del método POST (en teoría más seguro que GET), ahora lo que resta seria hacer es programar un script en PHP al cual nosotros le pasemos los parámetros del script por POST desde un localhost y poder así enviar los emails. Yo lo implemente por medio de Sockets en PHP y me resulto.

bypass-formulario-3
 
En definitiva considerare el hecho de subir o no el code ya que esto es un poco polémico. Pero la pista ya se las di…

Por si no lo han notado para enviar emails en este script tienen que hacer un pequeño truco por que el script bien protegido  para que no cualquiera pueda hacer uso de él, ya que si no codeamos el script adecuadamente nos mandara un error del siguiente tipo:

 bypass-formulario-4

Donde nos indica que no estamos autorizados para usar el script ya que el script trae entre sus opciones una variable llamada @referrers donde se indica que solo algunos ciertos dominios pueden hacer uso del script. Eso no es del todo difícil saltárselo… la clave está en poner los headers del dominio original y voala formulario bypasseado.

Solo bastaría incluir ese code en un for … y listo. No abusar mucho, ni joder en demasía al webmaster… Ya que puede ser causa de que después se enojen, como fue el caso de un frikie-amigo.

Bytez!

La superconexion a internet, Mi razon de estar AQUI

Para los que no lo sabían… dexter_one nació por la necesidad de tener una conexión a internet! A este apasionante mundo de infinitas posibilidades…

Todo comenzó cuando en sus tiempos de Dial-UP (qué tiempos aquellos) yo tome la decisión de a como fuera lugar lograría tener internet ilimitado y de forma gratuita…

Pase de tener Dial-UP gratuito, a tener wifi gratuito y en estos instantes internet de cable Gratuito. La pregunta es: ¿Qué me deparara el destino ahora?

No lo sé… Pero me complazco en “presumirles” mi actual conexión, y pensar que todo comenzó con un… “LO QUIERO”.

PDTA: las mejores cosas de la vida son como el sexo: “sin son gratis saben más ricas”.

superconexion-a-internet

superconexion-a-internet-2

Sacar certificados por wifi para un cablemodem SBG900

En esta ocasión quiero mostrarles como poner online un modem Motorola SBG900, esto debido a que en México el viejo método de las Mac’s ya no funciona. O al menos no con el ISP de cablevisión que recientemente se encuentra implementando DOCSIS 2.0 en toda la ciudad.

Gracias a los amigos de sbhacker.net(ingles)  y forocable.com(español) he aprendido esto y cabe aclarar que esto es con fines meramente educativos, no me hago responsable por el uso que se le pueda dar a esta información. 

 Para ello necesitaremos: 

*1 modem SBG900 para experimentar
*1 Modem SBG900 para clonar
*Software InSSIDer o netstumbler
 

InSSIDer- http://www.metageek.net/products/inssider/
Netstumbler – http://www.netstumbler.com/downloads/

*Software Clonacertis – http://depositfiles.com/files/4odp6nivr  [Enlace no funcional]

Enlace actualizado 21/01/2014 gracias a @Alex: https://mega.co.nz/#!W1ZjlLyQ!bmEjLy0QTfsc7pxQNDZKEhu6uZ8J4p70LitDVluLk3g
*Mucha paciencia

 Esta forma en la cual obtendremos el certificado para nuestro querido ISP con DOCSIS 2.0 consistirá en tomar prestados los certificados de algún otro cablemodem.

NOTA: Como los certificados deberán ser usados en diferente nodo con respecto a donde fueron obtenidos, se recomienda hacer esto con una laptop.

1.- Procedemos a instalar algún software para escanear las  redes wifi cercanas. En dado caso de que tengan Windows XP les recomiendo netstumbler o si tienen Windows Vista o Seven les recomiendo InSSIDer ya que netstumbler no funciona en Windows XP.

2.- También procederemos a instalar el software clonacertis.

3.- Una vez instalados ambos software procederemos a iniciar el software InSSIDer (por que yo uso Windows 7)  para escanear las redes wifi a nuestro alrededor, como se observa en la siguiente imagen:

uncapp-sbg900

Donde se observa que el Vendor no lo reconoce como Motorola si no como Gemtek Technology, con esto ya sabremos que se trata de un SBG900 y lo mejor de todo es que no tiene ninguna seguridad habilitada o sea que la red se encuentra abierta.
En dado caso de que la red se encuentre cerrada con WEP pueden buscar en google como romper el WEP, hay miles de manuales al respecto.

4.- Si la red está abierta procederemos a conectarnos o si está cerrada… pues la abrimos y nos conectamos. Para comprobar que nos hemos conectado adecuadamente procederemos a ir a nuestro navegador favorito e ingresaremos: 192.168.100.1
Si aparece una imagen como la que se muestra a continuación, habremos encontrado un SBG900 🙂

sbg900

5.- Procederemos a ejecutar el software clonacertis como se observa en la siguiente imagen:

clonacertis-sbg900-1

 6.- Daremos clic en la opción Guardar certificados en PC

clonacertis-sbg900-2

 7.- Esperemos a que reinicie el SBG900 y veremos el progreso del software. 
clonacertis-sbg900-3

8.- Nos pedirá darle nombre al certificado a guardar y listo.

clonacertis-sbg900-4

9.- Si no hay inconveniente alguno el clonacertis hasta el final les dirá que ha guardado los certificados adecuadamente.

clonacertis-sbg900-5

En este paso ya tendremos el SBG900  de nuestros vecinos clonado, listo para cargarlo a un SBG900 que nosotros tengamos inactivo.

NOTA: cabe mencionar que los certificados que obtengan los deberán obtener de una localidad distinta a donde pondrán a funcionar su SBG900.
En pocas palabras obtener un certificado de un NODOS DISTINTO AL SUYO, ya que si ponen ese certificado en el mismo nodo NUNCA FUNCIONARA ya que estarán reiniciando al SBG900 de pago.

10.- Una vez que tenemos nuestros certificados en nuestra PC, procederemos a cargárselos a nuestros SBG900

11.- Para ello iniciaremos nuevamente el clonacertis y le daremos clic en la opción de cargar certificados en Modem.

12.- Nuevamente nos reiniciara nuestro SBG900

13.- Si todo va bien nos pedirá a ruta del certificado a insertar.

14.- Seleccionamos el certificado y dejamos que el clonacertis funcione.

15.- Si no hay algún error el clonacertis nos dirá que ha cargado el certificado sin problema.

clonacertis-sbg900-6

16.- Listo ya tendremos un certificado de un modem 100% legal.

Teniendo internet gratis de Infinitum en menos de 1 minuto

Recientemente me puse a navegar en la sección de wireless de elhacker.net y recordé momentos nostálgicos cuando me tenía que estar días con la laptop prendida para capturar paquetes IVS para poder romper redes y estar conectado al wifi del vecino.

En aquellos entonces se tenían que juntar poco más de medio millón de paquetes para romper la seguridad WEP (la más baja por cierto…), ahora con tan solo 10,000 he llegado a vulnerar algunos routers.

Pero eso no es todo, cada vez romper una contraseña wep es más fácil, como nos lo demuestra el software desarrollado por el GRAN EQUIPO de seguridadwireess.net denominado Stkeys que es capaz de romper una password wep en menos de 1 minuto.

Este software lo que hace es descifrar el algoritmo pre generado en los routers Thomson proporcionados aquí en México por Telmex, el algoritmo descifrado se basa en el ESSID (nombre que transmite la red Wifi).

internet-gratis

Si desean conocer los detalles del Software y la investigación pueden visitar el hilo en elhacker.net: http://foro.elhacker.net/hacking_wireless/routers_thomson_caso_espanol_redes_wepwpa_%93speedtouchxxxxxx%94_al_descubierto-t208312.0.html

¿Quién no se ha encontrado una red del tipo INFINITUMXXXXXX? Supongo que todos…

¿Entonces ahora imaginen romper su seguridad en menos de un minuto? Pues esto es posible, tan fácil como descargar el software de su mirror oficial.

Y una vez descomprimido ejecutarlo en nuestra consola:

internet-gratis-infinitum-telmex

Después de una vez generadas las “posibles” contraseñas, ya solo nos queda atinarle a ver si nos genero una valida… Joder, creo que nos tardaremos mas en ingresar la contraseña que el tiempo en la que nos la genero el software.

Y de nuevo gracias a los CRACK’s de seguridadwireless.net que gracias a ellos incursione en el mundo del wifi.

Saludos!