El error de seguridad afecta a Chakra, el motor de javascript que impulsa a Edge, de una manera que podría permitir que un atacante se ejecute en el código arbitrario de la máquina con los mismos privilegios que el usuario registrado.
PE Explorer es el programa con más funciones para inspeccionar el funcionamiento interno de su propio software y, lo que es más importante, las bibliotecas y aplicaciones de Windows de terceros para las que no tiene código fuente.
PE Explorer le permite abrir, ver y editar una variedad de diferentes tipos de archivos ejecutables de Windows de 32 bits (también llamados archivos PE) que van desde lo común, como EXE, DLL y controles ActiveX, a los tipos menos familiares, como SCR ( Salvapantallas), CPL (paneles de control), SYS, MSSTYLES, BPL, DPL y más (incluidos los archivos ejecutables que se ejecutan en la plataforma MS Windows Mobile).
Descripción general de LAPS: LAPS (Local Administrator Password Solution) es una herramienta para administrar contraseñas de administrador local para computadoras unidas a dominios. Almacena contraseñas / secretos en un atributo confidencial en el objeto de directorio activo correspondiente de la computadora. LAPS elimina el riesgo de movimiento lateral al generar contraseñas aleatorias de los administradores locales. La solución LAPS es una extensión del lado de la directiva de grupo (CSE) que se instala en todas las máquinas administradas para realizar todas las tareas de administración.
Los administradores de dominio y cualquier persona que tenga control total sobre los objetos de computadora en AD pueden leer y escribir ambas piezas de información (es decir, contraseña y fecha y hora de caducidad). La contraseña almacenada en AD está protegida por ACL, le corresponde a los administradores de sistemas definir quién puede y quién no puede leer los atributos. Cuando se transfiere a través de la red, tanto la contraseña como la marca de tiempo están cifradas por kerberos y cuando se almacenan en AD, tanto la contraseña como la marca de tiempo se almacenan en texto claro.
Componentes de LAPS: Agente - Extensión de cliente de directiva de grupo (CSE) Registro de eventos y generación de contraseñas aleatorias Módulo PowerShell Configuración de la solución Directorio Activo Objeto informático, atributo confidencial, registro de auditoría en el registro de seguridad del controlador de dominio
En primer lugar, identificaremos si se ha instalado la solución LAPS en la máquina en la que nos hemos posicionado. Aprovecharemos el cmdlet de powershell para identificar si existe el admpwd.dll o no.
El siguiente paso sería identificar quién tiene acceso de lectura a ms-Mcs-AdmPwd. podemos usar Powerview para identificar a los usuarios que tienen acceso de lectura a ms-Mcs-AdmPwdt.
Si RSAT (Remote Server Administration Tools) está habilitado en la máquina víctima, existe una forma interesante de identificar que el usuario tiene acceso a ms-Mcs-AdmPwd. Simplemente podemos disparar el comando:
Retefe unpacker Este es un resumen sobre cómo implementar un desempaquetador para las versiones actuales (en el momento de la publicación) del malware bancario Retefe.
Recursos sobre la amenaza:
El troyano bancario de Retefe aprovecha el exploit de EternalBlue en campañas suizas La saga de retefe Invertir Retefe Nueva versión de Retefe Banking Trojan usa EternalBlue Históricamente, parece haber alguna variación en las formas en que el malware ha almacenado su carga útil de javascript. Algunas fuentes mencionan archivos ZIP autoextraíbles y otros datos XORed. La versión actual utiliza una clave XOR de 4 bytes que se genera según la longitud de los scripts y algunas operaciones matemáticas que se realizan en ella. El post Reversing Retefe de aproximadamente dos meses atrás (2018-11-08) muestra el uso de una clave XOR de un byte que indica que el actor de amenazas ha cambiado su código base después del lanzamiento de ese post. Esta publicación se realiza con la intención de arrojar algo de luz sobre la forma actual en que Retefe almacena su carga útil.
Mirar la imagen binaria asignada con IDA muestra una gran cantidad de datos no explorados que se encuentran en el segmento .data.
Nueva versión de CryptoTester para el análisis de #ransomware. v1.3.0.0 trae una copia fija, la capacidad de pegar / editar el hexágono de entrada, mostrar la clave generada, encontrar claves PGP en exe y agregar SharpAESCrypt. .NET 4.6.1+ requerido ahora.
Aquí os dejo el Unhackme para que podáis echarle un vistazo a vuestros equipos en busca de rootkits de sistema. Incluye la versión portable, solo hay que registrarlo y listo para usar.
¿en python? veamos, en principio es un script, así que salvo tenga instalado python no se ejecutará, ni hablar que para hacer el keylogger, la captura, etc debes usar otras bibliotecas que también deben estar instaladas. supongamos que creas un exe para que no este python instalado, el exe es enorme y además necesita otras dependencias. en resumidas cuentas, salvo que lo hagas de forma manual en la pc victima es un proyecto bastante malo el que intentas. Para eso te conviene algún lenguaje compilado, tipo asm, c, C##,etc. y sino en script vbscript o powershell que vienen de forma nativa con windows.
Te adjunto la cita de tincopasan porque el proyecto te puede dar quebraderos de cabeza como bien se explica....
Tienes razón, el foro ha pegado un bajón muy drástico. Como ya ha dicho .:UND3R:., este tema se ha hablado varias veces en el foro de colaboradores y nunca ha surgido nada nuevo. Mira Underc0de con una media de 4.000 visitas diarias y no tiene mucho contenido nuevo que digamos. En éste foro se postean más dudas sobre programación con sus respectivas soluciones que en underc0de. Necesitamos contenido nuevo y fresco, pero para ésto hace falta crear nuevos posts para poder subir nuevamente y ser el foro que fue en su día Hace falta mucha colaboración que por el momento no hay como puedes ver.
De responder respuestas no vivirá jamás el foro, irá muriendo poco a poco. Es una pena porque lleva 16 años online, los que arriman el hombro terminan quemaqndose con el tiempo, y eso creo que es por falta de contenido y colaboración por parte del staff. El único moderardor que postea a diario s wolfbcn y de noticias jamás se sostendrá el foro.