PE Explorer es el programa con más funciones para inspeccionar el funcionamiento interno de su propio software y, lo que es más importante, las bibliotecas y aplicaciones de Windows de terceros para las que no tiene código fuente.
PE Explorer le permite abrir, ver y editar una variedad de diferentes tipos de archivos ejecutables de Windows de 32 bits (también llamados archivos PE) que van desde lo común, como EXE, DLL y controles ActiveX, a los tipos menos familiares, como SCR ( Salvapantallas), CPL (paneles de control), SYS, MSSTYLES, BPL, DPL y más (incluidos los archivos ejecutables que se ejecutan en la plataforma MS Windows Mobile).
Descripción general de LAPS: LAPS (Local Administrator Password Solution) es una herramienta para administrar contraseñas de administrador local para computadoras unidas a dominios. Almacena contraseñas / secretos en un atributo confidencial en el objeto de directorio activo correspondiente de la computadora. LAPS elimina el riesgo de movimiento lateral al generar contraseñas aleatorias de los administradores locales. La solución LAPS es una extensión del lado de la directiva de grupo (CSE) que se instala en todas las máquinas administradas para realizar todas las tareas de administración.
Los administradores de dominio y cualquier persona que tenga control total sobre los objetos de computadora en AD pueden leer y escribir ambas piezas de información (es decir, contraseña y fecha y hora de caducidad). La contraseña almacenada en AD está protegida por ACL, le corresponde a los administradores de sistemas definir quién puede y quién no puede leer los atributos. Cuando se transfiere a través de la red, tanto la contraseña como la marca de tiempo están cifradas por kerberos y cuando se almacenan en AD, tanto la contraseña como la marca de tiempo se almacenan en texto claro.
Componentes de LAPS: Agente - Extensión de cliente de directiva de grupo (CSE) Registro de eventos y generación de contraseñas aleatorias Módulo PowerShell Configuración de la solución Directorio Activo Objeto informático, atributo confidencial, registro de auditoría en el registro de seguridad del controlador de dominio
En primer lugar, identificaremos si se ha instalado la solución LAPS en la máquina en la que nos hemos posicionado. Aprovecharemos el cmdlet de powershell para identificar si existe el admpwd.dll o no.
El siguiente paso sería identificar quién tiene acceso de lectura a ms-Mcs-AdmPwd. podemos usar Powerview para identificar a los usuarios que tienen acceso de lectura a ms-Mcs-AdmPwdt.
Si RSAT (Remote Server Administration Tools) está habilitado en la máquina víctima, existe una forma interesante de identificar que el usuario tiene acceso a ms-Mcs-AdmPwd. Simplemente podemos disparar el comando:
Retefe unpacker Este es un resumen sobre cómo implementar un desempaquetador para las versiones actuales (en el momento de la publicación) del malware bancario Retefe.
Recursos sobre la amenaza:
El troyano bancario de Retefe aprovecha el exploit de EternalBlue en campañas suizas La saga de retefe Invertir Retefe Nueva versión de Retefe Banking Trojan usa EternalBlue Históricamente, parece haber alguna variación en las formas en que el malware ha almacenado su carga útil de javascript. Algunas fuentes mencionan archivos ZIP autoextraíbles y otros datos XORed. La versión actual utiliza una clave XOR de 4 bytes que se genera según la longitud de los scripts y algunas operaciones matemáticas que se realizan en ella. El post Reversing Retefe de aproximadamente dos meses atrás (2018-11-08) muestra el uso de una clave XOR de un byte que indica que el actor de amenazas ha cambiado su código base después del lanzamiento de ese post. Esta publicación se realiza con la intención de arrojar algo de luz sobre la forma actual en que Retefe almacena su carga útil.
Mirar la imagen binaria asignada con IDA muestra una gran cantidad de datos no explorados que se encuentran en el segmento .data.
Nueva versión de CryptoTester para el análisis de #ransomware. v1.3.0.0 trae una copia fija, la capacidad de pegar / editar el hexágono de entrada, mostrar la clave generada, encontrar claves PGP en exe y agregar SharpAESCrypt. .NET 4.6.1+ requerido ahora.
Aquí os dejo el Unhackme para que podáis echarle un vistazo a vuestros equipos en busca de rootkits de sistema. Incluye la versión portable, solo hay que registrarlo y listo para usar.
[Jiska Classen] y [Dennis Mantz] crearon una herramienta llamada Internal Blue que pretende ser una navaja suiza para jugar con Bluetooth en un nivel inferior. La base de su herramienta se basa en tres funciones que son comunes a todos los conjuntos de chips Broadcom Bluetooth: una que le permite leer memoria arbitraria, que le permite ejecutarla y otra que le permite escribirla. Bueno, eso fue fácil. El resto de su trabajo fue analizar este código y aprender a reemplazar el firmware con su propia versión. Eso les llevó unos meses de duro trabajo de reversión.
Al final, Internal Blue les permite ejecutar comandos en una capa más profunda, la capa LMP, que permite monitorear e inyectar fácilmente. En una serie de demostraciones en vivo (¡y exitosas!), Exploran un Nexus 6P de un Nexus 5 modificado en su escritorio. Aquí es donde comenzaron a buscar en la pila de Bluetooth de otros dispositivos con conjuntos de chips Broadcom, y ahí es donde empezaron a encontrar errores.
Como suele ser el caso, [Jiska] solo estaba hurgando y encontró un controlador de código externo que no hacía la verificación de límites. Y eso significaba que podía ejecutar otras funciones en el firmware simplemente pasando la dirección. Ya que esencialmente están llamando a funciones en cualquier ubicación de la memoria, encontrar qué funciones llamar con qué argumentos es un proceso de prueba y error, pero las ramificaciones de esto incluyen al menos un bloqueo y restablecimiento del módulo Bluetooth, pero también pueden generar tales trucos. como poner el módulo Bluetooth en el modo "Dispositivo a prueba", que solo debería ser accesible desde el propio dispositivo. Todo esto es antes de vincularse con el dispositivo: solo pasar por allí es suficiente para invocar funciones a través del controlador de buggy.
En Linux tienes un Backup (Bookmarks.bak) de tus marcadores en la ruta: ".config/google-chrome/Default/" y en Windows: "AppData\Local\Google\Chrome\UserData\Default"