NetworkMiner, analizando un pcap
Hola!
Muy buenas a todos/as!
Cuando capturamos, por ejemplo, con Wireshark el tráfico de red, el formato de salida es un pcap. Este pcap podemos leerlo con el propio Wireshark o podemos pasarle herramientas y extraer aquella información quenos interese de manera útil.
Una de esas herramientas es NetworkMiner, yo para la prueba he ejecutado un troyano pendiente de analizar y me he guardado el pcap, y ahora veremos la salida del arechivo que ha generado.
Este es el aspecto de NetworkMiner, NetworkMiner nos permite también hacer la parte de capturar el tráfico. Como nosotros ya tenemos la captura ahora sólo tenedremos que abrir el archivo pcap
Aquí podemos ver que el troyano en cuestión ha echo varias conexiones a Wanadoo.
Además podemos observar que por SMTP, ha enviado unas credenciales en texto plano.
Extraemos del pcap las sesiones establecidas, entre ellas SSL y SMTP.
Y las resoluciones DNS.
habéis podido comprobar que con varios clics es sencillo extraer de manera sencilla cierta información del pcap.
Un saludo
Fraude online. Abierto 24 horas
Hola!
Muy buenas a todos/as!
La empresa Informática64 hace tiempo que mediante Chema Alonso, convence a cracks de la seguridad para que puedan plasmar su conocimiento en papel y asi poder trasmitirlo a los demás.
Una inciativa que ya ha enganchado a varios cracks, entre ellos Juan Garrido, Rames o Sergio de los Santos.
Y esta vez les ha tocado a Dani Creus y Mikel Gastesi, dos cracks de e-crime de la empresa S21Sec. Estos dos piezas han pasado mucho tiempo escribiendo el Libro Fraude online. Abierto 24 horas! En libro ya se puede reservar en la web de Informatica64. Pero si quieres conocerlos de verdad y poder preguntarles, ellos van a estar en el Asegúr@IT Camp que se celebra en Madrid el 21,22 y 23 de Octubre.
Así que reserva tu libro ya en Informatica64 y además vente al Asegur@ITCamp en Octubre!!!!
Un saludo
Analizando correo NO deseado
Hola!
Muy buenas a todos/as!
Supongo que todo el mundo que tiene una cuenta de correo alguna vez habrá recibido correo SPAM. Este correo muchas veces es filtrado ppor los filtros de correo, pero en otras ocasiones aparecen en nuestra bandeja de entrada y estos correos pueden llegar a contener virus, o publicidad engañosa.
Dispongo de muchos correos de esos, por lo tanto iré analizando que hacen esas páginas además de analizar algún programa, que te haga descargar la URL maliciosa del correo.
Primero tenemos esta URL.
Lo primero que haremos será pasar la URL por un analizador, en este caso usaremos Virus Total, podemos ver el reporte aquí
Abrimos la URL y miramos que aparece
Si miramos el código fuente podemos ver que cuando accedemos nos redirige a otra web:
You are here because one of your friends have invited you <br>
to try our free trial. <br>
Hurry up! Limited quantity available!<br>
We try to be helpful for you.<br>
Page loading, please wait….
<meta http-equiv=”refresh” content=”4; url=http://gromekha.ru/trial2/”>
Podemos ver al dominio que seremos redirigido.
En este caso, el análisis del dominio es catalogado sólamente por 1 como Phising Site
Si miramos en Robtex, también es catalogado en una blacklist
Si miramos el código fuente de la web que ha sido catalogada en una Blacklist, además de considerarse un sitio de Pishing, podemos ver que hasta tienen cuenta de Google Analytics!!!!!!
var _gaq = _gaq || [];
_gaq.push(['_setAccount', 'UA-19276994-1']);
_gaq.push(['_setDomainName', 'none']);
_gaq.push(['_setAllowLinker', true]);
_gaq.push(['_trackPageview']);
Podemos hacer una búsqueda de esos ID de Google Analytics
¿Significa que todas las webs en la que aparece este código de Analytics será un ñposible Phising?
Quien sabe..
Análisis de comportamiento de un troyano I
Hola!
Muy buenas a todos/as!
Hoy publicaré algo distinto y será el análisis de comportamiento de un troyano. Será algo muy básico iré avanzando conforme me vaya informando del tema.
Este artículo lo que haré será poner wireshark y ver las conexiones que establece el troyano, además de luego con process explorer y installrite ver los cambios que han habido en el sistema después de la infección con el builder.
Lo primero antes de hacer ninguna infección es guardarme con installrite un snapshot del registro y archivos del sistema para luego poder comparar los cambios, además de hacer un snapshot de la máquina virtual claro.
Una vez que me he infectado por el troyano arranco Wireshark y veo que el troyano intenta conectarse al servidor “maligno”.
Podemos ver las peticiones que haría el troyano en caso de querer conectarse al servidor desde donde enviará los datos se descargará actualizaciones etc.. Como el servidor no existe no recibe respuesta alguna, en la próxima entrega veremos como envía los datos capturados y más cosas.
Ahora con process explorer vemos el proceso que ha abierto el troyano.
Podemos ver en esta imagen varia información. No tiene asociado ningún proceso padre, debería de ser explorer.exe.
Además el command line aparece una sorpresa server.exe. A simple vista con process explorer sin mirar los detalles parecería un proceso legítimo. Sólo que yo no tenía ningún Internet Explorer abierto, además de que revisando los detalles puedo ver perfectamente la infección.
Si lo comparamos con un proceso de Internet Explorer legítimo:
Podemos ver correctamente el proceso padre, además de que la ruta en el command line es el correcto. Y, si miráramos process explorer veríamos que crea un proceso en otro hilo, y no crea desde un proceso padre varios procesos hilos. 
Y ya con Installrite vemos que han habido cambios y a destacar entre ellos vemos que se ha añadido el archivo server.exe.
Podemos ver el server.exe en Datos de Programa
Y hasta aquí un brevísimo análisis de comportamiento.
Un saludo
