Recomendación de Domingo: Cyberhades
Hola!
Muy buenas a todos/as!
Hoy que estamos de Domingo, aunque el artículo no lo esté escribiendo hoy.. quiero recomendaros una de las webs que MAS me gustan, que MAS se actualizan y que MAS temática variada puedes encontrar. Siempre, siempre te sorprenden con material nuevo. Y al menos, a mi, me es imposible poder digerir bien todo lo que exponen, tutoriales que recomiendan etc.. La verdad es que en mi Reader tengo como 20 páginas por leer de ellos, de tutoriales, de cosas de Star Wars.. etc..

Os recomiendo seguir esta web si todavía NO la conocéis.. la verdad es que os dejará helados de la calidad del sitio web.
Además de en el área de seguridad siempre sorprenderte con las últimas noticias, algún que otro análisis de un CFP que hallan pasado, y suelen hacer las explicaciones de manera muy digerible para todos.
Para ir a Cyberhades podéis ir desde aquí:
Empezando con el análisis de malware
Hola!
Muy buenas a todos/as!
Desde que entré a trabajar en el departamento de ecrime en S21Sec sabía que me acabaría tocando analizar malware. Es algo que me tenía bastante intrigado, pues pensaba que solo se basaría en hacer Ingeniería inversa. Y eso me daba pánico, porque es algo que no he echo en mi vida y ya os aseguro que viendo algún compañero de la empresa como lo realiza..da miedo… jeje.
Los primeros pasos que hice para analizar un malware es hacer un análisis de comportamiento del mismo, esto se puede hacer por ejemplo desde una máquina virtual y con un Wireshark capturando el tráfico desde fuera, siempre y cuando el Malware en cuestión no tenga una protección de las que detecta que está siendo ejecutado en una máquina virtual. demás existen software que protegen el ejecutable los llamados packers que dificultan el análisis del binario mediante ingenría inversa, pero eso ya lo veremos mas adelante. En este blog ya he analizado algún que otro Malware viendo que conexiones hacía que ficheros de sistema cambiaba etc..
De eso se trata en parte un análisis de comportamiento de Malware. Yo para la gente que quiera empezar lo haría así:
- Tener una máquina virtual Windows en Host-Only, preferiblemente.
- Tener instalado InstallRite en la máquina virtual.
- Tener capturando la actividad de la tarjeta de red con Wireshark
Estos 3 pasos básicos ya nos pueden dar una idea de que hace el malware en cuestión.
Si recordamos el artículo de analizando morto, la cantidad de conexiones que hacía el troyano, vuelvo a poner la imagen que tenía en el artículo:

Y los cambios que hacía en sistema, por ejemplo con InstallRite

Este artículo de hoy es para comentar dos cosas, la primera es que para los que quieran empezar a hacer análisis de malware no os preocupéis si no sabéis hacer ingeniería inversa, aunque os animo a que aprendáis si os vais a querer dedicar, lo segundo es que analizando como se comporta el troyano en si ya sabemos cual es su modus operandi, si el malware se actualiza, de donde etc..
Así que ánimos
Saludos
Mi asistencia a la RootedCON 2012
Hola!
Muy buenas a todos/as!
Si! Por fin este año podré acceder a las conferencias RootedCON que se celebran en Madrid en 2012.
El primer año, me fue imposible venir, en el segundo compré la entrada pero por temas de trabajo me fue del todo imposible el poder asistir.. la verdad es que me quedé a las puertas además de sin el dinero X).
Pero este año junto con compañeros de la empresa estaremos disfrutando de las jornadas de de la RootedCON que además como cada año las ponencias y ponentes destacan por su calidad.
Las ponencias están confirmadas y la agenda ya está expuesta en la web de la RootedCON
Además estas conferencias sirven para reencontrarse con viejos amigos, como por ejemplo el caso de Lorenzo Martinez este crack editor del blog de Security by Default y que además hace poco estuvo en Mundo Hacker os recomiendo ver el video
Tampoco me olvido de Chemita Alonso, el Maligno que junto Manu, The Sur! Es una de las charlas que MAS me interesa. También contarán con Yago Jesús otro de los editores del blog de Security by Default
Tampoco me olvido de Pedro Sánchez que no pudo dar su charla en la edición pasada, por problemas y como no, mi compañeros Jose Miguel Esparza y Mikel Gastesi que darán una charla de lo que mas saben!
Os copio y pego la agena de la RootedCON:
| Jueves, 1 de Marzo de 2012 | |
| 09:00 – 10:00 | RECEPCIÓN Día 1 |
| 10:00 – 10:20 | Organización RootedCON Keynote Rooted CON 2012 |
| 10:20 – 11:10 | Guillermo Grande y Alberto Ortega Building an IP reputation engine, tracking the miscreants |
| 11:10 – 11:40 | Luis Delgado XMPP, algo más que chat |
| 11:40 – 12:00 | DESCANSO |
| 12:00 – 13:00 | José Miguel Esparza y Mikel Gastesi Social Engineering in Banking Trojans: Attacking the weakest link |
| 13:00 – 14:00 | Juan Garrido Corporate Forensics. Saca partido a tu arquitectura |
| 14:00 – 15:30 | DESCANSO |
| 15:30 – 16:00 | Epsylon XSSer – the cross site scripting framework |
| 16:00 – 17:00 | Yago Jesús Applied Cryptography FAILs |
| 17:00 – 17:20 | DESCANSO |
| 17:20 – 18:20 | Pedro Sánchez Hospital Central. Historia de una extorsión |
| 18:20 – 19:20 | RootedPanel I Fuerzas y Cuerpos de Seguridad del Estado |
| 19:20 – 19:30 | CLAUSURA Día 1 |
| Viernes, 2 de Marzo de 2012 | |
| 09:00 – 10:00 | RECEPCIÓN MAÑANA Día 2 |
| 10:00 – 10:50 | Gerardo García Peña Enfoque práctico a la denegación de servicio |
| 10:50 – 11:40 | Lorenzo Martínez Welcome to your secure /home, $user |
| 11:40 – 12:00 | DESCANSO |
| 12:00 – 13:00 | Carlos Díaz y Fco. Jesús Gómez CMD: Look who’s talking too |
| 13:00 – 14:00 | Jaime Peñalba La curiosidad enjauló al gato |
| 14:00 – 15:30 | DESCANSO |
| 15:30 – 16:30 | Eloi Sanfélix y Javier Moreno Hardware hacking on your couch |
| 16:30 – 17:00 | Pablo San Emeterio WHF – Windows Hooking Framework |
| 17:00 – 17:20 | DESCANSO |
| 17:20 – 18:20 | Chema Alonso y Manu “The Sur” Owning “bad” guys {and mafia} with Javascript botnets |
| 18:20 – 19:20 | RootedPanel II Comunidad de seguridad |
| 19:20 – 19:30 | CLAUSURA Día 2 |
| Sábado, 3 de Marzo de 2012 | |
| 09:00 – 10:00 | RECEPCIÓN Día 3 |
| 10:00 – 10:50 | José Picó y David Pérez Nuevos escenarios de ataque con estación base falsa |
| 10:50 – 11:40 | Sebastián Guerrero Show me your kung-fu! |
| 11:40 – 12:00 | DESCANSO |
| 12:00 – 13:00 | Ricardo J. Rodríguez Mejora en el Proceso de Desempacado usando Técnicas DBI |
| 13:00 – 14:00 | Hugo Teso Inguma 0.5 – Red Wagon |
| 14:00 – 15:30 | DESCANSO |
| 15:30 – 16:00 | RootedForge 2012 |
| 16:00 – 16:50 | Manu Quintans y Frank Ruiz All Your Crimeware Are Belong To Us! |
| 16:50 – 17:10 | DESCANSO |
| 17:10 – 18:30 | Raúl Siles y José A. Guasch Seguridad de aplicaciones web basadas en el DNIe |
| 18:30 – 19:00 | Organización RootedCON Premios CTF |
| 19:00 – 19:10 | CLAUSURA Rooted CON 2012 |
Y hasta aquí el tema de las conferencias, espero veros por la RootedCON
Resolviendo el problema de Firewall en Windows VISTA/7 con VMware
Hola!
Muy buenas a todos/as!
Cuando me encontraba leyendo el libro de Sergio de los Santos “Máxima Seguridad en Windows” sabría que acabaría formateando el ordenador para acabar de instalarlo totálmente seguro y a mi gusto, con las recomendaciones de lo que supone para mi ahora una guía de como configurar un Windows de manera segura y sin antivirus
.
Una de las muchas cosas que cambié es el tema del Firewall que viene integrado con Sistema en Windows 7, por defecto en los 3 perfiles, dominio, público y privado todo me basé en listas blancas para permitir la salida de programas hacia la red. Uno de los problemas que tuve es que, me quedé sin conexión a Internet con VMWare. El problema de VMWare en Windows 7e s que las interfaces de red, vmnet, te las asigna como redes públicas y por lo tanto te quedas sin acceso a Internet.
Una solución para tener conexión a Internet es mediante un script en Power Shell que Windows no asigne las interfaces de red como públicas.

Podemos ver como Windows asigna las interfaces de red como públicas.
Te marca la red como red desconocida

El script en Power Shell es el siguiente:
# see <a href="http://msdn2.microsoft.com/en-us/library/bb201634.aspx">http://msdn2.microsoft.com/en-us/library/bb201634.aspx</a> # # *NdisDeviceType # # The type of the device. The default value is zero, which indicates a standard # networking device that connects to a network. # # Set *NdisDeviceType to NDIS_DEVICE_TYPE_ENDPOINT (1) if this device is an # endpoint device and is not a true network interface that connects to a network. # For example, you must specify NDIS_DEVICE_TYPE_ENDPOINT for devices such as # smart phones that use a networking infrastructure to communicate to the local # computer system but do not provide connectivity to an external network. # # Usage: run in an elevated shell (vista/longhorn) or as adminstrator (xp/2003). # # PS> .\fix-vmnet-adapters.ps1 # boilerplate elevation check $identity = [Security.Principal.WindowsIdentity]::GetCurrent() $principal = new-object Security.Principal.WindowsPrincipal $identity $elevated = $principal.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) if (-not $elevated) { $error = "Sorry, you need to run this script" if ([System.Environment]::OSVersion.Version.Major -gt 5) { $error += " in an elevated shell." } else { $error += " as Administrator." } throw $error } function confirm { $host.ui.PromptForChoice("Continue", "Process adapter?", [Management.Automation.Host.ChoiceDescription[]]@("&No", "&Yes"), 0) -eq $true } <!-- Adkit freestyle placement -->[adkit: zone="freestyle" limit="1" list="0"] <br><br><br> [netshelter]# adapters key pushd 'hklm:\SYSTEM\CurrentControlSet\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE10318}' # ignore and continue on error dir -ea 0 | % { $node = $_.pspath $desc = gp $node -name driverdesc if ($desc -like "*vmware*") { write-host ("Found adapter: {0} " -f $desc.driverdesc) if (confirm) { new-itemproperty $node -name '*NdisDeviceType' -propertytype dword -value 1 } } } popd # disable/enable network adapters gwmi win32_networkadapter | ? {$_.name -like "*vmware*" } | % { # disable write-host -nonew "Disabling $($_.name) ... " $result = $_.Disable() if ($result.ReturnValue -eq -0) { write-host " success." } else { write-host " failed." } # enable write-host -nonew "Enabling $($_.name) ... " $result = $_.Enable() if ($result.ReturnValue -eq -0) { write-host " success." } else { write-host " failed." } }
Este script se ha power shell se ha de ejecutar con Power Shell.

Las redes VMNet se ha de marcar el Y para aplicar la configuración.

ya tenemos las redes como enabled
Y hasta aquí la solución al problema
Saludos!