Tengo mucho material acumulado, solo falta el tiempo de escribirlo, hoy me encontré con un virus en la PC de mi mamá, el cual venía de un contacto seguro…. el mail estaba en portugués (muy común en sudamérica recibir noticias de este tipo desde Brazil ) así que lo miré un poco y dije, no puedo seguir acumulando información para postear luego, lo hago ahora! y acá estamos…

Este es el mail que puede que reciban:

Igual eu te falei aquele dia e voce nao quis acreditar. Amigo a gente conta no dedo!
Veja só o que seu amiguinho andou aprontando nessas fotos.

DSC02421.jpg (568,3 KB)
DSC02521.jpg (603,4 KB)

Obviamente esas “imágenes” con links a los ejecutables correspondientes… que son el mismo, aunque parezca que son de distinto tamaño, son para despistar

Los ejecutables apuntan a esta dirección: http://ads.sapo.pt/event.ng/Type=click&FlightID=90951&AdID=169189&TargetID=6167&ASeg=&AMod=&Segments=8,69,154,526,527,688,1343,2130,2884,3325,3747,4552,4663,4778,4932,4963,4971,5065,5081,5088,5117,5152,5165,5169,5200,5295,5301,5508,5549,5557&Targets=246,5389,704,6167&Values=31,43,51,60,72,84,90,91,100,110,150,193,204,209,376,978,1036,1097,1100,1399,1436,1459,1478,1488,1489,1733,1754,1819,1863,1922,1941,2020,2174,2230,2863,2869,2956,2993,3322,3533,3576&RawValues=&Redirect=http://www.givinbeauty.com/UserFiles/File/photos.php?0.19325211365355321

Esta es una redirección la cual nos lleva a: http://www.givinbeauty.com/UserFiles/File/photos.php?0.19325211365355321

Ahí es donde se encuentra el ejecutable.

Si indagamos más en esa web, parece una web “normal”:

Veremos más abajo que hay una opción login… si la hackearon, fué por ahí, subieron el ejecutable y lo reenvían por mail para que se infecten, como veremos utilizaron otra web para redireccionar en este caso  http://ads.sapo.pt/event.ng/.

Bien, bajamos nuestro virus y lo observamos con Peid y encontrará que está comprimido con UPX (UPX es un compresor no un packer como muchos andan diciendo por ahí, eso es un error de concepto).

Así que bajamos el UPX y con la opción -d (descomprimir) tendremos nuestros virus descomprimidos.

Si abrimos el EXE veremos un string como este:

.rdata:00414BA8 0000000B C WINRAR.SFX                                                     
.rdata:00414BCC 00000039 C d:\\Projects\\WinRAR\\SFX\\build\\sfxrar32\\Release\\sfxrar.pdb

Para los que aún no se dan cuenta que significan estas dos referencias, éstas significan que son ejecutables autoextraíbles de WinRAR. ¿Necesitamos descomprimirlos con Olly?

No no, si tenemos el WinRAR instalado, hacemos botón derecho y lo descomprimimos en una carpeta.

Nos dejará un archivo llamado: loader.jar

Como verán esto es una aplicación JAVA! hemos sacado algunas capas de la cebolla…

Podemos hacer uso de WinRAR una vez más para descomprimir el JAR de JAVA, ya que estos son comprimidos con ZIP. Así que hacemos botón derecho y extraer a una carpeta.

Nos devolverá estas carpetas:

Si miramos las carpetas con letras, nos encontraremos con el trabajo de nuestro creador del virus, el virus en sí.

Ahora vamos a lo mejor, decompilar los .CLASS. Para los que no saben los .CLASS son archivos de JAVA compilados, son como el famoso código objeto (.OBJ).

Estos archivos son interpretados por el classloader de JAVA y son ejecutados como una aplicación más.

Creo que el creador de este virus lo hizo en JAVA para pasar mejor desapercibido ante los antivirus.

Tenemos muchos decompilers de archivos CLASS de JAVA uno de los más conocidos es el DJ JAVA Decompiler, lo pueden bajar de acá.

Una vez que lo instalemos y usemos el keygen, podremos abrir nuestro .CLASS que está en la carpeta a, por ejemplo.

Veremos los imports, algunos interesantes y otros no tanto:

import b.d;
import by.squareroot.injector.lib.MyKernel32;
import by.squareroot.injector.struct.Context;
import by.squareroot.injector.struct.MemoryBasicInformation;
import by.squareroot.injector.struct.ProcessInformation;
import by.squareroot.injector.struct.StartupInfoA;
import by.squareroot.injector.struct.TotalProcInfo;
import by.squareroot.injector.struct.WoW64Context;
import by.squareroot.injector.struct.pe.MZHeader;
import by.squareroot.injector.struct.pe.PEInfo;
import by.squareroot.injector.struct.pe.PE_ExtHeader;
import by.squareroot.injector.struct.pe.PE_Header;
import by.squareroot.injector.struct.pe.SectionHeader;
import com.sun.jna.Platform;
import com.sun.jna.Pointer;
import com.sun.jna.platform.win32.Advapi32Util;
import com.sun.jna.platform.win32.WinReg;
import java.io.BufferedInputStream;
import java.io.BufferedOutputStream;
import java.io.File;
import java.io.FileOutputStream;
import java.io.IOException;
import java.io.InputStream;
import java.net.URL;
import java.nio.ByteBuffer;
import java.util.Properties;

Los primeros son los más interesantes obviamente, veremos que son clases hechas con ayuda de un amigo de nuestro creador denominado squareroot.

Si buscamos un poco el nombre de la clase, el nick del creador y la palabra class, nos encontramos con un sitio ruso que ofrecía bajar: build___00002469.jar que aparentemente contenía este mismo contenido.

No debemos rendirnos ahí (hay que aprender a buscar como nos enseño el gran +Fravia – QEPD) buscaremos un poco más encontraremos una referencia en este stitio que parece ser de un reverser como nosotros: http://www.inreverse.net/?p=1551

Alguien nos puede iluminar un poco con que estamos tratando…. si leemos un poco ese artículo para luego continuar con este podemos concluir dos cosas:

1. El creador de este virus usó la misma técnica y recursos que el virus JAZeus para infectar a sus víctimas.
2. Es una variante de JAZeus o la versión original.

Yo en cierta manera opto por la primer opción ya que el dropper (ejecutable que descomprime y deja el virus en un lado para ejecutarlo luego) es diferente a la versión JAZeus que analizó nuestro amigo Donato Ferrante ( ratsoul ) de www.inreverse.net.

La estructura de nuestra variante es muy similar a la de JAZeus, podemos verlo en la imagen del artículo de ratsoul que pongo acá para que no busquen allí:

Veremos que la clase Launcher no se encuentra en nuestro paquete de injector… y tampoco el paquete crypt. Pero si encontraremos lo mismo en el paquete data.

En JAZeus aparentemente los dos .EXE están cifrados, en nuestra variante, solo app.exe está cifrado y dummy.exe no, lo podemos ver simplemente abriendo el EXE y viendo su cabecera.

Si debuggeamos dummy.exe veremos que se trata de otro dropper hecho en C++ que buscara desencriptar app.exe, buscando el metodo de cifrado en el archivo method y luego usando ese parámetro para descifrarlo y ejecutarlo.

Aparentemente el método de desempaquetado de este virus es el mismo a como lo hace JAZeus, con la variante que no tiene el launcher.

Por lo que veo el launcher esta unificado en a.class ya que ejecuta app.exe luego de desencriptarlo desde ahí dentro. El paquete injector se encarga del armado y la injección en memoria del ejecutable para la ejecución del virus real.

En el método a de la clase a, veremos que se pone al inicio para arrancar cuando arranca nuestro SO:

s = a(“data/app.exe“);

b.a a1 = a();

try

{

if((obj = a()) != null)

{

String s1;

if((s1 = ((Properties) (obj)).getProperty(“hklm“)) != null)

{

String s2 = a();

Advapi32Util.registrySetStringValue(WinReg.HKEY_LOCAL_MACHINE, “SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\“, s1, s2);

}

String s3;

if((s3 = ((Properties) (obj)).getProperty(“hklu“)) != null)

{

obj = a();

Advapi32Util.registrySetStringValue(WinReg.HKEY_CURRENT_USER, “Software\\Microsoft\\Windows\\CurrentVersion\\Run\\“, s3, ((String) (obj)));

}

}

}

Como podemos ver encontraremos otros trozos de código interesantes, para encontrar nuestro virus deberemos desencriptar app.exe.

Al no tener el launcher se hace un poco dificultoso, ya que no podemos parchearlo para desencriptar app.exe, así que les dejo la tarea de seguir destripándolo a ustedes.

Lo más importante es que encontramos como funciona de que se trata, para frenarlo al menos deberemos sacar esa llave de registro.

Si llegara a ser un JAZeus tendremos algunos problemas más de seguro, igualmente podremos encontrar el método de cifrado 3DES como string en los demás .CLASS, además de una posible clave, frase muy utilizada como demo de post en blogs, etc.

Espero que les haya gustado y volveremos por más en poco tiempo.

Saludos!

convert this post to pdf.

Caliente video, ¿no?

Me ha llamado la atención que youtube califica este vídeo como no apto para menores y desde su página necesitas confirmar tu edad para verlo, pero, si embebemos el video en una web (por ejemplo esta) no hay ningún tipo de control.

El contenido continua alojado en youtube, ¿deberían controlar el acceso?; ¿deberíamos hacerlo nosotros?

El debate queda abierto xD

convert this post to pdf.

1.- Creo mi perfil noukeys y, como vemos en estas imágenes y escribo un comentario.

2.- Bueno hasta hay todo normal. Pero, ¿que pasa si cambiamos ciertos campos en nuestro perfil? Vamos a ver . . .

Pues el efecto óptico es muy bonito, parece que el admin nos esta dando la bienvenida!.

¿Suplantación de identidad?

¿Debería WP limitar ciertos nombres en ciertos campos?

¿Podemos considerarlo un fallo de seguridad?

Prefiero no pronunciarme, pero el efecto es cuanto menos curioso …

Un saludo y hasta el próximo _POST

convert this post to pdf.

Audio un poco malo, sorry

En breve actualizare el post con los videos que se muestran en la conferencia

convert this post to pdf.

Bajar fuentes, complementos y juego:

OllydumpFORMAT druglord DrugLTrainer

convert this post to pdf.

El método que propongo esta basado en timing analysis, pero no sobre el tiempo de ejecución de determinadas instrucciones, sino que sobre los tiempos de acceso a memoria. Se han utilizado técnicas similares para detectar VMMs (incluyendo VT). Un método conocido es medir el tiempo de acceso a memoria con cache on/off, por lo general el VMM no permite desactivar el cache, entonces si ambas mediciones dan resultados similares significa que estamos dentro de un entorno virtual.

A diferencia de esa técnica, la manera que he encontrado no requiere ring0 y además es bastante sencilla. Claro que tiene ciertas limitaciones, no sirve para detectar cualquier VM, solo aquellas que implementen samepage merging (hasta ahora solo hice pruebas con KVM-KSM y VMware).

Supongo que tendré que explicar un poco en que consiste esto del samepage merging (desde ahora SM porque soy vago). El SM esta muy relacionado con el CoW (Copy on Write). Básicamente se trata de un thread que periódicamente recorre la memoria y une todas las páginas cuyo contenido es exactamente el mismo. Una vez unidas las páginas, el resto del proceso es exactamente un CoW, se comparte la misma page frame y se marca la página como read-only, cuando se intenta realizar una escritura, el manejador de excepciones se encarga de asignar una nueva página.

Este tipo de estrategia es bastante costosa por lo que no se suele utilizar sobre toda la memoria del sistema operativo. Sin embargo es muy tentador utilizarla en entornos virtualizados ya que se ahorran cantidades considerables de ram, el beneficio es máximo cuando se corren varios guests simultanea-mente.

En linux disponemos de KSM (Kernel Samepage Merging), este se puede activar y desactivar en el vuelo. Cualquier versión reciente de KVM saca provecho de KSM si se encuentra activado. La idea original sobre este tipo de tecnologías parece pertenecer a VMware y al parecer hubo ciertos problemas de patentes con KSM, lo importante a destacar es que si podemos aprovecharnos de KSM seguramente también podemos hacerlo de VMware.

Ya con todo esto un poco explicado, algunos deben estarse preguntando que pasaría si medimos los tiempos de acceso a memoria antes y después de que el KSM (o VMware) actue sobre la memoria del guest. Es justamente lo que vamos a averiguar 

Ver código fuente smdetect.cpp

Ahora se compila con: g++ -O3 smdetect.cpp -o smdetect
Funciona tanto en linux como en windows (mingw).

Ahora unas gráficas con los resultados en distintos entornos:

Las gráficas corresponden a 10 ejecuciones de smdetect por cada entorno. Si todo fuera perfecto deberían ser lineas horizontales, pero factores externos como la carga del sistema hacen variar bastante los resultados.

Se puede apreciar una diferencia notable entre los casos donde no hay VMM y en los que la hay. Un caso curioso se da con OSX, donde la diferencia es apenas un 100% estando más cerca de los resultados donde no hay VMM. Incluso en una prueba llego a dar ~30% lo cual lo hace un target muy dificil de detectar.

Mirando las gráficas y sin considerar OSX, podriamos establecer un umbral de 150% para la detección. Incluyendo los datos de OSX he decidido utilizar un 98%, aún asi pueden darse falsos negativos en OSX y un umbral tan bajo podría llegar a dar falsos positivos si se dan ciertas condiciones.

Conclushion!

Tenemos un nuevo método, que si bien no es 100% confiable, puede ser utilizado de forma práctica y es posible refinarlo mucho más. Una posibilidad es la utilización de heurísticas para ajustar el umbral en función a información sobre la carga del sistema. Otro tema pendiente es la enorme espera que hay que realizar entre mediciones, pero esto no creo que sea un impedimento para muchos autores de malware…

Aquí se acaba 

erg0t

http://www.48bits.com/

convert this post to pdf.

Todo es derivado como postdata y no logra analizar de manera correcta las consultas secundarias en una consulta viva.

Download del video explicativo.

convert this post to pdf.

Para los que no lo conozcan, es un sitio muy interesante para compartir libros electrónicos, donde podremos registrarnos y subir nuestro contenido también.

Podemos leer libros online también, se los recomiendo, pueden encontrar cosas muy interesantes.

En un momento digo: “bueno quiero bajar algo de lo que encontré…”

Busco en la página, y sobre el libro que estaba leyendo, encuentro un link que decía “Download”, genial! vamos a bajarlo.

Me aparece una pantalla donde me pide mi login, si no lo estamos podemos registrarnos ahí inmediatamente y luego introducir los datos de registro para logearnos y bajar nuestro libro.

Me dió tres opciones (depende del libro) deja bajarlo en PDF, DOC o TXT.

Me atrajo más el PDF obviamente, me parece más compacto y elegante que un DOC, etc…

Hasta ahí todo perfecto… sigo leyendo, busco otro libro, me interesa y digo, genial! vamos a bajar este también… no todo en la vida es color de rosa:

Una vez más… otro límite a la información… ahora deberemos subir contenido para bajar nuestro SEGUNDO PDF!, y aparentemente sólo es con los PDF’s… he probado con los DOC y TXT, no hay límites… Adobe, ¿estás limitando esto? espero que no…

De igual manera, como lo dice el título de este post, Scribd no entiende mucho de internet… “probemos algo sencillo” me dije… sinceramente creyendo que no sería tan simple, había un plan B igual (proxy Web )…

Simplemente eliminé las cookies, como no tenía ninguna otra sesión de otra web abierta, no me interesó borrar todas las cookies, así que así lo hice…

Volví a probar haciendo click en download, eligiendo el formato PDF, y adivinen, voilá! he aquí nuestro SEGUNDO PDF en nuestras manos.

Obviamente, lo podremos hacer N veces, llegaremos a la última pantalla que les mostré, borraremos las cookies, volveremos a hacer el procedimiento de download y listo, es nuestro en PDF, tal como lo queríamos…

Seguramente, que  también muchos dirán “ok, pero lo bajo en DOC y lo convierto a PDF…”, es una solución perfecta, pero ¿para qué hacerlo si Scribd puede hacerlo por nosotros con solo borrar las cookies?

Por lo visto, Scribd deberá buscar algunas otras técnicas si quiere evitar que esto sea tan sencillo, o simplemene, dejar que todos bajen los PDF’s que quieran, simplemente lo harán de una u otra forma.

Hay gente que no entiende que una de las características de la naturaleza de la información es que ésta debe ser libre… por algo siempre hay un punto donde siempre se fuga, ¿no es así?

Un saludo!

convert this post to pdf.

Se suponía que internet es un centro enorme de información para que todos podamos compartir todo, ¿no?, pero parece que seguimos “atándonos” a la triste realidad informativa que nos atormenta, mostrando algunas cosas para algunos y otras para otros…

Dattatec está ofreciendo el servicio de registrar tu sitio en un montón de buscadores de manera gratuita, es un excelente servicio!

Se me vino el mundo abajo cuando vi que desde mi país podía darlo de alta en algunos buscadores y pasando por un proxy web podía darlo de alta en el doble de buscadores más… no entiendo cuál es el motivo de restringir acceso a ciertos buscadores dependiendo del país de donde se accede…

He aquí el ejemplo:

El servicio desde la ip de mi país (Argentina).

El servicio desde un proxy web con ip de Estados Unidos:

Bueno nada, más de lo mismo, deberemos abrir los ojos para ver la intención final de algunas compañías, es una lástima, es un buen servicio… espero que recapaciten y se abran un poco más, ofreciendo a todos, todo lo que hacen, por igual.

Nos vemos en el próximo post.

convert this post to pdf.

Les dejo la información, que aparentemente es muy vital para poder obtener datos relevantes de un sitio construido con Joomla.

Los dos tipos de vulnerabilidades encontradas fueron:

• Full Path Disclosure
• Session Malformed Poisoning

Para poder ver como funciona el bug, podemos mirar el video aquí.

Pueden ver el Poc desde aquí (renombrar a .RAR).

convert this post to pdf.