Después de un tiempo de inactividad del blog he decidido empezar con un tema que calculo les va a servir a ustedes...


El tema de infecciones es algo que está afectando en la actualidad y pues les quiero mostrar el primer ejemplo, es del cual hablaremos hoy...


Infección Vía MSN, cuantas veces no les ha pasado que alguien le dice algo como:



Hubo un Accidente en la puerta de mi casa mira las fotos


y a continuación nos mandan un archivo .zip o .rar con las supuestas fotos o sino


Mira las fotos de la fiesta :s no te ves tan bien...


y a continuación nos mandan un .zip o un .rar


Ahora les voy a explicar como funcionan estas técnicas... y como yo las usaría masomenos.




Bueno para empezar nosotros debemos saber algo básico... las Apis de MSN para hacer el malware...


Explicación de Apis de MSN click aquí y aquí


Bueno ahora si miren lo que pasa es que normalmente estos malwares no son muy creíbles entonces debemos usar algo que convenza a la gente en especial si son hombres...


un ejemplo:


Mira las fotos que me conseguí de la mamasita de megan fox

y a continuación el envio del RAR o ZIP que contenga esto...


otro punto clave que tenemos que tener claro es que el RAR debe tener siertas cosas claves en la configuración según con que los queremos infectar...


En el caso de que fuese un virus de pharming hay técnicas de como ocultar archivos en los .rar de tal manera que al descomprimir automáticamente se sobreescriba el archivo hosts y otras cosas que es algo de lo que voy a hablar pronto pero por ahora vamos a ver otra cosa que haremos con la infección...


Bueno hemos creado nuestro malware que se reproduce por MSN y ahora solo falta que poner en el .rar bueno miren, hay grupos de ciber delincuentes que se dedícan a la amenaza y extorción de web sites por ejemplo:


Encontramos un RFI en una web subimos una Shell y leugo le decimos al dueño que nos de dinero o la defaceamos, esto lógico causa una malestar en el webmaster y se niega, horas despues, la página cae, algo asi es para lo que se usa este tipo de malware...


Se los conoce como BOTNETS, digamos que es una RED de Computadoras que estan a la disposición de un mismo "master", entonces como funciona esto... el Master le mando a 500 personas su malware, luegos estas 500 se la mandaron a dos cada uno osea dos cayeron por que se ve como el anterior ejemplo, lo de megan fox, ahora asi va creciendo la botnet, una vez que se tiene un número prudente de computadoras zombies se procede a extorcionar a la gente... La siguiente conversación es Real solo sustituyo los nombres para no afectar a nadie...


Extorcionador dice:
* Eres el Admin de XXXXXXXXXXXXX.XXX?

Admin dice:
* Si por?

Extorcionador dice:
* Resulta que necesito dinero y tu me lo vas a dar
* en el caso que te reuses cago tu site

Admin dice:
* de qe me hablas????

Extorcionador dice:
* Puedo sacar tu sitio de internet en cuanto se me de la gana pero si quieres que siga en internet entonces necesito 40€

Admin dice:
* jajaja quisiera ver eso

Extorcionador dice:
* Mira tu sitio ahora mismo -.-

Admin dice:
* como mierda hiciste eso, dejame en pax yo no he hecho nada como para que me cagues mi sitio webon que te pasa

Extorcionador dice:
* no es personal necesito dinero y me lo vas a dar o no

Admin dice:
* no



Después de dos días el Admin le pagó los 40 Euros que le pidió, lo que hacía era usar el ancho de banda de todas sus computadoras zombies para hacerle un ataque de D.d.o.S (Distributed Denial Of Service) a su víctima...



Bajo un procedimiento como este muchos delincuentes hacen de las suyas, pronto pondré medidas que se deben tomar para no sufrir de este tipo de ataques y como evitar ser infectado y formar parte de una BOTNET...



PD: Pido disculpas por no poner nada pero he andado ocupado, pronto comenzaré a poner posts de calidad nuevamente :)


Saludos
Dr.White...

Muchos ya conoceran el tutorial sobre las shells de mi amigo _84kur10_, pueden verlo desde su fuente original desde AQUI.




Solo queria agregar a su excelente tutorial, otro tip.,

"Bypassear safe_mode y Mod_security" para movernos mucho mejor en una shell y asi evitar problema. Dense cuenta que es un mini-tutorial que solo muestra los codes necesarios.



Muchos tienen problemas con las Shells, porque no pueden hacer varias cosas que nos interesan, ya sabemis por que (Safe_Mode y Mod_Security), ¿Como se yo que el servidor los tiene activado?, pueden notar (dependiendo de la shell) arriba de la shell, que puede decir:



Safe_Mode = ON

Mod_Security = ON



Desactivar Mod_Securirty




Buscamos por la shell, el fichero .htaccess y añadimos el siguiente code:





Actualiza y ve xD...



Desactivar Safe_Mode




Ahi varios modos, pero el mas facil es modificar Php.ini:







Para conocer un poco mas podemos leer:



* Tips (PhpShells) que son y como subirlas by _84kur10_ (Aunque ya lo puse arriba)




* Leer sobre Safe_Mode y Mod_Security en servers.


Autor: Zero Bits


Mail: Zero_Bits@GobiernoFederal.com



PD: En los ultimos tutos no eh dejado mi email pero aqui esta ^^
...

Bueno debo admitir que es una "buena" técnica de phishing la que han usado pero que mejor que ustedes mismos la vean, debo disculparme a su vez por estar escribiendo tan poco en el blog lo que pasa es que ando con muchos trámites por mi colegio, pero bueno ahora si primero una previa...


Bueno el Phishing Trata de que han intentado usar muchas veces mi pregunta secreta y para atacar por el lado psicológico el mail me lo envian con Advertencia 1, advertencia 2 y asi cosa que te confunden :p mm bueno algo asi se veia el mail:





mmm bueno luego si entramos vemos algo como:





Bueno la cosa es que ustedes si lo ven o por lo menos una persona que ve el mail lo puede creer ya que es recibido de:

Windows Live Hotmail (member-services@live.es)


y como ven en la anterior imagen pues dice algo creible y el link se ve bastante creible pero vamos a ver algo:





Eso es lo que muestra la barra del mozilla firefox cuando pongo mi mouse sobre el link... (es la barra donde dice: Esperando, Terminado, Cargando, etc, la barra inferior).


Bueno la cosa es que ahora si ya sabemos que no es del dominio de MSN que nos llega... asi que vamos a verle el código fuente al mensaje a ver que podemos ver...


Bueno como yo no marque como seguro el mensaje no se podía ver la imagen en donde muestro el mensaje pero igual les muestro la URL de la Imagen:



<p><img src="http://img46.imageshack.us/img46/2883/windowslivet.png" width="175" height="23" /></p>



Miren eso... como se dan cuenta dudo mucho que hotmail use las imagenes en imageshack... quien quiera que haya hecho esto ya cometió su primer error... ahora mas código "extraño"


<a href="http://mailive.es/default/am9zZW56dEBob3RtYWlsLmNvbQ.html">http://mail.live.com/ppsecure/?u=am9zZW56dEBob3RtYWlsLmNvbQ==&p=aHR0cDovL3d3dy5hcHBsZS5jb20vZXMvaXBob25lLw==&id=MTcxNjQ4&lng=es&n=amFqYSBwYXJlY2Uga2Ugc29zIHZpdm8gZWg/IDpQIGJ1ZW5vIHNhbHVkb3MgYSB0dSBzZfFvcmEgOlA=&x=aXBob25l</a>



ahí está la parte clave... nos muestran un link y nos lleva a otro... y que si damos click veamos que hace nuestro navegador:





Bueno he intentado acceder al sitio pero ni con proxy puedo acceder al parecer se los han bajado o algo por el estilo, igual que mejor ejemplo que este para que vean como son algunos que te atacan no solo con el phishing sino también por el lado psicológico dandote algunas cosas como Advertencia 1 y usar contadores para saber cuantas te van enviando...


Creo que esto también les puede servir de ayuda para sus presentaciones aquellos que quieren mostrar temas como este... espero les sirva la entrada ;)


Saludos
Dr.White...

Bueno el Perverths0 hizo los retos de DragonJAR mi team fue el team negro y fue el ganador, la próxima semana los retos serán hechos por nosotros, los pondré aquí también por si alguno de ustedes lo quería resolver...


Básicamente los retos fueron http hacking... Cambiar una cabecera cambiar el method y bueno los dos últimos eran Saber Programar y algo de Ingeniería Inversa...


La tool que usé fue BurpSuite V1.3 pero ustedes pueden usar una variante que prefieran, vean el Video y comprenderán...

Resolver reto Número 3 de DragonJAR V1 from SeguridadBlanca on Vimeo.

Bueno espero les sirva ;)


PD: Como se que si ven solo el Tercero se Perderan les dejo el link de los retos igual...

http://96.31.90.70/retodragonjar/retodragonjar/

esos son los retos ;) diviertanse si lo quieren pasar y la web no es peligrosa osea es parte de los retos...


Saludos
Dr.White...

Bueno la comunidad hispabyte, excelente comunidad tenía como portal MkPortal, haciendo unos tests pude sacarle un FPD, ya está reparado pero de todas maneras les dejo el video de como muchas veces hay software conocido con el que podemos sacar rutas locales del servidor, esto puede servir a la hora de una auditoría en el caso que a nivel web no encontremos errores críticos, no se olviden siempre de poner los display errors en off y pues filtren este tipo de bugs...


aca les dejo un videito que hice...

Full Path Disclosure from SeguridadBlanca on Vimeo.

...

Jbyte hace unos dias me mostró esta t00l ya que tenía tiempo sin visitar pentester y no le tome mucha importancia por que pensé que era un simple botnet pero era mas que eso, esta t00l es una especie de botnet que a la ves te permite atacar a tu victima por Ejecución de Código JavaScript; esta t00l se llama BeEF como les dije permite atacar a travéz de código JavaScript, es una t00l que te facilita la inyección y ejecución de este tipo de código aun lo estoy probando pero está muy interesante, te facilita el uso de este tipo de ataques...



aquí un pequeño Gráfico de su uso, está bien explicado...





Tiene una interfaz que hace fácil el uso, se las muestro a continuación:




Los de Pentester dan una mejor explicación de su funcionamiento que yo me limito a no determinar ya que lo he usado solo un rato apenas llevo dos horas con el programita... y pues me gustaría que lo prueben conmigo ya que al parecer está bueno...


Click aquí para ver en pentester


lo interesante de esta t00l es que te permite seleccionar un par de módulos con los cuales podamos hacer explotación de software local de la pc que atacamos, overflows, ejecución de código remoto y este tipo de ataques...



Aqui les presento unas cuantas diapositivas donde se muestra un poco del uso de este software...






Saludos
Dr.White...

Hoy quiero tratar de dar unas pautas del motivo por el cual es tan fácil engañar gente para que nos de su clave de msn con phishing...


En primera, vamos a hacer la comparación con como se ve facebook un login...


facebook:

http://www.facebook.com/login.php


Hotmail:

http://login.live.com/login.srf?wa=wsignin1.0&rpsnv=11&ct=1263246246&rver=6.0.5285.0&wp=MBI&wreply=http:%2F%2Fmail.live.com%2Fdefault.aspx&lc=3082&id=64855&mkt=es-es


Análisis de los login... el de Hotmail pues como nos damos cuenta está en un subdominio, nos da variables cualquieras, tiene una especie de variable que llama al sitio http://mail.live.com/default.aspx o convoca por algún motivo o algo.


Gracias a Esto podríamos usar una técnica conocida como URL OBFUSCATION, ahora les voy a dar un ejemplo de como podriamos hacer eso

digamos que nos compramos el dominio liives.com o compramos loginlive-account.com algo por el estilo ahora vamos a ponerle un sub-dominio a nuestro dominio comprado


http://msn.loginlive-account.com

ahora subimos nuestro SCAM

http://msn.loginlive-account.com/windows/msn/messenger/connect/index.php

OFUSCADA:

http%3A%2F%2Fmsn%2Eloginlive%2Daccount%2Ecom%2Fwindows%2Fmsn%2Fmessenger%2Fconnect%2Findex%2Ephp

Otra opción:

http://0/wind%6fw%73/ms%6e/mes%73eng%65r/%63o%6ene%63t/i%6e%64ex.%70%68%70


Como ofuscamos:

http://www.keyone.co.uk/tools-url-encoder.asp

o sino:

http://funkyfilters.com/url/obfuscation/


Eso en cuestion al Login...


Ahora las actualizaciones de imagenes, por ejemplo yo siempre ando probando las nuevas cosas que me entero que salen entonces por ahí, en mi msn tengo mucha gente y por ahí escucho nuevo SCAM de Facebook entonces yo digo mm ¿nuevo? lo que pasa es que Facebook en muchas ocaciones cambia el lugar donde hostea sus imágenes, lo hacia mas seguido antes pero ahora no tanto, esto es como una medida de seguridad...


Otro aspecto que hace tan vulnerable a hotmail son las páginas del tipo www.quienteadmite.com en esta página se supone que se da el servicio de ver quien te tiene bloqueado, la gente no conocedora del tema se logguea y ve quienes le han dado a no admitir y pues gracias a esto muchos tienen sus messengers pero otros también entran.

este ha sido un pequeño análisis de por que es tan común robar cuentas de msn...


Saludos
Dr.White...

Perverths0 el Dueño de CuscoSoft ha decidido realizar un concurso para que la gente vote y decida quien es el mas amante de la seguridad informática en perú, ya estoy propuesto como candidato y me gustaría mucho ganar, no para la fama sino para saber realmente si hay gente que me considera, espero ustedes voten por mio, la competencia estoy seguro será fuerte, pero no me rendiré, se trata de competir no te ganar pero si gano no me quejo.


Espero contar con su voto, solo deben votar por mi en cuscosoft también si lo desean pueden proponer sus candidatos para que ganen, aún no se si habrá mas premio que el nombramiento pero para mi eso sería suficiente...


Espero Voten Por Mí...


Visiten Cuscosoft es muy buena página

Saludos
Dr.white...

A la larga todo lo que yo les he enseñado o recordado estoy seguro queles ha servido por lo menos de algo, pero así como hacemos las cosas manuales también hay herramientas que nos facilitan las cosas, durante el año 2009 hablé de algunas de ellas pero aquí les voy a dar una lista de las que yo les recomiendo...


SqlBFT00ls


UDP Flooder


IRS Scanner de Servicios Activos


Rainbow Tables Cracker


Ip-T00ls


Brutus AE


AirCrack Windows


AirCrack Linux


Win Arp Watch


RPVS


Shadow Security Scanner


Nessus


h-edit


Acunetix Web Vuñnerability Scanner


las herramientas que no encuentren aquí pueden buscarlas en google pero estas son de las mejores que no he mensionado...


Espero les sirvan estas herramientas...


Saludos
Dr.White...

Feliz Navidad

Les Deseo Feliz navidad a todos los lectores de SeguridadBlanca y a Todo el mundo en general, espero la pasen muy bien en estas fechas, que la pasen con sus seres queridos y que no se les olvide de practicar todo lo que han aprendido y pues Feliz Navidad de nuevo...



De Camilo Galdos AkA Dr.White || Dédalo --> SeguridadBlanca

Para: El Mundo


Con esta entrada no quiere decir que voy a dejar de escribir en el año o en el día igual escribiré pero quiero desearles una muy feliz navida...



Saludos
Dr.White

...