El documento describe varios métodos para crear y propagar virus de computadora, incluyendo encriptación, mutaciones, evasión de detección, actualizaciones automáticas y escondites en el sistema ("rootkits"). También discute técnicas de ingeniería inversa y explotación de vulnerabilidades para infectar sistemas.
Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]RootedCON
¿Qué hacer cuando se publica una nueva vulnerabilidad en un servicio que utilizamos? Veremos una vulnerabilidad reciente, analizaremos el método de explotación y aprenderemos a proteger nuestro servidor vulnerable.
Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]RootedCON
¿Qué hacer cuando se publica una nueva vulnerabilidad en un servicio que utilizamos? Veremos una vulnerabilidad reciente, analizaremos el método de explotación y aprenderemos a proteger nuestro servidor vulnerable.
Rubén Rodenas & Rubén Garrote - TLOTA - The lord of the ATMs [rooted2017]RootedCON
Los cajeros automáticos o ATM (Automatic Teller Machine) son dispositivos cercanos y accesibles a la gente, que permiten la extracción de dinero en efectivo, el ingreso de efectivo en cuenta, así como operaciones entre cuentas. Es por esto que se convierten en un objetivo muy claro para los delincuentes. En nuestro caso nos centramos en los ciberdelincuentes y hacemos un recorrido completo sobre cuáles son los métodos que utilizan, el escenario en el que se encuentran y la exposición de los ATMs ante ellos. Así como un repaso sobre la estructura interna de un ATM, su funcionamiento a nivel de aplicación, vulnerabilidades encontradas durante las auditorias realizadas por los ponentes, además de analisis de malware publico dirigido a estos dispositivos. En la ponencia se tratará de realizar una demo in situ sobre la extracción de dinero, con TLOTA (software a medida para dominarlos a todos) de un cajero físico que se tratará de llevar el día de la ponencia.
Plática sobre utilizar diferentes técnicas para detener a scanners de seguridad y a la gente que los usa sin pensarlo.
Impartida en CISI 2018, DragonJARCON 2018, 8.8 Bolivia, 8.8 Perú y 8.8 México.
Grabación en video:
https://www.youtube.com/watch?v=NtQpzjgitao&t=1s
A veces la diferencia entre poder acceder a un sistema remoto con éxito o fallar puede ser el conocimiento de una herramienta, una línea de comando o incluso una técnica de evasión de AV/Firewall. Esta plática brindará consejos y trucos para poder hackear "like a Boss", que le dará una ventaja durante la auditoría de un sistema
Ponente: Roberto Salgado. Director técnico y co-fundador de Websec México. Roberto ha participado y contribuido en proyectos importantes como ModSecurity, PHPIDS, sqlmap y el libro “Web Application Obfuscation“. Creó la base de conocimientos de inyección SQL, una de las referencias más completas disponibles en la web y Panoptic, un buscador de rutas de archivos comunes con vulnerabilidades tipo LFI. También desarrollo el método más rápido para extraer información de bases de datos vulnerables a inyección a ciegas.
Introducción al escaneo masivo
Herramientas: Nmap, Dnmap, Zmap, Masscan
Escaneo con Botnet de ruteadores
Escaneos diarios de todo Internet por un año
Estadísticas de dispositivos de México
Puertas traseras de dispositivos populares de México
Eduardo Sanchez & Rafael Sojo - Taller de CTF [rooted2018]RootedCON
La preparación de un equipo de CTF requiere de multitud de skills debido a las diferentes disciplinas que hay en el mundo del hacking. Los participantes se enfrentan a diferentes retos asignándole unas puntuaciones. En esta charla/taller se explicará desde nivel básico hasta un nivel medio diferentes técnicas de hacking utilizadas en varias áreas con el objetivo de que el asistente aprenda diferentes técnicas de resolución de retos hacking.Veremos diferentes algoritmos de cifrado utilizados en retos de Crypto, aprenderemos a identificar la información que hay oculta en imágenes, vídeos, sonidos y otros tipos de ficheros; usaremos conceptos de forense para obtener información útil de una imagen de disco duro, móvil o captura de paquetes de una red. Aprenderemos a manejar un proxy inverso para filtrar el tráfico de una Web o comprobar diferentes vulnerabilidades, obtener el código de una aplicación de un ejecutable o inspeccionar paquetes de una captura de tráfico de red. 90 minutos donde aprenderemos a utilizar diferentes herramientas y scripts muy útiles, así como servicios Web que nos facilitan mucho el trabajo en diferentes operaciones. Todo con el objetivo de prepararte para jugar en los diferentes CTFs que tenemos en las CONs españolas u otras que podemos participar por Internet.
Dumpeando hashes del controlador de dominio por @_hkm
Una plática rápida sobre una de las técnicas más redituables durante una prueba de penetración. Utilizando una cuenta con permisos de administrador de dominio mostraremos como dumpear todos los hashes en formato NTLM almacenados en el controlador de dominio del directorio activo.
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)Jaime Sánchez
Cuando un usuario tiene que elegir una contraseña, tiende a construirla de la misma forma, con la misma información personal como base, y usando las mismas ideas para añadir complejidad a la misma. En este estudio que os mostraremos , nos hicimos con varios miles de millones de contraseñas reales, con el fin de hacer un análisis a gran escala de esos comportamientos comunes, extrayendo conclusiones que nos permitan crear procedimientos y herramientas específicas para mejorar las técnicas actuales de Password Cracking.
Finalmente, usaremos este conocimiento obtenido a través de distintos análisis conductuales y estadísticos para, utilizando redes neuronales y otras técnicas avanzadas, obtener patrones que nos permitan crackear hashes cuya resistencia suele ser bastante alta utilizando otras técnicas.
Rubén Rodenas & Rubén Garrote - TLOTA - The lord of the ATMs [rooted2017]RootedCON
Los cajeros automáticos o ATM (Automatic Teller Machine) son dispositivos cercanos y accesibles a la gente, que permiten la extracción de dinero en efectivo, el ingreso de efectivo en cuenta, así como operaciones entre cuentas. Es por esto que se convierten en un objetivo muy claro para los delincuentes. En nuestro caso nos centramos en los ciberdelincuentes y hacemos un recorrido completo sobre cuáles son los métodos que utilizan, el escenario en el que se encuentran y la exposición de los ATMs ante ellos. Así como un repaso sobre la estructura interna de un ATM, su funcionamiento a nivel de aplicación, vulnerabilidades encontradas durante las auditorias realizadas por los ponentes, además de analisis de malware publico dirigido a estos dispositivos. En la ponencia se tratará de realizar una demo in situ sobre la extracción de dinero, con TLOTA (software a medida para dominarlos a todos) de un cajero físico que se tratará de llevar el día de la ponencia.
Plática sobre utilizar diferentes técnicas para detener a scanners de seguridad y a la gente que los usa sin pensarlo.
Impartida en CISI 2018, DragonJARCON 2018, 8.8 Bolivia, 8.8 Perú y 8.8 México.
Grabación en video:
https://www.youtube.com/watch?v=NtQpzjgitao&t=1s
A veces la diferencia entre poder acceder a un sistema remoto con éxito o fallar puede ser el conocimiento de una herramienta, una línea de comando o incluso una técnica de evasión de AV/Firewall. Esta plática brindará consejos y trucos para poder hackear "like a Boss", que le dará una ventaja durante la auditoría de un sistema
Ponente: Roberto Salgado. Director técnico y co-fundador de Websec México. Roberto ha participado y contribuido en proyectos importantes como ModSecurity, PHPIDS, sqlmap y el libro “Web Application Obfuscation“. Creó la base de conocimientos de inyección SQL, una de las referencias más completas disponibles en la web y Panoptic, un buscador de rutas de archivos comunes con vulnerabilidades tipo LFI. También desarrollo el método más rápido para extraer información de bases de datos vulnerables a inyección a ciegas.
Introducción al escaneo masivo
Herramientas: Nmap, Dnmap, Zmap, Masscan
Escaneo con Botnet de ruteadores
Escaneos diarios de todo Internet por un año
Estadísticas de dispositivos de México
Puertas traseras de dispositivos populares de México
Eduardo Sanchez & Rafael Sojo - Taller de CTF [rooted2018]RootedCON
La preparación de un equipo de CTF requiere de multitud de skills debido a las diferentes disciplinas que hay en el mundo del hacking. Los participantes se enfrentan a diferentes retos asignándole unas puntuaciones. En esta charla/taller se explicará desde nivel básico hasta un nivel medio diferentes técnicas de hacking utilizadas en varias áreas con el objetivo de que el asistente aprenda diferentes técnicas de resolución de retos hacking.Veremos diferentes algoritmos de cifrado utilizados en retos de Crypto, aprenderemos a identificar la información que hay oculta en imágenes, vídeos, sonidos y otros tipos de ficheros; usaremos conceptos de forense para obtener información útil de una imagen de disco duro, móvil o captura de paquetes de una red. Aprenderemos a manejar un proxy inverso para filtrar el tráfico de una Web o comprobar diferentes vulnerabilidades, obtener el código de una aplicación de un ejecutable o inspeccionar paquetes de una captura de tráfico de red. 90 minutos donde aprenderemos a utilizar diferentes herramientas y scripts muy útiles, así como servicios Web que nos facilitan mucho el trabajo en diferentes operaciones. Todo con el objetivo de prepararte para jugar en los diferentes CTFs que tenemos en las CONs españolas u otras que podemos participar por Internet.
Dumpeando hashes del controlador de dominio por @_hkm
Una plática rápida sobre una de las técnicas más redituables durante una prueba de penetración. Utilizando una cuenta con permisos de administrador de dominio mostraremos como dumpear todos los hashes en formato NTLM almacenados en el controlador de dominio del directorio activo.
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)Jaime Sánchez
Cuando un usuario tiene que elegir una contraseña, tiende a construirla de la misma forma, con la misma información personal como base, y usando las mismas ideas para añadir complejidad a la misma. En este estudio que os mostraremos , nos hicimos con varios miles de millones de contraseñas reales, con el fin de hacer un análisis a gran escala de esos comportamientos comunes, extrayendo conclusiones que nos permitan crear procedimientos y herramientas específicas para mejorar las técnicas actuales de Password Cracking.
Finalmente, usaremos este conocimiento obtenido a través de distintos análisis conductuales y estadísticos para, utilizando redes neuronales y otras técnicas avanzadas, obtener patrones que nos permitan crackear hashes cuya resistencia suele ser bastante alta utilizando otras técnicas.
Esta publicacion hace parte de los talleres a realizar en la asignatura de informatica del Programa de Psicologia G2. En la Universidad de San Buenaventura-Cartagena.
Authenticode es un mecanismo de firma digital de codigo desarrollado por Microsoft. Nos permite comprobar la autenticidad y la integridad de ciertos ficheros. Pero existen técnicas para modificar un binario sin invalidar su firma. Estas técnicas pueden ser utilizadas para aprovechar las funcionalidades de Authenticode con una finalidad maliciosa.
Ransonware: introducción a nuevo Virus InformáticoJuan Astudillo
Una breve introducción a este nuevo tipo de Virus Informático. Un poco de Historia del Virus, descripción de alguno de sus tipos y conocer algunas medidas de mitigación.
Ramón Pinuaga - Authenticode para malotes [rooted2017]RootedCON
Authenticode es un mecanismo de firma digital de codigo desarrollado por Microsoft. Nos permite comprobar la autenticidad y la integridad de ciertos ficheros. Pero existen técnicas para modificar un binario sin invalidar su firma. Estas técnicas pueden ser utilizadas para aprovechar las funcionalidades de Authenticode con una finalidad maliciosa.
PPT de seminario de Seguridad con PHP, dictado el 18 de Junio de 2013 por Nazareno Lorenzo.
Incluye:
SQL Injection
XSS
File Uploads
LFI/RFI
CSRF
Hashing y Encriptación
“Este ejercicio se inicia con base en la premisa de un Atacante ávido de información e inundado de adrenalina al lograr la posesión o control de una Victima sobre la Web, a merced de sus designios y emociones, manipulador y malicioso, al dirigir a su presa a lo mas profundo de sus abismos”
Seguridad actual
•
Que es un hacker?
•
La importancia de nuestros datos
•
OSINT
•
Fases de hacking
•
Ataques
•
Controla tu exposición digital
•
Como convertirse en un profesional de la seguridad
Unidad 3. Seguridad Informática.
IUT Colón - Estado Táchira - Venezuela
Criptografia, Esteganografia, funciones de autenticacion, firma digital, certificados digitales, tecnicas de los hacker.
Es un diagrama para La asistencia técnica o apoyo técnico es brindada por las compañías para que sus clientes puedan hacer uso de sus productos o servicios de la manera en que fueron puestos a la venta.
3Redu: Responsabilidad, Resiliencia y Respetocdraco
¡Hola! Somos 3Redu, conformados por Juan Camilo y Cristian. Entendemos las dificultades que enfrentan muchos estudiantes al tratar de comprender conceptos matemáticos. Nuestro objetivo es brindar una solución inclusiva y accesible para todos.
En este documento analizamos ciertos conceptos relacionados con la ficha 1 y 2. Y concluimos, dando el porque es importante desarrollar nuestras habilidades de pensamiento.
Sara Sofia Bedoya Montezuma.
9-1.
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...Telefónica
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0xWord escrito por Ibón Reinoso ( https://mypublicinbox.com/IBhone ) con Prólogo de Chema Alonso ( https://mypublicinbox.com/ChemaAlonso ). Puedes comprarlo aquí: https://0xword.com/es/libros/233-big-data-tecnologias-para-arquitecturas-data-centric.html
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informáticavazquezgarciajesusma
En este proyecto de investigación nos adentraremos en el fascinante mundo de la intersección entre el arte y los medios de comunicación en el campo de la informática.
La rápida evolución de la tecnología ha llevado a una fusión cada vez más estrecha entre el arte y los medios digitales, generando nuevas formas de expresión y comunicación.
Continuando con el desarrollo de nuestro proyecto haremos uso del método inductivo porque organizamos nuestra investigación a la particular a lo general. El diseño metodológico del trabajo es no experimental y transversal ya que no existe manipulación deliberada de las variables ni de la situación, si no que se observa los fundamental y como se dan en su contestó natural para después analizarlos.
El diseño es transversal porque los datos se recolectan en un solo momento y su propósito es describir variables y analizar su interrelación, solo se desea saber la incidencia y el valor de uno o más variables, el diseño será descriptivo porque se requiere establecer relación entre dos o más de estás.
Mediante una encuesta recopilamos la información de este proyecto los alumnos tengan conocimiento de la evolución del arte y los medios de comunicación en la información y su importancia para la institución.
Las lámparas de alta intensidad de descarga o lámparas de descarga de alta in...espinozaernesto427
Las lámparas de alta intensidad de descarga o lámparas de descarga de alta intensidad son un tipo de lámpara eléctrica de descarga de gas que produce luz por medio de un arco eléctrico entre electrodos de tungsteno alojados dentro de un tubo de alúmina o cuarzo moldeado translúcido o transparente.
lámparas más eficientes del mercado, debido a su menor consumo y por la cantidad de luz que emiten. Adquieren una vida útil de hasta 50.000 horas y no generan calor alguna. Si quieres cambiar la iluminación de tu hogar para hacerla mucho más eficiente, ¡esta es tu mejor opción!
Las nuevas lámparas de descarga de alta intensidad producen más luz visible por unidad de energía eléctrica consumida que las lámparas fluorescentes e incandescentes, ya que una mayor proporción de su radiación es luz visible, en contraste con la infrarroja. Sin embargo, la salida de lúmenes de la iluminación HID puede deteriorarse hasta en un 70% durante 10,000 horas de funcionamiento.
Muchos vehículos modernos usan bombillas HID para los principales sistemas de iluminación, aunque algunas aplicaciones ahora están pasando de bombillas HID a tecnología LED y láser.1 Modelos de lámparas van desde las típicas lámparas de 35 a 100 W de los autos, a las de más de 15 kW que se utilizan en los proyectores de cines IMAX.
Esta tecnología HID no es nueva y fue demostrada por primera vez por Francis Hauksbee en 1705. Lámpara de Nernst.
Lámpara incandescente.
Lámpara de descarga. Lámpara fluorescente. Lámpara fluorescente compacta. Lámpara de haluro metálico. Lámpara de vapor de sodio. Lámpara de vapor de mercurio. Lámpara de neón. Lámpara de deuterio. Lámpara xenón.
Lámpara LED.
Lámpara de plasma.
Flash (fotografía) Las lámparas de descarga de alta intensidad (HID) son un tipo de lámparas de descarga de gas muy utilizadas en la industria de la iluminación. Estas lámparas producen luz creando un arco eléctrico entre dos electrodos a través de un gas ionizado. Las lámparas HID son conocidas por su gran eficacia a la hora de convertir la electricidad en luz y por su larga vida útil.
A diferencia de las luces fluorescentes, que necesitan un recubrimiento de fósforo para emitir luz visible, las lámparas HID no necesitan ningún recubrimiento en el interior de sus tubos. El propio arco eléctrico emite luz visible. Sin embargo, algunas lámparas de halogenuros metálicos y muchas lámparas de vapor de mercurio tienen un recubrimiento de fósforo en el interior de la bombilla para mejorar el espectro luminoso y reproducción cromática. Las lámparas HID están disponibles en varias potencias, que van desde los 25 vatios de las lámparas de halogenuros metálicos autobalastradas y los 35 vatios de las lámparas de vapor de sodio de alta intensidad hasta los 1.000 vatios de las lámparas de vapor de mercurio y vapor de sodio de alta intensidad, e incluso hasta los 1.500 vatios de las lámparas de halogenuros metálicos.
Las lámparas HID requieren un equipo de control especial llamado balasto para funcionar
3. 1. Métodos de control
2. SEO es tu amigo
3. Encriptación y mutaciones
4. Bypassingtheworld
5. Infección y entrada
6. Código inteligente y auto actualizable
7. Rootkit escóndete en el sistema
8. Enlaza tu virus
9. Expande tu virus
10. El virii debería ser arte
5. • Control mediante aplicación propia
• Aplicaciones web para la programación de
botnet
• Programación de aplicaciones web para
control de botnet
• Control mediante IRCd
6. En contra:
• Es necesario mas recursos para no ser detectado el autor
• Es necesario acceso total a un servidor
• Es mas estable y rápido
• Es menos complejo o “enrevesado”
• Es mas probable que por defecto el firewall no lo permita
A favor:
• Tiene posibilidades de hacer funciones que con otros métodos
es imposible
• Puedes crear túneles y/o abusar de su conexión
7. Usos:
• Estas en la misma red que la victima
• La finalidad es control remoto troyano
•Transferir gran cantidad de datos
•Control de tipo webcam, pantalla
remota
•Infección especifica por recursos
9. • Aparecer en los primeros puestos en palabras
clave es un forma de atraer masas hacia tu/tus
código/s mal intencionado/s.
• La pornografía es un método muy utilizado ya
que tiene una gran cantidad de visitas. Los
usuarios cuando ven pornografía son mas
incautos. Algunos la visitan desde maquinas
virtuales
• Los “boom” del momento también atraen gran
cantidad de usuarios.
10. • Funcionamiento de la pornografía orientada al
malware.
Página
de temática
“Amateur”
Página
de temática
“Amateur”, e
n el jardín
Página
de temática
“Amateur”,
en la ducha
Página
de temática
“Amateur”
mas fuerte
Páginas de
promoción
con muestra
de imágenes
o videos
Página mal
intencionada
Llamadas entre si
aleatoriamente
Llamada tras unas vueltas
a la página mal intencionada.
11. • Aprovechando el “boom” del momento.
• Hacer una encuesta sobre “crepúsculo” y estar
en las primeras páginas encontradas por google
llama en su gran mayoría a un público mas
incauto.
• Puedes crear el “boom”… Típico 0day remoto
para OpenSSH.
12. • Puedes encontrar información sobre técnicas de
SEO
• Hay técnicas de “moral relajada” que entre otros
lugares puedes encontrar en “el lado del mal”.
• Google hacking o sitios poco seguros con una
cantidad de visitas significantes pueden ser
utilizados para hacer promoción de tu sitio
malintencionado.
15. • Parte de la shellcode contiene datos que van a
ser modificados en tiempo de ejecución.
• Tiene uno o mas bucles de descifrado para
modificar los bytes codes.
• Escribiendo el código, crearíamos una cadena de
bytes con los opcode de la shellcode en un
“segundo” código que seria el decrypter.
• Cifrar también los “nop” ayuda en la evasión ids.
17. • Inserción de un archivo dentro de un método de
extracción automática (Unión de dos archivos).
• Copia a una carpeta temporal o con privilegios y
posterior desempaquetado y descifrado en caso
de estarlo.
• Copia en extractos de memoria y posterior
ejecución. Habitualmente en la memoria “Heap”
(dada su situación estática).
18. • Bucle incompleto relleno con una cadena
recogida de internet. Dificulta el reversing antes
de la ejecución del malware.
• Sección o “Stub” con opción “read/write” siendo
descifradas en tiempo de ejecución
• Fragmentación en varias secciones de memoria
diferentes con saltos de una a otra para dificultar
su análisis.
19. • Cambiamos fracciones de código servible o no
servible.
Malware.exe
x90x90x…
Malware.exe
Tras la primera
ejecución
x40x48x….
Parte del código no
utilizable ejemplo
“x90x90x90x90…”
Parte del código no
utilizable
“x40x48x40x48…”
20. • El código cambia su cambia su clave
criptográfica
Malware.exe
Clave cripto 0x5e
Malware.exe
Tras la primera
ejecución
Parte del código no
utilizable ejemplo
“x11x62x23…”
Parte del código no
utilizable
“x94x75x56…”
Bucle
descifrado
Código cifrado
Clave cripto 0x9a
Bucle
descifrado
Código cifrado
Bucle de cifrado Bucle de cifrado
21. • El código cambia también el cifrado entre 3 o
mas opciones, lo cual complica la firma.
Malware.exe
Clave cripto 0x5e
Malware.exe
Tras la primera
ejecución
Parte del código no
utilizable ejemplo
“x11x62x23…”
Parte del código no
utilizable
“x94x75x56…”
Clave cripto 0x9e
Bucle descifrado 1
Código cifrado
Bucle descifrado 2
Bucle descifrado 3
Bucle descifrado 1
Código cifrado
Bucle descifrado 2
Bucle descifrado 3
Bucle de cifrado 1
Bucle de cifrado 2
Bucle de cifrado 3
Bucle de cifrado 1
Bucle de cifrado 2
Bucle de cifrado 3
22. • Apertura del archivo : “OpenFileA/NtOpenFile”
• Podemos utilizar la propia firma o una cadena
especifica para la búsqueda “ db ‘JennyLab’, 0 ”
• Si escribimos al final de un archivo PE, no ocurre
nada lo cual nos permite incluso meter datos para la
mutación.
• Podemos inyectar un hilo para mover archivos o
hacer algún cambio, tras el cierre del proceso
malware “CreateRemoteThread”
24. Envío de 29 bytes comprimidos de forma totalmente
indetectable y pasando por cualquier firewall que no tenga el
servidor DNS aislado.
25. • Compresión de un número de 16 dígitos ( como
una tarjeta de crédito por ejemplo).
5 8 7 9 9 9 8 9 3 3 1 5 8 9 0 2
16 bytes
/ 4098
/ 4098
/ 4098
=
5 bytes + 1 byte
8 5 4 4 0 A
Si es un numero impar
tenemos un “flag” para
restar „1‟ al resultado final
sumado al número
anteriormente
26. • Muchos sitios ( ya cada vez menos ) permiten la
resolución DNS publica lo cual nos permite la
creación de un túnel “tcptodns”.
• Si tu dominio no esta en una blacklist no es muy
habitual encontrar filtrados por whitelist.
• Los túneles http no suelen ser filtrados.
27. De una manera bastante habitual se suele encontrar servidores
que por actualizaciones o razones varias salen por el puerto 80
tcp. Esto puede ser útil para sacar datos de la red sin necesidad
de utilizar proxy, lo cual puede ser útil en virus a medida.
28. • Con rawsocket podemos hacer en el servidor de
sniffer de la capa IP, utilizando la capa ICMP para
recibir datos del infectado.
• Haciendo hooking de la capa NDIS podemos
hacer el sniffer de protocolos de capas inferiores
como STP.
• Librerías como libpcap nos permitirían hacer el
sniffer pero dependerías de librerías.
29. • Una conexión como la de reDuh através del
servidor proxy de lugares “seguros” es posible.
30. •Podemos conseguir el proxy utilizado actualmente
por el sistema en la clave de registro
“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternetSettingP
roxyServer”.
• Podemos utilizar “ReDuh” en el servidor web con
que haga el túnel de http a tcp
•ReDuh usa un archivo javascript con unas funciones
básicas.
“startReDuh”, “getData”, “killReDuh”, “createSocket”,
“newData”, “debug”
•ReDuh también recoge los parámetros
31. •También podemos programar aplicaciones
simples en “php”, que permitan el control del
virus, haciendo que conecte a cualquier servidor
gratuito con “php”.
• Alguno virus han utilizado cosas como redes
sociales, grupos etc...
• Hay aplicaciones webopensource para el control
de botnet.
33. • Añadido de sección o al final del archivo
añadimos el código, ya que si escribimos al final
de un archivo PE no ocurrirá nada.
• Las llamadas a las API‟s la haremos utilizando la
“IAT” o sacaremos las API‟s usando PEB aunque
no es lo mas correcto dado que ya tenemos
recuperadas las API‟s en la “ImportTable”.
34. • Cambio del “EntryPoint” consiguiendo que se
ejecute nuestro código.
• Nuestro código malicioso salta al antiguo
“EntryPoint” asegurándose la correcta ejecución
del binario ya que no ha sufrido ninguna
modificación.
35. • La infección básica mas conocida consiste en el
añadido de una sección de código y un cambio en
el “EntryPoint”, y un salto hacia el punto de
entrada anterior, ejecutándose primero el virus.
Code
EntryPoint
PE HEADER
Code
PE HEADER
EntryPoint
Evil code
Antiguo EntryPoint
Jumpto
original
entrypoint
Ejecutable normal Ejecutable infectado
36. •EntryPointobscuring (EPO). No se modifica la
dirección de entrada ya que es sospechoso, si no
que se cambian los primeros bytes con un jmp
hacia el código o durante la ejecución
Code
EntryPoint
PE HEADER
Code
PE HEADER
EntryPoint
Evil code
ret_malware
Jumpto
evilcode
Ejecutable normal Ejecutable infectado
Jmpret_malware
37. •El método mas habitual de entrada es exploit en
el explorador web, plugin del mismo o archivos
mal intencionados.
• El exploit ejecuta código binario o interpretado
por el explotador.
38. •Descarga un archivo mínimo que hace
posteriores descargas previamente
deshabilitando el sistema de seguridad instalado
en el PC cliente. En su defecto desempaqueta un
archivo binario que es el virus.
• Empieza la infección y el intento de trasmisión a
otros equipos.
39. Código inteligente y actualizable
Tu virus puede ser inteligente y
actualizable.
40. • Podemos descargar el nuevo archivo por http ya
sea usando las API‟s o alguna inyección al
explorador o exploradores utilizados. Se debe
tener en cuenta que la mayoría de los usuarios no
domésticos necesitan conectar mediante proxy.
• Funcionar mediante módulos (dll‟s), es una
buena opción para “instalar” remotamente partes
del virus, puede perder infectados que no le
permitan salir por http.
41. • Tu virus puede descargar una nueva versión y
ser remplazado o borrado previamente a la copia.
•Tu virus puede ser inteligente si esta dotado de
matriz
42. • Si esta dividido en módulos, actualizar cualquier
módulo es tan fácil como no cargarlo o inyectarlo
en otro proceso hasta el remplazo.
• En caso de ser el ejecutable o no estar dividido
en módulos, podemos inyectar código y cerrar el
proceso padre antes de que sea sobrescrito o
borrado.
• Si esta divido en módulos, se puede hacer un
módulo de actualización.
43. • Creando “arrays” con antivirus, antispyware,
firewall de host, nids y otros sistemas de
seguridad host, podemos detectarlos he intentar
matarlos o interrumpir su detección.
• Podemos detectar programas que pongan en
peligro el virus por que sean de análisis,
ingeniería inversa etc… Debería tener un sistema
de auto borrado y desinfección para intentar
evadir esto.
45. • La intercepción de API‟s de conexión a internet,
como (connect, WSAConnect),
(URLDownloadToFile*,
URLDownloadToCacheFile* )etc… es útil para
filtrar
• La API “WSAIoctl” y el argumento
“SIO_RCVALL”, pueden ser utilizadas para hacer
un “sniffer” del tráfico lo que pone en peligro la
detección del tráfico del virus.
46. • Las API‟s “GetTcpStatsFromStackEx”,
“GetUdpStatsFromStackEx”,
“GetIpStatsFromStackEx”, y varias API‟s mas,
de (iphlpapi) pueden ser interceptadas con la
finalidad de esconderse de aplicaciones como
“netstat” y otras aplicaciones básicas para la
estadística o monitorización del estado de la
pila IP, TCP y otros protocolos utilizados en el
sistema.
47. • La API “WSAIoctl” y el argumento
“SIO_RCVALL”, pueden ser utilizadas para hacer
un “sniffer” del tráfico lo que pone en peligro la
detección del tráfico del virus.
• Las API‟s (gethostbyname,
GetAddressByName), hacen resoluciones dns,
podemos filtrar IP‟s de lugares de actualización,
antivirus online y otros contenidos peligrosos
para el virus.
49. • Descarga un archivo pequeño que hace
posteriores descargas previamente
deshabilitando el sistema de seguridad instalado
en el PC cliente. En su defecto desempaqueta un
archivo binario que es el virus.
• Empieza la infección y el intento de trasmisión a
otros equipos.
50. • Puede utilizar exploit para exploradores web
que permitan la ejecución de javascript, haciendo
descarga y ejecución de nuestro virus.
• La explotación de un overflow también puede
ser utilizada para la descarga y ejecución de
nuestro virus.
• Otra opción es utilizar archivos mal
intencionados como puede ser pdf y su oleada de
exploits o otros formatos vulnerables.
51. • La carga de un driver mal intencionado se puede
utilizar para hacer hook a la SSTD, permitiéndole
interceptar llamadas del modo kernel.
• Haciendo hook a API‟s, Zw*, Nt*, Rtl* etc…,
podemos interceptar llamadas de otras
aplicaciones aunque la aplicación corra en “ring3”
modo user
52. • Haciendo hook a la capa NDIS podemos evadir
los sniffers.
• Haciendo hook a API‟s de procesos cómo
(ZwOpenProcess, NtOpenProcess). Podrá
esconder su presencia como proceso.
• Conexión TCP o UDP en modo kernel utilizando
la capa TDI.
53. •Javascript nos permite modificar cadenas, lo
cual nos permite decodificar en tiempo de
ejecución.
• La función “unescape()” de javascript nos
permite decodificar cadenas esto dificulta
levemente el análisis.
• La función “Chr()” de javascript nos permite
meter bytes en lugar de la cadena dificulta
levemente el análisis.
55. • Infección de archivos en discos montados con
recursos compartidos, para ejecución desde otros
equipos que accedan a el y ejecuten los archivos.
• Búsqueda de recursos compartidos tipo “IPC$”.
• Mensajería instantánea
•Exploits
56. •Hook al teclado
• Envío de las pulsaciones a la ventana
• Robo de contactos
57. • Infección de archivos PE
• Remplazo de archivo PDF malintencionados
•Exploit de archivos .lnk
59. •Donut by Benny: Infección de archivo MSIL.
•GriYo: EntryPointobscuring
• Z0MBIE: Infección de imágenes ISO.
• La mayoría del malware “comercial” no aporta
mucho y en casó de hacerlo quien lo saca a la luz
son las personas que lo analizan.
• No publicar virus para que no lo usen
comercialmente