martes, 1 de noviembre de 2016

MazAr Botnet - Source Code - Android Botnet




En estos últimos años se han reportado varios casos Botnet relacionados a S.O Android , el cual ha sido objeto ataque por muchos grupos e desarrolladores de malware independientes. La cantidad de estas muestras no es contabilizable por el momento por las diferentes variantes y por las campañas temporales que se ejecutan día tras día. Una de estas variantes lleva el nombre de MazAr Botnet , la cual fue reportado durante los primeros meses del presente año.

Este malware se encuentra insertado en aplicaciones de terceros que se encuentras en varias tiendas oficiales y no oficiales. MazAr también se propaga a través de Spam y SMS (los cuales llevan mensajes con un enlace a una APK maliciosa). Si el usuario accediera al enlace , este le brindaría un archivo APK, el cual al ejecutarse le solicitara al usuario que instale una nueva aplicación, la cual lleva el nombre de MMS Messaging, la cual finalmente solicita privilegios de administrador (root).





Hace algunos días en mi búsqueda de nuevos C&C, he podido tener acceso al código fuente del Panel de Administrador de la Botnet MazAr, la cual compartiré en este presente entrada. El Lenguaje de Programación utilizado por los creadores de MazAr en parte ha sido Python (Django) , el cual esta consiguiendo mucho auge en este ámbito en los últimos años.



MazAr Botnet - Web Panel : http://www45.zippyshare.com/v/Si1J1SXV/file.html





MazAr Botnet - models




MazAr Botnet - remote_api




MazAr Botnet - commands




MazAr Botnet - views





Cabe recordar que varios  Web Panel suelen tener varias vulnerabilidades y tengo que agregar que  MazAr no es la excepción. 

Bueno espero que lo publicado en este inicio de mes (Noviembre) haya sido de su agrado y espero poder seguir añadiendo nuevas entradas, sin mas que añadir me despido de todos mis lectores y será hasta una próxima oportunidad.





P.D. : Si alguien desea contactar conmigo me puede encontrar en twitter como @CryptoInsane Saludos a todos.


domingo, 25 de septiembre de 2016

Sanction Ransomware - Web Panel 



Durante los últimos años han surgido muchas versiones de ransomware, cuyo objetivo es el secuetro de la información que se encuentra en el nuestras PC's . Contabilizar sus muestras es un trabajo realmente difícil ya sea por el número de variaciones que aparecen día a día. En esta ocasión he realizado este post para compartir un pequeño el código del Web Panel (Backend) que pude encontrar en mi análisis de malwares. Esta variante lleva el nombre de Sanction Ransomware y lo presentaré a continuación.


Sanction Ransomware 


Rush/Sanction Ransomware es un programa malicioso muy peligroso por lo que cuando se trata de su computadora, entonces infecta todos los archivos con la siguientes extensiones : .txt; .pdf; .doc; .docx; .xls; .xlsx; .ppt; .pptx; .odt; .jpg; .png; .csv; .sql; .mdb; .sln; .php; .asp; .aspx; .html; .xml; .psd. Trayendo como consecuencia el cifrado de los mismos, a su vez el malware emitira una alerta en donde hace mención a que sus archivos o datos han sido encriptados y se le pedirá que pagar dinero para obtener los datos de nuevo.




Source Code  - Web Panel :   http://www65.zippyshare.com/v/yv0PER6h/file.html




Sanction Ransomware - config.php 




Sanction Ransomware - write.php 




Sanction Ransomware - view.php




Hay que tener presente que muchos Web Panel suelen tener vulnerabilidades y Sanction Ransomware no es la excepción - Vulnerabilidad SQL Injection.

Bueno espero que lo publicado haya sido de su agrado y espero poder seguir añadiendo nuevas entradas, sin mas que añadir me despido y será hasta la próxima.








P.D. : Si alguien desea contactar conmigo me puede encontrar en twitter como @CryptoInsane . Saludos a todos.


lunes, 11 de julio de 2016

MARA - [M]obile [A]pplication [R]everse engineering and [A]nalysis Framework.




Mara es una herramienta dedicada a realizar ingeniería inversa bajo el marco de análisis de aplicaciones móviles. Es un conjunto de herramientas que interpreta a una aplicación móvil de uso común mediante la ingenieria inversa, todo esto con el fin de hacer el análisis más fácil y amigable para los desarrolladores de aplicaciones móviles y a los profesionales de la seguridad.

Instalación : 

Hay que tener en cuenta que al ser una herramienta que se encarga de analizar aplicaciones para móviles, las cuales tienen su base en lenguaje de programación JAVA es lógico pensar que vamos a necesitar tener instalado JAVA en la máquina en la cual vamos a ejecutar MARA, la cual trabaja con OPEN JDK o ORACLE JDK, Los autores de MARA recomiendan usar la versión 7 para el caso.


sudo apt-get -y install openjdk-7-jdk


Descargar MARA :  https://github.com/xtiankisutsa/MARA_Framework

En mi caso voy a ejecutar MARA en mi maquina virtual AndroL4b, un entorno dedicado al análisis de aplicaciones móviles maliciosas.

Vamos a comenzar extrayendo los archivos del zip y comenzar con la instalación.

andro@l4b:~$ unzip MARA_Framework-master.zip
andro@l4b:~$ ./setup.sh



Una vez terminado la instalación vamos a ejecutar a M.A.R.A.


andro@l4b:~$ ./mara.sh



A continuación vamos a poder visualizar las opciones de análisis que nos brinda esta gran herramienta.



Para poner a prueba las opciones de análisis de MARA vamos a analizar una nuestra de malware de que fue descubierta en los primeros días del presente mes. 

Nombre : OmniRATCraked.apk
md5 : e097d469229f1ddb3c81ad82a3ea0adc

A continuación procederemos a ingresar los datos que nos solicita MARA, claro esta que al ser un archivo apk y es un análisis individual vamos a optar por la primera opción del menú que nos muestra en la pantalla.

andro@l4b:~/jalil/malware/tools/mara$ ./mara.sh -s /home/andro/jalil/malware/test/OmniRAT.apk



============== 
     APK analysis 
==============


===================== 
        Finalizing Analysis
=====================



Una vez terminado en análisis hecho por MARA a nuestra apk maliciosa, vamos a ir a la carpeta creada por la misma en donde vamos a encontrar los resultados de todo el proceso que ha realizado.




El color rojo como subrayado marca el nombre de las carpetas que voy abriendo para poder finalmente llegar a ciertos archivo en java proceden de la ingeniería inversa realizada por MARA a nuestra archivo malicioso.

andro@l4b:~/jalil/malware/tools/mara/data/OmniRAT.apk/source/java/com/omnirat$ nano WebcamActivity.java


public class WebcamActivity extends ActionBarActivity {....}




public WebcamActivity() {....}





En la imagen podemos observar algunas palabras sumamente interesantes como lo son Remote Webcam , Save Screenshot, Start, Stop y WebcamActivity. Podemos pensar que esta sección del código se encarga de las funciones principales de la Webcam y a la vez de tomar capturas de pantalla.


Hay que tener presente que hoy en día los cibercriminales están incrementando las redes con muchas variaciones de distintos malwares, ya sean ransomwares, troyanos, exploit kits y muchas otras variaciones. Es indispensable de tomar políticas de control contra estas amenazas que se encuentran en las puertas de los servicios que se brindan hoy en día.


Bueno hemos llegado al final de este post, espero que haya sido de su total agrado y que la información que he brindado en estas líneas sea de su total utilidad para el análisis de estos códigos maliciosos los cuales están en un aumento exponencial el día de hoy.









viernes, 1 de julio de 2016


Maltrail - Sistema de detección de Tráfico Malicioso.


Maltrail es un sistema de detección de tráfico malicioso, cuyas bases se basan en el uso de listas públicamente disponibles (listas negro) que contienen rastros maliciosos y/o generalmente sospechosas. además se pueden incluir rastros recopilados de diversos informes de AV (Antivirus) y también de investigadores independientes muy enfocados en temas de malwares.


Ejemplos : 

  •     http://saspdd.by/saspdd.by/admin/pnytail.exe
  •     http://199.213.24.122/host.exe
  •     http://114.215.155.227/FOX.exe


Listas Negras

  1. AlienVault
  2. Blocklist
  3. Dshielddns
  4. Snort
  5. Zeustrackerdns
  6. Zeustrackerip
  7. SSlipbl
  8. Vxvault
  9. Malwaredomainlist
  10. Feodotrackerdns
  11. Cybercrimetracker
  12. Bruteforceblocker


Arquitectura


Maltrail se basa en el Tráfico => Sensor <==> Servidor <==> Arquitectura del Cliente. El sensor (s) es un componente independiente que se ejecuta en el nodo de control, donde "monitorea" el tráfico de las lista negra/rutas (es decir, nombres de dominio, URL y / o IP). En caso de dar un resultado positivo, envía los detalles del evento al servidor (central), en el que se almacenan los registros en el directorio adecuado (es decir, LOG_DIR describe la sección de configuración). Si el sensor se está ejecutando en la misma máquina que el servidor (configuración por defecto), los registros se almacenan directamente en el directorio de registro local. De lo contrario, están siendo enviados a través de mensajes UDP al servidor remoto (es decir LOG_SERVER se describe en la sección de configuración).





Instalación


Para poder instalar Maltrail de forma exitosa vamos a digitar los siguientes comandos. En mi caso voy a realizar la instalación en el sistema operativo REMnux.

remnux@remnux:~$ sudo su
root@remnux:/home/remnux#  sudo apt-get install git python-pcapy
root@remnux:/home/remnux#  git clone https://github.com/stamparm/maltrail.git
root@remnux:/home/remnux#  cd maltrail
root@remnux:/home/remnux#  sudo python sensor.py





A continuación vamos a activar la interface del cliente al cual se destinan todos los reportes hechos por el sensor. Para poder hacerlo abrimos una nueva terminal y digitamos los siguiente.

remnux@remnux:~$ sudo su
root@remnux:/home/remnux#  cd maltrail
root@remnux:/home/remnux#  python server.py




Para poder visualizar la interfaz nos vamos a nuestro navegador y digitamos la siguiente dirección:
http://127.0.0.1:8338





username : admin
password : changeme!





Prueba de Concepto.

A continuación vamos a realizar una pequeña prueba de concepto para medir la capacidad de Mantrial frente a un supuesto ataque, el cual va ser hecho por el mismo cliente, para ellos vamos a abrir una nueva terminal y digitamos lo siguiente.


remnux@remnux:~$ ping -c 1 136.161.101.53
remnux@remnux:~$ cat /var/log/maltrail/$(date +"%Y-%m-%d").log




Como podemos observar Maltrail nos brinda información totalmente clasificada ya sea esta de acuerdo a la severidad o tipo de amenaza, protocolo, IP origen o destino, etc. Sin lugar a duda Maltrail es un herramienta muy útil para revisar rapida y fácilmente el tráfico de nuestras redes, gracias a su entorno web muy agradable para el cliente.




Hay que mencionar también que la información de la herramienta se encuentra muy bien documentada por parte de los creadores y totalmente disponible para el uso en temas de entornos perimetrales de seguridad.


Bueno sin mas que agregar, me despido y espero que este post sea de su agrado y les sea de utilidad la información brindada en la misma. Me despido y será hasta la próxima oportunidad.











PD :  Envío un gran saludo a la pequeña Sage, quién será mi mejor amiga y compañera por mucho tiempo, espero poder conocerte muy pronto y poder hacer todas las travesuras en la redes que tanto hemos estado planeando por mucho tiempo ... Descansa y pronto nos veremos Sage.




miércoles, 3 de febrero de 2016

Plecost - Fingerprinting

Todos sabemos que Wordpress es por excelencia uno de los CMS mas utilizados a nivel mundial. Su gran aporte a las plataformas web ha sido de gran utilizados para los desarrolladores web. Su gran fama también ha traido consiguo una persistencia en vulnerarlo en múltiples ocasiones, recibiendo actualizaciones de manera muy constante. En esa ocasión trataré de presentar una herramienta la cual puede ser de gran utilidad al momento de querer realizar un análisis a fondo a un sitio web basado en Wordpress.


Plecost  es una herramienta que se encargar de extraer información acerca de las versiones de plugins instalados en los sistemas de WordPress. Por otro lado tambien es capaz de analizar una sola dirección URL o realizar un análisis basado en los resultados indexados por el buscador Google.

Por otro lado nos brinda información acerca de los CVE asociados con cada determinado plugin, Esta herramienta nace por la preocupación con respecto a la precaria configuración de las instalaciones de Wordpress, mas aún de los plugins añadidos al sistema sin una restricción previa.



Descargar Plecost : https://github.com/iniqua/plecost


Instalación directa : 

Primero es necesario instalar el paquete pip, lo cual se hace con los siguientes líneas de comandos. Para este ejemplo voy a instalar Plecost en Ubuntu 14.04 LTS.

jalil@ubuntu:~$ sudo su
[sudo] password for jalil: 
root@ubuntu:/home/jalil# apt-get -y install python3-pip


Nota : Plecost3 funciona solo en python3.


Instalar pip en cualquier distribución Linux.

jalil@ubuntu:~$ sudo su 
[sudo] password for jalil: 
root@ubuntu:/home/jalil# sudo apt-get install curl
root@ubuntu:/home/jalil# curl https://bootstrap.pypa.io/get-pip.py | sudo python3
root@ubuntu:/home/jalil# sudo pip3 install MODULE_NAME


Finalmente vamos a ejecutar en nuestra terminarl Plecost.

jalil@ubuntu:~$ plecost



Para poder observar el menu de comandos solo tenemos que digitar : jali@ubuntu:~$ plecost -h




Para poder disponer de las actualizaciones es necesario digitar los siguientes comandos. Todo esto con el fin de poder disponer de las nuevas vulnerabilidades que hay en la plataforma wordpress.


jalil@ubuntu:~$ sudo su
[sudo] password for jalil: 
root@ubuntu:/home/jalil# plecost --update-cve
root@ubuntu:/home/jalil# plecost --update-plugins

A continuación vamos a observar los plugins que se han agregado con las nuevas vulnerabilidades conocidas.

jalil@ubuntu:$ plecost -nb --show-plugins



Una vez finalizado las respectivas actualizaciones vamos a realizar una prueba de concepto en un sitio web alterno basado en wordpress.






En la imagen podemos los primeros resultados de Plecost, los cuales nos muestran que la versión de wordpress que se encuentra en dicho sitio web se encuentra con muchas vulnerabilidades CVE.


De la misma forma podemos solicitar información mas detallada acerca de cada CVE.


jalil@ubuntu:~$ plecost -nb --cve CVE-XXXX-XXXX



Finalmente podemos utilizar los wordlist de los plugins con el fin de saber si dichos plugin se encuentran en su ultima versión.

jalil@ubuntu:~$ plecost -nb -w plugin_list_1000.txt http://dflahertylaw.com/ 




En la imagen podemos observar que 3 plugin no se encuentran debidamente actualizados, esto puede ser un grave problema de seguridad si se llegara a explotar dicha vulnerabilidad respectivamente en cada uno de ellos.


Bueno hemos llegado al final del post, espero que haya sido de su agrado y también sea de utilidad al momento de querer realizar algunas pruebas de seguridad en sitios wordpress. Bueno me despido y será hasta la próxima.









viernes, 8 de enero de 2016

HardSploit.



Con el creciente número de ataques informáticos a Sistemas Industriales, Sistemas Scada y una diversidad de dispositivos electrónicos que forman parte de nuestra vida diaria. Ha llegado el momento de poder disponer de una herramienta que nos permita a nosotros la comunidad de seguridad poder evaluar la auditoría y/o controlar el nivel de seguridad de los diversos sistemas embebidos que existen. Para poder realizar dichas operaciones, en esta oportunidad presento a HardSploit.




HardSploit y es un marco modular de hardware y software destinado a facilitar una opción por auditoría de los sistemas electrónicos. En resumen, es una herramienta de hardware hacking.

Nos podemos referir a ella como una plataforma Técnica y modular (FPGA Usando) párr Realizar Pruebas de Seguridad en las Interfaces de Comunicaciones y consumibles de Dispositivos Integrados.

Como consecuencia de esto, su manipulación del mismo requiere de conocimiento técnico necesario para evaluar el nivel de seguridad de los equipos electrónicos que no se adquieren en general por las partes interesadas (industria, el software o los consultores de seguridad de TI, software pentesters etc.). Este tipo de auditoría requiere una amplia gama de conocimientos de electrónica como el procesamiento analógico de la señal, FPGA o el uso de herramientas de medición específicas (osciloscopio, analizador lógico, etc.). Estas habilidades no son parte de los que son generalmente enseñar a las personas que optan por especializarse en seguridad informática.



FPGA 


Una FPGA (del inglés Field Programmable Gate Array) es un dispositivo semiconductor que contiene bloques de lógica cuya interconexión y funcionalidad puede ser configurada 'in situ' (en ese preciso momento) mediante un lenguaje de descripción especializado. La lógica programable puede reproducir desde funciones tan sencillas como las llevadas a cabo por una puerta lógica o un sistema combinacional hasta complejos sistemas en un chip.

Las FPGAs se utilizan en aplicaciones similares a los ASICs sin embargo son más lentas, tienen un mayor consumo de potencia y no pueden abarcar sistemas tan complejos como ellos. A pesar de esto, las FPGAs tienen las ventajas de ser reprogramables (lo que añade una enorme flexibilidad al flujo de diseño), sus costes de desarrollo y adquisición son mucho menores para pequeñas cantidades de dispositivos y el tiempo de desarrollo es también menor.


FPGA's vs ASIC's


Desventajas:

  1. Son más lentas.
  2. Consumen mayor potencia.
  3. No pueden realizar sistemas excesivamente complejos.


Ventajas:

  1. Son reprogramables.
  2. Los costes de desarrollo y adquisición son mucho menores.
  3. El tiempo de diseño y manufacturación es menor.


Conclusión :

Al analizar las ventajas y desventajas de las FPGA's podemos concluir que al realizar procesos de baja complejidad adoptan el calificativo de lentos ya que se estima en comparación con el tiempo de ejecución de esos mismos procesos hecho por un ASIC's. Podemos concluir también que son reprogramables al ser concebidos con base a un PAL.Su nivel de procesos complejos no puede compararse en ninguna medida contra un ASIC's, ya que dicho circuito integrado es utilizado para la minería del Bitcoin, el cual tiene como base resolver problemas altamente complejos en una fracción de tiempo. Dicho tema que se ha tratado con profundidad en un post anterior.






Módulos de HardSploit - Framework.


Hardsploit es una herramienta con un aspecto electrónico que dispone de un determinado software. En pocas palabras es una plataforma técnica y modular (utilizando FPGA) para realizar pruebas de seguridad en las interfaces de comunicaciones electrónicas de los dispositivos integrados. Resumiento es un Framework. Todo en una única herramienta para pentesting con hardware.

Las principales funciones de auditoría de seguridad que dispone HardSploit son:

  • Sniffer
  • Scanner
  • Proxy
  • Interact - Interacción con otros dispositivos.
  • Dump Memory - Volcado de Memoria.


Los módulos presentes en HardSploot, proveeran al pentester para poder interceptar, reproducción y enviar datos a través de cada tipo de bus electrónico utilizado por el objetivo del mismo. El nivel de interacción que el operador dependerá de las características del bus electrónico.




Módulos de HardSploit le permiten analizar toda clase de bus electrónico (Sea serie o paralelo)


  • JTAG, SPI, I2C.
  • Direcciónparaleloybus de datosen el chip.
  • Se añadirán mas en un futuro si el proyecto tiene éxito.



Asistencia visual para asistencia de cableado

Se ha podido integrar en la herramienta de una función de cableado visual asistida para ayudar al usuario a conectar todos los cables de forma fácil y sencilla al hardware objetivo.

  • GUI guía le mostrará la organización pin (pin OUT) del chip de destino u objetivo.
  • GUI le guiará durante todo el proceso de cableado entre Hardsploit conector y el objetivo a probar.
  • GUI se encarga de controlar un conjunto de LED que se encienden y se apagan y asi facilita encontrar el Hardsploit Pin  para conectarse al dispositivo de destino.


La parte de software del proyecto contribuirá a la realización de una auditoría de seguridad de extremo a extremo. Será compatible (integrado) con las herramientas existentes, como Metasploit. Vamos a ofrecer la integración con otra API en el futuro.

Este ambicioso proyecto pretende ofrecer una herramienta equivalentes a los de la compañía Qualys o Nessus (Vulnerability Scanner) o el mismo framework Metasploit, pero abordando el campo de la electrónica embebida.




Para poder referirnos al software de HardSploit, el cual podría ejecutar tareas de auditoría a un sistema extremo a extremo. De alguna forma pretende en convertirse en una herramienta imprescindible en temas relacionados al Internet de las Cosas.




A continuación se presentarán los videos promocionales de HardSploit hechos por Opale Security, quienes son los creadores de este fabuloso proyecto.



1.- Presentación - HardSploit.





2.- Jugando con la Memoria SPI.





3.- Jugando con buse electrónicos I2C y memorias I2C.





Bueno con esto último hemos finalizado este post, espero que haya sido de su agrado y entendimiento. Cabe mencionar que es necesario tener conocimiento técnico y electrónico para poder manipular este dispositivo HardSploit. Espero que puedan investigar sobre los temas que se han tratado en este post de forma muy corta. Bueno me despido de todos ustedes y será hasta una nueva próxima ocasión.






PD: Si alguien desea contactar conmigo, puede agregarme a mi cuenta de fb, ya que es donde estoy mas tiempo compartiendo cosas interesantes con amigos. https://www.facebook.com/Zer0CooL15