Análisis de webshell en PHP de GootLoader


 Análisis de webshell en PHP de GootLoader








 

Comentarios

Publicar un comentario

Entradas populares de este blog

Hacking Tools: sqlidownloader basado en el script en Perl file_reader.pl de PhineasFisher

Imagen
Hola! Seguramente has escuchado sobre los ataques al Sindicat de Mossos d’Esquadra, sino, en Google hay harta información: https://www.google.cl/search?q=mossos+de+escuadra+hacked Uno de los ataques fue "grabado" en un video y publicado por un hacker que se hace llamar "Phineas Fisher". El ataque se hizo a través del sitio del sindicato de los policías, era vulnerable a SQL Injection y tenía además varias fallas de programación, que permitieron al atacante descargar todo el código fuente y subir una web shell al servidor. [mirrors] - Hacking Sindicat de Mossos d'Esquadra (Catalan Police Union) from TuKuLs on Vimeo . En el video, Phineas Fisher muestra una herramienta escrita en Perl que automatiza la descarga de archivos usando SQLMAP, justamente eso es lo que quiero compartir en este post, pero desarrollado en Python. Escribí el código porque la herramienta me servirá y porque siempre al desarrollar aparecen desafíos que nos hacen investigar y
Leer más

Evasión de antivirus modernos usando Process Injection - MITRE T1055

Imagen
  En octubre de este año revisé algunas técnicas comunes de inyección de shellcode en otros procesos, también conocido como Process Injection y puse a prueba algunos antivirus, me hubiese gustado probar más, pero por tiempo no pude. Me sorprendió que siendo técnicas conocidas y sin ofuscación alguna lograra evadir varios antivirus.  Si bien esto lo hago con el propósito de aprender y poner a prueba algunas marcas (a todas les reporté esto), deja en evidencia lo que siempre decimos, que no debemos descansar en "cajas" ni en productos de seguridad si no que deben ser parte de una cadena de mecanismos de protección (protección por capas, partiendo por la capa 8). Incluye el código fuente por si quieres poner a prueba tu antivirus.
Leer más

Desempaquetando Themida 2 (unpacking windows binary) - Análisis de Malware

Imagen
Comparto el mecanismo que me ha funcionado para desempacar los binarios protegidos con Themida 2. Para quienes no conocen Themida, se trata de un software comercial, cuyo objetivo es proteger los binarios de la ingeniería inversa, pensando en proteger a los fabricantes de software de la copia de sus códigos, impedir la generación de cracks o keygens para sus licencias, entre otros. Pero obviamente, esto también es aprovechado por los atacantes que escriben malware, ya que este mecanismo hace mucho más difícil el análisis de los investigadores. En el ejemplo que explico ahora, revisaré un troyano que comparto acá: https://github.com/inc0d3/malware/blob/master/windows/Trusteer.zip Para el análisis recomiendo usar Windows 7 32 bits con las herramientas de Flare: https://www.fireeye.com/blog/threat-research/2017/07/flare-vm-the-windows-malware.html Ejecuté el malware e inmediatamente surgió este error: Es porque tenía corriendo las utilidades Process Monitor y Proce
Leer más