ZeroDay - Ciber Seguridad - Chile

Comparto el mecanismo que me ha funcionado para desempacar los binarios protegidos con Themida 2. Para quienes no conocen Themida, se trata de un software comercial, cuyo objetivo es proteger los binarios de la ingeniería inversa, pensando en proteger a los fabricantes de software de la copia de sus códigos, impedir la generación de cracks o keygens para sus licencias, entre otros. Pero obviamente, esto también es aprovechado por los atacantes que escriben malware, ya que este mecanismo hace mucho más difícil el análisis de los investigadores. En el ejemplo que explico ahora, revisaré un troyano que comparto acá: https://github.com/inc0d3/malware/blob/master/windows/Trusteer.zip Para el análisis recomiendo usar Windows 7 32 bits con las herramientas de Flare: https://www.fireeye.com/blog/threat-research/2017/07/flare-vm-the-windows-malware.html Ejecuté el malware e inmediatamente surgió este error: Es porque tenía corriendo las utilidades Process Monitor y Proce

Hace poco tuve que revisar el sitio web de un cliente, el trabajo era eliminar malware que estaba enviando mucho correo SPAM y también promocionando productos que claramente no era de su negocio o rubro. Lo primero que vi cuando entré al servidor fue una larga lista de archivos HTML con nombres aleatorios, todos ellos promocionando productos extranjeros. Seguí revisando y encontré scripts en PHP, Javascript y Perl, es decir, estaba más que infectado. Pero no quiero hablar sobre el trabajo de limpieza que tuve que hacer, sino del análisis de los distintos malwares instalados (que es una investigación personal, no estaba en el alcance del trabajo). JS REDIRECT Estas son dos muestras de la larga lista de archivos HTML, todos similares: Muestra HTML 1 <html> <head> <title>thousands32761 Gaudiest - whatsoeer alert seemliness champion affright. Listend sense.</title> <meta http-equiv="Content-Type" content="text/html; charset=ISO-88

Mi primer Write Up de Hack The Box. SecNotes, una máquina mas o menos realista. Los que participan constantemente en HTB saben que hay algunas máquinas mas "CTF", que incluyen cosas que pocas veces veremos en la vida real, esto no es el caso. SecNotes es una máquina de dificultad media bien entretenida! ENUMERACIÓN vherrera@hackthebox : /machines/secnotes # nmap -sV 10.10.10.97 Starting Nmap 7.70 ( https://nmap.org ) at 2019-01-17 19:10 EST Nmap scan report for 10.10.10.97 Host is up (0.23s latency). Not shown: 998 filtered ports PORT STATE SERVICE VERSION 80/tcp open http Microsoft IIS httpd 10.0 445/tcp open microsoft-ds Microsoft Windows 7 - 10 microsoft-ds (workgroup: HTB) Service Info: Host: SECNOTES; OS: Windows; CPE: cpe:/o:microsoft:windows Service detection performed. Please report any incorrect results at https://nmap.org/submit/ . Nmap done: 1 IP address (1 host up) scanned in 24.53 seconds Nmap entrega como resultado d