Los antivirus para los TLess. Yo soy un H4x0r…..

Estándar

Me encantan las T. Están las TBlonde, los tangas y las que le gustan a mi colega pepito… Las Tiin. Pero hoy vamos a hablar de los Técnico Less, vulgarmente llamados TLess. En la Web de Satán se están recolectando definiciones de lo que es un técnico less. Así que si no has puesto una ya estás tardando en exponerla…:)

Ya os he dicho en alguna que otra ocasión que me encanta Kriptópolis. Si fuese un usuario novato y leyese alguno de sus artículos principales, como éste, al que comento gustosamente aquí, te juro que le daría una patada a mi Windows y me instalaría de cabeza un Linux. Pienso que a sus editores se les va la pinza un poco en lo que a explicar se refiere. No sé si lo hacen para ganar visitas, o es que realmente piensan así. La entrada que se puede leer desde esta mañana es esta:

http://www.kriptopolis.org/pregunta-tipica-de-nuevo-usuario-de-linux-que-antivirus

En esa entrada, recopilan razones por las que un usuario debería migrar a Linux. El dejar de usar el antivirus. Ofrecen maravillas como estas:


Los permisos en Linux son universales. Cubren tres cosas que pueden hacerse con ficheros: leer, escribir y ejecutar. Y no sólo eso, sino que vienen en tres niveles: para el usuario root, para el usuario común logueado y para el resto del mundo. Típicamente, el software que puede impactar en el sistema como un todo requiere privilegios de root para ejecutarse.

Los Windows tienen unas cositas llamadas ACL, DACL, SACL y el funcionamiento es el mismo, pero un poco más avanzado. Quien quiera echarle un vistazo podéis descargaros lo siguiente:

Listas de control de acceso en profundidad

Writing Secure Code. De la MSDN

Microsoft diseñó Windows para permitir a los de fuera ejecutar software en su sistema. La empresa justifica ese diseño diciendo que enriquece la experiencia del usuario el hecho de que un sitio web pueda realizar acciones "guay" en su escritorio. Debería quedar claro que la única gente enriquecida por esa decisión de diseño es la que gana dinero proporcionando seguridad adicional o reparando los daños que provoca en el sistema.

Vamos a ver. Partiendo de la base de que no haya ningún elemento extraño (bug en el sistema) Se ejecutará algo si YO quiero que se ejecute no? Esas listas de control que he mencionado antes, más los cientos de políticas que puedes implantar en un Windows, impiden en mayor o menor medida (depende de quién lo administre), estos errores.


Algunos programas maliciosos requieren que se abra un adjunto. Otros ni siquiera necesitan que el usuario cometa ese error. Por las buenas o por las malas, el malware en Windows a menudo es ejecutado, infectando primero el sistema local y propagándose después a otros. Qué horrorosa vecindad. Me alegro de no vivir ahí.
En Linux existe protección incorporada contra esa tropa. Los ficheros recién descargados desde su programa de correo o navegador web no reciben privilegios de ejecución. Renombrar los ejecutables tampoco sirve, porque Linux y sus aplicaciones no dependen de las extensiones de los ficheros para identificar sus propiedades, de modo que no pueden ejecutar malware inadvertidamente mientras se interactúa con él.

Juas! Y por esa regla de 3 para qué necesito yo en mi Linux un comprobador de integridad de ficheros como trae RPM por ejemplo? Ahh claro, que un RPM o DEB no puede venir manipulado… Es imposible.

Por eso han elegido Linux, para liberarse de pagar una tasa de seguridad por protegerlos del malware, u otra posterior para que su sistema sea esterilizado tras haber sido infectado.

Ea, a pulular sin antivirus ni firewall por la Red.

Menos mal que al final del artículo muestra algo de inteligencia…


Los usuarios de Linux, como los de cualquier sistema operativo, deben siempre ser conscientes de los temas de seguridad. Deben actuar con inteligencia para mantener sus sistemas seguros. No deberían ejecutar con privilegios de root programas que no los necesiten, y deberían aplicar regularmente parches de seguridad.

Que sepáis que en Windows no se puede hacer esto OK? Debéis ejecutar siempre vuestro equipo como Administrador, y olvidáros del principio del mínimo privilegio, de las ACL, DEP para la protección de memoria, actualizaciones automáticas y demás chorraditas. En Linux si lo ejecutas todo como root no puede pasarte nada. Te lo garantizan estos chicos. Así que no seas tonto, pásate a Linux y NO le instales un antivirus. Y si te pasa algo parecido a esto:

http://www.linuxforums.org/forum/linux-security/29611-rootkit-infected.html

http://www.linuxforums.org/forum/linux-security/2510-linux-has-rootkit-problem.html

O lees algo de esto:

http://www.rediris.es/cert/ped/reto/01/Informe%20Tecnico.pdf

http://www.seguridad.unam.mx/eventos/reto/uno_tecnico.pdf

Quizás cambies de opinión….

En otro orden del día hoy estoy un poquito cabreado porque mi Debian se me ha jodido… Kernel Panic!. Y la verdad es que no tengo ni puta idea de por qué me ha pasado esto. No he instalado nada desde hace 2 meses más o menos. Lo único que he hecho ha sido crearme una partición desde Windows, para almacenar mis casi 10 máquinitas virtuales para pruebas. El caso es que también se me ha jodido el ratón y me he comprado uno superchulo que va a través de USB. Pero Linux se ha coscado y me ha dicho que nanay, que hay un cambio brusco de hardware en mi sistema. El caso es que no puedo entrar ni por shell ni nada. Así que si algunos linuxeros me podéis ayudar, estoy abierto a todas vuestras sugerencias… (Va en serio…)

Llegará el día en que alguien les diga a estos TécnicoLess las cosas… Como hay que decirlas y explicarlas? Os dejo con un vídeo gañanes!

Formas de analizar un virus. Un paseo por Rapidshare

Estándar

De vez en cuando me doy un paseillo por webs de descarga directa a ver si encuentro algún amiguete escondido entre tanto link. Esta vez me dí un paseo por rapidshare.

Este tipo de Webs, como sabéis, ofrecen un servicio gratuito de alojamiento de archivos por un tiempo limitado. Chulo no? Lo malo es que se pueden alojar tanto archivos buenos, como archivos maliciosos.

Empecé buscando lo que busca todo el mundo. Un keygen para el Windows Vista. jaja. Tanto critiqueo pero estas Webs están llenas de cracks para el Vista. De los 5 archivos que me descargué 3 tenían un alien dentro. Llamádme loco, pero cada vez que descargo un archivo, tengo la paranoia de subirlo a virustotal. Los 3 amigos son los siguientes:

Troyano Zlob (2 archivos)

Un keylogger

Un posible virus sin identificar (Mirad la foto)

Tanto el troyano como el keylogger, lo detectaban perfectamente casi todos los antivirus de virustotal, pero con el tercero, la cosa cambia. El posible virus está empacado con Themida, un software comercial para empacado de archivos. Permite encriptación, técnicas anti-debbuger, etc.. Una aplicación que haya sido empacada con este software puede dar más de un falso positivo, y sólo algunos antivirus, con heurística paranoica, detectan algo, que en algunos casos, puede o no ser un virus.

En el blog de Hispasec pusieron una entrada hace no mucho tiempo que debatían sobre el tema de si los antivirus debían detectar estos packers. Enlace aquí

Ni Mcafee, ni Norton, ni Panda, ni Kaspersky, ni Nod32 lo detectan. Se lo tragan completito.

Y el nombre no puede ser más sugerente. Microsoft_Windows_Vista_Keygen. Si los antivirus no lo detectan, qué haría una persona medianamente normal? Doble click…. Y a jugar! Veamos un poco lo que hacen nuestros amigos.

Aquí empezamos a jugar con la máquina virtual. En post anteriores os he dado algunos enlaces directos a máquinas virtuales, así que podéis descargaros las de los links, o montaros alguna para pruebas.

Ejecutamos nuestra máquina virtual y ejecutamos el posible virus. Doble click y el archivo desaparece… Y mi serial?? :)

Acto seguido abro una shell de Windows y ejecuto el comando netstat, para ver las conexiones activas de mi equipo virtual. La ejecuto con los parámetros siguientes:

-n.- Muestra direcciones y puertos asociados

-a.- Muestra todas las conexiones

-b.- Muestra el ejecutable que crea la conexión

-o.- Muestra el PID asociado al ejecutable

netstat -nabo Jaja. Qué palabra más bonita! Los datos son reveladores

ConexionesBot

Como quiero saber más de nuestro sospechoso amigo, me descargo de Microsoft la herramienta ProcessExplorer, aplicación que me va a ayudar a conocer de una manera más íntima a nuestro amigo. Lo que voy a mirar será los strings que contiene, lo que carga en memoria, y las propiedades TCP/IP del amigo.

El comando Strings, me va a buscar cadenas de texto ASCII o Unicode en el ejecutable. De ahí podremos deducir algo si vemos cadenas legíbles.

Para ver los strings del fichero, hacemos doble click en el archivo (desde Process Explorer) y nos vamos a la pestaña Strings. El resultado no nos muestra mucho. Efectivamente está empacado con Themida y al final leemos que está intentando escribir o tomar un archivo, posiblemente de configuración. Lo podéis ver en la imagen adjunta.

StringsBot

Justo en esta misma pestaña, Process Explorer nos da la oportunidad de mirar también el contenido de la memoria. El contenido es más que revelador. Tenemos ante nosotros a un auténtico depredador. Virus con capacidad de troyano, downloader, gusano, Bot, etc…

Guarda en memoria todo tipo de datos. Posibles usuarios y contraseñas, diversas formas de explotar una serie de vulnerabilidades antiguas (DCOM, LSASS, RPC, etc..)

El contenido de la memoria de este virus, lo podéis ver en formato de texto (.txt) aquí:

http://eldiario.host.sk/virus/SysTskMon.exe.txt

Si queremos ver el tipo de conexión que intenta realizar el virus, pulsamos la pestaña TCP/IP y nos muestra lo siguiente:

ConexiónBot

El virus está intentando crear una conexión a través de IRC y por el puerto 6667, un puerto típico de conexión para estos menesteres. También vemos que el estado de la conexión es SYN_SENT, es decir, el socket está esperando la conexión. 

El virus en cuestión crea una entrada en el registro de Windows, y se aloja en System32. Cabe decir que si ejecutásemos este virus bajo una cuenta NO Administrativa, este virus tendría un impacto NULO en un sistema Windows.

En próximos artículos veremos como obtener información básica sobre determinados virus, realizando algunas técnicas forenses para la identificación y extracción de datos sensibles.

Espero que os quede un poco más claro que por muchas protecciones de seguridad que tengamos en un equipo, ninguna de ellas será efectiva ante un doble-clic de un usuario.

Cuidadito por la Red y vigilad lo que os descargáis.

1Saludo!

ONG se pasa a Linux! Y dejó de ser libre…

Estándar

El año pasado monté una pequeñísima infraestructura en una ONG de San Juan Bosco aquí en Sevilla. La monté totalmente free.  La ONG compró 5 equipos. 4 para las oficinas, y un quinto con 2 discos duros, que haría las veces de servidor. Compraron 4 licencias de XP y un quinto sin licencia. Se montaron 4 XP y en el quinto se montó un Debian para tareas de respaldo y backup de ficheros. De puta madre no?

Un año después llegó el nuevo. Talibán Geek de entre Geeks que van por el mundo diciendo que Windows es una megda y que nos espía… Dió una charla magistral a los allí presentes, mi hermana incluida. Esto es una ONG y los sistemas tienen que ser libres! Aquí todo tiene que ser free! Ahora ellos y el Señor nuestro Dios saben que Microsoft nos espía. Todo el mundo acojonado. Solución. Hay que pasarse al software free… Donde echelon no llega…

Yo a mi hermana le tengo el coco lavado, con lo que es más del lado del mal que del bien (en realidad le da igual… :)), pero a los demás ni de coña. Querían un Ubuntu ya! Querían ser libres.

Formatea los 3 equipos (mi hermana se negó) y en dos de ellos monta un sistema dual. Ubuntu y XP en dos de ellos, en uno Ubuntu como sistema operativo. A los XP les quita el principio del mínimo privilegio… Con el poco trabajo que me costó educar a esos chavales a utilizar el RunAs… El talibán Geek llegó y vámonos que nos vamos… Todos Admin…

Primera putada. Los equipos no se ven entre ellos ni con el servidor (Debian). Solución. Formatea el Debian y pone Ubuntu ¿?¿? No sin antes decirle a mi hermana que su XP es el causante de saturar la red. ¿?¿

Mi hermana me llama. Juanito esto se está poniendo muy feo. Yo le digo que ni de coña me acerco por allí. Que yo no haría más que incordiar y mancillar su libertad…

Al no querer aparecer por allí, mi hermana cae en las redes del bien y accede a que le hagan una pequeñita partición para Ubuntu. Pero claro. La ONG tiene que escribir en NTFS. No hay problemo. Redimensiono las particiones, instalo el driver ntfs y punto pelota.

Más problemas. El sonido no se escucha en 2 equipos (los duales). En el tercero se escucha el sonido, pero depende de lo que esté escuchando. Es decir, no puedes administrar el sonido entre dos reproductores. Si quitas el sonido en uno, el otro se queda mudo…. Pero al intentar arreglarlo petaron las X de ambos equipos…

Problemas al cuadrado. El portátil de mi hermana no arranca Windows XP. Mensaje S.O. not found. Arranca con un Live-CD de Knoppix y bajo entorno gráfico no ve ni una carpetita… Error de montaje dice Knoppix…

Escenario. 4 equipos que no funcionan, o no funcionan en parte. Mi hermana y su amiga llorando por teléfono. Este mediodía he ido a la ONG a hablar con el talibán Geek.

Me ha dicho que es la primera vez que le pasa esto. Le digo que sin problema, pero qué cojones hacemos con el portátil de mi hermana que se ha fundido el sistema de archivos NTFS, donde tenía todos sus archivos… Me dice que es culpa de Windows que se hace un lío con el redimensionamiento….

Miro a mi hermana y me río… Le pregunto que cómo cojones se va a hacer un lío si el particionamiento lo ha hecho desde ubuntu y el driver lo ha instalado desde ubuntu… El silencio se apodera de la sala…

Os he dicho cuanto quiero a mi amigo chkdsk y a mi primo fixboot? Estos amigos no los conocía el talibán Geek.

El equipo lleva todo el día intentando salvar datos. Mi hermana y su amiga todavía están llorando. Quieren volver a echelon. 

Yo por mi parte no voy a tocar nada, salvo los datos de mi hermana y su compi. Mañana veré si se ha salvado todo. Al talibán Geek le queda por instalar 4 máquinas con Ubuntu. A mi hermana le he dicho que ni se le ocurra llamarme. Que llame al talibán Geek.

Tienen las licencias. Está todo funcionando del carajo. Problemas 0. El talibán Geek monta los Ubuntu, pero me llaman a mí…

Nu sé nu sé… Pero creo que esta semana la voy a tener movidita…

Con el talibán Geek tengo una charlita pendiente….

 Updated (20:57h): Me acaba de llamar mi hermana…. Quiere volver con Spectra…

./MiCoche.ps1 autopista 120 gato | {where $_.damage -gt 100} >>daños.txt

Estándar

Black day en la vida de Juanillo… Éramos pocos y parió la abuela…

Juanillo. Autopista Huelva-Sevilla. 120 Km/h. Exploit en la pista. Ese exploit lo llamaremos gato. El exploit encontró un punto vulnerable en mi coche y lo explotó… Vaya que si lo explotó. Paré el coche y en principio no pareció tener grandes daños. Seguí con el coche y llegué a destino. Incluso esa misma noche nos fuimos de juerga en ese coche cierta fauna que pulula por la red, como son Penyaskito, el Maligno, el PP, Cervi, y fauna que no se llegó a montar, pero que llegaron fielmente a beber y contar chistes, como la rubia de las rubias, Ethelcilla, Miguel Ángel Ramos y mi tocayo!.

Hoy me ha llegado la factura de la persona que ha auditado mi coche. Le hizo un análisis forense y repasó los puntos por donde se pudo colar el exploit gato. El analista encontró el punto vulnerable. El exploit entró por el radiador y salió por el cubrecarter. El hacker se llevó cosas importantes del coche, como son el turbo cooler, mecanismo de refrigeración, parte del eje delantero, etc.. El exploit dejó una puerta trasera por el cubrecarter y la frontera externa la dejó inservible.

Gracias a Dios no se ha formateado el coche, tan solo me ha aplicado las actualizaciones correspondientes y me ha reconstruido la frontera externa.

Ese exploit quedó obsoleto ese día. Pero el auditor me explicó que ha podido replicarse. Así que cuidadito con los exploits gatos….

La broma. 2000 € y me han regalado un pinito olor coche nuevo….

Ayuda! Me han robado mi identidad

Estándar

Así se ha quedado este chaval al leer una cartita del gabinete jurídico de Ebay por la que le reclaman 103 €uritos…

Ya lo comentamos el otro día. No es lo mismo entrar aquí, que entrar aquí.

Tengo un par de cuentas de correo que utilizo para que me spameen. Lo dije anteriormente y lo sigo diciendo ahora. Me encanta el spam. Siempre llevado bajo un cierto control. Estas cuentas las doy en todos los sitios que veo. Foros, webs extrañas, ponno, yahoo falsos, etc… Ellos me mandan correos a tuti plein, y yo me pongo al día en esto del phishing. Vulnerabilidades que utilicen, 0days que haya por ahí, etc..

Además, esto del phishing es algo que una vez que te pones a mirarlo, parezca que no tenga fin.

El otro día estaba mirando por encima la lista negra de Google. Para el que no lo sepa, en esta lista están los sitios que potencialmente son sospechosos de ser víctimas de algún tipo de phishing, y que además utilizan muchas herramientas como Firefox o la barra de herramientas de Google.

Esta lista es constantemente actualizada, pero no es perfecta. En su ciclo de vida está teniendo muchos fallos de seguridad. Uno de los más gordos es publicar los usuarios y contraseñas que se va encontrando por ahí. Se reportó en su día, Google no hizo declaraciones, retiró las URLS que contenían ese fallito de seguridad, y vámonos que nos vamos.. El problema es que si le echáis un vistazo a la lista de vez en cuando, siguen apareciendo esos regalitos de Dios…

Otro problema es que las urls casi nunca funcionan. Es decir, me da que pensar que estos sitios se ponen y se quitan con una rapidez pasmosa. Tan pasmosa que esta lista en unos días puede quedar obsoleta. Me han pillado, la pongo en otro WebServer vulnerable. No problem.

Así que cuidadito con las URLS que visitáis. Aquí no vale el principio del mínimo privilegio, utilizo Linux así que estoy a salvo, antivirus, mi filtro antiphishing, etc.. Aquí lo que vale es cómo de informados estéis sobre el phishing y sus técnicas. Eso unido a un pelín de picardía. Que no solo Gmail, Yahoo, EBay, etc.. están en el punto de mira. Estos destinos son sólo el principio… Estos me dan más yuyu.  

Wells Fargo

Western Union

1Saludo y a cuidarse!

Tip: Renombrar el nombre de conexión por línea de comandos

Estándar

Salam Malicum hermanos…

El otro día estuve montando una red de unos 50 equipitos. Si todo marcha bien y las máquinas son parecidas, lo tienes todo montado en un par de días. Clonar la mayoría de máquinas, cambiarles el SID para que las máquinas no se peleen entre ellas, configurar permisos en el dominio y montar un ISA Server  como firewall  y proxy caché. Me creé un script sencillito para cambios de IP por si algún empleado interno necesitaba cambiar de dirección al cambiar de oficina. Y me encontré con un problema. Las tíldes. No me había dado cuenta, pero al crear el script en batch con la aplicación netsh, éste no acepta las tíldes ni los acentos, aunque vayan entre “”. Menos mal que los chicos del Scripting lo tienen todo bien documentadito..

http://www.microsoft.com/technet/scriptcenter/resources/qanda/may05/hey0511.mspx

Así que el script se queda así:

Const NETWORK_CONNECTIONS = &H31&
Set objShell = CreateObject("Shell.Application")
Set objFolder = objShell.Namespace(NETWORK_CONNECTIONS)
Set colItems = objFolder.Items
For Each objItem in colItems
   If objItem.Name = "Conexión de área local" Then
      objItem.Name = "Red"
   End If
  
Next

Como el dominio se creó con el principio del mínimo privilegio, los usuarios no pueden cambiar el nombre de red ni los parámetros TCP/IP. Así que lo único que había que hacer es alojar el script de inicio en el dominio, y crear una política de equipo que se encargase de cambiar el interface name. Para crear la regla hice lo siguiente:

En Windows 2003

Inicio –> Ejecutar –> dsa.msc

Se abre automáticamente la consola de usuarios y equipos del directorio activo.

Pincháis en el árbol de vuestro dominio tal y como aparece en la imagen:

Propiedades directorio activo

Se os abrirá una nueva ventana con las propiedades. Pincháis en la pestaña directiva de grupo y editáis la que tengáis existente. Y automáticamente es como trabajar en local con la herramienta de políticas de usuario gpedit.msc.

Configuración de equipo –> Configuración de Windows –> Archivos de comandos –> Inicio

Cambio nombre

Lo mejor es que no tienes que tocar ninguna máquina cliente. Más seguro para tí y menos trabajoso para los empleados. No hay acentos, no hay problemas. Recordad que esta regla la podéis aplicar a todas las políticas que implementéis en un dominio (en grupo de trabajo también es válida). Tan solo tenéis que tener claro los cambios para los que se necesita tener privilegios de administrador y no, para colocar la directiva en equipo o en usuario.

Espero que os sirva

Saludos!

alcolea-party 2007

Estándar

En alcolea del río se va a celebrar una gran party dedicada a las tecnologías. Entre los ponentes se encuentran los siguientes:

Gospel hablará de seguridad en su especialidad. La tecnología móvil.

Seguridad Mobile: amenazas en teléfonos móviles y Smart Phones

ANELKAOS y Rh3nth0n hablarán sobre la nueva LiveCD para auditorías Wireless. El LiveCD se llama WifiSlax y uno de sus paters es el gran HWAGM, responsable de SeguridadWireless y miembro activo de el foro elhacker.net

El infame Chema Alonso y el PP (Padre Parada) nos hablarán de seguridad en Windows Vista.

Y el menda hablará sobre informática forense en entornos Windows, analizando desde 0 una imagen comprometida. Si da tiempo se hará tanto un análisis offline como uno online.

La agenda de la party la podéis ver aquí y el cartelito un poco más abajo.

1Saludo!

alcolea-party