Información de Malware. ¿A través de DNS?

Hola a tod@s! Hoy día, y debido a que cada año crece más todo lo relativo a vías de infección, han proliferado muchos servicios de consulta de Malware, y todo lo relacionado con la muestra. Servicios como VirusTotal y ThreatExpert son buenas referencias a tener en cuenta, en tanto y cuanto a un auditor, le caiga [...]

A la caza del mutante, parte IV

Parte I Parte II Parte III Parte V Hola a tod@s! En esta penúltima parte, vamos a realizar la búsqueda de MUTANT (MUTEX), a través de la herramienta volatility, y realizando para ello un análisis forense offline. Para poder realizar esta búsqueda con éxito, el gran Andreas Schuster implementa un módulo para volatility, a través del [...]

Algunas notas sobre el exploit MS12-020

Hola a tod@s! Llevo unos 3 días informándome sobre la vulnerabilidad que afecta a todos los servicios de Terminal Server, y he aquí la información que puedo aportar al respecto de leer y releer scripts e información adicional. Después de leer en mi RSS post similares con información relativa a exploits públicos, los cuales revelaban [...]

A la caza del mutante, parte III

Parte I Parte II Parte IV Parte V Esta vez, vamos a utilizar las herramientas Process Explorer y Handle, de Sysinternals, para la correcta búsqueda de Mutants (MUTEX) en el sistema. Siempre que un objeto se crea o se abre, una referencia hacia éste, es creada. Esta referencia, llamada HANDLE, estará asociada con un proceso, [...]

A la caza del Mutante. Parte II

Parte I Parte III Parte IV Parte V La forma más sencilla de buscar mutantes (MUTEX) en nuestro sistema y en tiempo real, es utilizando las herramientas de SysInternals. Para ello, la primera herramienta que utilizaremos será WinOBJ, la cual nos permitirá visualizar, de forma jerárquica, el manejador de objetos (Object Manager) de Windows. Cada [...]

A la caza del Mutante. Parte I

Parte II Parte III Parte IV Parte V Un mutante, es como Windows llama de forma común a un Mutex. Un mutex ayuda a la hora de acceder a los recursos del sistema, o como mecanismo que ayude a que sólo una instancia de la aplicación se encuentre corriendo en el sistema. Las aplicaciones pueden crear [...]

parseando el fichero consolidated.db

Hola a tod@s! Como ya conoceréis, Iphone, al igual que otros smartphones, guarda información geográfica sobre los puntos en donde ha estado “el móvil”. Entre toda esta información, también se guarda la información de los puntos de acceso WI-FI que se encuentra en “el camino”, incluyendo su MAC. Imagen 1.- Fichero Consolidated.db En Seguridad Apple tienen [...]

SYSTEM, causa y efecto IV de IV

Artículos anteriores http://windowstips.wordpress.com/2011/01/10/system-causa-y-efecto-i-de-iv/ http://windowstips.wordpress.com/2011/01/11/system-causa-y-efecto-ii-de-iv/ http://windowstips.wordpress.com/2011/01/17/system-causa-y-efecto-iii-de-iv/ Hola a tod@s! En este último post, nos centraremos en cómo la cuenta SYSTEM se comporta a la hora de ser utilizada de forma interactiva. Para ello, y en el banco de pruebas que hemos montado, realizaremos una elevación de privilegios, tal y como se ha comentado ampliamente por la Red. Tenéis [...]

SYSTEM, causa y efecto III de IV

SYSTEM. causa y efecto I de IV SYSTEM, causa y efecto II de IV SYSTEM, causa y efecto IV de IV Hola a tod@s! Este post está dedicado a observar el funcionamiento de un SID en lo referente a un usuario específico. Un SID, o identificador de seguridad, es una estructura para identificar inequívocamente a [...]

SYSTEM, causa y efecto. II de IV

SYSTEM. causa y efecto I de IV SYSTEM, causa y efecto III de IV SYSTEM, causa y efecto IV de IV Hola a tod@s!! En la primera entrega dedicada a las diferencias entre la cuenta SYSTEM y una cuenta de tipo administrador, estuvimos repasando las diferencias a nivel de privilegios que tienen estas cuentas, diferencias [...]