Información de Malware. ¿A través de DNS?

Hola a tod@s! Hoy día, y debido a que cada año crece más todo lo relativo a vías de infección, han proliferado muchos servicios de consulta de Malware, y todo lo relacionado con la muestra. Servicios como VirusTotal y ThreatExpert son buenas referencias a tener en cuenta, en tanto y cuanto a un auditor, le caiga [...]

A la caza del mutante, parte IV

Parte I Parte II Parte III Parte V Hola a tod@s! En esta penúltima parte, vamos a realizar la búsqueda de MUTANT (MUTEX), a través de la herramienta volatility, y realizando para ello un análisis forense offline. Para poder realizar esta búsqueda con éxito, el gran Andreas Schuster implementa un módulo para volatility, a través del [...]

A la caza del mutante, parte III

Parte I Parte II Parte IV Parte V Esta vez, vamos a utilizar las herramientas Process Explorer y Handle, de Sysinternals, para la correcta búsqueda de Mutants (MUTEX) en el sistema. Siempre que un objeto se crea o se abre, una referencia hacia éste, es creada. Esta referencia, llamada HANDLE, estará asociada con un proceso, [...]

A la caza del Mutante. Parte II

Parte I Parte III Parte IV Parte V La forma más sencilla de buscar mutantes (MUTEX) en nuestro sistema y en tiempo real, es utilizando las herramientas de SysInternals. Para ello, la primera herramienta que utilizaremos será WinOBJ, la cual nos permitirá visualizar, de forma jerárquica, el manejador de objetos (Object Manager) de Windows. Cada [...]

A la caza del Mutante. Parte I

Parte II Parte III Parte IV Parte V Un mutante, es como Windows llama de forma común a un Mutex. Un mutex ayuda a la hora de acceder a los recursos del sistema, o como mecanismo que ayude a que sólo una instancia de la aplicación se encuentre corriendo en el sistema. Las aplicaciones pueden crear [...]

Volatility Framework Installer

Hola a tod@s!! Hace tiempo que salió al público el estupendo trabajo de muchos investigadores que dio como resultado la herramienta Volafility Framework. Los que me conocéis, sabéis que yo llevo dando por saco con el tema de la memoria RAM desde hace bastante tiempo. Gracias a Dios, que conforme más tiempo pasa, más información [...]

SYSTEM, causa y efecto IV de IV

Artículos anteriores http://windowstips.wordpress.com/2011/01/10/system-causa-y-efecto-i-de-iv/ http://windowstips.wordpress.com/2011/01/11/system-causa-y-efecto-ii-de-iv/ http://windowstips.wordpress.com/2011/01/17/system-causa-y-efecto-iii-de-iv/ Hola a tod@s! En este último post, nos centraremos en cómo la cuenta SYSTEM se comporta a la hora de ser utilizada de forma interactiva. Para ello, y en el banco de pruebas que hemos montado, realizaremos una elevación de privilegios, tal y como se ha comentado ampliamente por la Red. Tenéis [...]

SYSTEM, causa y efecto. II de IV

SYSTEM. causa y efecto I de IV SYSTEM, causa y efecto III de IV SYSTEM, causa y efecto IV de IV Hola a tod@s!! En la primera entrega dedicada a las diferencias entre la cuenta SYSTEM y una cuenta de tipo administrador, estuvimos repasando las diferencias a nivel de privilegios que tienen estas cuentas, diferencias [...]

SYSTEM, causa y efecto. I de IV

 SYSTEM, causa y efecto II de IV SYSTEM, causa y efecto III de IV SYSTEM, causa y efecto IV de IV Hola a todos!! En esta serie de 4 capítulos, examinaremos las sutiles diferencias entre un usuario administrador y un usuario de sistema (SYSTEM). Estas diferencias, serán cruciales a la hora de decidir qué tipo de [...]

Exposición, Malware y otras cosas de meter

Hola a tod@s!! El otro día, charlando en una reunión entre colegas, terminamos hablando de Malware y la ventana de exposición ante un ataque Web. La conversación estuvo interesantísima, con varios puntos de vista sobre un posible ataque a una Web, y cual sería la ventana de exposición si el ataque se hubiese llevado a buen fin. [...]