H-Sec

febrero 4th, 2012

Encontrando a Nemo – Añadiendo Firmas a ClamAV

No Comments, Analisis, Malware, by Lord R.N.A..

Historias, historias e historias del tipico nino que te infecta con su malware indetectable, que se esconde y luego de quitarlo totalmente del arranque, te acuerdas que no eliminaste el ejecutable y ni idea de donde anda el jodido ejecutable. Despues de ver tantas veces esto repetirse y parecer un idiota buscando a Nemo y raras veces encontrandolo, aqui nos llega ClamAV a darnos una mano… Por eso lo adoro, el nos ayuda a encontrar a Nemo.

Algunos no conocen a ClamAV. ClamAV es un Antivirus OpenSource y gracias a que es OpenSource podemos modificarlo tantoo como queramos, en este caso haremos alguna firma para encontrar a Nemo (Nombre Excitante en Malware… Obvio XD). ClamAV al igual que todos los antivirus tienen distintos tipos de Firmas: Firmas por Cadenas de Texto, Firmas por Secciones Binarias, Firmas Logicas (añadidas a partir de la version 0.96, ya de por si me han salvado varias veces).


More

Tags: , , , ,

enero 11th, 2012

Cronicas de un Exorcismo: Preparando el Analisis

Comentarios desactivados, Analisis, Malware, by Lord R.N.A..
A la hora de analizar un malware, es buena idea tener todo listo para tratar de a la primera obtener la mayor cantidad de información posible de nuestro querido “amigo”. En caso de que no puedan realizar una desinfección exacta y precisa, conseguir seguir la traza que deja el malware en el sistema o no contar con un equipo específicamente para infectar y examinar, es recomendable utilizar una maquina virtual y en caso de pocos recursos en el equipo, con un SandBox estaría bien.

A la hora de la fiesta tendremos diferentes opciones sobre la maquina virtual que podríamos escoger, en mi caso siempre tengo preferencias por el software libre. Entre las opciones que tenemos para una Maquina Virtual están VMWare, VirtualBox o Qemu… personalmente prefiero VirtualBox, debido a que me ha acompañado desde el principio. En algunos casos los recursos no serán suficientes como para tener una Maquina Virtual por lo tanto podríamos utilizar un SandBox, lo cual recomiendo como ultima opción.

More

enero 7th, 2012

Ingenieria Social: Como jugar a ser un Jedi y no ser cogido por los Sith

Comentarios desactivados, Ingenieria Social, by Lord R.N.A..

La Ingenieria Social es el arte o la metodologia por la cual se obtiene una respuesta esperada de un individuo. Esta tecnica es utilizada por un amplio grupo de personas (criminales, hippies, sacerdotes, investigadores, psiquicos y si… hasta mi perro) para obtener acceso a puntos en los cuales no deberian tenerlo, basandose en la idea de que en un sistema el usuario es el eslabon mas debil.

Para que un ataque de Ingenieria Social sea efectivo debe de seguir un patron claro y preciso, no hay tiempo para los errores, un error puede ser la distancia entre tu libertad y una celda con un ogro llamado Bob.

More

diciembre 29th, 2011

Otra forma de inyectar un ejecutable en memoria (DummySection)

Comentarios desactivados, C++, Programacion, by Zero.

Bueno, pues al fin se me ocurrió otra forma de hacer que podamos cargar un ejecutable en memoria y ejecutarlo que aún no sea (o no sea tan) detectada por los antivirus. Llevaba mucho tiempo pensando en ello, y la idea básica que tenía era clara: Cambiar el ImageBase del Loader ( el programa que cargará el ejecutable en memoria) por algo como 0×00100000 y así dejar 0×00400000 libre, que es donde se quieren cargar el 99.9% de los ejecutables. Una vez hecho esto llegaba lo difícil, reservar de alguna forma la dirección de memoria 0×00400000 para poder tener ahí permisos de lectura escritura y ejecución. En un primer momento había pensado en hacer uso del primer parámetro de VirtualAlloc, pero no funcionó; esa memoria no siempre está libre cuando se inicia el Loader, por lo que aveces sí conseguía reservar memoria en esa dirección, pero otras veces no, así que no valía, el ASLR lo ponía difícil.
More