ClS | AbsshA

Unpackme by GUAN (SOLUCION)

2010-11-10T17:22:00.003+01:00

Bueno, a petición de algunos de la lista y con la única intención de cubrir las inquietudes de la humanidad. Ahí va.

Descarga

Pass: "crackslatinos"

Reversing Tips para Linux

2010-08-24T22:43:00.002+02:00

Para que no pase tanto tiempo entre una entrada y la siguiente os dejo un pequeño tutorial para aquellos que no saben que hay más mundos al otro lado de sus ventanas...

Descarga

Exploiting PhotoFiltre Studio 8.x.x

2010-07-28T13:48:00.001+02:00

Buenas a todos!

La verdad es que tenía muchas ganas de quitarme éste tutorial de encima, que por falta constante de tiempo no he podido escribir prácticamente nada.
Espero que disculpéis la brevedad del mismo, algunas "faltas" de explicación sobre detalles que obvio, etc.

Descarga: Exploiting PhotoFiltre Studio 8.x.x

Password: "crackslatinos"

Gracias,

Un saludo.

Exploiting FTP´s

2010-06-07T21:04:00.003+02:00

Para abrir el apetito os traigo un pequeño tutorial sobre exploiting de dos FTP´s gemelos.

Espero que os guste e intentaré no demorarme tanto entre entradas...

Link

TFTP Exploit - Vulnerability Analysis

2010-02-06T22:21:00.005+01:00

Solución al Concurso 1 del 2010 de Crackslatinos.

Trata de una vulnerabilidad (conocida) sobre TFTP Server v1.4 en Windows.

Un clásico "stack overflow".

Bajar artículo

Un saludo!

PASSWORD: "crackslatinos"

Análisis de Bifrost v1.2 Exahustivo Parte #1

2009-06-16T16:01:00.002+02:00

Ya llevaba la idea desde hace tiempo y de momento sale la parte #1... el archivo adjunto contiene.

"Bifrost_core.dll" -> .DLL con cabecera reparada y descomprimida (de UPX), y tabla IAT arreglada que contiene el núcleo del troyano.

"PE_Header.Bifrost_core.txt" -> Copia de la Información del PE Header de la librería que se crea en memoria.

"Server.exe_INFECTED" -> Servidor que se ha analizado (Infectado, aunque no conecta a ningún lado).

En ésta parte se ve solamente hasta lo que es extraer la .dll de la memoria, en la segunda parte haré el análisis Estático con IDA (que tengo casi terminado) y escribiré el funcionamiento sobre como se Instala en el SO, Protocolos de comunicación, Desinstalación y Contra-Ataques que se puedan hacer...

Si hay alguien que le interese saber como reparé la .dll una vez volcada que me escriba al privado y haré una Parte III o un Anexo.

Mirror 1

Mirror 2

Password: "crackslatinos"

AbsshA

Panda Security #2 - Solucion

2009-05-04T00:55:00.007+02:00

Aquí está la solución al reto #2 de Panda Security reto que ha llevado unos días elaborarlo correctamente.

Para la prueba número 2 de panda, que por lo visto no tenía solución todavía (o al menos no ha sido publicada), resuelta por todos los listeros de Crakslatinos.

Nos ha costado, ya que había mucho que escribir y está bastante resumido. Si hay cualquier error, duda o lo que sea, decidlo.

http://www.savefile.com/files/2092689

http://www.mediafire.com/file/owjgedqumdx/Reto_Panda_P2_By.Guan_y_AbsshA.rar

AbsshA

Panda Security #1 - Solucion

2009-04-03T10:00:00.003+02:00

Aquí tenéis la solución al pasado reto de Panda Security publicado el pasado miércoles, día 1 de Abril.

Lo podéis descargar aquí.

AbsshA.

Tiny Identd v2.X- Explotando vulnerabilidad

2009-03-25T04:09:00.001+01:00

Tutorial donde se explica el método para explotar la vulnerabilidad, localizar e inyectar una ShellCode para obtener acceso al sistema.

Lo podéis descargar aquí.

AbsshA

01-lizer-sissy-GS Mas SafeSEH

2009-02-04T04:03:00.001+01:00

Interesante ExploitMe con protección anti-overflows con SafeSEH, se puede ver como hacer un ByPass para saltar la protección y conseguir el reto.

Lo podéis descargar aquí.

Crackme Hispasec

2009-02-03T02:36:00.000+01:00

Hace bastante tiempo resolví también un CrackMe que propusieron los de Hispasec como reto, creo que ya se publicaron bastantes soluciones, y ahora mismo no recuerdo como quedó.

Se publicó el 26/11/2008.

El objetivo es un KeyFile que se va comprobando mediante unos hilos haciendo el reto bastante interesante. Todo el análisis está realizado con IDA Pro Disassembler.

Lo podéis descargar aquí.

Nota: El archivo viene como .doc.7z.doc debéis renombrarlo a .7z para descomprimirlo.

AbsshA

Script en Python para desempaquetar un PE

2009-02-01T04:17:00.000+01:00

El último y final Nivel 5 del Concurso 1 de CracksLatinos.

Aquí se nos pedía escribir un script en python que sea capaz de desempacar un Aspack o UPX y además, comprobar que la tabla IAT (Import Table Address) esté en perfecto estado.

El fichero incluye el script en Python tanto para la descompresión como el debugger. También incluye el Crackme v1.0 de Cruehead comprimido con UPX.

Lo podéis descargar aquí.

AbsshA

VideoRedo v2.2.1.445

2009-02-01T04:11:00.001+01:00

Éste es el Nivel 4 del Concurso 1 de CracksLatinos.

Es un programa comercial y un tutorial escrito con fines única y exclusivamente educativos, el autor no se responsabiliza del uso que se le de. (La historia de siempre, vamos).

Está protegido con Armadillo con todas sus protecciones habilitadas, para entretenernos.

El fichero incluye el script para OllyDBG y la librería armaccess.dll para dejar registrado el programa.

Lo podéis descargar aquí.

AbsshA

TrashReg (DotFix)

2009-02-01T04:05:00.001+01:00

Éste fue el Nivel 3 del Concurso 1 de CracksLatinos.

Muestro como desproteger el programa empaquetado con DotFix y reducir el ejecutable quitando las secciones innecesarias.

En la parte de teoría muestro dos puntos interesantes.

- Sistemas de ofuscación (Funcionamiento básico).

- Sistemas de Redirección por SEH. (Self Estructured Handler).

Incluye el Plugin DeJunk v0.13 con el Junkdb.cfg modificado y adaptado para éste packer y su sistema de ofuscación. También el ejecutable resultante desempaquetado.

Lo podéis descargar aquí.

AbsshA

Against Crackme

2009-02-01T03:57:00.002+01:00

Éste es el Nivel 2 del Concurso 1 de CracksLatinos.

Éste CrackMe utiliza un Driver con el cual gestiona la comprobación del número de serie.

Destaco que no utilizo ningún depurador Ring0 para resolverlo, sino OllyDBG para analizar el Driver en ejecución e IDA.

Tanto el Driver modificado para funcionar en OllyBG como el Keygen del CrackMe vienen con el tutorial.

Lo podéis descargar aquí.

AbsshA

Jame's Crackme v1.0

2009-02-01T03:47:00.003+01:00

Éste CrackMe fue publicado en el Concurso 1 de la lista CracksLatinos.

Está compilado en Dev C++, y se componía de 3 retos:

- Obtener un número de serie.

- Realizar un KeyGen.

- Explotar la vulnerabilidad.

El archivo contiene el tutorial en pdf y con el KeyGen del CrackMe.

Lo podéis descargar aquí.

AbsshA.

DCrack(FOFF) Crackme v1.0

2009-01-01T03:59:00.000+01:00

Interesante Crackme con un sistema de ofuscación de código, y redirección por SEH que gestionarán la función que comprueba el serial. También se puede ver el uso de herramientas como CrypTool.

Interesante sistema, sin embargo un pobre algoritmo criptográfico.

Lo podéis descargar aquí.

Teoría de Mensajes y Eventos

2009-01-01T03:50:00.000+01:00

A muchos os irá bien, cuando no sabéis como entrarle un programa, cuando no para el punto H, cuando hay un evento y no sabéis como acceder a él. En resumen, una buena alternativa para ir directamente a la Garlic Zone.

Espero que os guste.

Lo podéis descargar aquí.

Análisis de Malware - Spyware

2008-12-07T06:21:00.002+01:00

Hola a todos, éste es mi primer artículo de mi nuevo blog. Así que poco a poco iré mejorando la calidad de lo que escribo, ya que al principio todo es más complicado.

La idea de éste blog es ir poco a poco mostrando información y métodos que bajo mi punto de vista son interesantes, y como ésto ya se irá viendo, sin más, nos adentramos en el mundo del "Malware".

La historia comenzó básicamente cuando hoy busqué un programa que utiliza un sistema que salió hace muy poquito, el sistema GPU, y que fue distribuido por la empresa "ElcomSoft".

Éste software en principio mejora la velocidad de procesamiento utilizando la tecnología de Nvidia y su innovador sistema CUDA.

Buscando éste software me encontré con un enlace de una página de rapidshare, por norma general el software que sale de páginas como "www.vagos.es", "www.taringa.es", etc. me da bastante confianza, y pese a lo desconfiado que suelo ser con los ejecutables, me decidí a instalarlo en la máquina que utilizo normalmente, es decir, que no lo abrí dentro de una máquina virtual (VMware).

La sorpresa fue que al rato de instalarlo apareció un mensaje que ya había visto antes, pero que sinceramente no esperaba volverlo a encontrar ahora. Al principio durante los primeros segundos me mosqueé un poco, estaba haciendo varias cosas y me vi obligado a quitarlo de inmediato. Ya hace días que venía con la idea de hacer un artículo sobre malware así que me dije a mi mismo que ésta sería una buena oportunidad.

Dicho ésto mi objetivo es escribir mis experiencias, para que con ellas poco a poco podáis deshaceros del malware de vuestros PCs, y no conformes con ésto, saber que es lo que realmente está pasando.

Lo primero de lo que uno se da cuenta es que en el escritorio aparece un claro mensaje de que tienes un "Adware" y que pulses un botón para descargar un antivirus. Con un precioso mensaje "Warning! Spyware detected on your computer!".

Si intentamos arrancar el Administrador de Tareas nos dirá que está deshabilitado. Por lo tanto ya deducimos que ha modificado alguna parte del sistema para evitar que los usuarios inexpertos accedan a cerrar un proceso.

Nosotros no disponemos de él, el método para solucionar ésto es sencillo, simplemente se cambia un valor de ésta clave.

"Software\Microsoft\Windows\CurrentVersion\Policies\System"

Donde veréis rápidamente que es lo que se debe modificar. Aun así el sistema está comprobando periódicamente el valor de la clave y modificándolo constantemente (lo veremos al desensamblarlo).

Sin embargo Windows nos da algunas herramientas para salir del paso, entre otras utilizaremos "Tasklist" y "Taskkill". La primera para listar los procesos y la segunda para cerrarlos.

Aunque no se aprecie bien la imagen, ahí vemos directamente un ".exe" que si no es el encargado de todo ésto al menos eso quieren que creamos. Su nombre es "lphc37kj0e98k.exe" que en un principio puede parecer que es el culpable pero nunca hay que dar por hecho nada. Acordaros que solamente vemos lo que quieren que veamos.

Para analizar el sistema, y saber que es lo que tenemos dentro yo recomiendo un programa esencial. Y su nombre es "ProcessMonitor" es de la casa de "SysInternals" y es un programa fantástico, ya que con él puedes averiguar mucha información sobre cualquier ejecutable que esté corriendo y las operaciones que hace.

Lo podéis bajar aquí.

Nosotros podemos prescindir de ésta herramienta si no queda otra, pero si podemos utilizarla es obvio que vamos a hacerlo. Así que lo primero de todo es abrir y ver cuales son los procesos que tenemos abiertos y la información que podemos obtener. Para abrir el "Arbol de Processos" o bien pulsamos "CTRL + T" o bien lo ejecutamos desde el menú Tools.

Si os fijáis aquí tenemos de nuevo el archivo, con su PID (Identificador), sin embargo vamos a hacer una captura de cual es el ejecutable que anda detrás de los mensajitos, para ello existe un botón en el mismo ProcessMonitor con el cual marcando cualquier ventana automáticamente Sniffea todos los datos de ficheros, registro e Internet.

Por ello una vez sale cualquier mensaje tipo bocadillo recordando que tenéis un virus, y un gran etc. lo mejor es localizarlo con ésta función.

En el caso de encontrarnos con un mensaje así.

Ya haríamos uso del botón que activa en su filtro la opción de Incluir el Proceso indicándole la ventana.

De éste modo rápidamente nos hará un listado no solo con el proceso involucrado, sino que además sabremos básicamente lo que está haciendo.

Si os fijáis ya tenemos más candidatos al premio, solamente con ésta imagen ya veis primero, quien está constantemente deshabilitando el Administrador de Tareas. Además por el icono ya deducimos fácilmente que se trata de un Visual Basic.

Por el momento tenemos dos ejecutables, uno con un nombre irrepetible, y el otro que parece ser que está dando guerra. Copio ambos ejecutables para el análisis posterior, y voy eliminando los procesos a ver como responden.

En más de una ocasión encontraréis procesos que os deniegan el acceso a la hora de cerrarlos, con ese famoso mensaje de "Acceso Denegado".

Cuando ésto pase tendréis que hacer uso simplemente de "Taskkill", para cerrar un proceso normalmente podemos hacerlo de varias formas.

- Taskkill /IM proceso.exe

- Taskkill /PID

Por una parte, tenemos la opción de seleccionarlo con el nombre y por otra por el handle del proceso. Sin embargo si el proceso se resiste, hay que forzarlo, y ésto se hace con la opción "/F". Ej.

- Taskkill /IM "proceso.exe" /F

De éste modo obligamos al cierre del proceso y podemos eliminar el archivo sin problemas.

Volviendo a la lista de antes localizamos los dos procesos.

Y una vez los hemos localizado ya podemos forzar el cierre con los parámetros necesarios.

Ahora que hemos eliminado para poder continuar, vamos a ver las opciones que trae taskmgr (Administrador de Tareas) para habilitarlo, yo por ejemplo utilice el mensaje que nos muestra.

Y ya una vez vemos el mensaje lo buscamos en OllyDBG para poder localizar el problema.

y a partir de ahí ya se puede analizar para ver donde está el problema. Una vez hemos entrado en él ya podemos llegar a la zona del código, para ello tenemos que seleccionar el hilo principal.

Cuando hacemos "attach" sobre un programa lo que hacemos es situarnos en modo depuración sobre él y creando un nuevo hilo y haciendo uso de la función "DbgUiRemoteBreakin" como función de comienzo del hilo de entrada, y luego para el proceso con "DbgBreakPoint" para situarnos precisamente en lo que es el "RETN" donde nos quedamos parados.

Así que si pulsamos "ALT + T" (Threads) podemos ver el hilo de depuración y el hilo principal.

Cuando entremos sabremos fácilmente que estamos en el hilo correcto.

Entonces ya sabiendo cual es el principal, lo podemos seleccionar para ver la Stack (Pila) y localizar la función del mensaje. Ésto se hace con "ALT + K" (Call Stack).

Ya localizamos el mensaje vemos inmediatamente debajo la función que lo llamó.

Ahí fácilmente se puede localizar donde tenemos que actuar.

Vemos que comprueba el valor de la variable en el registro "DisableTaskMgr" y la clave la abre un poco antes.

Con la clave.

- Subkey = "Software\Microsoft\Windows\CurrentVersion\Policies\System"

Según el valor de la variable que es comparado aquí.

Si el Buffer es 0x00000001 el Administrador de tareas no se llega a ejecutar. Por eso hay que cambiar el valor en el regedit.

Así que para habilitarlo ha de quedar a 0. Ahora queda otra, una vez cerramos los procesos y eliminamos los archivos, hay que restaurar el escritorio. Ya que todavía tenemos la imagen de fondo que nos modificaron, y si damos a propiedades del escritorio nos deshabilitaron precisamente las opciones para modificarlo.

Son una captura de un pc normal y como quedó despues de ejecutar el spyware. Se ve claramente como faltan, tano el fondo de pantalla como el salvapantallas. Y siguiendo con el método anterior utilizaremos el ProcessMonitor para capturar el proceso que se encarga de ello.

Si abrimos en la función de inicio en la ventana veremos la información necesaria.

Una vez tenemos la línea de ejecución la analizamos para ver donde tenemos las opciones importantes.

- "C:\WINDOWS\system32\rundll32.exe" /d C:\WINDOWS\system32\shell32.dll,Control_RunDLL desk.cpl.

Tenemos el módulo encargado de gestionar las propiedades de la pantalla, y es "desk.cpl" así que ya sabemos donde tenemos que actuar cuando actuemos con OllyDBG.

Abrimos el proceso con "Attach".

Ahora asignamos los argumentos con el comando que nos dió el ProcMon. En "Debug - Arguments".

Ahora reiniciamos el programa para cargar los argumentos "CTRL + F2" (Restart) .

Seguramente lo más probable es que haya modificado la configuración del sistema, y como es normal ésto se suele hacer mediante archivos ".ini" o en el registro. Si logeamos las funciones que acceden al registro mediante RegQueryValueExA y RegQueryValueExW tendremos quizás la solución al problema.

Para ir a la función hay que pulsar "CTRL + G" (Go to - Expression) y le indicamos la función que queremos.

Y una vez ahí ya podemos meter un Conditional BreakPoint.

Con RegQueryValueExW repito el procedimiento y ejecutándolo en el log veremos los resultados. Yo lo guarde todo en un archivo para hacer búsquedas más deprisa (Boton derecho Open Log File). Y lo que encontré es una estructura.

77DA6FEF CALL to RegQueryValueExW from SHLWAPI.77F442B1

hKey = A0

ValueName = "NoDispCPL"

77DA6FEF CALL to RegQueryValueExW from SHLWAPI.77F442B1

hKey = 124

ValueName = "NoDispAppearancePage"

77DA6FEF CALL to RegQueryValueExW from SHLWAPI.77F442B1

hKey = 124

ValueName = "NoDispBackgroundPage"

77DA6FEF CALL to RegQueryValueExW from SHLWAPI.77F442B1

hKey = 124

ValueName = "NoDispScrSavPage"

77DA6FEF CALL to RegQueryValueExW from SHLWAPI.77F442B1

hKey = 124

ValueName = "NoDispSettingsPage"

Se puede dar uno cuenta rápidamente que son los valores que indican si se muestra o no la sección de la pestaña especificada. Añadiendo las funciones RegOpenKeyExA y RegOpenKeyExW con el mismo procedimiento anterior obtengo la clave.

77DA6A9F CALL to RegOpenKeyExW from SHLWAPI.77F44126

hKey = HKEY_LOCAL_MACHINE

Subkey = "Software\Microsoft\Windows\CurrentVersion\Policies\System"

Reserved = 0

Access = KEY_QUERY_VALUE

pHandle = 0007E8D4

77DA6FEF COND:

77DA6FEF CALL to RegQueryValueExW from SHLWAPI.77F442B1

hKey = 124

ValueName = "NoDispAppearancePage"

Reserved = NULL

pValueType = 0007E77C

Buffer = 0007EA30

pBufSize = 0007EA2C

Ahora debemos ir a.

"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System"

"NoDispScrSavPage" (Eliminar o poner a 0)

"NoDispBackgroundPage" (Eliminar o poner a 0)

Sin casi esfuerzo y haciendo uso de herramientas potentes en poco rato averiguamos el problema y lo solucionamos en el regedit, de ésta manera aparentemente está todo correcto. Pero falta el análisis de los dos ejecutables que copiamos y los posibles rastros (Imágenes, *.scr, .dll, etc.) que veréis en la segunda parte.

Un saludo, y hasta la siguiente entrega.

Comienzo de éste Blog

2008-12-06T02:11:00.000+01:00

Bueno a partir de ahora comenzaremos con el nuevo Blog escribiendo las cosas más interesantes del mundo de la Seguridad Informática.

Un saludo a todos.

VB

2007-05-05T23:24:00.001+02:00

Aqui una entrada de VB

Otros

2007-05-05T23:24:00.000+02:00

Aqui una entrada de otros

.NET

2007-05-05T23:23:00.000+02:00

Aqui una entrada de .Net

Herramientas Varias

2007-05-05T23:22:00.000+02:00

Aqui una entrada de varias

Analizadores

2007-05-05T23:21:00.001+02:00

Aqui una entrada de analizadores

Editores

2007-05-05T23:21:00.000+02:00

Aqui una entrada de editores

Depuradores

2007-05-05T23:19:00.000+02:00

Aqui una entrada de depuradores

Worms

2007-05-05T23:17:00.000+02:00

Aqui una entrada de worms

Virus 1

2007-05-05T23:16:00.002+02:00

Aqui una entrada de Virus