Pues esto de que va porque viene, algunos me preguntaron si tengo o no tengo vida, para andar posteando una entrada cada dia, y la respuesta es si tengo vida :$ solo que la se distribuir de manera adecuada el tiempo dedicado para el blog.

https://encrypted-tbn2.gstatic.com/images?q=tbn:ANd9GcR4DRbkHQvheKMT4WcBoQID00oxRi-R5xVfMiPh1E1kKeBLgUGjComo veran en este año llevamos los 4 meses con esta ultima entrada, una al dia, tal cual indique en el post de Año nuevo que haria todo por armar la entrada diaria, algunos dias se me fue es cierto pero era por fuerza mayor, la Salud, o el trabajo mas que todo la Salud, que ultimamente se estuve deteriorando pero por el destino y gracias a mi Liz, ya ando mucho mejor.

Se que ahora ya puedo realizar mis objetivos a mayor amplitud, es decir lograr todo lo que quiera, la vida te da sorpresas te prepara como se dice te pone trabas, retos para ser mejor cada dia.

Me queda dar las gracias a mi futura esposa, mi compañera, mi amiga Lizbeth.

Tenemos Snifer para mas!!!!

Regards,
Snifer
Leer Mas


He aqui yo U_U rindiendo mi examen, simulado no les dire cuanto me saque hasta el final de la entrada ;), en mi busqueda por la preparación para rendir este examen, y buscar recursos recuerdan que hace semanas publique información relacionada, como tambien en la misma entrada recibimos apoyo de varias personas con material adicional y tip's por decirlo asi quieren verlo aquí esta Material LPI

Ahora para dar continuidad al mismo, venimos con esta entrada relacionada a examenes online, como siempre si conocen alguno diganlo asi actualizamos la entrada.



  1. Penguintutor
  2. LPI 101 Certification Practice Test 
  3. LPI 102 Certification Practice Test
  4. Linux Praxis
  5. PracticeQuiz
Conocen mas? dejen su comentario!

Regards,
Snifer
Leer Mas
Navegando e indagando por la red me encontre este repositorio un listado de retos por decirlo referente a pcaps disponibles en la red,  los cuales podemos usarlos para practicar y realizar el analisis respectivo con nuestro visor preferido, en mi caso siempre uso Wireshark, por su factibilidad de uso.

Ya estaremos haciendo uso de estos archivos con State_X en los próximos días.....

Capture the Flag Competitions (CTF)

PCAP files from capture-the-flag (CTF) competitions and challenges.
DEFCON Capture the Flag Contest traces (from DEF CON 8, 10 and 11)
http://cctf.shmoo.com/
DEFCON 17 Capture the Flag Contest traces
http://ddtek.biz/dc17.html
https://media.defcon.org/torrent/DEF CON 17 CTF.torrent (torrent)
https://media.defcon.org/dc-17/DEFCON 17 Hacking Conference - Capture the Flag complete packet capture.rar (direct download)
DEFCON Capture the Flag pcaps (see collections of files related to the Capture the Flag contest from DEF CON 17 to 21)
https://www.defcon.org/html/links/dc-torrent.html
https://www.defcon.org/html/torrent/DEF%20CON%2018%20CTF.torrent (DEF CON 18 torrent)
https://www.defcon.org/html/torrent/DEF%20CON%2019%20CTF.torrent (DEF CON 19 torrent)
https://www.defcon.org/html/torrent/DEF%20CON%2020%20ctf.torrent (DEF CON 20 torrent)
https://www.defcon.org/html/torrent/DEF%20CON%2021%20ctf%20friday.torrent (DEF CON 21 torrent, Friday)
CSAW CTF 2011 pcap files
http://captf.com/2011/CSAW-quals/networking/
http://repo.shell-storm.org/CTF/CSAW-2011/Networking/
Pcap files from UCSB International Capture The Flag, also known as the iCTF (by Giovanni Vigna)
https://ictf.cs.ucsb.edu/data.php
HackEire CTF Challenge pcaps from IRISSCON (by HackEire)
https://github.com/markofu/hackeire/

Forensic Challenges

Network forensics challenges and contests
Network Foreniscs Puzzle Contest (by Lake Missoula Group, LLC)
http://forensicscontest.com/puzzles
DFRWS 2008 Challenge
http://www.dfrws.org/2008/challenge/submission.shtml
DFRWS 2009 Challenge
http://www.dfrws.org/2009/challenge/submission.shtml

Uncategorized PCAP Repositories

Wireshark Sample Capures
http://wiki.wireshark.org/SampleCaptures
http://wiki.wireshark.org/Development/PcapNg#Example_pcapng_Capture_File
DARPA Intrusion Detection Data Sets from 1998 and 1999
http://www.ll.mit.edu/mission/communications/cyber/CSTcorpora/ideval/data/
OpenPacket.org Capture Repository (maintained by JJ Cummings created by Richard Bejtlich)
https://www.openpacket.org/capture/list
Over 4 GB of network forensic training data from DEEP (Digital Evaluation and Exploitation Department of Computer Science, Naval Postgraduate School). Case details can be found at Jesse Kornblum's blog.
http://digitalcorpora.org/corpora/network-packet-dumps (HTTP)
http://terasaur.org/item/downloads/computer-forensics-2009-m57-scenario/187 (Torrent)
PacketLife.net Packet Captures (Jeremy Stretch)
http://packetlife.net/captures/
http://packetlife.net/captures/leech/
MOME database
http://www.ist-mome.org/database/MeasurementData/?cmd=databrowse
EvilFingers PCAPs
https://www.evilfingers.com/repository/pcaps.php
Wireshark Network Analysis Study Guide (Laura Chappell)
http://wiresharkbook.com/studyguide.html (see "Book Supplements" or use this direct link to the 1.5 TB pcap file set)
Wireshark 101 Essential Skills for Network Analysis (Laura Chappell)
http://wiresharkbook.com/wireshark101.html (see "Book Supplements" or use this direct linkt to the 330 MB zip file)
Laura's Lab Kit v.9 ISO image (old)
http://cdn.novell.com/cached/video/bs_08/LLK9.iso
Sample capture files from: "Practical Packet Analysis - Using Wireshark to Solve Real-World Network Problems" by Chris Sanders
http://www.nostarch.com/download/ppa-capture-files.zip
Anonymous FTP connections to public FTP servers at the Lawrence Berkeley National Laboratory
http://www-nrg.ee.lbl.gov/anonymized-traces.html
Pcapr (Mu Dynamics) - A capture repository with pcap files of various traffic types
http://www.pcapr.net/
Understand project Downloads - Lots of different capture file formats (pcap, pcapng/ntar, pcangpklg and more...)
http://code.google.com/p/understand/downloads/list
I Smell Packets (website)
https://docs.google.com/leaf?id=0Bw6BFSu9NExVMjBjZDRkMTgtMmMyZi00M2ZlLWI2NzgtODM5NTZkM2U4OWQ1
ISCX 2012 Dataset. Over 80 GB of pcap data available for researchers (created by Ali Shiravi, Hadi Shiravi, and Mahbod Tavallaee from University of New Brunswick)
http://iscx.ca/dataset-request-form
Research PCAP datasets from FOI's Information Warfare Lab (FOI is The Swedish Defence Research Agency)
ftp://download.iwlab.foi.se/dataset/smia2011/Network_traffic/ (SMIA 2011)
ftp://download.iwlab.foi.se/dataset/smia2012/network_traffic/pcap/ (SMIA 2012)
Packet collections in PCAP-NG format by @egeektronic
http://stuff.egeektronic.com/packets
Internet Traffic Archive (Berkeley Lab) - mostly tcpdump ASCII output
http://ita.ee.lbl.gov/html/traces.html
Pcap files with attacks against Industrial Control Systems (created by US Cyber Challenge) - See Cyber Quest February 2012
http://uscc.cyberquests.org/
WITS: Waikato Internet Traffic Storage (traces in ERF format with headers plus 4 bytes of application data)
http://wand.net.nz/wits/
The FTP site uses rate limiting for IPv4 connections, but no ratelimit for IPv6 connections.
Bro IDS trace files (no application layer data)
ftp://ftp.bro-ids.org/enterprise-traces/hdr-traces05/
SimpleWeb captures (mainly packet headers)
http://www.simpleweb.org/wiki/Traces
Wireless LAN Traces from ACM SIGCOMM'01 (no application layer data)
http://sysnet.ucsd.edu/pawn/sigcomm-trace/
Wireshark Fuzzed Protocol Capures (only fuzzed packets)
ftp://wireshark.org/automated/captures/

Single PCAP files

Honeynet.org's Scan of the Month PCAPs
http://www.honeynet.org/scans/scan27/
http://www.honeynet.org/scans/scan28/
Raul Siles, “Pcap files containing a roaming VoIP session”
http://www.raulsiles.com/downloads/VoIP_roaming_session.zip
Russ McRee, W32/Sdbot infected machine
http://holisticinfosec.org/toolsmith/files/nov2k6/toolsmith.pcap
hack.lu 2009 Information Security Visualization Contest (honeypot traffic, mostly SSH and HTTP)
http://2009.hack.lu/index.php/InfoVisContest
Barracuda Labs on the PHP.net Compromise [blog post]
PCAP: http://barracudalabs.com/downloads/5f810408ddbbd6d349b4be4766f41a37.pcap
Barracuda Labs on the Cracked.com Malware [blog post]
PCAP: https://copy.com/UoJTysFFh6ef

Online PCAP Services

Convert PcapNG files to PCAP format
http://pcapng.com/
CloudShark - Wireshark-like analysis in your browser
http://www.cloudshark.org/
NetworkTotal - Runs uploaded PCAP through Suricata IDS
https://www.networktotal.com/
Pcap2Bubbles - online graphical vizualisation of flows
http://demo.pcap2bubbles.com/malcom/sniffer/


Fuente: Netresec

Regards,
Snifer
Leer Mas

Los que llevais tiempo siguiendo estas tiras os acordareis de que para ser un Hacker de verdad has de sacrificar tu juego favorito a la Virgen del Santo Hacking para que te de su fervor.  El siguiente paso solo es estudiar mas de los que has estudiado en tu vida xD.  Pero como te gusta el tema no debería serte difícil empezar a leer doctorados o tesis o la infinidad de libros que os recomienda Snifer ¿No?. 


Si te ha gustado la entrada, Comparte, sino Comenta para que pueda mejorar. 

Sed Buenos ;) 
Leer Mas
http://www.banym.de/wp-content/uploads/2013/03/i3wm.pngHace un par de semanas atras migramos hacia i3-wm en mi nuevo estimado Manjaro, tanto asi que me puse a realizar un repositorio en GitHub donde ando subiendo las modificaciones que voy realizando a Manjaro desde la modificación del xinitrc.

¿Que es I3?

i3 es un gestor de ventanas de tipo mosaico, escrito completamente desde cero. i3 se creó porque wmii, el gestor de ventanas del que procedía, no proporcionaba algunas características útiles (compatibilidad multi-monitor, por ejemplo) contenía algunos errores, poco progreso en su desarrollo y no era fácil mejorarlo en absoluto (al carecer por completo de comentarios y/o documentación del código fuente). 

  • Diferencias notables de i3 son las áreas de soporte multi-monitor y la distribución del árbol. Para la velocidad de la interfaz de Plan 9 wmii no está implementada 

  • Lo que caracteriza a i3 es que no se hace uso del mouse, en lo posible solo el teclado ademas usando en su totalidad la pantalla el espacio de trabajo.

  • Un ejemplo podemos ver en la siguiente imagen, donde tengo abierto Terminator



Y aqui el navegador conjuntamente con 2 terminales abiertas.



El uso de estos escritorios es salir de lo normal es decir, sale del usuario normal evitando tener varias ventanas en un mismo lugar la barra de tareas estando totalmente limpia donde anda dicha barra? vean abajo de la captura anterior.


Paradigma es hacer uso de areas de trabajo, o escritorios virtuales haciendo uso de mas de 2 o 3 escritorios virtuales haciendo uso de cada uno para una tarea específica es decir.
  • Escritorio 1 -> Navegador Web
  • Escritorio 2 -> Pdf
  • Escritorio 3 -> Multimedia
  • Escritorio 4 -> Desarrollo
  • Escritorio 5 -> Game
La ventaja de este metodo de configuración por decirlo es que podemos configurar que cierta aplicación vaya especificamente a un escritorio.
Del mismo modo podemos hacer que vayan en pestañas en solapas por asi decirlo con la tecla comodin (que segun la configuración inicial puede ser la desconocida windows o Alt) + w y para quitar windows + e.

Notificaciones por medio de una notificación xD redundante pero cierto.

La instalación de i3 es simple y fácil basta con irnos a la terminal y ejecutar según nuestro gestor de paquetes.

i3-wm


A continuacion les dejo el cheat sheet del manejo con el teclado.

Keys to use with $mod (Alt):
Keys to use with $mod (Alt) 
 
Keys to use with Shift+$mod:



En la proxima entrada iremos destripando a fondo a i3, configurando  enchulandolo y adicionalmente iremos con aplicaciones de consola netamente para el uso con i3 ;) ya veremos con que salimos.

Mientras tanto el mejor manual para seguir la página oficial  i3wm.org por si no tenian conocimiento al andar en Manjaro tuve que modificar el xinitrc, en ese proceso de andar googleando y revisando un poco, recien di con el proyecto Respin Manjaro i3 que ya anda con i3 configurado, lo andare revisando y viendo que anda por ahí.

Regards,
Snifer

Leer Mas
Más de una vez nos hemos visto en la complicación de querer cierto texto de una imagen; porque él contenido de la imagen es largo o es difícil de explicar .. veamos un ejemplo.

Imagen I: Supongamos que queremos mantener ese formato de texto, es tedioso tener que hacerlo a mano.


Como bien se explica en la leyenda de forma concisa, el tener que estar copiando ese texto a mano puede ser tedioso (y decir que es un texto corto) y además existe la posibilidad de que nos equivoquemos..

Basta de vueltas y presentemos a Naptha, la herramienta capaz de copiar el texto de la imagen y poder copiarlo, por ejemplo, en un bloc de notas.

Antes de descargar la herramienta, puedes acceder a su sitio web (http://projectnaptha.com/) y probarla en el cuadro de texto que aparece en el lado derecho de la pantalla, tal como muestra la siguiente imagen.


Imagen II: Probando a Naptha antes de descargarla, en su página web

Para su instalación, como único requisito debemos tener Google Chrome, ya que es una extensión para éste mismo y podemos descargarla desde el siguiente enlace, pulsando sobre el botón que dice "Add to Chrome".

Imagen III: Pincha en Add to Chrome para comenzar la instalación.

Una vez instalada ya solo debemos pasar el puntero del mouse por el texto de una imagen y comenzar a copiar su contenido. Si presionamos el botón derecho encontraremos otras opciones como la de cortar o seleccionar todo, tal como se ve en la Imagen II.

Para concluir éste pequeño artículo, puedes encontrar al creador de ésta herramienta (Kevin Kwok) en Twitter como @antimatter15 y solo resta decir que la aplicación se encuentra solo para Google Chrome pero pronto saldrá una versión para Firefox

Por @gaaabifranco de la Redacción de SniferL4bs.
Leer Mas
https://encrypted-tbn2.gstatic.com/images?q=tbn:ANd9GcR-eGtJqMfBigpmm60_2IIeEjgOHnxTUUDaVivJYG1GOJESbLpGCg

Hola, como saben pocas veces no hablo de cosas de informática, hacking o Linux en su defecto y hoy es uno de esos dias, me diran porque? 

Ayer salio en The Pastry Box el siguiente post, el cual hago un copy paste me encanto lo que lleva dentro agradecer a la autora del post  Mandy Brown
les dejo con el :).

 Do what you love. 

It’s a seductive little phrase, clear and urgent in its call. It promises a path to happiness, a simple test to run against every decision you make that will guide you to a fulfilling, meaningful life. It’s an imperative — a command, not a request.

It’s also total bullshit. 

Now, I believe many of those who preach that you do what you love do so with the best of intentions. But “do what you love” — and it’s cousin, “quit your day job” — presumes many things about you: that you have sufficient wealth, time, and emotional support to single-mindedly pursue a career; that you have access to a network that can and will enable you; that the work you love is valued in today’s capricious and frequently stingy economy. It presumes that you are among the most fortunate people on the planet.
And maybe you are. But imagine how the “do what you love” edict rings to those who are not.

At its best, “do what you love” is a friendly pep-talk to the dissatisfied elite. At its worst, it’s exclusive: the ugly side of the American dream, the one that judges those with the least as being the least deserving. If only they had the will or ethic to pursue their dreams! If only that was all it took.
So here’s some advice that’s considerably less sexy than “do what you love” but ultimately more useful: do what you can. Seek out the roles and skills that both suit you and are sufficiently rewarding in compensation to make your life work. You may find you end up loving part of that work, and if so, grand. But remember there’s plenty more space in your life for love, and your work neither deserves nor is likely to support the most of it.
Your love is bigger than what you do. 

Fuente: The Pastry Box

Regards,
Snifer

Leer Mas
Esta vez viene al blog un repositorio de *.pcap los cuales son capturas de red realizadas, tras la ejecución de un bichito malicioso en este caso se encarga Mila Parkour que es la escritorio del blog Contagio como tambien del contagio Malware que lo vimos en la anterior entrega de Conociendo sobre Malware donde tenemos ambos sitios, para poder obtener muestras de malware, con la pequeña observación que debemos de mandar un mensaje a su correo para poder obtener acceso a los archivos.

Tenemos una hoja de calculo en Google Docs donde podremos ver el listado de las muestras de los pcap.



Fuente: Contagio

Regards,
Snifer
Leer Mas
https://31.media.tumblr.com/198e9cad6035622a7a498c83d9980125/tumblr_inline_n1bv9mV59g1qd9o7r.png 

Que opinan de esta triada el juego de los expertos en seguridad informática?.

Regards,
Snifer
Leer Mas
Nada mejor que a la hora de aprender y ganar experiencia y conocimiento que andar metiendo mano a ambientes reales, en este caso me pondre en campaña de recopilar lugares donde se distribuyan malware  y poder acceder a ellos iniciamos con una cantidad bastante reducida, la cual ira creciendo en la proxima entrada para despues sacar un post final I xD.



Si ustedes conocen de algun otro sitio donde poder recurrir  y buscar muestras de malware porfavor comenten así, vamos armando un mejor repositorio.


Un consejo de Conejo:

Todas las muestras que bajen, haganla con el cuidado respectivo probando en un entorno controlado.


Regards,
Snifer
Leer Mas


El gringo @State_X siempre anda confundiendose y haciendome renegar, debido que el no comprendio, lo que estuve hablando  con chubis y explicandole, hoy comparto con ustedes el proyecto.

Nota Mental: Soy un Dino, sera que mis años de experiencia superan su mente de gringolandia... xDD (Solo es broma, gracias Albert por la viñeta especial para presentar a Craftbooks.sniferl4bs.com)

Si notaron el dia de hoy salieron dos entradas identicas en SniferL4bs y StateX, la razón es bastante especial, debido que estamos iniciando una travesia la cual es elaborar un libro de la FOCA sin animos de lucro, realizada totalmente en LaTeX basandonos en fuentes libres para la elaboración del libro, aclarando que el detalle de toda esta rumba estara en prueba y error ya que lo adaptaremos  e iremos modificando segun se de el caso.

Diran de que viene o a donde vamos si ya se tiene el libro que el mismo Chema lo realizo, pues la idea que nacio de ambos es la de poder tener un paper realizado por nosotros y la comunidad, dando nuestros propios tópicos segun la perspectiva que tenemos, de que habran errores y horrores de ortagrafia, terminologia, y detalles los habran y es asi donde la comunidad entrara aportando y realizando la modificacion de los mismos para lo cual se hara de forma de un pull request en GITHUB, pero momento como ajos! lo editaran?.

Nade de paquetitos de OFIMATICA!

Aqui somos hackers xDD ya dejo lo payaso no haremos uso de ningun paquete de ofimatica conocido por todos mas todo lo contrario lo haremos con LaTeX, para que tenga una bonita estructura para ello veremos la de usar alguna plantilla y dar el formato respectivo.

Porque LaTeX?

La respuesta, es porque deseamos conocer mas de ello aprender no solo armar ;) y aun mas es una excelente herramienta para trabajar. El formato sera de doble columna por hoja con imagenes incluidas aun ando un poco peleando con el formato de highlithing para Código pero veremos que sale, cabe resaltar que este no sera el único libro que saldra de Craft mas todo lo contrario posterior a este o a la par estaremos elaborando otro relacionado al pentesting con ello les dejo el sabor en la Boca, si desean modificar algun topic de los módulos haganlo gritenlo ya que lo rescatable de este proyecto es que sera COMUNITARIO, realizado por la COMUNIDAD PARA LA COMUNIDAD.

Toda actualización referente a nuevos libros y demas detalles los haremos por medio del blog dedicado CraftBooks, del mismo modo se realizara por nuestros  blogs Statex y SniferL4bs como en twitter de nuestras cuentas respectivas, sin mas que decirles les presento el proyecto tal cual esta en la entrada oficial de CraftBooks.

La lista de los capítulos las subire en esta semana.

 No tengas miedo Tienes solo una Foca

La idea

Un libro realizado por la comunidad para la comunidad teniendo en cuenta la retroalimentación de todos, en esta primera fase tenemos a la herramienta la FOCA de Chema Alonso posteriormente realizaremos mas libros bajo este mismo formato y método como tambien estaremos totalmente abiertos a la realización de libros o mejor dicho la generación de material con esta visión segun lo que se les ocurra a ustedes o a nosotros.

Como Colaborar

Este miniproyecto Colaborativo cabe resaltar nuevamente nace de la idea de Albert a.k.a StateX y Jose a.k.a Snifer
¿Qué necesitamos? ¡A todos vosotros! ¿para que? Corrector de orografia, mejorar la terminología usada.
"Como dice el dicho, muchos granitos de arena hace una montaña"
Si quieres colaborar tan sólo tienes que hacer un "Fork" del código y solicitar un "Pull Request" para añadir tu aportación al proyecto. Más abajo en el apartado de Recursos tienes documentación e información.
Una vez tengas hecho el Fork y tu copia funcione puedes revisar la pestaña de Issues de Github para ver las tareas que se están desarrollando y cuáles falta por hacer, también puedes proponer tus propias tareas, discusiones e incluso si has encontrado un fallo ortográfico puedes hacernoslo saber en este mismo apartado.
Por otro lado veremos la manera de realizar alguna reuniones en DALNET para ello pueden hacer uso del cliente web que ponemos mas abajo las reuniones a ser realizadas aún estan por quedar pero por ahora ya lo tenemos definido.
Si sólo quieres dar una opinión, comentario o sugerencia puedes usar la pestañita de Issues de Github o bien en el sitio oficial del proyecto donde sea mas conveniente para tu persona.

Recomendaciones antes de Empezar

Antes de todo necesitas tener instalado el paquete LaTeX

Recursos

Licencia del Proyecto

Esta obra está bajo una licencia Creative Commons. Para ver una copia de esta licencia, visite http://creativecommons.org/licenses/by/2.5/es/

Esta licencia se aplica:
  • A los contenidos de CraftBooks. Incluidas las images que se incluyen en este paquete
  • Al formato LaTeX utilizado para generar el Libro.

Créditos y agradecimientos

Iniciativa creada por @sniferl4bs y @State_X

Repositorio en GitHub 


Comentarios destructivos no destructivos pueden realizar en esta entrada :) como tambien las sugerencias.

Regards,
Snifer

Leer Mas
Este juego lo conocí entre semana, gracias a mi prometida @RizelTane, como saben en el blog no andamos publicando muchos juegos a no ser que sea un juego que me enganche, y este es uno de ellos.

¿Quien no recuerda a Worms?

Los gusanos asesinos con mil  y un herramientas y algunas especiales, aun recuerdo las horas dedicadas a este juego hace unos 6 años atras cuando comenzaba la Universidad, e incluso mucho antes.

Llevaba tiempo sin ver un juego parecido en Linux hasta ese día que me envicie con este, tanto fue el vicio que el Jueves vimos la manera de configurar CLIENTE, SERVIDOR para jugar entre dos equipos y grata fue la sorpresa al notar que si funciona. Pero con un detalle yo ando con Manjaro ella con Debian rama stable, mi version es la 9.0.20 y de ella la 9.0.17 para poder conectarnos y jugar de manera tranquila ya les estare contando la travesia realizada ;).


Pero vamos si lo quieren tener y ustedes mismos jugar, basta con realizar la instalación desde la terminal con los siguientes comandos.

Arch y derivados:

[snifer@rizel ~]$sudo pacman -S hedgewars

Para Debian y derivados

[snifer@rizel ~]$sudo apt-get install hedgewars

Si quieren tener la ultima versión es mejor se vaya a la rama testing de sus distribuciones en el caso de Manjaro no es necesario.


Y para jugar basta:

[snifer@rizel ~]$hedgewars

Aqui tenemos un video en Youtube para que lo puedan ver en acción.


Más información sobre el juego como tambien las actualizaciones pueden acceder a la web oficial Hedgewars.org

Los dejo y a jugar matando jigglypuff's.

Regards,
Snifer
Leer Mas


Les dejo con esta imagen, y no soy solo yo!! el GRINGO de State_X mas anda en la conspiración.

No se desesperen el plan gordo que andamos sera para todos, y cada uno estaremos contribuyendo un granito de arena para hacerlo mas grande.

Regards,
Snifer
Leer Mas
Nuevamente un aporte de FudMario solo que esta vez le cambie el nombre xD y nos vamos con la entrada, mas de malware!!! ahora para ir contra los antis que traen los Crypters y demas asi podremos analizar sin ningun problema esta es una recopilación de lo que podemos hacer para dejar indetectable a nuestra virtual.

Anti-Anti Virtuales by fudmario

Uno de los problemas que existen al momento de Realizar Análisis de Malware, es cuando nos encontramos con diversas técnicas que utilizadas para evitar ser analizados, entre ellas:


  • Verificar si estan cargadas ciertas DLLs (Ej: SandBoxie => SbieDll.dll).
  • Verificar la Existencia de algunos ficheros(Ej: Driver-VirtualBox => VBoxMouse.sys).
  • Verificar si algunos procesos estan en ejecución(Ej: VBoxService.exe, VMWareUser.exe, Wireshark.exe, etc.).
  • Verificar el identificador del Disco Principal.
  • Deteccion de Breakpoints, Presencia de Anti-Debuggers, etc...


En SI, un sin fin de formas que utilizan los malware's para evitar ser analizados.

En esta primera parte vamos a ver como modificar nuestro entorno Virtual, esto para eludir la técnicas que generalmente tienen ciertos Malware's para evitar ser ejecutados en entornos Controlados(suena repetitivo xD).

Vamos a modificar nuestra Maquina Virtual de "Virtual Box", al igual que se puede dejar indectectables los Malware's, tambien volveremos indetectable a nuestra Maquina Virtual por así decirlo.

Comencemos:

Parte 1:
En esta parte renombraremos ficheros, valores en registro, teniendo en cuenta que cada modificación debe realizarse verificando que no dañe nuestra VM.

Técnica #1 "VirtualBox Shared Folders Minirdr NP"

Comprueba si esta cargada esta DLL: "VBoxMRXNP.dll"

Lo que haremos será renombrarla: añadirle un caracter al el nombre o randomizar el nombre, creo que si randomizamos será muy dificil que sea detectado.
A por ello:

Cambiaremos el nombre del Fichero:

Código
'Ruta del Fichero:
%WinDir%\system32\VBoxMRXNP.dll
'Por:
%WinDir%\system32\POIUYT.dll 'Randomizar el Nombre del Fichero.

Y tambien lo modificaremos desde el Editor de Registro para que no cause ningun error.

Código:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VBoxSF\NetworkProvider







Técnica #2 "VBoxMouse.sys"

De la misma forma anteriormente mostrada, renombraremos el nombre del fichero.

Código: 
%WinDir%\system32\drivers\VBoxMouse.sys

%WinDir%\system32\drivers\FLGKHJ.sys

desde el Editor de Registro, tambien modificaremos, en las siguientes rutas:

Código: 
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VBoxMouse

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\VBoxMouse

En ImagePath, cambiaremos:

Código:
System32\DRIVERS\VBoxMouse.sy
por:
System32\DRIVERS\FLGKHJ.sys





Técnica #3 "vboxservice.exe"

Más de lo mismo a renombrarlo.

Código: [Seleccionar]
%WinDir%\system32\vboxservice.exe
por

%WinDir%\system32\RNDSRVC.exe

Y modificarlo tambien en el Editor de Registro.
Código: [Seleccionar]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VBoxService
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\VBoxService
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VBoxService

Vamos a modificar en ImagePath por el nuevo nombre del Fichero.






Técnica #4 "VirtualBox Guest Additions"

Cambiaremos el Nombre de la siguente Clave:

Código: [Seleccionar]
HKEY_LOCAL_MACHINE\SOFTWARE\Oracle\VirtualBox Guest Additions

HKEY_LOCAL_MACHINE\SOFTWARE\Oracle\RANDOMGUESTADDITIONS_fudmario





Parte 2:
Esta parte es similar al anterior hasta cierto punto, en la anterior parte modificamos por así decirlo permanentemente, pero en esta parte no se puede  ya que al reiniciar se restablecerá las modificaciones realizadas ya que si no se podria dañar nuestra VM.


Técnica #5 "HARDDISK"
Modificaremos en el Editor de Registro:

Código: 
HKEY_LOCAL_MACHINE\HARDWARE\DEVICEMAP\Scsi\Scsi Port 0\Scsi Bus 0\Target Id 0
\Logical Unit Id 0

en Identifier: VBOX HARDDISK por Cualquiera otra cosa.




Técnica #6  , Técnica #7   "SystemBiosVersion" | "VideoBiosVersion"

Código: 
HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System

Modificaremos en informacion de Valor, de SystemBiosVersion y VideoBiosVersion por cualquier cosa.


Técnica #8 "Verificando el Tamaño del Disco"
 En ocaciones tambien puede pasar que el Malware  Revise si el tamaño de disco es menor a un valor dado, que generalmente son  20GB, 30GB ó 50GB esta técnica no se usa generalmente, pero hay les dejo el dato para que le puedan agregar en Expansion Dinamica a el Disco un Tamaño mayor a eso.



Test1:

ANTES:



AHORA:




Test2:




Hasta el momento solo se me ocurren esas, si alguien conoce otras técnica, comenten en el post para seguir añadiendo. Esto tambien Aplica a VMWare, Qemu, pero prefiero a VBOX ya que es gratuito.


Autor: fudmario

Regards,
Snifer

PD: Matabarras trollencio :D
Leer Mas
 
 El dia de ayer, se me fue dejar la entrada pensaba que ya la tenia lista para ser publicada, grande y grata fue mi sorpresa al notar que no habia! y ni hoy ¬¬. Pero que va continuamos con la entradas de Conociendo sobre Malware este aporte lo vi en Underc0de que posteo mi amigo Kodeinfect, podremos ver un hermoso tipo de propagación e infección sin mas que decirles los dejo con la entrada.


Hace unos días fui "alertado" de un nuevo método de Infección Masiva de Computadoras, el método consiste en insertar en Websites previamente accedidos ilegitimamente un Falso Add-On de Firefox, que simula ser un Update a una nueva Versión, y que, en realidad, contiene código malicioso, que es ejecutado en cada Reinicio de Firefox, en este caso, el código malicioso que veremos mas adelante, descarga un archivo ".exe" que es ejecutado, de manera que el Ordenador queda Comprometido.

Pasemos a la parte "Practica", al entrar a una Website contaminada con este falso Add-On, Firefox nos pedirá permisos para instalarla.



Al instalar el Add-On, el ordenador queda comprometido, de manera que en cada reinicio de Firefox, se vuelve a descargar y ejecutar el archivo.


Pasemos ahora a un poco de teoría, un Add-On de Firefox tiene la extension ".xpi", que es básicamente un ".zip".


Este es el Código que indica a Firefox que debe instalar el Add encontrado en la Web.



Y este es el Código que descarga y ejecuta el archivo encontrado en el Add-On.


Lo mas Impresionante sin duda alguna, es que el Add-On aún no fue detectado por ninguna Compañía Antivirus.

 

Fuente: putofriki

Vamos aprendiendo mas del mundo de Malware :), atentos a las proximas entradas.. que veremos mas de análisis.

Regards,
Snifer
Leer Mas
Cuando lo vi, me causo bastante gracia e interesante la siguiente viñeta en relacion a la vulnerabilidad en OpenSSL que se dio a conocer la semana pasada, como saben dio mucho revuelo hasta los routers sufrieron solo que en este punto viene el detalle a mayor escala debido a que debemos de esperar que los proveedores lo parcheen para poder hacerlo, mientras.. tararararara seguira siendo objetivo :D.


Espero poder conseguir, algun router con OpenSSL, y posterior a ello jugar palabra que lo hare.... les dejo con la viñeta


Heartbleed Explanation

Fuente: xkcd.com

Regards,
Snifer 
Leer Mas



Supongo que muchos ya sabréis lo que es HeartBleed, pero otros seguro que no y no quiero "joderle" posibles nuevas entradas a Snifer. Así que solo os contare que es una bug que ha causado muchísimo furor y que se rumorea que la NSA lleva años utilizándolo.
Espero que os haya gustado y Sed Buenos ;)  
Leer Mas

Phishing... ¿nos vamos de pesca?

¡Afirmativo! Pero éste no se centra en cualquier tipo de presa, solo humanas; los peces los dejamos para otra ocasión.

El Phishing es un delito informático, utilizado de manera casi masiva por ciberdelincuentes, para hacerse con datos sensibles de usuarios víctimas. Y, ¿a qué se llama datos sensibles? Me refiero a contraseñas de home banking, información detallada sobre tarjetas de crédito o, para aquellos adictos a las redes sociales, sus contraseñas de Facebook o Twitter, como también entidades privadas de correo electrónico como Gmail, Yahoo! o Hotmail. En sí, el campo de objetivos del Phishing es muy extenso.


¿A quien afecta el Phishing?
El Phishing está dedicado exclusivamente en atacar y robar al usuario. Pero también repercute mucho en la empresa que se somete a uno de éstos casos, ya que su reputación on-line puede decaer.

¿Cómo y dónde se puede encontrar un Phishing?
La palabra Phishing, encierra tres palabras en una sola: Password Hacking Fishing, formando con las letras resaltadas phishing. La palabra hace alusión a la “pesca de contraseñas”, ya que el atacante busca enviar un mensaje por algún medio de propagación hacia muchos destinatarios, del cual                                            “pesca” una cierta cantidad de usuarios, los cuales pasan 
                                                                         a ser sus víctimas.

El “Phisher” (atacante o estafador, como les guste más) utiliza la ingeniería social, para hacerse pasar por personas o instituciones reconocidas, como bancos o sitios de compras on-line, y busca establecer una comunicación de forma electrónica con la víctima. ¿Cómo electrónica? Es decir, mediante e-mails, uso de redes sociales o hasta mensajes de texto.

Para que quede claro, veamos un ejemplo.

Un Phisher se hace pasar por un sitio de compras on-line, en éste caso, PayPal, y envía un mail donde pide al usuario víctima que reingrese sus datos, en un link bastante peculiar, ya que ha habido un problema en su cuenta.

NOTA 1: ¿Por qué un link peculiar? Porque el verdadero sitio de PayPal es https://www.paypal.com y en ese caso aparece la palabra "paypal" pero no en el dominio. Cabe destacar que también existe una URL bastante rara por ser de PayPal ¿no?
 
NOTA 2: Las faltas ortográficas son los principales delatores de los Phishing's.


Pero, ¿que contiene ese link?

Como decía antes, un Phishing no solo trata de hacerse pasar por alguna entidad/persona en un mail, sino que en todos sus aspectos, para que éste tenga un mayor impacto en el usuario. Con esto me refiero a que el Phishing se encarga de suplantar el sitio original, alojándolo en un servidor vulnerado. ¿Hablé en chino? Vean éstas imágenes, y entenderán:
Imagen I: Sitio legítimo de PayPal.
Imagen II: Sitio falso (suplantado) de PayPal alojado en un sitio vulnerado.


Imagen III: Sitio de Phishing pidiendo por datos inusuales.


Imagen IV: Sitio de PayPal falso; es decir un Phishing a PayPal.

Un usuario inexperto, podría pensar que PayPal cambió su apariencia [figuras 1 y 2] y por lo tanto pasar a ser víctima del Phishing. Por lo tanto, es de suma importancia saber cómo reconocer un sitio falso:

               Primero, y más importante: ¡La URL del sitio!: En el primer caso, se nota fácilmente que es legítimo, debido a que “paypal” aparece en el dominio, sin ninguna alteración (paypal.com). En cambio, en el segundo ejemplo, en ningún momento podemos fiarnos de que es el verdadero sitio de PayPal, comenzando primero que nada, porque su nombre no está en la URL, ni por ningún lado.

               La apariencia y el aspecto del sitio: Si bien, la página de PayPal no posee un gran diseño, igualmente puede notarse que la Figura 2 posee una gran decadencia con respecto al cuadro de Login, ya que sus palabras básicamente no se pueden leer, y uno debe forzar la vista. [NOTA: Éste método puede resultar contradictorio, ya que en las figuras 1 y 4 las apariencias son idénticas; por lo que se recomienda, que no se fíen demasiado de ésta recomendación]

               El protocolo de transferencia de hipertexto: La mayoría de bancos o sitios de compras on-line (pongo de ejemplo éstos últimos, ya que son los más afectados por los Phishing’s) utilizan conexión segura, es decir HTTPs, como se puede ver en la Figura 1. En cambio, en Figura 2 la conexión no es segura, por lo que es un indicio más, de que se trata de un sitio fraudulento.

               El candado que aparece al lado de la URL: Ese candado, hace alusión al certificado de seguridad del sitio. Si éste coincide con la URL, el sitio es legítimo.

               Pedido de datos inusuales: Muchas veces ocurre, que en el cuadro de login se le piden al usuario datos fuera de lo común, como contraseñas secundarias, claves maestras o hasta pregunta/respuesta secreta.

Si bien, esos son métodos que uno puede aplicar una vez que ingresó al sitio con el Phishing, pero… ¿Hay alguna forma de poder prevenirlo antes?  ¡Sí!, y es analizando puntos básicos del correo electrónico del cual nos derivan al Phishing (al fin y al cabo, es él quien nos hace creer que realmente nos solicitan los datos), de la siguiente manera:

                ¡El correo electrónico!: De aquí parte todo, ya que todos sabemos (Y PARA EL QUE NO LO SEPA, LEA BIEN), un banco, una empresa de telefonía o un sitio de compras on-line, JAMAS envía e-mails para renovación/adquisición de sus datos.

                Las faltas ortográficas: En la mayoría de los Phishing`s su lenguaje es inentendible, ya que posee demasiados horrores ortográficos.

               Cabeceras: Revisa las cabeceras de los mails, ya que en él se encuentra información sumamente importante sobre la procedencia del mensaje.

               Copiar manualmente el link: Para mayor fiabilidad, es una gran recomendación que el mismo usuario que recibe el mail fraudulento, copie él mismo la URL en la barra.

               Links acortados: Muchas de las veces, en el mail aparece el link acortado, el cual redirige al Phishing. Ésta técnica es muy utilizada para poder engañar a la víctima, escondiendo la URL falsa en el cuerpo del correo electrónico.

               Protocolo de transferencia: Quizá el link que aparece en el mail no aparece acortado, por lo que se puede saber si la transferencia es segura (HTTPs) o no. [Aclaración: La gran mayoría de sitios que manejan datos sensibles de un usuario, utiliza el protocolo seguro]

Gracias por leer mi primer post, saludos y #seguridad para todos.

Follow me on Twitter: @gaaabifranco
Leer Mas
17 años y ODO hablando a la radio y haciendo un mega trolling a mi parecer el mejor ...

El dia Martes Merce Molist la autora de HackStory toda una Maja como dicen por allá, realizo un tweet el cual es el siguiente:
Asi que luego de ello entre a la URL obvio! que lo hice y tras ello accedi al video que se encuentra en youtube es por ello, que de ahi sale los primeros comentarios no ando loco ni nada por el estilo, para que puedan ver el video lo agrego al Blog y podamos verlo mas a fondo en si escuchar.



No no no, no hagan nada! no me toquen nada... no quiero que hagan nada.. xD
Y asi retomamos las entradas de los Documentos del lado Oscuro espero les agrade y si gustas ver las entradas anterior de Documentos del Lado Oscuro

  1. [Documentos del Lado Oscuro I]Diario de un Hacker cansado
  2. [Documentos del Lado Oscuro II] Mitos que siguen en pie.
  3. [Documentos del Lado Oscuro III] Llamada de ODO a "Hablar por Hablar"
Regards,
Snifer
Leer Mas
Necesito un escanner de vulnerabilidades, pero para ayer!... una expresión que es ya ya yay! lo necesito ahora....

Andaba asi en su debido momento pensado uso, Nexpose Nessus, Languard y un largo de posibles programas a ser usados, pero para usarlos de manera correcta todos ellos es necesario realizar una instalación, luego actualizar eso quiere decir que si no andas con una buena conexión no podras hacer nada! Luego de un rato de andar pensando me acorde de la navaja que anda en el Kit de un pentester  Nmap asi que recorde que hace tiempo salio Vulscan, manos a la obra a instalar y en el proceso de aprendizaje de la herramienta descubri algunos detalles que en lo personal me sirven no se si a los demas les agrade, pero en la entrada tienen dichos tips.

Como sabemos NMAP ya hace mucho dejo de ser un simple escaner de puertos ya que con los nse se sobre cargo, con nuevas funcionalidades.

¿Que es Vulscan?

Es un modulo que permite volver a NMAP en un escaneador de vulnerabilidades haciendo uso de un base de datos totalmente offline llegando  a leer en el formato .csv Comma Separated Values (en spanish valores separados por comas), dichos csv son los siguientes:
  1. Scipvuldb.csv | http://www.scip.ch/en/?vuldb
  2. Cve.csv | http://cve.mitre.org
  3. Osvdb.csv | http://www.osvdb.org
  4. Securityfocus.csv | http://www.securityfocus.com/bid/
  5. Securitytracker.csv | http://www.securitytracker.com
  6. Xforce.csv | http://xforce.iss.net
  7. Exploitdb.csv | http://www.exploit-db.com
  8. Openvas.csv | http://www.openvas.org

Vulscan es un NSE (Nmap Script Engine) el cual trabaja directamente con nmap para instalarlo debemos de hacer, como cualquier otro NSE llevandolo a /usr/share/nmap/scritps y tendremos la carpeta vulscan y dentro de ella los siguientes datos, obvio que procedemos a descargar el script desde http://www.computec.ch/projekte/vulscan/.



Pueden notar que tenemos los csv y el script en la carpeta vulscan.

Ahora toca probar para ello hacemos lo siguiente:

[snifer@rizel ~]$ nmap -sV --script=/usr/share/nmap/scripts/vulscan/vulscan.nse 192.168.0.106

Cabe resaltar aqui que podemos hacer uso de hacer el barrido a un puerto especifico agregando la bandera -p [PUERTO] así.

[snifer@rizel ~]$ nmap -sV --script=/usr/share/nmap/scripts/vulscan/vulscan.nse 192.168.0.106 -p 22

Como tambien especificar solo una base de datos con la bandera --script-args vulscandb=[NOMBREBD] ejemplo

[snifer@rizel ~]$ nmap -sV --script-args vulscandb=openvas.csv --script=/usr/share/nmap/scripts/vulscan/vulscan.nse 192.168.0.106

Aqui un breve analisis a una virtual que tengo para mis entornos de prueba.

Lo que primero recomiendo en lo persona es lanzar y ver que puertos estan arriba para filtrar un poco el escaneo con vulscan esto a que? pues hagan la prueba xD.

[snifer@rizel ~]$ nmap -Pn 192.168.0.106

Starting Nmap 6.40 ( http://nmap.org ) at 2014-04-04 10:15 BOT
Nmap scan report for 192.168.0.106
Host is up (0.027s latency).
Not shown: 981 closed ports
PORT      STATE SERVICE
80/tcp    open  http
135/tcp   open  msrpc
139/tcp   open  netbios-ssn
443/tcp   open  https
445/tcp   open  microsoft-ds
554/tcp   open  rtsp
902/tcp   open  iss-realsecure
912/tcp   open  apex-mesh
1025/tcp  open  NFS-or-IIS
1026/tcp  open  LSA-or-nterm
1027/tcp  open  IIS
1028/tcp  open  unknown
1029/tcp  open  ms-lsa
1030/tcp  open  iad1
1688/tcp  open  nsjtp-data
2869/tcp  open  icslap
3306/tcp  open  mysql
5357/tcp  open  wsdapi
10243/tcp open  unknown

Nmap done: 1 IP address (1 host up) scanned in 14.72 seconds
[snifer@rizel ~]$ 


Ahora recien lanzar el escaneo a los puertos identificados ;) para hacer la prueba solo lo lanze al puerto 80

[snifer@rizel ~]$ nmap -sV -oX test.xml --script-args vulscandb=openvas.csv --script=/usr/share/nmap/scripts/vulscan/vulscan.nse 192.168.0.106 -p 80

Starting Nmap 6.40 ( http://nmap.org ) at 2014-04-04 10:22 BOT
Nmap scan report for 192.168.0.106
Host is up (0.0064s latency).
PORT   STATE SERVICE VERSION
80/tcp open  http    Apache httpd 2.2.8 ((Win32) PHP/5.2.6)
| vulscan: openvas.csv:
| [100858] Apache 'mod_proxy_http' 2.2.9 for Unix Timeout Handling Information Disclosure Vulnerability
| 
|_

Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 19.48 seconds

Obvio que podemos exportar nuestros resultados ;) haciendo uso de la bandera -oX file.xml como lo hice en los ejemplos, despues de realizar toca validar si son falsos positivos o en verdad son explotables a ello un export a metasploit? no les suena :), esta combinación algo agradable para la vista.

Lo veremos en otra entrada, espero les agrade .....

Regards,
Snifer
Leer Mas
Ahora venimos con la segunda parte de la seria de herramientas para Análisis de Malware, agradecer a fudmario por compartir las entrada, asi que nos metemos conociendo mas herramientas si gustan puede acceder a la primera parte.



  1. Conociendo sobre Malware XIII - Herramientas para Análisis de Malware I



Dependency Walker

Dependency Walker es una Herramienta la cual nos permite enumeran todas las funciones que se exportan de un Aplicación sin ejecutar el Fichero. En la cual podemos consultar sobre cada funcion en linea.


PeStudio es una herramienta ideal para el analisis estatico de archivos ejecutables, es portable.
Incluye una comprobacion de ficheros con VirusTotal para el archivo que se esta analizando enviando el MD5 del fichero(esta opcion se puede desactivar desde el fichero: PeStudioVirusTotal.xml)
Tambien contiene una version  CommandLine(PeStudioPrompt.exe), más info en winitor.com.

Uso CL:

PeStudioPrompt -file:input -xml:report



OllyDbg, creado por Oleh Yuschuk, es un depurador a nivel de aplicación. La interfaz OllyDbg muestra el código ensamblador, volcado hexadecimal, la pila y registros de la CPU. OllyDbg también soporta rastreo, puntos de interrupción condicionales, visión de cabecera PE, edición hexadecimal.


Algunos Plugins de OllyDBG:

  • Hide Debugger => Este Plugin emplea diverso métodos para ocultar  a OllyDbg de detectores de Debugger, incluidos: IsDebuggerPresent(), FindWindow() y EnumWindows(), TerminateProcess(),...
  • IsDebuggerPresent => Permite ocultar de la API de Windows => IsDebuggerPresent
  • OllyDump => Dumpea procesos activos a archivo PE
  • Olly Advanced =>


Immunity Debugger
is a powerful new way to write exploits, analyze malware, and reverse engineer binary files. It builds on a solid user interface with function graphing, the industry’s first heap analysis tool built specifically for heap creation, and a large and well supported Python API for easy extensibility.



  •     A debugger with functionality designed specifically for the security industry
  •     Cuts exploit development time by 50%
  •     Simple, understandable interfaces
  •     Robust and powerful scripting language for automating intelligent debugging
  •     Lightweight and fast debugging to prevent corruption during complex analysis
  •     Connectivity to fuzzers and exploit development tools
 
   Web
   https://www.immunityinc.com/products-immdbg.shtml
   Descarga:
   http://debugger.immunityinc.com/ID_register.py

Fuente: Underc0de

Sin mas que decirles vamos conociendo mas herramientas.....

Regards,
Snifer
Leer Mas