Esta nueva serie de entradas que iniciamos estarán en un apartado para el blog,  con algunos tips, opciones ocultas que conozco o ire descubriendo ya sea en la parte de mi día a día.


Como lo dice el titulo Wireshark, nos brinda la opción de exportar objetos HTTP, SMB, TFTP y DICOM, desde una captura realizada, la razón de ello fue que hace un par de semanas atrás me facilitarón un fichero para analizarlo y mi primera opción fue Network Miner para no ir usando los filtros de wireshark (un poco vago estuve esos días) y tratar de hacerlo más rápido, 3 días despues me acorde que pude hacerlo con Wireshark y evidentemente hacerlo con un par de clicks.

1) Abrir el fichero del sniffing realizado
2) Nos dirigimos a File –> Export Objects –> HTTP.


3) Si tenemos ficheros nos muestra incluyendo toda solicitud o petición por HTTP.



4) Para terminar el proceso solo queda guardar los datos, exportandolos para una visualización directa de los objetos.


 Vale la aclaración: Si esta entrada no te aporta nada nuevo o bien en su defecto es algo nulo, dejalo pasar e ignóralo seguro en los próximos días escribire algo que aporte.

El poder está bien, y la estupidez es, por lo general, inofensiva. Pero el poder y la estupidez juntos son peligrosos.” - Patrick Rothfus

Regards,
Snifer

Leer Mas
Empezamos nuevamente con las entradas del blog, con una breve introducción sobre lo que son los equipos RED y BLUE en Pen-Testing, espero sea de su agrado.


Nos vemos en una próxima entrada, que estaremos con Nmap, Wireshark, Metasploit y Hardware Hacking con gadgets low cost ;).

"El día peor empleado es aquél en que no se ha reído" - Chamfort

Regards,
Snifer
Leer Mas
Continuamos con el análisis de malware, la semana pasada terminamos con la creación de laboratorio y con las muestras... Esta semana comenzamos con el análisis propiamente dicho, que comience el juego! 


Para este tutorial vamos a utilizar la siguiente muestra:

 Muestra: Lab01-01.exe SHA1: 9dce39ac1bd36d877fdb0025ee88fdaff0627cdb
________________________________________________________________

ANÁLISIS DE MALWARE

________________________________________________________________

Episodio 01 - HASH


El hash es un método común utilizado para identificar malware. Una ves que se obtiene el hash, este puede ser usado de la siguiente forma:

  • Usar el hash como etiqueta del malware
  • Compartir el hash con otros analistas para ayudar a identificar malware
  • Buscar el hash en internet para ver si el archivo ha sido realmente identificado.
  • Para generar los strings utilizaremos el utilitario de sysinternals sigcheck.

sigcheck.exe -h nombredelarchivo


Con el MD5 o el SHA1 podemos hacer una búsqueda en VirusTotal y validar el si el archivo es malicioso.


En este caso la búsqueda nos informa que el archivo tiene una tasa de detección de 26 / 64, es decir 26 motores de antivirus indican que el archivo es malicioso.


Episodio 02 - Archivos PE

El formato de archivo PE (Portable Executable) es usado por ejecutables en entornos Windows, objetos y librerías (DLL’s). El archivo PE es una estructura de datos que contiene la información necesaria para que el sistema operativo Windows pueda administrar el código ejecutable.
En esta ocasion vamos a utilizar PEviewuna herramienta que muestra el encabezado y las secciones de un archivo PE, por ejemplo en el encabezado de la imagen del archivo podemos visualizar la fecha de compilación de la muestra.

La herramienta PEiD detecta los packers, cryptors o compiladores en archivos PE.

La muestra nos indica que este fue compilado en Microsoft Visual C++
Ahora utilizaremos Dependency Walker, la cual nos permite ver las funciones de las cuales depende la muestra que estámos analizando, en la muestra analizada observamos funciones como CopyFileA y CreateFileA, si damos doble click sobre la función nos enviará a la base de conocimiento de Microsoft para entender que hace la función.

Episodio 03 - Strings

Un string o cadena en un programa es una secuencia de caracteres, son generalmente almacenados en formato ASCII o Unicode.

Desde la carpeta de sysinternals ejecutamos el comando strings.exe para analizar las cadenas de caracteres de la muestra, pasamos como parámetro adicional el comando more con el fin de ver la salida de forma paginada:


strings.exe "C:\Users\KALQ\Desktop\samples\Practical Malware Analysis Labs\BinaryCollection\Chapter_1L\Lab01-01.exe"  | more

con la barra espaciadora vamos cambiando de página hasta ver todo el contenido, al final veremos un texto que dice lo siguiente:



WARNING_THIS_WILL_DESTROY_YOUR_MACHINE

Podemos pasar parámetros de búsqueda de strings específicos utilizando el comando grep como parámetro. Por ejemplo buscar todas las cadenas relacionadas con dll’s


Bueno, con esto damos por concluida la parte 2 de analisis de Malware, espero les haya gustado! Nos vemos la proxima con mas tutoriales de Analisis de Malware!

La anterior entrada la tienen disponible:





Leer Mas
Hey! nos veremos la próxima semana en el OWASP Latam Tour, que se realizara en la ciudad de La Paz este año, ya que años anteriores si la memoria de 26kb no me falla se realizaba en Santa Cruz.

Owasp-latam-tour-2018-header.png 
Fechas y paises donde se realizará

En esta oportunidad Snifer@L4b's estara presente con mi persona Snifer, presentando el tema Hacking Web Applications con Burp Suite - Top 10 OWASP,  en el cual estare compartiendo sobre como utilizar Burp Suite para realizar un análisis de seguridad a una página WEB, tomando como un Checklist el TOP 10 de OWASP, a la vez  posterior al evento irá saliendo el update de la serie en el blog con el anterior TOP 10 que por cierto lo tienen en el siguiente enlace. Guia de Burp Suite.

Se tiene a continuación los expositores y los temas que se tratarán son los dias 13 y 14 Viernes y Sabado.
 

 Además de ello se tendrán 3 talleres adicionales, que pueden ver los temas y el contenido  en las siguientes imágenes.

 https://pbs.twimg.com/media/DaCKH_vXkAAcwE1.jpg
 https://pbs.twimg.com/media/DaCKH_qWkAEX0Lq.jpghttps://pbs.twimg.com/media/DaCKH_1X0AAEoq7.jpg

El horario de las charlas en las próximas horas actualizaran los organizadores y por mi parte hare lo mismo en el post. 

 Donde se realizara?

Aqui te dejo la ubicación que nos brindan para que se den cuenta si no llegan a dar con la Vicepresidencia. 

https://www.google.com/maps/place/Vicepresidencia+del+Estado+Plurinacional+de+Bolivia/@-16.4976152,-68.1364664,17z/data=!3m1!4b1!4m5!3m4!1s0x915f207177f2336d:0xa31b2872871679b1!8m2!3d-16.4976204!4d-68.1342724

Si no eres de este lado del charco y te gustaria conocer mas sobre el evento y si habrá cerca de ti, se tiene en la página web OWASP LatamTour2018, si quieres verlo de manera rapida tienes a continuación las fechas y paises donde se realizará en el caso de Ecuador y  Uruguay en este momento ya se esta realizando. 
Agenda
  • Abril, 5: Quito, Ecuador REGISTRARSE AQUÍ
  • Abril, 5-6: Montevideo, Uruguay REGISTRARSE AQUI
  • Abril, 13: Manizales, Colombia
  • Abril, 13: Guatemala
  • Abril, 13-14: La Paz, Bolivia REGISTRARSE AQUI
  • Abril, 19-20-21: Cancún, Mexico
  • Abril, 20: Patagonia, Argentina. REGISTRARSE AQUI
  • Abril, 20: Asunción, Paraguay.
  • Abril, 20: Coronel Oviedo, Paraguay.
  • Abril, 22: São Paulo, Brazil
  • Abril, 25: El Salvador
  • Abril, 25-26: Santiago de Chile. Inscribete aquí
  • Abril, 26: Córdoba, Argentina
  • Abril, 27: Honduras.
  • Abril, 27: Buenos Aires, Argentina REGISTRESE AQUÍ
  • Abril, 27-28: Lima, Perú
  • Abril, 28: República Dominicana. REGISTRARSE AQUI
  • Abril, 29-30: Cusco, Perú
  • Abril, 30: San José, Costa Rica
  • Mayo, 4-5: Rio de Janeiro, Brasil REGISTRESE AQUÍ
  • Mayo, 5: Sao Paulo, Brasil
  • Mayo, 10-11: Bogotá, Colombia REGISTRESE AQUÍ
  • Mayo, 12: Espírito Santo, Brasil
  • Mayo, 23: Panamá City, Panamá
  • Mayo, 25: Cali, Colombia

    "No todas mis ideas son correctas, si lo fueran, sería inutil compartirlas o entrar en debate." - Anónimo

    Regards,
    Snifer
    Leer Mas

    Quien Soy?

    Voy a empezar presentándome, me llamo Matias pero todos dicen KALQ (calcu) soy fanático de los productos Microsoft y de la (in)Seguridad Informática, análisis forense, Malware y ataques de todo tipo y color =D.

    En este blog van a encontrar colaborando con SNIFER! Voy a estar escribiendo sobre temas de seguridad informática, malware, análisis forense y demás cosas que me gustaría leer!! Todo presentado y explicado lo más fácil posible, para que comprendan los que quieren iniciar en este mundo.

    Análisis de Malware 101

    Capítulo 01

    ANTECEDENTES


    En ocasiones debo realizar análisis de malware como parte de auditorias de computación forense, cuando el malware es mi principal sospechoso como causante del evento que estoy analizando. Dado que la tecnología avanza a pasos agigantados constantemente trato de investigar sobre nuevas formas y herramientas para el análisis de Malware.

    ¿QUÉ ES UN ANÁLISIS DE MALWARE?

    Para empezar definamos el término malware:
    “El malware (del inglés malicious software), programa malicioso o programa maligno, también llamado badware, código maligno, software malicioso, software dañino o software malintencionado, es un tipo de software que tiene como objetivo infiltrarse o dañar una computadora o sistema de información. El término malware es muy utilizado por profesionales de la informática para referirse a una variedad de software hostil, intrusivo o molesto. Antes de que el término malware fuera acuñado por Yisrael Radai en 1990, el software malicioso se agrupaba bajo el término «virus informático»”
    (Wikipedia, 2018).


    Objetivo

    Un análisis de malware comprende el estudio del o los archivos maliciosos recuperados como parte de la evidencia de una computadora o sistema de información infectados con el mismo, con el objetivo de determinar cuál es el propósito del código malicioso, en qué lenguaje fue escrito, qué uso de librerías o llamadas a funciones hace, si crea archivos o escribe cambios en el sistema, en definitiva… determinar qué hace y cómo lo hace.


    Razones para efectuar un análisis de malware:


    -   Como parte de una Auditoría Forense
    -   Para conocer el funcionamiento de un Malware denominado zero day (un software malicioso que aún no es detectado por ningún antivirus porque es nuevo)
    -   Porque es divertido y se aprende mucho (comentario Nerd).


    Pasos A Seguir Durante Un Análisis De Malware

    Existen criterios divididos a este respecto. Hay quienes dicen que se puede analizar un malware usando análisis estático solamente, otros en cambio abogan sólo por el análisis dinámico. Yo particularmente creo que se deben realizar AMBOS!
    Por eso a partir de ahora les voy a compartir mis conocimientos  para que entiendan el “Paso a Paso” del análisis de Malware de modo que puedan aprender sobre el tema y si tienen algo que yo no hago, les pido por favor comenten y me compartan sus ideas / técnicas / software / metodologías.
    Bueno ya terminamos de hablar, ahora manos a la obra!

    ________________________________________________________________

    LABORATORIO DE MALWARE

    ________________________________________________________________

    Episodio 01 - Máquina Virtual


    Antes de hacer “algo” debemos tener un ambiente de trabajo empezamos por la creación de nuestro Laboratorio de Análisis de Malware, el mismo consta en principio de la creación de una máquina virtual ya que no queremos infectar nuestra computadora o aún peor e infectar toda la red, por esa razón, siempre les recomiendo ser precavidos….

    Para crear nuestro laboratorio vamos a necesitar lo siguiente:
    -    Sistema de Virtualización (Virtualbox - VMware - Hyper-X)
    -    Maquina Virtual

    El sistema de virtualización que voy a usar es VirtualBox que es gratis, lo descargan de acá.
    La máquina virtual que vamos a usar es de 32 bits ya que es donde funcionan la mayoría de los malware’s, obviamente ustedes pueden usar lo que tengan ganas… =D
    Para las máquinas virtuales recomendamos usar las máquinas gratuitas ofrecidas en el sitio oficial de Microsoft



    Ya que estas máquinas expiran a los 90 días por lo que se recomienda generar un snapshot una vez configurada.


    Episodio 02 - Armado de Laboratorio

    Una vez iniciada la máquina recuerden instalar las Guest Additions o las VMware Tools según corresponda y luego deben habilitar el uso compartido del portapapeles (modo bidireccional lo que nos permitirá que puedan copiar y pegar comandos entre la máquina anfitrión y la VM).
    Una vez finalizada la instalación y configuración de la máquina de laboratorio, vamos a instalar las herramientas necesarias en esta oportunidad utilizaremos un conjunto de herramientas desarrolladas por FireEye que se llaman FlareVM (https://www.fireeye.com/blog/threat-research/2017/07/flare-vm-the-windows-malware.html) ingresamos desde internet explorer a la siguiente url http://boxstarter.org/package/url?https://raw.githubusercontent.com/fireeye/flare-vm/master/flarevm_malware.ps1  y ejecutamos el script de PowerShell.


    El proceso de descarga tomará algunos minutos, al finalizar la descarga se ejecutará automáticamente un cmd.exe el cual iniciará la descarga de múltiples herramientas, este proceso tomará varios minutos.



    Cuando finalice la instalación, procederemos a instalar una serie de herramientas extra:
      Dependency Walker http://www.dependencywalker.com/
      Jasmin https://sourceforge.net/projects/jasmin/
      7Zip Descargamos e instalamos 7zip desde el sitio oficial http://www.7-zip.org/download.html
      Muestras de Malware Descargamos las muestras de malware que suministra el autor del libro Practical Malware Analysis https://practicalmalwareanalysis.com/labs/


    Creamos una carpeta en el escritorio llamada Muestras y descomprimimos el contenido del archivo PracticalMalwareAnalysis-Labs.7z en esta carpeta, la contraseña para el archivo 7z es “malware” (sin las comillas).
    Luego descargamos otro conjunto de muestras desde la siguiente url: https://drive.google.com/file/d/0B_0DJl2kuzoNRTEtQmx0SjJYZXc/view las mismas provienen de un curso llamado RE101 y lo descomprimimos nuevamente dentro de la carpeta “Muestras” utilizando la password  FLqkNMY7jGmWz7gt


    Episodio 03 - Configuración de Laboratorio

    Una vez finalizada la descarga de muestras procedemos a apagar la máquina y a realizar los cambios más importantes de todo el LAB!

    Configuración de Red: La máquina de análisis de malware deberá estar aislada de nuestra red LAN ya que al ejecutar cualquier malware corremos el riesgo de que este se distribuya por la red. Para evitar esto, cambiamos el adaptador de red a modo Red interna, asignando a una red nueva que llamaremos malware-análisis.
    Iniciamos la máquina virtual y asignamos un direccionamiento IP para esta red.
      IP: 192.168.0.2
      Default GW: 192.168.0.1

    Primer Snapshot Con la máquina en ejecución, generamos un snapshot el cual servirá para restaurar la máquina cada vez que finalicemos un análisis.





    Con estas acciones hemos finalizado la configuración del entorno de laboratorio de Malware.

    Espero que les haya gustado nos vemos la semana que viene…



    Leer Mas