lunes, 30 de mayo de 2016

SHELL CODE Extractor un pequeño vistazo

 SHELL CODE EXTRACTOR




Muchos de ustedes se preguntarán de que me sirve una utilería que me extraiga el code Shell, pero antes que todo explicaré que es una SHELLCODE.


Que es una ShellCOde?

Como su nombre lo dice es un listado de órdenes que en su conjunto y programadas en ensamblador pero transferidas a un conjunto de valores hexadecimales llamadas OPCODE.

Pero se preguntarán por qué se hace este procedimiento de programarlas en ASM de ahí pasarlas a Hexadecimal? 

Uno de los propósitos es el de poder inyectar el código en la pila también llamado Stack que pertenece a un proceso de un programa para poder conseguir que en la maquina inyectada se corra la shellcode  sin ningún problema y no sea detectada por virus normalmente y podamos  ejecutar, saltar o copiar los datos en el sistema y poder por ejemplo tomar control de root, etc...

Como se ejecuta una shellcode?

Su funcionamiento básico de ejecución es el de simplemente decir que cuando se produzca el
desbordamiento y el salto el código inyectado de la shell se ejecutara por ejemplo:


-- En Windows abrir un ventana cmd.
-- Instalar algún troyano en la máquina.
-- Añadir un nombre de usuario con privilegios de administrador.
-- Ejecutar un programa específico y muchas cosas más.
-- Instalar un KEyLOOGER


Cabe mencionar que hay shellcodes para todo sistema operativo WINDOWS, LINUX (señalándoles que las shellcodes de Linux se ejecutan de una forma diferente a las de Windows.

Ejemplo de una shellcode para windows:



Ejemplo tomado de aquí:  shellcode


Con la cual podemos hacer un NULL FREE SHELLCODE - FUNCIONAL KEYLOOGER.


Recuerden una cosa muy importante siempre cuando se programe una shellcode debe de ser corta, ya que el espacio donde se inyecta normalmente es reducido que es dentro de la pila.

Ya despues de esta breve explicación aquí les dejo un link de un programa muy útil que es llamado:


SHELLCODE EXTRACTOR.




Con el cual podremos extraer los opcodes de la cabecera (seccion) .text y desplegarlo en diferentes formatos de codigo hexadecimal para poder usarlo en diferentes sintaxis.

Recuerden que este shell extractor solo trabaja en archivos PE validos y que esta codificada en C++.

Donde existen:
  1. Encabezado MZ
  2. Encabezado MS-DOS Stub
  3. Encabezado PE
  4. Encabezado Opcional
  5. Encabezados de Sección
  6. Secciones

Pero es será explicado en próximos articulos.

 y la pueden descargr de aqui la tool SHELLCODE EXTRACTOR:

Download: https://github.com/OsandaMalith/ShellCode-Extractor/releases

viernes, 27 de mayo de 2016

2 peliculas que huelen a haCKER´S padrisimas







 la frase mejor de esta pelicula:

YO conosco a hacker´s que sacan el password de la NSA en 60 segundos,  pero me interesa el que lo saque en 30 segundos  


 
SWORDFISH

miércoles, 25 de mayo de 2016

CONGRESOS FANTASMAS --> PRECAUCION

CONGRESOS FANTASMAS --> PRECAUCION





 Amigos hoy en día están surgiendo nuevos congresos de  TODA INDOLE Y MAS AHORA  los congresos que te ponen de atractivo aparte del evento el lugar donde se llevarán a cabo y dejenme decirles que muchas son empresas patito que han visto un negocio redondo en esta cuestión.

Tengan cuidado ya que se sabe hoy en día y les pondré el link del vídeo para que vean y tengan precaución a que congreso se apuntan.

tips para saber si es valido el evento:
------------------------------------------

1.- Que tenga ya mas de 2 años llevándose a cabo.

2.- Siempre verificar que den toda la información de dirección, teléfono de la oficina central del evento y llamar para verificar.

3.- Corroborar que el organizador principal siempre esté en contacto con ustedes y verificar sus datos personales así como matricula de cédula profesional.

4.-Verificar que todos los ponentes sean lo que dicen ser.

( ya que hoy en día se acostumbra poner como ponentes a personas que NO TIENEN LA CARRERA TERMINANDA  y los anuncian como INGENIEROS, DR. Arq. etc.....)

--- SIEMPRE VERIFIQUEN QUE TENGAN SUS CÉDULAS QUE DICEN TENER DE ESTUDIOS --------

LES DEJO AQUÍ EL LINK PARA VERIFICAR CÉDULAS PROFESIONALES.

http://www.cedulaprofesional.sep.gob.mx/cedula/indexAvanzada.action

 y aquí el vídeo....del fraude:   y el link de la página donde hablan de ello:

http://www.am.com.mx/2016/05/25/leon/local/defraudan-a-universitarios-con-congresos-fantasmas-286775#.V0X1Na67yPA.facebook





Saludos 
Li. Rodolfo H. Baz
Centro de Investigaciones en Seguridad Informática.
www.ccat.edu.mx 

martes, 24 de mayo de 2016

1001 SANDBOX´s para análisis de Virus


Buenas tardes amigos.

Hoy después de no escribir en varios días sobre aspectos de la seguridad informática, hoy por fin encuentro algo de que escribir y que es sobre recopilar en un solo artículo la mayoría de las SANDBOX que son usadas para el análisis de virus o malware.

Sí amigos sobre esas famosas y bien ponderadas sandbox que en cierto momento nos ayudarán a saber que hace, como lo hace y donde hace los estragos un virus informático o malware.

SANDBOX: palabra que del inglés significa caja de arena (sand: arena, y box: caja), puede referirse a diferentes procesos o técnicas de trabajo como lo son:

1.- Un entorno de pruebas separado del entorno de producción.
 
2.- Un sistema de aislamiento de procesos que a menudo es usado como medida de seguridad y ambiente controlado donde analizar archivos y procesos.


3.-  Entorno virtual aislado del sistema operativo original donde se corre por medio de VMWARE player o virtualbox. 

En este sentido amigos podemos decir que existen una gran variedad de sandbox que podemos usar ya sea para windows y linux.

LISTADO DE SANDBOX




Sandboxie version 5.10 ...Released on 01 March 2016 ..














Multiplatform Linux Sandbox











Document Analyzer detects and analyzers potential malicious documents for:
  • Acrobat Reader
  • Microsoft Office Word
  • Microsoft Office Excel
  • Microsoft Office Powerpoint

 https://sourceforge.net/projects/zerowine/






http://bsa.isoftware.nl/












Amigos estas son todas las que encontre que merecen la pena ser mencionadas, pero si tienen alguna mas avisenme en el grupo de facebook y la añadimos:



Saludos

Rodolfo H. Baz
Centro de Investigaciones en Seguridad Informática
www.ccat.edu.mx

martes, 17 de mayo de 2016

IDENTIFICA de que compáñia es el cel que te llama


Alguna vez te han llamado a teléfono celular y no sabe quien es?

Verdad que es molesto?  y todavía les llamas para saber quienes son y no te contestan?  es totalmente frustrante ya que te deja las siguientes dudas:

-- Quien me llamo?
-- De que compañía es el Celular que me llamo?
-- Sera mi Ex-esposa o una de mis amantes que me quiere sacar mas dinero? 
-- Un terrorista o secuestrador?
-- o Alguien que solo quiere oír mi dulce, delicada y varonil voz simplemente?..  ;p



Desde hoy no te preocupes mas ya que con las utilerías siguientes instaladas correctamente en tu celular podrás identificar cualquier número y de que compañía telefónica pertenece, claro cabe señalar que esto va aplicado a los números telefónicos de México que cumplan con la característica de tener 10 dígitos de longitud como por ejemplo:


2281144550


Recordándoles amigos que es valido para todas las compañías telefónicas como:


-- Telcel
-- Movistar
-- Iusacell
-- Unefon
-- Telmex
-- Axtel
-- Megacable
-- Cablevisión
-- Cablemas
-- Totalplay
-- Cablecom 


En mi caso les recomiendo esta que me ha dado buenos resultados.



existen mas utilerías que podemos instalar en nuestro cel. pero este para mi es el mejor.



y aquí un ejemplo de como identifica de que compañía y ciudad es:





les dejo una imagen con mas aplicaciones que podemos probar:




 saludos.

LI. Rodolfo H. Baz
Centro de Investigaciones en Seguridad Informática
www.ccat.edu.mx  



viernes, 13 de mayo de 2016

Ahora resulta que los metadatos no son modificables... ;p


Como lo oyen amigos.

Hoy llego a mi sitio donde trabajo, checo mi entrada,  firmo mi tarjeta de acceso, me siento en mi espacio laboral, enciendo la PC que tengo asignada para poder realizar mis labores, aparece la ventana de booteo la cual me pide seleccionar entre que sistema operativo ejecutar (LINUX o Windows)  y selecciono LINUX  por este día,  me conecto a Internet y empiezo a navegar viendo las noticias más nuevas de la farándula informática y................ 


NO PUEDE SER LO QUE VEN MIS OJOS, veo una noticia de LOS GRANDES EXPERTOS DE SEGURIDAD INFORMÁTICA DE GOBIERNO Y QUE DICE AL CALSE:

-------------------------------------------
Adicionalmente presentaré a ustedes los metadatos de la fotografía en cuestión que registran con claridad que la fotografía se tomó el 29 de octubre, fecha en que la bolsa se encontró y se extrajo del río. Los metadatos son la huella digital de una fotografía y son inalterables.
-------------------El link de la noticia original lo encuentras al final del artículo--------

Al seguir leyendo mi cuerpo se colapsa, empiezo a sentir un escalofrío que recorre todo mi cuerpo y mi cerebro entra en shock anafiláctico  que  desencadena una reacción alérgica como si me acabara de picar un insecto,  o hubiera comido un alimento extraño o tomado algún medicamento o peor aún  haber visto una nave extraterrestre  que se acercaba a mi y me hubiera abducido, la cual me hace sentir una reacción alérgica exagerada. 

Y mientras sigo leyendo, leyendo y releyendo la noticia y a la vez  que pasa el tiempo voy sintiendo que mi corazón va a tener una parada cardiorrespiratoria en poco tiempo.

y todo estos síntomas me los causa la barrabades que dicen los "expertos en seguridad informática" de gobierno al decir:

------------------------------------
Los metadatos son la huella digital de una fotografía y son inalterables.
---------------------------------------

pero al mismo tiempo trato de controlarme usando técnicas sofisticadas usadas en el karate:





Pero no me puedo controlar y entonces trato de usar otra técnica de relajación mas coloquial como lo es  feng shui:



 y como veo que no me puedo relajar intento al estilo mexicano:




pero aún así no lo puedo asimilar  y no aguanto me sale una exclamación al estilo de planatinito show:




HAy wey ahora resulta que no son alterables los metadatos..

Y sigo tratando de controlarme y me pongo a respirar profundamente y tratar de asimilar lo que acabo de leer  y una vez que me calmé, puedo decir que tontería mas grande eh leido.

 y claro que son modificables los metadatos, existen muchísimas utilerías ya sea para windows o para Linux que nos pueden ayudar para ese fin como lo son:

TOOLS PARA LINUX:



o alguna de todas estas con las cuales podemos practicar.



 o podrías usar simplemente un editor hexadecimal para ver los metadatos y modificarlos así de simple:

Editor hexadecimal en windows podrías usar el 

hEXWORKSHOP


LINUX con el simple hecho de ir a gestor de software y buscar todas las tools con la palabra hexadecimal encuentras mas de 15 utilerías de las cuales a mi me gusta usar:



y con esto amigos termino este pequeño artículo, solo diciendo estas palabras:

AHORA TODO MUNDO SE SIENTE EXPERTO EN SEGURIDAD INFORMÁTICA Y mas ahorita en tiempo de elecciones, QUE LASTIMA QUE SE OIGAN ESTAS COSAS :(.




Saludos

LI: Rodolfo H. Baz
Centro de Investigaciones en Seguridad Informática
www.ccat.edu.mx
---------------------------

Crowdstrike -> Solución de errores de actualización de CrowdStrike con BitLocker habilitado

En este pequeño articulo ver como componer el problema de CROWDSTRIKE cuando esta habilitado el BITLOCKER, cabe resaltar que puede ser una e...