lunes, 5 de noviembre de 2018

SHODAN ICSystems DORKS Part 4 --> Routers Login Page´s

 

-------------------------
Today is the day to show another one SHODAN DORK  to find many many many and many ROUTER´S  LOGIN WEBPAGE.

DORK:
----------

  port:"8080" city:"Xalapa" title:"login"
--------------------

WHERE CITY:  can be changed by any city in the world, in this example I put it a city called XALAPA.

 ONLY FOR EXAMPLE.  :P
-----------------------

sHARE

miércoles, 31 de octubre de 2018

SHODAN industrial Control Systems DORKS Part 3.0 Databases



-------------------------


Buen día amigos hoy les presento 9 SHODAN DORKS para encontrar Muchos pero muchos  open-source relational database management system-- con los cuales disfrutaras visitando esos sitios y viendo que mas se puede hacer con ellos.  :p

TERMS TO REMEMBER

-- RDBMS: Relational Database Management System.

-- ORDBMS: Object-Relational Database Management System.

-- NoSQL: Describes databases that use non-relational models for storing data.

--> use your imagination.
****************************

1.- Mysql      

DORK:     product:MySQL

2.- PostGresSQL     

DORK:    port:5432 PostgreSQL

3.- MongoDB      

DORK: product:MongoDB

4.- RIAK      

DORK:    port:8087 Riak

5.- ELASTIK       

DORK:   port:9200 json

6.- REDIS       

DORK:   product:Redis

7.- Memcached         

DORK:   product:Memcached

8.- Cassandra       

DORK:   product:Cassandra 

9.- CouchDB          

DORK:    product:CouchDB
-----------------------------


USE IT IN A CORRECT WAY  (y)    




viernes, 14 de septiembre de 2018

DIFERENCIA EN LOS DEBUGGER´S USADOS EN LA INGENIERÍA REVERSA





DIFERENCIA EN LOS DEBUGGER´S  USADOS EN LA INGENIERÍA REVERSA
----------------------

Hay dos tipos de debuggers: 

1.- A nivel de usuario (como OllyDbg, Immunity Debugger e IDA Pro) 



2.- Debuggers de kernel (como WinDbg, SoftIce y Syser). 



****************************

Estos dos tipos tienen una gran y sutil diferencia y que es la de que los debuggers de kernel se ejecutan con mayor privilegio y, por lo tanto, pueden depurar controladores y dispositivos de dispositivo de kernel y los de nivel de usuario no pueden.

El Sistema Operativo Windows  depende del procesador para dar seguridad en diferentes capas como ejemplo pondré el CPU INTEL común y corriente que todos tenemos en casa donde los programas se pueden ejecutar en cuatro modos distintos que son:

-- RING 0

-- RING 1

-- RING 2

-- RING 3

Donde los que nos interesan son el RING 0 (KERNEL)   y   RING 3  (usuario)

Basados en esto  al querer seleccionar un DEBUGGER lo  mas obvio seria seleccionar uno que controlara RING 0  y no uno RING 3.

PERO BUENO NO TODO ES PELADITO Y EN LA BOCA YA QUE .....


El  ÉXITO DE LOS DEBUGGER'S ring 3 es que normalmente traen una muy buena, bonita y fácil de usar interfaz gráfica o no?  como lo es OLLYDBG que es el de mayor uso por los ingenieros reversos hoy en día:

Ya solo cuando sea necesario, usaremos los DEBUGGER'S ring0 de la línea de comando (como WinDbg):

Sin embargo, hay una excepción: hace poco, IDA Pro introdujo un módulo GUI que puede ejecutar WinDbg para la depuración del kernel. pero lamentablemente es de pago.

Como les dije no todo es peladito y en la boca.

Pero les dejo un link donde podrán encontrar varios debugger´s en RING 0   y ya ustedes seleccionaran el que gusten usar.


 http://www.woodmann.com/collaborative/tools/index.php/Category:Ring_0_Debuggers



 Bueno esto es todo por el momento en próximos artículos empezaremos a ver todo lo referente a traceo en RING 0 que normalmente se usa para análisis de malware.


 ProFeSor X

www.rodolfohbaz.net

lunes, 13 de agosto de 2018

Las 1001 formas de Crackear un Software






las mil y una formas de CRackear un Software
(Método de desensamblado de Ejecutable) 

Bueno amigos aqui les dejo un manual de INGENIERIA REVERSA  que escribí ya hace un tiempo y que anduve buscando en mis respaldos de mis hd´s y nunca lo encontré pero ahora si se hiso presente la premisa de internet: 

LO QUE SUBES A INTERNET JAMAS SE BORRA.

Totalmente cierto ya que lo busque por su nombre y me doy cuenta que los amigos de  EXPLOIT DB lo tienen registrado con el siguiente link:


En este tutorial donde explico como se puede crackear (reversear) un software de diferentes formas para llegar al mismos fin que es el de tenerlo freee :p.


Espero les guste.

Li. Rodolfo H. Baz
www.ccat.edu.mx
rodolfohbaz@gmail.com

jueves, 24 de mayo de 2018




GAJES DEL OFICIO POLÍTICO VISTOS DESDE LA PERSPECTIVA DE UN EXPERTO EN SEGURIDAD INFORMÁTICA parte 1

-------------------------
Los mexicanos nacimos para ser “los chingones” del mundo, pero preferimos quedarnos en la mediocridad y fortalecerla día con día.

El pasado viernes, esto lo pude ver reflejado en mi salón de clases. Me di cuenta que en verdad estoy rodeado de mexicanos que se encuentran completamente arraigados con el lema

“EL QUE NO TRANZA NO AVANZA”.


Hablábamos de la labor de representantes de medios electrónicos de comunicación social con personajes de gobierno o políticos que se postulan para presidentes.

PREGUNTÉ

CUAL DEBERÍA DE SER LA POSTURA DE UN COMUNICADOR SOCIAL CUANDO SU JEFE HA COMETIDO UN ERROR O LA HA CAGADO FRENTE AL PÚBLICO?

Mis compañeros, típicos mexicanos de colmillo afilado respondieron algunas cosas como éstas:

“Cuando trabajas para alguien así, te debes poner la camiseta”

“Ante todo defiendes a la persona con la que estás trabajando, aunque no tenga la razón”

“Cuando entras a trabajar a lugares como Televisa por ejemplo, sabes a qué te arriesgas”

“Cuando aceptas un trabajo así, sabes a lo que te metes y tienes que terminar cediendo”

“Es como los abogados que defienden a asesinos, es su trabajo y lo tienen qué hacer”

“Si te van a pagar por hacerlo, pues aunque la verdad vaya a salir a la luz después, lo importante es que tú ya ganaste”


¿No les deprime esto? A mí sí.

Por eso tenemos a los candidatos a la presidencia que nos merecemos.

-- Ricardo Anaya - Joven, sin cargo político alguno, no ha sido presidente municipal, gobernador y el colmo en el debate donde muchos millones de mexicanos lo ven se atreve a decir que tiene escrito un libro y NO ES CIERTO, muestra una portada de una revista PROCESO MODIFICADA donde dice que en ella hablan de MEADE Y AMLO COMO CORRUPTOS y adivinen..... el aparecía también, solo que la modifico para que no saliera el..... up´s.

-- José Antonio Meade: Empezó su campaña vanagloriando su apellido osea presumir de sus cualidades y méritos le habían dejado, después si ven también dice:

---- ESCRIBÍ UN LIBRO QUE YA PRONTO SALDRÁ, pero cuando le preguntan el nombre contesta " AH PERDÓN NO ME ACUERDO DEL NOMBRE" -----

------ y el otro YA SABEN QUIEN ;P NO sale de su discurso de la MAFIA DEL PODER, LOS CORRUPTOS QUE ROBAN TODO EN MÉXICO QUE SON UNOS CUANTOS Y DEMÁS COSAS. aunque son ciertas, no sale de eso y México necesita propuesta reales, no la misma retorica, demagogia y discurso de siempre que al final no se cumplen.

---------------------------
TODOS POR EL PODER Y TRABAJAR PARA EL, AL FIN COMO dijeron los compañeros de clases......

“Si te van a pagar por hacerlo, pues aunque la verdad vaya a salir a la luz después, lo importante es que tú ya ganaste”
----------------------------

POR ESO TENEMOS EL PAÍS Y GOBERNANTES QUE NOS MERECEMOS

GRACIAS A DIOS MI ÁREA ES LA SEGURIDAD INFORMÁTICA QUE TAMBIEN SE CUECEN LAS HABAS Y QUE EN LA PARTE 2 DE ESTE ARTICULO MENCIONARÉ ..... .  👍😎

#Xalapa #Coatepec #Pri #Pan

jueves, 1 de marzo de 2018

La Obsolescencia Programada Aparatos Fabricados para no durar


SABIAN ESTO. ----------------- 

La obsolescencia programada u obsolescencia planificada es la determinación o programación del fin de la vida útil de un producto, de modo que, tras un período de tiempo calculado de antemano por el fabricante o por la empresa durante la fase de diseño del mismo, este se torne obsoleto, no funcional, inútil o inservible por diversos procedimientos, por ejemplo por falta de repuestos, y haya que comprar otro nuevo que lo sustituya. Su función es generar más ingresos debido a compras más frecuentes para generar relaciones de adicción (en términos comerciales, «fidelización») que redundan en beneficios económicos continuos por periodos de tiempo más largos para empresas o fabricantes. 

para seguir leyendo en mi nota de facebook....

miércoles, 21 de febrero de 2018

CITA CITABLE de Seguridad --- MELTDOWN - SPECTRE - 21-02-18


CITA CITABLE de Seguridad 21-02-18
---------------------
Todo mundo esta hablando de las NUEVAS vulnerablidaddes de PROCESADORES INTEL las llamadas MELTDOWN - SPECTRE pero sabian que estas vulnerabilidades........

MELTDOWN
----------------
  • Solo afecta a los procesadores Intel
  • Existen muchos parches disponibles para evitar la técnica de Explotación de Meltdown.
  • No se puede explotar de forma remota.
  • Exploits conocidos hasta ahora, solo han estado en pruebas de laboratorio.

SPECTRE
----------------
  • Afecta a los procesadores Intel, AMD y ARM
  • Los parches están disponibles para la mayoría de los navegadores principales, pero estos solo cubren el navegador.
  • basadas en explotaciones spectre.
  • Intel espera tener actualizaciones de Microcódigo / Firmware para cubrir el 90% de los procesadores de los últimos 5 años antes de fin de semana.
  • Exploits conocidos hasta ahora, solo han estado en pruebas de laboratorio.


PARCHANDO SU SISTEMA PARA EVITAR ESTOS ATAQUES.



LO MEJOR POR EL MOMENTO ES ACTUALIZAR Y RECUERDEN AMIGOS  EN BREVE HABRA ACTUALIZACIONES DE MICROCODIGO firmware por parte de intel.

SALUDOS.

viernes, 16 de febrero de 2018

HIDDEN COBRA - Análisis técnico de Herramienta de Administración Remota (RAT) FALLCHILL





QUE ES UN RAT?

RAT (Remote Administration Tool) herramientas que son utilizadas para administrar remotamente algún tipo de sistema. Estas aplicaciones pueden ser legítimas o no y pueden ser utilizadas con o sin autorización del usuario.

Y en este caso habalremos de una de las utielrias que son usadas por el grupo LAZAROUS que es perteneciente  a corel del norte y que esta catalogado dentro la investigacion del FBI  con el nombre de HIDDEN COBRA.

DESCRIPCIÓNDe acuerdo con los informes confiables de terceros, los miembros de HIDDEN COBRA probablemente usaron el malware FALLCHILL desde 2016 para apuntar a las industrias aeroespacial, de telecomunicaciones y financiera.  

El malware es una RAT completamente funcional con múltiples comandos que los hacker´s pueden emitir desde un servidor de comando y control al sistema de la víctima a través de dos servidores proxy.  

FALLCHILL típicamente infecta un sistema como un archivo que se cae por otro malware HIDDEN COBRA o como un archivo descargado sin saberlo por los usuarios cuando visitan sitios comprometidos por los hacker´s de HIDDEN COBRA una vez comprometidos los sitios estos usan una herramienta externa o DROPPER para instalar el malware como servicio FALLCHILL para establecer la persistencia. Debido a esto, el malware HIDDEN COBRA adicional puede estar presente en sistemas comprometidos con FALLCHILL.Durante el análisis de la infraestructura utilizada por el malware FALLCHILL, el gobierno de EE. UU. Identificó 83 nodos de red. Además, al utilizar la información de registro disponible públicamente, el gobierno de EE. UU. Identificó los países en los que se registraron las direcciones IP infectadas.


FALLCHILL es el componente principal de una infraestructura C2 que utiliza múltiples proxies para ocultar el tráfico de red entre los HACKER´S de HIDDEN COBRA y el sistema de la víctima. De acuerdo con los informes confiables de terceros, la comunicación fluye desde el sistema de la víctima a los actores ocultos de COBRA utilizando una serie de proxies, como se muestra en la figura 1.


Figura 1. Flujo de comunicación de HIDDEN COBRA FALCHILLFALLCHILL utiliza comunicaciones falsas de Seguridad de la capa de transporte (TLS), codificando los datos con encriptación RC4 con la siguiente clave:

 [0d 06 09 2a 86 48 86 f7 0d 01 01 01 05 00 03 82] 


Despues FALLCHILL recolecta información básica del sistema y envía paquetes a la siguiente conexiónm, entre la información que recolecta esta la siguiente:
  •     Información de la versión del sistema operativo (SO),
  •     Información del procesador,
  •     Nombre del sistema,
  •     Información de la dirección IP local,
  •     ID generada única, y
  •     Dirección de control de acceso a medios (MAC).

FUNCIONES INTEGRADAS EN FALCHILL


FALLCHILL contiene las siguientes funciones integradas para operaciones remotas que proporcionan varias capacidades en el sistema de la víctima:
  •     Recuperar información sobre todos los discos instalados, incluido el tipo de disco y la cantidad de espacio libre en el disco;
  •     Crear, iniciar y terminar un nuevo proceso y su hilo principal;
  •     Buscar, leer, escribir, mover y ejecutar archivos;
  •     Obtener y modificar marcas de tiempo de archivos o directorios;
  •     Cambiar el directorio actual para un proceso o archivo; y
  •     Eliminar malware y artefactos asociados con el malware del sistema infectado. 

DETECCIÓN Y RESPUESTA A FALCHILL
 El DHS y el FBI recomiendan que los administradores de red revisen la información provista, identifiquen si alguna de las direcciones IP provistas cae dentro del espacio de direcciones IP asignadas a sus organizaciones, y si se encuentran, tomen las medidas necesarias para eliminar el malware.

Al revisar los registros del perímetro de la red para las direcciones IP, las organizaciones pueden encontrar instancias de estas direcciones IP que intentan conectarse a sus sistemas. Al revisar el tráfico de estas direcciones IP, los propietarios del sistema pueden encontrar que el tráfico se relaciona con actividad maliciosa y que parte del tráfico se relaciona con la actividad legítima.


FIRMAS DE RED O NETWORK SIGNATURES DE IDENTIFICACIÓN DE FALCHILL 


alert tcp any any -> any any (msg:"Malicious SSL 01 Detected";content:"|17 03 01 00 08|";  pcre:"/\x17\x03\x01\x00\x08.{4}\x04\x88\x4d\x76/"; rev:1; sid:2;)
_________________________________________________________________________
alert tcp any any -> any any (msg:"Malicious SSL 02 Detected";content:"|17 03 01 00 08|";  pcre:"/\x17\x03\x01\x00\x08.{4}\x06\x88\x4d\x76/"; rev:1; sid:3;)
__________________________________________________________________________
alert tcp any any -> any any (msg:"Malicious SSL 03 Detected";content:"|17 03 01 00 08|";  pcre:"/\x17\x03\x01\x00\x08.{4}\xb2\x63\x70\x7b/"; rev:1; sid:4;)
__________________________________________________________________________
alert tcp any any -> any any (msg:"Malicious SSL 04 Detected";content:"|17 03 01 00 08|";  pcre:"/\x17\x03\x01\x00\x08.{4}\xb0\x63\x70\x7b/"; rev:1; sid:5;)
_________________________________________________________________________

YARA RULES
---------------
Las siguientes reglas fueron provistas al NCCIC por un tercero de confianza con el propósito de ayudar en la identificación del malware asociado.

ESTE MATERIAL DHS / NCCIC SE SUMINISTRA "TAL CUAL". Estas reglas han sido probadas y determinadas para funcionar eficazmente en un entorno de laboratorio, pero no tenemos manera de saber si pueden funcionar de manera diferente en una red de producción. Se anima a cualquiera que use estas reglas a probarlaS.



rule rc4_stack_key_fallchill
{
meta:
    description = "rc4_stack_key"
strings:
    $stack_key = { 0d 06 09 2a ?? ?? ?? ?? 86 48 86 f7 ?? ?? ?? ?? 0d 01 01 01 ?? ?? ?? ?? 05 00 03 82 41 8b c9 41 8b d1 49 8b 40 08 48 ff c2 88 4c 02 ff ff c1 81 f9 00 01 00 00 7c eb }
condition:
    (uint16(0) == 0x5A4D and uint16(uint32(0x3c)) == 0x4550) and $stack_key
}

rule success_fail_codes_fallchill
{
meta:
    description = "success_fail_codes"
strings:
    $s0 = { 68 7a 34 12 00 }
    $s1 = { ba 7a 34 12 00 }
    $f0 = { 68 5c 34 12 00 }
    $f1 = { ba 5c 34 12 00 }
condition:
    (uint16(0) == 0x5A4D and uint16(uint32(0x3c)) == 0x4550) and (($s0 and $f0) or ($s1 and $f1))
}

__________________________________________________________________


 IMPACTO

Una intrusión de red exitosa puede tener impactos severos, particularmente si el compromiso se hace público y la información sensible queda expuesta. Los posibles impactos incluyen:
  • Pérdida temporal o permanente de información confidencial o de propiedad exclusiva.
  • Interrupción de las operaciones regulares,
  • Pérdidas financieras incurridas para restaurar sistemas y archivos, y
  • Daño potencial a la reputación de una organización.

IP´S IDENTIFICADAS EN UNA VARIANTE DE FALCHILL

10.10.30.110
175.100.189.174
125.212.132.222


DETALLES PE
  • Nombre: E48FE20EB1F5A5887F2AC631FED9ED63 
  • Tamaño:   94208
  • Tipo: PE32 executable (GUI) Intel 80386, for MS Windows 
  • MD5:  e48fe20eb1f5a5887f2ac631fed9ed63 
  • SHA1: f83f30bd284074d1daaf2e262a280ca780791f2c 
  • ssdeep: 1536:qJhDLw1yDhhzoN/e/C/O/C/a/D/I26251K06Zk/XrqqitM4NvL:qvfw1ahEVOS+Sq7IN251ikzq5tM4NvL 
  • Entropy: 5.49321665686 

FECHA DE COMPILACIÓN DEL PORTABLE EJECUTABLE (PE)

2016-03-30T04:26:15Z  


COMPILADOR DEL PE

Microsoft Visual C++ v6.0
SECCIONES ENCONTRADAS DEL PORTABLE EJECUTABLE




FALCHILL es un ejecutable PE32 malicioso que permite a un operador  o un servidor para realizar varias operaciones remotas.

El malware contiene API codificadas funciones, RC4 encadenas codificadas con XOR y codificadas. Cuando es ejecutado, el malware XOR decodificará y RC4 descifra sus cadenas.

 
A continuación se muestra la clave codificada RC4 utilizada para descifrar datos y cadenas:


--Begin Key--
0D 06 09 2A 86 48 86 F7 0D 01 01 01 05 00 03 82
--End Key--
Displayed below are decrypted strings of interest:
--Begin strings--
"5mkfJY7kjmHcj4jlxG6jhsdRT7Faw7fj"
"CMUPD.bat"
"CMA25C.tmp"
"Software\\Microsoft\\Windows\\CurrentVersion\\Run"
"443"
"125.212.132.222"
"175.100.189.174"
"1992"
"10.10.30.110"
--End strings-
---------------------------------------------
ESTOS SON ALGUNOS DETALEES DE ESTA UTILERIA QUE PRESUMIBLEMENTE ES USADA PARA ATAQUES REMOTOS.
para mas información detallada contactarme. 
LI. RODOLFO H. BAZ
WWW.RODOLFOHBAZ.NET 
https://www.us-cert.gov/sites/default/files/publications/MAR-10135536-A_WHITE_S508C.pdf





 

Crowdstrike -> Solución de errores de actualización de CrowdStrike con BitLocker habilitado

En este pequeño articulo ver como componer el problema de CROWDSTRIKE cuando esta habilitado el BITLOCKER, cabe resaltar que puede ser una e...