Archivo de la categoría: Informatica
Anonymous
Casi nunca hacemos públicos enlaces de otros blog sin hacer un comentario antes, para eso tenemos el Facebook https://es-es.facebook.com/CMDSistemas o el Twitter https://twitter.com/CMDSistemas
Chema estos días ha dejado unos enlaces sobre algo que me suelen preguntar las amistades o los alumnos, si soy partidario del grupo Anonymous.
Que pregunta más difícil de responder sin mojarse, entraría todo el dilema moral del bien el mal, la risa el llanto, el sol la noche, la alpargata el zapato, la constitución y los derechos de todo ciudadano, esos que nos pisan constantemente los políticos de turno.
Pagáis la hora cuando aparcáis debajo de vuestra casa como siempre hicieron vuestro padres? así por el morro …, por que el ayuntamiento debe recaudar todo el dinero que pierde en malas gestiones ¿?.
Pagasteis el Canon que hubo que pagar durante años por comprar CD, DVD, un mp3, un teléfono móvil, etc … que nadie nos ha devuelto¿? ¿Por qué? ha cerrado empresas Españolas que se dedicaban a esta producción es normal eso ¿? En mi mundo y en la sociedad que yo tengo pensada como perfecta esto no sucede.
Volviendo al tema y respondiendo aclaratoriamente que solo es una opinión particular nunca generalizada en la empresa, simplemente dejo este artículo sobre Anonymous y su política de trabajo:
http://alt1040.com/2012/08/anonymous-detiene-a-hacker-espanol
Modificar metadatos a los documentos
Para los que sabéis que son los metadatos y como verlos en los documentos os dejo unas aplicaciones para cambiarlos:
Mira las fechas de creación, modificación y último acceso de un documento por ejemplo con esta aplicación online:
http://www.informatica64.com/foca/
Ahora modifícalos y vuelve a comprobarlo. Usa para ello estos programas http://www.forensicswiki.org/wiki/Timestomp para unos y http://es.download.cnet.com/File-Date-Touch/3000-18511_4-75629826.html para otros.
Y hacer buen uso de ello.
Borrar la cache de navegacion del java – Caché de Flash y Java.
A veces borramos el histórico de navegación pero nos olvidamos del java y nos pueden encontrar inforamación valiosísima, por el ejemplo el profesor en clase puede saber que he estado jugando al Jordi Tarres en versión flash 🙂 (ojala lo hubiera) cuando debería haber estado atendiendo.
La caché de los navegadores web se limita a las páginas web y a las imágenes. Muchas aplicaciones web programadas con Flash y Java no se ven afectadas por la limpieza de caché clásica, almacenan archivos en las caché de los plugins.
CCleaner puede borrar tanto la caché de Flash como la de Java, pero lo ideal es tener más control sobre lo que borras y para ello debemos recurrir a los paneles de cada complemento.
Por ejemplo en flash podemos tener partidas de juegos web, cookies, música …
Para Flash: entra en Panel de control de Flash y echa un vistazo al contenido. http://www.macromedia.com/support/documentation/en/flashplayer/help/settings_manager07.html
Evitar que Java almacene contenido temporal en el ordenador y además borra los archivos temporales, tienes la ayuda aquí:
http://www.java.com/es/download/help/plugin_cache.xml
Y más claro ni agua.
ListDlls , Handle y MacMatch encontrar ficheros modificados o abiertos por fechas, etc …
LISTDLLS
Herramienta de la Suite de SysInternals. Podemos indicando el pid de un proceso ver las dll que carga ese proceso en cuestión.
Os recuerdo que una dll son las siglas de Dynamic Link Library (bibliotecas de enlace dinámico), términos que hacen referencia a archivos con código ejecutable que se cargan por parte del sistema operativo bajo demanda del programa.
Puedes buscar las dll que carga tu notepad por poner un ejemplo.
Handle (sysInternals)
Permite mostrar un listado de procesos que mantienen abiertos archivos o directorios.
Objetivo: averiguar si un determinado proceso tiene abierto un fichero o qué tipo de objetos mantiene abierto un proceso.
MacMatch
Permite localizar archivos en función de fechas concretas, y podemos limitar la cantidad de datos analizar. Buscará ficheros modificados en un intervalo de tiempo dado. Ver en la ayuda lo que es M,A y C. Muy útil el comando u aplicación.
TELLSPELL.COM y HACKING GOOGLE
Tenemos otras web útiles como http://tellspell.com
Voy a buscar la palabra en inglés: «table» y me devuelve una búsqueda en google
.
Selecciono de esa imagen la búsqueda de la palabra clave table y me devuelve entre otras cosas su hash en MD5, que a posterior si fuera una clave de usuario podría redirigir la búsqueda de google para encontrar en ciertos foros o porque no redes, usuario que tengan ese HASH. Almacenar MD5 como contraseña de manera online y que pueda ser indexado por los buscadores es un peligro.
Podemos usar también varias web de descifrado:
http://www.dimitrix.es/descifrar/MD5/40/
http://www.md5decoder.com/aab9e1de16f38176f86d7a92ba337a8d/
http://www.md5-hash.com/md5-hashing-decrypt/aab9e1de16f38176f86d7a92ba337a8d
Por ejemplo vamos a buscar el md5 de administrator:
Por poner un ejemplo.
Una cosa que aprendí de Chema Alonso y su gran blog es lo siguiente: «cito»
«»Ahora mismo estamos usando google pero no olvidamos a bing que tiene algo que no tiene google Implementa correctamente el operador EXT y Filetype, Google no lo hace. Para Google, tanto EXT con Filetype son lo mismo, cuando no es así. Si buscas en Bing con el operador EXT dará resultados cuyos ficheros acaben en la extensión que decidas. Si usas Filetype lo hará por el tipo de fichero, no importa la extensión que tenga -. En Google tanto Filetype como EXT devuelven ficheros que tengan esa extensión.
Otra propiedad de Bing es que implementa el operador Contains: da la posibilidad de encontrar páginas con enlaces a ficheros con una extensión concreta. Chema Alonso del elladodelmal lo usa en sus demostraciones, lo utilizó, por ejemplo, para encontrar páginas a ficheros de configuración Citrix.
También indexa el contenido de ficheros empaquetados, se pueden encontrar ficheros que estén dentro de un archivo comprimido o empaquetado, lo que puede arrojar más resultados a la hora de buscar ficheros raros en Internet.»»
Siguiendo con el ejemplo podemos buscar por ejemplo el volcado ya sea por error o por backup programado de copia shadows de bases de datos de esta empresa (ejemplo) que es un operador de servicios de internet:
Estos son unos pequeños trozos del gran listado que devuelve. Revela información muy comprometedora sobre la base de datos de esta empresa, para empezar la versión de MySQL y la fecha de actualización, como podemos ver muy actual a la fecha de hoy.
También salen datos de usuarios y contraseñas de administrador y si bajamos en el listado veremos nombres con apellidos, teléfonos, direcciones, números de tarjetas de crédito, etc … que luego digan que con google no se puede hacer hacking. Si somos un poco listos nos fijaremos en la tabla que se insertan, si estuvieran en MD5 ya sabéis como saber su valor.
Al saber la versión de MySQL lo primero que haremos será ver este enlace para saber las vulnerabilidades http://www.cvedetails.com/vulnerability-list/vendor_id-185/product_id-316/version_id-71375/Mysql-Mysql-5.0.77.html
En este caso tenemos usuario y contraseña de administrador, además dos, vamos a comprobar que podemos hacer y hasta donde llegan.
Lo siguiente sería informanos un poco del MySql instalado aunque eso ya deberíais controlar si estáis leyendo hasta aquí:
http://dev.mysql.com/doc/workbench/en/mysql-utils-intro-connspec.html
Con fireburg de mozilla podemos ver el código de la página y como se llama a los componentes.
Vamos a forzar un error para ver la plataforma sobre la que está corriendo:
Si llega a entrar al panel de administración hubiera sido muy fácil que os pensabais ¿? J y ahora lo dejamos aquí que os estáis emocionando, estamos viendo información sensible no hackeando nada que os recuerdo no es legal.
Muy típico hoy en día es encontrarse con estos datos provenientes de alguna web con un panel de administración de Word Press al que podemos acceder con http://dominio.com/wp-admin/ y sabiendo el nombre de usuario contraseña ya estaría a no ser que el puerto este cambiado para la administración externa pero podemos ver los puertos abiertos para esa dirección don diversas herramientas que seguro ya conocéis. Así son de descuidados los administradores de hoy en día, cuando los hay claro …
Si veis alguna contraseña cifrada rara, pues la copiáis y la pegáis en google y os devolverá su valor y el algoritmo usado, así de fácil, tipo la web que veíamos al comienzo, siempre estamos hablando de personas descuidadas.
www.robtex.com
Voy a usar un poco esta interesante Web, por echarle un vistazo rápido y pasar un rato con vosotros.
Gracias a esta Web podemos usarla para sacar un montón de información, también si un dominio está en una blacklist, o bueno vamos a ir viéndola un poco. Por ejemplo vamos a usarla para ver donde está alojado el foro del periódico el Comercio de Asturias. Pero antes vamos a ver algunas cosillas, antes de ponernos con la primera flecha roja.
Como podéis ver ellos mismo se definen con la herramienta suiza para internet. Cada vez que escucho la palabra suiza no os cuento lo que me pasa por la cabeza.
Abajo en la imagen anterior, viene el AS que se corresponde con telefónica, el sistema autónomo el AS, el AS es usado por el protocolo Bgp que se estudia en el CCNP para el enrutamiento entre operadores, si queréis os explico más sobre Bgp pero preguntarme pues es ya muy específico de empresas de telecomunicaciones como telefónica.
Podemos ver ahora en un gráfico el as que le corresponde a telefónica y el de su backbone o por lo menos al as de la red a la que estoy yo actualmente conectado y a quien pertenece los demás AS con los que comunica el backbone, poniéndonos encima con el ratón vemos la información, la web es es genial http://bgp.he.net/AS3352#_graph4
Vaya vaya lo que estamos aprendiendo.
Voy a seleccionar la opción de Whois a ver que veo:
Anda mira, la calle Beatriz de Bobadilla, donde esta telefónica data España que creo ya no existe como tal pero sigue apareciendo, anda el señor Jesus Angel Rojo, creo que lo recuerdo aunque ya será más viejo, que momentos viví en ese edificio. También podemos ver el nic-hdl –à http://es.wikipedia.org/wiki/NIC_handle más fácil el teléfono de contacto.
Hay otros atributos como el mnt-by, bueno son temas todos de registros siguiendo los estándares, podéis ver lo que almacena cada uno de ellos en los siguientes enlaces (no dejéis de echar un vistazo aunque sea por ir asimilando como se registran los dominios y los operadores en el mundo de los enrutadores)
http://www.apnic.net/apnic-info/whois_search/using-whois/guide/inetnum
http://www.apnic.net/apnic-info/whois_search/using-whois/guide/route
Voy a seguir mirando que estoy cotilla y voy a mirar las ip públicas asignadas a ese AS3352
En prefijos podemos ver por ejemplo la red que usa para dar ip el Wimax de infotelecom, vemos que la red es la 46.18.40.0/23
.
EL BARSAAAA!!!! J 213.0.22.0/24 anda que tienen esa red!!!! Uffff que se me escapa la risa floja.
Vamos a usar el DNS a ver si vemos la ip del mapeo del correo del Barcelona, igual hay que mandar un correo felicitando el año.
Bueno están bien no parecen estar en ninguna lista por ahí de que estén haciendo spam o infectando nada fuera de su red, así me gusta muy Catalán todo para vosotros.
Bueno vamos a dejar al Barsa en paz que está jugando muy bien y vamos a seguir «mirando».
Me apetece ver un poco las adyacencias de los AS que están dentro del 3352 de telefónica a ver que clientes tienen sus propias redes y pagan el dineral a telefónica:
http://cidr-report.org/cgi-bin/as-report?as=AS3352
Me devuelve 72, voy a compararla con la lista de la otra web.
http://bgp.he.net/AS3352#_peers
Coño Garrigues en el 54
Ya ganáis para tener un AS propio con telefónica, claro la seguridad es primordial ehh!! Pues mira si es cierto los conozco y tienen a telefónica y a B.T. Bueno esta noche habrá que hacer unas consultas DNS a ver qué tal están.
Nacheteee, cuídame esos despachos ehh!!
Bueno y ahora vamos a premiar a los clientes de telefónica que ya están haciendo uso en España de IPV6 que ya está super extendido por el territorio español, no sé si tendremos premio para tantos.
Oleee DOS … jejejejeje
Bueno pero no es lo mismooooo que lo tengan al nivel de telefónica de público que los estén usando dentro de su propio sistema AS, vamos a ver estos:
Eh un 10 ahí a la Mutua Madrileña.
Anda mira Izfe S.A., EUSKATELLLLL !!!!! que va con el AS12338
Buff estoy cansado, sigo más tarde que soy humano, tengo hambre …
Al final no enseñe lo que pretendía, me puse con el AS y no vimos la utilidad DNS que era lo interesante que pretendía demostrar hoy, en fin lo pongo en la siguiente nota, perdonar me entretuve un poco J.
Hacker por la justicia uno ha caído. Hemos perdido a uno de los nuestros”
Llevo tiempo queriendo publicar este artículo, concretamente desde el pasado 11 de enero de 2013 muere Aaron Swartz.
Como dice Tim Berners: «Hacker por la justicia uno ha caído. Hemos perdido a uno de los nuestros»
Niño prodigio de la informática brillante y divertido fue el creador del protocolo de las RSS.
Hizo una campaña contra SOPA y PIPA derrotándolos, trabajo con Rootstrikers grupo activista internacional y de EE.UU.
Fue constantemente monitorizado e investigado por el FBI, desde sitios públicos en bibliotecas descargó el 20% de la base de datos PACER que recoge documentos de los tribunales federales y que sientan los precedentes de la legislación estadounidense.
Estos documentos son de dominio público pero el gobierno cobra ilegalmente por ellos, Aaron los liberó en REPAC, la base de datos pública creada por activistas en pro de la libertad de información.
Posteriormente decidió liberar documentos académicos del MIT para el público, todos nosotros, los que pisamos el planeta tierra.
Defendía la transparencia y la libertad de información. En el momento de su muerte estaba acusado con denuncias de cuatro millones de dólares en multas y hasta 50 años de cárcel.
Aaron apareció muerto en su domicilio de Nueva York, a principios de este año a los 26 años de edad con una presencia prodigiosa en el mundo y casi única a los 26 años de edad, en la que diagnosticaron una muerte por ahorcamiento, el veredicto de la muerte un «SUPUESTO» suicidio.
Empezamos el año perdiendo uno de los más importantes guerreros por la libertad de expresión, pero sin olvidarnos de las grandes derrotas que hizo sobre EE.UU., liberando para todos los jóvenes y mayores, información que ilegalmente nos obligan a pagar, no hay ningún derecho.
En torno a la muerte de Aaron, el grupo Anonymous decidió dejar su huella en forma de tributo al joven: un Defacement a la página del MIT junto a una serie de ataques en conjunto a la página del Departamento de Justicia, la cual se mantuvo varias horas sin acceso. Junto a los ataques, Anonymous hace un llamamiento popular hacia un cambio de reforma sobre los delitos informáticos.
Desde su muerte en USA se están planteando nuevas medidas más ligeras, dando en cierta medida la razón a Aaron Swartz.
Saludos campeón … libertad de expresión.
Fuentes de recursos, carta de la novia, homenajes, esquela y demás en:
http://lists.w3.org/Archives/Public/www-tag/2013Jan/0017.html
http://lessig.tumblr.com/post/40347463044/prosecutor-as-bully –>Esquela.
http://boingboing.net/2013/01/12/rip-aaron-swartz.html
CIBERGUERRA
En nuestro post anterior hablamos de los intentos por engañarnos con páginas web falsas, ya sea por fishing mediante correo email o ingenieria social a traves de facebook, usando siempre las técnicas de harvesting.
En ese artículo hice mencion a los ciberguerreros y los nuevos entrenamiento americanos, tambien algún dato sobre el uso de estas técnicas contra digamos el URANIO ( operación contra el armamento militar atómico (ya sabeis que no se puede decir la palabra bomb? o aparece un personaje como en el artículo anterior).
En otros artículos anteriores os explicaba como se puede llegar con un malware a crear un incendio. Bien pues una empresa Española de seguridad asegura haber visto como funciona, pero no ese NOOOO, sino uno que logra descontrolar un avión a la hora de hacer una aterrizaje, empieza a dar miedo ante un ataque terrorista.
Normalmente no publicamos enlaces de terceros, procuramos escribir los nuestros aunque no brille por una calidad extrema o una redaccion limpia y clara.
Hoy vamos a publicarlo un artículo de otra empresa dedicada a la seguridad, es bueno el artículo y muy bien documentado.
Os dejo una artículo de Chema, (no el de nuestra empresa), al que le damos las gracias por escribir este artículo desde el otro lado y sobre todo por compartirlo:
Leer!!! merece la pena, es el futuro …
Dejarle algún comentario que se agradece saber que se leen las publicaciones ya que ninguno las hacemos por altruismo, no refiriendome a un huevo colgando y el otro lo mis …
Saludos cmdesianos.
Ataque HARVESTER – HACKING a GMAIL
Hola a todos, hoy vamos a enseñaros una técnica muy usada en España para saber nuestras contraseñas y usuarios. Es bueno conocerlas para no picar en el anzuelo, aunque muchos si fuéramos pez …
Siempre que rellenemos un campo en un formulario en una página web deberíamos fijarnos bien en el campo donde va la URL en nuestro navegador, podemos estar siendo víctimas de un ciber-ataque.
Este ataque se da por ingeniería social, se aprovechan de nuestra confianza para suplantar la página web original por un clon. A veces nos dan una IP, pero también se lo pueden trabajar más y darnos una dirección e una WEB. Yo mismo lo acabo de hacer con permiso de una amistad (victima).
Solo tienes que poner algo delicioso y la ingeniería social hace el resto. Lo habitual es recibir un correo (phishing) pero lo normal es alguien conocido por internet en la red social.
Yo a mi víctima le he dicho que gmail regalaba solo por hoy un espacio muy superior al servicio de pago de Dropbox de manera «»GRATIS»» y para toda la vida, como los premios del uno, dos, tres (lote jamón para toda la vida)
Hoy en día los gobiernos están gastando una gran cantidad de dinero intentando resolver el problema con las redes Bonets, las redes que forman los Ciber Activistas echar abajo los servicios Web de las empresas. Pero un atacante no necesita todo eso para hacer el mal, desde su silla lo puede hacer y quizás esa parte desconocedora de internet es la que un usuario de la calle necesita ver y quizás algún informático especializado en otra rama. (¿Benja aprendiste ya a formatear un PC? consultor 14años de experiencia)
El problema real es la posible creación de una CIBER GUERRA, anular todos los servicios en internet de ciertos países, robar documentación secreta, etc ..,.
La actividad criminal del ataque que presentamos hoy es muy alto pero el daño en números es mínimo comparado con otros y nos son estos los que preocupan a los ministerios de defensa.
Hagamos varias preguntas
Se me escapo la imagen anterior, vaya por dios Julian Muñoz y el amigo de los informáticos. La imagen que iba ahí:
En caso de una ciber-guerra quien sería el organismo encargado de …?, el gobierno?, el ejército?, una agencia libre y privada?, funciona el departamento de defensa?, que tareas se van a realizar, va ser detección?, investigación?, defensa?, ataque?. Como se van a coordinar los distintos grupos que participen?, va haber una respuesta al ataque?, quizás un ciber ataque militar mediante una BOOOOOOMMMMMBAAAAA cibernética?
COÑO King Africa … no pronuncio más esa palabra.
Hay algún framework creado? como esta España de preparada?, 
no hace falta que os responda verdad?.
Estados Unidos ya ha lanzado ataques contra países que poseían armas nucleares, una forma de conseguir información y anular sus sistemas, empieza esa guerra pero la rueda ya lleva tiempo girando, pero no hacía ruido.
Ante los nuevos acontecimientos nos surge una nueva y fuerte duda, ¿cómo es un guerrero de la red? Es una persona con habilidades especiales en una determinada área:
Ya no son necesarios guerreros físicamente bien preparados, al contrario ahora debemos producir especialistas de distintas áreas, pentester, informática forense, redes, etc.
En USA existe la directiva 8250 que especifica los distintos entrenamientos que tienen que seguir, siempre muy concretos para cada caso. Se entrenan en almacenamiento, en malwares, en … es un tema que tocaremos otro día, de momento sigamos con nuestro mini ataque sufrido en muchos hogares y dejemos los gobiernos a un lado.
Recursos necesarios:
- Windows Instalado.
- http://www.backtrack-linux.org/ (La imagen descargada de la aplicación Back Track). A partir de la versión 5 R1 se puede hacer, pero aconsejamos la R3.
- Tener una cuenta gratuita de prueba en www.dyndns.com
- Una víctima voluntaria.
Lo que vamos hacer es ir cargando en una máquina virtual con Vmware Workstation u otros la imagen del Back Track y arrancando de él. También os podéis hacer un Live con la distribución pero necesitareis entonces dos PC en la red.
Nos instalamos en el Windows PC la aplicación de dyn, se llama dyn updater, así cada vea que nos cambie la ip pública se nos actualizará con nuestro registro de host en www.Dyndns.com, esto ya sabéis como va. Lógicamente los que tengáis Ip fija no os hace falta hacerlo.
En la web de dyndns configuramos el registro del host (nuestra ip pública) y el nombre que queremos darle. En mi caso la víctima sufrió un www.gmailGiga.dyndns.org, como no guarde las capturas ahora os lo hago con un nombre normal, pero puede haber mucha picaresca incluso publicar nosotros mismos el nombre de un dominio y no usar el dyndns.
En la imagen superior ya podemos ver el hostname configurado que será «el enlace» que le daremos a nuestra víctima.
Ahora tenemos que preparar nuestro Windows para que sepa resolver la url «en mi caso» www.cmdsistemas.dyndns.org
Vamos a C:\Windows\System32\drivers\etc y editamos el fichero host e incluimos la línea con la ip de la máquina virtual y el nombre web que nos hemos creado.
Si no te deja editar el fichero host es por no estar como administrador, puedes hacerlo desde línea de comandos ejecutándola en modo administrador:
Por fin el turno del Back track, igual te resulta un poco difícil que te reconozco la red, comprueba que puedes navegar desde el, tienes el Firefox como navegador. Si no lo haces tendras que editar el fichero /etc/resolv.conf y escribir una línea nameserver 8.8.8.8 es decir darle un DNS, vale cualquiera que resuelva internet.
También comprueba que tengas Ip con ifconfig, por defecto viene para DHCP.
En back track y en nuestra máquina virtual vamos a las siguientes opciones: Applications->BackTrack–>Exploitation Tool–>Social Engineering Tool–>Social Engineering Toolkit–>Set
Y nos aparece una ventana como la de captura, os voy poniendo en Amarillo las opciones a seleccionar.
Si podnemos la 1 nos saldrán plantillas que no aconsejo usar, se parecen bastante a las web originales pero no son iguales, son capturas ya algo viejas y en otros idiomas, pero podéis probar.
Ahora nos solicita decir nuestro interface Ip Adrress: Aquí ponemos el enlace que estuvimos preparando. En mi caso es www.cmdsistemas.dyndns.org
Y ahora nos pedirá la URL que vamos a clonar, yo probaré con www.gmail.com pero podría ser el intento con la de una entidad bancaria. Damos a enter y se pone en modo escucha por el puerto 80 :
Como podemos ver la web es igual, la vícitma acaba de introducir los datos de usuario y contraseña pero no ha mandado el logon todavía. Arriba en la barra de navegación podemos ver el nombre de la url que creamos para el mal cmdsistemas.dyndns.org , esta se la he enviado por el chat del facebook al pinin, digo a mi amigo.
Vemos también en la captura del backtrack, que ya se ha producido la llamada GET a nuestra URL y sabemos que es cierto por la captura anterior a esta.
Damos al sig in en gmail y esto es lo que sucede en el back track:
Ahí marcados podemos ver el usuario y la password. Automáticamente la web que le habíamos mandado le dirije a la real abriendose el correo y no se ha enterado de nada. Esa últimas captura no la pongo por temas de LOPD, ya que se ven direcciones de correo que no son nuestras.
Funcionó.
No nos podiamos despedir sin hacer el ataque contra un banco y aunque clona perfectamente la página, nos hace la redirección como dios manda, si os fijais en el enlace superior ha cambiado y es el real del banco en vez de aparece nuestra web de ataque www.cmdsistemas.dyndns.org, aparece https://bancoherrero.com, así que no debe cundir el pánico. Lo que no acabo de entender es que hace en la web del banco la foto de Julia Otero. 🙂
Para machacar a este banco se necesita tocar un poco más pero eso ya no es tema de este post, sin embargo algunas web de algunos bancos sobre todo por sudamerica si se pueden atacar con algo tan fácil como un pentester sin casi seleccionar opciones o utilizar medios intermedios.
CMDSISTEMAS 0 – 1 BANCO SABADELL
Volveremos a jugar e intentaremos un empate con otras técnicas.
Recordar, un hacker informa de las vulnerabilidades, un hacker ayuda a los internautas, un hacker lucha contra el crimen, un ciber ataque es delicuencia, por lo tanto un delito y es un considerado un hacker.
No ataques nunca, protejete e informa pero no te conviertas en un ciber criminal, nuestra comunidad siempre te pillara. Etica Hacker.
AGRADECIMIENTOS A: http://elinformatiku.es/ que nos ayudo con cierto programa a la publicación rápida de los post, sin él no me hubiera animando a poner tantas capturas ni hacer esta publicación.
Saludos.
Malware en la partición de arranque
Aplicaciones necesarias:
dd.exe lo podemos encontrar en –> http://sourceforge.net/projects/unxutils/files/
mbrparser –>http://www.garykessler.net/software/index.html
Interprete de perl que tendremos que instalar –>http://strawberryperl.com/
Aquí podemos ver un ejemplo de MBR que va ser parecido al que vamos a sacar pero no igual, veremos en el post las diferencias–>http://thedigitalstandard.blogspot.com.es/2011/07/mbr-analysis.html
dd.exe–> Si tenemos una conexión un poco limitada o queremos ir al grano dd.exe tambien lo podemos decargar de aquí: http://www.chrysocome.net/dd
ademas nos proporciona varios ejemplo de como usarlo, es un comando heredado de Unix, tenemos información de las unxutils y de dd.exe en nuestra web favorita: http://en.wikipedia.org/wiki/UnxUtils y aquí: http://en.wikipedia.org/wiki/Dd_%28Unix%29
(podeís ir descargando las utilidades, el post continuará cuando tenga más tiempo 🙂 )
Y sobre todo ir leyendo y entendiendo este enlace –> http://thestarman.pcministry.com/asm/mbr/W7MBR.htm sin este enlace no podríamos escribir este post.
En un sistema operativo tenermos este esquema de arranque:
Es decir 512 bytes dedicados al MBR (Master Boot Record) quien no lo perdio alguna vez en su S.O.??
El MBR esta compuesto como vemos en la imagen por:
1-Master Partition Table
2-Master Boot Code donde esta el bootloader en W7.
En el segundo están todo el código ensamblador que va necesitar la Bios para cargar la particion de arranque y por lo tanto la carga del S.O.
El primero nos indica unicamente la estructura de las particiones y debido a esos pocos 64 bytes, no podemos hacer más de cuatro particiones. Todo cambia con los nuevos sistemas EFI de Intel que estan compuestos por más bytes y por lo tanto mas particiones, al dejar de usar MBR y usar GPT basado en GUID.
El magic number de la imagen es la firma para el MBR cuyo termino original es BOOT RECORD SIGNATURE y hace que termine la tabla de particiones con un código hexadecimal 55AA.
Hay algunos virus como el MBRLocker que podeis descargar y hacer una prueba en una máquina virtual y veréis como modifican los valores del MBR.
Lo ideal es tener en algún sitio una copia del MBR, ya que podéis estar pensando en recuperar el MBR con alguna aplicación, pero pensar que os va salir el virus antes que la carga y la forma de eliminación que vais a elegir va dejar parte del virus en una parte que todavía no comentamos.
ESte MBR se aloja por norma general en el sector 1 que ocupa esos 512 bytes que pueden tener espacio libre suficiente para alojarse un malware hasta llegar al sector 63 donde ya se coloca la particion NTFS (es decir esta vacio del 2 al 62) aunque en W7 no tengo del todo claro que empiece en el 63 la partición NTFS, puede ser que empiece ahí pero también este vacio hasta avanzar unos cuantos sectores, más información de la mitad de esta web en adelante: http://thestarman.pcministry.com/asm/mbr/W7MBR.htm
Una práctica para curarnos en salud es hacer una copia del MBR con el comando:
dd if=\\.\PhysicalDrive0 of=Tabla64.txt count=64
rawwrite dd for windows version 0.6beta3.
Written by John Newbigin
This program is covered by terms of the GPL Version 2.
64+0 records in
64+0 records out
La consola de cmd.exe debería estar como administrador:
😦
Así la hacemos de todos los sectores incluso los vacios que estan reservados para datos del MBR, para no solo machacar los 512bytes del mbr sino todos los anteriores ya que el malware puede estar por todos y aunque lo limpiemos pueden quedar trozos que pueden volver a regenerarse mediante un rootkit.
Para recuperar el backup en caso de desastre tenemos que arrancar desde algún live y poner desde una consola dd if=Tabla64.txt of=\\.\PhysicalDrive0 count=64
Ahora debemos visualizar el fichero que ya hemos creado y guardado en un sitio seguro fuera del sistema:
En la consola de ms-dos:
c:\mbrparser_v1.5\mbrparser.pl -i tabla64.txt
La aplicaciones mbrparser.pl esta en mi caso en una carpeta que se llama mbrparser_v1.5 por eso le doy esa ruta desde c:\
Puede ser que no funcione y necesitemos instalar el interprete de perl que os puse arriba en las descargas el strawberry, este instala el perl.exe dejando el path a c:\windows\system32\cmd.exe y por lo tanto para ejecutarlo no necesitamos darle la ruta de instalación para llegar al perl.exe
asi que desde msdos podemos decir lo siguiente:
C:\Aplicaciones>perl.exe mbrparser_v1.5\mbrparser.pl -i tabla64.txt
Y nos devolvera algo como esto:
Vemos que en mi PC solo hay una particion y además esta con LBA no marca nada en el Boot Flag ni el CHS(cilinder head sector) porque esta pasado de moda 🙂 ahora se lleva el LBA que lo podeis ver más abajo.
El sector 63 como límite del mbr y el texto que nos suele salir si no encuentra el sistema operativo a la derecha en amarillo, si usamos la aplicación gratuita hexedit.exe por ejemplo desde ms-dos:C:\Aplicaciones>hexedit.exe tabla64.txt –> nos devolvera una pantalla tal cuál:
Nos muestra los 63 sectores que hemos copiado en tabla64.txt, he bajado un poco en el scroll para que veáis como después del 1 empiezan a estar vacios es más el 55AA del que hablabamos el numero mágico marca el final de la firma del MBR y las particiones.
Seguro que unos cuantas de los que leis esto alguna vez habéis ejecutado en ms-dos:
BOOTREC /FIXMBR y BOOTREC /FIXBOOT arrancando con vuestro dvd o iso del w7 original y seleccionando reparar y luego la linea de comandos.
Fixmbr solo sirve para limpiar los 466 bytes del bootloader y fixbott arregla el boot.ini por lo tanto ninguno arregla la estructura de las particiones los 64 bytes del partition table y mucho menos borran nada de los otros sectores vacios si ahora están ocupados, necesitamos nuestro fichero de backup del mbr.
También podemos usar las Hiren Boot y comprobar que efectivamente no quedan restos del malware, aqui tenéis un tutorial:
Si usamos la aplicación Hex Workshop (es de pago pero pordemos usar la version de prueba de su sitio oficial)
podemos ver el primer sector después del 63 que contiene ya la partición de NTFS no la de MBR.
Para ello pinchamos en la barra de menú en Disk y después open drive, a continuación elegimos C: y no abre este sector. Podemos con las flechas azules movernos por los sectores. Fijaros que el texto es distinto dice falta bootmgr para esto si que seriviría el FIXBOOT de antes.
Teneís más información detallada de como calcular las particiones en hexadecimal o que quiere decir ese ensamblador aqui:
http://blog.creativeitp.com/posts-and-articles/bios/analysing-the-master-boot-record-mbr-with-a-hex-editor-hex-workshop/
No estoy con una máquina virtual así que no infecto el MBR pero podéis ver el resultado en el video. Sale en Ruso porque la aplicación que lo genera tiene el mensaje en ese idioma pero es del todo modificable en ese caso.
Ya sabéis un poquito más.
Saludos.
CMD sistemas 