UN CASO REAL UN LINUX TROYANIZADO, parte II como se realizo.

Hola a todos

Para esta ocasión he contado con una colaboración excepcional para mi blog, todo gracias a twitter y al intercambio de opiniones sanas, me explico:

Al hilo de la publicación de la 1ª parte, dio lugar a una conversación sobre el como se producía la troyanización  de nuestra maquina, con el Señor Javier Peña via twitter, @fj_pena, el cual trabaja en el área de consultoria para RED HAT y aparte programa juegos para ordenadores retro (os invito a visitar Retroworks), el cual se tomo la molestia de recrear el escenario expuesto,  y  por que no decirlo, hacerme mas sabio al completar lo poco que yo tenia con respecto a como se producía vamos a llamar la “infección” (así como corregir un par de conceptos equivocados) , por tanto no dude un momento en invitarle a escribir este post, para que lo compartiera con todos nosotros, solo me resta darle las Gracias de nuevo, antes de dejaros con el post.

UN LINUX TROYANIZADO

Después de leer el artículo original, me surgieron algunas dudas sobre el funcionamiento del troyano, así que me puse manos a la obra para analizarlo.

En primer lugar, preparé una máquina virtual “honeypot”, con unas cuantas herramientas de análisis .

1 Sigue leyendo

UN CASO REAL UN LINUX TROYANIZADO analisis y limpieza.

Hola a todos, hoy os voy a contar unos hechos acaecidos en un ordenador muy cercano a mí, tanto como el usuario que lo utiliza, el caso es que este usuario se está iniciando en el uso de Linux como S.O. ya que le he estado comiendo la cabeza para que se mudara a linux vendiéndole sus virtudes (que son muchas) y obviando los riesgos de este  maravilloso S.O. que también los tiene , por tanto ahí se encontraba él con su distribución Kali linux digamos de uso común y como es un apasionado de las pruebas de concepto en ello estaba disfrutando de su máquina, cuando se le ocurrió poder instalar unas maquina virtuales para poder probar otras cosas de manera local, como el 99% de la gente, tira de vez en cuando de las descargas Peer to  peer ya sea por falta de recursos, el precio del software, u otras 60000 causas distintas que no vamos a analizar aquí, el caso que hizo uso de los famosos torrent, de la página web no menos famosa the pirate bay.sx…

Hasta aquí todo correcto verdad?, bien como mi amigo es un orgulloso exusuario Windows, y profundo conocedor de las redes peer to peer, en lugar de decidirse por Oracle Virtualbox o VMware player opciones muy válidas y gratuitas ambas, se dirigió a la nombrada página y realizo una búsqueda sobre los términos Vmware y obtuvo estos resultados los siguientes para la versión 10.0.1 muy moderna y apetecible…

1

Fijaos las dos opciones “Vmware Workstation v10.0.1 Linux Incl Keymaker -Embrace” tanto en su versión normal como en la version x64… Sigue leyendo

Android 4.3…Un ATAQUE CONSUMADO!!!

Hola a todos

En este post extemporaneo voy a mostrar lo que el aburrimiento y un poco de curiosidad pueden armar…me explico estaba cacharreando con la ultima distribución de android-x86.org, la versión 4.3 y me decidí a instalarla…

droi

Puse a punto mi viejo portátil que tanta vidilla me esta dando últimamente, y arranque vmplayer tras configurarlo de esta guisa…

pla

Parece ser que ya se tiene Internet en la instalación de android sin tener que editar el archivo.vmx y  editar la linea ethernet0.virtualDev = “vlance” de todas formas aquí os dejo el tip por si acaso…

Una vez configurada la maquina virtual procedí a su arranque e instalación, una vez inicia la VM vemos un menú de un intenso azul donde seleccionaremos la instalación del S.O. y acto seguido una vez inicie iremos a la herramienta de particionado de disco…

a2

Como veis he seleccionado todo el espacio libre para la partición que es de tipo primaria y la he hecho de arranque, una vez realizado salimos de la herramienta y volvemos al instalador…

Sigue leyendo

TROYANOS, BOTNETS Y OTROS BICHOS AL DESCUBIERTO parte 1º

Instalación, configuración y manejo básico

Hola a todos:
Hoy me voy a separar un poco del camino planificado, ya que es una ocasión que merece la pena, me explico:

Hace unos días leí una conversación entre dos GRANDES expertos en seguridad vía twitter, que me abrió especialmente los ojos, hablaban sobre las armas que tienen los tontos, refiriéndose a las piezas de software como estas, mal utilizadas y empleadas para realizar mil y una tropelías por nuestra red…he de agradecer  muy especialmente por su colaboración en todo lo referente a ingeniería inversa y aportes de información a BTSHELL1, si se encuentra algún fallo en este o siguientes artículos no son suyos, sino míos. Desde aquí GRACIAS!!!

Está saliendo a la luz pública de una manera cada vez más frecuente, casos de ataques DDoS (distributed denial of service), botnets, troyanos, etc… en los cuales se causan graves daños, ya sea por el robo de credenciales, o la imposibilidad de operar normalmente.
Y me he dicho es el momento de desmitificar las botnets (ojo!! Que no al programador de las mismas), mostrar cómo funciona un troyano, (y si no me cortan la conexión por pesado) como se ejecuta un ataque de denegación de servicio o DDoS con un botnet especifico y de actualidad.

He de decir que este es un articulo en partes ya que primero me centrare en mostrar la instalación y uso de estos malwares y posteriormente se tratara de mostrar como realiza las acciones que realiza, donde nos centraremos en analizar los resultados del Reversing  realizado sobre ellos.(Gracias BTshell)

Os voy a hacer un breve resumen de lo que he necesitado para realizar este lab, para que veáis lo sencillo que es, un software de virtualización en este caso Virtualbox, dos máquinas virtuales, Windows xp sp3, configurar las interfaces de red de ambas maquina en red local, o si preferimos en  adaptador puente; y en cuanto a software he utilizado  como ejemplo de troyano:

  • XtremeRAT en concreto la versión 2.9 (que es detectada por todos los antivirus).
  •  ZEUS uno  de los botnets más famosos y activos de los últimos años , el cual aun sigue dando guerra
  • Echelon RAT 0.3 otra pieza de software que esta en auge. para la realización del ataque DDoS

Sigue leyendo