A mediados de agosto empecé a recibir correos de Yulia. Se le veía ansiosa por que echara un vistazo a su sweet ass:
No estaba muy seguro, pero después de recibir algunos correos más (el último el 10 de septiembre) me animé a abrirlo. Fue entonces cuando me di cuenta de que no era más que el comienzo de una nueva campaña de distribución de SmokeLoader. Me llevé una gran decepción, así que decidí analizar los binarios por despecho :p
Éstas son algunas de las cabeceras y el contenido del cuerpo de uno de los mensajes:
Date: Wed, 13 Aug 2014 12:55:56 -0400
From: "Yulia" <negligentjsd185@dialectologic.in>
Subject: My new photo
Hi it is Yulia fuck me ass at night. Look at my sweet ass on a photo I wait for you
Enviado por jesparza el Sáb, 2014/10/11 - 20:01.
Después de mucho tiempo sin liberar una nueva release, ya está aquí la versión 0.3 de peepdf. No es que no se haya trabajado en el proyecto, sino que después de añadir la opción de actualizar la herramienta desde línea de comandos, la liberación de nuevas versiones ha quedado relegada a un segundo plano. Además, a partir de enero de 2014 Google eliminó la opción de añadir nuevas descargas de los proyectos alojados en Google Code, así que tenía que pensar en una alternativa. Desde ahora los nuevos archivos se alojarán en eternal-todo.com, en la sección de releases.
Las diferencias con la versión 0.2 son notables: se han añadido nuevos comandos y funcionalidades, se han actualizado librerías, se cambió el motor de ejecución de Javascript, se añadió detección para varias vulnerabilidades, y, por supuesto, se han corregidos muchos bugs. Esta es la lista de los cambios más importantes (changelog completo aquí):
Enviado por jesparza el Lun, 2014/06/16 - 19:53.
Normalmente recibo SPAM con ejecutables y zips maliciosos. También los conocidos “documentos PDF” con doble extensión (.pdf.exe), pero hace unos días recibí un correo electrónico que tenía un PDF adjunto, sin extensión .exe oculta y no se trataba del típico anuncio de Viagra. Era bastante sospechoso. En ese momento no tenía mucho tiempo para analizarlo, así que lo dejé un poco de lado. Al día siguiente recibí otro con diferente asunto. El del primer correo era “Invoice 454889 April”, enviado por Sue Mockridge (motherlandjjw949 at gmail.com) y adjuntando “April invoice 819953.pdf” (eae0827f3801faa2a58b57850f8da9f5). El segundo tenía como asunto “Image has been sent jesparza”, enviado por Evernote Service (message at evernote.com, pero en las cabeceras se veía protectoratesl9 at gmail.com) y adjuntando “Agreemnet-81220097.pdf” (2a03ac24042fc35caa92c847638ca7c2).
Enviado por jesparza el Dom, 2014/06/15 - 14:43.
Hace un mes más o menos quería ver un partido de fútbol de la liga española (desde Holanda) y recurrí a la primera página de streaming que encontré, futbolenvivoaldia.com. Al final, esta página no era más que una redirección a la conocida página Tarjeta Roja. Bueno, la historia es que visitando la página con el teléfono móvil, aparecía el típico escaner antivirus y se intentaba descargar una aplicación con nombre “androidav_free.APK” ( 24f0a666a714e26c6c07ab407e37b112).
El origen de esta pantalla era una de las redes de anuncios de tarjetaroja.eu, Mobicow, que después de varias redirecciones y URLs de tracking acababa devolviendo la siguiente URL:
hxxp://cleanupnowonline10.biz/?u=Y0vbAf0fW9lIhVAxPi2nZQo
Esta URL a su vez cargaba código Javascript desde:
hxxp://cleanupnowonline10.biz/js/wapc.js
El código estaba ofuscado, siendo éste el contenido final del archivo:
Enviado por jesparza el Lun, 2013/10/28 - 03:31.
Ya echaba de menos esos correos de SPAM con regalo que me llegaban hace un tiempillo y que, de repente, ya no llegaban. Me estaba empezando a preocupar... ;)
Al visitar el enlace ( hxxp://goozix.com/its.html) nos encontramos con una redirección a una página para comprar viagra y demás “medicinas”, pero que, además, contiene código Javascript malicioso. Tras desofuscar el código vemos que se crea una cookie ( “visited_uq=55”) y también un iframe que carga la URL hxxp://gylaqim.com/exit.php. Este dominio, creado el 21 de septiembre, resuelve a diferentes direcciones IPs, con un histórico de más de 400 IPs distintas. Así mismo, los seis servidores DNS autorizados registrados, ns*.gylaqim.com, también resuelven a diferentes direcciones IP cada vez que se intentan resolver.
Dependiendo del servidor que responda al visitar la URL hxxp://gylaqim.com/exit.php nos puede redirigir a otra página como la inicial, con código Javascript malicioso y redirección a una página de viagra, o al exploit kit.
Las URLs inciales vistas hasta el momento son las siguientes:
hxxp://178.170.104.124/destruction.html
hxxp://178.170.104.124/seed.html
hxxp://actes-lyon.org/true.html
hxxp://aybabtu.ru/express.html
hxxp://brave.net.nz/ocean.html
hxxp://goozix.com/its.html
hxxp://moniwild.sakura.ne.jp/average.html
hxxp://rodinr.511.com1.ru/angle.html
hxxp://southeasterntrains-fail.com/somewhere.html
Enviado por jesparza el Mar, 2013/10/08 - 02:12.
Hace ya un tiempillo (¡más de 2 años ya!) publiqué un script en Python para monitorizar una cuenta de Twitter usando Tweepy: obtener información básica de la cuenta, mostrar amigos inactivos, seguidores perdidos y nuevos seguidores. El tema es que desde hace un tiempo había dejado de funcionar porque Twitter introdujo la versión 1.1 de su API, que, entre otras cosas, obliga a autenticar todas las consultas realizadas, mientras que antes en el script no se utilizaba ningún tipo de autenticación. Además, ya no hay límite de consultas por hora, si no que son límites de 15 minutos asociados a cada petición específica. Es decir, para pedir la lista de amigos tienes un límite y otro para los seguidores, por ejemplo. Ya sé que el cambio en la API se hizo hace bastante tiempo, pero la verdad que no me había puesto a mirarlo hasta ahora ;p Los que vais con retraso, como yo, podéis echar un vistazo a todos los cambios introducidos para estar al tanto.
Antes de nada, ya que la API había cambiado había que actualizar Tweepy también. Lo mejor y más fácil es usar pip:
$ pip install tweepy
Enviado por jesparza el Dom, 2013/09/08 - 15:25.
Cuando estuve trasteando con este malware hace unos meses me pareció bastante interesante por lo perrete que es a la hora de “debuguear” y analizar. Buscando un poco sobre el tema se pueden encontrar referencias con otro nombre, Gamarue, en este caso por parte de TrendMicro. Parece que está de moda renombrar el malware, y al final te encuentras con familias que tienen hasta tres nombres, como es el caso de Feodo / Cridex / Bugat. En fin, el caso es que entre la información que encontré están estos dos enlaces, con detalles técnicos muy útiles a la hora de meterse en faena:
Enviado por jesparza el Dom, 2013/09/01 - 20:24.
- Eliminar tags HTML innecesarios
- Convertir posibles elementos HTML llamados desde el código Javascript en variables en Javascript
- Buscar posibles funciones eval y sustituirlas por print o hookear la propia función si es posible (PyV8)
- Ejecutar el código Javascript
- Poner bonito el código (beautify)
- Buscar shellcodes o URLs de exploits
- Repetir los pasos si es necesario
Enviado por jesparza el Dom, 2013/08/18 - 22:29.
BlackHat USA 2013 ya está aquí y mañana estaré explicando cómo analizar exploit kits y documentos PDF en mi workshop “PDF Attack: From the Exploit Kit to the Shellcode” de 14:15 a 16:30 en la sala Florentine. Será una sesión práctica, así que traed vuestros portátiles y esperad algunos ejercicios para jugar ;) Sólo necesitáis una distribución Linux con pylibemu y PyV8 instalado para apuntarte a la fiesta. También se pueden seguir los ejercicios e instalar todo en Windows si se prefiere...
Ahora Spidermonkey ya no es necesario porque hace unos días decidí cambiar el motor Javascript a PyV8, ya que realmente funciona mucho mejor. Podéis echar un vistazo a la diferencia del análisis automático del código Javascript usando Spidermonkey (izquierda) y PyV8 (derecha).
Enviado por jesparza el Mié, 2013/07/31 - 13:33.
Sólo unas horas después del atentado del maratón de Boston ya se veían las primeras campañas de spam usando este tema con el objetivo de infectar a los usuarios. Parece que los cibercriminales no respetan nada, aunque era de esperar, ¿verdad? :p
El pasado miércoles llegaron a mi bandeja de entrada cuatro emails sobre el incidente de Boston. Eran bastante sospechosos, ya que únicamente se incluía una URL en el cuerpo del mensaje, y, además, esta URL ni siquiera tenía dominio, sino que se veía directamente una IP. Me parece que alguien tenía prisa por aprovechar este boom mediático antes de que se dejara de hablar de ello...
Los asuntos de los correos eran los siguientes:
BREAKING - Boston Marathon Explosion
Explosion at the Boston Marathon
Aftermath to explosion at Boston Marathon
Explosions at the Boston Marathon
Y éstas las URL que se encontraban en el cuerpo de los mensajes:
hxxp://94.28.49 .130/boston.html
hxxp://78.90.133 .133/boston.html
hxxp://118.141.37 .122/news.html
hxxp://110.92.80 .47/news.html
Enviado por jesparza el Lun, 2013/04/22 - 01:35.
Enviado por jesparza el Dom, 2013/04/07 - 14:33.
Hasta ahora no había tenido tiempo de escribir sobre mi primera Troopers, es lo que tiene cambiarse de país...El caso es que ya llevaba un tiempo queriendo asistir a esta conferencia, tenía muy buena pinta y además los comentarios sobre ella me animaban más. El año pasado tuve el placer de compartir mesa con Enno Rey, organizador de Troopers y CEO de ERNW, durante la celebración de BlackHat Europe, y ya vi que se trataba de un buen equipo con un trato muy cercano. Otros años no había podido acudir por una cosa o por otra, pero este año, viviendo a 4 horas en coche de Heidelberg, no había excusa posible. Después de llegar a Heidelberg de madrugada debido al temporal de nieve (accidentes, carreteras cortadas y en mal estado, etc) pude descansar lo justo para estar la mañana siguiente preparado para las diferentes charlas del primer día. Eso sí, no llegué a tiempo de oír el keynote de Rodrigo Branco, pero me comentaron que estuvo bastante bien. La primera charla que vi fue la de Daniel Mende y Pascal Turbing sobre la seguridad de un modelo de cámara de fotos CANON, equipada con un adaptador wireless y demás funcionalidades. El resultado, entre otras cosas, es que se podían visualizar las imágenes realizadas, manejar el dispositivo de forma remota e interceptar las fotos al enviarlas a un servicio en la nube.
Enviado por jesparza el Dom, 2013/04/07 - 14:03.
Enviado por jesparza el Lun, 2013/04/01 - 22:11.
Como ya comentaba en diferentes posts sobre el tema, el pago mediante la tecnología NFC se usa desde hace años en algunos países asiáticos, como Japón. Sin embargo no ha sido hasta este año 2012 cuando se ha empezado a impulsar en España con diferentes iniciativas promovidas por varias entidades bancarias. El resultado es que ahora mismo más de una persona puede tener una tarjeta de crédito NFC en su cartera sin ni siquiera saberlo. Esto no debería ser un problema si los datos estuvieran bien protegidos, pero esto es algo que no se puede dar por supuesto, de ahí el origen de esta presentación.
Enviado por jesparza el Jue, 2012/12/20 - 22:48.
|
