Cuaderno de OsCaR :: inSiD3

Tras la adquisición por parte de Microsoft, la gente de Sysinternals (Russinovich & Company) siguen publicando herramientas gratuitas y tan interesantes como siempre (FileMon, RegMon, PortMon, etc…).

La última ha sido Process Monitor, que viene a ser un compendio de sus conocidas utilidades Filemon y Regmon, pero con el añadido de la monitorización de los procesos e hilos de ejecución. Por la tanto, ahora si que se convierte en una herramienta para monitorizar el comportamiento del malware. Process Monitor nos muetra en monitoreo la información de procesos, sistema de archivos, registro e hilos de ejecución.

:: Descargas:

Process Monitor: Compedio de las siguientes.
FileMon: Monitor de acceso a ficheros.
RegMon: Monitor del registro.
PortMon: Monitor de puertos serie y paralelo.
Process Explorer: Monitor de procesos y sus hilos.
DiskMon: Monitor del disco duro.
DebugView: Monitor de la salida de depuración.

Me he encontrado una página que existía hace ya tiempo, y por casualidad he dado con ella, pero ya no sigue en funcionamiento; la página es The Sirkus System: Viral Technique.
En ella puedes encontrar documentación sobre técnicas que usan los virus y su modo de programarlo. Además hay eZines de entonces, y código fuente de algunos virus antiguos, casi todo en ensamblador.

Respecto a los documentos (en inglés), referencio directamente a:

··· Desinfección de de archivo ‘al vuelo’.
··· Infección de archivos .COM :: TSR
··· Infección de archivos .COM :: Kit
··· Infección de archivos .EXE :: parte I
··· Infección de archivos .EXE :: parte II
··· Infección en cierres.
··· Ocultación en directorio (stealth) :: parte I
··· Ocultación en directorio (stealth) :: parte II
··· Ocultación en memoria.

:: Fuente: SirkusSystem (1996-2002)

Ayer lei en la web de mi amigo nilp0inter que se puede hacer una denegacion de servicio (DoS) al MSN Messenger versiones <= 8.0 enviando en una ventana de conversación una gran cantidad de iconos que paralizarán al messenger mientras intenta reproducir las imagenes de los iconos.

Yo he estado probandolo, y realmente funciona. Pero atención, no solo afecta al Live MSN Messenger 8.0 y verisones anteriores, sino que también afecta en aMSN (cliente messenger más usado en Linux) en versiones 0.96 y anteriores, y posiblemente la 0.97.

La historia es esa, que cuando envias iconos a alguien en cantidad masiva, es decir, maximo de caracteres permitidos por mensaje, y enviar este mismo mensaje completo de iconos varias veces. Cuando los caracteres que forman iconos {como por ejemplo (K) etc} son tantos, al cliente de messenger le cuesta mucho reproducirlos, por lo que se queda practicamente colgado mientras siga recibiendo iconos.

Para poder probarlo, has de entrar en las Opciones -> Mensajes; y desactivar los emoticonos. Ya que de lo contrario te floodearias a ti mismo también. Esta misma opción es la solución ante este problema de denegacion de servicios por flood de messenger; así que si quieres prevenir gracias de algún contacto de tu messenger, lo mejor es tenerlos desactivados hasta que lo corrijan.

Un ejemplo del mensaje que se puede enviar (enviar más floodea durante más tiempo) es:

(more…)

HackFurby es un sitio dedicado a investigar el juguete Furby. La meta fundamental de HackFurby es documentar completamente el protocolo IR de un Furby.

Aunque Furby existe desde hace años y puede que la gente no lo tenga (como yo), me ha parecido curiosa la información.

Al parcer existen señales que e pueden mandar al Furby para controlarlo, se puede modificar con ciurcuitos para que haga otras cosas, como: recibir comandos y actuar de una forma deseada, meterle dialogos nuevos, movimientos, que espie y grabe conversaciones…, en fin, cosas.

:: Fuente: HackFurby News && HackFurby && HackFurby Secrets

La verdad es que son bastante similares, ya que ambos evolucionan del mismo lenguaje base, como es el C.

Aqui tienes una tabla en la que puedes ver las comparaciones de los codigos tanto en java como en C Sharp (C#):

:: Fuente: Javacamp (Copyright) :: (El contenido de la tabla es de Javacamp.org)
:: Fuente: Microsoft MSDN :: (Otro indice con las comparaciones, by MSDN Visual Studio)

Thierry Zoller y Kevin Finisterre (digitalmunition && exploits de Kevin en milw0rm) que han participado en la “Conferencia de Seguridad hack.lu 2006 en Luxemburgo”. Durante esta presentación han sacado a la luz algunos 0-day relacionados con el bluetooth y una demo sobre como obtener una shell remota a través del bluetooth en un Mac OSX 10.3.9 y 10.4.

Especialmente interesante ha sido la presentación del BTCrack que es una herramienta para Windows que puede crackear un PIN bluetooth y conectarse en tiempo real, aunque por ahora no es pública, pronto sacarán una versión oficial.

Es posible conectarse a algunos dispositivos Bluetooth sacando el pin y/o saltandose la autenticación de acceso.

:: Video demostrativo: sniffer/crack de bluetooth aquí
:: Fuentes: Thierry Zoller, Hack.lu, CyruxNET
:: Presentación PDF: aqui

Se pueden capturar conversaciones en VoIP con Linux y con Windows.

Eavesdropping, que se traduce literalmente como escuchar secretamente, es el término con el que se conoce la escucha de conversaciones VoIP por parte de clientes que no participan en dicha conversación.

El eavesdropping en VoIP es algo diferente del eavesdropping en las redes tradicionales de datos, pero el concepto es el mismo. Eavesdropping en VoIP requiere interceptar la señalización y los streams de audio de una conversación. Los mensajes de señalización utilizan protocolos separados , es decir, UDP o TCP. Los streams normalmente se transportan sobre UDP utilizando el protocolo RTP. Algunos podrían pensar que el ataque de eavesdropping podría eliminarse con el uso de switches Ethernet que restringen el tráfico broadcast en la red, porque se limita quién puede acceder al tráfico. Sin embargo, este argumento deja de ser válido cuando se introduce el ARP spoofing o envenenamiento de la caché ARP como mecanismo para llevar a cabo un ataque man-in-the-middle. Por medio del ARP spoofing, un atacante puede capturar, analizar y escuchar comunicaciones VoIP.

:: PROGRAMAS a usar y Video demostración:

(more…)

Esta vulnerabilidad en Micro$oft Windows XP puede ser aprovechada para provocar una denegación de servicio (DoS).

El problema se debe a un error de manejo de puntero NULL en NAT Helper Components de la librería ipnathlp.dll a la hora de procesar peticiones a través del a función NatCreateRedirect. Esto puede ser aprovechado por atacantes en una red interna para hacer que que el servicio deje de responder si se envía una petición DNS especialmente manipulada a la interfaz compartida de un equipo con la conexión compartida a Internet habilitada.

*No existe parche oficial. Se recomienda utilizar otra forma de compartir la conexión a Internet.

LIBERAN EL CODIGO DEL EXPLOIT QUE DESACTIVA EL FIREWALL DE WINDOWS

El exploit, que fue publicado en Internet el pasado 29 de octubre DE 2006, se podría utilizar para inhabilitar el cortafuego de Windows en una PC completamente actualizada con Windows XP, en la que funcione el servicio de conexión de Internet de Windows (ICS).

(more…)