ANÁLISIS

Kit de herramientas usadas en el libro Practical Malware Analysis

Uno de mis libros favoritos de mi pequeña colección es el Practical Malware Analysis. El contenido del mismo y la forma en que se explican los conceptos es excepcional.

Dicho libro también viene con varias prácticas (con malware real), las cuales te puedes descargar desde la web de apoyo al mismo: https://practicalmalwareanalysis.com/labs/ .

Por supuesto para llevar a cabo las prácticas y a través del contenido del libro se usan y discuten una gran número de herramientas. La número de herramientas aparecida no es pequeña y prácticamente todas son gratuitas (algunas con opción de pago). Aunque en el libro aparecen enlaces a las mismas, algunos enlaces están rotos o han cambiado.

Curso de análisis de malware



El Instituto Politécnico de Rensselaer ha publicado el material creado para su curso Malware Analysis - CSCI 4976.

El material publicado lo podéis descargar desde este enlace, su contenido es el siguiente:

• Malware_Analysis_Lectures.zip
• Malware_Analysis_Tools.zip
• Source code (zip)
• Source code (tar.gz)

Este curso usa como libro base el popular Practical Malware Analysis. El temario del mismo lo tenéis en este PDF.

Aunque el curso no requiere conocimientos previos sobre ingeniería inversa, sí que se recomienda tener conocimientos sobre arquitectura de ordenadores, C, ensamblador, manejo de memoria, etc.

Gran colección de recursos enfocado al análisis del código binario



REMath es un repositorio en Github que contiene una gran lista de recursos relacionados con el análisis de código binario o máquina.

Dicha lista es bastante amplia, y contiene desde documentos académicos con lo último en investigaciones en este campo, hasta herramientas bien conocidas. Para que tengas una idea de lo que puedes encontrar en el mismo, os dejo las secciones en las que se divide la lista:

El "Metasploit" para investigadores de malware



El metasploit para analistas o investigadores de malware, es una de las formas en las que Viper se define a sí mismo, de acuerdo con la documentación oficial.

Viper es una framework o marco de trabajo que facilita la organización y análisis binario de malware y exploits. Está orientado al investigador y/o analista de estos. Está escrito en Python y su interfaz en esta versión 1.0 es muy similar a la de metasploit y ofrece la posibilidad de extenderlo a través de plugins.

Analizando la actividad de tu sistema Linux



Puedes tener muchas razones por las que quieras monitorizar el comportamiento o actividad de un sistema, ya sean por razones de seguridad, rendimiento, etc.

Actualmente, en los sistemas basados en el núcleo de Linux tienes un buen puñado de utilidades que te permiten llevar a cabo esta tarea, pero en esta entrada quiero hablar sobre una que yo particularmente no conocía llamada: sysdig.

Sysdig es una herramienta open source que nos permite guardar el estado y actividad del sistema y más tarde filtrar y analizar. Según la propia web de Sysdig, es una mezcla de strace + tcpdump + lsof + funcionalidad extra con la ayuda de un poco de Lua.

Por qué los desarrolladores necesitan herramientas de análisis estático



Fuente

Ingeniería Inversa "extrema" al clásico Tetris de Nintendo



Este espectacular artículo de ingeniería inversa que puedes ver completo en el enlace original mechanics of how Tetris works, then builds an AI to play the game, explica al detalle el mecanismo del clásico de Nintendo de 1989, Tetris. Para llevar a cabo este análisis, el autor del artículo explora a fondo y con un detalle realmente increíble, la ROM original. Como la NES estaba basada en el microprocesador MOS 6502, toca volver a desempolvar nuestros libros de nuestro querido ensamblador 6502.

Sistema de análisis de detección de intrusión para Macs



Mac Intrusion Detection Analysis System o MIDAS (no tiene nada que ver con el rey) es un framework o serie de utilidades que nos facilita la implementación de un sistema de análisis de detección de intrusiones sobre sistemas Mac.

Es una idea iniciada por el equipo de seguridad de Facebook, pero en la que Etsy se embarcó y actualmente es desarrollado y mantenido por los equipos de seguridad de ambas empresas.

Clases sobre ingeniería inversa y análisis de malware



Desde securityxploded.com podemos acceder al meterial de dos clases sobre ingeniería inversa y análisis de malware. La primera es de iniciación y la segunda sobre temas más avanzados.

En el material de las mismas podrás encontrar vídeos, diapositivas, referencias a libros, herramientas, etc. La clase de iniciación está completa y te puedes descargar todo el material desde aquí. En la avanzada, como podemos ver más abajo, faltan algunas de las sesiones, que supongo publicarán en un futuro. Mientras tantos hay material para entretenerse un rato.

Análisis estático de código en scripts de Bash



Una de las opciones de las que dispone Bash es la opción -n, que hace un análisis sintáctico de un script y nos alerta de errores en nuestro script.

Muchas veces, cometemos errores que no son sintácticos, sino más bien por desconocimiento o despiste podemos escribir código que sintácticamente es correcto, pero la ejecución del mismo no es lo que realmente esperamos del mismo.

Una buena referencia sobre este tipo de errores, errores comunes que se cometen en la programación de scripts Bash es Bash Pitfalls. Dónde concretamente nos dan 44 ejemplos de errores comunes con su correspondiente explicación.

Disponible el código fuente de la mítica demo "Second Reality" de Future Crew + análisis del mismo

Antes de empezar, vamos a deleitarnos otra vez con la mejor demostración gráfica de todos los tiempos:

httpv://youtu.be/rFv7mHTf0nA

Second Reality fue una "demo" programada por Future Crew para la demoparty Assembly 93. Después de ganarla pasó a la posteridad por su gran calidad en la programación de efectos gráficos (no falta ni uno) y de la música.

Pues los chicos de Future Crew han celebrado su 20 aniversario de la forma que más nos gusta a los geek como nosotros, publicando el código fuente original de la demo que puedes descargar aquí (el código se publicó el 30 de Julio de este mismo año.). Aunque ya tiene algún tiempo (1993), es interesante analizar la forma en la cual crearon esos fantásticos efectos y aprender de ellos.

Análisis rápido de los ficheros maliciosos encontrados en Cyberhades



Como prometía ayer en la entrada donde os contaba la incidencia en el blog, os comento en esta entrada el pequeño y rápido análisis de unos de los ficheros: bergpfh.php. El otro fichero es básicamente igual que éste, pero con un par de pequeños cambios, así que sólo hablaremos del primero.

Como os comentaba, los ficheros están ofuscados, aquí podéis ver el código original:

Para de-ofuscar (o llámalo como quieras) el fichero eché de mano de un poco de Ruby. Para los curiosos, aquí tenéis el código del script tal y como lo dejé, o sea, hecho una porquería:

Revisión del código fuente de Prince of Persia



Hace poco más de un año que salto la noticia de la aparición y recuperación del código fuente de Prince of Persia. Incluso Cybercaronte nos trajo una Microhistoria sobre cómo se recuperó el código fuente del mismo.

Gracias a que no sólo recuperaron el código fuente, sino que además lo hicieron público, cualquiera puede echar mano del mismo y ver cómo se escribió ese magnífico y revolucionario juego.

Eso es precisamente lo que Fabien Sanglard has hecho. Ha analizado el código fuente y ha empezado una serie de artículos explicando los detalles del juego. Por ahora tiene publicada 3 entradas:

El troyano más sofisticado para Android se llama Backdoor.AndroidOS.Obad.a

Imagen, SecureList

Al menos eso comenta Roman Unuchek de los laboratorios de Kaspersky.

Su nombre es:

“Backdoor.AndroidOS.Obad.a”

Lo que les llamó más la atención del troyano era que nada más prepararlo para su análisis fue que todas las cadenas en el fichero DEX estaban cifradas y además el código estaba ofuscado.

Se aprovecha de varios agujeros de seguridad (exploits) aún no documentados de Android lo que hace que sea muy difícil de analizar. Es capaz de enviar SMS a números de servicios de pago, descargar otro malware e instalarlo en el dispositivo, enviar también malware vía Bluetooh, ejecutar comandos remotos desde la consola, vamos toda una pesadilla. En cuanto se instala intenta obtener privilegios de administrador (root)  y se oculta de forma que no se muestra como una aplicación con dichos derechos, pasando desapercibida al usuario.

Ingeniería inversa y volcado de la ROM de un Tamagotchi

Vídeo de Natalie Silvanovich en la 29c3 de 2012

Esto nos mola ;) , Retro + Hacking. Si quieres saber todos los secretos que escondía este legendario juguete, no te pierdas este artículo de Natalie Silvanovich.

En él nos cuenta que ha escrito un programa en ensamblador 6502 para volcar cada byte de la memoria ROM del Tamagotchi y sacarlos por el puerto A (un botón de entrada) usando SPI. Natalie ya tiene experiencia en esto de programar para los Tamagotchi, aquí tienes otro artículo suyo donde explica cómo lo consigue.

4:mag número 1 - Revista digital sobre análisis forense



4:mag es una revista electrónica orientada al análisis forense digital. En este primer número podemos encontrarnos con el siguiente contenido:

• events
• editorial
• a call to action
• device and application data from ios devices
• taking a byte out of apple computers
• win - forensic contest
• starting out and getting ahead
• forensic 4cast awards 2013
• pro-file
• hard drive secrets revealed
• 4:ward

Puedes bajarla en formato PDF o leerla online desde aquí.

Material para enseñar sobre el análisis de ficheros binarios con IDA Pro



En binary-auditing.com han preparado un paquete con información sobre el análisis de binarios con IDA Pro Free. El paquete está compuesto por, además del propio IDA Pro 5 Free, por una serie de PDFs y de algunos binarios para hacer las prácticas.

Este paquete está ideado para ser usado como material de enseñanza, aunque por supuesto lo puedes usar para tu propio aprendizaje.

El paquete lo puedes bajar desde aquí. Es un archivo .zip protegido con la siguiente contraseña: fdcd2ff4c2180329053650f3075d39f4

Espectacular análisis de ingeniería inversa a los registros del microprocesador 8085

 

Detalle de los registros del 8085 y su implemetación hardware (click para ampliar)

Lo había retwitteado en nuestra cuenta pero merece una entrada en el blog. Es más que un análisis, es toda una lección de ingeniería donde esquemas lógicos se superponen a fotografías reales de las entrañas del microprocesador 8085 .

Y como muestra, fijaros en la foto que encabeza este post, la primera es el esquema gráfico/lógico de los registros del 8085 y abajo podéis ver la fotografía con su equivalente en hardware, espectacular (hay mucho más ejemplos en el artículo).

Libros gratuitos sobre Datascience y Machine Learning



Foto: http://www.gpcworks.com/blog.html

Datascience se encarga del análisis de información usando técnicas y teorías en muchos campos como las matemáticas, la estadística, reconocimiento de patrones, visualización, etc, con el objetivo final de obtener datos.

Machine Learning es un término asociado a la Inteligencia Artificial que trata sobre el estudio de sistemas que pueden aprender a partir del análisis de los datos que reciben.

En estos enlaces encontrarás libros gratuitos que tratan sobre estas dos interesantes materias:

Análisis estático de aplicaciones Android en la nube



Para ser honestos no soy muy defensor de la nube o el cloud computing, pero la verdad es que esta tecnología tiene grandes ventajas.

El tema del malware en Android es un tema muy candente, realmente el malware en general, ya que todas las plataformas se ven afectadas por este tipo de especímenes. Pero cuando hablamos que tecnología móvil y malware todas las miradas apuntan a Android. Cuando hablo con alguien sobre este tipo de temas, les digo que Android es en el mundo móvil lo que Windows en el mundo del escritorio.

Análisis de la economía del juego Ultima Online



Uf, la verdad que así de primeras el nombre de esta entrada no parece muy atractivo como para pararte a leerlo, pero te aseguro que lo es. Este documento es del año 2000 y  explica profundamente el funcionamiento del intricado sistema económico que rodea al mítico juego Ultima Online, el primer MMORPG.

La economía del juego era (y aún lo sigue siendo, el juego sigue en activo) bastante compleja, muy parecida a la del mundo real. Igual que en otros juegos de rol online, cuando creas un personaje este tiene habilidades con las cuales luego puedes comerciar, como por ejemplo, herrería, alquimia, encantamientos, etc (incluso había una que era mendigo con la cual conseguías dinero de los personajes, tanto jugadores como NPC).

Tutorial introducción a tcpdump

En este enlace tienes un estupendo tutorial de una de las herramientas de análisis de redes más utilizada, tcpdump.

Eso sí, hay que conocer un poco el funcionamiento del protocolo TCP/IP (aquí tienes un libro completo) antes de ponerte a analizar paquetes de datos, ya que tcpdump es una muy buena herramienta pero la información que devuelve y su utilización desde la línea de comandos hacen que sea a la vez potente pero un poco más complicada de usar.

La guía definitiva de Windows 8



En Tom’s Hardware (una de nuestras páginas web de referencia) han creado este completo artículo sobre Windows 8. Entre otros temas, podrás saber más sobre  Windows 8 UI (Metro), Apps, Desktop (escritorio), IE10, SkyDrive, y la nueva Windows Store.

Eso sí, está en inglés pero es el más completo que hemos visto por la red, sólo hay que echarle un vistazo al índice:

• 1.Meet Microsoft Windows 8
• 2.System Requirements, Upgrade Paths, SKUs, And Pricing
• 3.Test Systems And Software
• 4.Installing And Setting Up Windows 8
• 5.Windows 8 UI Basics
• 6.Windows 8 Start Screen
• 7.Charms Bar
• 8.Switcher
• 9.App And Navigation Bars
• 10.Gestures, Text Selection, And Copy/Paste
• 11.Two Keyboards: One Virtual, One Physical
• 12.Apps: Essentials And Ecosystem
• 13.Apps: Productivity
• 14.Apps: News And Search
• 15.Windows 8 PC Settings
• 16.The Windows 8 Desktop And Task Manager
• 17.Desktop Control Panel
• 18.World's Collide: Windows 8 UI + Desktop
• 19.Tom's Tips To Mitigate Windows 8 UI
• 20.Windows 8: Mistake Or Misunderstood?

 

Otros análisis de Windows 8:

Echando un vistazo al interior de la primera videoconsola de la historia, Magnavox Odyssey, en su 40 cumpleaños



Ahora se cumple el 40 aniversario de la que es considerada la primera videoconsola doméstica de la historia. En la web de VintageComputing han creado este post (publicado en PCWorld) donde hacen un completo análisis de todo su hardware (tanto interior como exterior) con fotos y comentarios.

La Odyssey salió al mercado en Agosto de 1972 a un precio de 99,99$ (unos 500$ dólares de hoy día), incluía 12 juegos y podía funcionar en cualquier televisor. No tenía sonido, no guardaba las puntuaciones y estaba fabricada con transistores, resistencias y condensadores (como veréis en las fotos).

Seguridad de sistemas y análisis de código malicioso



La Universidad de Dallas, Texas, uno de los muchos cursos que ofrece es llamado: System Security and Malicious Code Analysis (Seguridad de sistemas y análisis de código malicioso). Éste no es uno de esos cursos que se han puesto de moda últimamente que puedes tomar online. Aunque no hay disponibles ni vídeo ni audio, sí que están disponibles las diapositivas usadas en el mismo. Después de un echar un vistazo rápido, me han parecido muy completas en interesantes. Además en la web de dicho curso también podemos encontrar una muy buena lista de enlaces a información externa, muchos de ellos son literatura propia sobre el tema.

Tutoriales sobre el análisis de malware por Dr. Fu



Para los que os mováis por el mundo del análisis del malware, el blog sobre seguridad de Dr. Fu es una gran fuente de información sobre esta materia. En el mismo podemos encontrar una serie de entradas muy didácticas sobre el análisis del malware. Hasta ahora tiene publicados 16 tutoriales:

1. VM Based Analysis Platform
2. Ring3 Debugging
3. int2d anti-debugging (Part I)
4. Int2dh Anti-Debugging (Part II)
5. Int2dh Anti-Debugging (Part III)
6. Analyzing Self-Extraction and Decoding Functions
7. Exploring Kernel Data Structure
8. PE Header and Export Table
9. Encoded Export Table
10. Tricks for Confusing Static Analysis Tools
11. Starling Technique and Hijacking Kernel System Calls using Hardware Breakpoints
12. Debug the Debugger - Fix Module Information and UDD File
13. Tracing DLL Entry Point
14. Retrieve Self-Decoding Key
15. Injecting Thread into a Running Process
16. Malware Analysis Tutorial 16: Return Oriented Programming (Return to LIBC) Attack
17. Infecting Driver Files (Part I: Randomly Select a System Module)
18. Infecting Driver Files (Part II: Simple Infection)
19. Anatomy of Infected Driver
20. Kernel Debugging - Intercepting Driver Loading
21. Hijack Disk Driver
22. IRP Handler and Infected Disk Driver
23. Tracing Kernel Data Using Data Breakpoints
24. Tracing Malicious TDI Network Behaviors of Max++
25. Deferred Procedure Call (DPC) and TCP Connection
26. Rootkit Configuration
27. Stealthy Loading of Malicious DLL
28. Break Max++ Rootkit Hidden Drive Protection
29. Stealthy Library Loading II (Using Self-Modifying APC)
30. Self-Overwriting COM Loading for Remote Loading DLL
31. Exposing Hidden Control Flow
32. Exploration of Botnet Client
33. Evaluation of Automated Malware Analysis System I (Anubis)
34. Evaluation of Automated Malware Analysis Tools CWSandBox, PeID, and Other Unpacking Tools

Sin duda alguna un gran blog que debes seguir si te interesa este tema.

CTF #nullcon 2012: Análisis Forense 1



En el primer nivel de esta categoría lo que nos dan es un archivo RAR y nos piden encontrar el código oculto.

Cuando descomprimimos el archivo, nos encontramos con un fichero .wav. Lo abrimos con un reproductor de audio y escuchamos música, pero de vez en cuando por uno de los canales se escucha un pequeño corte.

Echemos mano de Audacity y abramos dicho fichero. Nos encontramos con:

CTF #nullcon 2012: Análisis de logs 5




En el quinto y último nivel de esta categoría de análisis de logs, nos encontramos con un fichero (http://www.nullcon.net//challenge/data/dump.rar) PcapNg (una vez descomprimido). Uno de los problemas con los que me encontré era que el fichero es un poco grande y después de filtrar varias veces, Wireshark se comía la máquina y tenía que cerrar dicha aplicación y volverla a abrir ¿fuga de memoria en Wireshark? Supongo que la próxima vez debería de aprender a usar los filtros con tshark :)

CTF #nullcon 2012: Análisis de logs 4



En este cuarto nivel, el fichero que se nos da es de Burp y se nos pregunta por el CVE del exploit usado.

Esta vez y aprendiendo del nivel anterior me basé en buscar por las urls en vez de códigos de respuesta. Rápidamente me di cuenta que la mayoría de las peticiones se hacían una IP/página sin que, en principio, se nos diera alguna pista de la aplicación web a la que se accedía y viendo que nos preguntan por un CVE, empecé a descartar dichas urls.

CTF #nullcon 2012: Análisis de logs 3



Buena en esta tercera prueba de análisis de logs, nos proveen un fichero de logs ( http://www.nullcon.net//challenge/data/access.rar ) de acceso de apache. Lo primero que tenemos que saber interpretar es dicho fichero, para ello, podemos visitar esta página, dónde nos explican el significado de cada columna.

En este reto se nos pregunta por tres cosas para conseguir el flag: página vulnerable, puerto abierto e IP del atacante.

CTF #nullcon 2012: Análisis de logs 2



En este caso lo que nos dan es un fichero pcap y nos preguntan por la contraseña del usuario suppadmin.

Pues nada, nos bajamos el fichero ( http://www.nullcon.net//challenge/data/log3.pcap ) en cuestión abrimos nuestro Wireshark y vemos que el tráfico corresponde a MySQL y al final del fichero vemos algo como:

....
..."......select * from tb1_admin.....6....def
myaccounts.tb1_admin.tb1_admin.id.id.?.......B...B....def
myaccounts.tb1_admin.tb1_admin.username.username...d.........>....def
myaccounts.tb1_admin.tb1_admin.passwd.passwd...d.........>....def
myaccounts.tb1_admin.tb1_admin.access.access...
[email protected]..............

Se lanza una consulta select que devuelve un registro con las columnas id, username, passwd y access. Y los valores correspondientes los vemos en la última línea… mmmm… probemos con Supp@, error. A ver [email protected], error también… después intentos fallidos y de recapacitar un poco, vemos que cada campo está separado por el signo de puntuación ‘.’, así probemos con [email protected], Bingo!

Analizando el formato GIF, a fondo



En este artículo puedes encontrar un gran análisis a fondo del formato de imágen GIF. Toda la explicación se complemente con un GIF de ejemplo donde se explican todos sus bytes uno por uno.

Básicamente, un GIF está formado por diferentes bloques de datos y todos con una misma estructura. Luego estos bloques se repiten hasta llegar al final del fichero (trailer). Echa un vistazo al diagrama que encabeza este post donde se muestra perfectamente dicha estructura de bloques repetitiva.

Presentaciones de la DFRWS 2011



Ya podemos acceder a las presentaciones de la conferencia anual de este año de la DFRWS (Digital Forensics Research Workshop). Esta edición se celebró en New Orleans los días 1 al 3 de agosto.

A continuación os dejo la lista de las presentaciones:

• "A System for the Proactive, Continuous, and Efficient Collection of Digital Forensic Evidence", Clay Shields, Ophir Frieder and Mark Maloof (pdf)
• "Towards a General Collection Methodology for Android Devices", Timothy Vidas, Chengye Zhang and Nicolas Christin (pdf)
• "Augmenting Password Recovery with Online Profiling", Khawla Al-Wehaibi, Tim Storer and Brad Glisson (pdf)
• "An Evaluation of Forensic Similarity Hashes", Vassil Roussev (pdf)
• "Visualization in Testing a Volatile Memory Forensic Tool", Hajime Inoue, Frank Adelstein and Robert Joyce (pdf)
• "CAT Detect (Computer Activity Timeline Detection): A Tool for Detecting Inconsistency in Computer Activity Timelines", Andrew Marrington, Ibrahim Baggili, George Mohay and Andrew Clark (pdf)
• "Advanced Evidence Collection and Analysis of Web Browser Activity", Junghoon Oh, Seungbong Lee and Sangjin Lee (pdf)
• "Detecting Data Theft Using Stochastic Forensics", Jonathan Grier (pdf)
• "Forensic Carving of Network Packets and Associated Data Structures", Robert Beverly, Simson Garfinkel and Greg Cardwell (pdf)
• "Privacy-Preserving Network Flow Recording", Bilal Shebaro and Jedidiah Crandall (pdf)
• "Distributed Forensics and Incident Response in the enterprise", Michael Cohen, Darren Bilby and Germano Caronni (pdf)
• "Empirical Analysis of Solid State Disk Data Retention when used with Contemporary Operating Systems", Christopher King and Timothy Vidas (pdf)
• "Extracting the Windows Clipboard from Memory", James Okolica and Gilbert Peterson (pdf)
• "Reconstructing Corrupt DEFLATEd Files", Ralf Brown (pdf)

El análisis del Cuco



Esto me recordó a El huevo del Cuco, un libro basado en hechos reales que si no has leído y eres lector de este blog te encantará.

Bueno, de lo que quería hablaros en esta entrada es de un proyecto llamado Cuckoo Sandbox. Éste es un proyecto para el análisis de malware a través de la virtualización y así creando la sandbox o caja de arena para que cuando el especimen corra, lo haga de forma aislada.

Malware Analyst's DVD



Malware Analyst’s Cookbook es un libro que trata sobre el análisis de Malware, como habrás podido deducir.

Algo estuve leyendo sobre este libro el otro día y lo estuve ojeando por Amazon y tiene una pinta estupenda, además las revisiones del mismo son muy buenas.

Bueno, el motivo de esta entrada no es realmente hablar sobre este libro, sino del DVD que lo acompaña. Dicho DVD está lleno de utilidades relacionadas con el análisis de malware y el contenido del mismo está a disposición de todos los públicos, hayas comprado o no el libro.

MoonSols Windows Memory Toolkit, herramienta para analizar la memoria



Windows

MoonSols es un kit de herramientas para analizar la memoria RAM del ordenador para Windows. Está diseñado para comprobar el fichero de hibernación de Windows (en todas sus versiones), volcados de memoria provocados por errores y otros volcados de memoria asociados por ejemplo a programas de virtualización como VMWare.  

MoonSols hace posible convertir todos los volcados de memoria (crashdumps) para poder ser analizados con Windows Debugger (WinDbg).

Introducción al análisis de datos binario



The Binary Auditor es el título de un corto, pero conciso documento escrito por Thorsten Schneider, dónde nos hace una introducción al análisis de ficheros o datos binario.

Este caballero es dueño y señor de www.binary-auditing.com y crackmes.de. El documento consta de 22 páginas (21, la última está vacía) y el primer ejercicio trata sobre la identificación de las variables en el binario que analizamos.

Entrada original. Fichero con los ejercicios.

Colección de Malware



Nada mejor para un profesional a la hora de aprender y ganar experiencia y conocimiento que enfrentarse a situaciones reales dentro de su campo.

En el campo de la seguridad informática sucede lo mismo. Tanto para el aprendiz como para el experto siempre es bueno el poder investigar por uno mismo malware real, activo o no.

Lenny Zeltser ha publicado una entrada en su web donde recopila algunos enlaces desde los cuales te puedes bajar todo tipo de malware. Podrás encontrar incluso algún especimen que todavía está vivito y coleando por la web.

Análisis forense en terminales iPhone



viaForensics ha publicado un documento a través del cual puedes realizar un análisis forense en terminales iPhone.

El documento trata de explicar el procedimiento forense a seguir para la adquisición y análisis de los datos. Para ello se usan varias herramientas e incluso distintos entornos, dependiendo de los requisitos de cada herramienta.

En cada apartado no sólo te muestra el uso de dichas herramientas, sino también te guía a través de la instalación de las mismas y la funcionalidad que provee cada una.

Como empezar en el análisis de malware



En esta entrada escrita por Lenny Zeltser intenta hacer una pequeña introducción para aquellos que se quieran adentrar en el análisis de malware, dónde recopila una serie de recursos online donde puedes empezar a leer y practicar. También nos recomienda algunos libros, así como varios foros sobre el tema. Y por supuesto le da un poco de publicidad al curso que él mismo imparte en SANS (éste no es gratuito, pero si de verdad que te quieres convertir en un profesional no tengo duda alguna en que merece la pena).

Visto en el blog del autor.

REMnux



De forma muy resumida, REMnux es una distribución Linux basada en Ubuntu y especialmente diseñada para el análisis de malware a través de ingeniería inversa.

El autor de dicha distribución es Lenny Zeltser, experto en el análisis de software y profesor en SANS.

De acuerdo con la web oficial, dicha distribución es descargable en forma de imagen VMWare. Se supone que también deberías de poder la imagen en VisrtualBox.

A continuación copio y pego las utilidades que vienen en el sistema específicas para el análisis de malware:

El Final de Lost ...



Ojo SPOILERS, si no has visto aún el final, no leas nada de este artículo...

Un vistazo al nuevo OS 4 Beta



La revista Wired (que por cierto, cada vez es más complicado encontrarla en España) ha conseguido echar un vistazo al nuevo sistema operativo de Apple para su iPhone, el OS 4 Beta.  No está oficialmente anunciado pero ya podemos ver en este artículo algunas de sus nuevas características.

Y como no, ya podemos ver opciones del iPad integradas en el iPhone. Por ejemplo, una serie de nuevos widgets y una característica para compartir ficheros.  La esperada multitarea, carpetas, wallpaper y zoom para la cámara son otras de ellas.

FOCA 2.0 disponible para descarga



Veo en el blog de Maligno que ya está la esperada FOCA 2.0 disponible para descargarla desde la web de Informática 64 (sólo tienes que dar tu email y luego te envían la url de descarga).

FOCA es una herramienta para la extracción y análisis de metadatos. Soporta Office desde la 97 a la 2007, OpenOffice, PDF, WPD y JPG.

Te sorprendería lo que esconden estos fichero, con FOCA podrás ver el contenido "oculto" en estos formatos.

BlueScreenView, para saber la causa de la BSOD



Windows

Todos los que usamos Windows conocemos la BSOD, pero sinceramente, pocas veces nos paramos a analizar la información o el motivo de este crítico error. Esta aplicación portable (indispensable, ya que habrá que ejecutarla desde algún sistema externo al no poder acceder al sistema por el error) llamada BlueScreenView analiza el fichero c:\Windows\Minidump y muestra entre otros datos, los drivers que se han cargado cuando el sistema ha fallado. También puedes ver la pantalla BSOD que ha mostrado Windows después del fallo.

Análisis de Malware en 5 pasos



Muy de vez en cuando me da por juguetear con este tipo de cosas y dice el refrán, el que juega con fuego se acaba quemando, así para no quemarnos, vamos a ver como poder analizar Malware de forma segura en 5 sencillos pasos.

Paso 1.- Prepara tu laboratorio de análisis, ya sea físico o virtual.

Hoy en con el avance en la virtualización de sistemas, prácticamente no necesitamos un laboratorio físico. Las ventajas de los sistemas virtuales son muy claras sobre la de los físicos. Menos maquinaria, menos calor en la habitación, menos broncas de mami o papi: niño este mes hemos pagado un ojo de la cara de luz, como la próxima factura sea igual o peor, te corto todos los cables…

Averigua si un juego correrá bien en tu equipo



En  Can You Run It? podrás enterarte si un juego podría ir bien en tu equipo. Ya no hace falta que pases dos horas instalando el  bioshock, por ejemplo, y después ver que no rula. Funciona mediante un applet de Java que recopila información técnica de nuestro equipo, ya sea de hardware y software, que permitirá hacer el análisis para saber si un juego correrá o no.

Análisis de malware en PDFs



Acabo de leer en el prestigioso blog de SANS, una entrada donde explican de forma muy sencilla de como analizar un fichero PDF en busca de malware. Últimamente Adobe está teniendo bastante trabajo con su Adobe Reader. En su día ya publicamos aquí un 0day y hace unos días apareció otro.

De todas formas, si te gusta juguetear con el tema de ingeniería inversa, análisis forense, etc. Ya tienes con lo que distraerte este fin de semana navideño.

Descafeinado, por favor



DECAF, es una nueva herramienta anti-forense, especialmente creada para contrarrestar COFEE. Vale vamos por partes.

COFEE es una herramienta de análisis forense que Microsoft creo especialmente para los cuerpos de seguridad. Dicha herramienta es básicamente un conjunto de scripts (unos 150) que puedes correr individualmente. Como cualquier herramienta de análisis forense, su principal objetivo es sacar toda la información de valor de un equipo que ha sido comprometido, de forma que se pueda deducir, quién comprometió el equipo, cómo, cuándo y qué hizo. Y viniendo de Microsoft, quien mejor que ellos conocen sus sistemas por dentro, tuvo gran repercusión, pero como dije antes, este software no estaba disponible para el usuario final, sino que fue suministrada sólo a los cuerpos de seguridad y del gobierno. Pero como suele ocurrir con los productos de dicha compañía, siempre se acaban filtrando y por lo tanto disponibles para cualquiera.

Análisis de los primeros milisegundos de una conexión HTTPS



Usando WireShark (analizador de red), el autor del post Jeff Moser analiza toda la información que transcurre en los primeros 220 milisegundos de una conexión HTTPS a amazon.com desde FireFox.

Alucinante el detalle y muy pero que muy educativo, recomendamos que le echéis un vistazo:

MoserWare

Visto en Menéame.

Análisis al Intel 4004



El Intel 4004 fue el primer microprocesador fabricado en masa y ampliamente utilizado. Hay dos diferencias fundamentales con los microprocesadores actuales: la primera es que sólo usaban un tipo de transistor (PMOS o NMOS) y que cada puerta lógica se construía de forma de diferente a otra en función del espacio físico disponible (no había un diseño homogéneo).

Siempre es interesante ver el funcionamiento de estos microprocesadores pioneros en la computación para aprender cómo funcionaban y ver la evolución a los nuevos microprocesadores de la actualidad.