ANALYSIS

    Gran colección de recursos enfocado al análisis del código binario

    binary_analysis.jpg

    REMath es un repositorio en Github que contiene una gran lista de recursos relacionados con el análisis de código binario o máquina.

    Dicha lista es bastante amplia, y contiene desde documentos académicos con lo último en investigaciones en este campo, hasta herramientas bien conocidas. Para que tengas una idea de lo que puedes encontrar en el mismo, os dejo las secciones en las que se divide la lista:

    Aug 3, 2014
    Recursos InformáticaProgramaciónHacking

    Introducción a la programación en Python sobre problemas de criptoanálisis

    images.jpeg

    Este tutorial no es una introducción ni al fundamentos de criptografía, ni criptoanálisis, ni a la programación en Python. Es un tutorial que te ayuda a escribir programas en Python que te ayuden con la solución a problemas de criptoanálisis.

    El tutorial espera que sepas, al menos programar, si ya conoces Python mejor, y que entiendas y seas capaz al menos de resolver un problema de sustitución.

    Jul 11, 2013
    ProgramaciónSeguridad

    4:mag número 1 - Revista digital sobre análisis forense

    Screenshot from 2013-04-15 14:56:05.png

    4:mag es una revista electrónica orientada al análisis forense digital. En este primer número podemos encontrarnos con el siguiente contenido:

    • events
    • editorial
    • a call to action
    • device and application data from ios devices
    • taking a byte out of apple computers
    • win - forensic contest
    • starting out and getting ahead
    • forensic 4cast awards 2013
    • pro-file
    • hard drive secrets revealed
    • 4:ward
    Puedes bajarla en formato PDF o leerla online desde aquí.
    Apr 15, 2013
    Ebook

    Análisis estático de aplicaciones Android en la nube

    canvas.png

    Para ser honestos no soy muy defensor de la nube o el cloud computing, pero la verdad es que esta tecnología tiene grandes ventajas.

    El tema del malware en Android es un tema muy candente, realmente el malware en general, ya que todas las plataformas se ven afectadas por este tipo de especímenes. Pero cuando hablamos que tecnología móvil y malware todas las miradas apuntan a Android. Cuando hablo con alguien sobre este tipo de temas, les digo que Android es en el mundo móvil lo que Windows en el mundo del escritorio.

    Dec 12, 2012
    SeguridadvirusAndroid

    Seguridad de sistemas y análisis de código malicioso

    malware course

    La Universidad de Dallas, Texas, uno de los muchos cursos que ofrece es llamado: System Security and Malicious Code Analysis (Seguridad de sistemas y análisis de código malicioso). Éste no es uno de esos cursos que se han puesto de moda últimamente que puedes tomar online. Aunque no hay disponibles ni vídeo ni audio, sí que están disponibles las diapositivas usadas en el mismo. Después de un echar un vistazo rápido, me han parecido muy completas en interesantes. Además en la web de dicho curso también podemos encontrar una muy buena lista de enlaces a información externa, muchos de ellos son literatura propia sobre el tema.

    May 17, 2012
    virusSeguridadHacking

    Tutoriales sobre el análisis de malware por Dr. Fu

    malware2.jpg

    Para los que os mováis por el mundo del análisis del malware, el blog sobre seguridad de Dr. Fu es una gran fuente de información sobre esta materia. En el mismo podemos encontrar una serie de entradas muy didácticas sobre el análisis del malware. Hasta ahora tiene publicados 16 tutoriales:

    1. VM Based Analysis Platform
    2. Ring3 Debugging
    3. int2d anti-debugging (Part I)
    4. Int2dh Anti-Debugging (Part II)
    5. Int2dh Anti-Debugging (Part III)
    6. Analyzing Self-Extraction and Decoding Functions
    7. Exploring Kernel Data Structure
    8. PE Header and Export Table
    9. Encoded Export Table
    10. Tricks for Confusing Static Analysis Tools
    11. Starling Technique and Hijacking Kernel System Calls using Hardware Breakpoints
    12. Debug the Debugger - Fix Module Information and UDD File
    13. Tracing DLL Entry Point
    14. Retrieve Self-Decoding Key
    15. Injecting Thread into a Running Process
    16. Malware Analysis Tutorial 16: Return Oriented Programming (Return to LIBC) Attack
    17. Infecting Driver Files (Part I: Randomly Select a System Module)
    18. Infecting Driver Files (Part II: Simple Infection)
    19. Anatomy of Infected Driver
    20. Kernel Debugging - Intercepting Driver Loading
    21. Hijack Disk Driver
    22. IRP Handler and Infected Disk Driver
    23. Tracing Kernel Data Using Data Breakpoints
    24. Tracing Malicious TDI Network Behaviors of Max++
    25. Deferred Procedure Call (DPC) and TCP Connection
    26. Rootkit Configuration
    27. Stealthy Loading of Malicious DLL
    28. Break Max++ Rootkit Hidden Drive Protection
    29. Stealthy Library Loading II (Using Self-Modifying APC)
    30. Self-Overwriting COM Loading for Remote Loading DLL
    31. Exposing Hidden Control Flow
    32. Exploration of Botnet Client
    33. Evaluation of Automated Malware Analysis System I (Anubis)
    34. Evaluation of Automated Malware Analysis Tools CWSandBox, PeID, and Other Unpacking Tools
    Sin duda alguna un gran blog que debes seguir si te interesa este tema.
    Feb 11, 2012
    Seguridadvirus

    CTF #nullcon 2012: Análisis Forense 1

    nullcon1.jpg

    En el primer nivel de esta categoría lo que nos dan es un archivo RAR y nos piden encontrar el código oculto.

    Cuando descomprimimos el archivo, nos encontramos con un fichero .wav. Lo abrimos con un reproductor de audio y escuchamos música, pero de vez en cuando por uno de los canales se escucha un pequeño corte.

    Echemos mano de Audacity y abramos dicho fichero. Nos encontramos con:

    Feb 5, 2012
    HackingSeguridadCyberlab

    CTF #nullcon 2012: Análisis de logs 5


    nullcon1.jpg

    En el quinto y último nivel de esta categoría de análisis de logs, nos encontramos con un fichero (http://www.nullcon.net//challenge/data/dump.rar) PcapNg (una vez descomprimido). Uno de los problemas con los que me encontré era que el fichero es un poco grande y después de filtrar varias veces, Wireshark se comía la máquina y tenía que cerrar dicha aplicación y volverla a abrir ¿fuga de memoria en Wireshark? Supongo que la próxima vez debería de aprender a usar los filtros con tshark :)

    Jan 29, 2012
    SeguridadHackingCyberlab

    CTF #nullcon 2012: Análisis de logs 4

    nullcon1.jpg

    En este cuarto nivel, el fichero que se nos da es de Burp y se nos pregunta por el CVE del exploit usado.

    Esta vez y aprendiendo del nivel anterior me basé en buscar por las urls en vez de códigos de respuesta. Rápidamente me di cuenta que la mayoría de las peticiones se hacían una IP/página sin que, en principio, se nos diera alguna pista de la aplicación web a la que se accedía y viendo que nos preguntan por un CVE, empecé a descartar dichas urls.

    Jan 29, 2012
    HackingCyberlabSeguridad

    CTF #nullcon 2012: Análisis de logs 3

    nullcon1.jpg

    Buena en esta tercera prueba de análisis de logs, nos proveen un fichero de logs ( http://www.nullcon.net//challenge/data/access.rar ) de acceso de apache. Lo primero que tenemos que saber interpretar es dicho fichero, para ello, podemos visitar esta página, dónde nos explican el significado de cada columna.

    En este reto se nos pregunta por tres cosas para conseguir el flag: página vulnerable, puerto abierto e IP del atacante.

    Jan 28, 2012
    CyberlabSeguridadHacking

    CTF #nullcon 2012: Análisis de logs 2

    nullcon1.jpg

    En este caso lo que nos dan es un fichero pcap y nos preguntan por la contraseña del usuario suppadmin.

    Pues nada, nos bajamos el fichero ( http://www.nullcon.net//challenge/data/log3.pcap ) en cuestión abrimos nuestro Wireshark y vemos que el tráfico corresponde a MySQL y al final del fichero vemos algo como:

    ....
..."......select * from tb1_admin.....6....def
myaccounts.tb1_admin.tb1_admin.id.id.?.......B...B....def
myaccounts.tb1_admin.tb1_admin.username.username...d.........>....def
myaccounts.tb1_admin.tb1_admin.passwd.passwd...d.........>....def
myaccounts.tb1_admin.tb1_admin.access.access...
[email protected]..............

    Se lanza una consulta select que devuelve un registro con las columnas id, username, passwd y access. Y los valores correspondientes los vemos en la última línea… mmmm… probemos con Supp@, error. A ver [email protected], error también… después intentos fallidos y de recapacitar un poco, vemos que cada campo está separado por el signo de puntuación ‘.’, así probemos con [email protected], Bingo!

    Jan 28, 2012
    HackingSeguridadCyberlab

    Presentaciones de la DFRWS 2011

    forensic_image.jpg

    Ya podemos acceder a las presentaciones de la conferencia anual de este año de la DFRWS (Digital Forensics Research Workshop). Esta edición se celebró en New Orleans los días 1 al 3 de agosto.

    A continuación os dejo la lista de las presentaciones:

    • "A System for the Proactive, Continuous, and Efficient Collection of Digital Forensic Evidence", Clay Shields, Ophir Frieder and Mark Maloof (pdf)
    • "Towards a General Collection Methodology for Android Devices", Timothy Vidas, Chengye Zhang and Nicolas Christin (pdf)
    • "Augmenting Password Recovery with Online Profiling", Khawla Al-Wehaibi, Tim Storer and Brad Glisson (pdf)
    • "An Evaluation of Forensic Similarity Hashes", Vassil Roussev (pdf)
    • "Visualization in Testing a Volatile Memory Forensic Tool", Hajime Inoue, Frank Adelstein and Robert Joyce (pdf)
    • "CAT Detect (Computer Activity Timeline Detection): A Tool for Detecting Inconsistency in Computer Activity Timelines", Andrew Marrington, Ibrahim Baggili, George Mohay and Andrew Clark (pdf)
    • "Advanced Evidence Collection and Analysis of Web Browser Activity", Junghoon Oh, Seungbong Lee and Sangjin Lee (pdf)
    • "Detecting Data Theft Using Stochastic Forensics", Jonathan Grier (pdf)
    • "Forensic Carving of Network Packets and Associated Data Structures", Robert Beverly, Simson Garfinkel and Greg Cardwell (pdf)
    • "Privacy-Preserving Network Flow Recording", Bilal Shebaro and Jedidiah Crandall (pdf)
    • "Distributed Forensics and Incident Response in the enterprise", Michael Cohen, Darren Bilby and Germano Caronni (pdf)
    • "Empirical Analysis of Solid State Disk Data Retention when used with Contemporary Operating Systems", Christopher King and Timothy Vidas (pdf)
    • "Extracting the Windows Clipboard from Memory", James Okolica and Gilbert Peterson (pdf)
    • "Reconstructing Corrupt DEFLATEd Files", Ralf Brown (pdf)
    Aug 10, 2011
    SeguridadEventos

    El análisis del Cuco

    index.jpeg

    Esto me recordó a El huevo del Cuco, un libro basado en hechos reales que si no has leído y eres lector de este blog te encantará.

    Bueno, de lo que quería hablaros en esta entrada es de un proyecto llamado Cuckoo Sandbox. Éste es un proyecto para el análisis de malware a través de la virtualización y así creando la sandbox o caja de arena para que cuando el especimen corra, lo haga de forma aislada.

    May 17, 2011
    virusSeguridad

    Malware Analyst's DVD

    malware_analysts_cookbook.jpg

    Malware Analyst’s Cookbook es un libro que trata sobre el análisis de Malware, como habrás podido deducir.

    Algo estuve leyendo sobre este libro el otro día y lo estuve ojeando por Amazon y tiene una pinta estupenda, además las revisiones del mismo son muy buenas.

    Bueno, el motivo de esta entrada no es realmente hablar sobre este libro, sino del DVD que lo acompaña. Dicho DVD está lleno de utilidades relacionadas con el análisis de malware y el contenido del mismo está a disposición de todos los públicos, hayas comprado o no el libro.

    Mar 31, 2011
    virusSeguridadHacking

    Introducción al análisis de datos binario

    The Binary Auditor es el título de un corto, pero conciso documento escrito por Thorsten Schneider, dónde nos hace una introducción al análisis de ficheros o datos binario.

    Este caballero es dueño y señor de www.binary-auditing.com y crackmes.de. El documento consta de 22 páginas (21, la última está vacía) y el primer ejercicio trata sobre la identificación de las variables en el binario que analizamos.

    Entrada original. Fichero con los ejercicios.

    Jan 7, 2011
    ProgramaciónHacking

    Colección de Malware

    Nada mejor para un profesional a la hora de aprender y ganar experiencia y conocimiento que enfrentarse a situaciones reales dentro de su campo.

    En el campo de la seguridad informática sucede lo mismo. Tanto para el aprendiz como para el experto siempre es bueno el poder investigar por uno mismo malware real, activo o no.

    Lenny Zeltser ha publicado una entrada en su web donde recopila algunos enlaces desde los cuales te puedes bajar todo tipo de malware. Podrás encontrar incluso algún especimen que todavía está vivito y coleando por la web.

    Jan 6, 2011
    virusHackingSeguridad

    Análisis forense en terminales iPhone

    viaForensics ha publicado un documento a través del cual puedes realizar un análisis forense en terminales iPhone.

    El documento trata de explicar el procedimiento forense a seguir para la adquisición y análisis de los datos. Para ello se usan varias herramientas e incluso distintos entornos, dependiendo de los requisitos de cada herramienta.

    En cada apartado no sólo te muestra el uso de dichas herramientas, sino también te guía a través de la instalación de las mismas y la funcionalidad que provee cada una.

    Nov 17, 2010
    HackingRecursos InformáticaAppleSeguridad

    Como empezar en el análisis de malware

    En esta entrada escrita por Lenny Zeltser intenta hacer una pequeña introducción para aquellos que se quieran adentrar en el análisis de malware, dónde recopila una serie de recursos online donde puedes empezar a leer y practicar. También nos recomienda algunos libros, así como varios foros sobre el tema. Y por supuesto le da un poco de publicidad al curso que él mismo imparte en SANS (éste no es gratuito, pero si de verdad que te quieres convertir en un profesional no tengo duda alguna en que merece la pena).

    Visto en el blog del autor.

    Nov 16, 2010
    virusSeguridadHacking

    REMnux

    De forma muy resumida, REMnux es una distribución Linux basada en Ubuntu y especialmente diseñada para el análisis de malware a través de ingeniería inversa.

    El autor de dicha distribución es Lenny Zeltser, experto en el análisis de software y profesor en SANS.

    De acuerdo con la web oficial, dicha distribución es descargable en forma de imagen VMWare. Se supone que también deberías de poder la imagen en VisrtualBox.

    A continuación copio y pego las utilidades que vienen en el sistema específicas para el análisis de malware:

    Jul 9, 2010
    LinuxSeguridadHacking

    Análisis de Malware en 5 pasos

    Muy de vez en cuando me da por juguetear con este tipo de cosas y dice el refrán, el que juega con fuego se acaba quemando, así para no quemarnos, vamos a ver como poder analizar Malware de forma segura en 5 sencillos pasos.

    Paso 1.- Prepara tu laboratorio de análisis, ya sea físico o virtual.

    Hoy en con el avance en la virtualización de sistemas, prácticamente no necesitamos un laboratorio físico. Las ventajas de los sistemas virtuales son muy claras sobre la de los físicos. Menos maquinaria, menos calor en la habitación, menos broncas de mami o papi: niño este mes hemos pagado un ojo de la cara de luz, como la próxima factura sea igual o peor, te corto todos los cables…

    Jan 19, 2010
    Recursos InformáticaProgramaciónHackingSeguridad

    Análisis de malware en PDFs

    malware

    Acabo de leer en el prestigioso blog de SANS, una entrada donde explican de forma muy sencilla de como analizar un fichero PDF en busca de malware. Últimamente Adobe está teniendo bastante trabajo con su Adobe Reader. En su día ya publicamos aquí un 0day y hace unos días apareció otro.

    De todas formas, si te gusta juguetear con el tema de ingeniería inversa, análisis forense, etc. Ya tienes con lo que distraerte este fin de semana navideño.

    Dec 18, 2009
    ProgramaciónHackingSeguridad