Bokken, una interfaz gráfica encima de Radare y Pyew

Aunque Pyew y mucho menos Radare necesitan presentación, en un par de párrafos muy cortos voy intentar describir a ambas. Radare no es sólo una herramienta o un conjunto de éstas, sino además provee un conjunto de librerías que te permiten poder integrarlas en tus propias utilidades. Entre algunas de sus características más destacadas, cuenta con desensamblador/ensamblador, depurador, información de binarios, etc. Desde finales del año pasado, Radare también dispone de una interfaz gráfica basada en viz.
Leer más

Muestras de malware Mac OS X

¿Intersado en el análisis de malware para Mac OS X? Aquí puedes encontrar un archivo .zip con ocho muestrar de malware para Mac OS X: CoinThief http://www.securemac.com/CoinThief-BitCoin-Trojan-Horse-MacOSX.php https://threatpost.com/cointhief-bitcoin-trojan-found-on-popular-download-sites iWorm http://www.intego.com/mac-security-blog/iworm-botnet-uses-reddit-as-command-and-control-center/ https://www.virusbtn.com/pdf/magazine/2014/vb201410-iWorm.pdf Janicab http://www.thesafemac.com/new-signed-malware-called-janicab/ http://www.intego.com/mac-security-blog/new-mac-malware-janicab-uses-old-trick-to-hide/ https://www.f-secure.com/weblog/archives/00002576.html Kitmos http://threatpost.com/new-mac-malware-discovered-on-attendee-computer-at-anti-surveillance-workshop/ http://www.f-secure.com/weblog/archives/00002554.html LaoShu https://nakedsecurity.sophos.com/2014/01/21/data-stealing-malware-targets-mac-users-in-undelivered-courier-item-attack/ http://www.thesafemac.com/delivery-notice-trojan-targeting-mac-users/#more-1301 MacVX http://malwaretips.com/blogs/remove-macvx-virus/ WireLurker http://researchcenter.paloaltonetworks.com/2014/11/wirelurker-new-era-os-x-ios-malware/ https://www.paloaltonetworks.com/content/dam/paloaltonetworks-com/en_US/assets/pdf/reports/Unit_42/unit42-wirelurker.pdf XSLcmd https://www.fireeye.com/blog/threat-research/2014/09/forced-to-adapt-xslcmd-backdoor-now-on-os-x.html El archivo está protegido con la contraseña infect3d Recalco que esto no son muestras de ensayo, es malware real, así que ándate con cuidado.
Leer más

Herramientas de seguridad para Android

Como todos ya sabemos el mercado móvil está dominado por dispositivos que corren Android. Esto lo hace objetivo prioritario para los creadores de malware. Prácticamente la misma historia por la que Windows es el más atacado, no por que sea menos seguro que el resto, sino porque es el que más cuota de mercado abarca. Por lo tanto no es de estrañar que los investigadores sobre seguridad también se vuelquen en él.
Leer más

Clase gratuita sobre análisis dinámico de malware

En una de mis webs favoritas acaban de publicar los vídeos de la clase sobre análisis dinámico de malware. La clase está planificada para 3 días, pero desafortunadamente, debido a un problema técnico, los vídeos del tercer día no están disponibles. De todas formas hay bastante material publicado. Te puedes descargar todo el material en formato PDF u ODP. Dentro del archivo ZIP, hay otro archivo ZIP con malware, éste ZIP está protegido por la contraseña “infected” (sin las comillas).
Leer más

El "Metasploit" para investigadores de malware

El metasploit para analistas o investigadores de malware, es una de las formas en las que Viper se define a sí mismo, de acuerdo con la documentación oficial. Viper es una framework o marco de trabajo que facilita la organización y análisis binario de malware y exploits. Está orientado al investigador y/o analista de estos. Está escrito en Python y su interfaz en esta versión 1.0 es muy similar a la de metasploit y ofrece la posibilidad de extenderlo a través de plugins.
Leer más

Process Explorer 16 ahora integrado con VirusTotal

Integración de VirusTotal (fíjate en la última columna) en Process Explorer Todo conocemos la fantástica herramienta de SysInternals, Process Explorer (creado por Mark Russinovich). Pues ahora la revista WindowsITPro anuncia que ahora se puede enviar directamente desde la aplicación, información sobre el proceso sospechoso a VirusTotal. En concreto no envía el fichero completo, supuestamente se envía sólo el hash del mismo. Esto facilita realmente el análisis de procesos maliciosos en el ordenador con dos click de ratón.
Leer más

RAT open source

Hay varias formas con las que nos podemos hacer con una botnet: comprar, alquilar, hacerte con la botnet tú mismo (¿robar?) o hacerte la tuya propia. Comprar o alquilar, si dispones del dinero y quieres hacer dicha inversión… Hacerte con una botnet existente no es fácil y se requieren ciertos conocimientos técnicos, tiempo y paciencia. Y al hacerte tu propia botnet, pues más de lo mismo, conocimientos muy técnicos para construir la infraestructura y mucho tiempo.
Leer más

Clases sobre ingeniería inversa y análisis de malware

Desde securityxploded.com podemos acceder al meterial de dos clases sobre ingeniería inversa y análisis de malware. La primera es de iniciación y la segunda sobre temas más avanzados. En el material de las mismas podrás encontrar vídeos, diapositivas, referencias a libros, herramientas, etc. La clase de iniciación está completa y te puedes descargar todo el material desde aquí. En la avanzada, como podemos ver más abajo, faltan algunas de las sesiones, que supongo publicarán en un futuro.
Leer más

Presentaciones de la Virus Bulletin 2013

El pasado 2 - 4 de octubre se celebró en Berlín otra conferencia sobre seguridad informática enfocada más al tema del malware: VB2013 - Virus Bulletin 2013 (no, no es Visual Basic!). Esta es la 23 edición de esta conferencia. Las presentaciones que se dieron ya están disponibles para descarga. La lista es la siguiente Corporate stream Andreas Lindh ('Surviving 0-days - reducing the window of exposure') Sabina Datcu ('Targeted social engineering attacks.
Leer más

Análisis rápido de los ficheros maliciosos encontrados en Cyberhades

Como prometía ayer en la entrada donde os contaba la incidencia en el blog, os comento en esta entrada el pequeño y rápido análisis de unos de los ficheros: bergpfh.php. El otro fichero es básicamente igual que éste, pero con un par de pequeños cambios, así que sólo hablaremos del primero. Como os comentaba, los ficheros están ofuscados, aquí podéis ver el código original: Para de-ofuscar (o llámalo como quieras) el fichero eché de mano de un poco de Ruby.
Leer más