lunes 15 de febrero de 2010

Técnicas de Infección con Malware y Procedimiento I

Después de un tiempo de inactividad del blog he decidido empezar con un tema que calculo les va a servir a ustedes...


El tema de infecciones es algo que está afectando en la actualidad y pues les quiero mostrar el primer ejemplo, es del cual hablaremos hoy...


Infección Vía MSN, cuantas veces no les ha pasado que alguien le dice algo como:



Hubo un Accidente en la puerta de mi casa mira las fotos


y a continuación nos mandan un archivo .zip o .rar con las supuestas fotos o sino


Mira las fotos de la fiesta :s no te ves tan bien...


y a continuación nos mandan un .zip o un .rar


Ahora les voy a explicar como funcionan estas técnicas... y como yo las usaría masomenos.




Bueno para empezar nosotros debemos saber algo básico... las Apis de MSN para hacer el malware...


Explicación de Apis de MSN click aquí y aquí


Bueno ahora si miren lo que pasa es que normalmente estos malwares no son muy creíbles entonces debemos usar algo que convenza a la gente en especial si son hombres...


un ejemplo:


Mira las fotos que me conseguí de la mamasita de megan fox

y a continuación el envio del RAR o ZIP que contenga esto...


otro punto clave que tenemos que tener claro es que el RAR debe tener siertas cosas claves en la configuración según con que los queremos infectar...


En el caso de que fuese un virus de pharming hay técnicas de como ocultar archivos en los .rar de tal manera que al descomprimir automáticamente se sobreescriba el archivo hosts y otras cosas que es algo de lo que voy a hablar pronto pero por ahora vamos a ver otra cosa que haremos con la infección...


Bueno hemos creado nuestro malware que se reproduce por MSN y ahora solo falta que poner en el .rar bueno miren, hay grupos de ciber delincuentes que se dedícan a la amenaza y extorción de web sites por ejemplo:


Encontramos un RFI en una web subimos una Shell y leugo le decimos al dueño que nos de dinero o la defaceamos, esto lógico causa una malestar en el webmaster y se niega, horas despues, la página cae, algo asi es para lo que se usa este tipo de malware...


Se los conoce como BOTNETS, digamos que es una RED de Computadoras que estan a la disposición de un mismo "master", entonces como funciona esto... el Master le mando a 500 personas su malware, luegos estas 500 se la mandaron a dos cada uno osea dos cayeron por que se ve como el anterior ejemplo, lo de megan fox, ahora asi va creciendo la botnet, una vez que se tiene un número prudente de computadoras zombies se procede a extorcionar a la gente... La siguiente conversación es Real solo sustituyo los nombres para no afectar a nadie...


Extorcionador dice:
* Eres el Admin de XXXXXXXXXXXXX.XXX?

Admin dice:
* Si por?

Extorcionador dice:
* Resulta que necesito dinero y tu me lo vas a dar
* en el caso que te reuses cago tu site

Admin dice:
* de qe me hablas????

Extorcionador dice:
* Puedo sacar tu sitio de internet en cuanto se me de la gana pero si quieres que siga en internet entonces necesito 40€

Admin dice:
* jajaja quisiera ver eso

Extorcionador dice:
* Mira tu sitio ahora mismo -.-

Admin dice:
* como mierda hiciste eso, dejame en pax yo no he hecho nada como para que me cagues mi sitio webon que te pasa

Extorcionador dice:
* no es personal necesito dinero y me lo vas a dar o no

Admin dice:
* no



Después de dos días el Admin le pagó los 40 Euros que le pidió, lo que hacía era usar el ancho de banda de todas sus computadoras zombies para hacerle un ataque de D.d.o.S (Distributed Denial Of Service) a su víctima...



Bajo un procedimiento como este muchos delincuentes hacen de las suyas, pronto pondré medidas que se deben tomar para no sufrir de este tipo de ataques y como evitar ser infectado y formar parte de una BOTNET...



PD: Pido disculpas por no poner nada pero he andado ocupado, pronto comenzaré a poner posts de calidad nuevamente :)


Saludos
Dr.White

lunes 1 de febrero de 2010

Otro Tip para Shells (Safe_Mode y Mod_Security) By Zero Bits

Muchos ya conoceran el tutorial sobre las shells de mi amigo _84kur10_, pueden verlo desde su fuente original desde AQUI.




Solo queria agregar a su excelente tutorial, otro tip.,

"Bypassear safe_mode y Mod_security" para movernos mucho mejor en una shell y asi evitar problema. Dense cuenta que es un mini-tutorial que solo muestra los codes necesarios.



Muchos tienen problemas con las Shells, porque no pueden hacer varias cosas que nos interesan, ya sabemis por que (Safe_Mode y Mod_Security), ¿Como se yo que el servidor los tiene activado?, pueden notar (dependiendo de la shell) arriba de la shell, que puede decir:



Safe_Mode = ON

Mod_Security = ON



Desactivar Mod_Securirty




Buscamos por la shell, el fichero .htaccess y añadimos el siguiente code:



<IfModule mod_security.c>
SecFilterEngine OFF
SecFilterScanPort OFF
SecFilterCheckURLEncoding OFF
SecFilterCheckUnicodeEncoding OFF
</IfModule>


Actualiza y ve xD...



Desactivar Safe_Mode




Ahi varios modos, pero el mas facil es modificar Php.ini:



register_globals = On
engine = On
safe_mode = Off
safe_mode_exec_dir = On
Safe_mode_include_dir = On




Para conocer un poco mas podemos leer:



* Tips (PhpShells) que son y como subirlas by _84kur10_ (Aunque ya lo puse arriba)




* Leer sobre Safe_Mode y Mod_Security en servers.


Autor: Zero Bits


Mail: Zero_Bits@GobiernoFederal.com



PD: En los ultimos tutos no eh dejado mi email pero aqui esta ^^