a las 1:35 En este vídeo, Lenny Landis, un instructor del SANS, esboza los conceptos básicos de ingeniería inversa de malware, describiendo el proceso de analizar el código y el comportamiento del malware.

Introduction to Malware Analysis from SANS Institute on Vimeo.

a las 0:59 El programa malicioso captura los datos de la cuenta, como el numero de la tarjeta y el numero de identificación personal o también conocido como PIN, el ataque requiere información privilegiada como la de un técnico de los cajeros automaticos o cualquier persona con un llave de la maquina para colocar el malware en el cajero.

La noticia completa esta disponible en: http://www.wired.com/threatlevel/2009/06/new-atm-malware-captures-pins-and-cash/

a las 4:33

Usando RegMon: Observar la Actividad del Registro de Windows en Tiempo Real

RegMon es una herramienta utilizada en la administración de sistemas, análisis forense y depuración de aplicación (debugging), fue creado por Mark Russinovich, y Bryce Cogswell, empleado por SysInternals antes de ser comprado por microsoft en el 2006.

RegMon supervisa y registra todas las actividades que se llevan acabo en el Registro de Windows. Regmon puede utilizarse para detectar intentos fallidos al intentar leer y escribir claves en el Registro, también puede ser utilizado para examinar las escrituras hechas en el registro por la instalación de malware o código malicioso, esto con el fin de ver su impacto en el sistema. Y de igual manera permite el filtrado de teclas específicas, procesos, identificadores de proceso, y valores.

RegMon puede ser descagado desde el sitio web de Sysinternals. Una vez descargado y extraido en el disco duro, solo tenemos que hacer doble clic en regmon.exe para iniciarlo. Automaticamente al ejecutarlo empezara a iniciar la captura actual de cualquier actividad en el registro de windows y lo mostrara en la ventana principal de regmon, como se muestra en la siguiente imagen.

Ventana principal de RegMon.

La mayor parte de la pantalla esta dedicada a mostrar la actividad del registro, las otras dos partes son la barra de menú y la barra de herramientas, en la barra de menú contiene los principales parámetros de configuración y la barra de herramientas contiene botones que nos permiten realizar tareas rápidamente, como por ejemplo guardar la actividad en un archivo, cargar un archivo anteriormente guardado, detener e iniciar procesos de captura y demás. Así que no tiene nada de ciencia :) es muy sencillo utilizar Regmon.

Por ejemplo para iniciar o detener la captura de la actividad sólo tenemos que hacer clic en la lupa de la barra de herramientas.

Si Regmon está en modo de captura, al hacer clic en el botón (lupa) pondrá una barra de color rojo a través de él, lo que significa que regmon esta detenido. Para empezar de nuevo el proceso de captura sólo tenemos que hacer clic en botón (lupa) de nuevo.

Si en algún momento deseamos modificar una entrada del Registro, podemos simplemente hacer doble clic en la entrada, al hacer esto abrirá el Editor del registro (regedit.exe) y nos llevará directamente a la clave correspondiente. Desde ahí podemos ver las claves y los valores asociados.

Tambien para copiar una entrada de la Lista en el portapapeles, solo seleccione la entrada y el tecleamos Ctrl + C para copiar la combinación de líneas seleccionadas y asu podemos pegar las líneas en otra aplicación que elijamos. Para eliminar las entradas solo selecciónamos la que deseamos eliminar y a continuación pulsamos la tecla Suprimir y listo!!.

Configuración de Filtros

Si haz ejecutado Regmon ya te habrás dado cuenta de la cantidad de actividad que ocurre en el registro, si buscamos alguna entrada en particular nos sera muy difícil encontrarla por la cantidad de actividad que ocurre en el equipo, pero aquí entra en juego los filtros. ¿Que significa esto de filtros? esto significa que Regmon nos permite añadir filtros para la salida, de modo que solo nos encuentre la información que necesitamos del alguna actividad especifica.

Para establecer un filtro solo tenemos que ir al menú Options - Filter/Highlight.

Interfaz de Filtro de Regmon.

La interfaz contiene una serie de campos de texto y casillas que nos permiten personalizar la forma en que los datos se mostraran. Los campos de texto nos permiten entrar en los diversos procesos o entradas que deseemos incluir o excluir del registro, y las casillas determinan el tipo de actividad que se desea filtrar.

Examinando el Registro

Aunque existe un numero infinito de ejemplo posibles de utilizar Regmon para poder ver dónde y cómo se almacenan los diversos ajustes del nuestro sistema en el Registro, la metodologia es la misma independientemente del ejemplo.

Bueno lo que aremos es ejecutar regmon, empezaremos a capturar los datos, hacer algun cambio, detener la captura de los datos y examinaremos lo que se escribio en el registro, con esta metodología, se puede determinar definitivamente dónde y cómo se almacenan los datos en el Registro.

¿En que lugar del registro se almacena la dirección IP de nuestra interfaz de red?
En este ejemplo se mostrara como se almacena la direccion IP de una interfaz de red en el registro, y para determinar esto, vamos a cambiar la direccion IP a un valor conocido mientras se este ejeutando Regmon y agregaremos la direccion IP conocida al filtro, de esta manera vamos a limitar la informacion que regmon nos mostrara filtrando la direccion IP.

Lo primero que debemos hacer es ejecutar Regmon (regmon.exe) y establecer un filtro, que se encuentra en Optiond - Filter/Highlight, como se muestra en la siguiente imagen.

Configurando un filtro en Regmon, para una nueva direccion IP a la que va cambiar la interfaz de red.

En la imagen anterior se muestra la configuracion de un filtro para la direccion IP 192.168.1.110, esta direccion IP es la valos al que se va cambiar la IP actual. Una vez que hallamos configurado el filtro dando clic en OK, iniciamos la captura de los datos dando clic en la lupa (Capture).

Una vez hecho lo anterior, ahora el siguiente paso es cambiar las propiedades de TCP/IP de nuestra interfaz de red. Para hacer esto damos clic en Inicio - Panel de Control - Conexiones de Red y seleccionamos nuestra interfaz de red, hacemos clic derecho y seleccionamos Propiedades. En los elementos seleccionamos Protocolo de Internet TCP/IP y hacemos clic en Propiedades como se muestra en la siguiente imagen.

Estando en propiedades de protocolo internet (TCP/IP) vamos a cambiar la direccion IP que tenemos 192.168.1.109 por una nueva direccion IP 192.168.1.110 (es la que establecimos en el filtro), como se muestra en la siguiente imagen.

Cuando hallamos terminado de hacer lo anterior solo hacemos clic en Aceptar para cerrar el cuadro de dialogo del Protocolo Internet (TCP/IP) y de nuevo hacer clic en el boton Cerrar en el cuadro de dialogo de conexión de área local.

Después de un segundo, la nueva dirección IP (192.168.1.110) se escribe en el Registro y se aplica al sistema, como se muestra en la siguiente imagen.

Filtrado que muestra la salida de tres claves del registro en donde se almacena la direccion IP.

Esta metodologia se puede adaptar y crear una amplia variedad de situaciones en las que nosotros podemos cambiar la configuracion del sistema y monitorear sus resultados con la ayuda de Regmon, de esta manera podemos ver claramente donde y como se almacenan los datos.

Saludos!.

a las 22:14

Gusano Conficker en los Mapas del Mundo

Conficker en el Mundo visto en f-secure

Para obtener mas mapas visitar Conficker Working Group. http://www.confickerworkinggroup.org/wiki/pmwiki.php/ANY/InfectionDistribution

a las 14:35

Propagacion de Malware en San Valentin

Día de San valentin, este dia tan especial para muchos es aprovechado por los propagadores de malware para realizar ataques y propagar código malicioso.

Por lo regular este tipo de programas maliciosos se propaga por correo electrónico con mensajes relacionados a san valentin y utilizan la técnica de ingeniería social, como en la siguientes capturas cuando un usuario da clic en la imagen se descargar un archivo binario llamado "valkit.exe" o "mylove.exe"un archivo malicioso.

Sitios web con enlaces a archivos maliciosos

El sitio web contiene un mensaje corto y al hacer clic en el vínculos que pide al usuario que descargue un archivo .exe o pueda ver la imagen mas grande haciendo clic en la misma imagen donde esta vinculado a un archivo ejecutable, y que supuestamente es una herramienta con la cual nos permitirá personalizar nuestra tarjeta de San Valentín.

Al hacer clic en la imagen, un gusano se descargará.

Lo que se busca con esta estrategia de Ingeniería Social es que el usuario directamente ejecute el archivo, minimizando la posibilidad de someterlo a una exploración despues con un antivirus.

Si ejecutas el archivo dañino automáticamente se ejecuatara en cada inicio del sistema y se propagara por correo electronico, se robara las direcciones de correo electrónico almacenados en las computadoras infectadas y envíara información recopilada a las direcciones IP maliciosas..

Asi que cuidadin, es importante estar atentos y ser cautelosos al navegar por Internet.

Yo en lo personal me descargue el archivo ejecutable y lo envie a Virus Total y Anubis para su analisis, este tipo de webs como virus total de hispasec es un servicio on-line de analisis de malware o archivos sospechosos, que analizan los ejecutables por nosotros.

Bueno aqui dejo la informacion del reporte..

Virus Total
http://www.virustotal.com/es/analisis/23525b524a400993114180776b185633

Anubis
http://anubis.iseclab.org/?action=result&task_id=16ae6fef6d6de383441efc3ff19899f32

Saludotes a todos.

a las 19:38

Una de piratas informáticos

Leo en theinquire que un grupo de delincuentes informáticos coordinaron un ataque sobre 130 cajeros automáticos de 49 ciudades, haciéndose con un botín de nueve millones de dólares en media hora.. aunque se produjo en noviembre del 2008 el fraude se revelo apenas ayer.

Según aquí en México los cajeros de Banco Azteca, HSBC y Banorte son vulnerables a ataques de OS y Java script, existe por ahí un documentillo “underground” creado por algunos piratas de Mexico con los pasos detallados para hacerlo, alguien que lee lo tendrá?

fallos de seguridad en sistemas no es ninguna novedad o no??

como bien lo dicen en theinquire, ya no tiene nada de ciencia ficción la imagen de la peli Terminator 2, cuando John Connor desvalija un cajero automático..

Saludos!!

a las 16:20

Deshabilitar la ejecucuion automatica de los USB

¿Cuántas veces has utilizado un dispositivo de memoria USB para transferir archivos desde una computadora a otra?

Bueno pues en este post hablare sobre el autoarranque y como evitar infecciones de troyanos, virus que pueden propagarse en dispositivos extraibles.

Descripcion:
El Autoarranque o "Autorun.inf" es un archivo de configuracion basado en texto que se encarga para llevar acabo alguna accion en el sistema operativo Windows, esa accion puede ser la ejecucion automatica de cuando nosotros insertamos dispositivos USB extraibles, CD-ROM, unidades de red compartida o unidades de disquetes.

Hay muchas situaciones en las que Autorun puede ser necesario, pero de igual manera este archivo de configuración puede ser utilizado por los creadores de malware para la propagación de virus y troyanos que se aprovechan de este sistema de arranque y así propagarse automáticamente copiándose en diferentes dispositivos y sin ninguna interacción del usuario... que bonito no?

Nuestra memoria USB la podemos utilizar para algo mas que un dispositivo de almacenamiento, también podemos utilizarla para ejecutar programas desde ella, de hecho una empresa de software llamada U3 (http://www.u3.com/) ha creado un modelo de negocio fuera de este concepto y ha desarrollado una solucion que convierte a los dispositivos de memoria USB en una plataforma de la ejecución automática de aplicaciones desde una memoria USB, puedes instalar navegadores, Skype, programas para la edición de imagenes, editores de textos y mucho mucho mas.. asi podremos ejecutar programas sin instalar nada en nuestra computadora.

Todo esto es una gran idea pero en su momento también abrió una enorme caja de pandora en lo que respecta a la capacidad del autorun y haciendo simple el proceso los usuarios malintencionados utilizan esta herramienta para infectar computadoras...

Para el que no sepa que es la ejecucion automatica o (Autorun), un ejemplo claro de la ejecución del autorun es cuando insertamos nuestra memoria USB, al insertarlo en nuestra computadora automáticamente después de unos segundos aparece una ventana preguntando "¿Que desea que haga Windows?"

Pues esto es un claro ejemplo de la ejecución automática (Autorun)

En el siguiente captura se muestra el contenido tipico de la configuracion de un archivo autorun.inf

Autorun.inf configurado

Ejemplo:

[Autorun]

open=Troyano.exe <-- autoejecutaría el archivo Troyano.exe icon=icons\drive.ico <-- el icono que aparecería en la unidad sería drive.ico shellexecute=Troyano.exe <-- especifica la ejecucion deTroyano.exe

Software malicioso, como W32.Downadup, utiliza el Autorun para propagarse, es por eso muy recomendable deshabilitar esta característica para prevenir efectivamente la propagación de código malicioso.

Evitar Infecciones:
Para evitar infecciones lo recomendable es desabilitar la ejecucion automatica.

La opción más simple es ir a:
-Inicio
-Ejecutar
escribir "gpedit.msc" y en la ventana abierta abrir la carpeta "Plantillas administrativas" del subtítulo "Configuración del equipo". Luego, elija "Sistema" y haga un doble clic en "Desactivar reproducción automática". cerrar la ventana y listo!!


La otra opción es modificando el registro... que se puede hacer en unos segundos. siguiendo los siguientes pasos.

- Inicio
- Ejecutar y escriba regedit
Luego ir a HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
clic derecho sobre NoDriveTypeAutoRun y establecer el valor como B5.

Nota:
Para autoarranque activado: "NoDriveTypeAutoRun" = "95"
Para autoarranque desactivado: "NoDriveTypeAutoRun" = "B5"

Cerrar el registro, reiniciar el sistema y Listo!!

Saludos!