Enero 16, 2018, 04:07:25 am

Mostrar Mensajes

Esta sección te permite ver todos los posts escritos por este usuario. Ten en cuenta que sólo puedes ver los posts escritos en zonas a las que tienes acceso en este momento.


Mensajes - sadermoon

Páginas: [1] 2
1
Hacking General / ¿Un registro de chat?
« en: Julio 04, 2017, 08:07:51 pm »
estaba curioseando la pagina de seth; You are not allowed to view links. Register or Login entretenida charla sobre inyeccion sql  ???

Post data; ese "programa" en el archivo zeus.rar You are not allowed to view links. Register or Login tiene unos tremendos virus de tipo backdoor al descargarlo el winrar tenia proteccion de contraseña, puse la palabra obvia "zeus" y la pude descompactar, el antivirus Panda desactivo virus de tipo backdoor, ....tremendo spyware :( si no fuera por el antivirus ahora tendria la PC frita de virus

2
Troyanos y Crypters / Re:XP no arranca, pantallazo azul...
« en: Julio 04, 2017, 03:34:16 am »

Para arrancar la PC (bootear) desde el cd hay un programa (mas bien llamemosle sistema) que se llama Pilitos xp, preguntale a algun tecnico conocido si te lo puede conseguir. Para mi modo de ver...tu PC esta infectada con virus, tendrias que revisar todo lo que tengas en tu pensrive porque si tenias virus de seguro te infecto los .exe y los documentos .doc ...eso deberias escanearlo con Panda Antivirus (muy buen antivirus gratuito y efectivo) te recomiendo formatear todo lo que tengas en disco C y volver a instalar windows. Con respecto a tu pendrive no lo uses en el windows resien instalado hasta que lo revises con Panda Antivirus, porque si te infectaste con un virus generico (win32/sality) comunes hoy en dia...te infecta varios documentos y esos documentos seguiran infectando a otros. Yo hace poco tenia uno porque no revise bien un pendrive con programitas infectados....pero el Panda Antivirus pudo desinfectar no solo la PC sino que borro los archivos infectados en pendrive ✔ ☝😎

3
 :P no lo se...yo ando buscando un plugin para la puesta de videos en plataforma de Oxwall y que sea gratuito...pero no encuentro 😳

4

no se que es "rats"  :P

5
Hacking General / Re:Que se puede hacer desde un teléfono?
« en: Mayo 20, 2017, 03:48:22 am »
KingoRoot[/url], luego ver si posee wpacli y empezar a auditar tus redes wifi.

Puedes pasarte por Play store y consultar las aplicaciones que te gusten. Tienes infinidad de aplicaciones.

Sin ser root puedes conseguir You are not allowed to view links. Register or Login con You are not allowed to view links. Register or Login

Puedes también utilizar el gps y las apps para tal fin. ¿Que hacías antes con el phone? ... puedes ver televisión onLine, musica, películas ....

Tambien se puede ver porno 😀 desde el celu pero ver mucho porno causa perdida de la capacidad de la memoria y ...otras cosas que no me acuerdo 😕

6
Dudas generales / Re:Presentación, buenas a todos!
« en: Mayo 04, 2017, 06:05:35 pm »

Es una de las cosas mas lindas que hay en la vida  :) el saber programar ., En mi caso soy tecnico en informatica y redes , no estudie para programacion pero se que es un mundo increible una vez que uno sabe resolver los desafios binarios y se logra una meta, podes tener 18 años y se lo disfruta de maravilla, podes tener 35 años e igualmente se lo disfruta, podes tener 50 años y se lo sigue disfrutando....es un mundo en el que la edad no interesa sino los desafios binarios, en el cual siempre manteniendo la cebeza fresca para poder realizar desde un parche de seguridad hasta un programa para la edicion de videos

7
Dudas generales / Propongo....
« en: Abril 26, 2017, 12:18:16 am »
 :)
Haria falta un topic general sobre "conspinanoia" en mi blog ultimamente trato temas de conspiranoia, hasta en la DeepWeb lo que mas atrae a la gente son esta clase de temas que nos revelan el porque ultimamente los presidentes de la actualidad son todos de derecha, aparte del porque de un sinfin de cosas

8
Dudas generales / Re:Falta opciones en el foro
« en: Abril 26, 2017, 12:07:46 am »

Jaja! pues "musica1315" yo tengo un cartucho de dinamita si queres borrarte rapido!

9
Noticias de la red / 19 de abril, fecha de ritos satanicos illuminati?
« en: Abril 16, 2017, 01:30:28 am »
En este video de un usuario youtube al que me suscribí por sus videos muy interesantes habla sobre la fecha del 19 de abril como posible fecha de ritos illuminati., Se me ocurrio sumar 23 mas 4 (4 numero del mes) y da 23 osea un numero ''magico'' en la masoneria...por eso se me ocurrio postear este video, posiblemente algo de razon tenga esta persona
You are not allowed to view links. Register or Login

10
Redes / Enmascarador de IP【"IP HIDER" version 5.8】✔
« en: Abril 15, 2017, 01:24:13 am »
【"IP HIDER" version 5.8.0.1】 ✔


• Hoy en día es muy dificil encontrar un enmascarador de IP que ande bien ya que con el tiempo, les suelen fallar sus servidores de ip, a los programas y en los programas en que si les anda bien...son aquellos que no son gratuitos y que solo funsionan por 3 días y algunos inclusive tienen tiempo de validez de solo 7horas!....andan bien pero caducan rapido, para que uno compre el programa por tarjeta de credito pero la verdad es que no todo el mundo tiene tarjeta de credito y aunque quiera pagarlo no podra., Este programa es valido con todos sus servidores de ip por 3 días PERO seguira funsionando, ya no con todos sus servidores pero si con algunos (quiza cuatro o cinco) suficiente como para un programa gratuito, ademas eso de eleguir una IP de Suezia o de holanda o de italia o estados unidos...es una mentira, yo e comprovado luego de elejir una ip de italia y fui corroborarlo en la web You are not allowed to view links. Register or Login resulta que la ip que tenia era enrealidad de Japon, pero lo bueno es que todas andan y no producen "lag" en la conexion, casi con la misma velosidad te seguira funsionando internet desde Mozilla, desde Chrome y desde 'Internet explorer' ...quiza en browser de Opera tambien tenga efecto

• Para que sirve un programa enmascarador de ip?

→ Para evitar que te hackeen la computadora, inclusive no podran nisiquiera identificar tu computadora si no tienen primero la ip real de tu conexion...evitar hackers solitarios, y los hackers profesionales (aquellos que venden informacion privada usando bitcoins como moneda de pago ó realizan "trueques" con los datos robados), evitaras tambien hackers de organismos de inteligencia ✔
→ Para asegurarte de poder entrar al 100% de las paginas web en internet ya que tu mismo proveedor de internet podria estar filtrando mediante firewall algunos sitios web para evitar que entres, ...mediante un enmascarador de IP como este, podras entrar al 100% de todos los sitios web que existen en internet, saltarás esas vallas que tu proveedor de internet puso ✔
→ Para asegurar tu privasidad y anonimato en la red de internet ✔

• Una vez instalado; podras comprovar tu ip falsa desde You are not allowed to view links. Register or Login

• Enrealidad no es una ip falsa la que suplanta a tu ip verdadera, sinó que es un servicio de ip remota, osea que cuando entres a google.com primero tu conexion ó solucitud pasará por el router de la ip remota y luego recien a la web de google....abrá una interaccion entre tu coneccion, la ip remota y la web de internet....de esta forma se te oculta tu conexion real., De esa forma es tambien como funsiona la red "Tor" (deep web) desde el nabegador de "TorBrowser" solo que funsiona con un modo de seguridad con cifrado de datos, haciendolo más extremadamente anonimo a la nabegacion

~ Descargá el programa You are not allowed to view links. Register or Login ~

Saludos  8)

11
Dudas generales / Re:Problema navegadores web
« en: Abril 15, 2017, 01:16:20 am »

No uses google chrome, usá Mozilla firefox ó el browser de Opera., Google chrome es un colador de virus

12
Troyanos y Crypters / Descubierto nuevo spyware "Carbon"
« en: Marzo 31, 2017, 08:40:32 pm »
Al parecer ya saben como funsiona este virus para realizar espionaje, y a los tipos estos se ve que los tienen un poco junados, si tenemos en cuenta que lo que realizan estos virus es recabar informacion y mandarla a una direccion ip (la del hacker)...si estos hackers no se dan cuenta de que ya los investigadores de virus tienen estudiado el codigo fuente de este spyware y lo siguen usando....terminaran detenidos tarde o temprano

A CONTINUACIÓN; TEXTO EXTRAIDO DE UNA WEBSITE SOBRE INFORMATICA

************************************************
El grupo de espionaje Turla ha estado apuntando a varias instituciones durante muchos años. Recientemente encontramos varias nuevas versiones de Carbon, un backdoor que participa en la segunda instancia del proceso de infección y forma parte de su arsenal.

El año pasado, el GovCERT.ch de Suiza hizo un análisis técnico de este componente como parte de su reporte, detallando el ataque que una firma de defensa propiedad del gobierno suizo, RUAG, había sufrido anteriormente.

En este artículo remarcamos las innovaciones técnicas que encontramos en las últimas versiones de Carbon que descubrimos.

Echando un vistazo a sus diferentes números, está claro que Carbon todavía está siendo desarrollado activamente. A través de las versiones internas embebidas en el código, vemos que las nuevas se lanzan en forma regular. El grupo también es conocido por cambiar sus herramientas una vez que fueron expuestas; hemos visto que entre dos grandes lanzamientos, los mutexes y nombres de archivo están cambiando.


~ Vectores de infección ~

El grupo Turla es muy cuidadoso y trabaja en etapas, primero haciendo un reconocimiento en el sistema de su víctima antes de liberar allí sus herramientas más sofisticadas, como Carbon.

El proceso clásico que involucra a este componente comienza cuando el usuario recibe un correo de phishing dirigido (spear phishing) o visita un sitio web previamente comprometido, generalmente uno que visita regularmente y es factible de levantar menos sospechas; esta técnica se denomina ataque watering hole.

Si el ataque es exitoso, se instala en la máquina un backdoor de primera instancia como Tavdig o Skipper. Cuando termina la fase de reconocimiento, se instala un backdoor de segunda instancia, como Carbon, en los sistemas clave.

~ Análisis técnico ~

Carbon es un backdoor sofisticado usado para robar información sensible de objetivos que resultan de interés para Turla.

Este malware comparte algunas similitudes con Uroburos, un rootkit que usa este mismo grupo. La coincidencia más relevante está en la estructura de comunicación, ya que ambos proveen canales de comunicación entre diferentes componentes del malware. Los objetos se implementan de la misma manera y las estructuras y tablas virtuales lucen idénticas, excepto que hay menos canales de comunicación provistos por Carbon. De hecho, Carbon podría ser una versión limitada de Uroburos, sin componentes de kernel y sin exploits.

En resumen: para que Turla decida instalar Carbon en un sistema, generalmente se envía una herramienta de reconocimiento de “fase 1” al blanco, la cual recolecta información diversa sobre la máquina de la víctima y su red, como es el caso de Tavdig o Skipper, por ejemplo. Si se considera a este objetivo lo suficientemente interesante, recibirá un malware más sofisticado, como Carbon o Uroburos.

Entonces, la estructura de Carbon está compuesta por:

Un dropper que instala sus componentes y su archivo de configuración
Un componente que se comunica con el C&C
Un despachador que maneja las tareas, las despacha a otras computadoras de la red e inyecta en un proceso legítimo al DLL que se comunica con el C&C
Un loader que ejecuta al despachador


~ Archivos de Carbon ~

Los archivos de la estructura de Carbon pueden tener diferentes nombres dependiendo de la versión, pero mantienen el mismo nombre interno (de los metadatos) sin importar la versión:

El dropper: “SERVICE.EXE”
El loader: “SERVICE.DLL” o “KmSvc.DLL”
El despachador: “MSIMGHLP.DLL”
La librería inyectada: “MSXIML.DLL”

Cada uno de estos archivos existen en 32 bits y 64 bits.

~ Directorio de trabajo ~

Carbon crea varios archivos para mantener registros, tareas a ejecutar y configuración que modificará el comportamiento del malware. El contenido de la mayoría de estos archivos se cifra con el algoritmo CAST-128.

Un directorio de trabajo base contendrá los archivos/carpetas relacionados a Carbon; se elige en forma aleatoria entre las carpetas en %ProgramFiles% pero excluyendo “WindowsApps”.

Los nombres de archivo están codificados en el despachador y se usan los mismos en la variante 3.7x; dado que la librería inyectada accede a los mismos archivos que el despachador, es otra forma fácil de enlazar una versión de librería con un despachador.

~ Arquitectura general del virus carbon 3.7

\%carbon_working_folder\%   // carpeta base
├── 0208 // resultados de tareas y registros de archivos
│   ├── C_56743.NLS // contiene la lista de archivos a enviar al servidor de C&C; no está comprimido ni cifrado
├── asmcerts.rs
├── getcerts.rs
├── miniport.dat  // archivo de configuración
├── msximl.dll    // librería inyectada (x32)
├── Nls // contiene tareas (comandos a ser ejecutados o archivo PE) y sus archivos de configuración
│   ├── a67ncodc.ax  // tareas a ser ejecutadas por el despachador
│   ├── b9s3coff.ax  // tareas a ser ejecutadas por la librería inyectada
├── System   // carpeta de plugins
│   ├── bootmisc.sdi // no utilizado
├── qavscr.dat    // registro de errores
├── vndkrmn.dic   // log
└── ximarsh.dll   // librería inyectada (x64)


~ Arquitectura general del virus Carbon 3.8

\carbon_working_folder\%   // carpeta base
├── 0409  // contiene tareas (comandos a ser ejecutados o archivo PE) y sus archivos de configuración
│   ├── cifrado.xml    // tareas a ser ejecutadas por la librería inyectada
│   ├── encodebase.inf // tareas a ser ejecutadas por el despachador
├── 1033 // resultados de tareas y registros de archivos
│   ├── dsntype.gif // contiene la lista de archivos a enviar al servidor de C&C; no está comprimido ni cifrado
├── en-US  // carpeta de plugins
│   ├── asmlang.jpg // no utilizado
├── fsbootfail.dat  // registro de errores
├── mkfieldsec.dll  // librería inyectada (x32)
├── preinsta.jpg    // log
├── wkstrend.xml    // archivo de configuración
├── xmlrts.png
└── zcerterror.png


~ Acceso a archivos ~

En la mayoría de los archivos de la carpeta de trabajo de Carbon, cuando el malware accede a uno, se dan los siguientes pasos:

Se usa un mutex específico para asegurar su acceso exclusivo
Se descifra el archivo (CAST-128)
Cuando las operaciones en el archivo terminaron, se vuelve a cifrar (CAST-128)
Se libera el mutex


~ Mutexes ~

En Carbon 3.7x el despachador crea los siguientes mutexes:

“Global\\MSCTF.Shared.MUTEX.ZRX” (usado para asegurar acceso exclusivo a “vndkrmn.dic”)
“Global\\DBWindowsBase” (usado para asegurar acceso exclusivo a “C_56743.NLS”)
“Global\\IEFrame.LockDefaultBrowser” (usado para asegurar acceso exclusivo a “b9s3coss.ax”)
“Global\\WinSta0_DesktopSessionMut” (usado para asegurar acceso exclusivo a “a67ncodc.ax”)
“Global\{5FA3BC02-920F-D42A-68BC-04F2A75BE158}” (usado para asegurar acceso exclusivo a nuevos archivos creados en la carpeta “Nls”)
“Global\\SENS.LockStarterCacheResource” (usado para asegurar acceso exclusivo a “miniport.dat”)
“Global\\ShimSharedMemoryLock” (usado para asegurar acceso exclusivo a “asmcerts.rs”)

En Carbon 3.8x, los nombres de archivo y de mutex han cambiado:

“Global\\Stack.Trace.Multi.TOS” (usado para asegurar acceso exclusivo a  “preinsta.jpg”)
“Global\\TrackFirleSystemIntegrity” (usado para asegurar acceso exclusivo a “dsntype.gif”)
“Global\\BitswapNormalOps” (usado para asegurar acceso exclusivo a “cifrado.xml”)
“Global\\VB_crypto_library_backend” (usado para asegurar acceso exclusivo a “encodebase.inf”)
“Global\{E41B9AF4-B4E1-063B-7352-4AB6E8F355C7}” (usado para asegurar acceso exclusivo a nuevos archivos creados en la carpeta “0409”)
“Global\\Exchange.Properties.B” (usado para asegurar acceso exclusivo a “wkstrend.xml”)
“Global\\DatabaseTransSecurityLock” (usado para asegurar acceso exclusivo a “xmlrts.png”)

Estos mutexes también se usan en el DLL inyectado para asegurar que el despachador se ha ejecutado.

~ Archivo de configuración ~

El archivo de configuración afecta el comportamiento del malware. Su formato es similar a los “inf” usados en Windows.

Contiene, entre otras cosas:

Un “object_id” que es un uuid único usado para identificar a la víctima; cuando el valor no está fijado en el archivo, el malware lo genera en forma aleatoria
Una lista de procesos en la cual se inyecta código (iproc)
La frecuencia y hora de ejecución de tareas, registros de backup y conexiones al C&C ([TIME])
Las direcciones IP de otras computadoras en la red ([CW_LOCAL])
Las direcciones del servidor de C&C ([CW_INET])
Los atajos con nombre que se usan para comunicarse con la librería inyectada y con los otros componentes ([TRANSPORT])

Puede que este archivo se actualice más adelante.

De hecho, en la librería de comunicaciones, algunas llaves criptográficas se usan para cifrar/descifrar datos y se obtienen de la sección [CRYPTO] en el archivo de configuración, la cual no existe cuando el archivo se ejecuta desde los recursos del loader.


~ Archivo de configuracion del virus Carbon 3.7 ~

[NAME]
object_id=
iproc = iexplore.exe,outlook.exe,msimn.exe,firefox.exe,opera.exe,chrome.exe
ex = #,netscape.exe,mozilla.exe,adobeupdater.exe,chrome.exe


[TIME]
user_winmin = 1800000
user_winmax = 3600000
sys_winmin = 3600000
sys_winmax = 3700000
task_min = 20000
task_max = 30000
checkmin = 60000
checkmax = 70000
logmin =  60000
logmax = 120000
lastconnect=111
timestop=
active_con = 900000
time2task=3600000


[CW_LOCAL]
quantity = 0

[CW_INET]
quantity = 3
address1 = doctorshand.org:80:/wp-content/about/
address2 = You are not allowed to view links. Register or Login:/credit_payment/url/
address3 = You are not allowed to view links. Register or Login:/wp-content/gallery/

[TRANSPORT]
system_pipe = comnap
spstatus = yes
adaptable = no


[DHCP]
server = 135


[LOG]
logperiod = 7200

[WORKDATA]
run_task=
run_task_system=


~ Archivo de registro ~

Se usa para registrar acciones ejecutadas por el malware e información del sistema que puede ser útil para el atacante; por ejemplo, si se está ejecutando una herramienta de análisis como WireShark.

Su formato no ha cambiado desde Carbon 3.71:

Date|Time|Object-Id|Source|Message

[LOG]
start=1
20/02/17|12:48:24|8hTdJtUBB57ieReZAOSgUYacts|s|OPER|New object ID generated '8hTdJtUBB57ieReZAOSgUYacts'|
20/02/17|12:48:24|8hTdJtUBB57ieReZAOSgUYacts|s|ST|3/81|0|
20/02/17|12:48:24|8hTdJtUBB57ieReZAOSgUYacts|s|START OK

Tabla 1: Hashes de las muestras de Carbon

Hash SHA1
7f3a60613a3bdb5f1f8616e6ca469d3b78b1b45b
a08b8371ead1919500a4759c2f46553620d5a9d9
4636dccac5acf1d95a474747bb7bcd9b1a506cc3
cbde204e7641830017bb84b89223131b2126bc46
1ad46547e3dc264f940bf62df455b26e65b0101f
a28164de29e51f154be12d163ce5818fceb69233
7c43f5df784bf50423620d8f1c96e43d8d9a9b28
7ce746bb988cb3b7e64f08174bdb02938555ea53
20393222d4eb1ba72a6536f7e67e139aadfa47fe
1dbfcb9005abb2c83ffa6a3127257a009612798c
2f7e335e092e04f3f4734b60c5345003d10aa15d
311f399c299741e80db8bec65bbf4b56109eedaf
fbc43636e3c9378162f3b9712cb6d87bd48ddbd3
554f59c1578f4ee77dbba6a23507401359a59f23
2227fd6fc9d669a9b66c59593533750477669557
87d718f2d6e46c53490c6a22de399c13f05336f0
1b233af41106d7915f6fa6fd1448b7f070b47eb3
851e538357598ed96f0123b47694e25c2d52552b
744b43d8c0fe8b217acf0494ad992df6d5191ed9
bcf52240cc7940185ce424224d39564257610340
777e2695ae408e1578a16991373144333732c3f6
56b5627debb93790fdbcc9ecbffc3260adeafbab
678d486e21b001deb58353ca0255e3e5678f9614

Tabla 2: Dirección del servidor de C&C

Dirección del servidor de C&C
soheylistore.ir:80:/modules/mod_feed/feed.php
tazohor.com:80:/wp-includes/feed-rss-comments.php
jucheafrica.com:80:/wp-includes/class-wp-edit.php
61paris.fr:80:/wp-includes/ms-set.php
doctorshand.org:80:/wp-content/about/
You are not allowed to view links. Register or Login:/credit_payment/url/

.....Al parecer los datos robados de la maquinas infectadas van a la base de datos de las paginas; soheylistore.ir - tazohor.com - jucheafrica.com - 61paris.fr - doctorshand.org - You are not allowed to view links. Register or Login paginas con un contenido pobre de informacion pero al parecer las utilizan para otras cosas...


************************************************


13
Dudas generales / que pasó con portalhacker.com ¿?
« en: Marzo 31, 2017, 08:05:09 pm »
que pasa con la web portalhacker.com ¿? es de ustedes y se la hackearon? o solo esta mal configurada  :o yo lo que haria le pondria un codigo de redireccionamiento para que al entrar desde dominio .com se vaya automaticamente a esta web en dominio .net

codigo de redireccion simple y eficiente en todos los nabegadores de windows, mac, linux, desde celulares y demas;
Citar
<script type="text/javascript">
window.location="You are not allowed to view links. Register or Login";</script>
  8)

14
Hacking General / Re:Rompiendo acceso SSH con fuerza bruta
« en: Marzo 31, 2017, 06:56:09 pm »
Yo el otro dia me instalé el linux Kali y se pudo instalar sin problemas, en el proseso de instalacion puse un usuario y luego la contraseña...todo bien hasta que se termina de instalar se reinicia y cuando me pide el usuario y contraseña se lo pongo pero al cargarse el sistema operativo una vez aseptada la contraseña, se pierde la señal de video, el monitor queda como con fuera de rango de video, la pantalla en negro y titilando la lucesita verde del monitor.....a esto yo le adjudico que el problema debe ser porque tengo un monitor viejito que el maximo de resolucion de imagen es de 1024x768, y si el sistema operativo intenta cargarse con mayor resolucion que eso se pierde la señal de video  :-[ ...creo que la unica manera de arreglar esto es comprando un monitor un poco mas nuevo....que opinan? el sistema kali linux se inicia con una resolucion mas alta que la de 1024x768?  :P

15
Post data; puedo ser moderador?  8)

Páginas: [1] 2