Me han concedido el premio Liebster award. Lo vi por primera vez el premio en el blog de mi amigo Kino. Y de golpe me ha llegado por partida doble.

Las dos personas que se han acordado de mi han sido:  Julián (Seguridad Para todos) y

Roberto (1GbdeInfo). Muchas gracias a los dos. Da gusto que os pongáis de acuerdo para quererme!

¿Qué bases tiene?
Nombrar y agradecer el premio a la persona/blog que te lo concedió.
Responder a las 11 preguntas que te formule.
Conceder el premio a blogs que te gusten y que estén empezando, siempre y cuando sea posible (ejemplos menos de 100-200 seguidores)
Formular 11 preguntas para que respondan los bloggers a los que premias.
Visitar los blogs que han sido premiados junto con el tuyo.
Informar a los bloggers de su premio.

Las preguntas han sido las siguientes:

1.- ¿Por qué decidiste crear un blog?

Quería compartir herramientas, y análisis que en mi tiempo libre iba realizando. Buscaba una ventana al mundo, que se alejase un poquito del camino de los foros. En la que poder subir todo lo que me parecía en mayor o menor medida relevante.

2.- ¿Cuándo empezaste con esto de la Seguridad?

Mis primeros pasos en “seguridad”, fueron con poco más de 10 años. Tenía en casa 2 ordenadores conectados (lan). Mi obsesión era conectarme desde uno de los equipos al otro. Las herramientas que tenía en ese momento, eran netmeeting (con el que me pasaba horas). Luego gracias a las revistas en las que me dejaba la “paga”. Empezaron a facilitarme “RATS”. Más adelante el único sitio que tenía internet era la “ciberteka” del barrio. A nadie le llamaba la atención eso de Internet. Por lo que tenía tiempo ilimitado para conectarme. Recuerdo llevarme en disquetes (4 o 5), herramientas de ¡isla tortuga!

3.- ¿Qué te aporta tener un blog?

Sobre todo empezar a conocer a gente que han terminado siendo más que amigos. Casi como hermanos, sólo nos falta empezar a pelear para que sea oficial.

No es sólo tener un blog, es todo lo que rodea. Y cuando encuentras a alguien que le ha sido de utilidad una de las publicaciones. Eso mola mucho.
4.- ¿A quién te diriges con tu blog?

Todo el mundo tiene invitación pero creo que el perfil al que le puede llegar a interesar, es medio-alto. Intento que los artículos tengan una base técnica.

5.- ¿Cuál ha sido el post de tu blog que más éxito ha tenido? ¿A qué lo atribuyes?

Son todos los que he ido haciendo sobre Whasapp, es fácil saber que está de actualidad, todo el mundo lo utiliza, e interesa conocer los fallos de seguridad y como se pueden explotar.

6.- ¿Has vivido algún hecho importante a través del blog?

La trayectoria comenzó en blogspot, escribiendo de vez en vez. Y me dieron la oportunidad de escribir en una comunidad increíble, como es ITPro. Gracias a Daniel Alonso, que fue el que me invitó a formar parte, y para mi es todo un orgullo.

7.- ¿Has pensado alguna vez en abandonar el blog?

¡Nunca se me ha pasado por la cabeza! Puedo escribir más, o puedo escribir menos. Depende del tiempo libre que disponga, y del resultado de las investigaciones que voy realizando. Pero en ningún caso tengo intención de abandonar el blog. Me vais a sufrir mucho más!

8.-  Casi todos los que tenemos un blog, escribimos sobre lo que realmente nos gusta o motiva, ¿Cómo le explicarías a alguien la importancia de la vocación por algo, de perseguir los sueños…?

Uno nace con una curiosidad infinita. Mis padres han pagado todos los daños ocasionados por mi curiosidad, he roto televisiones, ordenadores, mandos a distancia, pdas, videoconsolas… Sólo por saber que tenían dentro, como funcionaban, y si podía y era capaz de cambiar su funcionamiento o inclusive mejorarlo. Fallando bastantes veces

Así empezó mi curiosidad por la informática, y concretamente la seguridad, poder demontar todo lo que tenia en las manos, trastear un poco y comprender el funcionamiento. Saber que es lo que está funcionando “por debajo”.
9.- ¿Qué has aprendido a nivel personal o profesional en el último año?
No podría cuantificar, lo cierto es que este último año ha sido genial. No es todo lo que he ido aprendiendo. Es todo lo que me queda!! Me tomo los retos con mucho gusto. Seguir esforzándome y mejorando.

10.- ¿Qué aficiones tienes en tu vida offline?

La última vez que quise responder esta pregunta, aparecieron las risas. Pero mi gran afición son los perros. Me encantan y colaboro en todo lo que pueda con ellos. Y sí, continuo con el adiestramiento.

Otra afición es la escalada deportiva. ¡Ya vuelve el verano, y tengo ganas de retomarla! Lejos de lo que podría esperarse de alguien que hace escalada, tengo muchísimo vértigo. Me ha permitido superarme y ver esas veces que crees que no vas a poder, que con esfuerzo las vías salen.

11.- ¿Qué consejo darías a las personas sobre el mundo de los blogs?

Pues que se animen. Que simplemente escriban lo que crean que pueden aportar. Y no hay que echarse atrás, si estás reinventando la rueda. Es ponerse e ir plasmando ideas, y proyectos. El esfuerzo se termina recompensado con creces.

————————————————————————————-

¿Y a quien me gustaría ver respondiendo preguntas interesantes?

- Germán Sánchez (Enelpc)

- Longinos Recuero (Los mundos de l0ngin0x)

1.- ¿Por qué decidiste crear un blog?
2.- ¿Cuándo empezaste con esto de la Seguridad?
3.- ¿Qué te aporta tener un blog?
4.- ¿A quién te diriges con tu blog?
5.- ¿Cuál ha sido el post que más éxito ha tenido? ¿A qué lo atribuyes?
6.- ¿Has vivido algún hecho importante a través del blog?
7.- ¿Qué cambiarías en esto de la seguridad?
8.- ¿De dónde te nace la inspiración para escribir y continuar con el blog?
9.- ¿Qué has aprendido a nivel personal o profesional en el último año?
10.- ¿Qué aficiones tienes en tu vida offline?
11.- ¿Qué consejo darías a las personas sobre el mundo de los blogs?

De nuevo muchas gracias muchachos por pasarme la pelota

Tras unas pocas pruebas, verificado que sí, que era verdad. Y ya una vez abajo de mi rueda giratoria. (Cuando me pongo muy contento me gusta meterme en una rueda gigante de hamster…). Intenté descargarme el pdf con el diploma.

Resulto que el premiado, no era exactamente yo. Y es que tengo la fea costumbre de escribir:
Nombre: Winsock
Apellido: Winsock
Ciudad: En construcción
etc

Por lo que ante todos vosotros, tengo el orgullo de presentar el diploma entregado a mi otro yo.

Al final, el equipo de TechNet, me lo solventaron en un momento, y aproveche a dejar los datos bien… A pesar de tanta broma, y absurdo. Dar las gracias a aquella/aquellas personas, que pensaron podía merecerlo. Me hizo muchísima ilusión. Muchísimas felicidades al resto de compañeros que han recibido el premio.

Adrián Pulido
(Este post no le firma WiNSoCk)

La idea principal, era probar si podía utilizar de forma permanente Sandboxie, sin sufrir demasiadas consecuencias, a día de hoy, tras algo más de 3 meses de uso, mi experiencia es la siguiente.

No hay ningún problema serio con la utilización, ni he notado perdidas de rendimiento. Al ser un equipo de uso diario, he de reconocer que no ha sido expuesto contra infeciones, es decir, no he comprobado su utilidad frente a un posible ataque. Al menos de forma consciente.

La capa de seguridad que ofrece, es todo lo que sea ejecutado, por ejemplo si un existiera un fallo en el navegador, y este levantase la calculadora, ocurriría también en un entorno aislado, sin verse afectado el sistema (pero, sí comprometido), es importante diferenciar esto último.

Al producirse un ataque (no todo es ejecutar calculadoras), se tendría acceso normal al equipo, y los datos que este dispone, es decir: “Fotos disfrazado de mujer, o de oso panda”, e incluso podría hacer una captura de pantalla, mostrando al mundo que en la carpeta de películas favoritas está: “Sonrisas y lágrimas”.  Con lo que se terminaría nuestra fama de duros.

Por otra parte, sí que nos estaría protegiendo de posibles modificaciones en el sistema, ya sea instalación de malware, cambios en ficheros, etc. Ya que el fichero real, no llegaría a ser modificado en ningún momento. Esto al final, es una gran ventaja a la hora de limpiar un sistema.

Las descargas de ficheros tampoco conlleva ninguna dificultad, nos saldrá una pantalla cuestionando si deseas guardar en la misma ubicación (pero del entorno real). Ya tendríamos que determinar si hemos solicitado esa descarga, o como dice un amigo tenemos que “lo hizo un mago”.

Una de las pocas desventajas que he encontrado, es que si decides borrar la sandbox, para empezar con un navegador “virgen”, perderás el historial de navegación, algo que se puede remediar haciendo una copia. Otra que quizá es algo más molesta, es el aviso que tiene sandboxie, para saber en todo momento que te encuentras en un entorno aislado, es haciendo un reborde amarillo en la aplicación, esto es, ligeramente molesto.

Al utilizar Windows 7, es muy sencillo evitar equivocarse al encender de nuevo el equipo, y no ejecutarlo bajo sandboxie, ya que una vez lo tenemos abierto por primera vez, simplemente tenemos que “anclar la ventana“, así siempre será bajo la supervisión de la sandbox.

¿Y tú? ¿Qué medidas utilizas? ¿Te animas y haces la prueba?

WiNSoCk

Las troyanos que utilizaba eran “Netbus”, y el que más me gustaba “Sub7”. Este último, tenía 1000 opciones para poder divertirte. Dar la vuelta al escritrio, invertir el movimiento del ratón, invertir las teclas del ratón, abrir y cerrar el lector de cd, etc…

Ahora han mejorado muchísimo, y tienen otras funciones, ya no es tanto divertirte y hacer “bromas”, si no un fin bastante mas perverso, como robar documentación, extorsionar y otras maldades que se le van ocurriendo a la gente. No entraré en detalles, si quieres ser un delincuente, puedes bajar el libro: “Como ser un delincuente  y disfrutar de las ventajas de al cárcel V2.0”. Autor: MalaMadre

El caso, es que venía escuchando esta mañana, la entrevista que le hacían a el capitán  César Lorenzana, y comentaba la anécdota (por lo visto también lo hizo en la NCN). En la cual, al parecer para poder detener a un extorsionador, detectaron el malware que estaba utilizando, y lo exportaron a un equipo de la Guardia Civil. Supongo que serán equipos destinados a la recolección de evidencias, lo gracioso del asunto es que de fondo de pantalla, tenían el logotipo de la unidad.

Uno puede imaginar, y espero que nadie lo compruebe nunca, como tiene que ser ir a verificar que los equipos infectados continúan bajo tu control de super héroe, y de pronto, te encuentras que la plataforma que había ha cambiado “ligeramente”, que estás en un equipo de la guardia civil, y que no queda mucho tiempo antes de que se pasen por tu casa a llevarte la factura por dedicarte a cosas que no deberías.

Si quieres descargar la entrevista puedes hacerlo desde aquí. (Merece mucho la pena).

Aparte de esta anécdota “chascarrillo”, hablan de muchos otros temas muy interesantes, como colaboraciones con grupos internacionales, hablan de estafas que se están produciendo actualmente, entre otras cosas. Lo cierto es que al final, muestra que son unidades cercanas al día a día de todos los ciudadanos y profesionales, y que están de nuestro lado.

WiNSoCk

¡Descargar el paquete de Sysinternals!

En general, mi deseo es no tener que llegar a utilizarle, y que los ordenadores funcionen con normalidad, pero… cuando se transforman en Hordenadores, que da miedo mirarles, lo primero que utilizaré será este paquete. Por eso poco a poco me gustaría ir desglosando algunas de las que más utilizo, y hoy le toca turno a AutoRuns.

Antes de entrar en detalles, estas herramientas son totalmente gratuitas, ayudan a tener un entorno controlado, correctamente gestionado, y como todo tiene un pero, su utilización a pesar de ser relativamente sencilla, tienen un perfil destinado a usuarios avanzados. Ya que podemos dejar el sistema bonito, perfecto, y con el ambientador de pino, o podremos hacer que no sea capaz de arrancar. ¡Así que cuidado!

El funcionamiento es revisar los lugares del registro en los que se podría alojar tanto software malicioso (los que ya conocemos, virus, trojanos, gusanos, la batamanta…), y aplicaciones legítimas (esas que vienen siempre comprimidas con un serial.txt, y un parche.exe, que al arrancar tiene los mejores éxitos de la música electrónica de los 70) .

Inicio de sistema antes de utilizar Autoruns

Una vez ejecutado “Autoruns.exe“, todas las aplicaciones que muestra, son las que se ejecutan de forma automática al iniciar el sistema. Será necesario tener un ojo entrenado, para determinar que aplicaciones deberían poder iniciar y aquellas que, bien preferimos sean ejecutadas a mano, o directamente hemos detectado como un posible malware. En caso de tener alguna duda sobre una aplicación, suelo posicionar el ratón sobre el nombre y utilizar la función “Jump to…”, se abrirá la carpeta en la que está alojado, y podremos utilizar la ruta para analizar con VirusTotal, hacer búsquedas en Internet del nombre del proceso, etc…

Otra de las configuraciones que suelo realizar es desde la ventana “Options” -> “Hide Windows Entries”, debido a que en un primer momento, voy a confiar en todo aquello que el proveedor sea Microsoft. Puede ser recomendable una vez limpio con esta opción habilitada, la de volver a ejecutar el programa, sin dicha opción.

Una garantía de que un proceso es quien dice ser, a pesar de hacer que la ejecución del programa sea levemente más lenta, es marcar la opción: “Verify Code Signatures”. De esta manera, serán comprobadas las firmas, y tendremos seguridad  de que la aplicación es quien dice ser. ¡Habrá que tener en cuenta, los falsos negativos!

La forma de permitir o denegar las aplicaciones, es con el check que se encuentra a la izquierda del todo, una vez desmarcado, estamos impidiendo la ejecución automática. Esto no impide que se pueda ejecutar en el sistema, ni que al reiniciar el equipo no vuelva a aparecer, para una correcta limpieza, implica revisarlo varias veces, si fuese un dentista, recomendaría si hay dudas, ejecutar la aplicación 3 veces al día.

***<TEXTO INVISIBLE>***
Este punto, lo negaré en todo momento, jamás lo he escrito, y no quedará constancia en ninguno de los buscadores, si alguien recuerda verlo en este blog, será una ilusión. Una posible recomendación, poco sana para el ordenador, es… una vez desmarcados los programas (y sólo en caso de infección), apagar el equipo con el mal llamado botonazo. Mejor inclusive utilizar el botón de reinicio.
Esta recomendación es cosa de cada uno, y si se puede evitar mucho mejor. La explicación reside, ya que en ocasiones me he encontrado con aplicaciones de los malos que detectan el apagado del equipo, y es en ese momento en el que se vuelven a asegurar el inicio automático en el sistema infectado.
***</TEXTO INVISIBLE>***

El manual de buenas prácticas, indica que tras un periodo prudencial, estabilizado el equipo y bajo nuestro control, se debería a eliminar completamente las entradas desmarcadas, salvo que por alguna razón pensemos que podríamos necesitar volver a habilitarlas en algún momento, si esto no es así, botón derecho sobre la entrada, y “delete”.

Para finalizar a modo indicativo, la aplicación nos dejará salvar la configuración y en caso de necesidad, realizar una comparativa del estado actual del sistema, frente a la versión anterior. Las líneas que aparecen en verde clarito reseñadas, son las que se encuentran invertidas. (Si está habilitado, antes estaba deshabilitado, y viceversa).

Una aplicación genial, que me ha salvado en más de una ocasión, y nos simplifica el trabajo de buscar manualmente aquellos programas que tratan de iniciar solos. Por otra parte, tenemos garantía, debido a que el proveedor de la herramienta es Microsoft.

WiNSoCk

 Enlaces de interés:
Documentación Sysinternals
Documentación Autoruns
Otra guia muy interesante de leer
Video [En ingles] Utilización de Autoruns 

En ocasiones hablo de reversing, packers, cracking en general, y doy por sabidos algunos conceptos que no todo el mundo conoce. Algunas herramientas, y para ello antes explicaré –a mi modo-, algunos aspectos previos.

La pregunta del título, dice ¿Qué es un packer?
Una herramienta, exactamente un programa, que permite entre otras cosas:

-Añadir, quitar, y/o modificar un código.
-Esconder o camuflar las partes del mismo.
-Comprimir o aumentar el tamaño del original
-Incluir gestión de licencias.
-Incluir liberáis y dependencias. Como un joiner.
-Y suele comportarse siempre de la misma manera*

¿Para qué utilizar un packer?
La utilidad principal es esconder el código. Un packer, tratará con mayor o menor éxito, camuflar el código de un programa, haciendo que la tarea de analizar, y comprender los procesos internos sea un posible fracaso.

¿Qué utilidad se le suele dar?
Los programadores, lo utilizan para evitar que los famosos y llamativos “Keygen”, “cracks”, etc. Sean fácilmente obtenibles, y a poder ser te rasques un poquito el bolsillo y compres la aplicación. –lo cual aprovecho para recomendarte encarecidamente, si te gusta. Paga por ello, si no quieres pagar busca otra aplicación-

En otras ocasiones lo utilizan para disminuir el tamaño del programa que han creado, o quizá para anexar las librerías que utilizan, de esta forma, similar a lo que ocurriría con un archivo comprimido, en un mismo ejecutable, transmiten todo lo necesario para hacerle funcionar.

Lo que era bueno para los programadores, se les ocurrió a los creadores de virus, realmente malware en general, que también podría ser bueno para ellos, por este motivo, cada vez más, puedes encontrar –en el siguiente post, explicaré como-, mucho malware que utiliza packers para esconderse.

¿Hay tipos de packer?
No lo llamaría tipos de packer, ya que en esencia, serán siempre “iguales”, tendrán mejores o peores sentencias de ofuscación, códigos destinados a comprimir el original, o técnicas anti-reversing. Pero esto son opciones que pueden llegar a tener, o no.

¿Una vez aplicado un packer, este se puede retirar?
Sí, una vez hemos localizado el packer que ha sido empleado –si hemos tenido suerte-, podemos buscar información sobre el mismo, o quizá existe un “unpacker”, público, que nos pueda facilitar la tarea. En caso contrario… Nos tocaría estudiar el código, y tratar de quitar a mano la protección. Algo que suele ser divertido y didáctico.

Más información:
Que es un packer (Muy completo)
Malware y packers (ESET)
¿Deben ser detectados los packers?

Haciendo limpieza de los correos, determinando cosas que podía borrar, otras que quería guardar. Encontré uno, cuyo remitente era para mi desconocido, tenía el título: “Respecto a la web. Detalles de flash”. Y el adjunto: “Porfolio.rar”. Recibido ni más ni menos que en ¡2005! -¡Por el culo te la hinco!

No voy a presumir aquí de tío inteligente, ya que una vez descomprimido, quedaba el siguiente: “Porfolio.exe”. Alguien con conocimientos de seguridad informática, estudios, y muy atractivo cuando recibe algo por el estilo, lo pasa por virustotal, y en caso de duda, directamente al sandbox. Que para algo está, ¿no?

El entorno dispuesto, sandboxie actualizado, máquinas virtuales para estos menesteres, sin conexión a la red o con tráfico filtrado. En esas estábamos … Pues yo hice dobleclick, en el equipo que utilizo normalmente. Y claro el proceso de infección de un virus de 2005, dio comienzo. La cara de imbécil que se le queda a uno, no os podéis hacer una idea.

Tocaba hacer limpieza del equipo,  copiar el fichero a la máquina de análisis, y empezar un proceso de reversing, tenía que saber qué era, y que hacía. (Aquí comenzaron los sudores frios, golpes contra la pared, y creí oportuno colgarme el cartel “No debo ejecutar lo que no conozco”, en el cuello.)

Con tan hermoso cartel, diseñado en bonitos y llamativos colores, procedí con el análisis.

Peid nos indica:

Está comprimido con UPX, hay suerte ya que es una protección relativamente simple de saltar, y así poder ver lo siguiente:

Si reviso las strings del programa (cadenas de texto que contiene), se puede ver, con cierta seguridad que se trata de un keylogger, o capturador de teclas. ¡Alguien allá en 2005 quería mis contraseñas!

Un poco más abajo, existe otra cadena, que permite la identificación del programa, hay suerte ya que se utiliza uno público, y puedo determinar el nombre “IKLogger“. Para poder bajar una copia –si la encuentro-, y seguir intimando con nuestro desafortunado invitado.

No tiene demasiadas opciones, y quitarlo con autoruns de sysinternals, hace todo el trabajo, si bien en Windows 7, no ha sido capaz de llegar a utilizar los sistemas de persistencia. (Por otra parte, menos mal!). Sólo quedaba quitarme la espina de saber a que persona había enfadado tanto, allá por 2005.
 Traceando el código,  localizo una zona en la que carga los datos, del ftp, usuario y contraseña en los que guardará la información. Realmente guarda en un recurso del ejecutable toda la información relativa al mismo, eso sí. Con un sistema de “cifrado”.

Aquí he dejado de seguir analizando, para intentar conectarme al ftp. Siendo un poco iluso, tenía esperanza de que siguiera activo… Pero los años pasan para todos, y ya no existía  Así que me he quedado con las ganas… ¿Quizá para la siguiente infección?

WiNSoCk

Debo aclarar que por motivos de seguridad tengo una llave que limita el acceso al “despacho”, en el que trabajo. Es lógico, que exista seguridad física, para impedir el acceso al material, y a personas no autorizadas. El problema de la seguridad física, es el requisito de cumplir, y cerrar al salir.

No es la primera vez que ayudo a mis compañeros, a recordar los motivos por los que uno debe bloquear el equipo cuando uno se ausenta. Todos sabéis que imagen se encuentran al regresar y llevan meses intentado su ansiada vengaza, ¡vendetta!, pero… suele estar la puerta cerrada, y si por cualquier motivo está abierta… estoy a pocos metros.

Al llegar a mi puesto de trabajo, con la puerta -¡gracias compañero!- correctamente cerrada. Me encuentro una bonita caja de cartón puesta en mi silla de trabajo, en la que han pegado una foto de una cara, y el texto: “Caja trabajando. No molestar”

Una caja de cartón trabajado duro

Detalle del celo

No me gusta dejar que mis venganzas se queden frías  por lo que tenía la necesidad de probar si él había cerrado -muhahaah-, no sea que piensen que soy un tío deportivo que acepta las derrotas sin más. Y… ¡Tuve suerte! antes de regresar con toda la gente y disfrutar de la coca-cola (spam). Pude terminar de adornar la silla de mi compañero, no se aprecia en la imagen, pero en el pos-it, está escrito: “La silla de Juego de tronos”

Silla juego de tronos

Ya sabes, siempre, siempre, siempre respeta las medidas de seguridad. ¡Que nunca sabes cual podría ser el peligro al que te enfrentes! Y sí, esto es una cosa nimia, simpática, sin una repercusión más allá. Pero no todo el mundo piensa en gastar simples bromas. Lección aprendida.

WiNSoCk

Como tenía algo de tiempo, quise hacer una herramienta en python que sí estuviera funcionando en Windows XP –ergo allí dónde tengas python y scapy-, aprovechando que podía hacerla a mi gusto, he preferido no limitar los ataques que puede realizar.

Una conexión TCP ya establecida nos facilitaría los siguientes datos:
Dirección ip local < – > Puerto local < – > Dirección ip remota <-> Puerto remoto

El problema es que no siempre podemos estar obteniendo manualmente esos datos, y mucho peor, podríamos querer bloquear las conexiones sólo de Telnet, con cualquier destino. Es inviable que conozcamos todos los destinos. Pero sí que podemos conocer el puerto -si no sabes que es el 23 ¡Tienes que ponerte a estudiar! (por si acaso no le preguntes a madrikeka!!! jijiji)-

¿Cómo utilizar la herramienta?

TcpGun.py “Filtro local” “Filtro Remoto” (Sólo es obligatorio 1 de ellos, permite usar ambos)

¿Por qué 2 filtros?
La idea es diferenciar los paquetes que van desde el equipo local, y los paquetes que vienen desde el equipo remoto. Hacerlo de esta manera permite mayor velocidad. Debido a que cada filtro será ejecutado en un hilo independiente.

¿Y si sólo quiero utilizar un filtro?
Ya sea en origen o en destino, simplemente hay que poner: 0.

TcpGun.py “filtro 1” 0
TcpGun.py 0 “filtro2”

 ¿Algún ejemplo de uso?
-Impedir todas las conexiones a Telnet
TcpGun.py “tcp dst port 23” 0
*El Segundo filtro está vacio, debido a que la conexión es desde nuestro equipo local hacía el puerto 23 remoto. –de todos modos, funcionaria en ambos sitios”

-Impedir las conexiones Telnet contra el router
TcpGun.py “tcp dst port 23 and ip dst 192.168.1.1” 0
*En el Segundo filtro, se podría poner los paquetes de vuelta con el filtro: “tcp src port 23 and ip src 192.168.1.1”

-Impedir TODOS los puertos del router
TcpGun.py “ip dst 192.168.1.1” “ip src 192.168.1.1”
*Esto podría funcionar con solo uno de los filtros.

 ¿Algunos comandos?
Ip dst <dirección ip>
Ip src <dirección ip>
Ip <dirección ip>

tcp dst port <puerto>
tcp src port <puerto>
tcp <port>

Descargar TcpGun 1.0

Nota: Aplicación realizada en Python. Requiere Scapy, para poder operar en el manejo de los paquetes.

Quería hacer la prueba con nuestra querida calculadora de Windows –sin ella, aún estaría utilizando los dedos para sumar- la imagen sin modificar de una calculadora en Windows XP SP3.

SHA256: 006b769fc847fe73cd2c0235c6f38e25418c5129ceb8f35af51cb191da676e82

Para poder verificar si cambiaba en algo, he decidido utilizar UPX, conocido compresor de ejecutables, posteriormente he modificado el entry point, metiendo al comienzo una serie de NOPS, unos 20 o 30 aproximadamente, y finalmente un RET, para finalizar la ejecución del programa. Aquí la comparativa de las 2 imágenes.

Firma Calculadora con UPX:
SHA256: a34892f438b8d8f2bcc01b9b23d809c27b13ba30483950a79c346722f909e7ae
Firma Calculaodra con UPX, levemente modificada.
SHA256: 0cb14f7d2fed102f5a094ec30fcce05d6918d8801a7a3f76fa160aa0e50cbe6f

A pesar de que así expuestas, parecen iguales, si las abrimos y vamos intercambiando entre ellas, se puede apreciar de una visual, que existen cambios en los 2 ficheros, este tipo de utilidades son perfectas para analizar 2 muestras aparentemente iguales, y verificar de una manera rápida, si efectivamente existe algún cambio. Por ejemplo en códigos que ha cambiado la firma, podremos saber si hay algún cambio o no de un simple vistazo. Y en otras ocasiones, podremos apreciar un cambio radical, tal y como ocurre de la calculadora original, a la comprimida con UPX.

Allaple Worm Variants

Basun Worm Variants

Para hacer tus propias capturas: http://sarvam.ece.ucsb.edu/