Unconfigured Ad Widget

Collapse

Anúncio

Collapse
No announcement yet.

Análise de Malware #1 - Guia do Hacker - Nickguitar.dll

Collapse
X
 
  • Filter
  • Tempo
  • Show
Clear All
new posts

  • Font Size
    #1

    Video Aulas Análise de Malware #1 - Guia do Hacker - Nickguitar.dll

    [ame]http://www.youtube.com/watch?v=ZADUkNZWyYg[/ame]

    Neste vídeo eu mostrei a análise de um malware postado aqui no fórum Guia do Hacker.

    Java Decompiler : Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
    .

    - PHP & VB C0d3r.

    Nickguitar.dll@hotmail.com

    http://www.youtube.com/user/superskate56 <~ Hacking tuts =)

    Quando aprendemos a ouvir, também aprendemos a falar..
    Quando aprendemos a ler, também aprendemos a escrever.
    Então, quando aprendemos a usar um computador, por que não aprender a programa-lo ?


    I'm C0ding for $$$

    #~: Just $this :~#

  • Font Size
    #2
    Cara, já te falei que sou teu fã? kkk
    É nois mano. Parabéns

    Comment


    • Font Size
      #3
      obrigado nick

      aii mano vir seu vídeos e são muito bom eu sou nível médio de hacker mais eu não gosto de mim aparecer e mim gaba do quer eu faço SO vc fica do meu lado ai eu mostra software ou Skype kk eu fiz ataque DDoS na LAN e ping ficou 10.000


      meus estudos em php HTML e c+++
      e defecer

      hacker servidor e provedor hacker site gov e hacker e acha admin de site gov e etc meu skype worldhacker.manaus

      ser hacker não e ser ladrão e

      ser hacker e ter estudo para ser ético vem de vc

      Comment


      • Font Size
        #4
        Postado Originalmente por jadai172 Ver Post
        aii mano vir seu vídeos e são muito bom eu sou nível médio de hacker mais eu não gosto de mim aparecer e mim gaba do quer eu faço SO vc fica do meu lado ai eu mostra software ou Skype kk eu fiz ataque DDoS na LAN e ping ficou 10.000


        meus estudos em php HTML e c+++
        e defecer

        hacker servidor e provedor hacker site gov e hacker e acha admin de site gov e etc meu skype worldhacker.manaus

        ser hacker não e ser ladrão e

        ser hacker e ter estudo para ser ético vem de vc
        Aham, entendi.
        .

        - PHP & VB C0d3r.

        Nickguitar.dll@hotmail.com

        http://www.youtube.com/user/superskate56 <~ Hacking tuts =)

        Quando aprendemos a ouvir, também aprendemos a falar..
        Quando aprendemos a ler, também aprendemos a escrever.
        Então, quando aprendemos a usar um computador, por que não aprender a programa-lo ?


        I'm C0ding for $$$

        #~: Just $this :~#

        Comment


        • Font Size
          #5
          kkkkk, Comedia no Guia do Hacker, kk
          O diabo sabe, não porque é sábio. O diabo sabe porque é velho.

          Skype: sophos.loko

          Não preciso de convite, já faço parte da elite

          Comment


          • Font Size
            #6
            Postado Originalmente por jadai172 Ver Post
            aii mano vir seu vídeos e são muito bom eu sou nível médio de hacker mais eu não gosto de mim aparecer e mim gaba do quer eu faço SO vc fica do meu lado ai eu mostra software ou Skype kk eu fiz ataque DDoS na LAN e ping ficou 10.000


            meus estudos em php HTML e c+++
            e defecer

            hacker servidor e provedor hacker site gov e hacker e acha admin de site gov e etc meu skype worldhacker.manaus

            ser hacker não e ser ladrão e

            ser hacker e ter estudo para ser ético vem de vc
            e isso e só porque ele não gosta de aparecer kkkk
            Last edited by android; 28-07-2015, 10:07.


            FanBar

            Comment


            • Font Size
              #7
              hu3huh3uh3u3uh cara, nao pode ser ladrão... kkkkkkkkkkkk
              sigpic
              Skype: lwks.owner | Email: lwks@programmer.net | Youtube
              "Todo silêncio tem um nome, tem um motivo!"
              (Lwks#)

              Comment


              • Font Size
                #8
                .

                Postado Originalmente por jadai172 Ver Post
                aii mano vir seu vídeos e são muito bom eu sou nível médio de hacker mais eu não gosto de mim aparecer e mim gaba do quer eu faço SO vc fica do meu lado ai eu mostra software ou Skype kk eu fiz ataque DDoS na LAN e ping ficou 10.000


                meus estudos em php HTML e c+++
                e defecer

                hacker servidor e provedor hacker site gov e hacker e acha admin de site gov e etc meu skype worldhacker.manaus

                ser hacker não e ser ladrão e

                ser hacker e ter estudo para ser ético vem de vc


                kkkkkkkkkkkkk

                Cara faz DDoS na Lan House e o ping ficou 10.000 e sabe achar admin de site gov, como ele não tem tag de Elite Hacker ou Gerente aqui no fórum? kkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkk

                É cada um..

                Comment


                • Font Size
                  #9
                  Ri D+ asdhiashdiashidusahdasdasda

                  Comment


                  • Font Size
                    #10
                    Sou péssimo pra buscar informações, mas eis aqui as mais importantes:
                    Twitter: Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
                    Orkut (desativado): Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
                    Facebook: Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
                    Tem mais um monte de informações dele na internet: canais do youtube, conta em fórums de tibia, um outro twitter etc.
                    Facebook da irmã: Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
                    RG da irmã: 1308319649
                    Facebook da mãe: Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
                    Facebook do pai: Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
                    Praticamente todos os sites que eles usam tiram as informações de exif da foto (como o local).Tentei algumas outras e nada.
                    No facebook deles não tem locais visitados relevantes (só no do pai tem, como o local da empresa) mas dá pra ter informações mais exatas em cima disso ai, vai depender de quanto tempo quer gastar.

                    No video você poderia ter feito um reconhecimento das redes que ele usou, talvez desse pra fazer uma triangulação vaga.E pro pessoal que não sabe, não adianta pingar um IP residencial desses que a maioria dos routers e redes não respondem ao icmp echo (que é o protocolo e ação que o ping usa, o firewall da rede residencial vai dropar e senão o routeador faz).
                    A atitude de querer aprender e explicar é bem válida, mas não gostei, vamos ser francos e admitir que você não sabia bem o que estava fazendo.
                    Em 15:05 foi analisar o registro e falou:
                    "Ó, current version setup, podemos ver que ele criou uma chave no registro pra se executar automaticamente"
                    Nada a ver.Ele só estava lendo as chaves (nem foi escrita) e elas se referiam a algumas configurações do windows.
                    Em 15:15 você confunde MountPointManager com MousePointManager (que?).
                    Isso em conjunto com aquilo que você não sabia o que era é o programa interagindo com os drivers.
                    Aquele négocio de olhar as strings do Nod32.exe e o registro foi bem non-sense.
                    E eu não acho legal supor que a analise começa depois da descompressão dos arquivos, o winrar em si é um ótimo alvo.
                    Eu particurlamente olharia pra algo que tem uma VM embutida e é pouco atualizado pelos usuários.
                    Só pra ter uma idéia das explorações na VM (que já atingiram soluções de anti-virus como o Sophos e Clamav):
                    Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
                    RarVM. RAR files can contain RarVM bytecode that
                    performs some reversible transformation on input data to
                    increase redundancy [17]. RarVM is an x86-like register
                    machine. It provides 8 registers and 64 KB of memory
                    with a stack at the top. It supports arithmetic and logical
                    operations, branches, loops, and function calls. RarVM
                    sandboxes its bytecode in a way similar to ClamAV, but
                    allows some external function calls.
                    Esse é bem legal:
                    Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
                    No github do assembler que ele criou para a VM, foco em:
                    Known Bugs
                    There are several known bugs in the RarVM.

                    [redacted as some have security consequences]
                    Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
                    Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...

                    Evite de fazer analise de malware fora de uma VM/sandbox, mesmo que só usando ferramentas de análise estática, você não sabe se o malware tem pedaços de código especificos para elas.

                    Comment


                    • Font Size
                      #11
                      Ah, eu dei uma olhada no código do FrutasRAT, não vi nenhuma vulnerabilidade que permita você invadir o cara, mas tem como ficar derrubando o servidor constantemente:
                      Código:
                          try {
                            DataInputStream entradas = new DataInputStream(this.entrada);
                      
                            String tmp = entradas.readUTF();
                            String[] datitos = tmp.split("\\?");
                            System.out.println(datitos.length);
                            datoss[0] = datitos[0];
                            datoss[1] = datitos[1];
                      
                            Escucha.USUARIOS.put(datoss[1], this);
                      
                            this.dentificador = datitos[1];
                            datoss[2] = this.socket.getInetAddress().getHostAddress();
                            datoss[3] = datitos[2];
                            datoss[4] = datitos[3];
                            datoss[5] = datitos[4];
                            datoss[6] = datitos[5];
                            if (datitos.length == 6) return datoss;
                            datoss[7] = datitos[6];
                          }
                          catch (IOException ex)
                      Ele dá um split e acessa os dados do array resultante sem checar o tamanho do array.É só enviar a\\?a pra primeira porta que vai causar uma exceção não pega (IndexOutOfBounds) e dai o crash.
                      Eu não analisei mais nada, mas achei esse trecho interessante:
                      Código:
                      /* 106 */     this.bot.setText("Compartir tus usuarios con el autor.");
                      /* 107 */     this.bot.setToolTipText("Creo es un trato justo ya que me parto el culo programandolo, como para no tener algun beneficio.");
                      /* 108 */     this.bot.setEnabled(false);
                      Será que não tem um trechinho de código com essa opção (fica a dúvida)? hahaha

                      Comment


                      • Font Size
                        #12
                        @singur

                        Um cara com conhecimento avançado não vai ficar postando vírus para o pessoal do fórum aqui, então não tem muito o que se preocupar em relação a isso (respondendo primeiro post seu).

                        É meio dificil achar algum vírus muito complexo, eu particularmente não sei onde encontrar.

                        Sempre são os mesmos métodos e os mesmos comportamentos pelomenos os que encontro, faça um video para nós encontrando um vírus complexo ou algo do tipo e detectando o invasor, digo isso porque não tenho a mínima criatividade para achar algo muito diferente em relação a esse assunto.

                        Comment


                        • Font Size
                          #13
                          Não precisa ser complexo, mas sim diferente pra passar por isso ai.
                          Eu posso escrever um "vírus" que aparenta ser normal (e pode até ser, fazendo coisas bem low-profile como ler determinados arqivos (o de senhas do chrome, por exemplo) ou executar javascript sem restrição de SOP (e vendo como o Nick mantém o browser aberto e na pagina do modcp, isso seria muito bom porque dai daria pra ter privilegios de moderador no forum, dai ele poderia criar e aprovar topicos com malwares não analisados)) e só executa o pedaço de código malicioso (ofuscado) quando o usuário faz uma ação determinada (tipo escrever algo e clicar em um botão) e dai eu acabo de burlar totalmente o anubis.
                          Não precisa ser avançado pra fazer isso ai.
                          Óbviamente existem uma série de outras opções interessantes, a questão é que deve se evitar (não disse que seja obrigatorio, só uma excelente prática) analisar malware fora de uma VM/sandbox até porque isso limita a análise (como já demonstrei).

                          Comment


                          • Font Size
                            #14
                            Postado Originalmente por singur Ver Post
                            Sou péssimo pra buscar informações, mas eis aqui as mais importantes:
                            Twitter: Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
                            Orkut (desativado): Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
                            Facebook: Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
                            Tem mais um monte de informações dele na internet: canais do youtube, conta em fórums de tibia, um outro twitter etc.
                            Facebook da irmã: Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
                            RG da irmã: 1308319649
                            Facebook da mãe: Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
                            Facebook do pai: Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
                            Praticamente todos os sites que eles usam tiram as informações de exif da foto (como o local).Tentei algumas outras e nada.
                            No facebook deles não tem locais visitados relevantes (só no do pai tem, como o local da empresa) mas dá pra ter informações mais exatas em cima disso ai, vai depender de quanto tempo quer gastar.

                            No video você poderia ter feito um reconhecimento das redes que ele usou, talvez desse pra fazer uma triangulação vaga.E pro pessoal que não sabe, não adianta pingar um IP residencial desses que a maioria dos routers e redes não respondem ao icmp echo (que é o protocolo e ação que o ping usa, o firewall da rede residencial vai dropar e senão o routeador faz).
                            A atitude de querer aprender e explicar é bem válida, mas não gostei, vamos ser francos e admitir que você não sabia bem o que estava fazendo.
                            Em 15:05 foi analisar o registro e falou:
                            "Ó, current version setup, podemos ver que ele criou uma chave no registro pra se executar automaticamente"
                            Nada a ver.Ele só estava lendo as chaves (nem foi escrita) e elas se referiam a algumas configurações do windows.
                            Em 15:15 você confunde MountPointManager com MousePointManager (que?).
                            Isso em conjunto com aquilo que você não sabia o que era é o programa interagindo com os drivers.
                            Aquele négocio de olhar as strings do Nod32.exe e o registro foi bem non-sense.
                            E eu não acho legal supor que a analise começa depois da descompressão dos arquivos, o winrar em si é um ótimo alvo.
                            Eu particurlamente olharia pra algo que tem uma VM embutida e é pouco atualizado pelos usuários.
                            Só pra ter uma idéia das explorações na VM (que já atingiram soluções de anti-virus como o Sophos e Clamav):
                            Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...

                            Esse é bem legal:
                            Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
                            No github do assembler que ele criou para a VM, foco em:

                            Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
                            Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...

                            Evite de fazer analise de malware fora de uma VM/sandbox, mesmo que só usando ferramentas de análise estática, você não sabe se o malware tem pedaços de código especificos para elas.

                            Concordo plenamente em todos os pontos que foram citados na sua argumentação, não discordo de nenhum.

                            E se você souber manter a calma por 20 minutos gravando um vídeo sobre um tema que você não domina muito, sem falar nada de errado, sabendo que qualquer erro dito será criticado, me ensine, por que pelo visto eu estou precisando bastante.
                            .

                            - PHP & VB C0d3r.

                            Nickguitar.dll@hotmail.com

                            http://www.youtube.com/user/superskate56 <~ Hacking tuts =)

                            Quando aprendemos a ouvir, também aprendemos a falar..
                            Quando aprendemos a ler, também aprendemos a escrever.
                            Então, quando aprendemos a usar um computador, por que não aprender a programa-lo ?


                            I'm C0ding for $$$

                            #~: Just $this :~#

                            Comment


                            • Font Size
                              #15
                              Postado Originalmente por singur Ver Post
                              Não precisa ser complexo, mas sim diferente pra passar por isso ai.
                              Eu posso escrever um "vírus" que aparenta ser normal (e pode até ser, fazendo coisas bem low-profile como ler determinados arqivos (o de senhas do chrome, por exemplo) ou executar javascript sem restrição de SOP (e vendo como o Nick mantém o browser aberto e na pagina do modcp, isso seria muito bom porque dai daria pra ter privilegios de moderador no forum, dai ele poderia criar e aprovar topicos com malwares não analisados)) e só executa o pedaço de código malicioso (ofuscado) quando o usuário faz uma ação determinada (tipo escrever algo e clicar em um botão) e dai eu acabo de burlar totalmente o anubis.
                              Não precisa ser avançado pra fazer isso ai.
                              Óbviamente existem uma série de outras opções interessantes, a questão é que deve se evitar (não disse que seja obrigatorio, só uma excelente prática) analisar malware fora de uma VM/sandbox até porque isso limita a análise (como já demonstrei).
                              Independente de como seja, quando o vírus (ou seja lá o que for) abre uma conexão que seja de dentro para fora ou de fora para dentro, é fácil de detectar na minha opinião, mesmo aqueles que marcam uma data certa para começar funcionar, claro que isso pode resultar em não conseguir localizar o verdadeiro autor dependendo de onde a conexão esteja sendo feita.

                              O que defendo é que qualquer vírus que abre uma conexão a mesma pode ser detectada na mesma hora que ocorrer independente das funções do vírus, outra situação que pode ocorrer é bloquear o IP que está fazendo conexão (ou a range toda) e análisar o vírus funcionando, porém sem conexão com o atacante. O que interessa não é saber o comportamento do vírus e sim quem está por trás dele.

                              Comment

                              X
                              Working...
                              X