Domingo 13 Enero 2013
+ Es un honor para mi el capitulo "Ode to Dreg" escrito por Bill Blunden en la segunda edicion del libro Rootkit Arsenal: "While I was recovering from writing the first edition of this book, I received an email from David Reguera Garcia (a.k.a Dreg) that included code to deal with the case of multiple processors. To show my appreciation for his effort, I offered to include his proof-of-concept code in the second edition. Thanks David!
Dreg's work inspired me to write a multiprocessor version of HookGDT. In a nutshell, I recycled the tools I used in the HookSYSTENTER example to modify the GDT assigned to each processor." Gracias Bill!, puedes comprar el libro aquĆ::
http://www.amazon.com/The-Rootkit-Arsenal-Evasion-ebook/dp/B007RFXCEW
Domingo 17 Enero 2010
+ Es un honor para mi colaborar con la herramienta rootkit unhooke: version 3.8 LE build 386/588 Service Release 1, build date 12.01.2010. He colaborado con un detector de Call Gates para todos los COREs buscando en la GDT, puedes descagar la release desde el blog de DiabloNova en rootkit.com: http://www.rootkit.com/blog.php?newsid=993
+ Es un honor para mi colaborar con blog.48bits.com , Mi primer post se llama: "Rootkit Arsenal, Installing a Call Gate":
Buenas, leyendo el libro “The Rootkit Arsenal: Escape and Evasion in the Dark Corners of the System” quería matizar un par de cosas sobre el capítulo “Hooking the GDT - Installing a Call Gate”. Al final del artículo se incluye un POC driver con el soporte del WalkGDT para varios COREs entre otras.
Una Call Gate es un mecanismo en la arquitectura x86 de Intel para cambiar el nivel de privilegio de la CPU cuando se ejecuta una función predefinida llamada mediante una instrucción CALL/JMP FAR.
...
Bueno y ahora es el momento de los matices, el POC code del libro no tiene en cuenta la posibilidad de existir varios COREs, esto quiere decir que solo es capaz de instalar la Call Gate en el CORE que toque cuando se cargue el driver y la GDT del otro CORE queda intacta, el problema es que si la aplicación de espacio de usuario hace un FAR CALL estando en otro CORE donde no existe la Call Gate no funcionará.
...
Puedes ver el post desde el sitio oficial:
http://blog.48bits.com/2010/01/08/rootkit-arsenal-installing-a-call-gate/
Puedes ver el post traducido a inglés en mi rootkit.com blog:
http://www.rootkit.com/blog.php?newsid=992
Puedes descargar el POC driver desde : http://www.48bits.com/files/cgaty.rar y mi copia de seguridad es esta: cgaty.rar
Puedes descargar mi copia de seguridad del post en Español aquí : Rootkit Arsenal Installing a Call Gate Spanish
Puedes descargar mi copia de seguridad del post en Inglés aquí: Rootkit Arsenal Installing a Call Gate English
Viernes 8 Enero 2010
+ EvilFingers: Es un honor formar parte de: Evil Fingers Members Ahora estoy colaborando con: RootkitAnalytics People si quieres colaborar con EF o RootkitAnalytics: https://www.evilfingers.com/about/contact.php es un lugar con gente interesante.
Viernes 18 Diciembre 2009
+ En el pasado para hacer PEB Hooking (o reemplazar una dll en disco) era necesario crear una plantilla .c y otra .h desde la dll real y luego compilarla. El método anterior es para cada SP y para cada Windows, es decir en el pasado necesitabas un repositorio de DLLs para cada sp para cada dll. He resuelto el problema creando una herramienta llamadas dwtf, publicada ayer en Rootkitanalytics.com, Esta herramienta exporta todos los simbolos de la dll real e importa todos sus exportaciones. Después crea una area con un JMP [ADDRESS] por cada export. Tu puedes añadir o eliminar payloads (O stacks de payloads) con un simple IAT HOOKING in la DLL fake en tiempo de ejecución, el método para payloads is solo un xchg of 32bits (micro loc...), dwtf es opensource con Licencia MIT.
dwtf demo: http://www.youtube.com/watch?v=t7UXEJieliM
dwtf site: http://rootkitanalytics.com/tools/dwtf.php
Más información sobre dwtf internals:
Generating any DLL for PEB Hooking or replacing in disk, binary form, By Dreg:
http://www.rootkit.com/blog.php?newsid=988
Mirrors:
Generating any DLL for PEB Hooking or replacing in disk, binary form
dwtf v1
Viernes 6 Noviembre 2009
+ Gracias a http://0vercl0k.blogspot.com/2009/05/understand-phooks-internals.html por el trabajo sobre el phook - the peb hooker project, he subido una copia del proyecto a: UnderstandPhooksInternals.zip
+ Entendiendo WinXPSP2.Cermalus: http://biht.blogspot.com/2009/10/understanding-winxpsp2cermalus.html , mirror: Understanding WinXPSP2.Cermalus.txt , código fuente del malware (cabeceras modificadas incluidas): WinXPSP2.Cermalus.zip
Miercoles 5 August 2009
+paper nuevo! : Este documento trata de cómo usar e implementar el "E8 Method" con un solo hook handler para todos los hooks que además será seguro y estará
programado en C/C++, "One safe hook handler". Se usarán dos bibiliotecas
públicas en las que se ha realizado un hack para dicho propósito:
1.- Microsoft Detours Library
2.- Easy-Hook
Descargar paper en español : One safe hook handler - E8 Method Spanish
Descargar paper en inglés: One safe hook handler - E8 Method English
Descargar tools: E8 Method.zip
Gracias a http://www.rootkit.com/por publicarlo en portada.
Martes 4 Agosto 2009
+He creado una herramienta útil para cosas de reversing o keygen, descargar aquí: cypher.rar
El diseño es simple, solo necesitas programar una DLL que implemente el algoritmo usando datos desde un buffer, la aplicación carga la dll, abre los ficheros, procesa las salidas etc..
Ejemplos de uso :
C:\>cypher.exe -d cypher.dll -a b_xor_b_b2E -r "poc"
Data: ^AM
If you dont specify the -d the default dll is cypher.dll, include in the .rar:
C:\>cypher.exe -a b_xor_b_b2E -r "^AM"
Data: poc
C:\>cypher.exe -a help
CyphDll Template HELP:
Supported Algorithms
b_xor_b_bindexPb4 - b_dato[oi] = b_dati[ii] XOR (b_ii + b4) (DEFAULT)
b_xor_b_b2E - b_dato[oi] = b_dati[ii] XOR b_0x2E
dw_mul_w_wkey - dw_dato[oi] = w_dati[ii] MUL w_key
C:\>cypher.exe -r "poc" -o file
Using the default algorithm: b_xor_b_bindexPb4
Dumped data to file: file
C:\>more file
tje <- TEXT poc ENCRYPT.
C:\>cypher.exe -i file
Using the default algorithm: b_xor_b_bindexPb4
Data: poc
T.O.D.O:
1- ADD SUPPORT TO ANY TYPE OF DATA AND ITERATION.. IMPLEMENT A CALLBACK MECHANISM TO ITERATE THE INPUT BUFFER
IN THE DLL. It is useful, for example if you need only process the data in one iteration. Also is useful when the
iteration depends of the data and you need control the index in data input.
2- Improve the code, coments, fix bugs, add a GUI... Improve the ANSI C FileMapper using blocks with fread.
3- ...
Lunes 15 Diciembre 2008
+Proyecto se salta las engines para hook de windows que si LoaderLock está bloqueado no ejecutan al hook handler: bypass_easyhook.rar
Más información :
- http://www.openrce.org/blog/view/1328/Bypassing_windows_hook_engines_which_if
_the_LoaderLock_is_held_not_executes_the
_ https://www.rootkit.com/blog.php?user=Dreg
+Proyecto se salta métodos de inyección de DLL basados en inyección de Thread o basados en inyección de código en cualquier hilo diferente al principal: bypass_dllinj_wbti.rar
Más información:
http://www.openrce.org/blog/view/1329/ Bypassing_DLL_injection_method_based_in_ thread_injection_or_based_in_code_
injection_in_any_thread_diferent_to_main_(in_this_case)
https://www.rootkit.com/blog.php?user=Dreg
Viernes 12 Diciembre 2008
+Reversing de la Auxiliary Windows API Library (x86 y x86_64), Release 1.0. (MIT License) La biblioteca es útil para evadir deadlocks y para otro tipo de cosas: AuxLib.zip
Más información en:
- http://www.openrce.org/blog/view/1326/AuxLib_-_Reverse_engineering_of_Auxiliary_Windows_API_Library_(x86_and_x86_64)
- https://www.rootkit.com/blog.php?user=Dreg
Viernes 14 Noviembre 2008
+Lectura recomendada : APPLYING USER-MODE MEMORY SCANNING ON WINDOWS NT,
Eric Uday Kumar (Anti-Malware Research). http://ericuday.googlepages.com/EricUdayKumar-VB2008.pdf (VIRUS BULLETIN CONFERENCE OCTOBER 2008).
PD: Eric Uday Kumar referencia en el paper el proyecto phook :-):
Viernes 18 Julio 2008
+NetSearch 9 Call For Papers publicado, la ezine ha vuelto con nuevo staff y nueva web: http://www.netsearch-ezine.org/
Lunes 9 Junio 2008
+ phook 1.0.1 released! con soporte para SP3 en ph_ker32.dll y otras mejoras.
Lunes 19 Mayo 2008
+ Traducción al francés (UTF-8) del artículo phook - The PEB Hooker. Translation by _cb^ in arsouyes - http://arsouyes.org/, disponible en la sección papers
Miercoles 30 Abril 2008
+ Publicada la presentación phook & BuggyBoss (motor http://www.phrack.org/ Issue 65) y analizador automático de malware), la presentación fue dada en de ENISE I (I Encuentro Nacional de la Industria de Seguridad), además también han sido publicadas las demos y el video.
Martes 29 Abril 2008
+ Traducción al ruso (UTF-8) del artículo phook - The PEB Hooker. Publicado en el foro CULT OF RUSSIAN UNDERGROUND por Izg0y - http://coru.in/, disponible en la sección papers
Lunes 14 Abril 2008
+ Ha salido phrack 65, en la que hemos publicado un artículo (paper) Juan Carlos Montes
Senra (aka [Shearer]) y yo (David Reguera García aka Dreg). He puesto una copia del
artículo en la sección papers, además he subido la traducción del artículo a Español. El
artículo trata sobre un método para hacer "hooks" a DLLs en Windows usando el PEB y las
herramientas necesarias para hacerlo.
Miercoles 27 Febrero 2008
+ Pubicado documento en ingles del reversing del Spyware (web-mediaplayer).
Jueves 21 Febrero 2008
+ Nuevo advisory en la sección advisories / exploits:
GNU objdump 2.15 [FreeBSD] 2004-05-23 Muestra:
BFD: BFD 2.15 [FreeBSD] 2004-05-23 internal error, aborting at
/usr/src/gnu/usr.bin/binutils/libbfd/../../../../contrib/binutils/bfd/
elfcode.h line 188 in bfd_elf32_swap_symbol_in
BFD: Please report this bug.
Mientras analiza un ELF malformado.
Nota: este bug (en mi opinión) es irrelevante, la excepción es caputrada
por el manejador de excepciones de la biblioteca. Lo estoy reportado a
causa del mensaje:
BFD: Please report this bug.
Versiones afectadas:
- GNU objdump 2.15 [FreeBSD] 2004-05-23 [COMPROBADO & FUNCIONA]
- Quizá otras.
Sistemas operativos afectados:
- FreeBSD 6.3 [COMPROBADO& FUNCIONA]
- FreeBSD 6.2 [COMPROBADO & FUNCIONA]
- Quizás otros
Descubierto por: INTECO-CERT, David Reguera Garcia, david.reguera@inteco.es
POC exploit por: INTECO-CERT, David Reguera Garcia, david.reguera@inteco.es
Remoto : NO
Ejecución de código : NO
Escalación de privilegios : NO
Reporte: http://www.freebsd.org/cgi/query-pr.cgi?pr=bin/120946
Martes 12 Febrero 2008
+ Se ha creado una nueva sección llamada advisories / exploits en la que se colgarán
advisories y/o exploits, por ejemplo el advisorie y el exploit de ELFdump:
Software : elfdump
Version : 1.12.8.2 2006/01/28 18:40:55
Autor : Jake Burkholder <jake@FreeBSD.org>
Remoto : NO
Ejecución de código : NO
Escalación de privilegios : NO
Discubierto por : INTECO-CERT - David Reguera Garcia <david.reguera@inteco.es>
Exploit por : INTECO-CERT - David Reguera Garcia <david.reguera@inteco.es>
Descripción : Cuando elfdump analiza un elf malformado, la aplicación se
cierra provocando un Segmentation fault: 11
Sistemas operativos afectados:
- FreeBSD:
- 5.5 - COMPROBADO Y FUNCIONA
- 6.2 - COMPROBADO Y FUNCIONA
- 6.3 - COMPROBADO Y FUNCIONA
- Quizá otros, elfdump está disponible desde la versión FreeBSD 5.0
Reporte: http://www.freebsd.org/cgi/query-pr.cgi?pr=bin/120562
Viernes 8 Febrero 2008
+ Se ha realizado un análisis dinámico y un pequeño reversing a partes muy específicas,
de un spyware que se instalaba el Web-mediaplayer, el spyware en cuestión ocultaba los
ficheros que creaba, ocultaba el proceso etc..., el informe se encuentra en la sección
reversing , acompañado de las herramientas. El estudio del malware, el informe y las
herramientas han sido elaboradas en INTECO-CERT http://cert.inteco.es
Miercoles 23 Enero 2008
+ Ha sido traducido todo el enyelkm blog por delcoyote.
+ Corregidos enlaces de la sección projects en la versión inglesa de la web.
Domingo 20 Enero 2008
+ Ha sido traducido todo el sitio web a inglés por delcoyote, muchas gracias. Y muchas
gracias más por traducir a inglés el análisis del troyano BZub.CX
Miercoles 5 Diciembre 2007
+ Se ha re-estructurado el sitio solapando la sección ppt y demos en una: ppt
Martes 4 Diciembre 2007
+ Se ha creado una nueva sección llamada reversing en la que se colgarón informes de
ingeniería inversa como por ejemplo en análisis del troyano BZub.CX. El cual acompaña una
serie de añadidos: herramientas para descifrar las páginas donde hace phising ubicadas
en el registro etc. Se ha analizado el troyano y BHO que mete (extensión del navegador
de iexplorer) y captura todo lo que se envía por métodos GET y POST. También
envía información sobre la máquina infectada. Además inyecta campos en el HTML los
cuales piden información necesaria para robar credenciales bancarias y también hace
phising entre otras cosas (capturas de pantalla ...).
Martes 23 Octubre 2007
+ Este año se celebrará el: I Encuentro Nacional de la Industria de Seguridad en España
(enise), en León. El evento está pensado para ser de carácter anual, la página del evento
es: https://1enise.inteco.es/ , Solo mencionar que iré como ponente presentando
un
motor que he hecho junto a Juan Carlos Montes (aka [Shearer]) y su aplicación para
realizar un
análisis automático de malware. Habra comparaciones con algunas de las
alternativas gratuitas. Tendencias tecnológicas en detección del malware
https://1enise.inteco.es/david-reguera-garcia
+ También comentar que voy a enviar un artículo para la Netsearch 9 (NS9). Estamos
preparando la NS9: kenshin, oyzzo, sha0, RaiSe ... y yo. Animo a la gente a que
participe
(obviamente no se publicarán todas las contribuciones). http://www.netsearch-ezine.org/
+ Añadido al Curriculum Vitae las ponencias realizadas y las próximas.
Lunes 24 Septiembre 2007
+Modificado el
Curriculum Vitae
en la sección about y añadido la versión en PDF.
Domingo 12 Agosto 2007
+ Añadido Jointrooter en la sección projects. Se trata de una herramienta para
pen-test de routers por el protocolo TELNET y próximamente SSH (ej linksys); para
ello usa diccionarios y un fichero con los promtps de diferentes modelos, para
poder auditar más routers solo hace falta añadir nuevos promtps.
Actualmente la db tiene promtps para: ZyXeL, 3Com & Vigor ( aunque es posible que
detecte muchos más debido a que muchos promtps se parecen, ej: ">"
).
Recomendamos usarla junto a Fast HTTP Auth Scanner, creada por Andrés
Tarascó, publicada en http://www.514.es, de forma que se pueda auditar el portal web
y el servicio TELNET.
+ Añadido enlace con texto DOWNLOAD por cada fichero descargable.
Martes 24 Julio 2007
+Corregido bugs en LO/LS/OT_SC+STDEINSU_GV:
-
Liberación de una zona de memoria (free) no reservada cuando un fichero no está
infectado.
- Fallo al eliminar ficheros temporales en el desinfector, cuando no se tienen permisos
para abrir el fichero a desinfectar.
- Fallo en los scripts, estaban en formato DOS (wtf!).
+ Añadidas capturas en el artículo LO/LS/OT_SC+STDEINSU_GV de infección masiva.
Sabado 21 Julio 2007
+ Añadido LO/LS/OT_SC+STDEINSU_GV en la sección projects. Se trata una
herramienta pensada para intercambiar y escalar privilegios en GNU\Linux, cuando hay
permisos de escritura en ficheros ELF.
Martes 5 Junio 2007
+ Añadido correo para contacto y puesto de trabajo en la sección about/contactar
+ Añadidas las versiones restantes del enyelkm
Sabado 2 Junio 2007
+ Se han modificado las secciones: projects, notes, ppt. Ahora es más fácil
acceder a los contenidos, debido al uso de tablas y reestructuración de proyectos.
+ Añadida nueva versión de enyelkm v1.2
+ Añadido CV en about
|
