Viernes 18 Julio 2008
+NetSearch 9 Call For Papers publicado, la ezine ha vuelto con nuevo staff y nueva web: http://www.netsearch-ezine.org/
Lunes 9 Junio 2008
+ phook 1.0.1 released! con soporte para SP3 en ph_ker32.dll y otras mejoras.
Lunes 19 Mayo 2008
+ Traducción al francés (UTF-8) del artículo phook - The PEB Hooker. Translation by _cb^ in arsouyes - http://arsouyes.org/, disponible en la sección papers
Miercoles 30 Abril 2008
+ Publicada la presentación phook & BuggyBoss (motor http://www.phrack.org/ Issue 65) y analizador automático de malware), la presentación fue dada en de ENISE I (I Encuentro Nacional de la Industria de Seguridad), además también han sido publicadas las demos y el video.
Martes 29 Abril 2008
+ Traducción al ruso (UTF-8) del artículo phook - The PEB Hooker. Publicado en el foro CULT OF RUSSIAN UNDERGROUND por Izg0y - http://coru.in/, disponible en la sección papers
Lunes 14 Abril 2008
+ Ha salido phrack 65, en la que hemos publicado un artículo (paper) Juan Carlos Montes
Senra (aka [Shearer]) y yo (David Reguera García aka Dreg). He puesto una copia del
artículo en la sección papers, además he subido la traducción del artículo a Español. El
artículo trata sobre un método para hacer "hooks" a DLLs en Windows usando el PEB y las
herramientas necesarias para hacerlo.
Miercoles 27 Febrero 2008
+ Pubicado documento en ingles del reversing del Spyware (web-mediaplayer).
Jueves 21 Febrero 2008
+ Nuevo advisory en la sección advisories / exploits:
GNU objdump 2.15 [FreeBSD] 2004-05-23 Muestra:
BFD: BFD 2.15 [FreeBSD] 2004-05-23 internal error, aborting at
/usr/src/gnu/usr.bin/binutils/libbfd/../../../../contrib/binutils/bfd/
elfcode.h line 188 in bfd_elf32_swap_symbol_in
BFD: Please report this bug.
Mientras analiza un ELF malformado.
Nota: este bug (en mi opinión) es irrelevante, la excepción es caputrada
por el manejador de excepciones de la biblioteca. Lo estoy reportado a
causa del mensaje:
BFD: Please report this bug.
Versiones afectadas:
- GNU objdump 2.15 [FreeBSD] 2004-05-23 [COMPROBADO & FUNCIONA]
- Quizá otras.
Sistemas operativos afectados:
- FreeBSD 6.3 [COMPROBADO& FUNCIONA]
- FreeBSD 6.2 [COMPROBADO & FUNCIONA]
- Quizás otros
Descubierto por: INTECO-CERT, David Reguera Garcia, david.reguera@inteco.es
POC exploit por: INTECO-CERT, David Reguera Garcia, david.reguera@inteco.es
Remoto : NO
Ejecución de código : NO
Escalación de privilegios : NO
Reporte: http://www.freebsd.org/cgi/query-pr.cgi?pr=bin/120946
Martes 12 Febrero 2008
+ Se ha creado una nueva sección llamada advisories / exploits en la que se colgarán
advisories y/o exploits, por ejemplo el advisorie y el exploit de ELFdump:
Software : elfdump
Version : 1.12.8.2 2006/01/28 18:40:55
Autor : Jake Burkholder <jake@FreeBSD.org>
Remoto : NO
Ejecución de código : NO
Escalación de privilegios : NO
Discubierto por : INTECO-CERT - David Reguera Garcia <david.reguera@inteco.es>
Exploit por : INTECO-CERT - David Reguera Garcia <david.reguera@inteco.es>
Descripción : Cuando elfdump analiza un elf malformado, la aplicación se
cierra provocando un Segmentation fault: 11
Sistemas operativos afectados:
- FreeBSD:
- 5.5 - COMPROBADO Y FUNCIONA
- 6.2 - COMPROBADO Y FUNCIONA
- 6.3 - COMPROBADO Y FUNCIONA
- Quizá otros, elfdump está disponible desde la versión FreeBSD 5.0
Reporte: http://www.freebsd.org/cgi/query-pr.cgi?pr=bin/120562
Viernes 8 Febrero 2008
+ Se ha realizado un análisis dinámico y un pequeño reversing a partes muy específicas,
de un spyware que se instalaba el Web-mediaplayer, el spyware en cuestión ocultaba los
ficheros que creaba, ocultaba el proceso etc..., el informe se encuentra en la sección
reversing , acompañado de las herramientas. El estudio del malware, el informe y las
herramientas han sido elaboradas en INTECO-CERT http://cert.inteco.es
Miercoles 23 Enero 2008
+ Ha sido traducido todo el enyelkm blog por delcoyote.
+ Corregidos enlaces de la sección projects en la versión inglesa de la web.
Domingo 20 Enero 2008
+ Ha sido traducido todo el sitio web a inglés por delcoyote, muchas gracias. Y muchas
gracias más por traducir a inglés el análisis del troyano BZub.CX
Miercoles 5 Diciembre 2007
+ Se ha re-estructurado el sitio solapando la sección ppt y demos en una: ppt
Martes 4 Diciembre 2007
+ Se ha creado una nueva sección llamada reversing en la que se colgarón informes de
ingeniería inversa como por ejemplo en análisis del troyano BZub.CX. El cual acompaña una
serie de añadidos: herramientas para descifrar las páginas donde hace phising ubicadas
en el registro etc. Se ha analizado el troyano y BHO que mete (extensión del navegador
de iexplorer) y captura todo lo que se envía por métodos GET y POST. También
envía información sobre la máquina infectada. Además inyecta campos en el HTML los
cuales piden información necesaria para robar credenciales bancarias y también hace
phising entre otras cosas (capturas de pantalla ...).
Martes 23 Octubre 2007
+ Este año se celebrará el: I Encuentro Nacional de la Industria de Seguridad en España
(enise), en León. El evento está pensado para ser de carácter anual, la página del evento
es: https://1enise.inteco.es/ , Solo mencionar que iré como ponente presentando
un
motor que he hecho junto a Juan Carlos Montes (aka [Shearer]) y su aplicación para
realizar un
análisis automático de malware. Habra comparaciones con algunas de las
alternativas gratuitas. Tendencias tecnológicas en detección del malware
https://1enise.inteco.es/david-reguera-garcia
+ También comentar que voy a enviar un artículo para la Netsearch 9 (NS9). Estamos
preparando la NS9: kenshin, oyzzo, sha0, RaiSe ... y yo. Animo a la gente a que
participe
(obviamente no se publicarán todas las contribuciones). http://www.netsearch-ezine.org/
+ Añadido al Curriculum Vitae las ponencias realizadas y las próximas.
Lunes 24 Septiembre 2007
+Modificado el
Curriculum Vitae
en la sección about y añadido la versión en PDF.
Domingo 12 Agosto 2007
+ Añadido Jointrooter en la sección projects. Se trata de una herramienta para
pen-test de routers por el protocolo TELNET y próximamente SSH (ej linksys); para
ello usa diccionarios y un fichero con los promtps de diferentes modelos, para
poder auditar más routers solo hace falta añadir nuevos promtps.
Actualmente la db tiene promtps para: ZyXeL, 3Com & Vigor ( aunque es posible que
detecte muchos más debido a que muchos promtps se parecen, ej: ">"
).
Recomendamos usarla junto a Fast HTTP Auth Scanner, creada por Andrés
Tarascó, publicada en http://www.514.es, de forma que se pueda auditar el portal web
y el servicio TELNET.
+ Añadido enlace con texto DOWNLOAD por cada fichero descargable.
Martes 24 Julio 2007
+Corregido bugs en LO/LS/OT_SC+STDEINSU_GV:
-
Liberación de una zona de memoria (free) no reservada cuando un fichero no está
infectado.
- Fallo al eliminar ficheros temporales en el desinfector, cuando no se tienen permisos
para abrir el fichero a desinfectar.
- Fallo en los scripts, estaban en formato DOS (wtf!).
+ Añadidas capturas en el artículo LO/LS/OT_SC+STDEINSU_GV de infección masiva.
Sabado 21 Julio 2007
+ Añadido LO/LS/OT_SC+STDEINSU_GV en la sección projects. Se trata una
herramienta pensada para intercambiar y escalar privilegios en GNU\Linux, cuando hay
permisos de escritura en ficheros ELF.
Martes 5 Junio 2007
+ Añadido correo para contacto y puesto de trabajo en la sección about/contactar
+ Añadidas las versiones restantes del enyelkm
Sabado 2 Junio 2007
+ Se han modificado las secciones: projects, notes, ppt. Ahora es más fácil
acceder a los contenidos, debido al uso de tablas y reestructuración de proyectos.
+ Añadida nueva versión de enyelkm v1.2
+ Añadido CV en about
|