miércoles, julio 16, 2014

Análisis de archivos PE (Portable Ejecutable) en busca de Malware.

Los archivos PE pueden contener otros archivos PE empaquetados, de forma que pueden existir archivos PE con malware empaquetados en archivos PE legítimos. Esto hace que un análisis con una herramienta que use una norma estática, no sea capaz de analizar la carga útil. Sucede con los antivirus, algunos archivos ejecutables empaquetados pueden evadir el archivo malicioso que se oculta dentro de ellos.

Esta técnica es detectable con Pev,  un conjunto de herramientas multiplataforma para trabajar con PE (Portable Ejecutable). Su principal objetivo es proporcionar herramientas con muchas funciones para analizar archivos PE y con funciones especificas para detectar y analizar los que tienen malware.

Entre sus características destaca:

  • Con base en la propia biblioteca PE, llamada libpe.
  • Apoyo a la PE32 y PE32+ archivos de 64 bits. 
  • Salida con formato de texto y CSV.
  • Incluye herramientas para convertir RVA desde el fichero offset y viceversa.

Las herramientas que forman Pev son las siguientes:

  • Pesec, para comprobar: características de seguridad de los archivos PE, certificados de extracto y más.
  • Readpe, para analizar: encabezados PE, secciones, las importaciones y exportaciones.
  • Pescan,  detectar las funciones de devolución de llamada TLS, modificación talón DOS, secciones sospechosas…
  • Pedis, desmontar una sección de archivo PE o función con soporte para la sintaxis de Intel y AT & T.
  • Pehash, calcular los hashes de archivos PE.
  • Pepack, detectar si un ejecutable está lleno o no. 
  • Pestr, buscar texto codificado Unicode y cadenas ASCII de forma simultánea en los archivos PE. 
  • Peres, mostrar y extraer los recursos de archivos PE.

Más información y descarga de Pev:
http://pev.sourceforge.net/

Completo manual de instalación y uso de Pev:
http://pev.sourceforge.net/doc/manual/en_us/

miércoles, julio 09, 2014

Herramienta automatizada de análisis de seguridad de dominio Web.

Se trata de Domain Analyzer  una herramienta automatizada de análisis de seguridad de dominios, que además ofrece información acerca del dominio. Su objetivo principal es analizar los dominios de forma desatendida. Diseñada para plataformas Linux y Unix.

Entre sus principales características destacan:

  • Crea un directorio con toda la información, incluyendo los archivos de salida de nmap.
  • Utiliza colores para destacar la información importante mostrada en la consola.
  • Detecta algunos problemas de seguridad, como los problemas de nombre de host, puerto de red usados inusuales y transferencias de zona.
  • Es muy robusta frente a los problemas de configuración de DNS. Utiliza nmap para la detección de sistema, escaneado de puertos e información de la versión (incluyendo scripts nmap).
  • Busca información de registros SPF para encontrar nuevos nombres de host o direcciones IP.
  • Busca los nombres DNS inversas y lo compara con el nombre de host.
  • Muestra el país de todas las direcciones IP.
  • Crea un archivo PDF con los resultados.
  • Detecta subdominios automáticamente.
  • Busca los dominios de correos electrónicos.
  • Comprueba los 192 nombres de host más comunes en los servidores DNS.
  • Comprueba si hay transferencia de zona en cada servidor DNS.
  • Realiza búsqueda  inversa  de los nombres con un alcance de red /24, de todas las direcciones IP.
  • Detecta automáticamente los servidores web utilizados.
  • Arrastra cada página del servidor web usando la herramienta de seguridad Web Crawler.
  • Filtra los nombres de host en función de su nombre.
  • Busca aleatoriamente dominios N en Google y los analiza automáticamente.
  • Utiliza CTRL-C para detener la etapa de análisis actual y seguir trabajando en segundo plano.

Más información de Domain Analyzer:
http://domainanalyzer.sourceforge.net/

miércoles, julio 02, 2014

Test de penetración WiFi en plataforma Raspberry Pi.

Con Wireless Attack Toolkit (WAT) un kit de herramientas diseñado para realizar test de penetración de redes WiFi en las plataformas ARM embebidas (específicamente para v6 y RaspberryPi).

Este paquete de software funciona en la versión de 512 MB RasperryPi Modelo B (su tiempo de carga seria mucho mayor),  y puede ser instalado en cualquier Debian en ARMv7 con 512 MB como mínimo.

Proporciona a los usuarios herramientas de test de penetración de redes WiFi, automatizadas que se combinan con herramientas de man-in-the-middle para testear con eficacia y de forma silenciosa los clientes inalámbricos.

Algunas de las herramientas incluidas en el kit:

  • Servidor DNS basado regex-Custom.
  • DHCP.
  • Suite Aircrack-ng.
  • Browser Exploitation Framework (preconfigurado para Metasploit).
  • Metasploit.
  • Proxy de inyección transparente basado en Python.
  • Configuración  “Pushbutton”.
  • Modo “Limpet Mine" para atacar las redes existentes.

La piedra angular de este proyecto es la capacidad de inyectar un navegador web sin ningún tipo de advertencias, alarmas y alertas de usuario. A través de la manipulación del protocolo que obliga al cliente a creer que el equipo que ejecuta el software es la puerta de enlace a Internet. Y después utiliza un proxy web que inyecta datos maliciosos en las sesiones del explorador.

Estas herramientas para test de penetración WiFi en un equipo de reducidas dimensiones como una Raspberry Pi, da un gran abanico de posibilidades, debido a su gran movilidad. Muestra algunas limitaciones de recursos frente a montar el sistema en un PC, pero sus beneficios, compensan con creces las limitaciones.

Más información y descarga de Wireless Attack Toolkit (WAT):
http://sourceforge.net/projects/piwat/

Realizar test de penetración con Raspberry Pi.
http://vtroger.blogspot.com.es/2014/06/realizar-test-de-penetracion-con.html