AndroTotal
Ago25

AndroTotal

El uso de herramientas online de análisis de malware, suponen una ayuda para el investigador que tiene que saber que hace un determinado APK. El uso de este tipo de herramientas nos sirve para antes de ponernos nosotros ha realizar un análisis manual que nos de un “previo” de que es lo que hace. Además este tipo de herramientas permiten algo muy útil y es poder relacionar casos. Es decir, si hay samples relacionados porque comunican con el mismo C &C o hay strings y datos relacionados esto nos permite poder identificar campañas activas y poder incluso hacer tracking de los ciber-criminales que desarrollan estas muestras. Es algo normal proveerse de API’s de acceso para poder hacer submit de los análisis, ya que puedes integrarlo en procesos internos o herramientas que hayas podido desarrollar de manera interna. Vamos a ver que posibilidades que nos ofrece la herramienta. La web se presenta de forma sencilla y muy común. Realizar submit del sample y metiendo un captcha   Vamos a escoger algunos de los samples que yo tengo para ver que output podemos recibir de la herramienta. Cuando realizamos Submit del sample, se realiza el Upload y ya te mostrará información sobre la subida. La web se irá actualizando conforme se va analizando la muestra, podemos ver detalles como la versión de Android que se está utilizando para el análisis y la suite de antivirus que se está usando. En el análisis hay un enlace para ir directamente a todos los detalles sobre el análisis. Primero podemos ver detalles como los relativos a los hash de la aplicación, la primera vez que se vió. Es decir, ¿Se había analizado antes? Además algo que me ha gustado mucho es que permite hacer búsquedas en servicios de análisis externos. Podemos ver servicios de terceros como: VirusTotal CopperDroid ForeSafe SandDroid AndroidObservatory VisualThreat Puedes compartir los detalles del análisis en las redes sociales si quieres en Twitter o Facebook. El análisis te da mas información que podemos consultar, información relativa a los permisos requeridos por el APK (no los que necesita sino, los que pide) Obviamente no hace falta decir que es necesario un análisis manual de la aplicación además de poder ver análisis de otros servicios de terceros. [+]...

Leer Más
Análisis de APK con VirusTotal
May12

Análisis de APK con VirusTotal

Quien se dedica a la seguridad conoce Virus Total, aquel servicio que te da una visión de cuantos motores antivirus detectan una muestra en concreto. Virus Total ha ido aumentando la cantidad de tipos de archivo que puede procesar y ahora es capaz de analizar también aplicaciones para Android (aunque mientras no lo tenia salieron sitios que brindaban este servicio como andrototal.org). Así que para que veáis que tipo de análisis realiza he subido un APK para que realice el análisis. Esta imagen nos resultará muy familiar ya que igual que cuando el servicio analiza una aplicación para Windows. Mientras se realiza el análisis iremos viendo las detecciones por parte de las casas de antivirus. Como estamos analizando un APK, podremos ver que permisos pide la aplicación, entre otras cosas. Aquellos permisos que asean sospechosos, serán marcados de rojo. Esta pestaña es muy útil ya que podemos ver que pide la aplicación concretamente. Otra de las pestañas útiles es la de información adicional, aquí podremos ver que de las veces que se ha subido a VirusToral que nombres tenía la aplicación. En el artículo de hoy hemos visto que también podemos analizar aplicaciones para Android antes de instalarla en el...

Leer Más
CAINE – Distribución Live CD para Análisis Forense
Oct06

CAINE – Distribución Live CD para Análisis Forense

CAINE (Computer Aided INvestigative Environment), es una distribución Live CD para realizar análisis forense informático, de la que hemos hablado en varios ocasiones en nuestra comunidad, creada por Giancarlo Giustini es una de las mejores opciones que tenemos a la mano cuando deseamos realizar un análisis forense de algún equipo informático. CAINE se diferencia de las demás distribuciones de su tipo (Forensic Boot CD, Helix, Deft, etc..) por su facilidad de uso y que proporcionar una interfaz gráfica homogénea que guía a los investigadores digitales durante la adquisición y el análisis de las pruebas electrónicas, y ofrece un proceso semi-automático durante la documentación y  generación de informes. Giancarlo me ha enviado un mail para notificarme de la nueva versión de esta excelente distribución y aprovecho para agradecerle por dejarme aportar mi granito de arena en el CAINE, realizando la traducción de los reportes en español. CAINE también cuenta con un subproyecto llamado NBCAINE y mantenido por Nanni Bassetti, que permite utilizar esta excelente distribución desde una memoria USB, con la finalidad de ser convertir un netbook en una completa herramienta de análisis forense  o poder guardar los cambios realizados en el sistema. Para instalar NBCAINE en tu memoria usb basta con escribir desde una consola en GNU Linux lo siguiente dd if=nbcaine.dd of=/dev/sdX Donde nbcaine.dd es el nombre del archivo que descarguemos y la X es el numero de tu memoria usb. En la nueva version 3.0 de CAINE podemos encontrar cambios en el kernel utilizado (se actualizo a la versión 3.2.0-31) se agregaron los siguientes programas: iphonebackupanalyzer exiftool phil harvey tcpflow tshark john wireshark firefox vinetto mdbtool gdisk LVM2 tcpdump Mobius QuickHash SQLiteBrowser FRED docanalyzer nerohistanalyzer knowmetanalyzer PEFrame grokEVT zenmap (nmap) blackberry tools IDevice tools Por el lado de Windows (CAINE También funciona en Microsoft Windows) se actualizó y mejoró Wintaylor Descargar la ultima versión de CAINE Mas Información: Pagina Oficial de CAINE CAINE, LiveCD GNU/Linux para Informática Forense Nueva Versión del CAINE, LiveCD para Informática...

Leer Más
Análisis de un malware de infección automática, caso @Hack_x_Crack – Parte I
May11

Análisis de un malware de infección automática, caso @Hack_x_Crack – Parte I

Hace unos días me encontraba revisando mi TimeLine en twitter cuando un anuncio de los amigos @hack_x_crack donde promocionaban un nuevo cuadernos sobre algoritmos y estructuras de datos llamó mi atención, al entrar en el enlace que proporcionaban, el NoScript me advirtió de la ejecución de un posible código JAVA, al investigar un poco el caso y revisar el código fuente de la pagina, me encontré con un iframe bastante sospechoso. El iframe malicioso cargaba tan pronto entrabamos a la web de Hack X Crack e inmediatamente avisé a los administradores de la comunidad HackxCrack para que solucionaran el problema, ya que muy seguramente se trataba de un ataque automatizado que explotaba algún fallo en alguno de sus servicios o aplicaciones web para poder añadir este iframe e infectar el mayor numero de personas silenciosamente (me niego a creer que fuera puesto intencionalmente).. (click para agrandar) Afortunadamente la rapida y eficiente reacción de overload, puso fin a esta amenaza en menos de media hora para luego pasar a recomendar a sus usuarios revisar a fondo sus equipos por si fueron infectados por el malware. Después de este susto nuestro amigo @seifreed me propuso que analizaremos este malware y al ver que era poco detectado decidimos hacerlo, comenzamos con el con el applet malicioso en Java que se ejecutaba tan pronto ingresábamos a la web de HackXCrack, sin saber hasta donde llegaríamos con este tema… (aún no lo sabemos jejeje) Así que para iniciar analizando el Java pasamos a descargarlo y descompilarlo para ver que es lo que hacia el archivo Alakazam.jar. Después de una rápida revisión del código llegamos a la conclusión que se trata de un downloader (bastante silencioso por cierto), cuya tarea principal era descargaba de un servidor un ejecutable malicioso y ejecutarlo en el sistema. (Click par ver código) El applet malicioso tiene muy poca detección como nos muestra el reporte de VirusTotal (click para ver reporte de virustotal) Al entrar directamente a la web donde estaba hospedado el applet de Java, te ofrecía para la descarga directa un archivo llamado Updater.exe, cambiaba de nombre con cada petición directa a la pagina, pero el hash del archivo era el mismo en las pruebas hecha lo que posiblemente sea indicios de una posible prueba del delincuente para infectar con variantes diferentes a cada visitante en un futuro y dificultar las tareas de las casa antivirus. Seifreed se encargó del análisis dinámico de este ejecutable y para esto decidió bajarlo con curl, descubriendo que estaba alojado en smallfiles, un servicio de alojamiento de ficheros gratuito tipo megaupload.com, no es la primera vez que los creadores de malware utilizan...

Leer Más

Análisis Forense en Facebook

La popularidad de Facebook ha crecido exponencialmente en los ultimos años, pero con el aumento de su popularidad, tambien se ha incrementado los casos de delitos sobre esta plataforma, Suplantacion de identidad, Extorcion, Difamacion, Pedofilia, Ciber Acoso, son solo algunos de los delitos mas comunes realizados por Facebook. Analizar lo sucedido en esta red social muchas veces es clave para poder resolver los casos en los que por medio de Facebook se ha cometido algun delito; En el siguiente paper creado por el grupo investigadores GruValkyrie-X, nos cuentan detalladamente como realizar un analisis forense a Facebook (las charlas, comentarios en el muro, eventos, grupos, etc…) asi como su aplicacion para dispositivos moviles, ya que cada accion en esta red social deja huellas  que pueden ser utilizadas para descubrir que se realizó sobre ella. Sin mas preambulos les dejo de forma online este exelente paper. Tambien puedes descargarlo en PDF gracias al mirror de la Comunidad DragonJAR. Más Información: Facebook Forensics Paper...

Leer Más

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES

Aprende ONLINE Técnicas HACKING y Seguridad Informática guiad@ por Profesionales RECONOCIDOS con más de 10 años de experiencia REAL en el campo de la Seguridad Informática

Toma acción !AHORA¡
miles ya lo han hecho

NUNCA te enviaremos spam.

  • No necesitas conocimiento previo (De 0 a Ninja)
  • Docentes reconocidos en el medio y con experiencia REAL
  • Clases ONLINE en VIVO que luego podrás repasar si lo deseas desde cualquier parte o cualquier dispositivo
  • Contenidos EXCLUSIVOS generados por nuestros docentes
  • Contacto constante con el docente por distintos medios, antes, durante y después de las clases
  • Laboratorios en linea para que nuestros alumnos practiquen sus conocimientos sin problemas
  • Exclusivo FORO VIP de Alumnos y Ex-Alumnos donde se continúa el aprendizaje y se comparte conocimiento
  • Te entregamos un diploma de certificación por cada curso
  • Miles de ex-alumnos felices