Análisis Forense a Skype
Ago22

Análisis Forense a Skype

Bueno luego de un tiempo sin estar en redes sociales perdiendo el tiempo en algunas ocasiones, decidí tomarme el tiempo para estudiar y  adquirir nuevos conocimientos entre los cuales siempre he querido saber cómo funciona la informática forense ya que no es mi fuerte, pues nada inicié por investigar sobre Windows y sus registros y bueno de ahí nació este post y con el una tool a la cual he llamado  “Skype Forensic” (si si lo sé, de ideas para buenos nombres no tengo la mas mínima idea xD). Pero bueno nada luego de hablar con  @arthusuxd  le dije que quería desarrollar una tool que se pueda usar en el medio de la informática forense a lo cual llegamos a una gran idea que inicié el mismo día que hablé con él, logré definir lo más importante de la otra tool y todo, cuando inicié a programar se me encendió el chispero y fue cuando pensé ¿ como funciona skype? – ¿si es una aplicación que se instala en mi equipo, tendría que dejar registros de que es lo que hace no? – pues bueno nada me puse a buscar logs dentro de mi pc y llegué a la ruta “C:\Users\user\AppData\Roaming\Skype\mr-pack” viendo sus archivos me topo con varias DBs  lo que me causó curiosidad fue ver que contenían dentro de ellas, a lo cual como no tenía un gestor de DBs y me daba flojera bajar uno pesado llegué a este script http://sourceforge.net/projects/sqlitebrowser/ totalmente gratis, luego de ello importé las dbs y bueno me topé con una que me llamó mucho la atención y fue “main.db” en la cual se encuentra alojada la información de contactos, conversaciones, archivos etc.. a lo cual dije pues nada a desarrollar una tool que aproveche ese registro que nos regala skype y bueno de ahí nació Skype Forensic. Una Herramienta desarrollada en JAVA (como algunos saben me voy mas por java), por el momento SÓLO FUNCIONA EN WINDOWS , no pesa mas de 3.12 MB. Requisitos :  Tener JAVA instalado  Skype (previamente instalado y que haya sido usado) Esta es su interfaz principal  creo que es muy fácil de entender, en donde dice UserName Skype va el usuario con el que han ingresado a Skype desde el computador en el que se está ejecutando la tool, al darle  click en  Go  la tool nos retorna los contactos que tiene agregados  en la cuenta. Ahora solo basta con seleccionar en la columna de Contact el usuario de un contacto y luego dar click en Files Transferred el cual nos mostrará los archivos compartidos con el usuario seleccionado. Nos muestra el nombre del archivo transferido,...

Leer Más

Fake Skype analysis II

Hace días publicaba una entrada aquí en DragonJAR sobre una aplicación fake que habían colado en el repositorio de software Open Source llamado Sourceforge. En la primera entrada, hicimos alguna búsqueda de strings en la aplicación, con pyew, extrajimos alguna información además de que hicimos un análisis usando BSA pero sin tener acceso a internet. Continuamos con el artículo de hoy, primero de todo dando de algo de información del binario. File: SkypeSetup.exe Size: 1916301 bytes Type: PE32 executable for MS Windows (GUI) Intel 80386 32-bit MD5: 4e6e4f03ae39c1273a7dd64c57ff2099 SHA1: 5c842d5632a9d31c12b51dc73f3e97827117d4d5 ssdeep: 49152:pZsBWOGZFBNmWdOG5jYm23cNDVNJlXso80WH+YIjNP89A6UgXaF:pZsBWOGZFBTdOGj23aJTlRiOpyA6UgS Date: 0x4D0B8C52 [Fri Dec 17 16:14:10 2010 UTC] EP: 0x40b2ec .text 0/5 CRC: Claimed: 0x0, Actual: 0x1df18f [SUSPICIOUS] Si nos fijamos en la fecha de creación es de 2010! Como comentaba, en la primera parte hicimos un análisis de la aplicación en una sandbox pero sin que esta tuviera acceso a internet, le simulamos algunos servicios usando FakeNET. ¿El análisis cambia con o sin acceso a internet? Pues la respuesta es si, podemos encontrarnos en varios casos en los que el malware realiza ciertas acciones antes de hacer sus maldades. Peticiones DNS Llamadas al sistema El paquete entero de Fake Sype, YA contenía un EXE con el instalador, no le hacía falta conectarse a internet. Pero si por lo que sea, no podía conectarse con su panel de Control no hacía nada y daba un error. En cuanto le di acceso a Internet estos fueron los cambios que se hicieron en la sandbox. Report generated with Buster Sandbox Analyzer 1.88 at 16:45:47 on 14/07/2013 [ General information ] * Analysis duration: 00:02:00 * File name: c:\documents and settings\user\desktop\malware\skypesetup.exe [ Changes to filesystem ] * Creates file C:\cleanup.bat * Creates file C:\cleanup.exe * Creates file C:\Program Files\Common Files\Skype\Skype4COM.dll * Creates file C:\Program Files\qcdvglgr.txt * Creates file (hidden) C:\Program Files\Skype\desktop.ini * Creates file C:\Program Files\Skype\Phone\Skype.exe * Creates file C:\Program Files\Skype\third-party_attributions.txt * Creates file C:\Program Files\Skype\third-party_attributions_click-to-call.txt * Creates file C:\Program Files\Skype\Toolbars\Internet Explorer\icon.ico * Creates file C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll * Creates file C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPluginBroker.exe * Creates file C:\Program Files\Skype\Toolbars\Internet Explorer\uninstall.ico * Creates file C:\Program Files\Skype\Toolbars\Shared\root.pem * Creates file C:\Program Files\Skype\Toolbars\Shared\SkypeBrowserOptions.dll * Creates file C:\Program Files\Skype\Toolbars\Shared\SkypePnr.dll * Creates file C:\Program Files\Skype\Toolbars\SkypeToolbars.msi * Creates file C:\Program Files\Skype\Updater\Updater.dll * Creates file C:\Program Files\Skype\Updater\Updater.exe * Creates file C:\WINDOWS\CDFRT.txt * Creates file C:\WINDOWS\Installer\18f4f7.msi * Creates file C:\WINDOWS\Installer\18f4fc.msi * Creates file C:\WINDOWS\Installer\{4E76FF7E-AEBA-4C87-B788-CD47E5425B9D}\SkypeIcon.exe * Creates file C:\WINDOWS\Installer\{B6CF2967-C81E-40C0-9815-C05774FEF120}\IconUninstallIco * Creates file C:\WINDOWS\ornrvjo.txt * Creates file C:\WINDOWS\system32\BBK3.txt * Creates file C:\WINDOWS\system32\CMC.exe * Creates file C:\WINDOWS\system32\config\systemprofile\Application Data\Microsoft\CryptnetUrlCache\Content\62B5AF9BE9ADC1085C3C56EC07A82BF6 * Creates file C:\WINDOWS\system32\config\systemprofile\Application Data\Microsoft\CryptnetUrlCache\Content\8DFDF057024880D7A081AFBF6D26B92F * Creates file C:\WINDOWS\system32\config\systemprofile\Application Data\Microsoft\CryptnetUrlCache\MetaData\62B5AF9BE9ADC1085C3C56EC07A82BF6 * Creates file C:\WINDOWS\system32\config\systemprofile\Application Data\Microsoft\CryptnetUrlCache\MetaData\8DFDF057024880D7A081AFBF6D26B92F * Creates file C:\WINDOWS\system32\CONFIG.DDR * Modifies file C:\WINDOWS\system32\d3d9caps.dat * Creates file C:\WINDOWS\system32\drivers\khkher.sys * Creates file C:\WINDOWS\system32\drivers\puqr.sys * Creates...

Leer Más
Fake Skype analysis
Jul14

Fake Skype analysis

Es común por parte de los criminales imitar programas legítimos para tratar de infectar usuarios. Si consiguen crear una buena imitación de un software muy usado se podrá conseguir un impacto muy alto. En una lista de seguridad advertían de que habían subido a un repositorio de Sourceforge un instalador de Skype malicioso. Antes de que de retiraran el archivo me lo descargue para ver que es lo que era exactamente. Por suerte el archivo ya ha sido removido del repositorio de Sourceforge. Si buscamos en Google, podemos ver que ya había sido cacheado por él. El MD5 del binario es: darkmac:pyew marc$ md5 ../../../Downloads/SkypeSetup.exe MD5 (../../../Downloads/SkypeSetup.exe) = 4e6e4f03ae39c1273a7dd64c57ff2099 Antes de ejecutarlo en ningún entorno vamos a extraer algunos strings del binario. Entre los strings encontramos cosas como: OleInitialize ole32.dll OLEAUT32.dll WINRAR.SFX RSDSo d:\Projects\WinRAR\SFX\build\sfxrar32\Release\sfxrar.pdb Presuntamente podemos ver que se estaba compilando el archivo en la Unidad D: Podemos ver mas strings interesantes </assembly> PADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDING***messages*** ; Strings 28b64ee0="Selecione a pasta de destino" c2f7663d="Extraindo %s" e6184908="Ignorando %s" 5ec2b9a4="Final inesperado do arquivo" 8e950692="O cabe alho do arquivo \"%s\" est corrompido" 7e3a9609="O cabe alho do coment rio do arquivo est corrompido" 4eb4cd58="O coment rio do arquivo est corrompido" 009537bf="Mem ria insuficiente" 4d117d42="M todo desconhecido em %s" 7c1e30d8="N o foi poss vel abrir %s" 62240658="N o foi poss vel criar %s" 644f7b2f="N o foi poss vel criar a pasta %s" efa47afe="Falha de CRC no arquivo codificado %s. Arquivo corrompido ou senha errada." 2669d7b6="Falha de CRC em %s" cedc96f3="Falha de CRC nos dados comprimidos em %s" d7b7d4f4="Senha incorreta para %s" 41ce4b30="Erro de grava o no arquivo %s. Provavelmente o disco est cheio" 68a8444a="Erro de leitura no arquivo %s" fc92e4b0="Erro ao fechar o arquivo" c282ae83="O volume requerido est ausente" 8deeac82="Este arquivo est em formato desconhecido ou danificado" bdba36ee="Extraindo de %s" 3f75c3f0="Pr ximo volume" b127402c="O cabe alho do arquivo est corrompido" 28968711="Fechar" 664abaa4="Erro" f819b84b="Foram encontrados erros ao executar a opera o\nAten o para a informa o da janela para maiores detalhes" 4bcf6a1f="bytes" 0fafb862="modificado em" a05a6a8d="pasta n o est acess vel" ca228992="Alguns arquivos n o puderam ser criados.\nFavor fechar todas as aplica es, reinicie o Windows e recomece a instala 7b70360d="Alguns arquivos da instala o est o corrompidos.\nFavor fazer o download de um novo arquivo para refazer a instala 3bf460be="Todos os arquivos" 4ebc6a80="<ul><li>Pressione o bot o <b>Instalar</b> para iniciar a extra o.</li><br><br>" 501aec0e="<ul><li>Pressione o bot o <b>Extrair</b> para iniciar a extra o.</li><br><br>" bf41b9e0="<li>Use o bot o <b>Procurar</b> para selecionar uma pasta de" Estos strings pertenecerían al asistente de instalación de Skype. Ahora usaremos una tool. que se llama pyew, para extraer mas información del binario. Ejecutamos la herramienta. darkmac:pyew marc$ python pyew.py ../../../Downloads/SkypeSetup.exe Cuando ejecutemos la herramienta sobre...

Leer Más

Clonacion de tarjeta Sim y hacking a telefonos publicos

Recientemente publicaron en Citizen Enginner un vídeo donde muestran como es posible la clonación de tarjetas SIM y el hacking a teléfonos de pago o lo que conocemos en Colombia como teléfonos públicos. En el vídeo nos enseñan como es el funcionamiento de las tarjetas SIM (Las mismas tarjetas que usan los teléfonos celulares con tecnología GSM ) y la creación de un lector para tarjetas SIM, con el fin de visualizar mensajes de texto eliminados, el directorio telefónico, entre otras cosas. Exponen también como podemos modificar los teléfonos públicos de tal forma que puedan ser usados como un teléfono para el hogar o VoIp (skype). En general el vídeo es demasiado interesante por que podemos ver claramente como construir el hardware para hacer lo que hemos mencionado anteriormente. Sin nada mas que decir, comparto con todos ustedes el vídeo, para que lo observen y se animen a practicar y aprender un poco sobre la clonación de tarjetas SIM y el hacking a los teléfonos públicos Mas Información: Citizen...

Leer Más

Guarda las Conversaciones de MSN Messenger, Yahoo! Messenger, Pidgin Skype, etc..

IM History es una gran aplicación que te permite almacenar y guardar las conversaciones de diversos clientes de mensajeria instantanea, en un solo lugar y utilizando un solo software. Para utilizar el IM History solo tenemos que crearnos una cuenta en su sitio, descargar e instalar el programa, este detectara automáticamente los clientes de mensajería instantánea que tengas instalado y los configurara. El IM History te permite guardar las conversaciones en texto plano y ademas te permite también guardar imágenes, fotos y lo mas importante el texto con su fuente y color Los clientes de mensajería instantánea soportados de momento son: MSN Messenger Yahoo! Messenger ICQ Trillian Miranda AIM Skype Y pronto agregaran soporte para Gtalk, Kopete e iChat. Esta disponible para Microsoft Windows y GNU Linux y puedes descargarlo haciendo click en el botón correspondiente a tu sistema...

Leer Más

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES