Bypass sistema anti-SPAM usando punycode

Las empresas de seguridad afinan los controles del correo para que los correos de SPAM no lleguen hacia la bandeja de entrada y puedan por ejemplo llegar a infectar a los usuarios. Una cantidad X de links en el correo, que no se tenga activado SPF o DKIM, al final todo esto marca una puntuación y el correo acaba siendo enviado a la bandeja de entrada o la papelera. Los criminales van buscando nuevas técnicas  de saltarse los filtros de anti-spam creados por las empresas para que el correo de SPAM llegue hasta los usuarios. Una de las técnicas que usan para este tipo bypass es punycode. ¿Que es PunyCode? Punycode (código púny) es una sintaxis de codificación usada en programación que usa una cadena Unicode que puede ser traducida en una cadena de caracteres más limitada compatible con los nombres de red. La sintaxis está publicada en Internet en el documento RFC 3492.1 La codificación es usada como parte de IDNA, que es un sistema que habilita el uso de IDNA (iniciales de nombres de dominios internacionalizados en inglés) en todos los archivo de órdenes soportados por Unicode. PunyCode en campañas de infección de Exploits Kits. La empresa de seguridad de Trend Micro avisa de que han visto en varias campañas de infección del Exploit Kit Blackhole usando PunyCode en sus envíos de correos. ¿Que aspecto tiene el PunyCode? Pues si buscar por ahí hay generadores de UNICODE a PunyCode, pero para que veas de que se está hablando. Para los administradores, haced pruebas de analizar las cabeceras de los correos en busca de formato PunyCode para poder analizar los correos de...

Leer Más
Analizando un correo de SPAM
May20

Analizando un correo de SPAM

Los proveedores de correo electrónico vigilan de ajustar sus filtros de SPAM para que los usuarios no sufran oleadas de correos basura con phishings, malware etc… Yo siempre reviso el SPAM por si acaso viene algún premio que merezca la pena analizar. En la revisión de correos que estaba realizando me ha llegado un correo de SPAM, se trataba de un phishing. Sabía que era así porque me ofrecían cambiar las claves de una cuenta bancaria de la que yo no tenía cuenta registrada. Observamos el correo: Tenía claro de que se trataba de un phishing ya que yo no tengo cuenta en Banamex. Miramos el enlace donde apunta la palabra Entrar: http://www.baltiprofiil.ee/boveda.banamex.com.mx/serban/ La parte en negrita es el dominio, para confundir al usuario han usado la palabra banamex en el directorio donde estaría alojado el phishing. darkmac:malware marc$ curl -I http://www.baltiprofiil.ee/boveda.banamex.com.mx/serban/ HTTP/1.1 404 Komponenti ei leitud Date: Mon, 20 May 2013 21:38:03 GMT Server: Apache/2.2.24/DataZone SP (Unix) mod_zfpm/0.2 P3P: CP="NOI ADM DEV PSAi COM NAV OUR OTRo STP IND DEM" Expires: Mon, 1 Jan 2001 00:00:00 GMT Cache-Control: post-check=0, pre-check=0 Pragma: no-cache Set-Cookie: fb2e82f3aa5e9e6274ab1d0eb636e5bd=6e5fcf339c991bbe34523d245d2d2a29; path=/ Set-Cookie: lang=deleted; expires=Sun, 20-May-2012 21:38:02 GMT; path=/ Set-Cookie: jfcookie=deleted; expires=Sun, 20-May-2012 21:38:02 GMT; path=/ Set-Cookie: jfcookie[lang]=deleted; expires=Sun, 20-May-2012 21:38:02 GMT; path=/ Last-Modified: Mon, 20 May 2013 21:38:03 GMT Content-Type: text/html; charset=utf-8 El phishing no está disponible, una lástima, me hubiera gustado analizarlo. He consultado el dominio en las listas negras y no está, por lo tanto puede que se trate de un dominio comprometido. http://multirbl.valli.org/lookup/baltiprofiil.ee.html Una de las cosas que podemos hacer es mirar las cabeceras del correo eso nos aportará mas información. Received: by 10.60.27.70 with SMTP id r6csp7332oeg; Sat, 18 May 2013 02:11:56 -0700 (PDT) X-Received: by 10.15.108.6 with SMTP id cc6mr79602894eeb.28.1368868315363; Sat, 18 May 2013 02:11:55 -0700 (PDT) Return-Path: <[email protected]> Received: from s16071902.onlinehome-server.info (intercampusonline.com. [212.227.89.54]) by mx.google.com with ESMTPS id i3si21728397eev.129.2013.05.18.02.11.54 for <[email protected]> (version=TLSv1 cipher=RC4-SHA bits=128/128); Sat, 18 May 2013 02:11:55 -0700 (PDT) Received-SPF: neutral (google.com: 212.227.89.54 is neither permitted nor denied by best guess record for domain of [email protected]) client-ip=212.227.89.54; Authentication-Results: mx.google.com; spf=neutral (google.com: 212.227.89.54 is neither permitted nor denied by best guess record for domain of <strong>[email protected]</strong>) [email protected] Received: by <strong>s16071902.onlinehome-server.info</strong> (Postfix, from userid 502) id 9E1269FB0; Sat, 18 May 2013 10:18:52 +0200 (CEST) To: [email protected] Subject: Verificacion de datos en BancaNet X-PHP-Originating-Script: 502:index.php From: Notificaciones<[email protected]> Reply-To: [email protected] La dirección de correo estaba spoofeada por lo tanto el destinatario del correo pensará de nuevo que la notificación se la envía el banco. Una de las maneras de revisar esta parte es mirar la cabecera del correo. Como véis un pequeño análisis nos da información sobre el phishing...

Leer Más
Saltar Captchas
May30

Saltar Captchas

Como saltarse los Captchas es una de las preguntas que se empezaron a hacer los spammers o personas que necesitaban “automatizar” procesos, desde que esta medida de seguridad empezó a volverse popular en la red. Para resolver un poco esta pregunta de como saltar captchas y gracias a PerverthsO de la Comunidad DragonJAR nos enteramos de un documento escrito por Luis Alberto Cortes Zavala (NaPa) de Security Nation Labs en el que se explica como programar una red neuronal de reconocimiento de captchas y poder saltarlos. Recordemos que un captcha se trata de una prueba-desafío usada en la computación para determinar si un usuario es humano o no. Es utilizada para evitar que robots (también spambots) puedan hacer uso de ciertos servicios (encuestas, registrar cuentas de correo electrónico, etc.) aunque se ha comprobado que es posible burlar este tipo de protección; una prueba de esto es el documento expuesto a continuación. El documento se basa en imágenes de verificación. Recordemos que no sólo existe este tipo de captchas, aunque sí es el más usado en la actualidad. Un ejemplo podría ser una de las siguientes imágenes: En este caso el  usuario debería de escribir manualmente cada una de las letras y números que aparecen en las imágenes para poder realizar una acción, ya un registro, una búsqueda, o cualquier otra cosa. Estas imágenes siempre son aleatorias por lo que es muy difícil encontrarse los mismos caracteres al recargar la página. El artículo consta de 13 páginas y el lenguaje usado es PHP. Descargar documentacion para aprender a Saltar...

Leer Más

Laboratorios: Análisis de Malware, Introducción y Contenido

Laboratorios de Análisis de Malware nace como una nueva propuesta de Laboratorios virtuales y presenciales de Labs.DragonJAR.org. Esta nueva propuesta de capacitación e investigación sobre Análisis de Malware llevará a cabo diferentes Laboratorios relacionados con las Amenazas y el Software Dañino/Malicioso (Malware) al que están expuestos los usuarios de Internet y las computadoras. Se hace necesario entonces definir el concepto de Malware, pues este será el objeto de distintos análisis a travéz de cada post. Malware: Malware (del inglés malicious software, también llamado badware, software malicioso o software malintencionado) es un software que tiene como objetivo infiltrarse en el sistema y dañar la computadora sin el conocimiento de su dueño, con finalidades muy diversas, ya que en esta categoría encontramos desde un troyano a un spyware. Esta expresión es un término general muy utilizado por profesionales de la computación para definir una variedad de software o programas de códigos hostiles e intrusivos. Muchos usuarios de computadores no están aún familiarizados con este término y otros incluso nunca lo han utilizado. Sin embargo la expresión “virus informático” es más utilizada en el lenguaje cotidiano y a menudo en los medios de comunicación para describir todos los tipos de malware. Se debe considerar que el ataque a la vulnerabilidad por malware, puede ser a una aplicación, una computadora, un sistema operativo o una red. Leer Más >> Una vez definido el objetivo principal de esta serie de Laboratorios vemos el contenido temático a tratar en esta serie de publicaciones: Contenido Temático (Propuestas con ejemplos prácticos de laboratorios) Malware (Software Malicioso) / Tipos de Malware Adware Backdoor Bomba fork Bots Bug Caballo de Troya (Troyanos ó  Trojans) Cookies Crackers Cryptovirus, Ransomware o Secuestradores Dialers DoS Exploit Falso antivirus (Rogue) Hijacker Hoaxes, Jokes o Bulos Keystroke o keyloggers Pharming Phishings Pornware Rootkit Spam Spyware Ventanas emergentes/POP-UPS Worms o gusanos Contramedidas al Malware Enfoques de Anti-Malwares Técnicas de Anti-Malwares Técnicas de Análisis de Malware Programación de Malware Lenguajes de programación C/C++/Ensamblador ó ASM/VB Ingeniería Inversa / Reversing Este será entonces el contenido temático a manera de propuesta, el mismo puede ser modificado, agregando nuevo tópicos a tratar. La idea es que los post sigan realizandose de la misma manera que he publicado los anteriores Labs, es decir, de una manera didáctica y pedagógica, la cual permita que cualquier usuario independientemente de su nivel de experticia pueda seguir y desarollar los mismos. Queda abierta la invitación como siempre a colaboradores que quieran enviar sus propios laboratorios, análisis o videos. Pues este último medio de transmisión será el más utilizado en cada post. Sean entonces...

Leer Más

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES