Tag Archive AGS MEXICO

BySin Rostro

Intro al Reversing. ¿¿En Malware??

Durante mucho tiempo he estado preparando este post pero por alguna u otra cosa no había podido escribirlo. Me alegra por fin tener el tiempo para llevarlos a esta increíble inmersión en esta suculenta aventura.

Enserio XD? En malware?

No quiero entrar en polémicas. Que cual curso hacer? Que como crackeo tal software? Que si es bueno tal curso?

Gente creo que todos sabemos aquí cual es mejor sitio para aprender Reversing de Software en español y lo mejor es que es FREE!! Si aun no lo sabes aquí tienes el enlace.

Aun así no se cierren a solo lo que hay en su idioma hay muchos, muchísimos buenos tutos acerca del tema en Ruso. Así que si en realidad quieres pasa de los típicos Serials Fishing y quieres adentrarte a otra rama ya lo sabes.

Bueno para este caso analizaremos un archivo que hasta este momento es desconocido. Lo puedes descargar de aquí.

La password del archivo es “hpsi”.

Quiero partir pensando que tienes conocimientos medios en cuanto a reversing o  mínimo lo básico. Espero también sepas manejar algunas o de ser posible todas las herramientas que iremos pasando en esta serie. Bueno sin mas que decir quiero comenzar listando lo que en esta entrada veremos/necesitaremos.

Lo primero que deberíamos hacer es:

– Configurar un laboratorio de análisis de malware (necesario ya que algunos de los samples son extremadamente peligrosos }:D )

Porque usar laboratorios y no máquinas reales?

Bueno desde mi punto de vista un laboratorio virtual te permite emular desde una simple PC/Sistema hasta toda una red completa de trabajo, claro teniendo en cuenta las capacidades de la máquina host.

El punto fuerte que le veo a la virtualización sin lugar a duda es la flexibilidad, me refiero a la capacidad de emulación y sobre todo a los snapshots los cuales nos permiten trabajar en nuestros casos de malware sin remordimiento de joder el sistema virtualizado porque siempre podremos volver al lugar donde comenzamos, claro eso implica que guardes tus avances en otro sitio lejos del entorno de prueba.

La desventaja que encuentro, claro, siempre es la capacidad de la máquina Host ya que correr dos (o más) máquinas virtuales podría consumir muchos recursos de tu PC causando problemas, además de que ciertos tipos de malware pueden estar programados para no correr sobre entornos virtualizados.

Cabe mencionar que aunque estés en un Laboratorio Virtual siempre existe la posibilidad de eludir los mecanismos de protección y escaparse al Host.     }:D

En este caso yo me he preparado un laboratorio con una VictimMachine “win2 7” y otra máquina a la que llamé SnifferMachine “Debian 8 64bits”. Deberás conectar las 2 máquinas a una misma red aislada del internet. VictimMachine se conectara a SnifferMachine como si de un router se tratara. Espero no confundirlos mucho, así que para que no suceda eso aquí va un ejemplo:

VictimMachine Adapter Internet

IP Address          192.168.0.2

IP GATEWAY     192.168.0.1

SnifferMachine Adapter Internet

IP Address         192.168.0.1

IP GATEWAY    192.168.0.1

Asegúrate de tener instalado el paquete INETSIM en SnifferMachine y de que este corriendo el servicio con el siguiente comando

ps -ef | grep inetsim

te debería devolver un resultado como este:

Ahora solo debemos comprobar que tengamos conexión a SnifferMachine desde VictimMachine:

ping 192.168.0.1

Ahora tenemos un laboratorio en el cual trabajar.

Por ahora creo que es suficiente.

Veré cómo toman el tema, si es que les gusto o no (Comenten abajo), para saber si continuamos con ello.