Convido a todos que recebem e-mails duvidosos (Veja minhas fotos,clique aqui etc..) a encaminha-los para o endereço golpes@zipmail.com.br para que eu possa analisa-los e postar periodicamente matérias sobre estas pragas digitais.
golpes@zipmail.com.br
quinta-feira, 29 de agosto de 2013
quarta-feira, 29 de agosto de 2012
Blok Free 4
Desta vez vou diferenciar um pouco o foco do post...esta semana eu estava no laboratório de informatica da faculdade tendo aula de programação (VB) e nas maquinas tem instalado um software chamado "Blok Free 4" este software bloqueia as janelas do tipo "cmd","painel de controle" e etc... ai me deu uma curiosidade (isso que move o mundo...) de burlar a senha do aplicativo em questão....(Gostaria de informar que não utilizei nenhuma maquina de propriedade da faculdade mas sim minha maquina virtual (VirtualBox com windowx XP) em meu notebook ).
OBJETIVO:
Utilizar técnicas de engenharia reversa para localizar e subverter as instruções que verificam a senha de configuração do software "Blok Free 4" para que não seja mais verificado e passe adiante a execução do programa permitindo acesso ao configurador sem necessidade da senha.
RESUMO:
Em dado momento da execução o aplicativo grava o valor da senha correta no registrador EDX e a senha digitada no registrador EAX na sequencia chama uma função que faz a comparação depois um pulo condicional e realizado baseando se na verificação desta função, a ideia é ignorar este pulo condicional para que a execução continue sem verificar a validação da senha digitada.
Vamos lá...
Primeiro Baixei o programa
depois extrai o arquivo .rar
e prossegui com a instalação normalmente
termo de responsabilidade que não fala nada sobre debugar o executável.......
local para a instalação
instalação em progresso normalmente
aviso sobre a senha inicial que é "superb"
mais uma apresentação e avisos e pronto
olha lá o cadiadinho que bonito...vamos tentar sem configurar nada acessar o nosso querido prompt "cmd"
por fim ele bloqueia.
Sempre que tentamos alguma interação com o software nos é apresentada a tela de senha.
digitando a senha tudo funciona corretamente.... até aqui temos o software instalado e funcionando.
Vou descobrir com linguagem utilizada no software com o "RDG Packer Detector"
vamos simular algum erro na autenticação...neste processo obtemos informações sobre dois forms
vou me atentar ao form da senha.. Temos um txtbox dois botões um label com o conteudo "Informe a senha" preciso descobrir o endereço de memoria do evento disparado pelo click do botão "ok" para começar a debuggar no OllyDbg.
Utilizei o programa "E2A - Event to address" para descobrir
Analisando os forms encontrei o fsen:Tfsen onde a caption do lbl1:TLabel é "Informe a senha" comprovando que este é o formulário correto.
Continuando achei o endereço do event click do botão ok (00494728 )
Pronto vamos abrir o OllyDbg e carregar o executável
.
Utilizando o comando ctrl+g vamos ao endereço
Aproveitando para utilizar o "F2" colocando um break point
Manda pau....."F9"
Vamos digitar qualquer senha e ao click no Ok teremos a parada do breakpoint
Agora utilizando o "F8" combinado com "F7" partindo do breakpoint vamos escooooovaaaaarrrrr os bits até chegar no endereço 0049463B onde
a senha correta e carregada para o registrador "EDX="superb"" e a senha digitada esta no registrador "EAX=5444"
A proxima instrução é um call para o endereço 00404EB4 - Onde é feita a comparação e validação da senha digitada e da senha correta
apos o retorno da função é feito um JNZ baseado no retorno (Condicional que define o rumo entre senha correta e senha errada)
Creio que esta condicional é o que procurava, vamos utilizar a tecla "espaço" para modificar a instrução do JNZ no endereço 00494642
Modificação Feita, Substitui a instrução original por "nop"
Vamos continuar a execução com o "F9"
Opa validou a senha errada e nos entregou a tela de configuração....
legal então era a condicional correta, embora eu já tivesse obtido a senha nos passos anteriores, eu gostaria de recompilar o executável modificado desabilitando a verificação de senha possibilitando utiliza-lo em outras maquinas
Para isso vamos fazer um reload no ollydbg e utilizando o endereço obtido anteriormente 00494642 vamos direto ao JNZ para modifica-lo
Depois de modificar
Vamos salvar....Selecionando as alterações clico com direito e seleciono "copy to executable -> selection"
Abri uma nova tela
Na nova tela clico com direito e "save file"
Salvo o novo executavel com o "nome cbfiv_MODIFICADO"
Vou navegar até o diretório
E executo o novo arquivo
Vamos digitar uma senha qualquer tipo "1111" e deu certo abriu o configurador vamos desabilitar o cadiadinho chato
Ok conseguimos vamos acessar o prompt "cmd"
Vamos utilizar o exe modificado para alterar a senha do original para "1234"
E vamos acessar direto pelo icone ao lado do relogio com a nova senha "1234"
Deu certo vou desinstalar o "Blok free 4"
Bom consegui atingir meu objetivo agora vou testar a portabilidade deste executavel modificado em outras maquinas se der certo faço um pro windows 7
Falow até a proxima
segunda-feira, 27 de agosto de 2012
Parabéns! Você foi selecionado para participa r da promoção
(Isso mesmo o "r" de participar no assunto é separado)...
Vamos iniciar nossa proxima analise, um e-mail com o assunto "Parabéns! Você foi selecionado para participa r da promoção."
De: Promoção Cielo <contato@promocaoparavoce.com>
Realmente escrever certo não é o forte do autor do e-mail ("participa r"), que seja o que importa é que fomos sorteados para participar da promoção vamos ver se ganhamos algo.....
No corpo do e-mail temos o texto "Se você não consegue visualizar essa mensagem por completo, favor clique aqui."... nosso famoso "clique aqui" que nos leva atraves de um link para o endereço
"http://www.lesmeninweb.com/cadastre-se.php"
________________________________________________________________________
wget -c http://www.lesmeninweb.com/cadastre-se.php
--2012-08-18 19:48:15-- http://www.lesmeninweb.com/cadastre-se.php
Resolvendo www.lesmeninweb.com (www.lesmeninweb.com)... 213.186.33.19
Conectando-se a www.lesmeninweb.com (www.lesmeninweb.com)|213.186.33.19|:80... conectado.
A requisição HTTP foi enviada, aguardando resposta... 302 Moved Temporarily
Localização: http://200.98.139.185/inscricao.php [redirecionando]
--2012-08-18 19:48:21-- http://200.98.139.185/inscricao.php
Conectando-se a 200.98.139.185:80... conectado.
A requisição HTTP foi enviada, aguardando resposta... 200 OK
Tamanho: 2118 (2,1K) [text/html]
Salvando em: “cadastre-se.php”
100%[======================================>] 2.118 --.-K/s em 0s
2012-08-18 19:48:21 (182 MB/s) - “cadastre-se.php” salvo [2118/2118]
_________________________________________________________________________
Aqui obtemos o endereço "213.186.33.19" que faz um redirecionamento 302 para o endereço "http://200.98.139.185/inscricao.php"
opa pode ser conhecidência mas no post "http://hackncrash.blogspot.com.br/2012/08/segue-em-anexo-comprovante-de-deposito.html" um dos endereços envolvidos era "http://200.98.139.149"...
O endereço "213.186.33.19" é de responsabilidade da empresa "Universo Online S.A" aqui obtemos o e-mail para denuciar "novamente" um ip deles e-mail: "security@uol.com.br"
__________________________________________________________________________
inetnum: 200.98/16
aut-num: AS15201
abuse-c: SEO50
owner: Universo Online S.A.
ownerid: 001.109.184/0001-95
responsible: Contato da Entidade UOL
country: BR
owner-c: CAU12
tech-c: CAU12
inetrev: 200.98.128/18
nserver: eliot.uol.com.br
nsstat: 20120817 AA
nslastaa: 20120817
nserver: borges.uol.com.br
nsstat: 20120817 AA
nslastaa: 20120817
created: 20030318
changed: 20040323
nic-hdl-br: SEO50
person: Security Office
e-mail: security@uol.com.br
created: 20021114
changed: 20110830
______________________________________________________________________
Mas e o outro IP, o que faz o redirecionamento....Putz de novo no post "http://hackncrash.blogspot.com.br/2012/08/eu-falei-que-filmariarsrs.html" a empresa http://www.ovh.com tambem teve um de seus endereços utilizados no golpe vamos denunciar denovo "abuse@ovh.net"
______________________________________________________________________
inetnum: 213.186.33.0 - 213.186.33.255
netname: OVH
descr: OVH SAS
descr: Shared Hosting Servers
descr: http://www.ovh.com
country: FR
admin-c: OK217-RIPE
tech-c: OTC2-RIPE
status: ASSIGNED PA
mnt-by: OVH-MNT
source: RIPE # Filtered
abuse-mailbox: abuse@ovh.net
mnt-by: OVH-MNT
source: RIPE # Filtered
______________________________________________________________________
Vamos continuar apos o redirecionamento no deparamos com o seguinte site:
Vamos iniciar nossa proxima analise, um e-mail com o assunto "Parabéns! Você foi selecionado para participa r da promoção."
De: Promoção Cielo <contato@promocaoparavoce.com>
Realmente escrever certo não é o forte do autor do e-mail ("participa r"), que seja o que importa é que fomos sorteados para participar da promoção vamos ver se ganhamos algo.....
No corpo do e-mail temos o texto "Se você não consegue visualizar essa mensagem por completo, favor clique aqui."... nosso famoso "clique aqui" que nos leva atraves de um link para o endereço
"http://www.lesmeninweb.com/cadastre-se.php"
________________________________________________________________________
wget -c http://www.lesmeninweb.com/cadastre-se.php
--2012-08-18 19:48:15-- http://www.lesmeninweb.com/cadastre-se.php
Resolvendo www.lesmeninweb.com (www.lesmeninweb.com)... 213.186.33.19
Conectando-se a www.lesmeninweb.com (www.lesmeninweb.com)|213.186.33.19|:80... conectado.
A requisição HTTP foi enviada, aguardando resposta... 302 Moved Temporarily
Localização: http://200.98.139.185/inscricao.php [redirecionando]
--2012-08-18 19:48:21-- http://200.98.139.185/inscricao.php
Conectando-se a 200.98.139.185:80... conectado.
A requisição HTTP foi enviada, aguardando resposta... 200 OK
Tamanho: 2118 (2,1K) [text/html]
Salvando em: “cadastre-se.php”
100%[======================================>] 2.118 --.-K/s em 0s
2012-08-18 19:48:21 (182 MB/s) - “cadastre-se.php” salvo [2118/2118]
_________________________________________________________________________
Aqui obtemos o endereço "213.186.33.19" que faz um redirecionamento 302 para o endereço "http://200.98.139.185/inscricao.php"
opa pode ser conhecidência mas no post "http://hackncrash.blogspot.com.br/2012/08/segue-em-anexo-comprovante-de-deposito.html" um dos endereços envolvidos era "http://200.98.139.149"...
O endereço "213.186.33.19" é de responsabilidade da empresa "Universo Online S.A" aqui obtemos o e-mail para denuciar "novamente" um ip deles e-mail: "security@uol.com.br"
__________________________________________________________________________
inetnum: 200.98/16
aut-num: AS15201
abuse-c: SEO50
owner: Universo Online S.A.
ownerid: 001.109.184/0001-95
responsible: Contato da Entidade UOL
country: BR
owner-c: CAU12
tech-c: CAU12
inetrev: 200.98.128/18
nserver: eliot.uol.com.br
nsstat: 20120817 AA
nslastaa: 20120817
nserver: borges.uol.com.br
nsstat: 20120817 AA
nslastaa: 20120817
created: 20030318
changed: 20040323
nic-hdl-br: SEO50
person: Security Office
e-mail: security@uol.com.br
created: 20021114
changed: 20110830
______________________________________________________________________
Mas e o outro IP, o que faz o redirecionamento....Putz de novo no post "http://hackncrash.blogspot.com.br/2012/08/eu-falei-que-filmariarsrs.html" a empresa http://www.ovh.com tambem teve um de seus endereços utilizados no golpe vamos denunciar denovo "abuse@ovh.net"
______________________________________________________________________
inetnum: 213.186.33.0 - 213.186.33.255
netname: OVH
descr: OVH SAS
descr: Shared Hosting Servers
descr: http://www.ovh.com
country: FR
admin-c: OK217-RIPE
tech-c: OTC2-RIPE
status: ASSIGNED PA
mnt-by: OVH-MNT
source: RIPE # Filtered
abuse-mailbox: abuse@ovh.net
mnt-by: OVH-MNT
source: RIPE # Filtered
______________________________________________________________________
Vamos continuar apos o redirecionamento no deparamos com o seguinte site:
Prosseguindo no site temos o seguinte formulário:
Aqui já da pra concluir que se trata de Phishing " http://pt.wikipedia.org/wiki/Phishing" onde se tenta roubar informações de clientes utilizando uma copia de um site "CONFIAVEL"
Vamos fazer um "wget" recursivo obtendo todos os arquivos do endereço "http://200.98.139.185/"
_________________________________________________________________________
~/Malware/BLOG_ANALISE3/200.98.139.185$ ls
cartaoCredito.html ganhadores.php index.php mask.js
css img jquery.js selecioneCartao.php
faleconosco.php index.html loading.html
__________________________________________________________________________
Enfim neste caso terminamos não precisamos analisar executáveis para descobrir do que se trata o golpe é simples e direto.
O que nos resta e denunciar as devidas empresas.
Assinar:
Postagens (Atom)