Comentarios para Seguridad Informática Colombiana

Comentario el Explotar vulnerabilidad LNK « Ehm! por Análisis vulnerabilidad CVE-2010-2568 (Archivos .LNK)

Explotar vulnerabilidad LNK « Ehm! — Tue, 27 Jul 2010 17:41:51 +0000

[...] al analisis sobre la vulnerabilidad y explotacion de LNK realizado por Daniel, se pudo crear un archivo LNK indetectable por los Antivirus que reproduce [...]

Comentario el Sysroot por Análisis vulnerabilidad CVE-2010-2568 (Archivos .LNK)

Sysroot — Mon, 26 Jul 2010 05:54:11 +0000

Pablo: Dependiendo del archivo LNK que poseas la ruta varía, me explico, hay un ItemID en el LNK que apunta a la ruta en la cual se quiere que cargue la librería, si tienes el LNK que publicó Ivanlef0u entonces la librería debe estar en la ruta C:\dll.dll, de otro modo, la única forma de saber si carga o no, o si hay algún error es depurando.

German: Una de las limitantes para el archivo LNK es el uso de rutas relativas, en el formato publicado por Microsoft está especificado un bit para el uso de rutas relativas pero es imposible reproducir tal efecto.
Con respecto a la pregunta de si se puede ejecutar el dll sin especificar la letra de la unidad, es fácil usando UNC para cada dispositivo de almacenamiento conectando.

Comentario el German por Análisis vulnerabilidad CVE-2010-2568 (Archivos .LNK)

German — Mon, 26 Jul 2010 01:12:25 +0000

Excelente análisis.

Tengo una duda sobre el archivo .lnk que utiliza el malware STUXNET para esta vulnerabilidad.
¿Cómo sabe el archivo .lnk del malware cual es la ruta del archivo (dll) que va a ejecutar?
Puesto que los dos archivos (el lnk y la dll) estan en una unidad extraíble y la letra de unidad que se le asigna puede variar de ordenador a ordenador, entonces como sabe el .lnk cual es la ruta real del archivo dll a ejecutar.

Por ejemplo en el shukme.lnk que contiene la ruta C:\dll.dll. Se podrá hacer que el shukme.lnk
ejecute la dll.sll sin especificarle la letra de la unidad en que se encuentra osea que ejecute solo si existe un archivo llamado dll.dll en el directorio que esta el shukme.lnk

Saludos y gracias.

Comentario el PABLO por Análisis vulnerabilidad CVE-2010-2568 (Archivos .LNK)

PABLO — Sun, 25 Jul 2010 11:41:42 +0000

He visto el siguiente código para crear una dll:

#include
#include
//hinstdll es la instancia de la dll
//fdwReason es el motivo por el que se ha ejecutado el DllMain puede tomar como valores
//DLL_PROCESS_ATTACH=Un programa ha cargado la dll
//DLL_PROCESS_DETTACH=Un programa ha descargado la dll
//Si devolvemos TRUE la dll se quedará cargada si devolvemos FALSE la dll se descargará
//Por todo lo demás puedes imaginarte que estás programando un ejecutable normal y corriente
//solo que no tienes en principio entrada y salida por consola claro.
bool WINAPI DllMain(HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpvReserved)
{
if (fdwReason==DLL_PROCESS_ATTACH)
{
FILE *arch=fopen("c:\\t\\mehecargado.txt","w");
system("pause");
fclose(arch);
}
return TRUE;
}

Cuando intento llamarla desde .lnk no funciona, ¿qué código puedo utilizar para ver el funcionamiento?

Gracias

Comentario el Nueva vulnerabilidad en todos los Windows - La Comunidad DragonJAR por Análisis vulnerabilidad CVE-2010-2568 (Archivos .LNK)

Nueva vulnerabilidad en todos los Windows - La Comunidad DragonJAR — Sat, 24 Jul 2010 18:23:56 +0000

[...] An

Comentario el JuanEscobar.org » Esteganografía Media: Tutorial Least significant bit (LSB) en PNG por Explicación de los valores retornados por imagecolorat()

Sat, 24 Jul 2010 16:32:46 +0000

[...] http://www.sinfocol.org/2009/09/explicacion-de-los-valores-retornados-por-imagecolorat/ Categories: esteganografia Tags: Comentarios (0) Referencias (0) Dejar un comentario Referencia [...]

Comentario el JuanEscobar.org » Esteganografía Media: Tutorial Least significant bit (LSB) en PNG por Solución Reto #1: Esteganografía con bit menos significativo

Sat, 24 Jul 2010 16:25:52 +0000

[...] http://www.sinfocol.org/2008/09/solucion-reto-1-esteganografia-con-bit-menos-significativo/ http://www.sinfocol.org/2009/09/explicacion-de-los-valores-retornados-por-imagecolorat/ r {color: [...]

Comentario el Sysroot por Análisis vulnerabilidad CVE-2010-2568 (Archivos .LNK)

Sysroot — Fri, 23 Jul 2010 23:28:54 +0000

Sólo puede ejecutar el código que está contenido dentro de un dll ya que como se puede ver en las imágenes, se usa la función LoadLibraryW.
Con respecto a la librería, nosotros creamos una librería estándar con el lenguaje de programación C, no sabría decirte si creando la librería con Visual Basic puedas ejecutar el código correctamente.
La DLL debe tener la siguiente estructura:

#include "main.h"
BOOL WINAPI DllMain(HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpvReserved)
{
}

Comentario el Pablo por Análisis vulnerabilidad CVE-2010-2568 (Archivos .LNK)

Pablo — Fri, 23 Jul 2010 13:52:53 +0000

Interesante. ¿Sólo puede ejecutar dll o también .exe, .vbs?, ¿cómo se puede generar un dll como el de shukme.rar?, he intentado crear un dll con Visual Basic y no consigo que el dll ejecute un .exe (por ejemplo calc.exe)...
Saludos

Comentario el Sysroot por PHPLockPages: Protege el acceso a tus páginas

Sysroot — Fri, 23 Jul 2010 00:20:38 +0000

Hola Boris, gracias por escribir, igualmente me da pena contigo por el código tan mal estructurado.
Para lograr la conexión con la base de datos debes primero crear una base de datos llamada PHPLockPages, y a continuación ejecutar la sentencia para crear la tabla server_auth.
Asegúrate también de que uses los datos correctos del servidor como son usuario, contraseña, ip y puerto en la que corre el servicio del MySQL.
Me puedes indicar qué error te genera el sistema para tener una visión más clara de tu problema?
Gracias.