El equipo de HackPlayers publica una vez más, uno de sus magníficos retos de seguridad, esta vez uno relacionado con la ingeniería inversa y el estegoanálisis.

Dejo la propia descripción de este y aprovecho para darle mis más sinceros saludos y felicitaciones a nuestro amigo y próximo padre!!!

<hackplayers>

Descifra el Mensaje del Bebé Llorón

Este año estoy dedicando muchas tardes de verano a mirar revistas, leer libros y buscar en Internet cualquier cosa relacionada con el parto y el cuidado del recién nacido. Estamos deseando que nazca nuestro bebé y para los papás primerizos todo es nuevo y está por aprender.

Sirva de ejemplo y práctica el bebé de la foto. Como veis no deja de llorar, quiere decirnos algo pero no puedo entenderlo. ¿Me ayudáis a descifrar el mensaje del bebé llorón?

Analiza la imagen y mándanos el texto oculto junto con el procedimiento seguido para obtenerlo.

¡Quién sabe, quizás serías un perfecto canguro!

</hackplayers>

Invitados entonces a participar…

Al habla de Ingeniería Inversa de Malware (Reverse-Engineering Malware – REM) es obligatorio hablar del experto investigador  Lenny Zeltser y aun más cuando recién está realizando los cursos por parte de SANS sobre esta materia.

Entre uno de sus proyectos de investigación se encuentra el desarrollo de una distribución de GNU/Linux  basada en Ubuntu y enfocada al Análisis e Ingeniería Inversa de Malware.

REMnux se presenta entonces como un completo entorno de análisis de malware que puede ser incluido en nuestros laboratorios de investigación. Entre sus funcionalidades se encuentra la posibilidad de implementación de servicios en determinados puertos para simular el sistema que recibe algún tipo de instrucción o petición desde un equipo del laboratorio infectado.

Permite además realizar análisis de malware basado en aplicaciones web, como javascripts maliciosos, apps de java y películas en flash (animaciones maliciosas). También dispone de diferentes herramientas para el análisis en busca de documentos maliciosos como pueden ser los de Microsoft Office, OpenOffice y PDF’s. Algo que llama aun más la atención en la funcionalidad e realizar ejecuciones del malware en el propio REMnux y realizar volcados de memoria para su posterior análisis en el mismo sistema.

REMnux se distribuye como un archivo imagen de VMWare, por lo tanto solo basta descomprimir el archivo descargado y luego abrir con cualquiera de los productos de VMWare (WorkStation, Server, Player).

Entre las herramientas incluidas se encuentran las siguientes:
Análisis de Malware en Archivos Flash: swftools, flasm, flare.
Análisis de Boots IRC: Inspire, Irssi.
Monitoreo de red: Wireshark, Honeyd, INetSim, fakedns, fakesmtp, NetCat.
Análisis de JavaScripts: Firebug, NoScript, JavaScript Deobfuscator, Rhino debugger, SpiderMonkey, Windows Sript Decoder, Jsunpack-n.
Interacción con malware basado en web: TinyHTTPd, Paros Proxy.
Análisis de Shellcode: gdb, objdump, Radare, shellcode2.exe
Detección de protecciones y cifrados: upx, packerid, bytehist, xorsearch, TRiD.
Análisis de PDF maliciosos: Didier’s PDF tools, Origami framework, Jsunpack-n, pdftk.
Análisis de memoria: Volatility Framework

Dejo algunos screen shots del entorno REMnux.

Boot y pantalla de login:

User: remnux

Password: malware

X:

Tools:

Página oficial del proyecto REMnux

Descargar REMnux - MD5: dc28330411acafc6b7f595a11e8b7ea4

Solucionario del Reto de HackPlayers: Llega el Carnaval

Posted by 4v4t4r On marzo - 29 - 2010

Hace algunos días el equipo de HackPlayers publicó un solucionario al reto que presentaron llamado “llega el carnaval“. Veamos:

Solución al reto “Carnaval” de hackplayers.blogspot.com por Miguel

0. el reto estaba disponible aquí:
http://hackplayers.blogspot.com/2010/02/reto-llega-el-carnaval.html

1. me descargo la película
http://sites.google.com/site/h4ckpl4y3s/carnaval.swf

2. me descargo un descompilador gratuito (demo), en este caso el Trillix 4 de la casa Eltima (de Sothink no me fío después del troyano en el plugin para FF):
http://www.flash-decompiler.com/download/flash_decompiler.exe

3a. solución fácil:
abrir la película con el descompilador posicionarse en el fotograma 4:

-> Clave: samba10


3b. solución “guay” (o “pro” ;)
Dado que el código actionscript está protegido (Amayeta?), y no puedo tener garantías de que la clave se altera de alguna manera durante la dinámica del juego, voy a intentar ganar “jugando”.

Continúa leyendo el solucionario desde HackPlayers >>

Nuevo Reto de HackPlayers: Llega el Carnaval

Posted by 4v4t4r On febrero - 9 - 2010

Nuevamente los amigos de HackPlayers han decidido publicar un reto bastante interesante que involucra el análisis de un juego en Flash.

Read the rest of this entry »