segunda-feira, 19 de novembro de 2018

Publicado segunda-feira, novembro 19, 2018 por com 0 comentário

Bloquear sites pornográficos no android sem aplicativos

Se você quer bloquear o acesso a sites pornográficos no seu celular ou no seu computador, o Open DNS oferece a um DNS seguro: o Family Shield. Muitos pais tentam trazer mais segurança para o celular dos seus filhos, contudo não encontram uma maneira fácil, mas com essa ferramenta fornecida pelo Open DNS, o acesso a sites impróprios é bloqueada em grande parte.

Essa configuração pode ser aplicada no seu celular, no seu computador, tablet ou se preferir no seu roteador, bloqueando assim o acesso a toda rede.

Para realizar as configurações necessárias, entre nas configurações do seu smartphone e vá em Wi-Fi

Clique nos 3 pontinhos e no final estará seu número IP. Anote ele.

Segure na rede wifi que você está conectado e vá em Modificar a rede.


Vai abrir uma janela e vai ter as opções avançadas. Clique nessas opções e vá em configurações de IP. Geralmente está escrito DHCP. Troque para estático.

Coloque o IP que você anotou. Após colocar o IP, geralmente o gateway e máscara de rede (ou prefixo de rede) são preenchidos automaticamente. Caso não seja preenchido automaticamente, o gateway geralmente tem o número 1 no final, por exemplo: 192.168.0.1 e a máscara é 24 ou 255.255.255.0

Em DNS 1 e DNS 2 está o grande o segredo. Coloque os seguintes endereços respectivamente e salve:
DNS1: 208.67.222.123
DNS2: 208.67.220.123

Após isso se você tentar em algum site com conteúdo impróprio ele estará bloqueado.


Caso encontre dificuldades, entre nesse tutorial aqui (Como tornar sua Internet mais rápida) e lá terá os passo a passos para trocar o DNS do seu computador, roteador ou celular.

OBS.: Nem todos os sites com conteúdos impróprios serão bloqueados, mas a grande maioria sim.
Ver mais
      edit

quarta-feira, 7 de novembro de 2018

Publicado quarta-feira, novembro 07, 2018 por com 0 comentário

Download do aplicativo cSploit

O aplicativo cSploit foi desenvolvido com o código aberto (GPLed) e está disponível para Android. A ferramenta é voltada para testes de invasão baseado no antigo app dSploit. Atualmente, o aplicativo possui com um kit de ferramentas avançadas adaptadas do Kali Linux como o metasploit (msf), o que permite realizar avaliações de segurança de rede interna e externa.


O link para download está disponível logo abaixo.

http://ceesty.com/weKU8q

Requisitos

* É necessário ter ROOT com um android na versão 2.3 ou superior
*O sistema operacional Android deve ter uma instalação completa do BusyBox com todos os utilitários instalados (não a instalação parcial). Se você ainda não tem busybox, pode baixar aqui ou aqui.
* Você deve instalar o SuperSU (O aplicativo vai funcionar somente se você tiver isso instalado)


Características do Aplicativo

Dentre algumas funcionalidades do kit de ferramentas do cSploit, podemos destacar:
- Mapear a rede local
- Varredura e exploração de vulnerabilidades
- Varredura de portas 
- Adicionar hosts fora da rede local
- Obter acesso privilegiado
- Instalar backdoor
- Redirecionamento de tráfego
- XSS injection
- Sniffer
- DNS Spoofing



Fonte: Github, Youtube

Ver mais
      edit

segunda-feira, 29 de outubro de 2018

Publicado segunda-feira, outubro 29, 2018 por com 0 comentário

Ferramentas para hackear jogos e aplicativos no android

Abaixo estará disponível uma lista de 12 app para Android que vão permitir você hackear jogos e aplicativos de várias maneiras, conseguindo de alguma forma vantagens no jogo, como dinheiro, vidas, retirada de anúncios ou modificando a aparência do jogo ou aplicativo em questão.

Para ter sucesso no "hackeamento do jogo" é necessário procurar algum tutorial que ensine a usar a ferramenta, ou como aplicá-lo no jogo em questão. Lembrando que é necessário ter root para usar alguns desses aplicativos.


Caso queiram um passo a passo de como usar a ferramenta, deixe nos comentários, que em breve farei um tutorial.

Sem Root 
1 –  APK Editor Pro (Sem Root) - DOWNLOAD
2 – AppSara (Sem Root) - DOWNLOAD
3 – CreeHack (Sem Root) - DOWNLOAD
4 – Glu Credits Patcher (Sem Root) - DOWNLOAD
5 – Lucky Patcher (Funciona com root e sem root) -  DOWNLOAD

Necessário Root
6 – SBGameHacker (Root) -  DOWNLOAD
7 – Freedom (Root) -  DOWNLOAD
8 – CheatEngine (Root) -  DOWNLOAD
9 –  GameGuardian (Root) -  DOWNLOAD
10 –  XModGames (Root) -  DOWNLOAD
11 – Hack App Data (Root) -  DOWNLOAD
12 – Game Killer  (Root) - DOWNLOAD

Fonte: Edtuttors, Apkmodhacker
Ver mais
      edit

quarta-feira, 17 de outubro de 2018

Publicado quarta-feira, outubro 17, 2018 por com 1 comentário

Por que seu site estático precisa de HTTPS

As últimas atualizações do Firefox e Chrome agora apontam sites sem HTTPS como sites inseguros, já que sem um certificado digital o site não possui segurança das informações trafegadas. Pois mesmo que o site seja estático, o uso do HTTP pode trazer alguns riscos para os seus visitantes. Mesmo que o site não tenha formulários ou informações sigilosas, ter o certificado digital garante a integridade das URLs, cabeçalhos (headers), e o conteúdo de todas as páginas transmitidas são confidenciais.

Com a popularização do HTTPS, o gerenciamento de certificados pode ser mais simples hoje, graças a serviços como o CloudFlare (pago) e Let's Encrypt (grátis).

Conceitos

O HTTPS (Hyper Text Transfer Protocol Secure, ou Protocolo de Transferência de Hipertexto Seguro) é um protocolo responsável pela criação de um canal para permitir a transferência de informações entre o navegador do usuário e o servidor de forma segura.

O SSL (Secure Sockets Layer, ou Camada de Soquetes Segura) cria canal de comunicação seguro em uma conexão entre dois computadores, mantendo os dados íntegros e inacessíveis a terceiros não autorizados.

Basicamente, o HTTPS e SSL tem praticamente o mesmo conceito, já que ambos criam um canal de comunicação seguro, já o HTTP (Protocolo de Transferência de Hipertexto) é um protocolo de comunicação entre sistemas de informação que permite a transferência de dados entre redes de computadores, mas sem a segurança oferecida pelos outros dois protocolos.

Problema

O grande problema do HTTP é que as informações podem ser interceptadas e modificadas (via Wireshark ou qualquer outro programa de sniffing). Com isso, o site em questão pode sofrer ataques de injeção de códigos maliciosos, como scripts, imagens, propagandas, etc. 



Além disso, se fosse encriptado apenas o conteúdo sigiloso, ficaria óbvio para hackers quais informações devem ser alvejadas. Por isso, é necessário que todo o site possua todas as transmissões encriptadas. Ou seja, não basta apenas configurar um formulário para enviar as informações via HTTPS. Se o site não estiver todo configurado com o protocolo SSL, o atacante pode alterar o link ou form action para uma URL maliciosa, não sendo possível rastrear, já que tudo passa por HTTP. 


E um certificado digital previne tudo isso e muito mais. Com um protocolo seguro, o site tem garantido a integridade de dados e com isso pode detectar adulteração. Com o HTTPS essa interceptação pode acontecer, porém há uma resiliência muito maior contra esse tipo ataque, já que todo o tráfego está criptografado por uma chave privada e pública. Ou seja, ao entrar no site, o cliente utiliza a chave pública do servidor para criptografar os dados, e esses mesmos dados são usados para calcular a chave privada. O servidor vai conseguir gerar essa chave privada somente se conseguir descriptografar esses dados com a chave correta.

A chave tem criptografia de 256 bits, com tamanho de 2048 bits, o que torna o trabalho muito complicado e demorado na tentativa de quebrar por força bruta essa criptografia.

Vantagens e Desvantagens

A Google com intuito de incentivar o uso do protocolo SSL, ranqueia melhores os sites com HTTPS, ou seja, você tem uma melhora no SEO. Para comprovar, basta fazer alguma pesquisa no Google que os primeiros resultados são sempre de sites seguros.

Além de todas as vantagens relacionados a segurança, como prevenção de ataques de sniffing, fishing, redirecionamento, etc., o próprio navegador mostra que o site é seguro com aquele cadeado do lado do link e é melhor visualizado pelos usuários em geral.

A desvantagem é que o certificado digital tem que ser renovado depois de um período. O Let's Encrypt é de 3 em 3 meses. Já um certificado pago, a renovação obrigatória é a partir de 1 ano (certificado A1 - armazenado no computador) a 3 anos (certificado A3 - armazenado no token ou cartão).

Como adquirir um certificado digital?

Caso o site esteja pronto e hospedado, o cliente pode entrar em contato com a empresa responsável pela a hospedagem do site e solicitar um certificado SSL, podendo ser pago ou não. Outra possibilidade, seria contratar uma empresa especializada somente com esse tipo de serviço.

Na contratação da hospedagem do site, é possível escolher um certificado digital na compra ou conseguir um gratuitamente dependendo do plano de hospedagem. Nesse caso, a instalação do certificado digital é de responsabilidade da empresa de hospedagem.

Caso o cliente não deseje gastar com um certificado, é possível conseguir um gratuitamente pelo Let’s Encrypt. Na maioria das vezes a empresa responsável pela hospedagem faz a instalação do certificado, bastando enviar as informações do certificado gerado, conforme exigido por eles (se houver).

Fontes:
Ver mais
      edit

sexta-feira, 5 de outubro de 2018

Publicado sexta-feira, outubro 05, 2018 por com 0 comentário

Como encaminhar vários e-mails para outra conta do Gmail

Por padrão o Gmail permite você encaminhar apenas um email de cada vez, mas com uma extensão chamada Multi Forward for Gmail é possível encaminhar até 100 emails por dia para quantos destinatários você precisar, podendo ser do Gmail ou não.
Por enquanto essa extensão funciona apenas no Google Chrome. Vamos ao tutorial

1º Para instalar a extensão é necessário fazer clicar no botão download e depois "Usar no Chrome"

http://ceesty.com/wL2KSI



2º Após clicar no botão "Usar no Chrome", será exibido uma janela solicitando autorização para funcionar.



3º Após autorizar a extensão, a extensão vai exibir um ícone de uma flecha no canto direito do seu navegador.



4º Ao selecionar os emails que deseja encaminhar vai aparecer uma fecha ao lado da lixeira. Selecione as mensagens que deverão ser encaminhadas e clique sobre o novo ícone de flecha. 



5º Ao clicar na flecha, vai pedir para você se logar antes de continuar. 



6º Após logar e dar as permissões de acesso, você pode inserir quais são os destinatários e por fim clicar no botão “Multi-Forward”.



7º Após clicar em Multi-Forward, seus emails serão encaminhamos para os destinatários selecionados.


Ver mais
      edit

quarta-feira, 26 de setembro de 2018

Publicado quarta-feira, setembro 26, 2018 por com 0 comentário

Como desativar o login automático do Google Chrome

A atualização do Google Chrome 69 veio com a funcionalidade de login automático, porém isso pode infligir a privacidade dos usuários, já que esse recurso salva os seus dados como senhas e históricos para serem acessados em outros dispositivos.




Uma vez que você faz o login na conta do Google, as informações de acesso (login e senha) são utilizadas automaticamente pelo Chrome. Com isso, o usuário pode ficar potencialmente exposto em um ambiente inseguro com dispositivos compartilhados, pois outras pessoas que usam o seu computador ou celular podem acessar sua conta, mesmo quando você fecha ou limpa os cookies do navegador.

Empresas em geral, fazem alterações em suas plataformas e, em vez de informar explicitamente as pessoas sobre essas alterações, ocultam essas informações na documentação, tornando a privacidade e a transparência mais difíceis de serem obtidas.

Como desabilitar o login automático?
Para isso devemos acessar no navegador o seguinte endereço: chrome://flags/#account-consistency.  Em seguida, mude a função para “Disabled” e reinicie o navegador.


----------------------------
Atualização 27/09/2018

A situação envolvendo o Google Chrome trouxe uma série de questões à tona sobre a privacidade e segurança, gerando inúmeras reclamações por parte dos usuários. Com isso, a Google publicou em seu blog oficial que a versão 70 do Google Chrome vai deixar o usuário escolher ou não associar a sua conta os serviço, como mostrado na prévia da nova versão abaixo.



Além disso, a Google esclareceu que a versão atual não ativa a sincronização entre dispositivos de forma automática. Contudo, para garantir que não haja novas divergências, a interface das configurações ficará mais legível para os usuários.

Outra novidade anunciada é em relação ao gerenciamento de cookies, pois mesmo que os cookies sejam limpos, o navegador ainda continua logado e isso será alterado. Assim, o usuário terá que logar novamente no Google Chrome a cada limpeza. A versão 70 está prevista para outubro/2018.

Fonte: The Next WebGoogle
Ver mais
      edit

quinta-feira, 20 de setembro de 2018

Publicado quinta-feira, setembro 20, 2018 por com 0 comentário

Como bloquear qualquer chamada indesejada no Android ou iOS

Bloquear chamadas é indispensável para a maioria das pessoas, já que ninguém quer um número indesejado entrando em contato repetidas vezes e a qualquer instante, principalmente por parte das próprias operadoras. Existem inúmeros aplicativos que podem solucionar esse problema como o Truecaller, True Contact, Call Blocker e Whoscall.

Nesse tutorial vamos usar o app whoscall (quem liga), app gratuito disponível para Android, iOS e Windows Phone. Com esse aplicativo, podemos bloquear qualquer número indesejado de forma fácil e com apenas um toque. Além disso, o próprio aplicativo já tem algumas listas definidas de bloqueio de números de vendas de operadoras, números relacionados a golpes, spam, etc. Essas listas são criadas com o feedback de usuários que são incomodados todos os dias por esses números.

Com esse app, ao receber uma ligação, você descobre na hora se é algum serviço de telemarketing ou de uma empresa que você esteja esperando, como mostrado na imagem abaixo. Com isso, você decide se vai atender ou ignorar a ligação.



1º Passo - Para instalar o app você pode baixar pelo link abaixo ou PlayStore

http://destyy.com/wLvwk2

2º Passo - Após baixado e instalado o aplicativo, ao abrir será exibido uma tela de início do whoscall, bastando apenas clicar em "Começar". Após isso, será solicitado algumas permissões a serem liberadas para o app.



3º Passo - Na próxima tela, você pode criar sua conta ou clicar em mais tarde. Após sair dessa, você será redirecionado para uma tela onde é solicitado qual o DDD que você usa e qual a operadora.



4º Passo - Ao abrir o aplicativo, você verá uma identificação em praticamente todas as suas chamadas recebida. Nessa tela, podemos perceber que estamos na opção "Histórico". Tem outras 3 opções "Teclado", "Função Herói" e "Bloquear", e essa última opção que utilizamos para acabar com as ligações indesejadas.



5º Passo - Na opção bloquear, podemos bloquear ligações de operadoras, bancos, números fora da sua lista de contato, outros DDDs, números privados, etc.



Após marcar algumas dessas opções, como ligações de operadoras e bancos, você não será incomodado mais.


Ver mais
      edit

quarta-feira, 1 de agosto de 2018

Publicado quarta-feira, agosto 01, 2018 por com 0 comentário

Análise de Malware: Tipos de Malware Explicados

Neste post, veremos os diferentes tipos de malware e o que eles fazem. Ao realizar uma análise de malware estática ou dinâmica, é essencial ter uma boa compreensão dos diferentes tipos de malware disponíveis para que você possa reconhecê-los e concentrar sua investigação. Durante a análise estática de malware, as DLLs e as funções importadas geralmente nos dizem muito sobre as intenções e o comportamento do malware. Por exemplo, quando o malware importa funções de rede junto com funções para editar as funções de registro do Windows, podemos estar lidando com spyware, trojan ou outro malware na inicialização. No caso mais simples de DLLs importadas estaticamente, você pode usar um aplicativo como o Dependency Walker para descobrir quais funções são usadas no malware. Uma inspeção mais detalhada das funções, cabeçalhos e recursos da DLL deve restringir muito os possíveis tipos de malware. Vamos analisar os diferentes tipos de malware disponíveis e o que exatamente eles fazem.  

Adware

Adware como malware é um software malicioso que apresenta publicidade indesejada ao usuário. Esse tipo de malware geralmente usa janelas pop-up que não podem ser fechadas pelo usuário. Adware é frequentemente incluso em softwares grátis e nas barras de ferramentas do navegador (famosas toolbar). O malware também pode coletar dados de usuários, suas atividades e outras informações, entrando um pouco no tipo spyware.

Backdoor

Um backdoor é um código malicioso que permite que um invasor se conecte ao alvo infectado e assuma o controle do computador sem sua autorização. Na maioria dos casos, não é necessária autenticação para efetuar login na máquina remota. Além disso, esse tipo de malware é frequentemente gerado por um Trojan que passa despercebido se o host não tiver mecanismos de detecção eficazes, como firewalls e antivírus. Os backdoors podem usar muitos métodos para se comunicarem, mas usa principalmente a porta 80 já que essa porta está aberta na maioria das máquinas conectadas à Internet. Referente a esse malware, existem dois principais tipos: o shell reverso e o Acesso Remoto / Ferramenta de Administração (RAT).

Shell reverso

Um shell reverso é uma conexão iniciada a partir do host infectado e fornece ao hacker acesso ao host pelo shell. O shell reverso é geralmente criado por um cavalo de Troia, funcionando praticamente como um backdoor. Depois que o shell reverso for configurado, o invasor tem a possibilidade de executar comandos como se fossem executados localmente. 

Os métodos comumente usados ​​para shells reversos são o Netcat e o Windows CMD compactados dentro do malware. Um método simples usado por malware usando o Windows é criar um soquete para estabelecer uma conexão com o invasor e vinculá-lo aos fluxos padrão (entrada, saída e erro padrão) para o CMD. Assim o CMD é executado com a janela oculta da vítima e assim os comandos são executados sem a percepção do usuário que está sendo atacado.


RAT - Trojan de acesso remoto

Um RAT (Remote Access Trojan), ou às vezes chamado de Remote Administration Tool ou Remote Access Tool, é uma ferramenta que permite um invasor assumir o controle total do computador infectado. Essa é uma das ferramentas com o caráter mais malicioso, sendo comumente incluídos em cracks baixados na internet ou aqueles phising enviados por e-mail com um link de download do server malicioso.


Botnet 

Uma botnet é uma rede de computadores com backdoors que estão sendo controlados por um servidor de comando e controle. Todos os hosts infectados na rede são controlados como um grupo e recebem as mesmas instruções do servidor que é controlado pelo invasor. As botnets são frequentemente usadas para enviar spam, executar ataques distribuídos de negação de serviço (DDoS) ou distribuição de malware.

Browser Hijacker

Um sequestrador de navegador é um código desenvolvido para controlar as configurações do seu navegador, como a página inicial, por exemplo, ou o provedor de pesquisa padrão. Os sequestradores de navegador geralmente são incluídos em programas gratuitos. Uma vez instalado, as barras de ferramentas dos navegadores podem ficar poluídas visualmente e no final das contas ainda ter um adware ou spyware escondido. Alguns sequestradores de navegador também alteram as configurações de proxy do seu navegador, o que compromete sua privacidade e segurança on-line. 


Downloader Malware

O malware do download é um software malicioso que baixa outros softwares maliciosos. O malware do download infecta a máquina de destino silenciosamente através de instaladores não oficiais. Por exemplo, você está procurando o programa qualquer, como o Ccleaner, e então você baixa o programa de um site não oficial. Ao executar o programa, o mesmo afirma que será baixado o Ccleaner online, mas juntamente com o programa desejado é baixado um malware oculto.


Malware de Roubo de Informações

O malware de roubo de informações é uma coleção de tipos de malware desenvolvidos para roubar informações como números de cartão de crédito, detalhes de contas bancárias, detalhes de contas e outras informações pessoais. As informações coletadas geralmente são enviadas ao invasor que geralmente as usa para obter acesso à sua conta pessoal ou colocá-las à venda na dark web / deep web. O malware geralmente vem na forma de keyloggers, senhas (hash) e sniffers. As informações roubadas geralmente são enviadas para um servidor de comando ou controle para processamento adicional. 


Keyloggers

O keylogger é um software
(ou hardware) malicioso que registra as teclas digitadas para roubar senhas, conversas e outros detalhes pessoais. Um keylogger é uma maneira muito eficaz de os invasores roubarem senhas, porque não há necessidade de quebrar hashes, descriptografar informações ou farejar conexões seguras para senhas, pois todas as teclas digitadas são enviadas para o atacante

Malware Lançador

Um lançador é um código malicioso usado para iniciar outro malware. Esta parte do software malicioso é frequentemente combinada com o malware do download. O malware lançador geralmente usa métodos furtivos e não convencionais para iniciar outro código malicioso e assim evitar a detecção. 


Ransomware

Tecnicamente falando, todo malware que impede o usuário de acessar o computador ou arquivos e exigir dinheiro em troca de acesso é chamado de ransomware. O ransomware geralmente criptografa seu disco rígido ou arquivos e exige dinheiro em troca da chave de descriptografia. Esse tipo de ransomware também é chamado de crypto locker. Após a infecção, o ransomware apresenta ao usuário alguns métodos de pagamento que podem ser usados ​​para desbloquear o computador ou descriptografar os arquivos. Se o ransomware ou o crypto locker realmente desbloquearem seu disco rígido ou arquivos, as chaves de descriptografia e o pagamento geralmente serão controlados por um servidor de comando e controle.

O ransomware se tornou cada vez mais popular, pois é altamente lucrativo para desenvolvedores de malware. Especialmente em combinação com métodos de pagamentos anônimos como monero ou bitcoin (menos seguro, já que é rastreável), minimizando os riscos de serem pegos. 


Rootkit

Um rootkit é um software malicioso projetado para ocultar a existência de outro malware. O malware oculto é geralmente um backdoor para fornecer acesso total ao invasor. Os rootkits podem ser difíceis de detectar e remover com base em onde reside dentro do sistema operacional. Os rootkits no nível do firmware, por exemplo, podem requerer substituição de hardware e os rootkits no nível do kernel podem exigir uma nova instalação do sistema operacional. 


Bootkit

Outro perigoso e quase impossível de detectar é o bootkit. O bootkit é um rootkit escondido no setor de inicialização que infecta o Master Boot Record (MBR). Esse tipo de rootkit é capaz de ignorar a criptografia da unidade, já que funciona através de um código que é executado antes do sistema operacional.


Scareware

Scareware é um software malicioso que obriga a vítima a comprar algo assustando-o, pois geralmente inclui vírus ou arquivos embaraçosos. Um dos scarewares mais comum são aqueles que "parecem" um antivírus, dizendo que detectou alguns vírus no seu computador e só poderão ser removidos após comprar o suposto antivírus. Por causa dessas táticas, muitas vítimas pagam pelo software para que o vírus ou outros materiais embaraçosos sejam removidos silenciosamente. Um
malware de "proteção" ou chantagem funciona mais ou menos como um ransomware, além de ser muito lucrativo para esses desenvolvedores.

Spam
 

O Malware de Spam é um software mal-intencionado que usa a máquina ou contas (facebook, whatsapp, por exemplo) infectadas para enviar spam. O malware de envio de spam pode fazer parte de uma botnet controlada por um servidor de comando ou controle funcionando como uma rede distribuída de envio de spam. Por causa da abordagem distribuída, não há um único ponto de falha, se ¼ das máquinas infectadas forem limpas, outros ¾ continuará enviando e-mails de spam. Grandes botnets podem enviar bilhões de mensagens de spam por semana e, com muita frequência, novos malwares são espalhados junto com as mensagens de spam. 

O envio de malwares por spam pode causar problemas, pois a conexão com a Internet do ISP pode ser cortada ou o endereço de e-mail pode estar na lista negra, por isso, remova esse tipo de malware o mais rápido possível. Esse tipo de malware é lucrativo para desenvolvedores de malware porque eles podem vender os serviços de envio de spam.

Trojan

Um Trojan ou um cavalo de Troia é uns dos malwares mais perigosos, pois funcionam como um backdoor, com o intuito de roubar informações, disseminar outros malwares ou usar os recursos da máquina infectada em um botnet. Literalmente, tudo é possível quando infectado por um Trojan que foi instalado ou executado com privilégios de administrador. Trojans na computação existem há muito tempo, alguns cavalos de Troia antigos e populares são: Netbus, SubSeven ou Sub7 e Back Orifice ou BO


Vírus

Um vírus é um programa malicioso que se replica em outros aplicativos, arquivos ou até mesmo no setor de inicialização. Um vírus pode fazer qualquer coisa que seja programado, podendo roubar informações, registrar teclas digitadas ou até mesmo inutilizar um computador. A característica definidora de um vírus está na autorreplicação e inserção de código malicioso em outros programas sem o consentimento do usuário. Assim como a maioria dos outros malwares, um vírus é projetado para obter lucro.

Worm

Um worm é um malware que se replica para espalhar e infectar outros sistemas. Os worms de computador usam a rede, links, redes P2P, e-mail e exploram vulnerabilidades para se espalharem. Muitas vezes, mais de um malware é usado para espalhar o worm. A diferença com um vírus é que um vírus insere código em outros programas, já o worm se replica sozinho.


Fonte: Traduzido e adaptado de Hacking Tutorials
Ver mais
      edit

quinta-feira, 26 de julho de 2018

Publicado quinta-feira, julho 26, 2018 por com 0 comentário

Ferramentas Dinâmicas de Análise de Malware

Nesse post será abordado as Ferramentas de Análise de Malware Dinâmico, que são usadas para analisar a atividade de um malware após a sua execução. Com isso, serão apresentadas as ferramentas como Procmon, Process Explorer, Regshot, ApateDNS, Netcat, Wireshark e INetSim para analisar o malware. Juntamente com a apresentação, será disponibilizado o link para download.

A análise dinâmica é normalmente executada após a análise de malware estática ter chegado ao fim. Você terá que partir para o segundo assim que perceber que malware estiver compactado ou ofuscado, por exemplo. Além disso, esse tipo de análise é uma ótima maneira de identificar rapidamente o tipo de malware; se você estiver enfrentando o Ransomware, observará os arquivos criptografados e métodos de pagamento forçados rapidamente após a execução do malware.

Riscos da Análise Dinâmica de Malware


Esteja ciente do fato de que a análise de malware  pode colocar seu sistema e sua rede em risco, pois você estará executando um malware real para analisar seu comportamento. É aconselhado executar um malware apenas em máquinas virtuais ou em sistemas dedicados com redes isoladas e que não estejam conectadas à Internet. Não precisamos de uma conexão com a Internet para fazer a análise de malware, pois existem ferramentas de servidor disponíveis para simular uma conexão com a Internet. Nós estaremos cobrindo algumas dessas ferramentas neste post. Embora estejamos executando o malware em máquinas virtuais, não é garantido que o host ou sua rede estejam perfeitamente seguros, pois os desenvolvedores de malware sempre encontram novas maneiras de nos surpreender e dificultam a realização dessas análises.

Process Monitor


O Procmon, ou Process Monitor, é uma ferramenta gratuita desenvolvida pelo Windows SysInternals e é usada para monitorar o sistema de arquivos, registros e atividade em tempo real. A ferramenta é uma combinação de duas ferramentas antigas: FileMon e RegMon, e tem excelentes recursos, como a filtragem não destrutiva de dados e o registro de dados do boottime. Filtragem não destrutiva significa que todos os dados são capturados, mas apenas os dados filtrados são exibidos para o usuário. 

A versão mais recente do Process Monitor é a versão 3.5, que pode ser baixada aqui diretamente do site da Microsoft.

Process Explorer


O Process Explorer é uma ferramenta gratuita disponibilizada também pela Microsoft, que é recomendadíssima durante a Análise de Malware. O Process Explorer é usado para monitorar os processos em execução e mostra quais identificadores e DLLs estão sendo executados e carregados para cada processo.

A versão mais recente do Process Explorer pode ser baixada aqui.


Regshot


Regshot é uma ótima ferramenta open source para monitorar as alterações no registro do windows, tirando snapshot atual para ser comprado depois. Isso permite que você veja as alterações feitas no seu registro após o malware ter sido executado em seu sistema.

A última versão do Regshot está disponível para download aqui.


ApateDNS


Outra ótima ferramenta para realizar a análise é o ApateDNS, que é uma ferramenta para controlar as respostas do DNS e atua como um servidor DNS no seu sistema local. Com essa ferramenta você poderá falsificar as respostas de DNS requisitas pelo malware para um endereço IP especificado na porta UDP 53. O endereço IP ou o nome do host geralmente é conseguido do malware por meio da análise estática, examinando as seções ou usando uma sandbox. O ApateDNS também é capaz de recuperar vários domínios usando o parâmetro nxdomain, já que o malware geralmente tenta conectar vários hosts.

O ApateDNS está disponível na FireEye e pode ser baixado usando o seguinte link: ApateDNS.


Netcat


O Netcat é uma ferramenta usada para analisar conexões de rede TCP e UDP. Além dessa análise, essa ferramenta possui outras inúmeras funções, como escaneamento de porta, encaminhamento de porta, encapsulamento, proxy, etc. O Netcat é uma ótima ferramenta para executar a Análise Dinâmica de Malware, pois pode fazer praticamente qualquer conexão de rede, seja tanto entrada, quanto de saída, usando qualquer porta. Além disso, pode ser usado no modo de cliente para conexão e no modo de servidor para escuta.

Muitos malwares se comunicam pela porta 80 (HTTP) e 443 (HTTPS) porque na maioria dos sistemas essas portas não são bloqueadas por um firewall. Ao executar a análise, poderíamos usar o ApateDNS para redirecionar uma solicitação de DNS feita pelo malware para um host que esteja executando o Netcat no modo de servidor, atendendo ao endereço IP especificado na porta especificada. Dessa forma, podemos monitorar e redirecionar as solicitações feitas por malware usando o ApateDNS. Nos próximos posts abordaremos com mais detalhes o uso do ApateDNS e do Netcat.O Netcat pode ser baixado do site do Nmap aqui e também está incluído no Kali Linux.

Download: Página Oficial 
Download: Link Direto

Wireshark


O Wireshark é uma das melhores ferramentas para análise de protocolo de rede disponível atualmente. Essa ferramenta é usada para analisar uma rede com o máximo de detalhes possíveis, para assim entender o que está acontecendo no tráfego de pacotes entre sua rede e a Internet. O Wireshark pode ser usado para captura e inspeção de pacotes, inspeção profunda de centenas de protocolos, navegação e filtragem de pacotes

O Wireshark está incluído no Kali Linux, mas também está disponível para Windows e Mac. O Wireshark pode ser baixado aqui.


INetSim


O INetSim é uma ferramenta baseada em Linux para simular os serviços de Internet mais comuns, como http, https, DNS, FTP e muito mais. Ao executar a análise em uma máquina Windows, você pode usar uma máquina virtual na mesma rede que sua máquina de análise  para executar o INetSim. Assim o INetSim falsifica os serviços mais comuns de Internet e responde às solicitações feitas pelo malware. Por exemplo, quando um malware solicita um arquivo, o INetSim retornará o arquivo. Quando o malware scaneia um servidor da Web, o INetSim retorna um servidor da Web do Microsoft IIS para manter o malware em execução. 

Ele também registra todas as conexões de entrada para que você possa analisar quais serviços o malware está usando e quais solicitações ele faz. O programa também é altamente configurável, quando um malware usa uma porta não padrão para um serviço, você pode alterar a porta do ouvinte em um serviço específico.O INetSim 1.2.8 é a versão atual incluída no Kali Linux 2.0 e pode ser baixada aqui.

OllyDbg


OllyDbg é um dos programas depuradores mais conhecidos na análise de malware. Outro depurador a altura é Windbg. Um depurador é um programa que é usado para testar ou examinar a execução de outro programa. Depurador de baixo nível rastreia registros, reconhece procedimentos, chamadas de API, switches, tabelas, constantes e cadeias de caracteres, além de localizar rotinas de arquivos e bibliotecas de objetos. Ele também fornece a função para pausar a execução do programa em teste e verificar seu estado.

Site Oficial: clique aqui
Download Direto V2.00:  clique aqui
Download Direto V1.10: clique aqui

Outras Ferramentas

Nem precisamos dizer que cobrimos apenas uma ínfima quantidade de ferramentas disponíveis para análise de malware. Apenas foi apresentado as principais ferramentas. No próximo tutorial vamos usar algumas delas e ver como é o funcionamento na prática.
Ver mais
      edit

sexta-feira, 20 de julho de 2018

Publicado sexta-feira, julho 20, 2018 por com 0 comentário

Ferramentas Básicas de Análise de Malware

Neste tutorial, veremos ferramentas simples para realizar análises básicas em malwares estáticos como: PEiD para detectar empacotadores, Dependency Walker para visualizar funções vinculadas dinamicamente, Resource Hacker para visualizar os recursos do malware e PEview e FileAlyzer para examinar os cabeçalhos e as seções dos arquivos . Essas ferramentas são usadas para análises básicas de malware para tentar determinar o tipo de malware e sua função sem executar o malware.

Ferramentas Básicas de Análise de Malware

Para sua conveniência, forneceremos um link de download para as ferramentas, para que você possa preparar sua caixa de ferramentas de análise de malware para os próximos tutoriais. Os programas aqui apresentados serão:
PEiD, Dependency Walker, Resource Hacker, PEview e FileAlyzer.

PEiD



PEiD é um programa usado para detectar empacotadores, cryptors e compiladores comuns. Os criadores de malware geralmente tentam ofuscar seu malware para dificultar a detecção e a análise. A versão atual do PEiD pode detectar mais de 470 assinaturas diferentes em arquivos PE que são carregados de um arquivo txt chamado userdb. O site oficial do PEiD não está mais ativo, mas você pode fazer o download do PEiD usando o seguinte link: PEiD-0.95

Caso você precise substituir o arquivo userdb.txt para adicionar as assinaturas, basta fazer o download aqui.


Dependency Walker

 
Outra ótima ferramenta básica de análise de malware é o Dependency Walker, sendo distribuída gratuitamente. A ferramenta é utilizada para digitalizar módulos do Windows de 32 e 64 bits (.exe, .dll, .ocx, etc.) e é usada para listar todas as funções importadas e exportadas de um módulo. O Dependency Walker também exibe as dependências do arquivo, o que resultará em um conjunto mínimo de arquivos necessários. O Dependency Walker também exibe informações detalhadas sobre esses arquivos, incluindo o caminho de arquivo, o número da versão, o tipo de máquina, as informações de depuração etc.

Download Dependency Walker 32 bits

Download Dependency Walker 64 bits
Site Oficial

Resource Hacker
 

O Resource Hacker é um aplicativo gratuito usado para extrair recursos de programas do Windows. O Resource Hacker pode extrair, adicionar e modificar a maioria dos recursos como strings, imagens, menus, diálogos, informação de versões, recursos de manifesto, etc. A versão mais recente do Resource Hacker, que é a versão 4.2.4, foi lançada em julho de 2015.

O Resource Hacker pode ser baixado usando o seguinte link: Resource Hacker


PEview


PEview é um aplicativo gratuito e fácil de usar para navegar pelas informações armazenadas nos cabeçalhos de arquivo do Portable Executable (PE) e as diferentes seções do arquivo. Nos tutoriais a seguir, aprenderemos a ler esses cabeçalhos quando estivermos examinando um malware real.

PEview pode ser baixado usando o seguinte link: PEview.


FileAlyzer

 
O FileAlyzer também é uma ferramenta gratuita para ler informações armazenadas em cabeçalhos e seções de arquivos PE, mas oferece um pouco mais de recursos e funcionalidades que o PEview. Os ótimos recursos são a guia VirusTotal, que pode ser usada para enviar malware ao VirusTotal para análise e a funcionalidade para descompactar arquivos empacotados do UPX e do PECompact.


FileAlyzer: Download Direto
Site Oficial: FileAlyzer.

Mais ferramentas básicas de análise de malware

É desnecessário dizer que cobrimos apenas uma pequena parte das ferramentas básicas de análise de malware disponíveis. Nos próximos dias, adicionaremos mais ferramentas para você baixar e explorar, portanto, visite este blog para se manter informado sobre as atualizações. Se você tiver alguma dúvida sobre as ferramentas, deixe nos comentários. Informe-nos também quando tiver sugestões para outras ferramentas.
Ver mais
      edit