Ferramentas Dinâmicas de Análise de Malware

Nesse post será abordado as Ferramentas de Análise de Malware Dinâmico, que são usadas para analisar a atividade de um malware após a sua execução. Com isso, serão apresentadas as ferramentas como Procmon, Process Explorer, Regshot, ApateDNS, Netcat, Wireshark e INetSim para analisar o malware. Juntamente com a apresentação, será disponibilizado o link para download.

A análise dinâmica é normalmente executada após a análise de malware estática ter chegado ao fim. Você terá que partir para o segundo assim que perceber que malware estiver compactado ou ofuscado, por exemplo. Além disso, esse tipo de análise é uma ótima maneira de identificar rapidamente o tipo de malware; se você estiver enfrentando o Ransomware, observará os arquivos criptografados e métodos de pagamento forçados rapidamente após a execução do malware.

Riscos da Análise Dinâmica de Malware

Esteja ciente do fato de que a análise de malware  pode colocar seu sistema e sua rede em risco, pois você estará executando um malware real para analisar seu comportamento. É aconselhado executar um malware apenas em máquinas virtuais ou em sistemas dedicados com redes isoladas e que não estejam conectadas à Internet. Não precisamos de uma conexão com a Internet para fazer a análise de malware, pois existem ferramentas de servidor disponíveis para simular uma conexão com a Internet. Nós estaremos cobrindo algumas dessas ferramentas neste post. Embora estejamos executando o malware em máquinas virtuais, não é garantido que o host ou sua rede estejam perfeitamente seguros, pois os desenvolvedores de malware sempre encontram novas maneiras de nos surpreender e dificultam a realização dessas análises.

Process Monitor

O Procmon, ou Process Monitor, é uma ferramenta gratuita desenvolvida pelo Windows SysInternals e é usada para monitorar o sistema de arquivos, registros e atividade em tempo real. A ferramenta é uma combinação de duas ferramentas antigas: FileMon e RegMon, e tem excelentes recursos, como a filtragem não destrutiva de dados e o registro de dados do boottime. Filtragem não destrutiva significa que todos os dados são capturados, mas apenas os dados filtrados são exibidos para o usuário. 

A versão mais recente do Process Monitor é a versão 3.5, que pode ser baixada aqui diretamente do site da Microsoft.

Process Explorer

O Process Explorer é uma ferramenta gratuita disponibilizada também pela Microsoft, que é recomendadíssima durante a Análise de Malware. O Process Explorer é usado para monitorar os processos em execução e mostra quais identificadores e DLLs estão sendo executados e carregados para cada processo.

A versão mais recente do Process Explorer pode ser baixada aqui.

Regshot

Regshot é uma ótima ferramenta open source para monitorar as alterações no registro do windows, tirando snapshot atual para ser comprado depois. Isso permite que você veja as alterações feitas no seu registro após o malware ter sido executado em seu sistema.

A última versão do Regshot está disponível para download aqui.

ApateDNS

Outra ótima ferramenta para realizar a análise é o ApateDNS, que é uma ferramenta para controlar as respostas do DNS e atua como um servidor DNS no seu sistema local. Com essa ferramenta você poderá falsificar as respostas de DNS requisitas pelo malware para um endereço IP especificado na porta UDP 53. O endereço IP ou o nome do host geralmente é conseguido do malware por meio da análise estática, examinando as seções ou usando uma sandbox. O ApateDNS também é capaz de recuperar vários domínios usando o parâmetro nxdomain, já que o malware geralmente tenta conectar vários hosts.

O ApateDNS está disponível na FireEye e pode ser baixado usando o seguinte link: ApateDNS.

Netcat

O Netcat é uma ferramenta usada para analisar conexões de rede TCP e UDP. Além dessa análise, essa ferramenta possui outras inúmeras funções, como escaneamento de porta, encaminhamento de porta, encapsulamento, proxy, etc. O Netcat é uma ótima ferramenta para executar a Análise Dinâmica de Malware, pois pode fazer praticamente qualquer conexão de rede, seja tanto entrada, quanto de saída, usando qualquer porta. Além disso, pode ser usado no modo de cliente para conexão e no modo de servidor para escuta.

Muitos malwares se comunicam pela porta 80 (HTTP) e 443 (HTTPS) porque na maioria dos sistemas essas portas não são bloqueadas por um firewall. Ao executar a análise, poderíamos usar o ApateDNS para redirecionar uma solicitação de DNS feita pelo malware para um host que esteja executando o Netcat no modo de servidor, atendendo ao endereço IP especificado na porta especificada. Dessa forma, podemos monitorar e redirecionar as solicitações feitas por malware usando o ApateDNS. Nos próximos posts abordaremos com mais detalhes o uso do ApateDNS e do Netcat.O Netcat pode ser baixado do site do Nmap aqui e também está incluído no Kali Linux.

Download: Página Oficial 
Download: Link Direto

Wireshark

O Wireshark é uma das melhores ferramentas para análise de protocolo de rede disponível atualmente. Essa ferramenta é usada para analisar uma rede com o máximo de detalhes possíveis, para assim entender o que está acontecendo no tráfego de pacotes entre sua rede e a Internet. O Wireshark pode ser usado para captura e inspeção de pacotes, inspeção profunda de centenas de protocolos, navegação e filtragem de pacotes

O Wireshark está incluído no Kali Linux, mas também está disponível para Windows e Mac. O Wireshark pode ser baixado aqui.

INetSim

O INetSim é uma ferramenta baseada em Linux para simular os serviços de Internet mais comuns, como http, https, DNS, FTP e muito mais. Ao executar a análise em uma máquina Windows, você pode usar uma máquina virtual na mesma rede que sua máquina de análise  para executar o INetSim. Assim o INetSim falsifica os serviços mais comuns de Internet e responde às solicitações feitas pelo malware. Por exemplo, quando um malware solicita um arquivo, o INetSim retornará o arquivo. Quando o malware scaneia um servidor da Web, o INetSim retorna um servidor da Web do Microsoft IIS para manter o malware em execução. 

Ele também registra todas as conexões de entrada para que você possa analisar quais serviços o malware está usando e quais solicitações ele faz. O programa também é altamente configurável, quando um malware usa uma porta não padrão para um serviço, você pode alterar a porta do ouvinte em um serviço específico.O INetSim 1.2.8 é a versão atual incluída no Kali Linux 2.0 e pode ser baixada aqui.

OllyDbg

OllyDbg é um dos programas depuradores mais conhecidos na análise de malware. Outro depurador a altura é Windbg. Um depurador é um programa que é usado para testar ou examinar a execução de outro programa. Depurador de baixo nível rastreia registros, reconhece procedimentos, chamadas de API, switches, tabelas, constantes e cadeias de caracteres, além de localizar rotinas de arquivos e bibliotecas de objetos. Ele também fornece a função para pausar a execução do programa em teste e verificar seu estado.

Site Oficial: clique aqui
Download Direto V2.00:  clique aqui
Download Direto V1.10: clique aqui

Outras Ferramentas

Nem precisamos dizer que cobrimos apenas uma ínfima quantidade de ferramentas disponíveis para análise de malware. Apenas foi apresentado as principais ferramentas. No próximo tutorial vamos usar algumas delas e ver como é o funcionamento na prática.

Ver mais

Ferramentas Básicas de Análise de Malware

Neste tutorial, veremos ferramentas simples para realizar análises básicas em malwares estáticos como: PEiD para detectar empacotadores, Dependency Walker para visualizar funções vinculadas dinamicamente, Resource Hacker para visualizar os recursos do malware e PEview e FileAlyzer para examinar os cabeçalhos e as seções dos arquivos . Essas ferramentas são usadas para análises básicas de malware para tentar determinar o tipo de malware e sua função sem executar o malware.

Ferramentas Básicas de Análise de Malware

Para sua conveniência, forneceremos um link de download para as ferramentas, para que você possa preparar sua caixa de ferramentas de análise de malware para os próximos tutoriais. Os programas aqui apresentados serão: PEiD, Dependency Walker, Resource Hacker, PEview e FileAlyzer.

PEiD

PEiD é um programa usado para detectar empacotadores, cryptors e compiladores comuns. Os criadores de malware geralmente tentam ofuscar seu malware para dificultar a detecção e a análise. A versão atual do PEiD pode detectar mais de 470 assinaturas diferentes em arquivos PE que são carregados de um arquivo txt chamado userdb. O site oficial do PEiD não está mais ativo, mas você pode fazer o download do PEiD usando o seguinte link: PEiD-0.95

Caso você precise substituir o arquivo userdb.txt para adicionar as assinaturas, basta fazer o download aqui.

Dependency Walker

 
Outra ótima ferramenta básica de análise de malware é o Dependency Walker, sendo distribuída gratuitamente. A ferramenta é utilizada para digitalizar módulos do Windows de 32 e 64 bits (.exe, .dll, .ocx, etc.) e é usada para listar todas as funções importadas e exportadas de um módulo. O Dependency Walker também exibe as dependências do arquivo, o que resultará em um conjunto mínimo de arquivos necessários. O Dependency Walker também exibe informações detalhadas sobre esses arquivos, incluindo o caminho de arquivo, o número da versão, o tipo de máquina, as informações de depuração etc.

Download Dependency Walker 32 bits
Download Dependency Walker 64 bits
Site Oficial

Resource Hacker
 

O Resource Hacker é um aplicativo gratuito usado para extrair recursos de programas do Windows. O Resource Hacker pode extrair, adicionar e modificar a maioria dos recursos como strings, imagens, menus, diálogos, informação de versões, recursos de manifesto, etc. A versão mais recente do Resource Hacker, que é a versão 4.2.4, foi lançada em julho de 2015.

O Resource Hacker pode ser baixado usando o seguinte link: Resource Hacker

PEview

PEview é um aplicativo gratuito e fácil de usar para navegar pelas informações armazenadas nos cabeçalhos de arquivo do Portable Executable (PE) e as diferentes seções do arquivo. Nos tutoriais a seguir, aprenderemos a ler esses cabeçalhos quando estivermos examinando um malware real.

PEview pode ser baixado usando o seguinte link: PEview.

FileAlyzer

 
O FileAlyzer também é uma ferramenta gratuita para ler informações armazenadas em cabeçalhos e seções de arquivos PE, mas oferece um pouco mais de recursos e funcionalidades que o PEview. Os ótimos recursos são a guia VirusTotal, que pode ser usada para enviar malware ao VirusTotal para análise e a funcionalidade para descompactar arquivos empacotados do UPX e do PECompact.


FileAlyzer: Download Direto
Site Oficial: FileAlyzer.

Mais ferramentas básicas de análise de malware

É desnecessário dizer que cobrimos apenas uma pequena parte das ferramentas básicas de análise de malware disponíveis. Nos próximos dias, adicionaremos mais ferramentas para você baixar e explorar, portanto, visite este blog para se manter informado sobre as atualizações. Se você tiver alguma dúvida sobre as ferramentas, deixe nos comentários. Informe-nos também quando tiver sugestões para outras ferramentas.

Ver mais

Buffer Overflow - Conceitos Básicos

Uma das vulnerabilidades de segurança mais comuns e mais antigas no software são as vulnerabilidades de buffer overflow (ou estouro de memória). As vulnerabilidades de buffer overflow ocorrem em todos os tipos de programas, desde sistemas operacionais, aplicativos cliente/servidor e programas desktops. Isso geralmente acontece devido à programação incorreta e à falta ou má validação de um programa. Neste post, será explicado o que é exatamente um buffer overflow, como eles funcionam e como podem se tornar vulnerabilidades graves. Também veremos o que acontece quando ocorre um buffer overflow e técnicas para minimizar seus efeitos prejudiciais.

O que é um estouro de buffer?

Um buffer overflow é quando um programa em execução tenta gravar dados fora do buffer da memória, ou seja, num local que não é destinado a armazenar esses dados. Quando isso acontece, estamos falando de um buffer overflow ou buffer overrun. O buffer overflow é uma área na memória do computador (memória RAM) destinada a armazenamento temporário de dados. Esse tipo de buffers pode ser encontrado em todos os programas e usado para armazenar dados de entrada, saída e processamento.

Um exemplo de dados armazenados em buffers são as credenciais de login ou o nome do host de um servidor FTP. Também outros dados armazenados temporariamente antes do processamento podem ser armazenados em buffers. Isso literalmente pode ser qualquer coisa, desde campos de entrada do usuário, como campos de nome de usuário e senha, até arquivos de entrada usados para importar determinados arquivos de configuração. Quando a quantidade de dados gravados no buffer excede a quantidade esperada de dados, o buffer de memória é estourado. Isso acontece, por exemplo, quando um nome de usuário com no máximo 8 bytes é esperado e um nome de usuário de 10 bytes é fornecido e gravado no buffer. Nesse caso, o buffer é excedido em 2 bytes e ocorrerá um estouro quando isso não for impedido. Isso geralmente acontece devido à má programação e à falta de validação na entrada.

O que acontece quando ocorre um buffer overflow?

Quando ocorre um buffer overflow na memória e os dados são gravados fora do buffer, o programa em execução pode se tornar instável, travar ou retornar informações corrompidas. As partes sobrescritas da memória podem conter outros dados importantes para o aplicativo em execução, que agora são sobrescritos e não estão mais disponíveis no programa. Os buffer overflows podem até executar outros programas ou comandos (maliciosos) e resultar na execução arbitrária de códigos.

Execução de código arbitrário e escalonamento de privilégios

A execução de código arbitrário é um processo onde é feita a injeção e execução de algum código no buffer. Quando uma vulnerabilidade de buffer overflow é usada para gravar dados mal-intencionados na memória e o invasor é capaz de assumir o controle do fluxo da execução de um programa, estamos lidando com sérios problemas de segurança. Essas vulnerabilidades de segurança podem ser explorados por hackers para obter controle (remoto) de um host, realizar o escalonamento de privilégios ou algo ainda pior com o resultado da execução arbitrária de código.

A escalação de privilégios é realizada através da exploração de uma vulnerabilidade no buffer overflow para executar algum código arbitrário em um programa que está sendo executado com privilégios de administrador. O código executado pode ser o Shellcode, que fornece ao atacante um shell do SO com privilégios administrativos. Com isso o atacante pode por exemplo adicionar um novo usuário no sistema. Também com buffer overflows o código executado acontece no contexto do aplicativo em execução. Isso significa que quando o aplicativo explorado é executado com privilégios administrativos, o código mal-intencionado também será executado com privilégios administrativos.

Negação de Serviço (DoS)

Nem todas as vulnerabilidades de buffer overflow podem ser exploradas para obter execução de código arbitrário. Além disso, ataques (remotos) de negação de serviço podem ser executados quando eles apenas travam o programa em execução. Como o buffer estoura, as vulnerabilidades podem aparecer em qualquer software, e com isso os ataques DoS não se limitam apenas a serviços e computadores, mas também roteadores, firewalls, dispositivos IoT e qualquer outra coisa que execute um sistema operacional. Um exemplo dessa situação é o recente recente estouro de buffer do Cisco ASA IKEv1 e IKEv2 Buffer Overflow. Algumas dessas explorações remotas apenas travam e forçam a reinicialização do firewall, resultando em inatividade por alguns minutos.

Como evitar que os buffer overflows aconteçam?

Os estouros de buffer no software podem ser evitados ou solucionado de várias maneiras. A mitigação é uma dessas soluções, onde o processo de minimizar o impacto de uma ameaça acontece antes ou depois da ocorrência da ameaça. Eles podem ser impedidos de acontecer antes de ocorrerem (proativos). Mas, como os estouro de buffer continuam ocorrendo, apesar das ações tomadas proativamente para evitá-los, também precisamos de mecanismos para minimizar o impacto quando eles ocorrem (contramedidas reativas). Vamos dar uma olhada em como funciona a prevenção e a atenuação do buffer overflow.

Prevenção de buffer overflows

A melhor e mais eficaz solução é impedir que ocorram condições de buffer overflow no código. Por exemplo, quando temos uma entrada de dados com no máximo 8 bytes então devemos limitar os dados gravados no buffer, para que não ultrapasse 8 bytes. Além disso, os programadores devem usar as funções de depuração para testar o código e corrigir os erros antes da finalização do programa. Métodos proativos para prevenção de estouro de buffer como esses devem ser usados sempre que possível para limitar vulnerabilidades de buffer overflow.

Mitigação de buffer overflows

Outra maneira de evitar os buffer overflows é detectá-los à medida que ocorrem e mitigar a situação. Esta é uma abordagem reativa e se concentra em minimizar o impacto prejudicial. Um exemplo de mitigação eficaz é um sistema operacional moderno que protege certas áreas de memória de serem gravadas ou executadas. Isso poderia impedir que um invasor grave um código arbitrário na memória quando ocorrer o buffer overflow. Implementações de proteção de espaço e ponteiro executável tentam minimizar o impacto negativo de um estouro de buffer. Isso não impede que ocorra o buffer overflow, mas minimiza o impacto.

Outra maneira de detecção do buffer overflow é usar sistemas de detecção de intrusão (IDS) para analisar o tráfego de rede. Um IDS é capaz de detectar assinaturas no tráfego de rede que são conhecidas por explorar vulnerabilidades de buffer overflow. O IDS pode, então, mitigar o ataque e impedir que a carga útil seja executada no sistema operacional.

Como funciona um buffer overflow no código?

Vamos dar uma olhada em como um buffer overflow realmente funciona, observando o código do programa. Nós explicamos este processo usando uma função muito conhecida e vulnerável ao buffer overflow: a função strcpy() na linguagem C. Essa função usa 2 ponteiros como parâmetros, a fonte que aponta para a matriz de origem para copiar e o ponteiro de destino para a matriz de caracteres para gravar. Quando a função é executada, a matriz de origem dos caracteres será copiada para a matriz de destino e não terá uma verificação dos limites quando isso ocorrer. Quando o buffer de origem é maior que o buffer de destino, acontecerá um buffer overflow.

Estouro de buffer com strcpy

A imagem a seguir é um exemplo da função strcpy() fazendo cópia de um valor que está ultrapassando o buffer de destino. 

Abaixo está o código com vulnerabilidade:

 

Neste exemplo, o buffer está sendo estourado com 2 bytes contendo um inofensivo 1 e 2. Como a função strcpy não realiza uma verificação de limites, podemos escrever qualquer coisa fora do espaço do buffer. Isso também pode se aplicar a um código malicioso, como o shellcode. Futuramente mostrarei mais detalhadamente como fazer o buffer overflow com shellcode. Também aprenderemos como controlar o fluxo de execução de um programa e executar o código de shell malicioso fora do buffer.

Conclusão

Aprendemos que um buffer overflow é causado por determinadas condições em que um programa em execução está gravando dados fora do buffer de memória. Ao injetar código (shell) e redirecionar o fluxo de execução de um programa em execução para esse código, um invasor pode executar esse código facilmente. Isso é chamado de execução de código arbitrário. Com a execução de código arbitrário, um invasor pode obter controle (remoto) de um alvo específico, elevar privilégios ou causar uma negação de serviço no alvo.

Os estouros de buffers podem ser preventivamente evitados e mitigados com várias técnicas. Os programadores devem depurar seus código e testá-lo a fim de evitar os buffer overflows.  Quando esse tipo de vulnerabilidade não é impedida, ela ainda pode ser mitigada com métodos reativos, como a proteção da memória contra gravação.

Fonte: Hacking Tutorial

Ver mais

6 razões pelas quais seu computador pode estar lento

O seu computador está muito lento? Aqui estão 6 possíveis razões que podem explicar o mau desempenho do seu computador.

# 1. Pouca memória RAM 

RAM (memória de acesso aleatório) é uma parte crucial de um computador. Se o seu computador não tem o suficiente, então ele começa a travar. À medida que os aplicativos e programas estão se tornando tecnologicamente mais avançados, seu computador exige mais memória RAM do que antes. Para ver quanto de memória RAM você tem no Windows, aperte Ctrl + Shitf + Esc, e ainda vai abrir o gerenciador de tarefas. Clique em desempenho e você verá o quanto de memória você tem e o quanto está sendo consumido. No meu caso, tenho 8 GB, mas está consumindo 6,1GB.

O que fazer? 
Aumente a RAM e veja se isso ajuda.

 

# 2. Programas desnecessários e muito lixo temporário
Veja, um programa para baixar vídeos do Youtube. Preciso baixar isso. A instalação de programas desnecessários fazem com que eles tenham um desempenho ruim.

O que fazer? 
Simples, desinstale os programas que você raramente usa.

OBS.: Pode baixar também o Ccleaner para fazer uma limpeza em seu computador. Caso queira mais detalhes de como deixar seu computador, entre nesse outro link aqui

# 3. Muitos aplicativos de inicialização 
Existem vários aplicativos que iniciam automaticamente quando seu o computador inicia. Estes são chamados de aplicativos de inicialização e usam muitos recursos do seu computador. Embora a maioria desses aplicativos possa ser necessária, eles devem ser usados ​​somente quando necessário. 
 
O que fazer? 
Pressione Win + R. Digite msconfig. Desmarque os programas que não precisam ser executados durante a inicialização.

# 4. Falta de desfragmentação  
Um computador lento, na maioria dos casos, é um computador fragmentado. A fragmentação ocorre toda vez que um arquivo é salvo, modificado ou excluído. Agora, todas essas mudanças são salvas em pequenos pedaços no disco rígido. Agora, essas informações não são colocados em uma ordem lógica. Portanto, quando você deseja acessar um arquivo modificado, o computador executa uma pesquisa em locais aleatórios e isso afeta seu desempenho. 

O que fazer?
    Vá para Iniciar → Painel de Controle → Sistema e Segurança. A janela Ferramentas Administrativas é exibida.

    Clique em Desfragmentar o seu disco rígido. A caixa de diálogo Desfragmentador de disco é exibida.
    Clique no botão Analisar disco.
    Quando a análise estiver concluída, clique no botão Desfragmentar disco ou Otimizar.
    Clique em Fechar.

# 5. Criptojacking 
Uma criptomoeda é uma forma de dinheiro virtual ou digital que usa criptografia para segurança. Para gerar (minha) essa moeda, o poder de processamento de um computador é necessário. Cryptojacking (ou sequestro de criptomoedas ou malware de mineração de criptomoedas) é o segredo para usar o poder de CPU do seu computador para gerar criptomoeda sem o seu consentimento ou conhecimento. 

Se o seu computador estiver sendo usado para crypjacking, ele começará a mostrar sinais de baixo desempenho e atraso na execução. Sua conexão com a Internet pode ficar mais lenta e a ventoinha da sua CPU pode ficar mais rápida do que o normal ou fazer um zumbido incomum. 

O que fazer? 
Instale um software antivírus que possa bloquear o acesso a sites comprometidos com scripts de criptografia. 

# 6. Malware 
Trojans, worms, spyware, adware, rootkits, etc. Não apenas esses programas maliciosos representam um risco enorme para seus dados pessoais, mas também afetam o desempenho do seu computador. Eles realizam operações indesejadas no computador infectado, tornando-o incrivelmente lento e, às vezes, não funcional. 

O que fazer? 
Mais uma vez, instale um software antivírus construído com defesa de múltiplas camadas (kaspersky, Avast, Malware Bytes, etc). Isso deve ser capaz de bloquear todos os tipos de malware, sites infectados e maliciosos.

Fonte: Quickheal

Ver mais

Cross-Site Scripting (XSS) ainda é o principal ataque na web

Páginas web são um alvo comum para ataques cibernéticos. E os ataques estão sempre evoluindo. É por isso que uma das conclusões do novo relatório é que o ataque de XSS entre sites ainda é a principal ameaça. Cross-site scripting (XSS) é um tipo de falha encontrado principalmente em páingas web. O ataque se dá quando é injetado códigos maliciosos dentro das páginas web, afetando assim os outros usuários.

 

No relatório, as estatísticas de ataque às paginas web, representam cerca de 31% de todos os ataques em 2017. A injeção de SQL é a segunda técnica mais comum, com as empresas de TI e finanças sendo os principais alvos, representado cerca de 20% dos ataques na web.

E os ataques continuam aumentando, pois as empresas de TI e financeiras tiveram cerca de 1.000 ataques por dia durante 2017.

Olhando para um futuro próximo, o relatório conduzido pela Positive Technologies antecipa um forte aumento nas tentativas de hacking em torno do torneio da Copa do Mundo, sediada na Rússia, começando no dia 14 de junho.

Leia mais em: PtSecutiry - Web Aplication Attacks Statistics

Fonte: DarkReading

Ver mais

Dark Web / Deep Web: Como Usar e Alguns Links 2018

A Dark Web / Deep Web é um termo usado para fazer menção a diversos sites que ficam oculta do grande público, não sendo mostrada pelo ferramentas de busca como o Google, Bing, Yahoo, etc. Geralmente, seu conteúdo é associado a atividades ilegais, porém tem todo tipo de conteúdo.

Para ter acesso a Dark Web é necessário utilizar o Tor, um navegador baseado no Mozilla Firefox. Além de poder acessar a rede oculta, você fica praticamente anônimo, mas isso que não quer dizer que você está seguro.

O primeiro passo é fazer o download do Tor na página oficial. O Tor é compatível com Windows, Linux e Mac, e sua instalação é relativamente fácil. Basta executar o programa e seguir as instruções.

 

Você terá a opção de configurações e Conectar, como mostra nas imagens abaixo

Todos os links da Dark Web são formados por caracteres alfanuméricos seguidos por .onion. Não existe um buscar eficiente como o Google, e com isso você precisa saber e anotar os links das páginas que você deseja visitar. O link mais famoso é a Hidden Wiki (http://zqktlwi4fecvo6ri.onion/wiki/index.php/Main_Page), onde tem é possível encontrar vários outros links de blogs, fóruns e sites.

Recomendações de segurança na deep web

1. A maneira mais segura de navegar pela rede Tor é usando uma máquina virtual (exemplo: VirtualBox ou VMWare).

2. Caso esteja no seu próprio computador, não faça downloads de modo algum.

3. Não maximize as janelas do navegador Tor, pois ele pode ser usado para determinar o tamanho da tela do seu dispositivo.

Links (OBS.: Os links geralmente caem rápido)

1.  http://zqktlwi4fecvo6ri.onion/wiki/index.php/Main_Page- Hidden wiki onion link
2.  http://uhwikih256ynt57t.onion/wiki/index.php/Main_Page - Uncensored Hidden Wiki onion link
3.  http://j3capgi3drf52m3i.onion/- Tor, Duck Duck Go, and The Hidden Wiki
4.  http://kbhpodhnfxl3clb4.onion/ –Tor search engine
5.  http://torlinkbgs6aabns.onion/ –Deep web links directory
6   http://3cpleimu2getp5q7.onion/  -  Contém materiais de cunho militar, guias de sobrevivência e livros sobre computação.
7.  http://ndj6p3asftxboa7j.onion/ –.onion search
8.  http://nzfbqcuyutvg6hd3.onion/ –Hacked PayPal accounts
9.  http://lmyv5msldzlcp224.onion/counterfeits/ –EURO & USD Counterfeits
10. http://ow24et3tetp6tvmk.onion- Anonymous BitCoin wallet
11.  http://easycoinsayj7p5l.onion/ –BitCoin Wallet
12.  http://mobil7rab6nuf7vx.onion/ –Unlocked Smartphones
13.  http://2ogmrlfzdthnwkez.onion/ –Hire a Hacker
14.  http://abbujjh5vqtq77wg.onion/ –Passports and ID Cards for Bitcoins
15.  http://fakeidscpc4zz6c4.onion/ –Fake documents
16.  http://torwebpa6vb7icfm.onion/ –Hosting Company
17.  http://hosting6iar5zo7c.onion/ –Web Hosting
18.  http://torvps7kzis5ujfz.onion/ –VPSSHell
19.  http://3fnhfsfc2bpzdste.onion/uploads/650485347.recov.006-Account Password recovery
20.  http://zqktlwi4fecvo6ri.onion/wiki/Torbook –Facebook for deep web
21.  http://vm3rhgs2uhwas5rt.onion/forum/index.php –Tor Forum
22.  http://pyl7a4ccwgqxm6rd.onion/w/index.php/Special:AWCforum/- Hacktivism Network
23.  http://76qugh5bey5gum7l.onion/status.xsl –Deep Web Radio
24.  http://sigaintevyh2rzvw.onion/ –Popular anonymous email sender SIGAINT
25.  http://iir4yomndw2dec7x.onion/ –Onion Mail
26.  https://anonmail.biz/ –Anon Mail similar to lavabit
27.  http://zqktlwi4fecvo6ri.onion/wiki/TorBox –Tor Box
28.  http://zbnnr7qzaxlk5tms.onion/ –Wikileaks Deep Web Links
29.  http://6r3pg2kyrn5e7jjd.onion/ –Illuminati
30.  https://qtt2yl5jocgrk7nu.onion/ –Indymedia
31.  http://4iahqcjrtmxwofr6.onion/ –Strategic intelligence network
32.  http://oaffxx4w2zaecvwy.onion/- AUTOMATED PAYPAL AND CREDIT CARD MARKET
33.  http://ppcc7a6osiplba2i.onion/- AUTOMATED PAYPAL AND CREDIT CARD MARKET
34.  http://d72dm3s2ushqmsmg.onion/- BaByLoNiA
35.  http://evl7hlif7najivfn.onion/Bacheca
36.  http://e7fpjuklmjfaxo3x.onion/Backdoor
37.  http://hp4rsicl6sbpuy4l.onion/BANK OF TOR
38.  http://bazard3zloiubtyd.onion/BAZAR PAYPAL
39.  http://wys2haakc5a264ti.onion/Baïkal Server
40.  http://74ypjqjwf6oejmax.onion/Beneath VT  –Exploring Virginia Tech’s steam tunnels and beyond
41.  http://sonntag6ej43fv2d.onion/Benjamin Sonntag –Benji’s blog !
42.  http://6zdgh5a5e6zpchdz.onion/BenTasker.co.uk  –The Home of Ben Tasker  –www.bentasker.co.uk
43.  http://w2wqyssyue7l63q2.onion/- bentham OnionMail Server
44.  http://2nyqei3vcikofwxa.onion/- Benvenuti In AGORASTREA. PIATTAFORMA VIDEO INDIPENDENTE AUTOFINANZIATA ATTRAVERSO L’UTILIZZO DELLA CRYPTOVALUTA BITCOIN
45.  http://fz3lmxbydtrljwkw.onion/- BERICH
46.  http://whwfmjjeahsru6fv.onion/- BERICH
47.  http://tpq5sxk5cgdf35uq.onion/- BestBlog
48.  http://doooootoydjcrjqg.onion/- BETTOR
49.  http://xfmro77i3lixucja.onion/ - Mais de 10 mil títulos diversos
50.  http://vjxrcebsxvrtvl4u.onion/- Bienvenue sur French Cards Market /// Welcome on French Cards Market
51.  http://k5vbzl3ucwsjf2ye.onion/- BigEscrow – Inus you can trust
52.  http://uhiwoomhaddtjnse.onion/- 0bin –encrypted pastebin
53.  http://njto3uretienojic.onion/- Bio hazard
54.  http://selxabxjpryy7jna.onion/- biohacking archive | Main / HomePage
55.  http://bitball6vducog3f.onion/
56.  http://ucjrqhah4m7pmbwb.onion/- BitBall –Testing
57.  http://mfl2t7q5m57dd6x3.onion/- Bitbox
58.  http://blendercae4sknjd.onion/- Bitcoin Blender, anodf1ous bitcoin mixer
59.  http://blenderi54mbtyhz.onion/- Bitcoin Blender, anodf1ous bitcoin mixer
60.  http://ob77hr4wkdotlcje.onion/- Bitcoin Dice
61.  http://blackgt4wl2xgka4.onion/- Black&White Cards :: Index
62.  http://7p4phtqnrzrg5ju5.onion/- BLACKGHOSTS | EAST EUROPE STUFF
63.  http://ujwy7xmlbnfb35kx.onion/- Blah-blah
64.  http://ufufdbacqmcvsrwp.onion/- blog
65.  http://blogovhjgbfv2xwa.onion/- Blog Blog Blog
66.  http://yyilonb36nqdycov.onion/- Blog Of A Deeper –by AlexanderTheGreat
67.  http://mh7mkfvezts5j6yu.onion/- Bluish Coder
68.  http://armsmhmd4c3hb5xu.onion/- BMG (Black Market Guns): Trusted source for worldwide GUN shipment
69.  http://gunsammoaahtpmqs.onion/- BMG (Black Market Guns): Trusted source for worldwide GUN shipment
70.  http://skunksworkedp2cg.onion/  -  Novos links descobertos, atualização quase diária.
71.  http://xoi7qasv6mixypql.onion – Links separados por categorias, site instável.
72.  http://xqrqbzhii6m6sdrv.onion/ – Alguns links também separados por categoriais.
73.  http://torlinkbgs6aabns.onion  –  Outro diretório com links por categorias. Alguns off-line.
74.  http://mx7rwxcountermqh.onion/ - Lista de bibliotecas na Onion.
75.  http://underdj5ziov3ic7.onion/  -  Extenso diretório, links separados por categorias, algumas contém sites adultos e snuff. Conta com verificação de link online.
76.  http://easyonionsantyma.onion/  -  Links postados por outras pessoas, com prints e descrição.
77.  http://soupkso3la22ltl3.onion/  -  Alguns links (especialmente de diretórios) e buscador
78.  http://msydqstlz2kzerdg.onion/ - Buscador Ahmia
79.  http://xmh57jrzrnw6insl.onion/ - Buscador Torch
80.  http://grams7enufi7jmdl.onion/ - Buscador Grams
81.  http://hss3uro2hsxfogfq.onion/ - Buscador not Evil
82.  http://52wdeibt3ivmcapq.onion/contents.html  -  Pequena coleção de pesquisas e livros relativamente difíceis de serem encontrados.
83.  http://akmb7t5w56jcfgwf.onion/books/sorted/ - Livros sobre computação.
84.  http://c3jemx2ube5v5zpg.onion/ - Obras literárias e relacionadas à militância.
85.  http://libraryqtlpitkix.onion/library/ - Livros sobre ciência, alguns sobre ficção.
86.  http://z6ya7cqmnlni2pqh.onion/categories/ - Programação, algumas categorias sem conteúdo.
87.  http://ibgk7stvp6bov6x6.onion/  -  biblioteca com obras de cientistas e filósofos, entre outros títulos. Livros em TXT.
88.  http://kr5hou2zh4qtebqk.onion/ezines/  -  Materiais e listas extremamente diversificados em TXT.
89.  http://hackcanl2o4lvmnv.onion/blackcrawl/index.html  -  Pequenos programas, relatos e artigos sobre computação.
90.  http://castorz2lijmrc5f.onion/ - Biblioteca em Espanhol. Livros variados.
91.   http://22n54hmykxi5bgnu.onion/ - Possível vulnerabilidade do Tor
92.   http://2noocqn5trskt4oc.onion/#/home - Projeto de paraquedismo
93.   http://2gc3lhhfoheyjpob.onion/ - Projeto Venezia
94.   http://2zpgrxfomtcynqxe.onion/ - Música do Bob Esponja no funeral de ditador norte coreano
95.   http://2tnhglajammerekg.onion/ - Venda de Jammer
96.   http://3ixxzhxifwsmo3bw.onion/ - Site obscuro que leva a um not found
97.   http://4os63v6lqvlaiyz7.onion/ - Software para comunicação segura
98.   http://5enyoqjnfpleuuou.onion/ - Algo sobre cristianismo e reencarnações
99.   http://7byfxum2pp7dlcvf.onion/ - Espécie de ameaça
100.   http://acidlawhadbroaim.onion/ - Site com vídeos aleatórios
101.   http://aerisryzdvrx7teq.onion/ - Anonimato
102.   http://afgpap57xxbir6xd.onion – Registros da guerra no Afeganistão
103.   http://nytimes3xbfgragh.onion/ - Hidden service do New York Times
104.   http://ecs2psjyyqc4o32s.onion/ - Serviço de streaming de músicas
105.   http://gy34qmhgnfdpvapa.onion/ - Site de designers
106.   http://wmjtj2j57mcvs7ms.onion/ - Técnica para potencializar habilidades humanas
107.   http://army5upsnqx4pvuc.onion/ - The Darknet Project
108.   http://writeas7pm7rcdqg.onion/ - Ferramenta para escrever artigos
109.   http://z6gtepodurog7dam.onion/ -  Fórum geral
110.   http://wbaidlaw6quwv7h3.onion/ - Serviço de denúncias
111.   http://toranimdisxwggfw.onion/ - Anime
112.   http://lamer2xarhxy72cg.onion/ - Lamer Corner
113.   http://7tm2lzezyjwtpn2s.onion/ - Notícias
114.   http://upqg7dbeqs2a6on6.onion/en/ - Trader de Monero
115.   http://6piogx66d26o7hyd.onion/ - Deep Web Marrocos
116.   http://2gbawvvusqmwgy4y.onion/ - Fundação SCP
117.   http://sm3l63yopqa2hbnt.onion/ - Desenvolvedores anônimos
118.   http://5qfknogaii3czfy5.onion/ - Red Lord
119.   http://2izlbbg42mgtdh2w.onion/ - Magia e ocultismo em português
120.   http://2okd3xv4nxsaturn.onion/ - Saturnália
121.   http://2zhhh5rr2yu2ibpm.onion/ - Protesto contra Maduro (Venezuela)
122.   http://4ryfdx77ogf4xi4y.onion/ - Guia de auto defesa pessoal
123.   http://3ixb4mmmus25cmgd.onion/en - Trading
124.   http://4irggmmtsjlgo2su.onion/ - Fórum de satanistas
125.   http://4thievzv3hh26qeh.onion/ - Futura ferramenta para criação de remédios
126.   http://66lrl3igtpkzjrox.onion/ - Projeto brasileiro
127.   http://7j5xo67ybluw7bho.onion/eng - Sorge
128.   http://clubprivnv3bb32c.onion/ - Plataforma anti fake News
129.   http://stackwolfbzpogxk.onion/ - Venda de dinheiro falsificado
130.   http://oxwugzccvk3dk6tj.onion/index.html – 8chan
131.   http://ns7ttoradlgc7qek.onion/art - Obras de arte
132.   http://3fayswphbsro666j.onion/# - Tutorial de GameMaker
133.   http://fygjgxqq5uif3tm4.onion/ - Blog sobre cultura hacker em português
134.   http://4erevcnircbpynuw.onion/ - Blog sobre paranormal
135.   http://fncuwbiisyh6ak3i.onion/ - Aplicativo para mensagens anônimas
136.   http://undergunardaszgd.onion/ - “Investimentos” no crime
137.   http://ddosiswanmkqqesy.onion/ - Comprar DDoS
138.   http://ejpwxh5lv2qkkur2.onion/ - Animação “hacker”
139.   http://oniichanylo2tsi4.onion/  - Chan
140.   http://c33rlinuh3ks32nk.onion/ - Diretório em português
141.   http://iww2iqhwxmnbh4qs.onion/ - Livros de Marx e Engles
142.   http://besthqdirnimrgpj.onion/ - Diretórios de links
143.   http://dldlja3lkjqxrqnk.onion//forum/ - Página sobre hacking
144.   https://papyrefb2tdk6czd.onion/ - Biblioteca
145.   http://creepymhpgibsewr.onion/ - Engima
146.   http://oddities7n5ei4mz.onion/ - Lista de estranhezas
147.   http://yfka3g2webemzg2z.onion/ - Algum tipo de monitor de serviços
148.   http://sfgn6cvfi5buv55o.onion/ - Grupo anarquista
149.   http://byjqsogemccza6tb.onion/ - “Plano de saúde”
150.   http://estbdbp22h6ywcj5.onion – Backups do Wikileaks
151.   http://chbets5aotzawgig.onion/ - Venda de informações sobre sites
152.   http://egii57aagxle243f.onion/ - Música
153.   http://odayseczqsyjixmx.onion/ - Hacking
154.   http://k3undzpdz43vd7qt.onion/ - Executive appreciations
155.   http://cuqvindygreizoii.onion/ - Registro de protesto
156.   http://sxdyc2ebgvlbrmrj.onion/ - Notícias
157.   http://7244rqnvwo6bqpvw.onion/ - Iro (serviço de mensagens)
158.   http://6raiglu5ogxhbs4u.onion/ - Grupo de sexo
159.   http://v7avmdv2l6dio3cg.onion/ - Serviço para hospedagem de site
160.   https://projects.propub3r6espa33w.onion/graphics/nyc-garbage  e
161. https://www.propub3r6espa33w.onion/article/trashed-inside-the-deadly-world-of-private-garbage-collection - transporte de lixo em Nova York.
162.   http://h3rcnqowafzymyb5.onion – Zoeira com um pseudo-hacker
163.   http://mo223xgiwgvw54r5.onion/ - Texto sobre vegetais
164.   https://owncloud.roundcube.pad.seafile.roundcube.owncloud.ovk26br2rfr7tqr4.onion/ - Serviços de anonimato
165.   http://h7wilg2ucnqwzfpy.onion/states - Home Assistant
166.   http://posters2ume5oohj.onion/ - Postagem de localizações
167.   http://trpqkjgqtncozb3k.onion/ - Algum tipo de ameaça
168.   http://6zccg6uvu4dfm3lo.onion/quienessomos.html - Ecologistas
169.   http://276okalwqoour5vc.onion/ - O que são waifus?

Ver mais

Apostila PenTest em Português - Parte 2

Para complementar o conteúdo do primeiro post Apostila PenTest em Português - Parte 1, vou disponibilizar uma outra apostila da 4Linux abrangendo todo o conteúdo de pentest (teste de intrusão) para redes corporativas.

Com essa apostila, você será capaz de garantir a segurança das informações na sua empresa e entender os diferentes processos na realização dos testes de penetração. Os processos se dão desde os conceitos básicos sobre rede, até a invasão à redes sem fio, injeção de pacotes e códigos maliciosos (Como SQLInjection e XSS), brute force e muito mais. É recomendado ter o conhecimento básico de Linux, redes de computadores e protocolos de rede (por exemplo TCP/IP) para tirar um melhor proveito dessa apostila.

Abaixo está todo o conteúdo da apostila:

Introdução à Segurança da Informação
Introdução ao Teste de Invasão e Ética Hacker
Escrita de Relatório
Google Hacking
Levantamento de Informações
Entendendo a Engenharia Social e o No-Tech Hacking
Varreduras ativas, passivas e furtivas de rede
Enumeração de informações e serviços
Trojans, Backdoors, Vírus, Rootkits e Worms
Ignorando Proteções
Técnicas de Força Bruta
Vulnerabilidades em aplicações web
Elevação de Privilégios Locais
Testando o sistema
Técnicas de Sniffing
Ataques a Servidores WEB
Ataques a Redes Sem Fio
Metasploit Framework
Apagando Rastros
Desafios: Testes de Invasão

Download 4shared: Link
Senha: "http://secdigital.blogspot.com.br/", sem aspas

Ver mais

FacexWorm se espalha através do facebook. Como remover?

Um vírus que sequestra dispositivos de usuários e os usa para minerar criptomoedas está se espalhando rapidamente pelo Facebook. Pesquisadores de segurança cibernética da Trend Micro estão alertando os usuários sobre uma extensão maliciosa do Chrome que está direcionando os usuários de plataformas de comércio de criptomoedas para roubar as credenciais de suas contas.

Apelidado de FacexWorm, a técnica de ataque usada pela extensão maliciosa surgiu pela primeira vez em agosto do ano passado, mas os pesquisadores notaram que o malware foi recompilado com alguns recursos novos no início deste mês. 

Os novos recursos incluem o roubo de credenciais de sites, como os da Google, redirecionamento para sites fraudulentos e mineradores. Não é o primeiro malware a usar o Facebook Messenger para se espalhar como um worm. No ano passado, pesquisadores da Trend Micro descobriram um bot de mineração de criptomoedas Monero, apelidado de Digmine, que se espalhava através do Facebook Messenger e tinha como alvo os sistemas operacionais Windows.

Assim como o Digmine, o FacexWorm também envia links projetados para o Facebook Messenger a fim de redirecionar as vítimas para versões falsas de sites populares, como o YouTube.

Como o Malware FacexWorm funciona?

Se o link de vídeo malicioso for aberto usando o Google Chrome, o FacexWorm redireciona a vítima para uma página falsa do YouTube, onde o usuário é incentivado a baixar uma extensão maliciosa de codec para continuar reproduzindo o vídeo.

Uma vez instalada, a extensão do FacexWorm baixa outros módulos para executar várias tarefas maliciosas. Como a extensão ativa todas as permissões no momento da instalação, o malware pode acessar ou modificar dados de qualquer site que o usuário abrir.

"FacexWorm é um clone de uma extensão normal do Chrome, mas projetado com um código pequeno contendo sua principal rotina. Ele faz o download do código JavaScript adicional de um servidor assim que o navegador é aberto", disseram os pesquisadores.

"Toda vez que a vítima abrir uma nova página, o FacexWorm consultará seu servidor para encontrar e recuperar outro código JavaScript (hospedado em um repositório do Github) e por fim executar seus comandos nessa página da Web."

Para se espalhar ainda mais, o malware solicita o token de acesso OAuth para a conta do Facebook da vítima, na qual ele automaticamente obtém a lista de amigos e envia um link de um vídeo falso e malicioso no YouTube. E com isso, o malware é capaz de roubar as senhas de usuários do Google, MyMonero e Coinhive. Além disso, ele também é capaz de injetar códigos maliciosos na páginas para fazer a mineração de criptomoedas.  

Quando o malware detecta que o usuário acessou uma das 52 plataformas de criptomoedas ou palavras-chave digitadas como "blockchain", "eth-" ou "ethereum" na URL, o FacexWorm redirecionará a vítima para uma página fraudulenta para roubar as credenciais do usuário. As plataformas direcionadas incluem Poloniex, HitBTC, Bitfinex, Ethfinex e Binance e a carteira Blockchain.info.

Para evitar a detecção ou remoção, a extensão FacexWorm fecha imediatamente a guia aberta quando detecta que o usuário está abrindo a página de gerenciamento de extensão do Chrome. 

A Chrome Web Store removeu muitas das extensões maliciosas antes de ser notificada pelos pesquisadores da Trend Micro, mas os invasores continuam fazendo o upload para a loja.  O Facebook Messenger também pode detectar os links mal-intencionados e socialmente modificados e bloquear regularmente o comportamento de propagação das contas afetadas do Facebook, disseram os pesquisadores.

Como as campanhas do Facebook são bastante comuns, os usuários são aconselhados a ficar atentos ao clicar em links e arquivos fornecidos, mesmo pelo seus amigos.

Como Remover no Chrome

1º Abra o menu Chrome, clique em configurações → Show advanced settings, selecione Redefinir as configurações do navegador e clique em redefinir.

2º Digite "chrome://extensions" no campo URL e toque em Enter. Remova a extensão e feche o navegador.

Como remover no Firefox

1º Caso você esteja com a versão antigo do FacexWorm no Firefox, digite "about:addons" no campo de URL. Vá para extensões e excluir extensões do navegador.

 

2º Digite about:support na URL do Firefox e aperte enter. Você tem a opção e reiniciar o navegador com todas as extensões desativas e restaurar o Firefox. Restaure o Firefox.

Caso o passo-a-passo não resolva seu problema, entre no site cleanpc-malware para seguir um tutorial completo, onde faz a remoção de entradas no registro do windows e ensina como tirar a inicialização desse malware.

Fonte: TheHackerNews, Spyware

Ver mais