Esta base de datos la pueden encontrar en el menú Recursos bajo el nombre de Hash Database!

Hace unos dias decidí intentar nuevamente configurar dicha tarjeta de red y esta vez si lo logré y fué mucho mas sencillo de lo que me esperaba tomando en cuenta que soy un completo novato en linux.

Primero probe instalar el driver STA  siguiendo las instrucciones que aparecen en el readme y luego probe instalar el ndiswrapper. En ambos casos no tuve éxito debido a diferentes errores que aparecían y que segúro podrían haber sido resueltos por alguien con algo de experiencia en linux.

Al final la solución que encontré fue la siguiente:

1. Instalar Hardware Drivers: Asegúrense de escoger la versión para KDE si están usando BT.

2. Ejecutar Hardware Drivers: Seleccionar Broadcom STA wireless driver y activarla!

3. Reiniciar!

Con estos tres simples pasos conseguí hacer que mi BT R2 reconozca mi tarjeta Broadcom. Para mi era suficiente que pueda ser reconocida para navegar en internet y no para hacer auditorías wireless pues casi nunca las hago y las pocas veces que lo he intentado utilizo una tarjeta de red externa con chipset Realtek.

Espero que a alguien con la misma tarjeta le ayude este post!

Los ponentes y los temas a exponer son los siguientes:

• Andrés Morales – Consultor Senior en Ximark
  • PhD. en explotación con MetaSploit
• César Cuadra  – Gerente de Consultoria en Open-Sec
  • La Fuerza está en ti : Desarrollo de Exploits II
• Miguel Febres  - Experto en Ingeniería Reversa y propietario de Q-Protex
  • Mamá : De grande quiero ser Ingeniero Reverso
• Juan Pablo Quiñe – Consultor en Seguridad de la Información
  • Lockpicking 101
• Mauricio Urizar – Consultor Senior en Open-Sec
• Top 10 : Los 10 casos más caseritos del 2010 en hacking

Para registrarse deben seguir los pasos que se mencionan en este link. La entrada es gratis! Los esperamos!

Mas información en: http://www.elladodelmal.com/2010/10/la-fiesta-de-la-hispanidad-en-peru.html

Para los que no pudimos (me incluyo) terminar de ver el reto Forense que DragonJar lanzó en la EkoParty 2010, quiero informarles que se ha relanzado el reto públicamente y hay plazo hasta este 10 de octubre para entregar los informes con la explicacion a los siguientes puntos:

• Determinar si 0xBlack realmente se suicido
• Si fue un suicidio, identificar las causas que hicieron que 0xBlack, se suicidara
• Si fue un homicidio, determinar el autor y el motivo por el cual se cometió el asesinato
• Recuperar la información robada a la empresa PlanEx
• Documentar todo en los informes técnico y ejecutivo.

Los entregables a mandar son:

• Reporte Ejecutivo: Debe explicar en un lenguaje entendible a cualquier persona, cuáles fueron las pruebas encontradas en la maquina y porque gracias a ellas puede estar seguro de lo que sucedió (no debe superar las 4 páginas).
• Reporte Técnico: Debe explicar de forma técnica, todos los pasos realizados para obtener la evidencia, realizar los análisis y sacar las conclusiones (20 páginas o más).

Mas información en: http://www.dragonjar.org/re-lanzamiento-3er-reto-forense-comunidad-dragonjar.xhtml

Llegué el miércoles 15 de Septiembre a Bs.As por la mañana y de inmediato me dirigí del hotel a las instalaciones donde se realizó el taller de Modern Malware Reverse Engineering (taller al cual asistí gracias a que fuí unos de los ganadores del concurso Desafío ESET 2010 – Crackme). El taller duro casi 8 horas y lo dictó Joan Calvet, un colaborador de Eset que trabaja de forma independiente y que lamentablemente no se pudo quedar para la EkoParty ya que me contó que se iba a ir a Uruguay con su enamorada para esos días. El lugar donde se realizó el taller era un centro de estudios por lo que el salón contaba con todo lo necesario para dictar el taller. Fuimos alrededor de 15 personas y cada uno pudo seguir la clase usando un Windows virtual cargado con el material que estaba formado por herramientas, manuales y binarios de malware reales.

El sílabo del curso fue el siguiente:

1. Basics on malware RE
   1. Concepts and tools
   2. UPX in-depth
   3. Storm example
2. Static analysis
3. Protections
   1. Peerfrag
   2. Waledac
4. Swizzor in-depth
5. What happens once unpacked ?
6. Bonus exercises!

A eso de las 02:00pm hicimos una pausa para el almuerzo y fue una grata noticia saber que Eset invitaba el almuerzo. Nos fuimos a una parrilla muy cerca del lugar y estuvimos departiendo un momento grato charlando entre todos. Ahi tuve la oportunidad de conocer un poco mas a Federico Pacheco de Eset y a Joan Calvet. Luego del almuerzo regresamos a seguir con el taller pero el tiempo no fue suficiente y el taller termino sin haber visto todos los slides de la presentación, sin embargo la información proporcionada durante el taller junto con los ejercicios fueron suficientes para que uno pueda seguir por su cuenta luego en casa.

Al día siguiente me dirigí en metro a Ciudad Cultural Konex, lugar donde se realizó la EkoParty y conocí finalmente en persona a muchos amigos que tengo allá de la lista de CracksLatinos.

Las charlas

Las charlas empezaron a eso de las 10:00am así que hubo un desfase entre las horas plasmadas en la agenda y la hora real en que empezaron las charlas. Aparte, hubieron algunos cambios de último minuto que fueron informadas debidamente en una segunda versión de la agenda. Estuve presente en la mayoría de charlas pero no en todas ya que estar 8 horas continuas sentado definitivamente produce un cansancio mental y a veces físico. Las que mas me llamaron la atención fueron:

• Understanding the Win SMB NTLM weak nonce vulnerability: Fue increíble saber que hay una vulnerabilidad de 17 años de antiguedad.
• Atacking VoIP… un paraíso!: Lo que sabíamos: VoIP estuvo relegado por mucho tiempo y recién desde hace poco se le ha puesto el ojo en cuanto a seguridad.
• Pentesting Driven por FOCA: La utilidad de la herramienta + el carisma de Chema hicieron de esta charla una de las mas entretenidas y curiosas.
• Exploiting Digital Cameras: Otra Proof of Concept (PoC) de un dispositivo de uso masivo.
• Padding Oracles Everywhere: A mi parecer esta fue la charla mas importante debido al revuelo que generó en los medios. Incluso distribuyeron un exploit 0day que afecta aplicaciones web hechas en .net en un par de memorias usb y las lanzaron al público.

Los stands

Cuando uno no estaba en las charlas, seguro estaba paseando por uno de los stands de las empresas auspiciadoras:

• ESET: Sortearon un PsP que se lo llevó un amigo (Tena) y también regalaban agendas y pelotas antistress con el logo de Eset a los que llegasen a cierto puntaje en un juego de captura de virus usando un juego especialmente hecho por Eset para el Wii.
• CORE: Me regalaron una navaja suiza con el logo de CORE!

Los retos

Uno de los mas resaltantes fue el que organizó DragonJar. Era un reto de análisis forense que consitía en analizar una imagen vmware y tomar unas fotos del escenario armado como la escena del crimen. Luego se tenía que entregar un informe determinando si había sido un suicidio o un asesinato. Dicho reto me llamo mucho la atención y aunque no tengo ninguna experiencia en análisis forense trate de darle una mirada. Esto hizo que tome la desición de especializarme en esta rama en el futuro.

En conclusión fue una muy buena experiencia estar presente en esta conferencia por las charlas mismas, el conocer a mis amigos virtuales y establecer contactos con algunas empresas de allá para futuras oportunidades laborales.

Creating a python script

With all the information we got in the previous articles let’s create a python script to automate this process:

Requirementes and notes:

• python 2.6+
• pefile

# MMUnbuilder v0.1
# Based in MMBuilder file version 3.00
# Programmed by Miguel Febres
# m.febres at q-protex.com
# http://www.q-protex.com
 
import sys
import pefile
import zlib
import binascii
import struct
import getopt
import os
 
def header():
print u"""\
 
MMUnbuilder - v0.1
Programmed by Miguel Febres - http://www.q-protex.com
"""
 
def usage():
header()
print u"""\
Usage: %s [option]
 
Decompiles mmbuilder exe files.
 
Options:
-u<File>       decompiles given file
-h             shows this help text
""" % sys.argv[0]
 
def main(argv):
 
try:
opts, args = getopt.gnu_getopt(argv, "u:hl:m:")
except getopt.GetoptError:
usage()
sys.exit(2)
 
for o, a in opts:
if o == "-h":
usage()
sys.exit()
elif o == "-l": #load new mbd to exe
exeFile=a
elif o == "-m": #load new mbd to exe
loadMBD(exeFile,a)
elif o == "-u": #unbuild
if os.path.exists(a):
unbuild(a)
else:
print "File doesn't exist!"
sys.exit(2)
 
else:
usage()
sys.exit(2)
 
def loadMBD(exeFile,mbdFile):
header()
#Open the exe file
print "[+] Opening " + exeFile
pe = pefile.PE(exeFile)
 
filebuffer = pe.write()
 
s = pe.sections[-1] #get last section
eof=s.PointerToRawData + s.SizeOfRawData
 
#if the size of the file is bigger than last section offset+length
print "[+] Checking size..."
if (len(filebuffer) > eof):
print "[+] Overlay data found in the end of PE file!"
#get mmb data
mmbdata=filebuffer[eof:]
 
#check header
sizeHeader=ord(filebuffer[eof])
print "[+] Checking if overlay data is from Multimedia Builder..."
if filebuffer[eof+1:eof+sizeHeader-1]=="MMBuilder":
#print filebuffer[-4:]
dataSize=struct.unpack("< I", filebuffer[-4:])[0]
if dataSize>0:
footerData=filebuffer[eof+dataSize:-4]
print footerData
filebuffer=filebuffer[:eof] #discard overlay data
 
f = open(mbdFile, 'rb')
mbdContents=f.read()
sizembdContents=len(mbdContents)
f.close
 
f = open(os.path.splitext(exeFile)[0] + ' MODIFIED.exe', 'wb')
f.write(filebuffer[:eof])
f.write(mbdContents)
f.write(footerData)
f.write(struct.pack("< I",sizembdContents)) #size of footerdata
f.close
 
else:
print "[+] File is not made in MMbuilder!"
 
else:
print "[+] File does not have overlay data!"
 
def unbuild(name):
header()
#Open the exe file
print "[+] Opening " + name
pe = pefile.PE(name)
 
filebuffer = pe.write()
 
s = pe.sections[-1] #get last section
eof=s.PointerToRawData + s.SizeOfRawData
 
#if the size of the file is bigger than last section offset+length
print "[+] Checking size..."
if (len(filebuffer) > eof):
print "[+] Overlay data found in the end of PE file!"
#get mmb data
mmbdata=filebuffer[eof:]
 
#check header
sizeHeader=ord(filebuffer[eof])
print "[+] Checking if overlay data is from Multimedia Builder..."
if filebuffer[eof+1:eof+sizeHeader-1]=="MMBuilder":
print "[+] Multimedia Builder format version " + filebuffer[eof+10:eof+sizeHeader+1] + " found!"
 
print "[+] Checking if data is compiled with security layer..."
#print ord(filebuffer[eof+sizeHeader+1:eof+sizeHeader+2])
if ord(filebuffer[eof+sizeHeader+1:eof+sizeHeader+2])==0x01:
print "[+] Security Layer FOUND!"
newPointer = filebuffer[eof+sizeHeader+5:eof+sizeHeader+9]
sizeProtectedData = struct.unpack("< I", filebuffer[eof+sizeHeader+9:eof+sizeHeader+13])[0]
 
print "[+] Size of protected data: " + repr(sizeProtectedData)
compressedData=filebuffer[eof+sizeHeader+13:eof+sizeHeader+13+sizeProtectedData]
print "[+] Uncompressing: "
mmbdata = zlib.decompress(compressedData)
 
print "[+] Saving unprotected exe..."
f = open(os.path.splitext(name)[0] + ' UNPROTECTED.exe', 'wb')
f.write(filebuffer[:eof]) # save original exe contents
f.write(mmbdata) #save uncompressed data
f.write(filebuffer[eof+sizeHeader+13+sizeProtectedData:-4]) #save footer metadata without pointer
f.write(newPointer)
f.close
 
else:
print "[+] Security Layer not found!"
 
print "[+] Saving project..."
f = open(os.path.splitext(name)[0] + '.mbd', 'wb')
f.write(mmbdata)
f.close
 
print "[+] Work done!"
else:
print "[+] File is not made in MMbuilder!"
 
else:
print "[+] File does not have overlay data!"
 
if __name__ == "__main__":
if len(sys.argv)>1:
main(sys.argv[1:])
else:
usage()

Download it here

Let’s dump this overlay data and analyze it:

0000h:0B 4D 4D 42 75 69 6C 64 65 72 33 30 00 00 00 00 .MMBuilder30....
0010h:01 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0020h:00 00 01 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0030h:00 00 00 00 00 00 00 00 08 57 65 6C 63 6F 6D 65 .........Welcome
0040h:21 01 00 00 00 00 00 00 00 00 00 00 00 00 00 00 !...............
0050h:00 00 01 00 00 00 06 50 61 67 65 20 31 01 00 00 .......Page 1...
0060h:00 00 00 00 00 00 01 00 00 00 00 00 00 00 00 00 ................
0070h:00 00 FF FF FF 00 00 00 00 00 00 59 00 00 01 00 ..ÿÿÿ......Y....

The format of the header is:

• BYTE: Size of the string with the name and version of mmbuilder file format.
• LPCTSTR: String with the name and version of mmbuilder file format.
• DWORD: Boolean value the indicate if the source is compressed.

After the header you will find the source code of the application! If you compare it with the original mbd file you will find that is almost the same file but the last 0×14 bytes.

0450h:53 54 41 4E 44 41 4C 4F 4E 45 53 04 00  ...STANDALONES..
0460h:00                                               .

The format of this overlay data is:

• LPCTSTR: STANDALONE will appear any time you choose to build an application as standalone. Otherwise the .mbd must be shipped together with the exe file.
• DWORD: Size of the source code. Any data after the source is metadata as StandAlone or AllowOneInstance

Secure Layer

When the project is compiled with Secure Layer activated the source is still appended as overlay data into the exe but this time it is compressed.

0000h:0B 4D 4D 42 75 69 6C 64 65 72 33 30 01 00 00 00 .MMBuilder30....
0010h:53 04 00 00 49 01 00 00 78                      S...I...x

Now the dword value is 1 indicating the source is compressed. Now the format of the header is:

• BYTE: Size of the string with the name and version of mmbuilder file format.
• LPCTSTR: String with the name and version of mmbuilder file format.
• DWORD: Boolean value the indicate if the source code is compressed.
• DWORD: Size of uncompressed source code.
• DWORD: Size of compressed source code.

After the header you will find the compressed source code of the application! The format of the overlay data is the same.

Now the question is how to determine what algorithm was used to compress the source code? After unpack the file the plugin KANAL lists the following crypto signatures:

• ADLER32 :: 0009297C :: 0049297C
• CRC32 :: 000EEEB8 :: 004EEEB8
• CRC32b :: 001227EC :: 005227EC
• ZLIB deflate [long] :: 000EFD28 :: 004EFD28
• ZLIB deflate [word] :: 00129BD8 :: 00529BD8

ADLER32 / CRC32 are hash algorithms and ZLIB is the only option for compression. With all this information it is possible to create a python script to automate the decompilation of MMBuilder applications.

Part 3 >>

Introduction

When reverse engineering binaries, compiler-specific tools are very important. There are plently of tools for almost all the compilers in the wild so it is very possible to find someone that has worked already in the development of a generic tool to interact with a specific binary. We have DeDe-E2A for Delphi binaries, VB Decompiler-RaceVB6-Smartcheck for VB and Reflector for .NET among many others. In this article I will analyze the structure of the binaries made with Multimedia Builder and develop a python script to automate the decompilation of it.

Requirements

• Python 2.X
• pefile
• Multimedia Builder (I will use version 4.9.8 in this article)

Hello World! MMbuilder way

I will not go deeper into how to use MMbuilder IDE tool and its syntax. I will assume you know how to use it (anyway it is very easy). Let’s create a new project, place a button and write the following script:

Message("Hello World!","")

Now compile the project with the following options:

• Create Stand-Alone file: YES
• Compression Method: Any
• Player: Full
• Add Secure Layer: NO

Analysis

Now let’s analyze the exe:

C:\masm32\bin>dumpbin.exe /ALL /RAWDATA:none c:\Media1.exe
Microsoft (R) COFF Binary File Dumper Version 5.12.8078
Copyright (C) Microsoft Corp 1992-1998. All rights reserved.
 
Dump of file c:\Media1.exe
 
PE signature found
 
File Type: EXECUTABLE IMAGE
 
FILE HEADER VALUES
14C machine (i386)
3 number of sections
473B220C time date stamp Wed Nov 14 11:27:56 2007
0 file pointer to symbol table
0 number of symbols
E0 size of optional header
10F characteristics
Relocations stripped
Executable
Line numbers stripped
Symbols stripped
32 bit word machine
 
OPTIONAL HEADER VALUES
10B magic #
6.00 linker version
7F000 size of code
3000 size of initialized data
113000 size of uninitialized data
192500 RVA of entry point
114000 base of code
193000 base of data
400000 image base
1000 section alignment
200 file alignment
4.00 operating system version
0.00 image version
4.00 subsystem version
0 Win32 version
196000 size of image
1000 size of headers
0 checksum
2 subsystem (Windows GUI)
0 DLL characteristics
100000 size of stack reserve
1000 size of stack commit
100000 size of heap reserve
1000 size of heap commit
0 loader flags
10 number of directories
0 [       0] RVA [size] of Export Directory
195510 [     320] RVA [size] of Import Directory
193000 [    2510] RVA [size] of Resource Directory
0 [       0] RVA [size] of Exception Directory
0 [       0] RVA [size] of Certificates Directory
0 [       0] RVA [size] of Base Relocation Directory
0 [       0] RVA [size] of Debug Directory
0 [       0] RVA [size] of Architecture Directory
0 [       0] RVA [size] of Special Directory
0 [       0] RVA [size] of Thread Storage Directory
0 [       0] RVA [size] of Load Configuration Directory
0 [       0] RVA [size] of Bound Import Directory
0 [       0] RVA [size] of Import Address Table Directory
0 [       0] RVA [size] of Delay Import Directory
0 [       0] RVA [size] of Reserved Directory
0 [       0] RVA [size] of Reserved Directory
 
SECTION HEADER #1
UPX0 name
113000 virtual size
1000 virtual address
0 size of raw data
400 file pointer to raw data
0 file pointer to relocation table
0 file pointer to line numbers
0 number of relocations
0 number of line numbers
E0000080 flags
Uninitialized Data
Execute Read Write
 
SECTION HEADER #2
UPX1 name
7F000 virtual size
114000 virtual address
7E800 size of raw data
400 file pointer to raw data
0 file pointer to relocation table
0 file pointer to line numbers
0 number of relocations
0 number of line numbers
E0000040 flags
Initialized Data
Execute Read Write
 
SECTION HEADER #3
.rsrc name
3000 virtual size
193000 virtual address
2A00 size of raw data
7EC00 file pointer to raw data
0 file pointer to relocation table
0 file pointer to line numbers
0 number of relocations
0 number of line numbers
C0000040 flags
Initialized Data
Read Write

As we can see, there are 3 sections and the exe seems to be packed with UPX. (I used compression in the project so I can guess disabling compression will not use UPX. Anyway it doesn’t matter for this article.)
If we take a look the size of the file we will see that is
531,041 bytes long but it is not consisten with the data from dumpbin.We all know that the size of the file must fulfill the following
formula:Size = Last section raw offset + Last section raw size

In this case, the last section is the third section and its Raw offset is
0x7EC00h and its size is 0x2A00.

Let’s probe:

0x7EC00h + 0x2A00 = 0x81600h (529920).

This confirms the existence of overlay data at the end of the file. I used
Stud_PE to confirm this as you can see in the graphic.

Part 2 >>

So I decided to download TrueCrypt and play around with the program to get familiar with it. After read the documentation and some reviews I realize that it is a very secure piece of software that implements many high level features so I knew I will not be easy, at least in theory.

I start to search in internet for some tools than can help me to bruteforce the file but I couldn’t find any. I remember one page propose one solution: Create an script and launch the truecrypt aplication with some command line options and test if was possible to open it. I tried to do it but it was really slow so I start to search for another options until I found a way to use truecrypt as a self-bruteforce: Instead of launch truecrypt everytime with a different password I made a script in python with the winappdbg python module that acts as a loader and change/test the password in the memory space of truecrypt itself.

Requirementes and notes:

• python 2.6.4 (2.6.x should also work)
• winappdbg-1.3.win32
• Use the truecrypt application provided in the attached file or against a Keepass version 6.3a
• It only works agains volumes without keyfiles
  

TrueCrypt Self-Bruteforce Python Code

# TrueCrypt Self-Bruteforce v0.1
# Based in Truecrypt version 6.3a
# Programmed by Miguel Febres
# mafebresv at q-protex.com
# http://www.q-protex.com
 
# Performance: 2 words per second (Core Duo 2.2GHZ), DeviceIoControl is slow
 
from winappdbg import Debug
from time import strftime
import time
 
counter=0
word=""
words=[]
r_eax = 0
r_ecx = 0
r_edx = 0
ptrBuffer=0
 
WORD_SIZE = 20
 
def action_2( event ):
global word
global counter
global debug
global ptrBuffer
global WORD_SIZE
 
aThread = event.get_thread()
aProcess = event.get_process()
if aProcess.peek(ptrBuffer, 1) == '\x00':
print 'Counter: ' + repr(counter) + ' - Correct: ' + word
debug.dont_break_at(aProcess.get_pid() , 0x0043F93E)
else:
#if (counter%1000)==0:
print 'Counter: ' + repr(counter) + ' - Incorrect: ' + word
 
if counter< len(words):
aProcess.poke(ptrBuffer, '\x00') #flag 1
word=words[counter]
word = word.replace("\n","")
word = word[0:WORD_SIZE-1]
#word = word.lower() #optional
word = word.ljust(WORD_SIZE,"\0")
aProcess.poke_uint(ptrBuffer + 0x218, WORD_SIZE)
aProcess.poke(ptrBuffer + 0x21C, word)
aThread.set_register("Eip", 0x0043F90F)
aThread.set_register("Eax",r_eax)
aThread.set_register("Ecx",r_ecx)
aThread.set_register("Edx",r_edx)
counter+=1
else:
aProcess.kill()
 
def action_1( event ):
global debug
global ptrBuffer
aThread = event.get_thread()
aProcess = event.get_process()
ptrBuffer = aThread.get_register("Ecx")
debug.dont_break_at(aProcess.get_pid() , 0x0043F929)
 
def action_0( event ):
global debug
aThread = event.get_thread()
aProcess = event.get_process()
r_eax = aThread.get_register("Eax")
r_ecx = aThread.get_register("Ecx")
r_edx = aThread.get_register("Edx")
debug.dont_break_at(aProcess.get_pid() , 0x0043F90F)
 
words = open('dic.txt', "r").readlines() #lengthall
print "[+] Words Loaded:",len(words)
 
try:
debug = Debug()
# Start a new process for debugging
p = debug.execv( ['TrueCrypt.exe', '/v', 'test.tc', '/lx', '/p', "".ljust(WORD_SIZE) ,'/q', '/s'])
 
debug.break_at(p.get_pid() , 0x0043F90F, action_0) #save state
debug.break_at(p.get_pid() , 0x0043F929, action_1) #save buffer addres
debug.break_at(p.get_pid() , 0x0043F93E, action_2) #check result, restore state, change eip
 
# Wait for the debugee to finish
t1 = time.clock()
debug.loop()
 
finally:
debug.stop()
 
print 'Finished in ' + repr(time.clock() - t1) + ' seconds!'

Of course, to made this script possible first I debug keepass and after a while I found how to change the password in memory and force the program to test it again.

Download it here