Opened my IExplorer (ugh) and visited the same page, and I just saw a normal XML:

So I came back to Firefox and revisited the webpage:

Mmmm this is .. interesting, this was exactly the point of the discussion as someone from a big company was actually saying this cannot be done and that it didn’t work on his firefox (maybe it was an IExplorer with a Firefox skin?)

This reminds me of java script being executed in CSS since couple of years ago anyway (that is for another post) I think I’m going to dive a bit more into this specific Firefox thing see how nice and how atractive can it be to keep on executing stuff, since as you can see the tags are not script or jscript or anything, just pure script and it works.

I might debug tonight the java machine in Firefox but I believe is the embedded part that tries to be too smart and ends up being too weak on this part.

More specific details shall come soon, still I have to ask whoever found it if he is ok with me running my research and publishing

Anyway, of to coding and debugging!

el log de una charla ke di en un canarl irc sobre las firmas de los av’s

y como kitarselas a nuestros juguetitos experimentales xP

<Psymera> ah si no les comente mi gato se llama antivirus
<Psymera> y es la onda xxD
<sdc> jajajaja
<rey_brujo> Juar!
<Etal> Llamaba….
<sdc> neta?
<Drackoz> ~
<sdc> que cool
<sdc> XD
<Etal> se murio
<Psymera> no ese es otro
<elprimodel5patas> ./cry
<sdc> lo compro symantec
<Psymera> era la particion ToT
<Psymera> XD
<elprimodel5patas> lol
<hkm> xD
<Drackoz> Xd
<Psymera> bueno ahora si me pondre serio ( aja xD)
<elprimodel5patas> no, ya enserio hablales chimero por que estamos perdiendo auditorio
<jimtronic> hablen
<Psymera> (es el chiste para no hacer ridiculo en grande)
<Links_Engel> jajaja
<Psymera> bueno ya xD
<Psymera> como todos sabemos hay tres metodos conocidos de detecion de virus XD
<Psymera> por Firmas
<Psymera> por heuristica
<Psymera> y la ahora tan famosa y sonada proactiva( como la bautiso el kaspersky)
<Psymera> bueno las Firmas son basico encontrar un archivo con siertos valores en ekis direccion
<Psymera> haci nos detecta faiclmente ke tenemos un mydoom.abx
<Psymera> o etc
<Psymera> la heuristica okupa tanto firmas muy comunes en offsets, como la tabla de importaciones del archivo
<Psymera> y la famosa proactiva (aja XD) ke no es mas ke hookear las apis del sistema
<Psymera> y haci cogernos de los eggs xP
<Psymera> en si nos enfocaremos ah la heuristica por ke es la divertida y facil de parchar XD
<Psymera> y con eso nos llevamos firmas entre las panteras xP
<Psymera> en si es una vercion modificada sobre las firmas clasicas las cuales tmb las cheka en memoria xP
<Psymera> por eso aun ke le pongamos upx o demaz compresores al cargarlo en memoria nos detectara facilmente
<Psymera> bueno para kitar firmas hay varias tecnicas
<Psymera> de las conocidas esta la  RIT, MEEPA y hex XD
<Psymera> hoenstamente de estas tres ke son als mas conocidas la hex es una ke se basa solamente en la suerte para ke sea funcional
<Psymera> y las otras dos es necesario conocimiento mas o menos decente de asm
<Psymera> bueno para poder hacer todo esti primero tenemos ke encontrar las firmas ke hay ke modificar
<Psymera> lo mas basico ke necesitamos, block de notas, hex editor y el AV del cual keremos sacar los offsets
<Psymera> primero una carpeta la excluimos del scaneo por parte de nuestro AV
<Psymera> ahi guardaremos nuestro kerido malware  ke no distribuiremos y solo lo haremos por experiementacion ( aja :p)
<Psymera> lo vamos abrir con nuestro hex editor y vamos ah rellenar la mitad de el con bytes nulos XD y guardamos esa copia modificada en una carpeta ke si sea escaneada por nuestro av residente
<Psymera> el chiste de esto
<Psymera> es ke nos lo detecte el av
<Psymera> y nos borre esa muestra
<Psymera> o la kite o grite o lo ke sea ke haga el Av xP
<Psymera> el chiste es buscar el lado donde no nos indike ke fue encotnrado
<Psymera> apartir de ello trataremos de redusir la buskeda
<Psymera> osea volvemos au nuestro hex editor y rellenamos denuevo pero en un espacio mas pekeño
<Psymera> haci ke con mucha pasiencia cafe y musica podemos sacarlo manualmente
<Psymera> muchas de las veces( por no decir ke todas) nuestro rat packer o lo ke sea es detectado por varias firmas
<Psymera> entonces tenemos ke ir haciendo pekeños rellenados con el hex editor
<Psymera> y para no perdernos okupamos nuestro notepad para guardar neustro avanze y no kedar dañados con tanto numero XD
<Psymera> bueno esta tarea se puede simplificar okupando herramientas espesificas como son
<Psymera> signature cero, AVDevil y varias mas
<Psymera> ke lo ke hacen es hacer este rellenado pero de una forma mas burda por llamarlo de una manera
<Psymera> ya ke van creando ejemplares con blokes de un taaño determinado
<Psymera> estas eran utiles o bueno lo son cuando nuestro AV es detectado por una sola firma
<Psymera> (bien ahroa el super comercial de mi tool xD)
<elprimodel5patas> go go go go!!
<Psymera> bueno por ese motivo yo cree la herramienta AAVTools (Anti AntiViral Tools) ke sirve para identificacion de multiples firmas
<Psymera> esta basada en la idea principal de signature cero de darnos una apariencia mas amigable en la deteccion de firmas
<Psymera> poniendonos una linda barrita la cual reprecentara el cuerpo de nuestro amado malware xP
<Psymera> (termina comercial, al final sabran como cosnegirlo con faciles pagos de 9.95 xD)
<Psymera> bueno suponiendo ke ya tenemos nuestra lista de firmas
<Psymera> okuparemos la tecnica ke mas nos guste o acomode
<Psymera> (bueno primero para tirarle tierra a la hex XD)
<Psymera> se trata de teniendo nuestra firma okuparemos un hex editor para ver su valor y sumarle o restarle un valor para ke no sea detectado
<Psymera> oviamente esto kitara la firma detectada pero lo ams provable es ke mate el flujo del programa
<Psymera> ya ke estamos moviendo valores ah ciegas
<Psymera> la tecnica rit se basa en mover un bloke de instrucciones ah otra parte del programa y volver al flujo normal
<Psymera> y la meepa es una vercion modificada de la rit
<Psymera> pero podriamos decir ke mas practica
<Psymera> se trata de modificar los valores con un hex editor ah nuestro programa original y ponerle una rutina al principio del mismo ke nos vuelva a poner los valores originales pero en memoria
<Psymera> bueno para cualkiera de estas dos tecnicas necesitamos encontrar caverns en nuestro programa
<hkm> asi es como se ve el tool de psymera (bueno la version anterior): http://img264.imageshack.us/img264/8896/screenshotpq6.jpg
<Psymera> ke no son mas ke huecos ke deja el compilador ah la hora de crearlo para mantener alineadas las direcciones en memoria o demaz xP
<Psymera> para ello hay varias tool;  PEID, un script de ollydbg, topo(herramienta especialisada en ello) y otras mas
<Psymera> (cof cof la nueva vercion de mi tool ya hace tmb esa funcion)
<Psymera> pero bueno la mas okupada es el topo
<Psymera> esta herramienta nos da la opcion de buscar un tamaño minimo de la caverna o de no ayarlo aumentar el tamaño de alguna seccion o añadir una nueva para tenerlo
<Psymera> la mayoria de las veces no necesitamos okupar esas dos ultimas opciones
<Psymera> pero bueno volviendo ah la rit
<Psymera> abriremos ahora nuestro malware a modificar en en ollydbg
<Psymera> y buscaremos nuestra offset
<Psymera> bueno para ayarla se me olvido decirles tmb xP
<Psymera> ke okuparemos saber el valor de la imagebase del programa
<Psymera> para sumarlo ah nuestro offset y tener nuestra direccion como RVA XD
<Psymera> bueno teniendo la RVA del offset la buscaremos en el olly
<Psymera> bueno primero buscamos nuestra firma ke es detectada
<Psymera> como es un solo byte generalmente okupara parte de intruccioens mas grandes
<Psymera> por ejemplo supongamos ke nuestra firma tiene un valor f6
<Psymera> y la encontramos en estea instruccion
<Psymera> 00403505   31F6             XOR ESI,ESI
<Psymera> bueno copiaremos esta intruccion ah nuestro block de notas xP
<Psymera> ademas de las siguientes tres
<Psymera> 00403505   31F6             XOR ESI,ESI
<Psymera> 00403507   8932             MOV DWORD PTR DS:[EDX],ESI
<Psymera> 00403509   5F               POP EDI
<Psymera> 0040350A   5E               POP ESI
<Psymera> esto es por ponerles un ejemplo
<Psymera> y guardamos la direcciond e la siguiente instruccion
<Psymera> bien ya teniendo nuestro bloke de instrucciones okuparemos nuestra caverna
<Psymera> de igual forma ke sacamos la RVA de la firma
<Psymera> sacamos la caverna y nos dirigimos ah ella
<Psymera> y copiaremos nuestro bloke de instrucciones ke copiamos ah ella
<Psymera> al terminal el bloke le añadiremos un JMP 0040350B ke es en nuestro caso la siguient insutrccion ke se ejecutaria en el programa
<Psymera> y volvemos denuevo a la direccion de nuestra firma
<Psymera> y ah la intruccion la sobreescribiremos con un JMP direccion_de_la_cave
<Psymera> y ya guardamos nuestro ejecutable modificado y lo corremos para provarlo
<Psymera> el AV no nos lo deve de tomar como espesimen o en todo caso ke aun nos detecte lo hara como una variante diferente o como otro malware, por las firmas detectadas
<sdc> que pasa si el programa hace referencia a la memoria que desplazamos? por ejemplo si es un for que tiene como marcador de inicio la instruccion 403509 o algo asi..
<sdc> se muere el programa supongo, no seria mas eficiente colocar instrucciones equivalentes?
<Psymera> para eso existe la tecnica meepa xP
<sdc> como en ese xor esi esi, un mov esi 0
<Psymera> ke es una vercion refinada de la rit o pordriamos buscar otras firmas mas sencilla ke sean detectadas
<Psymera> aun ke si es valido como lo dices pero el problema es ke igual no son del mismo tamaño las intrcciones
<sdc> ah sisi
<sdc> eso es verdad
<Psymera> entocnes tendriamos ke mover mucho las direccion y demaz
<sdc> pero la de meepa recrea el virus en memoria no?
<Psymera> haci es
<sdc> muchos antivirus checan tambien la memoria no?
<sdc> no solo el archivo
<Psymera> en parte
<Psymera> hacen un chekeo en memoria pero solo X instricciones o tiempo al principio
<sdc> ah vaya
<Psymera> bueno deja explico mepa xP rapido para regrear ah esto
<Psymera> bueno tal como sdc comento mepa se trata de recostruir el programa en memoria
<Psymera> esto se hace teniendo las offsets y sus valores originales
<Psymera> al principio del programa antes de cualkier instruccion crea un salto a una cave
<Psymera> la cual contiene un codigo ke regenera los valores en memoria ah su estado original
<Psymera> y despues regresa al flujo normal del programa
<Psymera> por lo cual muchas firmas dificiles de modificar o sencibles ya no lo son
<Psymera> pero bueno aki encotnramos el problema del analizis en memoria
<Psymera> los antivirus igual nos buscan las firmas una vez cargado en memoria y durante los primeros X ciclos de ejeccion
<Psymera> entre ello va la simulacion de ejecuccion para buscar firmas o rutinas sospechosas
<Psymera> pero bueno esto no es una labor infinita o ke se mantenga ah lo largo de toda la ejecucion
Psymera> por lo mismo ke es demaciado costoso en recursos
<Psymera> y gracias ah ello podemos evitar mucha deteccion cuando somos geniales en asm y sabemos meter unas buenas rutinas haci en bruto en las cavernas o teniendo el codigo fuente
<sdc> jajaja..
<Psymera> por ejemplo karsperky es muy facil de saltar su heuristica por ello mismo
<Psymera> por poner un ejemplo comunmente okupado en malware echo en vb
<Psymera> es el de poner un timer ah X cantidad de mili segundos y ese a su vez active otro timer y haci ssesivamente XD
<Psymera> aun ke bueno se puede hacer on uno solo y solo okupar un bloke
<Psymera> o okpar un hilo
<Psymera> el chiste es ke okupemos esa cantidad de chekeos ke tiene permitido hacer
Psymera> y con ello saltarnos su heuristica
<Psymera> esto de igual forma podemos implementarlos con las tecnicas ke comente anteriormente para introduccion de codigo
<Psymera> bien bueno
<Psymera> preguntas comentarios
<Psymera> mentadas? XD
<Psymera> me falto algo? xP
<hkm> tu tool lo pondre en el log de la platica
<hkm> attacheado al post
<Psymera> vap xP
<elprimodel5patas> esta muy chinga la tool
<Psymera> bien de perdida refreskenmela XD
<Drackoz> no pues estuvo buena la exposicion del meepa
<hkm> Se me hizo interesante todas las formas diferentes de brincar las firmas, y es lo mismo para packers y crypters y demas?
<Psymera> haci es
<SAKIA> eip!! meepa rulez!! or algun killav
<Psymera> no me gustan en lo personal los killav
<elprimodel5patas> por?
<SAKIA> no son etikos jajajaja
<Psymera> son poko artisticos y chillan mucho
<Psymera> cuando vez ke el iconito del AV ya noe sta en el task
<Psymera> te espantas
<elprimodel5patas> lol
<elprimodel5patas> verga que le hice!
<elprimodel5patas> te paniqueas tu
<Psymera> esactamente eso ,xd
<elprimodel5patas> en ves de la compu
<elprimodel5patas> si me ah pasdo jeejejej
<elprimodel5patas> que eliminas cosas que no querias
<SAKIA> tienen su chiste pero si hicieras tu colecc de icons
<SAKIA> asi nomas cuelgas un icono basura pa que no se den cuenta jajaja y hasta los procesos fakeaz
<Psymera> esta bien eso
<Psymera> pero honestamente ah mi me gusta mas la parte romantica de uno contra la compañia completa del AV XD
<SAKIA> pues tambien es jocoso uno contra el av
<hkm> muy bien pues con eso terminamos las platicas
<sdc> deberias hacer un killav que ponga un icono que sea iwal al antivirus que usas
<jimtronic> pos aprendimos mucho ahora
<sdc> y no haga nada, nomas este ahi
<SAKIA> sdc es lo que io decia
<sdc> seh buena idea
<Psymera> xD
<sdc> jajajaja
<Drackoz> valio la pena la espera
<Drackoz> y la desvelada

Fue interesante ya que Karl Heinz me comento que no querian en la platica una fuerte cantidad de codigo ya que no querian invitar a la creacion de script kiddies, le comente que no habria problema que no publilcaria ningun fallo, o ninguna tecnica en especifico pero que era muy raro para mi dar una conferencia sin codigo, finalmente llegamos a un compromiso y la conferencia iba a ser “Como ser un buen auditor de seguridad” la cual ya estando ahi cambie por “Pentesting: Seguridad generada por ‘Hackers’” el titulo como siempre puede ser controversial pero bueno daba un mejor enfoque a algunos puntos en especifico que tengo sobre la seguridad en estos momentos en Mexico.

Invitados a FLISOL Monterrey estuvieron tambien:

- Gunnar Wolf
- Ruben Aquino
- VoX (En Sustitucion de la persona del taller de GnuPG que no fue)
- Ricardo Lira
- Otros

Nos pusimos de acuerdo Gunnar, Ruben y yo para vernos e irnos juntos al aeropuerto porque saliamos en el mismo vuelo el viernes en la noche, Ruben no pudo llegar y perdio el vuelo por 5 minutos (literalmente) a lo cual tuvo que cambiar su vuelo para el dia sabado en la mañana para poder llegar a dar su platica.

Gunnar y yo llegamos y estuvimos platicando de todo, estados de comunidad, seguridad, tendencias, cervezas, #mendozaaaa, etc. llegamos y nos recogio muy amablemente la Universidad Regiomontana y nos llevo al hotel que la verdad estaba excelente, como siempre la gente regiomontana son excelentes anfitriones, con decirles que ni le hable a mi hermana y eso que vive ahi, me falto tiempo (ya sabian que seria dificil vernos) y era el reencuentro despues de andar por el DF tanto tiempo regresar el “terruño”.

En la noche paso Karl Heinz por nosotros para cenar, conocimos a mas personas involucradas en el FLISOL y fuimos rapidamente a la sede para ver las instalaciones. Telmex patrocino 2 lineas de 4 Mbit para el evento para que los updates no tuvieran ningun tipo de problema, ademas mando el beta de su nuevo router, que me quede con ganas de
jugar con el pero a ver si consigo uno para mi unas semanas, para ADSLv2 y que vieramos que tal funcionaba y que tal nos gustaba. Sinceramente a mi no me gusto la interface, es un Modem Tompson y que Dios me libre no me deja configurar mas que 3 cosas, del servidor DHCP no me deja configurar el lease, el cual tiene un grandisimo tiempo … 26 segundos, pero bueno a caballo dado no se le ve colmillo.

Nos fuimos a dormir y prepararnos para el dia siguiente.

El sabado en la mañana comenzamos el dia a las 8:30 con un desayuno rapido y salimos a la conferencia, ya estando en la conferencia comenzamos a ver a la gente que llego, llego bastante gente, pero lo interesante es que llegaron un monton de GUL! La verdad estuo bastante bien, comenzo las platicas Gunnar, quien fue bastante chistoso porque
utilizo la maquina que tienen para la presentacion, que tenia ….. ¿Windows XP? jajaja lo cual causo el primer chiste y rompio el hielo y comenzo el FLISOL!

La platica de Gunnar Wolf fue bastante interesante, sobre todo que esta basada en la parte del administrador, y tiene una parte sobre software libre, la implementacion y que en realidad es software libre y lo que significa tanto generalmente como para la seguridad.

Al final estuve a punto de ceder mi tiempo a Gunnar cuando alguiuen le comento que que pensaba sobre el caso del standard OOXML, pero se contuvo y pudimos seguir rapidamente con las platicas, dieron un descanso de 5 minutos para la siguiente conferencia (yo).

Despues de como 15 minutos porque la gente no entraba y porque algunas personas se fueron al taller de GnuPG que estaba dando VoX comenzamos, mi platica esta embedida aqui asi que la pueden ver, en realidad son la compilacion de las preguntas que mehan hecho sobre como poder entrar al rubro de la seguridad como pentester, investigador y generador de seguridad a todos los niveles.

Mostre un poco de codigo e hize enfasis en algo por lo que he luchado que se comprenda durante ya casi 8 años: “La seguridad basada en tigres de papel no sirve, debe ser implementada, mantenida y generada desde sus bases: la programacion, el sistema operativo y la interaccion de la red y sus elementos con los usuarios”.

Asi mostre algunas de las investigaciones que he generado, algunas cosas chistosas que he encontrado y termine mi participacion, no sin antes tener un tema de controvercia:

Cuando estaba hablando de que tener para pentesting comente que se debian conocer varios lenguajes, sin embargo en las preguntas me hicieron una interesante, “¿Porque hay tantos fallos en porcentaje respectivo con el total de programas en el lenguaje PHP?”, mi unica respuesta es “La cultura de la programacion en PHP”, se que incrementara una guerra
de flamas a la cual no quiero ni tener que llegar con traje de asbesto asi que aprovechare para clarificar:

Mucha de la cultura asi como del enfoque de PHP fue generado a la creacion y programacion rapida de un entorno web, asi como conexiones con otras cosas, pero tiene la filosofia de “si funciona esta excelente”, he visto aleluyas por codigo de mas tipo spaggetti de este siglo en lugar de la simplicidad y la belleza, se que es un lenguaje nuevo, sin embargo es un lenguaje con cosas como global registers on, con no sanitizacion de input automatico y con otras cosas conlleva a un falso sentido de la seguridad, si debe ser facil alguien debe
llevar ese sentido y restringirlo para que no haya problema con los nuevos, ya sea que se les diga que hacer y como hacerlo o simplemente poner en el default la negacion del mismo, global registers fue default ON hasta PHP 5.

Espero que la cultura de los programadores de PHP se mueva mas a la seguridad y se mueva mas a la belleza de la simplicidad de codigo, ¿porque tirar 30 lineas cuando puedes tirar 5? Aun mas, espero que los programadores nuevos comiencen a tomar decisiones de lenguajes, porque intentar hacer algo en web con C (por ejemplo una pagina) si lo puedo
hacer con PHP que es para web, pero porque hacer arquitecturas cliente/servidor con PHP si tengo lenguajes que son mas eficientes en eso?

En fin, seria un debate el cual rivalizaria con si existe una comunidad de Linux en Mexico …

Despues hubo varios talleres y ponencias en donde se expresaron cosas interesantes como “parchar no sirve”, “hacer pentesting no lleva a nada” y que “las politicas son donde hay que ir” claro que esto lo dijo una persona que se dedica a esto, me puso un poco triste porque desgraciadamente esta fuera de la realidad, pero cada quien con sus problemas yo dudo que este correcto el 30% de las veces de todos modos.

En la tarde se tuvo que ir Gunnar, nos despedimos y me fui a dormir un poco al hotel para prepararme par ala fiesta del a noche, no sin de verdad haberme reprochado no poder presentarme con una chava mega guapa que es linuxera, ni modo mi timidez me gano mal plan, hasta instalo linux en su ipod y varias cosas.

Como a las 11:00PM nos lanzamos Heinz y yo para barrio antiguo para la fiesta que fue en el Anana, llegamos a 3 cuadras de la fiesta, y me pregunto si queria ir a un antro medio under techno, no pude decir que no llegamos y nos dijeronque ese dia habia “Un show de unos chilenos”, pagamos el cover comenzamos a chelear y resulto que el grupo de chilenos era el grupo queu cantaba “Esterechez de corazon” que ahora estan mucho mas metidos en el spycho y el trance, en el inter de los cambios de sus canicones hizo remixes de micheal Jackson, musica de los 80s, hasta los beegees, lo increible es que lo cantaba y las canciones hasta la de los beegees le salieron igualitas, estuvimos ahi cantnado y cheleando hasta que termino el show, de ahi salimos y nos volvimos a perder en el mar de bares, regresando al hotel a las 7AM solo para dormir 1 hora y levantarme para regresar en avion.

Quiero expresar mi agradecimiento a los organizadores de FLISOL y en especial a Karl Heinz por todo su apoyo, cordialidad y buscar que todos nos sintieramos a gusto, definitivamente para mi un excelente evento!

¡Nos vemos en el BugCON!