lunes, 5 de septiembre de 2011

Espionaje, cuerpos sexys y datos robados Parte 2

##################################################################################
##################################################################################

Si la anterior entrada no sabía como empezarla, era porque estaba dándole vueltas en como culminar la siguiente. El novato, nos dio un respiro al publicar una pista “el código fuente de los estilos”, que encontramos en los logs capturados por Ardamax. Ahora solo nos quedaba encontrar al “hackabrón” que hizo públicos sin saberlos, todos esos archivos robados del servidor.
Se me ocurrió una estúpida idea de las mías... bajarme TODA la página web, a uno de mis discos duros ¡Claro! ¡No tengo permiso para entrar a ningún sitio privado! ¿Pero y si todos los datos importantes son públicos?

El principal problema, es que el hostin baneó mi IP. Supongo que no les haría tanta gracia como a mí, que un desconocido cree tantas conexiones a su servidor, pero no le dan tanta importancia a lo que otros albergan en él.
No tuve que moverme demasiado, para dar con algo que llamó mi atención.
(Recorté las fotografías... a ellas le gustan grandes pero a nosotros no)



Es irónico encontrarse a una de las personas infectadas por el keylogger, con una sesión de FTP abierta en el servidor donde se alojan los archivos robados y en otra ventana el hostin. Pero sin duda lo más gracioso, es encontrarse el servidor donde estaba colgado el ejecutable con extensión COM y la dirección de dicha persona enviándose el correo así mismo.
Bueno, supongo que son cosas que pasan, uno juega con fuego, hasta que se infecta de su propio troyano y se termina robando a uno mismo ¡miren el lado bueno! ¡la ley no castiga los auto-robos!
El tema es que dando vueltas por las imágenes, vi que era un tipo que más o menos sabía lo que se hacía, pues para no dejar rastros en muchos de sus movimientos, se le ocurrió una idea más fantástica aun que la mía, instalar Deep Freeze, pues esperemos que congelase el estado del sistema antes de instalar el sever del Keylogger, sino estamos apañados.

Hablo asegurando que esta siguiente fotografía, aun ser de un sitema diferente, era consciente del servidor robado, pues también existe una imagen, donde se visita dicho dominio desde este.




Casi asusta, pero cada uno es libre de dedicarse a lo que quiera, unos venden Ford Scorts otros mujeres Escorts...
Decidí pasar de las fotos obscenas, a los ficheros HTML en busca de más porno, aunque para suerte de esta entrada, también encontré su propia contraseña de Hotmail, donde el presunto “hackabrón” se reenvió el ejecutable infectado “hackeandose” de nuevo.


 

El decimal 64 en Assci, pasó hace mucho tiempo a ser la @, aunque el 6464, puede ser debido al parkison informático.
Si seguimos jugando, seguro encontraremos más cosas divertidas...



Pero seguro que nada importante ya ven.
PD: ¡No quiero que ahora se pongan todos como locos a borrar los ficheros de sus Ardamax! ¡No sin antes pasarme las capturas de pantalla!
Saludos 4n4les! ;)
Publicado por Germán Sánchez Garcés en 23:57 7 comentarios
Etiquetas: , , , , , , , ,

jueves, 1 de septiembre de 2011

Espionaje, cuerpos sexys y datos robados Parte 1

##################################################################################
##################################################################################


La verdad, no sé por donde coger esta entrada, tengo tanto de lo que hablar y más pensando en lo acostumbrados que están mis lectores a marearse entre los floripondios tan agitados, casi vomitivos con los que estoy familiarizado a utilizar enelpc, que bueno... en fin, bienvenidos a mi montaña rusa.

No sé si alguno de vosotros tuvo ese turbio y obsceno pensamiento, de hacerse fotos sexys, poniendo su mejor cara, ante una cámara y subirlas a una página, para que las chicas guarr... digo guapas que viven detrás de tu bloque, te firmen o puntúen, para más tarde tener una cita, y bueno ya saben... eso que hace todo el mundo, pero que todo el mundo está empeñado en esconder ¡no piensen mal! ¡no son nuestras IP!
¿Por qué por “internete” los feos también ligamos?
Pues sí, tenía la ilusión de encontrar algún bug en la famosa web de Sexyono.com ¡no me digan que no la conocen! ¡Si todos tenemos una foto subida seguro! El tema es que cuando se me terminaron las variables y las jeringuillas SQL, empecé a buscar en Google. Primero pensé en acceder a alguna cuenta que no fuese mía, (wooh) pensé demasiado... pues ya saben lo generoso que llega a ser Google cuando se empeña, ahora pensemos todos juntos mejor chicos.
¿Qué vé un usuario registrado a diferencia de uno sin registro?
¡Claro! Un panel con “Mis Coincidencias”, “Mis Mensajes”... ¿Cerrar sesión?

Pues nada, a buscar como loco con búsquedas avanzadas.




Escandalosamente, me encontré con nombres de usuario accesibles, o más bien perfiles indexados por Google, mediante una URL con un par de variables interesantes, “u=” la de usuario cifrada y “key=” que trasporta la clave de acceso.

Aunque aveces, no me gusta meterme en donde no me llaman y terminé asustado por la brutalidad de pede*a*t*s que se aprovechan de chicos menores a mi parecer, sin el más mínimo miedo.



La duda me traía loco, así que no podía faltar una pequeña investigación para intentar llegar a alguna lógica en todo esto.
¿Qué hacían dichos enlaces indexados? ¡pues de algún sitio tuvieron que salir digo yo!
Se me ocurrió buscar uno de los enlaces (“acortándolo un poco, pues ya saben que aveces el buscador es un poco (“tikismikis”)”), junto a la variable que lleva el nombre de uno de los usuarios cifrado, con lo que llegué a un subdominio que lo albergaba, como muestra la siguiente imagen.




Al acceder al subdominio, pude ver que se trataba de un hostin free, que “alguien” utiliza para alojar en este, miles de archivos como capturas de pantalla, conversaciones, claves de acceso a sitios... ¿ya saben por donde va la cosa?



Indagando entre fotos, conversaciones, páginas pornográficas, facebUks y mil guarrerías robadas, me llamó la atención saber el nombre de la aplicación utilizada por el supuesto “hackabrón” que se había montado todo este embolado. Así que me tocó buscar un patrón, para dar con alguna pista... ¡pero si solo son capturas y conversaciones! ¿Donde encuentro algo?
Algo estaba cerca, pues los estilos que le daban ese recuadro grisáceo a las fechas de las capturas de teclas, es posible que fuera “único” del supuesto “SpyWare”.
Este tal “Ricks”, estaba infectado hasta la médula...



Así que en busca del patrón, “Ctrl+U” y a inspeccionar el código fuente.



Sin dar muchas vueltas se pudo ver incluso el hostin al que pertenecía.
Copiamos el patrón y a buscar en Google de nuevo, que para mi que de algo me va a servir.

Casi me caí de la silla, pues la suerte me la brindó un pequeño novato de un foro que ya apareció enelpc, junto una larga historia de Google Hacking.
No sé si la recordarán, pero para entrar dentro de tal foro, bastaba con hacerse pasar por Google a base de User-Agent Cloaking, utilizando a GoogleBot 2.1, junto con su traductor o caché y podrán navegar sin registro.
Un pequeño iluso, que intentaba leer sus logs guardados en HTML con un notepad, el Ardamax Keylogger que él mismo configuró, descargados desde un FTP similar al de aquí, nuestro amigo “hackabrón” que hizo enlazar Sexyono robados sin saberlo... Aunque bueno, realmente la culpa es de Sexyono, ¡a quien se le ocurre utilizar esos métodos de “supercifrado” de acceso!
Así que bueno... ¡esto es tooo! ¡esto es tooo! ¡esto es tooo amigos!
Saludos 4n4les! ;)
Publicado por Germán Sánchez Garcés en 22:36 11 comentarios
Etiquetas: , , , , , , , ,
Suscribirse a: Entradas (Atom)