viernes, 29 de noviembre de 2013

Exploit para Adobe Acrobat Reader con evasión de sandbox y de ASLR/DEP


A mediados de febrero de este año y en varias campañas de malware se utilizó un 0-day para las últimas versiones de Adobe Reader por el cual un atacante podía provocar un desbordamiento de buffer y ejecutar código arbitrariamente mediante un PDF malicioso especialmente modificado. 

Hoy, las dos vulnerabilidades ya tienen su CVE asignado (CVE-2013-0640 y CVE-2013-0641) y @w3bd3vil y@abh1sek han rescatado de un foro ruso y adaptado un exploit que es capaz de evadir ASLR/DEP y el sandbox de la aplicación.

Afecta a las versiones 11.0.1, 11.0.0, 10.1.5, 10.1.4, 10.1.3, 10.1.2, 10.1 y 9.5 de Adobe Acrobat Reader y funciona bajo Windows 7 (32 y 64bit) y XP.

Para probarlo nada más sencillo. Primero necesitamos instalar Ruby 1.9 (http://dl.bintray.com/oneclick/rubyinstaller/rubyinstaller-1.9.3-p484.exe?direct) y las gemas origami y metasm:

d:\Ruby193\bin\gem.bat install metasmd:\Ruby193\bin\gem.bat install origami -v "=1.2.5"

Luego descargamos el exploit (http://www.exploit-db.com/sploits/29881.tar.gz) y lo descomprimimos, lo desempaquetamos y echamos un vistazo a sus parámetros y uso:

D:\Hacking\Exploits\29881>d:\Ruby193\bin\ruby.exe xfa_MAGIC.rbUsage: xfa_MAGIC.rb [options]    -i, --input [FILE]               Input PDF. If provided, exploit will be injected into it (optional)    -p, --payload [FILE]             PE executable to embed in the payload        --low-mem                    Use Heap spray suitable for low memory environment    -o, --output [FILE]              File path to write output PDF    -h, --help                       Show help

Después simplemente seleccionamos nuestro ejecutable PE para el payload (máximo 114688 bytes) y el nombre del fichero PDF:

D:\Hacking\Exploits\29881>d:\Ruby193\bin\ruby.exe xfa_MAGIC.rb -p prueba.exe -o poc.pdf

[+] Loading package[+] Embedding user executable (size: 18944)[+] Encoding payload (key: 249 kii: 251)[+] Generating file: poc.pdf  Buen fin de semana y happy hacking!

jueves, 28 de noviembre de 2013

Credenciales de Facebook enviadas por HTTP y no HTTPs

Tras las demos del programa de televisión, lo que mucha gente preguntó fue eso de"¿No van las credenciales de Facebook siempre por HTTPs?". Eso les llevó incluso a pensar que la demostración que hice pudiera no funcionar o que fuera de cartón piedra. Con el objetivo de que entiendan mejor en que consiste el ataque, he hecho este artículo y un par de gráficos para que lo entiendan mejor, pero si quieres más, puedes leerte el libro de Ataques en redes de datos IPv4 & IPv6.

El primer punto que hay que conseguir es situarse entre medias de la comunicación. Esto se puede hacer de mil formas, desde configurarse como rogue-AP y router a nivel de red, hasta hacer un ataque de ARP-Spoofing, pasando por los ataquesStateless Adrees Auto Configuration en IPv6 o Web Proxy Auto Configuration en IPv4 o IPv6.  Estos tres últimos los puedes hacer con Evil FOCA.


Figura 1: Esquemas de la interconexión IPv6-IPv4 para hacer el man in the middle

Una vez que se está en medio, se tiene acceso al tráfico que se está enviando desde el cliente, y si se tiene acceso a él, existe la posibilidad de poder interceptarlo y manipularlo, que es lo que hacen herramientas como CainSSLStripSSLSniff,Ettercap en Kali o la Evil FOCA.


Un Fake CA

Según la herramienta para atacar la red que utilices, el comportamiento será uno u otro cuando hay que lidiar con conexiones HTTPs. En el caso de Cain, la herramienta hace una copia del certificado digital original para enviarle al cliente un Fake-CA. Algunas herramientas no validan que el certificado digital cumplan que el certificado esté emitido para ese sitio, que esté caducado o que esté emitido por una entidad certificadora válida en la que se confía, como por ejemplo publicamos con el cliente aMSN. Con el resto de ellas, o bien no funciona la conexión, o se obtiene una alerta de seguridad.


Figura 2: Certificado falso de passport.com creado por Cain

Si el usuario acepta ese certificado, a partir de ese momento estará enviando los datos cifrados al atacante, que los descifrará, leerá, manipulará y los volverá a enviar al servidor cifrados con una conexión HTTP-s hecha, esta vez sí, con el certificado original del servidor web.


El bug de las BasicConstraints


En el caso de SSLSniff, lo que se hace es algo similar, pero aprovechándose de unbug en los clientes que no verifican las BasicConstrains del certificado que reciben. La gracia es que se utiliza un certificado auténtico pero que no tiene validez para crear nuevos certificados. Es decir, supongamos que el atacante se saca un certificado digital para un servidor web llamado miserver.com en Verisign. La cadena de confianza es correcta, y no genera ninguna alerta de seguridad.


El ataque se basa en usar el certificado de miserver.com para crear certificados digitales falsos para sitios como www.facebook.com pero firmado por miserver.com. Si el cliente tiene el bug de BasicConstrains y no comprueba que el certificado de miserver.com no tiene autoridad para crear certificados, podría tomar el falso certificado de facebook.como como bueno. Esto le ha pasado a casi todos los navegadores, y al propio iOS de iPhone no hace mucho.


El Stripping de HTTPs

En el caso de herramientas como SSLSniff o Evil FOCA el ataque se basa en hacer que el cliente navegue entre él y el atacante con HTTP y luego las herramientas navegarán con HTTPs cuando se conecten al servidor oficial. Aquí tienes la presentación original de Moxie Marlinspike en BlackHat 2009.


 
Figura 3: 2009 BlackHat DC Presentation on SSL Stripping de Moxie Marlinspike

En el caso de que el servidor haga un re-direct a HTTPs, como sería por ejemplo cuando el cliente pida http://www.google.com y el servidor le intente llevar ahttps://www.google.com, será el atacante el que hará la redirección, manteniendo al cliente siempre en HTTP.



Figura 4: El Bridging HTTPs-HTTP con un redirect de por medio

Una vez que se obtenga la página de resultados, es importante que las cookies de sesión - que vendrán marcadas con el flag secure para no funcionen sobre HTTP - sean gestionadas por el atacante. Para ello se puede generar una cookie falsa que se envía al cliente sin dicho flag, permitiendo que él navegue, y que el servidor no note que ha habido una manipulación de la cookie.



Figura 5: La captura de las credenciales vía HTTP en el equipo que corre la Evil FOCA


Esto no es necesario siempre. Muchos servidores que hacen el envío de un mensaje de redirect a HTTPS, siguen escuchando por HTTP, así que aunque pidan que todo se le envíe por HTTPS se puede seguir enviando la información de login por HTTP y permiten la autenticación.

Para conseguir más peticiones de inicio desde el cliente con HTTPEvil FOCA filtra los resultados de Google, es decir, que si te conectas a Google a través de una conexión atacada por Evil FOCA poniendo en la barra de navegaciónhttp://www.google.com, cuando el servidor devuelva un redirect ahttps://www.google.comEvil FOCA lo interceptará, hará la navegación a HTTPs y le entregará la página de búsqueda al cliente bajo HTTP. Es decir, hace un Bridging HTTPs-HTTP a www.google.com


Figura 6: Evil FOCA haciendo el Bridging a WWW.GOOGLE.COM y a los resultados de búsqueda de Facebook


Después, cuando el usuario busque en Google algo como Facebook, todos los resultados que vengan apuntando a HTTPs serán sustituidos por HTTP y losredirect Javascript serán eliminados también, para que el engaño sea completo. El resto, será volver a hacer el Bridging HTTP-HTTPs otra vez, pero esta vez a Facebook. Esta es la demo que hice en DEFCON 21.


Mitigaciones


Si estás en un esquema de man in the middle hay poco que hacer salvo cifrar contra un punto de conexión seguro con una VPN con L2TP o SSTP con Certificate Pinning - que PPTP es susceptible de ataques de man in the middle y se puede crackear por diccionario o atacando MS-Chap-v2 con brute-force tras reducción - , y si no es posible mejor que no se navegue nunca. Un plug-in que obligue a navegar siempre vía HTTPS, el uso de certificate pinning para evitar que te comas un bug deBasicConstrains en el futuro o un entidad intermedia maliciosa, además de intentar no entrar a los sitios haciendo clics en ningún sito o confiando en los redirects aHTTPS ayudarán mucho a detectar el ataque.



miércoles, 27 de noviembre de 2013

Propagan la noticia falsa de que hackers comprometen los servidores de la FIFA y filtran el cuadro de grupos del Mundial


Hoy he recibido varios correos de amigos comentando una noticia en el Marca. En ella se hablaba de que un grupo de hackers logró comprometer los servidores de la FIFA y filtrar el cuadro de grupos del Mundial de fútbol de 2014, algo sorprendente teniendo en cuenta que hasta el próximo 6 de diciembre no es el sorteo oficial:


¡Genial! En seguida me puse a buscar más referencias, pero menos de cinco minutos bastaron para saber que la noticia provenía de El Deforma, un referente de periodismo satírico en México y, en definitiva, un sitio de noticias para hacer reír:



No es la primera vez que pasa, este sitio ya se hizo famoso cuando varios medios internacionales se hicieron también eco de la noticia falsa en la que El Deforma aseguraba que Samsung había decidido pagar en centavos de dólar la indemnización millonaria a Apple... pero señores periodistas, por favor contrasten la veracidad de las noticias antes de publicarlas en sus medios ;)

Fuentes:
La noticia de el Deforma:
Listos los grupos para el Mundial, hackers revelan la información 

Los medios que se trollean solos:

MARCA(ESPAÑA):http://www.marca.com/2013/11/26/futbol/mundial/1385488943.html#comentarios
INFOBAE(ARGENTINA):http://www.infobae.com/2013/11/26/1526594-hackearon-la-pagina-web-la-fifa-el-sorteo-del-mundial
GOAL(ESPAÑA):http://www.goal.com/es/news/3653/mundial-2014/2013/11/26/4434858/hackean-de-la-p%C3%A1gina-de-fifa-el-supuesto-sorteo-de-brasil
TERRA (ESPAÑA): http://deportes.terra.es/futbol/descubren-un-sorteo-oculto-del-mundial-en-la-fifa,b1ce0d91c4592410VgnVCM4000009bcceb0aRCRD.html
Bolavip: http://www.bolavip.com/115651/hackers-grupos-mundial-brasil-2014/
OCACION (URUGUAY): http://www.ovaciondigital.com.uy/futbol/hackean-fifa-grupos-mundial.html
TELENOTICIAS (ARGENTINA) :http://telefenoticias.com.ar/es/news/deportes/20131127/fifa-tiene-arreglados-los-grupos-brasil-2014/23411.shtml
24 HORAS (CHILE): http://www.24horas.cl/deportes/chilealmundial/hackean-a-la-fifa-y-anuncian-los-grupos-del-mundial-de-brasil-956006
etc., etc..
hasta medios internacionales!!! http://www.joe.ie/football/football-news/are-these-the-groups-for-the-fifa-world-cup-2014/ 

La verdad:
El Deforma lo vuelve hacer... engaña a Marca de España 
El deforma lo hace de nuevo, Troleada internacional



Fuente

martes, 26 de noviembre de 2013

Tú NO miras la SmartTV, ella te mira a tí


Ayer leía una interesante nota relacionada con los SmartTV de LG, donde un consultor del Reino Unido llamado Jason Huntley (@DoctorBeet) comentaba que había descubierto que su televisor registraba y enviaba los datos de los canales que estaba mirando a la empresa LG Electronics, incluso luego de haber desactivado la función “Collection of Watching Info”.

Es importante recordar que durante el 2012LG lanzó al mercado una plataforma dirigida a los usuarios de sus SmartTV (LG Smart AD, que casualmente hoy se encuentra sin servicio) que les permitía a los anunciantes conocer detalles mas precisos de la audiencia activa en los distintos programas de televisión, y así seleccionar en qué programa colocar sus anuncios comerciales basándose en información como por ejemplo: Edad, Sexo, Ubicación Geográfica, etcétera, etcétera

Figura 1: Imagen del sitio LG Smart AD sin servicio hoy

Como el sitio actualmente se encuentra en mantenimiento, no es posible ver mucha información al respecto, sin embargo si utilizamos el querido sitio archive.org y buscando por http://lgsmartad.com/main/main.lge podemos encontrar estas dos definiciones:

Figura 2: Imágenes tomadas dehttps://web.archive.org/web/20130809105525/http://lgsmartad.com/main/main.lge

Por lo cual el objetivo de la plataforma es bien claro y nadie puede negarlo, aunque estaría interesante que la función de desactivar el envío de información, funcionara también... Básicamente el esquema es sencillo, el sistema LG Smart AD envía los datos a través de un mensaje Post a los servidores de la empresa cada vez que alguien cambia de canal, dándole a los anunciantes y a las empresas encuestadoras de rating, información al instante sobre lo que sucede con cada usuario (conocido en el mundo de la publicidad televisiva y radial como el “minuto a minuto”).

Sin embargo, lo que más llama la atención es en realidad, que además de esa información, también es capaz de enviar datos como por ejemplo los nombres de los archivos que son reproducidos por medio de un USB externo conectado al TV, asociados al identificador único del televisor. Como es de esperarse, en texto plano, tal como se puede ver en la captura hecha por el propio DoctorBeet en su post original:
Figura 3: Imagen de la captura realizada por el investigador donde se observa el ID del SmarTV

Como parte de su investigación, DoctorBeet creó un archivo de video con un nombre llamativo para ver si el mismo podía identificarse con un analizador de tráfico, y el resultado fue el esperado. Si tu red WiFi es insegura, todo el mundo podrá ver qué estás viendo en tu SmartTV.
Figura 4: Imagen de la captura realizada por el investigador donde se observa el nombre del archivo creado por él para la prueba

Aquellos que trabajan en tareas de investigación, este tipo de noticias les resulta más que interesante porque en lo primero que piensan es en la posibilidad de utilizar ingeniería social para identificar por medio de un archivo determinado reproducido en un SmartTV, quien lo compró o en que casa lo están mirando a partir de los datos de la conexión IP (no todo el mundo usa una VPN para conectar su TV aInternet).

Claro está que desde otro punto de vista, y desde la presunción de “todos somos inocentes hasta que se demuestre lo contrario” utilizada en la legislación de varios países, la invasión a la privacidad es un detalle mucho más que sensible a considerar.

Toda esta noticia puede no ser sorprendente para muchos, y definitivamente esta claro que normalmente, aquellos que somos más paranoicos con todo, tengamos nuestras webcams de las notebooks, de las PC y hasta de SmartTV tapadas. Sin embargo, muchas personas ven como poco probable (o de película) un ataque realizado a través de una TV, o basado en el uso de ella como equipo zombie, o tal vez como pivote, sobre todo porque la gran mayoría de los ataques publicados hasta ahora contra los SmartTV, tienen que ver con noticias sobre denegaciones de servicio. Es así, que como pregunta de reflexión final para todos aquellos a los que ésta noticia no les sorprende:
¿Cuántas personas usan un USB exclusivo para reproducir contenido multimedia en sus dispositivos, y cuántas usan el mismo USB que utilizan en sus trabajos para transportar información confidencial?
Saludos a todos.
Claudio B. Caracciolo
CSA at Eleven Paths

viernes, 15 de noviembre de 2013

Netsh trace, realiza capturas de tráfico de red sin necesidad de instalar nada


En Windows 7/2008 R2 ya no es necesario instalar WireShark o Netmon para realizar una captura de tráfico, con el comando 'netsh trace' es posible hacerlo directamente desde la línea de comandos:





Básicamente desde una consola con permisos administrativos ejecutamos el comando 'netsh trace start' con los parámetros deseados para iniciar la captura:


C:\Windows\system32> netsh trace start capture=YES report=YES persistent=YES


Y posteriormente cuando queramos paramos la monitorización con el comando:


C:\Windows\system32> netsh trace stop 


Una vez finalizada la captura, se generarán dos ficheros por defecto: uno con extensión.ETL (Event Trace Log) que puede ser abierto con herramientas como Netmon, y otro con extensión .CAB que contiene abundante información sobre el software y hardware del sistema, así como la información del adaptador, estructura, sistema operativo y la configuración inalámbrica.

El uso de netsh para esnifar y analizar tráfico es muy cómodo y tremendamente útil en análisis forenses y en sistemas en los que no es posible o no se permite instalar software. Además con el tracing de netsh obtenemos otras ventajas importantes a considerar:

- es posible configurar la monitorización para que sea persistente, es decir, que permanezca después de un reinicio.

- tiene capacidad de registro circular: puedes dejar la monitorización de forma indefinida hasta que un evento determinado ocurra.

- se puede centrar en el seguimiento de un escenario específico ('netsh show scenarios').

- permite crear filtros y es muy parametrizable lo que le pone a la altura de otras herramientas y facilita la detección de problemas o troubleshooting de red. Por ej. puedes capturar los paquetes sólo con origen/destino una IP en concreto: 'netsh trace start capture = yes ipv4.address == x.x.x.x'.

- junto con la captura se pueden generar informes y todo se almacena en un único archivo .CAB


  

- las trazas de paquetes se pueden ver en el Monitor de red de Microsoft con el analizador de Windows habilitado. Esto también nos permite ver el tráfico de MS de forma más ordenada





- O si lo prefieres, puedes incluso exportar el fichero ETL a formato CAP con Microsoft Message Analyzer Beta 3 para abrirlo con Wireshark



Fuentes:


http://www.windowsnetworking.com/articles-tutorials/windows-7/New-Netsh-Commands-Windows-7-Server-2008-R2.html

http://blogs.technet.com/b/yongrhee/archive/2013/08/16/so-you-want-to-use-wireshark-to-read-the-netsh-trace-output-etl.aspx

http://chentiangemalc.wordpress.com/2012/02/22/netsh-traceuse-it/

http://msdn.microsoft.com/en-us/library/windows/desktop/dd569142%28v=vs.85%29.aspx

miércoles, 13 de noviembre de 2013

¿Malware en la red corporativa? el jefe ha vuelto a ver porno...


En octubre de 2013 ThreatTrack Security llevó a cabo una encuesta a 200 analistas de malware de distintas empresas de EE.UU. Sus conclusiones son cuanto menos curiosas y también queríamos compartirlas con ustedes:

- casi 6 de cada 10 analistas reconocen que han investigado o tratado fugas de datos que no se han dado a conocer nunca por la empresas afectadas


- las empresas con más de 500 empleados son más propensas a haber tenido una incursión no declarada


- el 40% de los encuestados dijo que la mayor dificultad para defender la red de su organización es el hecho de que no tienen suficiente personal de seguridad altamente cualificado


- el 67% también dijo que la complejidad del malware es otro factor principal, el 67 % el volumen de los ataques de malware y el 58% citó la falta de efectividad de las soluciones anti-malware


- los analistas dedican mucho tiempo a revisar infecciones de malware fácilmente evitables que se originan en los niveles más altos de la organización y fundalmente debido a que:


    . visitan sitios web pornográficos (40 %)
    . hacen clic en un enlace malicioso en un correo electrónico de phishing (56 %)
    . permiten que un miembro de su familia use un dispositivo de propiedad de la empresa (45 %)
    . instalan alguna aplicación móvil maliciosa (33 %)


- más de la mitad (52 %) de todos los analistas de malware dijeron que normalmente les lleva más de 2 horas analizar una nueva muestra de malware. Por el contrario, sólo el 4 % dijo que son capaces de analizar un nuevo ejemplar de malware en menos de una hora


- un 35 % comenta que no tienen acceso a una solución automatizada de análisis de malware


- por último también se les preguntó a los analistas sobre el espionaje cibernético. El 37 % de los encuestados dijo que los EE.UU. es el país más experto en la realización de espionaje cibernético, seguido de cerca por China con un 33 %


¿Y tu que opinas? Real como la vida misma ¿verdad? 



Fuente: Malware Analysts Say Breaches Are Not Being Disclosed by Their Employers

sábado, 9 de noviembre de 2013

Recopilación de herramientas en Python para pentesters


Si estás involucrado en la investigación de vulnerabilidades, ingeniería inversa o pruebas de intrusión, seguro que ya habrás utilizado Python porque cuenta con un rico conjunto de librerías y herramientas útiles para estos menesteres.

En la página de Dirk Loss podemos encontrar un gran recopilatorio de herramientas escritas en Python para penetration testers, algunas de ellas sólo enlaces a librerías C existentes, es decir, herramientas que hacen las librerías fácilmente utilizables desde programas de Python.

Sin embargo, por la difusa situación jurídica en Alemania no se incluyen algunas de las herramientas más agresivas (frameworks PenTest, smashers bluetooth, escáneres de vulnerabilidades de aplicaciones Web, war-dialers, etc.). Por ello y para tener una lista aún más completa, vamos a ir añadiendo todas las herramientas que vayamos encontrando. No dudes en comentar esta entrada si conoces alguna más y quieres que la añadamos a esta lista:
  

Red

 
  • Dirtbags py-pcap: lee ficheros pcap sin libpcap
  • dpkt: rápida y simple creación de paquetes y análisis, con las definiciones básicas de los protocolos TCP/IP 
  • flowgrep: grep a través de payloads de paquetes utilizando expresiones regulares
  • Impacket: modifica y decodifica paquetes de red. Incluye soporte para los protocolos de más alto nivel, tales como NMB y SMB
  • Knock Subdomain Scan:  enumera los subdominios de un dominio de destino a través de una lista de palabras
  • libdnet: rutinas de red de bajo nivel, incluyendo la interfaz de búsqueda y transmisión de tramas Ethernet
  • Mallory: proxy man-in-the-middle extensible TCP/UDP, soporta la modificación de protocolos no estandar al vuelo
  • pypcapPcapy y pylibpcap: varios enlaces Python para libpcap
  • Pytbull: framework de pruebas de IDS/IPS muy flexible (incluye más de 300 tests)
  • pynids: wrapper de libnids que incluye sniffing, IP defragmentation, reensamblado de streams TCP y detección de escaneos de puertos
  • Scapy: envia, rastrea y analiza y crea paquetes de red. Se puede usar de forma interactiva o como una librería
 

Depuración e ingeniería inversa

 
  • Androguard: ingeniería inversa y análisis de aplicaciones de Android
  • apk-jet: un wrap de apktool en python para automatizar y hacer más fácil la ingeniería inversa de apks 
  • AsmJit: sencillo wrapper en Python para AsmJit usando SWIG. AsmJit posee clases de generación de código de alto nivel que pueden utilizarse para crear código JIT
  • BeaEnginePython: bindings de BeaEngine en Python de Mario Vilas. 
  • Binwalkes una herramienta de análisis firmware diseñada para ayudar en el análisis, la extracción y la ingeniería inversa de imágenes del firmware y otros blobsbinarios. Es fácil de utilizar, completamente programable y se puede extender fácilmente a través de firmas personalizadas, reglas de extracción y módulos deplugin.
  • bochs-python-instrumentation: Este parche para Bochs proporciona un intérprete de Python en lugar del propio depurador Bochs, proporcionando la funcionalidad del depurador. También permite interactuar con la interfaz de instrumentación bajo demanda, al asociar dinámicamente métodos de Python para manejar eventos de instrumentación.
  • Buggery: wrapper python para DbgEng. 
  • ctypes: módulo de Python que permite crear y manipular tipos de datos de C en Python. Estos luego pueden pasar a funciones C cargadas desde librerías de vínculos dinámicos.
  • Cuckoo: sistema sandbox de análisis de malware automatizado. Tiene un API para personalizar tanto el procesamiento como las etapas de presentación de informes. 
  • diStorm:  biblioteca de desensamblador para AMD64, bajo licencia BSD
  • IDAPython: plugin de IDA Pro que integra Python, permitiendo ejecutar scripts en IDA Pro
  • Immunity Debugger: GUI programable y debugger en linea de comandos
  • Paimei: framework de ingeniería inversa, incluye PyDBG, PIDA, pGRAPH
  • pefile: permite leer y trabajar con archivos Portable Executable (PE) 
  • pydasm: interfaz en Python para la librería libdasm de desensamblado x86
  • PyDbgEng: wrapper en Python para el motor de depuración de Microsoft Windows 
  • PyEMU: emulador IA-32 completamente programable, útil para análisis de malware
  • python-ptrace:depurador usando ptrace (Linux, BSD y Darwin system call para trazar procesos) escrito en Python
  • mona.py: PyCommand para Immunity Debugger que reemplaza y mejora pvefindaddr
  • uhooker: intercepta llamadas a llamadas a la API dentro de DLLs , así como las direcciones arbitrarias en el archivo ejecutable en la memoria
  • vdb / vtrace: API de depuración de procesos multi-plataforma implementado en python, y vdb es un depurador que lo utiliza
 

Fuzzing

 
  • antiparser: fuzz testing y API de inyección de fallos
  • Construct: librería para parsear y construir estructuras de datos (binario o texto).  
  • Forensic Fuzzing Tools: genera ficheros fuzzeados, sistemas de ficheros, y sistemas de ficheros con ficheros fuzzeados para probar la robustez de herramientas forenses y sistemas de análisis 
  • Fusil: librería en Python usada para escribir programas de fuzzing 
  • fuzzer.py (feliam): fuzzer sencillo de Felipe Andres Manzano 
  • Fuzzbox: multi-codec media fuzzer
  • Mistress: genera formatos de archivos al vuelo y protocolos con datos malformados, basados en patrones predefinidos
  • Peach Fuzzing Platform: framework de fuzzing extensible para la generación y la mutación basada en fuzzing (la v2 fue escrita en Python)
  • Powerfuzzer: fuzzer web altamente automatizado y totalmente personalizable (protocolo HTTP basado en fuzzer de aplicación)
  • SMUDGE 
  • Sulley: framework de desarrollo fuzzer y pruebas que consiste en varios componentes extensibles
  • TAOF: (el Arte del Fuzzing) incluye ProxyFuzz, un fuzzer man-in -the-middle de red no determinista
  • untidy: fuzzer XML de propósito general
  • Windows IPC Fuzzing Tools: herramientas para fuzzear aplicaciones que usan mecanimos Windows Interprocess Communication
  • WSBang: ejecuta pruebas automáticas contra servicios web SOAP
 

Web

 
  • FunkLoad: medidor de carga web funcional
  • Ghost.py: cliente webkit escrito en Python 
  • HTTPie: cliente http similar a cURL pero más intuitivo. 
  • mitmproxy: proxy HTTP de interceptación con soporte SSL. Permite inspeccionar y editar tráfico al vuelo. 
  • Requests: librería HTTP sencilla y elegante, hecha para seres humanos
  • Twill: navega por Internet mediante un interface en línea de comandos. Soportaweb testing automatizado
  • pathod / pathoc: demonio/cliente para saturar clientes y servidores HTTP
  • ProxMon: procesa logs de proxy y crea informes con los resultados
  • python-spidermonkey: puente al motor JavaScript de Mozilla SpiderMonkey; permite llamar y evaluar scripts y funciones Javascript
  • spynner: módulo de navegación web programable para Python con soporte Javascript/AJAX
  • WSMap: encuentra servicios web y descubre ficheros
  • Windmill: herramienta de pruebas creada para automatizar y depurar aplicaciones web
 

Forense

 
  • aft: Android forensic toolkit
  • LibForensics: librería para desarrollar aplicaciones forenses digitales 
  • TrIDLib: identifica los tipos de archivo de sus firmas binarias. Ahora incluye Pythonbinding
  • Volatility: extrae y analiza artefactos digitales de la memoria volátil (RAM)
 

Análisis de malware

 
  • Exefilter: filtra formatos de archivo en mensajes de correo electrónico, páginas web o archivos. Detecta muchos formatos de archivo comunes y puede eliminar contenido.
  • phoneyc: implementacion de honeyclient totalmente escrito en python
  • pyew: editor hexadecimal y desensamblador en línea de comandos, principalmente usado para analizar malware
  • pyClamAV:  añade capacidades de detección de virus para tu software Python
  • jsunpack-n: unpacker de JavaScript genérico: emula la funcionalidad del navegador para detectar exploits dirigidos a explotar vulnerabilidades en navegadores y plugins
  • yara-python: identifica y clasifica muestras de malware
 

PDF

 
  • Didier Stevens' PDF tools: analiza, identifica y crea ficheros PDF (incluye PDFiD,pdf-parsermake-pdf y mPDF)
  • Opaf: Open Framework Analysis PDF . Convierte PDF a un árbol XML que puede ser analizado y modificado.
  • Origapy: wrapper de Python para el módulo de Ruby Origami que desinfecta archivos PDF
  • PDFMiner: extrae texto de ficheros PDF 
  • pyPDF: Python PDF toolkit: extrae info, corta, une, cifra, descifra...
  • python-poppler-qt4: une Python con la librería Poppler PDF, incluyendo soporte Qt4
 

Misc

 
  • Exomind: para la creación de gráficos y el desarrollo de módulos de inteligencia de código abierto, centrada en servicios de redes sociales, motores de búsqueda y mensajería instantánea
  • Hachoir: permite ver y editar un stream binario campo por campo
  • InlineEgg: toolbox de clases para escribir pequeños programas en Python
  • PyMangle: herramienta de línea de comandos y una biblioteca de Python utilizada para crear listas de palabras para su uso con otras herramientas de pruebas de intrusión
  • RevHosts: enumera los virtual hosts de una dirección IP dada
  • simplejson: JSON encoder/decoder, para por ej. usar Google's AJAX API
 

Otras herramientas y librerías útiles

 
  • IPython: shell Python interactivo y mejorado con algunas características para la introspección de objetos, acceso a una consola del sistema y su propio sistemaespecial de comandos
  • Beautiful Soup: HTML parser optimizado para screen-scraping
  • matplotlib: construye gráficos 2D de matrices
  • Mayavi: : 3D de visualización de datos científicos y plotting
  • RTGraph3D: crea gráficos dinámicos en 3D
  • Twisted: motor de creación de redes basada en eventos
  • Suds:  cliente SOAP ligero para servicios Web
  • M2Crypto: wrapper OpenSSL más completo
  • NetworkX: librería gráfica (bordes, nodos)
  • Pandas: librería que proporciona mayor rendimiento y mayor facilidad de uso para analizar estructuras de datos de alto rendimiento y herramientas de análisis de datos
  • pyparsing: módulo de parsing general
  • lxml: librería más rica en características y fácil de usar para trabajar con XML y HTML
  • Whoosh: rápido, con muchas características de indexación de texto completo y búsqueda de librería implementado en Python
  • Pexpect: controla y automatiza otros programas, similar al sistema Don Libes `Expect
  • Sikuli, tecnología visual para buscar y automatizar interfaces gráficas de usuario con capturas de pantalla. Programable en Jython
  • PyQt y PySide: Python bindings para el framework Qt y librería GUI