Desbloquear o bootloader e Instalar o TWRP no Moto G5

Pequeno roteiro para lograr êxito em desbloquear e instalar o TWRP

Este artigo tem o seu maior foco voltado para instalação do TWRP, partindo do princípio que este é o maior entrave para customização do aparelho. 

A necessidade parte aos que necessitam customizar o seu smartphone, seja para rodar algum jogo, seja para utilizar funções que restritas do aparelho, isto porque o fabricante molda seus aparelhos para garantir que ninguém altere as funções de fábrica e cause algum tipo de defeito. Vale ressaltar que os procedimentos abaixo podem danificar o aparelho por este motivo o ônus de quem seguir este artigo é do próprio leitor. 

Quais dificuldades eu tive? 

Primeiro: Após efetuar o desbloqueio do bootloader, tentei rodar o comando: adb devices e nada... não apareceu informações sobre o aparelho, então eu fiquei no escuro. Observe, rodar este comando era importante porque como pode ser visto na imagem abaixo, ao tentar fazer o upload do TWR uma mensagem de erro era exibida. 

Veja a imagem abaixo: 

Erro no envio do TWRP

Erro ao solicitar informações do dispositivo

PRE-REQUISITOS 

1. Seu dispositivo deve ter um gerenciador de inicialização desbloqueado, o bootloader.
2. Faça a instalação dos drivres USB Motorola em seu PC.
3. Use o SDK do Android, use o pacote autônomo ADB e Fastboot.
4. Faça o Backup seu Moto G5 completamente, atente-se que um dado momento será feito o backup interno do sitema.
5. Carregue o seu telefone para pelo menos 80%. Isso garantirá que o dispositivo não se desligue de repente no meio do processo.

Visto até aqui, é possível constatar qual alternativa pode ser adotada, sem mais delongas, vamos direto ao ponto. Siga os passos logo abaixo.

1 -  Faça o desbloqueio do bootloader:

Certifique que o backup seu aparelho esteja finalizado; 

Antes de desbloquear o aparelho, com ele ligado, vá até configurações -> sobre o dispositivo, navegue na tela até a opção descrita como ->NUMERO DA VERSÃO e comece a dar vários toques até que apareça uma mensagem: "Você já é um desenvolvedor". Algo deste tipo.  

1.2 - Desligue o aparelho;

1.3 - Pressione o botão de volume para baixo seguido do botão power até aparecer uma tela preta com várias informações;

1.4 - Neste momento, é necessário que os drivres da motorola estejam instalados no PC.

1.5 - Conecte o cabo e digite os comandos abaixo, veja que você precisará abrir o Arquivo baixado no pré-requisito passo 3. Abra o explorer (gerenciador de arquivos) e na barra de endereço, no local que foi descompactado, digite: cmd

Vai abrir esta tela acima, digite o comando: mfastboot oem get_unlock_data

1.6 -  O circulado em vermelho é o código que será digitado na pagina da motorola, siga os demais passo indicado na página da própria motorola;

Essa parte em laranja destacada como número um é para identificar o campo que será necessário preencher após extrair o código no passo 1.5, que por via de regra irá enviar um email com um novo código que será digitado como na saída abaixo: 

continua...

Link do software que irá fazer o root no aparelho

Fonte: 

https://androidfilehost.com/?fid=24521665358595410
http://www.mediafire.com/file/pimzi9n3847bfvf/ADB%252BINSTALA%25C3%2587%25C3%2583O_MOTOROLA_BY_VINICIUS_TUTORIAIS.rar/file
https://motorola-global-portal-pt.custhelp.com/app/answers/detail/a_id/89879
https://www.youtube.com/watch?v=7HDvt3xjtiM
https://infortecetecnologia.blogspot.com/2018/12/como-instalar-o-custom-recovery-twrp.html
https://motorola-global-portal.custhelp.com/app/standalone%2Fbootloader%2Funlock-your-device-b
https://infortecetecnologia.blogspot.com/2019/04/atualizado-2019-como-desbloquear-o.html

https://forum.xda-developers.com/g5/development/official-twrp-3-1-1-0-moto-g5-t3699737
https://eu.dl.twrp.me/cedric/
https://motorola-global-portal-pt.custhelp.com/app/answers/detail/a_id/89961/~/perguntas-frequentes-sobre-bootloader
https://forum.xda-developers.com/moto-g5s-plus/development/root-moto-g5s-plus-t3673287/page2
https://www.droidns.com.br/2017/05/twrp-e-acesso-root-no-moto-g5-e-g5-plus-2017.html
https://github.com/topjohnwu/Magisk/releases
https://www.androidinfotech.com/root-moto-g5-and-g5-plus-oreo/
http://jonathandroid.blogspot.com/2017/06/como-instalar-o-recovery-twrp-no-moto.html

  

Estudo do Ataque na Prosegur

Por Thiago Alvarenga

Precisamente na quinta - feira 27 de novembro, uma empresa pioneira em Segurança Patrimonial, a Prosegur, foi infectada por um malware capaz de comprometer e paralisar parte da empresa, que por conseguinte culminou na desativação e demissão do departamento de TI. Veja o seu comunicado no Tweetar: 

Fonte: tweetar

O APT, acrônimo para Advanced Persistent Threat, comumente conhecido como Ameaça Persistente Avançada é uma expressão usada para definir ameças cibernéticas, um pouco inclinada a espionagem via internet. Talvez este seja o maior motivador para este tipo de ataque. Isto porque é necessário dispor de um amplo arsenal de técnicas e investimentos. 

O tipo de ataque identificado no caso de estudo foi o Ryuk (ransomware), ou seja, método de extorsão que criptografa o computador e solicita o resgate por meio de pagamento digital. Segundo a McAfee, este ataque é mais sofisticado entre as suas variantes que perfazem mais de 6 mil, ele tem um alto poder de destruição, figura como o tipo de malware que mais arrecada valores por extorsão digital. Veja o o Gráfico abaixo:

Fonte:  Mcafee

  

A característica relevante deste malware é que suas rotinas têm interação humana, usa-se sua automatização não é um fator determinante, ou seja, ele é manipulado através do seu invasor, isso possibilita um alcance maior em dados criptografados, acesso a protocolos remotos para destruição de backups e maior controle do seu desastre. Uma técnica crucial é utilizada para o sucesso da empreitada, denomina-se de movimento lateral que trabalha silenciosamente para roubar credenciais de administradores de domínio, manipular controles internos, desativar backups, em muitos casos ele passa despercebido já que não se comporta como malware. Os ataques são interativos e manuais com o uso de Exploits, Mimikatz e escala de privilégios. Tudo isto é diferente ao que é visto em Kits de ferramentas Ransomware-as-aservice (Raas) vendidos na Dark Web.

Fonte: Autoria própria

Observe a imagem acima e vamos analisar:

1. Primeiro o invasor direciona o seu ataque por meio de Engenharia Social ou por Invasão de Rede Local, ainda, por algum outro método semelhante.
2. Segundo, é usado métodos de movimentação lateral, técnica utilizada para escalada de privilégios usualmente com ferramentas de exploits e minikatz (modinha atual).
3. Terceiro, via C&C, roteadores comprometidos são usados para camuflar e receber comandos na rede infectada.
4. Quarto, usando o Trickbot (uma derivação do Dyre) é feita a manipulação das máquinas infectada.

Conclui-se que é necessário algumas políticas de segurança bem definida para que este tipo de ataque não logre êxito, estamos falando de rotinas como a NBR 27001, COBIT, ITIL e outros. Para ser mais específico mesmo com todas essas políticas, observa-se que o fator humano é a principal porta de entrada para os ataques de cibernéticos, é certo que toda empresa precisa de uma equipe de segurança da informação bem treinada capaz de fazer auditorias e mensurar riscos. Este trabalho também pode ser realizado por uma empresa especializada em cyber security, por exemplo.

Fonte:

https://pt.wikipedia.org/wiki/Amea%C3%A7a_persistente_avan%C3%A7ada

https://securingtomorrow.mcafee.com/blogs/other-blogs/mcafee-labs/ryuk-exploring-the-human-connection/

https://www.tecmundo.com.br/seguranca/148215-ransomware-ryuk-forca-prosegur-desativar-departamento-ti.htm

https://twitter.com/Prosegur/status/1199652211229437952?ref_src=twsrc%5Etfw%7Ctwcamp%5Etweetembed%7Ctwterm%5E1199652211229437952&ref_url=https%3A%2F%2Fwww.tecmundo.com.br%2Fseguranca%2F148215-ransomware-ryuk-forca-prosegur-desativar-departamento-ti.htm

https://www.enigmasoftware.com/pt/trojantrickbot-remocao/

https://tiinside.com.br/tiinside/18/09/2019/wannacry-tem-mais-de-6-mil-variacoes-registradas-em-agosto/

https://blog.ticonquista.com.br/2019/06/ciberataques-em-larga-escala.html

http://www.securityreport.com.br/overview/sophos-apresenta-protecao-contra-movimentos-laterais-para-o-xg-firewalls/#.XeZ9V-hKi02

https://medium.com/@viniciuskmax/obtendo-senhas-e-hashes-do-windows-via-mem%C3%B3ria-e-registro-o-guia-atualizado-b4e67edd4823

http://www.securityreport.com.br/overview/sophos-apresenta-protecao-contra-movimentos-laterais-para-o-xg-firewalls/#.XejRhOhKi02

https://www.symantec.com/pt/br/security-center/ransomware-viruses

https://seumicroseguro.com/2018/06/04/fbi-alerta-para-perigoso-malware-russo/fbi-malware-alerta/

https://www.tecmundo.com.br/seguranca/128270-malware-slingshot-causa-estrago-invadir-roteadores-especificos.htm

https://resolvesolucoes.com.br/wp-content/cache/all/blog/slingshot-virus-para-mikrotik//index.html

https://blog.malwarebytes.com/threat-analysis/2016/10/trick-bot-dyrezas-successor/

https://www.trendmicro.com/vinfo/us/security/definition/command-and-control-server

https://medium.com/@viniciuskmax/obtendo-senhas-e-hashes-do-windows-via-mem%C3%B3ria-e-registro-o-guia-atualizado-b4e67edd4823

Perícia no Registro do Windows

Por Thiago Alvarenga

Registro do Windows

O registro do Windows se divide em cinco ou seis chaves, de acordo com a versão do sistema operacional, cada chave é uma unidade básica de informação dividida em níveis hierárquicos. As chaves de primeiro nível indicam as classes de informação, isto pode variar a depender da versão do Windows. 

HKEY_CLASSES_ROOT 

Esta chave guarda informações relativas a associação de arquivos aos respectivos softwares, os dados armazenado nesta chave garantem que o programa correto seja aberto quando você abrir um programa, sua abreação é esta: HCKR.

HKEY_CURRENT_USER

Contem a raiz das informações de configuração para o usuário que está conectado no momento, com configurações pessoais no momento.

HKEY_LOCAL_MACHINE

Esta chave guarda informações relativas ao hardware e software instalado no equipamento, assim como das configurações do Windows, tema, papel de parede, resolução de vídeo. 

HKEY_USERS

Por sua vez, esta chave armazenas informações relativas a todos usuários do equipamento e suas configurações pessoais. A chave  HKEY_CURRENT_USER possui um apontador para o usuário corrente listado na HKEY_USER. O usuário é identificado na chave pelo SID (Security Idenfifier) que é uma string com a seguinte aparência: S-1-5.21-2025429265-1463985344-854215398-1145

O SID é definido da seguinte maneira:

S-nrev-IDAutb-RID1-RID2-RID3... onde "nrev" e "IDAuth" idicam respectivamente o nível de revisão e o valor do identificador de autoridade do sistema. O RIDn (Relative Idenfiers) Identifica dados do usuário como o seu tipo de acesso, se é administrador do sistema ou outro tipo qualquer, grupo de usuário a que pertence, domínio, etc. 

HKEY_CURRENT_CONFIG

Destina-se a guardar informações sobre o perfil de hardware do equipamento, caso esteja sendo utilizado. A depender, a chave conterá informações padrão do Windows.

Footprint Ethical Hacker

Este artigo visa demonstrar algumas técnicas iniciais do Ethical Hacker, em especial, o Footprinting. Em uma zona de guerra, é imprescindível saber tudo sobre o seu inimigo, verificar suas fraquezas e traçar um perímetro para sondar quais são suas ferramentas de defesa e ataque, o footprint trabalha nesta esteia, sempre com o proposito de recolher informações sobre quais sistemas operacionais são utilizados, quais tipos de firewall é utilizado, quais portas estão abertas e serviços destas portas. Esta parte do Ethical Hacker trabalha para criar o perfil do alvo a ser atacado, assim fica mais evidente qual tática será aplicada na exploração de falhas. Segundo o site Guia do TI, publicado em abril de 2018, algumas ferramentas podem ser utilizadas nesta etapa, veja: 

• DNS queries
• Network enumeration
• Network queries
• Operating system identification
• Organizational queries
• Ping sweeps
• Point of contact queries
• Port Scanning
• Registrar queries (WHOIS queries)
• SNMP queries
• World Wide Web spidering

Além destas ferramentas, uma outra de grande peso pode ser citada, vejamos: 

Você pode enviar um email para a organização alvo, especificamente para o setor de RH como se estivesse se candidatando para uma vaga pedindo para que eles respondam o seu email, desta forma é possível analisar o "Mime" do email. Se por algum motivo o email não for respondido é possível utilizar logo de início, um serviço denominado de Read Notify (https://www.readnotify.com/) logo mais falarei sobre ele. Veja um exemplo logo abaixo da análise de um Mime Email:

Neste email, é possível constatar que a pessoa que respondeu provavelmente usou um notebook da Apple com o aplicativo de correio eletrônico do mesmo fabricante, além disso pode denota-se a conclusão de que várias informações sensíveis estão exposta, incluindo até o serviço de Appliance firewall da Vircom Inc. Por fim e não menos importante, logra-se êxito em adquirir os endereços locais de sua rede e também o seu IP público.

Em alguns casos não é possível coletar essas informações, já que tal coleta só é possível quando o email respondido faz o uso de algum tipo de correio eletrônico (aplicativo de envio de email). 

Para contornar este tipo de problema, ou seja, quando o seu alvo não está usando tal aplicativo, há algumas alternativas, é o caso do  Read Notify (https://www.readnotify.com/), o Grabify (https://grabify.link/) e o Canary Tokens (https://www.stationx.net/canarytokens). 

Para finalizar, vale a pena estudar um pouco sobre cada ferramenta citada neste post, cada uma terá um condão diferente, por este motivo é necessário estudar cada uma para aplicá-la no momento correto. Vale ressaltar que há vários tipos de Footprinting, a que foi abordada aqui é apenas uma sugestão. 

Fonte: 

https://grabify.link/

https://bgp.he.net/

https://www.stationx.net/canarytokens

https://www.vircom.com/

https://www.guiadoti.com/2018/04/ceh-v9-footprinting-e-reconnaissance/

Configurando o VMware para rodar o kali live.

Por Thiago Alvarenga

Usando o Kali em uma Virtual Machine, siga as imagens abaixo, qualquer dúvida poste: 

Golpe de página falsa roubava correntistas da Caixa Econômica

Por Thiago Alvarenga

Golpe de Phishing

Apesar do site está fora de operação e o golpe ser de 2018, este post tem o intuito de mostrar que o ataque de Phishing é uma das ferramentas mais eficazes usada por criminosos. 

Phishing segundo a Norton (Empresa de Antivírus) o ataque constitui-se em: um golpe on-line de falsificação, e seus criadores não passam de falsários e ladrões de identidade especializados em tecnologia. Eles usam spams, websites maliciosos, mensagens instantâneas e de e-mail para fazer com que as pessoas revelem informações sigilosas, como números de contas bancárias e de cartões de crédito. Fonte: http://br.norton.com Acesso 12 de set. de 2019.

Como evidenciado logo acima, este ataque ainda consegue persuadir as pessoas justamente ao usar de uma cultura fraca de conhecimento e malicia sobre o uso adequado da internet. Em outros artigos postado aqui, aborda-se a questão da cultura digital sobre o aspecto tácito de tentar aprender apenas com os erros, ou seja, o usuário não se preocupa em fazer um curso de informática para então começar usar a internet, apenas usa e de forma desameada, em alguns casos sem nenhuma proteção, entretanto, estes tipos de ataques independem de proteção via software ou hardware, dados de uma pesquisa da IBM apontou que 95% dos ataques bem sucedidos são de responsabilidade do usuário, ele que abriu a porta ou foi o elo mais fraco tratando-se de um erro humano.

Por meio da Engenharia Social, entre vários tipos que ela se desdobra existe o Phishing, esta tática induz o usuário a acreditar que está fazendo uma transação legítima, dentro de um site copiado que irá salvar todos os dados sigilosos em um ambiente controlado pelo criminoso virtual. 

Veja logo abaixo um exemplo: 

Observe que o link http://txiw.org não usa criptografia, apenas por esta observação a mensagem já poderia ser descartada e indicado por quem a recebe como uma fraude. Nenhum banco pediria, mesmo em uma prática de enviar mensagens deste cunho, que seu correntista abrisse um link cuja o seu conteúdo não use criptografia. O problema deste link grifado em rosa, é que o http não é https, a letra S no final indica que toda informação será criptografada. Saiba que, mesmo que isto ocorra, ou seja, um link fosse acompanhado do http"s", não seria totalmente descartada a possibilidade de ser uma fraude, relata-se que a falta dele e por tratar-se de uma instituição financeira, ela teria essa preocupação como primária em suas transações. Outro ponto a ser levantado é a possibilidade de checar a autenticidade de um link, mesmo que ele seja acompanhado da letra "s" indicando que o site visitado possui um certificado autenticado por uma entidade confiável. Veja verificar a autenticidade do site:

Acesse o link: https://br.godaddy.com/whois

Para cada nome de site no mundo inteiro só existe uma pessoa física ou jurídica que a registrou, assim é possível fazer uma pesquisa para saber quem fez tal registro. A pesquisa é denominado de consulta whois e esta consulta faz uma varredura no mundo inteiro buscando informações de quem fez o registro, é indubitável que um criminoso irá colocar informações falsas, mas o campo do CNPJ não pode ser colocado se você não é o dono.  Esta é uma das formas de certificar-se que um site é idôneo, não quer dizer que seja só isto, mas esta é uma boa ferramente gratuita e de fácil acesso que pode coibir, frear esta prática.  

Atente-se também que vários os navegadores também estão dotados de ferramentas para coibir este tipo de prática, o Phishing.

Evidenciado logo abaixo: 

Veja que é simples todas questões debatidas e há várias  ações que o usuário pode adotar para ficar seguro e ter um conforto maior ao usar a internet, visto que o fator humano é o principal elo para este tipo de fraude. 

Autor desconhecido - Será informado o autor caso seja solicitado.

Fonte: 

Acesso 13 de set. 2019 entre os horários 21h às 1h44min AM.

https://pt.wikipedia.org/wiki/Footprinting

https://support.google.com/webmasters/answer/6350487?hl=pt-BR

https://br.godaddy.com/whois

http://br.norton.com/security_response/phishing.jsp

Após instalação do Kali e agora?

Por Thiago Alvarenga

Após instalação do kali, é hora de adicionar os repositórios de atualização, você precisa editar o arquivo sources.list com editor de texto via terminal, o VI, adicione a seguinte linha: 

Local do arquivo de repositório: /etc/apt/sources.list

Para editá-lo digite: vi /etc/apt/sources.list

Pressione a tecla i e em um linha livre cole o seguinte:

deb http://http.kali.org/kali kali-rolling main non-free contrib   

Feito isto, faça um update e upgrade. 


Vencida esta etapa, é a hora de preparar o metasploit. 

Passo 1: Inicie o banco de dados;

root@kali:~# service postgresql start  

Passo 2: Inicie o metasploit

[Verifique se o metasploit está conectado ao banco de dados.]

 Comando: root@kali:~# db_status

 Se a tela retornar com a informação negativa: 

postgresql selected, no connection

 Proceda da seguinte forma: 

Passo 2.1 - CRIANDO O BANCO DE DADOS

root@kali:~# msfdb init


Com estes procedimentos é provável que o metasploit consiga levantar o banco de dados postgresql. 

Faça os testes para verificar se o banco está conectado. 

Fonte: 

https://caveiratech.com/forum/linux-hacking-backtrack-kali-linux/metasploit-the-database-is-not-connected/

https://books.google.com.br/books?id=M8WWDwAAQBAJ&pg=SA1-PA15&lpg=SA1-PA15&dq=metasploit+postgresql+selected,+no+connection&source=bl&ots=u60NRJmJut&sig=ACfU3U03ILFcPvqn0D0LVWrIIZugZuwFbQ&hl=pt-BR&sa=X&ved=2ahUKEwj0-sz5l6bkAhX5D7kGHUrIB8QQ6AEwA3oECAkQAQ#v=onepage&q=metasploit%20postgresql%20selected%2C%20no%20connection&f=false

https://www.google.com/search?q=metasploit+postgresql+selected,+no+connection&client=firefox-b-ab&source=lnt&tbs=lr:lang_1pt&lr=lang_pt&sa=X&ved=0ahUKEwiz_IrAl6bkAhVxD7kGHcL0A-cQpwUIJw&biw=1360&bih=606

https://docs.kali.org/general-use/kali-linux-sources-list-repositories

https://docs.kali.org/general-use/starting-metasploit-framework-in-kali

https://www.youtube.com/watch?v=6wEvAXTxcHM