WAGO Hacking 101

Ya hace algún tiempo nos proporcionaron un PLC WAGO para hacer pruebas en especifico el modelo 750-841, en fin el motivo por el cual me intereso (al menos a mi) es la interfaz ethernet que trae se me ocurren muchas aplicaciones que pueden tomar ventaja de esto.

En fin cuando nos lo entregaron faltaba el famoso cable de Comunicaciones que no es otra cosa que un cable Serial con un conector propietario, a eso agrégale no teníamos puerto serial ni un adaptador USB, entonces siguiendo las instrucciones del manual instale el BootP Server (DHCP disfrazado) y para mi gran sorpresa el PLC no respondía ignoraba todos los request, definitivamente nada divertido. Un par de días después nuestros amigos de WAGO finalmente nos proporcionaron un cable para programarle vía Serial, así que desempolve mi vieja Thinkpad T30, y le instale todas las utilerias de WAGO. A la primera conecto, le deshabilite la IP estática y lo puse en DHCP listo para conectarlo a mi módem 2Wire de Prodigy.

Todo parecía estar bien hasta que me metí a la consola de administración Web, resulta que alguien de Dumbfuckistan había usado antes el PLC y le había parecido conveniente borrar el filesystem del PLC, todo lo que podía ver eran errores de “Url ‘/WEBSERV\INDEX.SSI’ not found on server” en general considero que el 99% de los problemas se pueden resolver antes de llamar a soporte técnico, así que decidí instalar el Firmware más reciente, tal vez con eso se restaure el sistema (al menos eso pensaba), para mi sorpresa esto no fue así adcionalmente el puerto serial dejo de funcionar… ni modo no quedo otra más que contactar a soporte técnico, he aquí la respuesta:

You will need the programming cable and the program WAGO Ethernet Settings. Plug the cable into the controller and with Ethernet Settings, first click on Read. Then you will need to click on “Format” then “Extract” followed by “Default”. You must click on these buttons in the order described. Once you do this, your controller will be reset to it’s original factory settings. You will then need to reset the IP address and download the program.

El problema es… ya no responde el PLC por el serial. ¿Como puedo correr estos comandos entonces? La respuesta es CoDeSys, configura un nuevo proyecto para tu PLC, ve a la pestaña Resources y después de doble clic en PLC browser, desde ahí puedes escribir los comandos.

[code lang="DOS"]format
extract[/code]

Como se resetean los parametros del PLC con un firmware update puede utilizar BootP para configurarle una IP temporal al PLC, conectarme desde CoDeSys usando esa IP, restaurar el filesystem y finalmente configurar el DHCP desde el Webserver, ahora si el PLC esta listo para llevarlo a donde sea.

Virus SYMLOADER

El día de ayer me infecte con un Virus que se propaga por medio de los USB drive, tengo deshabilitado el Autorun en todas sus instancias por lo mismo, pero le de di dos click en lugar de explorar.

A simple vista cuando ves los contenidos del Drive no aparece ningún archivo sospechoso, el problema es que oculta los archivos como “Archivos de sistema”, el código general para lograr esto es:
[code lang="DOS" line="1"]attrib +h +s +r[/code]
Por lo tanto aunque tengas habilitado mostrar los Archivos Ocultos no lo veras…

En fin lo que hace este Virus creado en Delphi es deshabilitar el REGEDIT y el Administrador de Tareas, para lograr esto edita las siguientes llaves de registro
[code lang="reg" line="1"][HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System]
"SysDesc"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=dword:00000001[/code]
Crea una copia en C:\Windows\System32 con el nombre SYMLOADER.EXE, edita el archivos hosts (C:\WINDOWS\system32\drivers\etc\hosts) para deshabilitar el acceso a sitios populares de Antivirus o sites de update, después crea un thread (hilo para la bandita) en el proceso Explorer (explorer.exe), no confudir con el Internet Explorer… este thread trata de ejecutar una instancia del SYMLOADER cada 1-5 segundos, cada vez que corre edita las claves de registro que menciono arriba.

Durante la ejecución del SYMLOADER este utiliza el Process Tooltip para cerrar posibles instancias que puedan cerrar la aplicación, ejemplos de esto son el Taskbar, Regedit, Reg, MSCONFIG, etc., incluso aplicaciones third party como el Process Explorer, que identifique este ultimo realmente me tomo por sorpresa dado que demuestra que el dumbass que creo este virus no esta tan idiota… en fin he aquí como borrarlo.

Primero abre el archivo hosts y borra todas las tonterías que agrego el Virus:
[code lang="DOS" line="1"]notepad C:\WINDOWS\system32\drivers\etc\hosts[/code]
Con esto tu AV podrá actualizarse por desgracia el Norton y Kaspersky aun no lo detectan, ahora es necesario terminar el proceso si tienes el Active Protection en el Kaspersky detectara un archivo sospechoso, te dará una alerta y lo detiene así que activa que lo detenga automáticamente. Ahora bien descargate una copia del Process Explorer, cuando lo bajes descomprimelo y cámbiale el nombre al archivo no estoy seguro si detecta los Window Name, yo los edite con un Hex Editor pero fue porque pensé que usaba eso para detectar los programas, en fin si es el caso deja un comentario para agregar mas información.

Cuando abras el Process Explorer vete al menú Find > Find Handle or DLL, en la caja de texto escribe SYMLOADER y dale clic en Find, cuando lo encuentres dale dos clic aparecerá como un proceso hijo el Explorer una vez hecho esto abre una ventana de comandos y corre el siguiente comando:
[code lang="DOS" line="1"]cd C:\WINDOWS\system32
attrib -h -s -r SYMLOADER.EXE[/code]
No aparecera nada mas, ahora escribe el siguiente comando:
[code lang="DOS"]del SYMLOADER.EXE[/code]
Y deja la ventana lista, porque vas a tener que ser rápido, regresa al Process Explorer y da clic derecho a la instancia del SYMLOADER en el Explorer, da clic derecho y prepárate he aquí lo que tienes que hacer… Debes de seleccionar Close Handle, y despues inmediatamente Confirmar que quieres cerrar el Handle, regresar a la Consola de Comandos y correr el comando si eres lo suficientemente rápido abras logrado deshabilitarlo. Ahora el problema es que sigues sin Administrador de Tareas o REGEDIT para reactivar el REGEDIT bajate una copia de los RegTools por Doug Knox, correlo y se habilitaran las ediciones al registro, finalmente copia y pega el siguiente texto y guardalo como un archivo .REG un ejemplo RestauraPoliticas.REG
[code lang="reg" line="1"]Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System]
"SysDesc"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=dword:00000000

[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\SystemRestore]
"DisableSR"=dword:00000000[/code]
Y listo te habrás librado de esta molestia.

En caso que tengas problemas para eliminarlos manualmente deja un comentario y con gusto tratare de ayudarte.