29 ago 2014

RootedCON Valencia: Labs

La primera Rooted Satellite está apunto de llegar, siendo la ciudad elegida Valencia. Estamos deseando poder ir a Valencia y disfrutar de la tierra y de la gente que asista al congreso. En esta ocasión tengo la ilusión y el placer de poder dar un Lab sobre Ethical Hacking. Luis Delgado será el encargado de dar el Lab de Reversing de aplicaciones y análisis forense en Android.

El temario que podéis encontrar en el Lab de Luis es el siguiente:

Parte 1: Plataforma Android

El ABC de Android
Arquitectura y modelo de seguridad
Android SDK, ADB y emuladores
Entornos pre-configurados

Parte 2: Análisis forense en Android

Consideraciones iniciales
Acceso al dispositivo
Análisis del sistema de ficheros
Técnicas de adquisición
Técnicas de análisis lógico
Herramientas comerciales

Parte 3: Reversing de aplicaciones en Android

Situación actual del malware en Android
Detección de aplicaciones maliciosas
Análisis de las aplicaciones a utilizar
Desarrollo de la metodología a seguir
Técnicas de ofuscación
Análisis de varias muestras de malware
Modificación de aplicaciones

En el caso de mi Lab, el temario que tendremos es el siguiente:

Introducción

Tipos de auditorías
Hacking ético: la ética
Ley de Hacking
Estándares y modelos
Metodologías
Vulnerabilidades
Evaluación

Metodología de trabajo

RFP
Equipo
Proyecto
Fases
Comunicación
Documentación
¿Cómo publicar una vulnerabilidad?

CVE
Detalles
Ejemplo

Auditorías

Auditoría interna
Pruebas
Rol
Escenario inicial
Identificación de servicio, entorno y límites
Obtención de los primeros datos de interés
Explotación de sistemas
Técnicas de movimiento entre máquinas (PtH & Pivoting)
Auditoría externa
Pruebas
Rol
Escenario inicial
Identificación de servicios
Análisis de información
Detección y explotación

Ethical Hacking: Otras auditorías y pruebas de un RFP

Auditorías Wireless
Pruebas
Ejemplos reales
Pruebas de stress (DoS & DDoS)
Pruebas
Entornos y herramientas
APT: Simulación
¿Qué es el APT?
Pruebas
¿Cómo llevarlo a cabo con un porcentaje alto de éxito?

Informe y medidas correctoras

Tipos de informe
Generación y partes de un informe
Plantillas
Recomendaciones genéricas y específicas del auditor

Todos los asistentes al curso de Ethical Hacking recibirán el libro de Ethical Hacking: Teoría y práctica para la realización de un pentesting de la editorial 0xWord

Los precios, en función de vuestra situación, se muestran a continuación:


Os esperamos! ;)

28 ago 2014

X1RedMasSegura - Navega X Román

Buenas a todos, desde Flu Project, junto al colectivo X1RedMasSegura no podíamos dejar pasar por alto la oportunidad de colaborar, con nuestro pequeño granito de arena, con la iniciativa Corre X Roman - Tu sudor, su esperanza. ( @CorreXRoman ). en favor de Román, un Guardia Civil que resultó herido, con un tiro en el cuello, cuando intentaba evitar un atraco en un supermercado en la localidad de Yuncos (Toledo). La inscripción cuesta 10 euros, y se puede realizar a través de la web www.e3pd.com

La mejor forma de poder colaborar con la iniciativa, desde X1RedMassegura, es haciendo lo que mejor sabemos hacer, difundiendo seguridad en Internet, por ello, el próximo día 13 de septiembre, gracias a la inestimable colaboración del Ayuntamiento de Illescas y de los propios compañeros de Román del Cuartel de la Guardia Civil de Illescas.


C/ Joaquín Costa S/N, 45200 Illescas (Toledo) Teléfono: 925 54 11 45

Las jornadas se desarrollarán en el Espacio de Creación Joven de Illescas y constará de una serie de charlas sobre seguridad en Internet, dirigida a todos los públicos, desde empresarios, niños, familias, educadores y adultos en general quienes no necesitarán de ningún conocimiento técnico.



La asistencia a la jornada es gratuita pero al ser benéfica y con el objetivo de recaudar fondos para la iniciativa Corre X Román, es posible colaborar con el dorsal 0 de la carrera solidaria. 

Los 30 primeros asistentes, que acrediten su participación con el DORSAL 0 a partir del 19 de agosto, recibirán un regalo exclusivo de X1RedMasSegura, compuesto por el libro "X1RedMasSegura Informando y Educando V1.0", Licencia Antivirus, etc.

El objetivo de las charlas, además de carácter benéfico, es el presentar las infinitas bondades que la red nos aporta, impulsar la utilización de Internet y sobre todo conocer los peligros que en esta extraordinaria forma de comunicación e información nos acechan, entendiendo que conociéndolos podremos evitarlos y mitigar sus consecuencias, a veces nefastas.

Por la mañana:

Charla "Seguridad en Internet en el ámbito empresarial" sin tecnicismos.


Por la tarde:

Charlas “Seguridad en Internet para todos”



Además contaremos con la música de David Insonusvita.

Os esperamos a todos en esta iniciativa en la que tanta ilusión y ganas hemos puesto para ayudar a Román.

¡Saludos!

14 ago 2014

Seguridad en el arranque de Windows. Parte 4 de 9


Buenas a todos, en el post de hoy continuaremos con la cadena de artículos sobre seguridad en el arranque de Windows, tratando el paso 4 de 8 dentro de nuestra clasificación y que se corresponde con el inicio de GINA.

GINA son las siglas de Graphical Identification and Authentication. Se trata de una librería dinámica cargada por winlogon.exe y que se encarga de realizar el proceso de autenticación.
Tras la autenticación del usuario GINA crea el proceso explorer.exe, que presenta el escritorio.

Desde Windows Vista, la sesión cero no se emplea para el inicio de sesión interactivo, separando los procesos del usuario de los del equipo. Sigue habiendo una instancia de winlogon en todas las sesiones, menos en la cero.

Existen librerías maliciosas diseñadas con el objetivo de troyanizar GINA, que básicamente suplantan la original. Por poneros un ejemplo,  un malware de tipo troyano que afecta a GINA es  "Trojan:Win32/Fakegina.S" y que podéis ver aquí:
  • http://www.microsoft.com/security/portal/threat/encyclopedia/Entry.aspx?Name=Trojan%3AWin32%2FFakegina.S
Os dejamos algunos detalles que podemos ver de una muestra de ejemplde Virtus Total:
  • Tamaño del fichero: 44.5 KB ( 45568 bytes )
  • Tipo: Win32 DLL
  • MS-DOS executable PE for MS Windows (DLL) (GUI) Intel 80386 32-bit, UPX compressed
  • TrID UPX compressed Win32 Executable (39.5%)
  • Win32 EXE Yoda's Crypter (34.3%)
  • Win32 Executable Generic (11.0%)
  • Win32 Dynamic Link Library (generic) (9.8%)
  • Generic Win/DOS Executable (2.5%)
Todos los detalles en:
  • https://www.virustotal.com/es/file/1f187636c9b18c42e79259f3206892da42b28e18a91712c79574299502451de3/analysis/
Nos vemos en el próximo post,

Saludos!

12 ago 2014

En septiembre estaremos en el evento Clickaseguro

Buenas a todos, en el post de hoy queríamos hablaros de un nuevo evento que ha nacido con el ánimo de fomentar la ciberseguridad en la zona de Castilla La Mancha, tomando como sede principal la localidad de Valdepeñas. Se llama Clickaseguro, y parte de una asociación de la localidad manchega que lleva su mismo nombre.

El evento Clickaseguro tiene los siguientes objetivos:

  • Fomento de buenas prácticas en el uso de Internet
  • Fomento de seguridad informática
  • Asesoramiento en Delitos informáticos y cumplimiento normativo
  • Formación de usuarios, docentes, profesionales/empresarios, pymes
  • Fomento de las nuevas tendencias en Tecnologías de la Información y Comunicación

El evento es totalmente gratuito y la inscripción es libre.

A continuación os dejamos con la agenda del evento, que tendrá lugar el sábado 20 de Septiembre:


Si además del evento estáis interesados en formamos gratuitamente en distintas materias de la ciberseguridad, impartiré un taller gratuito de hora y media sobre ciberinteligencia, orientado a cuerpos policiales y abogados el viernes 19 de Septiembre.


Para más información e inscripciones: www.clickaseguro.es

El evento coincide con Rooted Satellite Valencia, donde también participaremos, por lo que esos días Pablo y yo nos repartiremos las tareas entre ambos lugares :)

Saludos!


11 ago 2014

Seguridad en el arranque de Windows. Parte 3 de 9

Buenas a todos, en el post de hoy continuaremos con la cadena de artículos sobre seguridad en el arranque de Windows, tratando el paso 3 de 8 dentro de nuestra clasificación y que se corresponde con el inicio de los servicios con arranque automático del sistema operativo.

Los servicios son ejecutables de larga duración, que se ejecutan en sus propias sesiones de Windows. Estos servicios pueden iniciarse automáticamente cuando el equipo arranca, y se pueden pausar y reiniciar. No muestran ninguna interfaz de usuario, lo que es aprovechado por gran cantidad de malware para desplegarse en los equipos sin ser detectado


Los servicios comprenden a su vez varios estados:

1.- Instalación: El primer paso de un servicio es el de instalación en el sistema. Este proceso ejecuta los instaladores del servicio y carga el servicio en el Administrador de control de servicios del equipo.

2.- Una vez cargado el servicio, es necesario iniciarlo. Se puede iniciar manualmente desde el Administrador de control de servicios, desde el Explorador de servidores o desde código, o automáticamente, como ya hemos visto.

3.- Un servicio en ejecución puede permanecer indefinidamente en este estado, hasta que se detiene o se pausa, o hasta que se apaga el equipo. 

Para más información sobre los servicios de Windows y en concreto sobre el desarrollo de aplicaciones de servicios os recomendamos este artículo de MSDN: http://msdn.microsoft.com/es-es/library/zt39148a(v=vs.110).aspx, donde podréis aprender los pasos básicos para instalar el malware Flu desarrollado en .Net como un servicio.

Hasta el próximo post,

Saludos!

8 ago 2014

Seguridad en el arranque de Windows. Parte 2 de 9



Buenas a todos, en el post de hoy continuaremos con la cadena de artículos sobre seguridad en el arranque de Windows, tratando el paso 1 de 8 dentro de nuestra clasificación y que se corresponde con el inicio del proceso Session Manager.

Session Manager, o smss.exe, siglas que toma del nombre en inglés Session Management SubSystem, es el proceso que levanta los modos del núcleo y de usuario del subsistema Win32. Este subsistema incluye, entre otros, win32k.sys (kernel), winsrv.dll (usuario), y csrss.exe (usuario). Podemos verlo en la siguiente clave de registro:
  • HKLM\System\CurrentControlSet\Control\Session Manager\SubSystems



El modo usuario es el modo menos privilegiado de funcionamiento del sistema operativo, sin acceso directo al hardware. Para acceder a los recursos del sistema, procede a través de APIs, utilizando su propio espacio de dirección.  Por el contrario, el modo kernel es el modo más privilegiado y con privilegios totales sobre la memoria y los recursos hardware.

El ejecutable smss.exe podemos encontrarlo en "C:\Windows\System32\smss.exe". En ocasiones el malware se aprovecha de este proceso para ocultarse e iniciarse de manera automática, por ello, es uno de los posibles puntos de análisis durante la localización de software malicioso. 

Session Manager es el encargado de crear las variables de entorno y los archivos de paginación de la memoria virtual.

Además arranca winlogon.exe, el gestor de inicio de sesión de Windows y que trataremos más adelante en esta cadena.

Hasta el próximo post,

Saludos!

6 ago 2014

PowerShell con Hyper-V (Parte I)

PowerShell dispone de un módulo de integración y gestión con el servidor de virtualización Hyper-V. Este módulo de Hyper-V para PowerShell dispone de cmdlets nativos para la administración del entorno, al contrario que en Windows Server 2008 R2 donde no existía dicho módulo. 

Creación, selección y modificación de máquinas virtuales

¿Cómo llevar a cabo estas acciones? Para la creación de una máquina virtual se dispone del cmdlet New-VM. Con este cmdlet, sencillamente, se debe indicar el nombre que se quiere utilizar para la máquina virtual y se creará en el administrador de Hyper-V. El cmdlet Get-VM devuelve el listado de máquinas virtuales que existen en el administrador de Hyper-V. Si no se indica otro servidor se devolverá la lista máquinas virtuales que se encuentran en el servidor local.

Para modificar propiedades de una máquina virtual se puede utilizar el cmdlet Set-VM. Con este comando se indica el nombre de la máquina, la cual se quiere modificar y mediante el uso de los parámetros se indica que propiedad se requiere cambiar.


Se ha modificado el número de procesadores que la máquina virtual utiliza y se ha obtenido un listado de todas las máquinas virtuales que se encuentran en el servidor de virtualización. 

Gestión de memoria de la máquina virtual

La memoria dinámica en Hyper-V es una de las funcionalidades avanzadas a la hora de optimizar los recursos de una máquina virtual. La posibilidad de estipular unos valores mínimos y máximos de memoria a las máquinas ayudan al administrador a optimizar los recursos físicos y la posibilidad de que Hyper-V reclame más memoria cuando así lo necesite una máquina virtual. Esto es fundamental en la administración de máquinas virtuales, y sobretodo las opciones que se disponen.

En el módulo para PowerShell se dispone del cmdlet Get-VMMemory con el que se obtiene información sobre la configuración de la memoria de una máquina virtual y Set-VMMemory con el que se puede modificar la memoria, indicando si se requiere estática o dinámica y los límites de ésta.


En la próxima entrega seguiremos hablando de PowerShell e Hyper-V con nuevas acciones administrativas necesarias para un gestión eficaz y eficiente de los recursos. 

5 ago 2014

Herramientas forense para ser un buen CSI. Parte LIII: MBR

Buenas a todos, en el post de hoy de "Herramientas forense para ser un buen CSI", os hablaremos del Master Boot Record, y de algunas herramientas que os serán de utilidad durante vuestros procesos de análisis pericial.

Del Master Boot Record, o MBR ya os hemos hablado en varias ocasiones en esta cadena de posts. Se trata del primer sector de un dispositivo de almacenamiento, como pueda ser un disco duro, utilizado para el arranque del sistema operativo y suele almacenar la tabla de particiones.



El MBR comprende los primeros 512 bytes (sector 0), y dentro de él se encuentra la tabla de particiones, alojada a partir del byte 446.
La tabla de particiones ocupa 64 bytes, conteniendo 4 registros de 16 bytes, los cuales definen las particiones primarias (estas a su vez pueden tener particiones extendidas). En ellas se almacena toda la información básica sobre la partición: si es arrancable, si no lo es, el formato, el tamaño y el sector de inicio.

El MBR, con la tabla de particiones, podremos recuperarlo con una gran cantidad de software, como por ejemplo la herramienta "dd", nativa en linux (o con su sucesor dc3dd) y que podremos descargar para Windows.

Ya os hemos hablado largo y tendido del software dd, por lo que simplemente a modo de recordatorio os dejamos sus parámetros básicos:
  • if=input file 
  • of=output file 
  • bs=sector 
  • count=nº 
Y os presentamos un ejemplo de clonado del MBR:
  • dd if=/dev/xxx of=mbr.backup bs=512 count=1 
Y un ejemplo sobre su restauración desde un backup del MBR:
  • dd if=mbr.backup of=/dev/xxx bs=512 count=1
Podremos ver con un editor hexadecimal el volcado del MBR. Un truco para ver que está todo correcto es ver si la tabla de particiones finaliza con "55AA".

Existe una herramienta muy útil desarrollada en perl, llamada "mbrparser.pl" y que podéis descargar gratuitamente desde aquí: http://www.garykessler.net/software/.


Mbrparser.pl nos ayudará a interpretar la tabla de particiones de una manera cómoda, cómo podéis ver en la siguiente captura:


Su uso es tan sencillo como lanzar la aplicación pasándole con el parámetro "-i" el volcado del MBR realizado con dd en el ejemplo anterior:
  • mbrparser.pl -i mbr.backup
Eso es todo por hoy, nos vemos en el próximo posts,

Saludos!

4 ago 2014

Seguridad en el arranque de Windows. Parte 1 de 9

Buenas a todos, en el post de hoy vamos a iniciar una nueva cadena de 9 artículos que iremos desglosando a lo largo de este mes, para hablaros del arranque de Windows y en especial, de su seguridad, analizando cada una de las fases sucedidas durante el inicio del sistema. Intentaremos estudiar sus posibles puntos de fallo, dónde el software malicioso puede aprovecharse de un problema de seguridad o de una mala configuración para poner el punto de mira y atacar.

Para esta cadena hemos clasificado el arranque de Windows en 8 fases principales, descartando fases menores, o procesos que hemos pensado en unificar en una misma fase. 

También hemos descartado de esta cadena los procesos realizados con la BIOS y el acceso al MBR, acceso al sector de arranque, boot.ini, etc. y que nos gustaría tratar en posteriores artículos.

Las fases que abordaremos serán las siguientes
  1. Session Manager 
  2. Servicios 
  3. GINA 
  4. Winlogon 
  5. Explorer 
  6. RunOnce 
  7. Programas comunes
  8. Programas del usuario actual

Cómo antes os indicábamos, nos centraremos en los posibles puntos de entrada de malware, cómo por ejemplo claves de registro, servicios, etc. y en las versiones de Windows con kernel 6.0 o superior (Vista en adelante).

Estad atentos a la cadena,

Saludos!

2 ago 2014

Va pasando el tiempo en Flu Project

El verano aprieta, y hoy queremos mostrar un poco la evolución que hemos tenido a lo largo de los años en Flu Project. Llevamos desde finales de Diciembre de 2010 estando aquí con vosotros, y realmente hemos crecido con vosotros durante estos años. Nos hemos hecho mayores, tanto profesional como personalmente. Pronto, algunos andarán de vacaciones, pero Flu Project no se va de vacaciones como ya sabéis. 

En los últimos tiempos el número de visitas que ha sufrido el blog ha crecido bastante. En los últimos meses más de 5000 usuarios visitan el blog diariamente, con una media de 4500, lo cual siempre es algo que agrada. Más de 1000 readers en el rss. ¿Y twitter? En twitter Flu está cerca de alcanzar los 5000 followers.


Hace casi 4 años creíamos que la web se abriría, haría de plataforma al código de flu y se cerraría con el tiempo. No pensábamos que escribiríamos diariamente, o que la gente aceptaría al bicho verde como uno más en su comunidad.