lunes, 14 de agosto de 2017

Desensamblando ejecutables con Dumpbin. Parte 3

Compartir este artículo:
Buenas a todos, en el post de hoy continuaremos exprimiendo las posibilidades de la herramienta Dumpbin viendo cómo extraer las dependencias y símbolos de un binario.

Cómo se ha visto en anteriores posts, vamos a lanzar la herramienta Dumpbin con un nuevo parámetro, en esta ocasión "/DEPENDENTS", el cual nos dará las dependencias cargadas en el ejecutable, lo que nos proporcionará interesante información sobre si el programa hace uso, por ejemplo, de sockets que puedan permitirle comunicarse con Internet:
  • dumpbin.exe /DEPENDENTS winprocdump.exe

Otro interesante parámetro es "/SYMBOLS", que muestra la tabla de símbolos COFF. Tenéis más información sobre este parámetro en particular en el siguiente enlace: https://msdn.microsoft.com/es-es/library/b842y285.aspx

Dump of file main.obj  
File Type: COFF OBJECT  
  
COFF    SYMBOL    TABLE  
000    00000000   DEBUG      notype      Filename      | .file  
      main.cpp  
002   000B1FDB   ABS      notype      Static      | @comp.id  
003   00000000   SECT1      notype      Static      | .drectve  
      Section length       26, #relocs   0, #linenums    0, checksum 722C964F  
005   00000000   SECT2      notype      Static      | .text  
      Section length      23, #relocs      1, #linenums    0, checksum 459FF65F, selection    1 (pick no duplicates)  
007   00000000   SECT2      notype ()   External      | _main  
008   00000000   UNDEF      notype ()   External      | ?MyDump@@YAXXZ (void __cdecl MyDump(void))  
  
String Table Size = 0x10 bytes  
  
Summary  
  
      26 .drectve  
      23 .text  

La salida que tendrá sobre nuestro programa es la siguiente:
  • dumpbin.exe /SYMBOLS winprocdump.exe


Eso es todo por hoy, ¡hasta el próximo post!

jueves, 10 de agosto de 2017

Obtén tu descuento en el CPHE de Security Sentinel con Flu Project

Compartir este artículo:
El próximo 24 de Agosto da comienzo el curso online de Certificado Profesional en Hacking Ético, de la empresa Security Sentinel. El curso tiene una duración de 9 semanas y es completamente online y grabado, por lo que puedes visualizarlo las veces que quieras. Con el curso se hará entrega de 2 libros: Metasploit para Pentesters y Pentesting con Foca de la editorial 0xWord. El profesor de la formación es Francisco Sanz Moya. Francisco es el CEO de la empresa Security Sentinel. Consigue un descuento del 5% con el siguiente código: cphe5, solo para los primeros que se apunten.

El precio del curso es de 270 € y tiene como obsequio dos libros de 0xWord comentado anteriormente. Para reservar tu plaza o pedir más información puedes escribir a info@thesecuritysentinel.es. A continuación, os dejamos el contenido del curso, no lo dudes y aprovecha esta formación sobre hacking ético. Según me comentaron en Security Sentinel cada tema lleva prácticas y ejercicios para entregar, así como varios retos a lo largo del curso que deberán entregarse. Al finalizar el curso, y aprobar el examen, se te entregará un certificado donde conste la realización del curso, la superación del examen y la nota correspondiente.

1ª Semana:                                                 
 -Introducción
 -Arquitectura de redes
 -Kali Linux

2ª Semana:
 -Recolección de información
 -Escaneo:
       a) Puertos y servicios
       b) Vulnerabilidades

3ª y 4ª  Semana:
 -Intrusión o acceso
 -Escalada de privilegios

5ª Semana:
 -Auditorías WIFI

6ª Semana:
 -Malware:
          a) Moodear hasta el objetivo

7ª Semana:
 -Forense

 8ª Semana:
 -Auditorías móviles
 -Creación de un informe profesional

9ª Semana:
 -Examen

martes, 8 de agosto de 2017

Hacking con Python - CPHP entre mojitos y sol

Compartir este artículo:
Nuevo curso de TSS, Hacking con Python de la empresa Security Sentinel. El curso tiene una duración de 8 semanas y es completamente online y grabado, por lo que puedes visualizarlo las veces que quieras. El profesor de la formación es Juan Antonio Velasco. El curso da comienzo el próximo día 11 de Agosto.

Para reservar tu plaza o pedir más información puedes escribir a info@thesecuritysentinel.es. A continuación, os dejamos el contenido del curso, no lo dudes y aprovecha esta formación sobre Python. Cada tema lleva prácticas y ejercicios para entregar, así como varios retos a lo largo del curso que deberán entregarse. Al finalizar el curso, y aprobar el examen, se te entregará un certificado donde conste la realización del curso, la superación del examen y la nota correspondiente. El precio del curso es de 250 €.



No os olvidéis que en 0xWord se disponen de un par de libros interesantes sobre la temática: Hacking con Python, el cual se dará en la formación. 

lunes, 7 de agosto de 2017

Desensamblando ejecutables con Dumpbin. Parte 2

Compartir este artículo:
Buenas a todos, en el post de hoy seguiremos jugando con la herramienta Dumpbin, viendo como desensamblar un ejecutable de Windows.

Siguiendo la sintaxis vista en el post anterior, vamos a lanzar la herramienta Dumpbin con el parámetro "/DISASM", el cual nos permitirá desensamblar el binario. Cómo el volcado ocupa mucho tamaño y no lo veréis cómodamente en la consola de comandos, redirigiremos la salida a un fichero de texto:


Una vez volcado, podremos abrirlo con el Notepad++ por ejemplo:




Obviamente no estamos ante un Radare, OllyDbg, IDA, etc. por lo que solamente podremos leer el código desensamblado de una forma más tosca que con estas otras utilidades diseñadas específicamente para el análisis de binarios y que nos brindan otra serie de herramientas; sin embargo si que es una interesante utilidad para poder destripar un software y tener acceso rápido a su contenido, cómo seguiremos viendo en esta cadena de posts.

Saludos!

lunes, 31 de julio de 2017

Desensamblando ejecutables con Dumpbin. Parte 1

Compartir este artículo:
Buenas a todos, en el post de hoy quería hablaros de la utilidad "Microsoft COFF Binary File Dumper", también conocida como Dumpbin (DUMPBIN.EXE):


Si sois programadores de Visual Studio, la podréis encontrar generalmente en la siguiente ruta "Program Files (x86)\Microsoft Visual Studio X.X\VC\bin\", ya que se instala con las utilidades de Visual Studio. Pero si no la tenéis os dejo el paquete exacto donde se incluye en el siguiente enlace:


Esta herramienta permite volcar información acerca de archivos binarios en formato Common Object File Format (COFF), permitiendo analizar ejecutables, librerías DLL, etc.

Es una herramienta de consola muy útil para los analistas de malware. Si la ejecutáis sin parámetros os indicará todos los parámetros que podréis utilizar:


Con /ALL tendréis toda la información de un binario (dependencias, directivas, secciones, código ASM desensamblado, etc. etc.), aunque es más cómodo ir analizándolo por partes.

Por ejemplo, si quisiésemos ver las secciones de nuestra herramienta "winprocdump", ejecutaríamos la siguiente instrucción:

  • dumpbin.exe /SECTIONS winprocdump.exe



En próximos posts os explicaremos cómo sacarle partido a esta utilidad de Microsoft.

Saludos!

miércoles, 19 de julio de 2017

Tus wearables te pueden llevar a la carcel

Compartir este artículo:
Buenas a todos. Ayer me hacía eco de una noticia un tanto curiosa pero que denotaba un hecho que llevaba tiempo advirtiéndose, y es que en muchas ocasiones de nuestra vida, el estar completamente vinculados a las tecnologías que monitorizan nuestra actividad, podría ocasionarnos algún tipo problema o trastorno.

Sin embargo, en la noticia que hoy os traigo, a pesar de que ha ocasionado un problema al afectado, ha sido una prueba más en un proceso judicial para confirmar sin lugar a dudas la culpabilidad de un asesinato por parte del usuario de una Fitbit. Por lo que podemos decir que en esta ocasión, sus características de geoposicionamiento, monitorización de ritmos cardiacos, etc. han sido utilizados con un objetivo ético.

Os comparto la noticia a continuación:

A la cárcel por una pulsera Fitbit 
El pasado mes de abril, una pulsera de actividad Fitbit se convirtió en una de las principales pruebas de cargo en un homicidio en una causa que provocó un gran revuelo en Estados Unidos. El wearable fue testigo silencioso de la lucha a muerte entre Connie Dabate y su misterioso asesino; el dispositivo midió los bruscos movimientos y las pulsaciones hasta detener toda actividad a las 10:05, la que fue considerada como hora de la muerte de la mujer. Fue gracias a esta pulsera que se descubrió la identidad del asesino: su propio marido. Y es que los dispositivos conectados se están convirtiendo en pruebas de cargo y como testigos mudos de delitos que son posteriormente resueltos gracias a la información registrada por los mismos. 

Tanto los espías del salón como las pulseras y móviles pueden registrar en todo momento todo lo que sucede a su alrededor, incluyendo grabaciones de audio, y lo que se convierte en una pesadilla para los defensores de su privacidad, puede contribuir a resolver complejos delitos. Meses más tarde del suceso de la pulsera Fitbit, un juez ordenó a Amazon revelar el contenido del altavoz Echo -un dispositivo en escucha permanente- en la fecha y horas en las que presuntamente se cometió un crimen. En este caso se contaba con el beneplácito del sospechoso, pero la firma se limitó a proporcionar una transcripción de la actividad del equipo, negándose a entregar el audio al considerarlo una vulneración de los derechos fundamentales del acusado. 

Los forenses del 'internet de las cosas' 

Bruce Snell, experto en ciberseguridad de McAfee, ha advertido de que las pulseras de actividad se han convertido en nuestros espías gracias a la gran cantidad de información sobre la actividad de la persona que registran, unos datos que en el caso de la comisión de un delito pueden ser de gran utilidad, en especial para desbaratar a los impostores. Estos equipos pueden registrar con gran precisión los latidos de la persona que los lleva y parece lógico pensar que en la comisión de un delito esta actividad se disparará. La proliferación de estos dispositivos ha provocado que las autoridades los consideren como fuente determinante de información en los delitos y a los investigadores que se encargan de obtener esta información se les conoce ya como “los forenses del Internet de las cosas”. 

En este sentido, la policía está formando ya a sus detectives para lograr obtener información de este tipo de dispositivos, y que nadie piense que la investigación se limita a los wearables o cámaras y altavoces en el domicilio: en realidad, cualquier dispositivo conectado puede proporcionar pruebas vitales en la comisión de un delito, como la hora en la que se activó la cafetera o en la que alguien tocó el timbre. En realidad, las autoridades se enfrentan a una nueva e inesperada era en la que la dificultad no reside en obtener información, sino saber filtrar la que tiene realmente valor: “Hay muchos más datos de los que podemos gestionar”, como reconocería el fiscal encargado del ‘caso Fitbit’ ante la avalancha de información proporcionada por el dispositivo.
Fuente: https://elpais.com/tecnologia/2017/07/14/actualidad/1500026472_431973.html

Por lo que a partir de ahora tendremos que ser más imaginativos cuando estemos investigando un caso en un proceso forense, y no habrá que descartar ningún tipo de dispositivo, por atípico que nos parezca.

Saludos!

lunes, 17 de julio de 2017

Descuento veraniego en hackersClub: HCPP - Pentesting con Powershell

Compartir este artículo:
El verano ha llegado y las vacaciones están aquí. Horas de piscina, viajes, mar, mojitos refrescantes en la playa y un sin fin de actividades que iremos haciendo todos estas vacaciones. La formación no cesa y desde hackersClub lanzamos esta oferta de descuento del 17 de Julio al 24 de Julio. Si eres alumno de hackersClub consulta con info@hackersclubacademy.com, ya que tienes oferta especial sobre este curso. Si aún no eres alumno podrás acceder al curso con el descuento que te mostramos a continuación.


El temario y contenido del curso puede verse EN ESTE ENLACE. El curso está diseñado para realizarse en 1 mes (4 semanas), con ejercicios prácticos propuestos por cada sesión de video, y con las soluciones en las siguientes sesiones de video. Tendrás 3 meses para poder realizarlo a un ritmo relajado.  Además, puedes conseguir el libro Pentesting con Powershell de la editorial 0xword



¡Os esperamos! Consulta dudas en info@hackersclubacademy.com

viernes, 14 de julio de 2017

SMBTrap fácil con MITMf

Compartir este artículo:
SMBTrap es una vulnerabilidad que se descubrió en el año 2015 y no es más que una vulnerabilidad que afecta a SMB en Windows y que viene de mucho más tiempo atrás. En otras palabras, allá por el año 1997 se podía forzar a Windows a que enviara las credenciales a un recurso compartido. Un atacante podía poner un recurso compartido y poner un enlace en una web hacia dicho recurso las credenciales serán enviadas, es decir, las credenciales hasheadas de Windows. Con SMBTrap se dio una vuelta de a este concepto, y esto ocurrió en el año 2015. Existe un artículo de nuestro compañero Sergio de los Santos que habla de esta vulnerabilidad y de cómo protegerse.

Mediante SMBTrap se podrán enviar las credenciales de Windows hasheadas mediante un servidor SMB gracias a las redirecciones HTTP. La gente de Cylance se dio cuenta, y así lo muestra en el paper, que la API de URLMon.dll, la cual es utilizada por muchas aplicaciones hoy en día, también realizaban la operativa de enviar las credenciales gracias a las redirecciones HTTP.


Hoy en día, es muy común utilizar NTLMv2, lo cual no es tan débil como los antecesores, aunque siguen siendo potencialmente atacable mediante fuerza bruta o, más lógicamente, por ataques de diccionario.

Integrado con MITMf

La semana pasada hablamos de uno de los frameworks más potentes y flexibles para auditorías de red como es MITMf. Hoy vamos a ver como MITMf proporciona soporte, a través de un plugin, para poder capturar hashes de Windows a través de redirecciones HTTP. El plugin encapsula todo el proceso, pero lo que se levantará es un servidor HTTP que, ante una petición, redirigirá hacia el servicio SMB montado también por el propio plugin.


Como se puede ver, para invocar el plugin –smbtrap solamente hay que indicarlo al ejecutar MITMf. Si leemos lo que es levantado, gracias a la ejecución del plugin, se puede leer un servidor HTTP y un servidor SMB. Si echamos un ojo a los puertos a la escucha en la máquina vemos lo comentado.


PoC: Sacando provecho de todo esto

Un escenario típico para sacar provecho aquí sería utilizar técnicas como ARP Spoofing o DNS Spoofing buscando un envenenamiento de la caché ARP o caché DNS. Las peticiones que la víctima haga desde, por ejemplo, su navegador que utilice la autenticación por HTTP u otras aplicaciones que utilicen URLMon.dll.

Para este ejemplo, se realizará un ARP Spoofing y SMBTrap todo desde el propio MITMf, mostrando la flexibilidad y potencia con una sintaxis muy sencilla. La instrucción a ejecutar es mitmf.py –spoof –arp –smbtrap –target [IP víctima] –gateway [IP router] –i [interfaz de red].


En este instante, cuando la víctima utilice su Internet Explorer, en el ejemplo utilizamos un Windows 7, la petición HTTP será redirigida al servidor SMB montado por el atacante. En este instante, el navegador realizará, o lo intentará, autenticarse mediante NTLMv2.

El resultado es un robo de credenciales hasheadas de Windows. Se puede utilizar herramientas de cracking, como por ejemplo hashcat, para poder extraer la credencial en plano.


En conclusión, SMBTrap está al alcance de la mano en herramientas como MITMf, lo cual hace que montar lo necesario sea realmente sencillo. Es potente utilizar este tipo de técnicas en auditorías internas, ya que la consecuición de los hashes puede abrir la puerta a otras máquinas o recursos. Como vemos MITMf proporciona diferentes técnicas, y cada vez más, y ayuda a poder realizar ataques y pruebas que antes costaban montar. Seguiremos viendo ataques y técnicas con este gran framework.