2016/05/31

Lynis: Audita tus servidores GNU/Linux

Por el 2016/05/31 con 0 comentarios
Hace unas semanas hablaba sobre una herramienta que permite identificar si faltan paquetes de actualización en sistemas Windows. Este tipo de herramientas como Windows Exploit Suggester pueden ayudar, y mucho, en la comprobación del nivel de actualización de nuestros servidores y equipos cliente en la empresa. Además, la herramienta era capaz de darnos información sobre exploits públicos disponibles, e incluso nos informaba de la existencia de algún módulo de Metasploit disponible que se aprovechara de la falta de un paquete de actualización.

Hoy vamos a hablar de otra herramienta que sirve para auditar sistemas, en este caso GNU Linux. La herramienta se denomina Lynis y permite realizar auditoria de seguridad y fortificación de los sistemas basados en Unix. Lynis realiza un escaneo profundo sobre el sistema en el que se lanza, aunque juntándola con SSH podríamos lanzarla de forma sencilla en otros servidores de la organización. El objetivo de Lynis es detectar fallos de seguridad y errores de configuración o debilidades en el propio sistema. Estos resultados se utilizarán para fortificar a posteriori el sistema. El reporte que proporciona la herramienta ayudará a la toma de decisiones que habrá que tomar para la fortificación o hardening de los servidores.

La herramienta también escanea de forma general el sistema detectando la falta de software actualizado o la existencia de paquetes de software vulnerables y los errores de configuración en la máquina. Lynis es utilizado por el blue team de una empresa, para mejorar las defensas de los servidores. Además, la herramienta proporciona una forma automatizada de auditar el servidor en modo caja blanca, realizar o llevar a cabo test de compliance, cumplimiento de PCI-DSS, HIPAA, etcétera, y detectar vulnerabilidades conocidas y debilidades.

Descargarse Lynis es sencillo, podemos bajarlo de Github con la instrucción git clone https://github.com/CISOfy/lynis.git. Tal y como se puede ver en la imagen se obtienen diversos archivos, pero su ejecución es rápida y sencilla ./lynis –help.


Lynis ofrece multitud de opciones para ser ejecutado. Una de las que llaman la atención es la posibilidad de auditar un dockerfile, es decir, un contenedor que tiene todas las dependencias de una aplicación en un formato estandarizado. Su ejecución en modo audit es sencilla. Debemos ejecutar la instrucción ./lynis audit system y la herramienta comenzará a realizar diferentes test. Cada test está implementado en un plugin, los cuales pueden ser enumerados en la carpeta plugins, una vez descargado Lynis versión Enterprise.


¿Qué es lo que podemos sacar? 

Por cada tramo de evaluación que hace la herramienta, ésta se detendrá para que podamos evaluar lo que se nos presenta en pantalla. Lanzando Lynis sobre una Kali Linux 2.0 lo primero que se nos proporciona es información sobre el sistema operativo. El  uso de los plugins puede ser muy interesante, ya que se añade más información, aunque para ello debamos utilizar la versión Enterprise.

Lynis lanzará pruebas sobre los siguientes elementos y nos irá mostrando por pantalla los resultados parciales que va detectando:

  • Boot y servicios.
  • Evaluación de la configuración del kernel.
  • Comprobación de memoria y procesos.
  • Configuración de las políticas de usuarios, grupos y métodos de autenticación.
  • Shells.
  • Evaluación del sistema de archivos.
  • Almacenamiento
  • Ports & Packages.
  • Networking.
  • Resultados
  • Etc.

En la siguiente imagen vemos cómo se lanza una serie de pruebas sobre los elementos de boot y los servicios y la herramienta nos proporciona rápidamente los resultados. Se detecta, por ejemplo, que el GRUB no está protegido con contraseña, por lo que cualquier usuario con acceso físico a la máquina podría editarlo y conseguir una shell como root de forma sencilla


En la siguiente imagen se puede ver los test que se pasan a la política y configuración de usuarios, grupos y los métodos de autenticación. El color amarillo nos indica qué hay cosas que son mejorables, y serán tomadas en cuenta por Lynis en el reporte final, dónde nos entregarán una puntuación y nos recopilarán todos los fallos que deben ser resueltos.


Por último, se presentan los resultados y la evaluación mediante un número que indica el nivel de fortificación de la máquina. Además, se hace un recopilatorio de los tests realizados y los plugins habilitados. Además, la herramienta nos realiza una serie de sugerencias para mejorar el hardening de la máquina, lo cual es realmente interesante.



Lynis es una herramienta fundamental para los sistemas GNU/Linux y para poder evaluar su fortificación. Cómo mencioné anteriormente, es una herramienta con la que deben contar todos los Blue Team para poder tomar decisiones con las que se mejore la seguridad de la empresa. 
Leer más
    email this       edit

2016/05/30

Curso de Metasploit y Pentesting en #Valencia - TAES

Por el 2016/05/30 con 0 comentarios
El próximo sábado 11 de Junio de 2016 se impartirá el curso de Metasploit a Full! que se celebra en Valencia. Tengo la suerte de poder dar el curso y espero veros allí. El curso tiene un enfoque eminentemente práctico, dónde se cacharreará con diversas herramientas del framework y técnicas. El lugar de impartición es el centro de formación Taes en el cual podéis encontrar toda la información disponible. El horario de la formación es de 10.30 a 14.00 y de 15.30 a 20.00. Más información en TAES. Los asistentes al curso tienen la comida incluida, por lo que podrán disfrutar de una rica paella valenciana. Además, podrás conseguir libros de 0xWord (Ethical Hacking y/o Metasploit. Más detalle en la web de Taes). Os esperamos!

Los pentesters utilizan día a día herramientas que podemos encontrar en diversas distribuciones de seguridad, entre ellas Kali Linux. Una de las herramientas TOP es Metasploit. Metasploit es mucho más que una consola que facilita el trabajo del pentester. El alumno podrá disfrutar de las diferentes etapas del pentesting y practicar con este conjunto de herramientas que proporciona el Framework de Metasploit. Recopila información, analiza, explota software y aprende técnicas de post-explotación en el curso de la mano de Metasploit. Trabaja con Metasploit Framework dentro de Kali Linux y saca el máximo provecho a tus auditorias.


El objetivo del curso es: proporcionar una visión global de Metasploit Framework, conocer la utilización de herramientas que ayudan a Metasploit y al pentester en su tarea, así como la arquitectura del framework, en las distintas etapas de un test de intrusión (gathering, exploiting, post-exploiting) y desarrollar las primeras pruebas con Ruby.

A continuación se muestra en detalle el contenido del curso:

1. Introducción al framework

a. ¿Qué es?
b. Arquitectura
i. Binarios
ii. Interfaces

c. Estructura de archivos del framework
i. Carpeta: modules
ii. Carpeta: data
iii. Carpeta: external
iv. Carpeta: scripts
v. Carpeta: tools
vi. Otras carpetas del framework

d. Tipos de módulos

e. Añadir módulos al framework
i. Manual y formas
ii. Automático

f. Automatización y configuración del entorno
i. Ficheros RC
ii. Historial
iii. Entorno local del usuario (.msf)
iv. Distribución de directivas en la configuración

g. Comandos básicos
h. Github oficial: Metasploit-framework

2. Herramientas de pentesting con Metasploit

a. Las auxiliary: un cajón
b. Escáneres de puertos
c. Fingerprinting
i. SSH
ii. SMB
iii. HTTP
iv. Otros

d. Servidores
i. DNS
ii. DHCP

e. Protocolo ARP
f. DoS
g. Módulos de Brute Force
h. Otros

3. Módulos de explotación con Metasploit

a. Tipos de explotación y módulos
i. Explotación directa
ii. Client-Side
iii. Explotación local
iv. Fileformat

b. Atributos y métodos de los módulos
c. Payloads y configuraciones
i. Plataformas

d. Explotación en distintos sistemas:
i. Windows (XP, 7, 8, 8.1)
ii. Linux
iii. Servicios multiplataforma

4. Post-Explotación

a. Funcionalidades
i. Recolección de información y ámbito

b. Comandos de Meterpreter
c. Módulos de Meterpreter
d. Inclusión de módulos de Meterpreter
i. Sessiondump

e. Más funcionalidades de Meterpreter en un pentesting


Leer más
    email this       edit

2016/05/29

Informe Flu - 255

Por Juan Antonio Calles el 2016/05/29 con 0 comentarios

Buenas a todos, como cada semana os dejamos con nuestros enlaces de la semana:
 
Lunes 23 de Mayo
Miércoles 25 de Mayo
  • El miércoles os trajimos el artículo: ROPInjector: Evasión de AV a través de ROP. En la pasada Black Hat USA de 2015 se presentó una charla denominada ROPInjector: Using Return-Oriented Programming for Polymorphism and AV Evasion en la que sus investigadores comentaban como utilizar ROP para mejorar los ratios de evasión en la detección de binarios maliciosos. ROP es utilizado, generalmente, para hacer un bypass de DEP, Data Execution Prevention. Es decir, cuando se detecta una vulnerabilidad en un software, el cual se ejecuta en un escenario con DEP como medida de protección, se puede utilizar ROP como vía para hacer el bypass a DEP. En la charla los investigadores proponían un uso diferente de ROP, proponiendo utilizarlo para lograr mejorar la evasión de antivirus y una vía alternativa al polimorfismo. A lo largo de este post profundizaremos en esta interesante tecnología.

Saludos!
    Leer más
        email this       edit

    2016/05/25

    ROPInjector: Evasión de AV a través de ROP

    Por el 2016/05/25 con 0 comentarios
    En la pasada Black Hat USA de 2015 se presentó una charla denominada ROPInjector: Using Return-Oriented Programming for Polymorphism and AV Evasion en la que sus investigadores comentaban como utilizar ROP para mejorar los ratios de evasión en la detección de binarios maliciosos. ROP es utilizado, generalmente, para hacer un bypass de DEP, Data Execution Prevention. Es decir, cuando se detecta una vulnerabilidad en un software, el cual se ejecuta en un escenario con DEP como medida de protección, se puede utilizar ROP como vía para hacer el bypass a DEP. En la charla los investigadores proponían un uso diferente de ROP, proponiendo utilizarlo para lograr mejorar la evasión de antivirus y una vía alternativa al polimorfismo.

    La idea principal es utilizar ROP para no levantar sospechas en la parte del antivirus. ROP puede ser utilizado para transformar cualquier shellcode proporcionada a un esquema ROP-based equivalente. En otras palabras, el objetivo de la investigación era conseguir un binario que reduzca la detección de los AV. Los investigadores enumeraron algunos desafíos para la creación de ROPInjector:

    • El nuevo fichero PE debería ser eficiente en la evasión de AV. Es decir, bajar el ratio de detección frente a otras técnicas de evasión, como las que pueden ser utilizadas por Veil-Evasion, Shellter o Payday
    • El fichero PE benigno dónde se realizará la inyección no debe estar corrupto. 
    • La herramienta ROPInjector fue planteada como genérica. Es decir, otros podrán añadir shellcodes. 

    ROPInjector tiene una serie de etapas que deben ser validadas para generar el binario malicioso. Las etapas que utiliza la herramienta para su funcionamiento fueron enumeradas en la charla y son las siguientes:
    • Análisis de la shellcode. Ésta debe ser para arquitecturas x86. 
    • Encontrar ROP gadgets en el fichero PE.
    • Transformar la shellcode en un ROP chain equivalente.
    • Inyectar en el fichero PE los ROP gadgets, si son requeridos.
    • Ensamblar ROP chain en el fichero PE.
    • Generar el fichero final (PE Patching).
    En la siguiente imagen se muestra cómo queda la estructura, antes y después de la inyección de ROP y el parcheo del binario final. 


    Durante la presentación de la charla los investigadores mostraron una evaluación que hicieron de su herramienta a través de la manipulación de 9 binarios legítimos. Los binarios utilizados fueron Firefox.exe, java.exe, AcroRd32.exe, cmd.exe, notepad++.exe, etcétera. Como se ve binarios conocidos y utilizados en el día a día. El estudio y evaluación utilizaba varias técnicas y combinaciones:
    • Sin parchear, es decir, fichero original.
    • ROP’ed shellcode & run last.
    • ROP’ed shellcode & delayed execution (20 segundos de delay). 
    • Shellcode sin alterar.
    Utilizaron Virus Total para comprobar el ratio de detección y los resultados pueden ser vistos en la siguiente gráfica. La shellcode que utilizaron fue un reverse TCP Shell:


    PoC: Probando ROPInjector

    Decidí probar la herramienta, la cual se puede obtener desde Github y solo se necesita compilar. El objetivo era probar qué resultados obtendría y si conseguiríamos obtener un ratio de detección bajo o aceptable. Una vez compilada la herramienta se puede lanzar de manera sencilla a través de la siguiente instrucción: ropinjector.exe [fichero PE benigno] [shellcode a inyectar] [fichero PE malicioso a generar] [opciones*]. 

    Cuando bajamos ROPInjector vienen 3 shellcodes dentro de la carpeta con mismo nombre. Añadir shellcodes es sencillo y para el tercer ejemplo que mostraré a continuación añadí una shellcode que se puede obtener de exploit-db.


    Caso 1: Shellcode opencalc.bin

    Dentro de la carpeta shellcodes encontramos un fichero denominado opencal.bin. Generamos un fichero PE malicioso con ROPInjector, el cual haya insertado dicha shellcode en el binario resultante. Al subirlo a Virus Total se obtiene un resultado bastante interesante 4 de 56 motores AV han detectado el fichero como malicioso.


    Caso 2: shell inversa TCP

    Dentro de la carpeta shellcodes se encuentra el fichero revshell.txt, el cual contiene una shellcode que ejecutará una shell y se conectará de forma inversa a nosotros, cuando el binario sea ejecutado. Tras crear el binario con ROPInjector y subirlo a Virus Total observamos un resultado de 17 de 56 motores AV detectándolo. No es el mejor resultado, pero viendo el listado de AV que lo detectan se echa en falta algunos de los principales del mercado. 


    Caso 3: shellcode importada

    Para el último caso, importamos en un fichero txt una shellcode y la utilizamos para generar un fichero malicioso con ROPInjector. El resultado que hemos obtenido es de 2 de 56 motores AV, lo cual es un resultado muy prometedor, y prácticamente indetectable. 

    Interesante herramienta que ofrece un punto de vista distinto a la hora de generar binarios maliciosos. Los resultados, aunque no se haya alcanzado el 0 de 56, se pueden entender como satisfactorios, ya que en 2 de los 3 casos probados, el código malicioso era detectado por menos del 10% de los AV. 
    Leer más
        email this       edit

    2016/05/22

    Informe Flu - 254

    Por Juan Antonio Calles el 2016/05/22 con 0 comentarios

    Buenas a todos, como cada semana os dejamos con nuestros enlaces de la semana:
     
    Lunes 16 de Mayo
    Miércoles 18 de Mayo

    Viernes 20 de Mayo

    • El pasado viernes os trajimos un poco de #Shodan y #Scadas en un artículo dedicado a sistemas que no son los que habitualmente solemos tratar, como los puestos de carga de vehículos eléctricos de CirCarLife.

    Saludos!
      Leer más
          email this       edit

      2016/05/20

      Un poco de #Shodan y #Scadas

      Por Juan Antonio Calles el 2016/05/20 con 0 comentarios
      Buenas a todos, últimamente por razones varias me ha tocado trastear bastante con sistemas Scada.  Ello me ha permitido darme cuenta de lo complejo que es este mundo, sobretodo para los que venimos del campo de la informática, que nos pilla algo más alejado. Es un terreno complejo, con bastantes fabricantes de pequeño y mediano tamaño, que cuentan con sistemas propios y muchas veces patentados y de los que no abunda la documentación, aunque si que es verdad que hay 4 o 5 proveedores que dominan el mercado con algunas tecnologías más estandarizadas. A esta coctelera se suma que cada cliente es otro mundo, y poco o nada tiene que ver los usos que pueden darle a este tipo de tecnologías en una depuradora, en una central nuclear, en una central eléctrica, en una presa, en un pozo de extracción de gas o petróleo, en un punto de carga eléctrico para vehículos y un casi infinito etcétera.

      Lógicamente la seguridad es un componente crucial en estos sistemas, que aunque en algunas ocasiones los propios proveedores no se la tomen como uno de sus pilares, si que es verdad que la mayor parte de las veces el problema proviene por como son implantadas estas tecnologías en su destino final. Si están verdaderamente aisladas, permisos mal seleccionados, malas configuraciones, etc.

      Jugando esta semana un rato con shodan he estado revisando búsquedas con el término "plc" (por ser uno de los componentes más habituales en estos sistemas), intercalándola con los nombres de algunos fabricantes de renombre, y es curioso ver la cantidad de sistemas que se encuentran conectados a Internet, de los cuales muchos tienen alguna manera para conectarse de forma remota y administrarlos. Sin necesidad de conectaros a ellos y con un simple paseo por Shodan veréis los servicios que tienen activos:



      Si ampliamos la búsqueda al término "plc", veremos algunos datos curiosos, como por ejemplo los servicios asociados a dicho término más extendidos, que como veis el que se lleva el premio es el Siemens S7, con 1.476 apariciones, :


      Si pasamos a otros fabricantes, como CirCarLife, famoso por sus puntos de carga para vehículos eléctricos (varios en España), veremos también que en shodan tienen algunos activos indexados y que se comunican por el mismo proveedor de telecomunicaciones, comparten banner, etc. Por lo que parecen sistemas bastante clónicos:


      Yo siempre digo que salir en los buscadores como Shodan no es malo, de hecho es altamente probable que los activos indexados deban estar ahí por necesidades de negocio, pero... !si sales en la foto preocúpate! y párate a pensar como han podido llegar esos datos hasta aquí.

      Saludos y cuidado con vuestros scadas!


      Leer más
          email this       edit

      2016/05/18

      Agenda definitiva de las Jornadas @X1RedMasSegura 2016

      Por Juan Antonio Calles el 2016/05/18 con 1 comentario
      Buenas a todos, en el post de hoy queríamos hacernos eco de la Agenda final para las Jornadas X1RedMasSegura 2016, que tendrán lugar este viernes y sábado en la UPM. ¿Aún no te has inscrito? ¡Es sencillo! Solo tienes que acceder al siguiente enlace, y rellenar el formulario:







      Leer más
          email this       edit

      2016/05/15

      Informe Flu - 253

      Por Juan Antonio Calles el 2016/05/15 con 0 comentarios

      Buenas a todos, como cada semana os dejamos con nuestros enlaces de la semana:
       
      Lunes de Mayo
      • El lunes abrimos la semana hablando de Scadas, en el post Google Hacking de sistemas #Scada, donde charlamos sobre los sistemas de Siemens Simatic S7. No os la perdáis, pronto tendremos una nueva entrada al respecto.
      Martes 11 de Mayo

      Jueves 12 de Mayo


      Saludos!
        Leer más
            email this       edit

        2016/05/12

        Pornhub nos da: Porn + Security = ¿Qué mas quieres?

        Por el 2016/05/12 con 1 comentario
        Poner en el título la palabra Pornhub hace que nuestra mente se nos vaya, y puede que no solo nuestra mente. La empresa pornográfica ha decidido tomarse en serio esto de la seguridad informática, ya que puede afectar a su negocio online. La empresa ha decidido implantar un bug bounty para que los usuarios auditores que visitan la web puedan reportar fallos. Quizá estemos ante la excusa perfecta para que un Sex Auditor vea porno mientras trabaja. La noticia la vi gracias a mi antiguo compañero David Barroso que publicó el siguiente tuit:


        Al principio pensé que era algún tipo de broma, pero visto lo visto... No. Grande David. Si nos ponemos serios, esto tiene sentido: la actividad de negocio reside en la protección de los contenidos que tienen coste y su disponibilidad, por lo que intentar llamar la atención de los millones de usuarios que la empresa puede tener en el mundo para que algunos de ellos puedan auditarles a través del Bug Bounty es, sin duda, una buena estrategia de negocio.

        En el sitio web hackerone podéis encontrar toda la información referente a las reglas del Bug Bounty propuesto por Pornhub. El scope es *.pornhub.com, por lo que no os despistéis con otras cosas y centraros en el scope. A continuación os dejamos las reglas y excepciones del concurso. Os recomendamos que echéis un ojo a los premios. Siento deciros que el uso gratuito de una cuenta Premium no se contempla.


        Es cierto que la noticia puede dar mucho juego y puede haber mucho cachondeo con el contexto. Frases como "hay que detectar vulns con una mano" o "no puedo terminar la auditoría porque me faltaban manos" están a la orden del día. Para muchos, la excusa perfecta. Si la novia/novio te caza, siempre podrás decir: "no es lo que parece (que también), estoy trabajando"

        Leer más
            email this       edit

        2016/05/11

        PayDay, Veil & The Shellter: Generando binarios con payloads de manera automática

        Por el 2016/05/11 con 0 comentarios
        El año pasado coincidí con Pedro Sánchez en Gsick Minds, congreso que se celebra en A Coruña hacia finales de año. Siempre es un placer para mí coincidir con este Señor de la profesión que tanto nos apasiona. Siempre aprendo con Pedro, él tiene esa facilidad. Su charla me llamó la atención, hizo que algo que para muchos pueda ser complejo, resultara sencillo. Ahí está el gran mérito de Pedro en esa charla. 

        Me gustó como utilizó herramientas que facilitaban mucho la vida a la hora de evadir, sobretodo, antivirus. En aquel momento me dije tienes que mirar más dichas herramientas y hacer tus propios “juguetes”, pero por desgracia en aquel momento el trabajo apretaba y el fin de año estaba cerca. Ha pasado el tiempo y he podido ir probando diferentes herramientas, quizá las más famosas Veil-Framework, el cual tiene un módulo para Powershell denominado PowerView, y Shellter, la cual es una de las más potentes a la hora de rebajar el ratio de detección. Como curiosidad decir que Shellter tiene el código fuente cerrado, aunque como dice el autor en su sitio web puede ser comprado.

        En el artículo de hoy veremos una serie de comparativa básica respecto a los resultados que podemos sacar con estas herramientas automáticas de generación de binarios con payloads. El objetivo es sencillo: cuanto menor ratio de detección, más sencillo será poder evadir mecanismos de protección. Las herramientas que trataremos serán:
        • Veil-Evasion de Veil-Framework.
        • Shellter.
        • PayDay.

        Quizá la menos conocida sea PayDay, la cual es una script en Python que nos facilita la interacción con Metasploit y con Veil-Framework para la generación de los binarios. Como se puede ver siempre hay una nueva capa de abstracción que simplifica, aún más, el proceso. Generaremos diferentes binarios y los subiremos a Virus Total, con el objetivo de poder comparar en qué casos tendríamos más éxitos. Está claro que si profundizásemos con Veil-Evasion y Shellter podríamos obtener unos binarios aún mejores, en lo que a evasión se refiere, aunque puede que el resultado fuera el mismo en algunos casos. Es decir, puede que generemos diferentes binarios y ambos nos dieran el mismo ratio de detección, aunque uno es, a posteriori, más fácilmente detectable. 

        Para estos pequeños ejemplos utilizaremos el handler de Metasploit para recibir las conexiones de los binarios maliciosos creados. Os dejo simplemente su configuración en Metasploit, ya que las ejecuciones como tal no las veremos. 


        En el sitio web de Shellter podemos encontrar un listado de tricks y tips que os recomiendo que echéis un ojo. Es un listado que el autor de la herramienta ha ido recopilando de su experiencia y de los emails que ha ido recibiendo de los usuarios de la herramienta. 


        Veil-Evasion

        La primera de las versiones que veremos será Veil-Evasion. Veil-Evasio es una herramienta diseñada para generar payloads de Metasploit con los que bypassear soluciones antivirus comunes. Veil proporciona diferentes payloads con diferente ranking, el cual indica la eficiencia o el éxito que se presupone con cada payload. Por supuesto, se pueden añadir característica a Veil, es un framework que está creciendo bastante. 


        Desde Github se puede descargar, aunque sus dependencias son muchas. El proceso de instalación puede ser largo, pero claramente merece la pena. Tal y como se puede ver en la imagen superior Veil-Evasion proporciona una serie de comandos. En la versión utilizada para el ejemplo se han cargado 50 payloads. Con el comando “list” podemos listarlos y obtener algo más de información. El listado se proporciona por categorías, podemos ver payloads generados para C, C#, Go, Powershell, Python, Ruby, etcétera. Se elige un meterpreter en python inverso TCP.  


        Una vez queremos generar el EXE utilizamos el comando generate, entonces nos preguntarán por la ruta dónde almacenarlo, con qué crear el ejecutable, en el caso de Python: Pyinstaller, Pwnstaller, Py2Exe. Pwnstaller es Pyinstaller ofuscado. 


        El mensaje de no enviar ejemplos a los escáneres online nos lo dice todo. Yo haré como Pedro en su charla y solo para esta pequeña prueba lo haré ;) Los resultados son muy interesantes, no hemos utilizado funcionalidades o técnicas complejas. Todo ha sido “siguiente… siguiente… siguiente…”. El potencial de Veil radica en las diferentes plataformas para crear payloads y cómo Python, Ruby o Powershell ayuda a que los códigos pasen mucho más desapercibido. El resultado es que 12 motores de antivirus nos han detectado el binario, teniendo en cuenta que hemos utilizado un camino básico y un payload “clásico”. El resultado es 12 de 56, lo cual es aceptable.

        Shellter

        Como comenté anteriormente, la herramienta tiene muchas opciones y solo nos centraremos en una ejecución sencilla y básica. Lo primero que nos preguntará la herramienta al ser ejecutada es si queremos un modo de operación automático o manual. Lo hacemos lo más sencillo posible, que cualquiera con los mínimos conocimientos pudiera hacerlo, como dijo en la charla de Gsick Minds Pedro Sánchez. 


        Shellter nos preguntará si queremos activar el modo sigiloso y le decimos que sí. En este instante deberemos elegir entre los payloads disponibles para que se inyecten en el binario. Si nos fijamos tenemos diferentes tipos de Meterpreter, la típica shell inversa TCP y la shell bindeada TCP. Además, un payload inline como es WinExec. Lo que nos preguntará Shellter es si queremos utilizar el listado que nos proporciona o queremos utilizar un listado personalizado, mediante importación de shellcodes. En este caso elegimos la opción básica y el payload de Meterpreter inverso TCP. 


        La primera etapa pesa unos pocos bytes como se puede ver en la lectura de Shellter. El payload es encodeado automáticamente, y posteriormente nos muestra más información sobre los métodos de la API a utilizar, sobre la ofuscación o el código polimórfico denominado basura. Justo después de esto, se configura la segunda etapa, y es que Meterpreter no es un payload de tipo inline. En la segunda etapa se pasan por fases similares. La salida por pantalla de Shellter es interminable, pero nos proporciona mucha información. Hay que recordar que esto es todo con valores por defecto.


        El binario que hemos utilizado, el cual se pide al principio es el de Putty. El famoso cliente para conexiones SSH, telnet, puerto serie, etcétera. Shellter hace un backup del binario e inyecta, en este caso, un Meterpreter dentro del bibario, tal y como vimos. Los resultados con las opciones por defecto de Shellter cuando se lo pasamos a Virus Total son muy sorprendentes. Ningún motor antivirus ha detectado el binario como malicioso, obteniendo un 0 de 55. 

        PayDay

        PayDay es un script escrito en Python cuyo objetivo es crear un binario con un Meterpreter inverso TCP inyectado. El script se puede encontrar en Github. La sintaxis es sencilla y para generar un binario que utilice Metasploit (msfvenom) y Veil simplemente hay que ejecutar python payday.py –veil –msf –ip [dirección IP atacante]. 


        Los resultados obtenidos para el binario creado con PayDay pueden sorprender, ya que el uso del script es realmente sencillo. 39 motores AV han detectado el binario como malicioso de 56 que analizaron el fichero. Los resultados no fueron buenos.

        Tras la comparativa se puede observar que hay herramientas que facilitan la evasión de AV y que con opciones básicas o por defecto se consiguen resultados muy potentes. Shellter es sin duda el que más sorpresas causa, por su sencillez y el poderío de los resultados que ha conseguido. ¿Cuál es tu favorito?
        Leer más
            email this       edit

        2016/05/09

        Google Hacking de sistemas #Scada

        Por Juan Antonio Calles el 2016/05/09 con 0 comentarios
        Buenas a todos, en el post de hoy me gustaría hablaros de sistemas Scada, y en concreto de los plc de Siemens Simatic S7 que podemos encontrar expuestos en buscadores como Google o Shodan.

        Para ver que tipo de sistema es el SIEMENS SIMATIC S7, podemos hacer una sencilla búsqueda en Google, donde encontraremos medio millón de resultados, lo que denota que se trata de un sistema ampliamente utilizado en el sector industrial:


        En esta búsqueda ya vemos que no se trata de un sistema caro, y que se puede utilizar para procesos de automatización industrial.

        En su página oficial podremos encontrar más información al respecto:


        Este sistema tiene la particularidad de contar con la página por defecto "Portal.mwsl", por lo que con un sencillo Google Dork como el siguiente podremos identificar algunos sistemas expuestos en Internet:

        • inurl:"Portal/Portal.mwsl"

        Resultados de la búsqueda en Google:


        Ejemplo de sistema Simatic S7-1200 expuesto:


        Sin necesidad de credenciales vemos que ya se encuentran expuestos algunos datos de su configuración, así como una dirección IP interna:


        Y algún detalle sobre sus elementos:


        Creo que no hará falta profundizar más para ver el problema que puede llegar a suponer... ¿verdad?

        Siemens es uno de los mayores fabricantes de este tipo de tecnologías, y el Simatic S7 no es más que un modelo que he escogido entre todo su catálogo para evidenciar la problemática de que dispositivos así se encuentren accesibles desde Internet. ¡Por lo que cuidado con vuestros Scada!

        Saludos!

        Leer más
            email this       edit

        2016/05/08

        Informe Flu - 252

        Por Juan Antonio Calles el 2016/05/08 con 0 comentarios

        Buenas a todos, como cada semana os dejamos con nuestros enlaces de la semana:
         
        Lunes de Mayo
        Martes de Abril

        Jueves 5 de Mayo


        Saludos!
          Leer más
              email this       edit

          2016/05/05

          Powershell y el cambio desde el punto de vista de la post-explotación

          Por el 2016/05/05 con 0 comentarios
          Es cierto que Powershell sigue siendo uno de los grandes desconocidos en el mundo de la informática. Esto es un hecho extraño ya que está con nosotros desde Windows Vista, incluyendo la versión 1.0 de la línea de comandos que era compatible con Windows XP. Al principio se apostó a que sería un compañero ideal para la gente de sistemas, con la que se podría desplegar y acceder a todos los recursos y aplicaciones Microsoft. Por ejemplo, se implementaron módulos de Active Directory, para IIS, para Sharepoint, Hyper-V, etc. Todo los componentes de Microsoft pueden ser gestionados y administrados desde esta potente línea de comandos. 

          ¿Qué falla? ¿Por qué se sigue desconociendo? Es un gran misterio, ya que Microsoft si que la potenció y sigue haciéndolo. A día de hoy, una de las tareas de un test de intrusión como es la post-explotación puede ser llevada a cabo con Powershell. Gracias a que disponemos de cmdlets y código para administrar y acceder a todos los recursos de las máquinas Windows podemos aprovecharlo a favor del pentesting

          En estos 4 artículos podéis leer más sobre cómo empezar a dar vueltas a Powershell a favor del pentesting:
          Os dejo una charla sobre Powershell y la post-explotación a través de la implementación de un bot con el que se pueden ejecutar acciones muy interesantes con código Powershell.


          Leer más
              email this       edit

          2016/05/01

          Informe Flu - 251

          Por Juan Antonio Calles el 2016/05/01 con 0 comentarios

          Buenas a todos, como cada semana os dejamos con nuestros enlaces de la semana:
           
          Lunes 25 de Abril
          Miércoles 27 de Abril

          Viernes 29 de Abril

          • El viernes anunciamos los Primeros ponentes de las Jornadas @X1RedMasSegura 2016que tendrán lugar los próximos 20 y 21 de Mayo de 2016 en Madrid, en el mismo lugar de las últimas ediciones, el Salón de Actos de la Escuela Técnica Superior de Ingenieros de Telecomunicación (ETSIT) de la Universidad Politécnica de Madrid, localizada en "Ciudad Universitaria", campus universitario situado en la zona noroeste de Madrid.

          Saludos!
            Leer más
                email this       edit