31 jul 2017

Desensamblando ejecutables con Dumpbin. Parte 1

Buenas a todos, en el post de hoy quería hablaros de la utilidad "Microsoft COFF Binary File Dumper", también conocida como Dumpbin (DUMPBIN.EXE):


Si sois programadores de Visual Studio, la podréis encontrar generalmente en la siguiente ruta "Program Files (x86)\Microsoft Visual Studio X.X\VC\bin\", ya que se instala con las utilidades de Visual Studio. Pero si no la tenéis os dejo el paquete exacto donde se incluye en el siguiente enlace:


Esta herramienta permite volcar información acerca de archivos binarios en formato Common Object File Format (COFF), permitiendo analizar ejecutables, librerías DLL, etc.

Es una herramienta de consola muy útil para los analistas de malware. Si la ejecutáis sin parámetros os indicará todos los parámetros que podréis utilizar:


Con /ALL tendréis toda la información de un binario (dependencias, directivas, secciones, código ASM desensamblado, etc. etc.), aunque es más cómodo ir analizándolo por partes.

Por ejemplo, si quisiésemos ver las secciones de nuestra herramienta "winprocdump", ejecutaríamos la siguiente instrucción:

  • dumpbin.exe /SECTIONS winprocdump.exe



En próximos posts os explicaremos cómo sacarle partido a esta utilidad de Microsoft.

Saludos!

19 jul 2017

Tus wearables te pueden llevar a la carcel

Buenas a todos. Ayer me hacía eco de una noticia un tanto curiosa pero que denotaba un hecho que llevaba tiempo advirtiéndose, y es que en muchas ocasiones de nuestra vida, el estar completamente vinculados a las tecnologías que monitorizan nuestra actividad, podría ocasionarnos algún tipo problema o trastorno.

Sin embargo, en la noticia que hoy os traigo, a pesar de que ha ocasionado un problema al afectado, ha sido una prueba más en un proceso judicial para confirmar sin lugar a dudas la culpabilidad de un asesinato por parte del usuario de una Fitbit. Por lo que podemos decir que en esta ocasión, sus características de geoposicionamiento, monitorización de ritmos cardiacos, etc. han sido utilizados con un objetivo ético.

Os comparto la noticia a continuación:

A la cárcel por una pulsera Fitbit 
El pasado mes de abril, una pulsera de actividad Fitbit se convirtió en una de las principales pruebas de cargo en un homicidio en una causa que provocó un gran revuelo en Estados Unidos. El wearable fue testigo silencioso de la lucha a muerte entre Connie Dabate y su misterioso asesino; el dispositivo midió los bruscos movimientos y las pulsaciones hasta detener toda actividad a las 10:05, la que fue considerada como hora de la muerte de la mujer. Fue gracias a esta pulsera que se descubrió la identidad del asesino: su propio marido. Y es que los dispositivos conectados se están convirtiendo en pruebas de cargo y como testigos mudos de delitos que son posteriormente resueltos gracias a la información registrada por los mismos. 

Tanto los espías del salón como las pulseras y móviles pueden registrar en todo momento todo lo que sucede a su alrededor, incluyendo grabaciones de audio, y lo que se convierte en una pesadilla para los defensores de su privacidad, puede contribuir a resolver complejos delitos. Meses más tarde del suceso de la pulsera Fitbit, un juez ordenó a Amazon revelar el contenido del altavoz Echo -un dispositivo en escucha permanente- en la fecha y horas en las que presuntamente se cometió un crimen. En este caso se contaba con el beneplácito del sospechoso, pero la firma se limitó a proporcionar una transcripción de la actividad del equipo, negándose a entregar el audio al considerarlo una vulneración de los derechos fundamentales del acusado. 

Los forenses del 'internet de las cosas' 

Bruce Snell, experto en ciberseguridad de McAfee, ha advertido de que las pulseras de actividad se han convertido en nuestros espías gracias a la gran cantidad de información sobre la actividad de la persona que registran, unos datos que en el caso de la comisión de un delito pueden ser de gran utilidad, en especial para desbaratar a los impostores. Estos equipos pueden registrar con gran precisión los latidos de la persona que los lleva y parece lógico pensar que en la comisión de un delito esta actividad se disparará. La proliferación de estos dispositivos ha provocado que las autoridades los consideren como fuente determinante de información en los delitos y a los investigadores que se encargan de obtener esta información se les conoce ya como “los forenses del Internet de las cosas”. 

En este sentido, la policía está formando ya a sus detectives para lograr obtener información de este tipo de dispositivos, y que nadie piense que la investigación se limita a los wearables o cámaras y altavoces en el domicilio: en realidad, cualquier dispositivo conectado puede proporcionar pruebas vitales en la comisión de un delito, como la hora en la que se activó la cafetera o en la que alguien tocó el timbre. En realidad, las autoridades se enfrentan a una nueva e inesperada era en la que la dificultad no reside en obtener información, sino saber filtrar la que tiene realmente valor: “Hay muchos más datos de los que podemos gestionar”, como reconocería el fiscal encargado del ‘caso Fitbit’ ante la avalancha de información proporcionada por el dispositivo.
Fuente: https://elpais.com/tecnologia/2017/07/14/actualidad/1500026472_431973.html

Por lo que a partir de ahora tendremos que ser más imaginativos cuando estemos investigando un caso en un proceso forense, y no habrá que descartar ningún tipo de dispositivo, por atípico que nos parezca.

Saludos!

14 jul 2017

SMBTrap fácil con MITMf

SMBTrap es una vulnerabilidad que se descubrió en el año 2015 y no es más que una vulnerabilidad que afecta a SMB en Windows y que viene de mucho más tiempo atrás. En otras palabras, allá por el año 1997 se podía forzar a Windows a que enviara las credenciales a un recurso compartido. Un atacante podía poner un recurso compartido y poner un enlace en una web hacia dicho recurso las credenciales serán enviadas, es decir, las credenciales hasheadas de Windows. Con SMBTrap se dio una vuelta de a este concepto, y esto ocurrió en el año 2015. Existe un artículo de nuestro compañero Sergio de los Santos que habla de esta vulnerabilidad y de cómo protegerse.

Mediante SMBTrap se podrán enviar las credenciales de Windows hasheadas mediante un servidor SMB gracias a las redirecciones HTTP. La gente de Cylance se dio cuenta, y así lo muestra en el paper, que la API de URLMon.dll, la cual es utilizada por muchas aplicaciones hoy en día, también realizaban la operativa de enviar las credenciales gracias a las redirecciones HTTP.


Hoy en día, es muy común utilizar NTLMv2, lo cual no es tan débil como los antecesores, aunque siguen siendo potencialmente atacable mediante fuerza bruta o, más lógicamente, por ataques de diccionario.

Integrado con MITMf

La semana pasada hablamos de uno de los frameworks más potentes y flexibles para auditorías de red como es MITMf. Hoy vamos a ver como MITMf proporciona soporte, a través de un plugin, para poder capturar hashes de Windows a través de redirecciones HTTP. El plugin encapsula todo el proceso, pero lo que se levantará es un servidor HTTP que, ante una petición, redirigirá hacia el servicio SMB montado también por el propio plugin.


Como se puede ver, para invocar el plugin –smbtrap solamente hay que indicarlo al ejecutar MITMf. Si leemos lo que es levantado, gracias a la ejecución del plugin, se puede leer un servidor HTTP y un servidor SMB. Si echamos un ojo a los puertos a la escucha en la máquina vemos lo comentado.


PoC: Sacando provecho de todo esto

Un escenario típico para sacar provecho aquí sería utilizar técnicas como ARP Spoofing o DNS Spoofing buscando un envenenamiento de la caché ARP o caché DNS. Las peticiones que la víctima haga desde, por ejemplo, su navegador que utilice la autenticación por HTTP u otras aplicaciones que utilicen URLMon.dll.

Para este ejemplo, se realizará un ARP Spoofing y SMBTrap todo desde el propio MITMf, mostrando la flexibilidad y potencia con una sintaxis muy sencilla. La instrucción a ejecutar es mitmf.py –spoof –arp –smbtrap –target [IP víctima] –gateway [IP router] –i [interfaz de red].


En este instante, cuando la víctima utilice su Internet Explorer, en el ejemplo utilizamos un Windows 7, la petición HTTP será redirigida al servidor SMB montado por el atacante. En este instante, el navegador realizará, o lo intentará, autenticarse mediante NTLMv2.

El resultado es un robo de credenciales hasheadas de Windows. Se puede utilizar herramientas de cracking, como por ejemplo hashcat, para poder extraer la credencial en plano.


En conclusión, SMBTrap está al alcance de la mano en herramientas como MITMf, lo cual hace que montar lo necesario sea realmente sencillo. Es potente utilizar este tipo de técnicas en auditorías internas, ya que la consecuición de los hashes puede abrir la puerta a otras máquinas o recursos. Como vemos MITMf proporciona diferentes técnicas, y cada vez más, y ayuda a poder realizar ataques y pruebas que antes costaban montar. Seguiremos viendo ataques y técnicas con este gran framework.