X1RedMasSegura Especial RootedCon 2016

February 13, 2016, 2:37 pm

≫ Next: Informe Flu - 240

≪ Previous: Formación de Pentesting con Kali en Valencia - Taes

$

0

0

Como sabéis, desde el año pasado estamos siendo invitados a participar en los distintos congresos de seguridad y hacking de España para participar con actividades encaminadas a adultos y adolescentes no técnicos para potenciar el uso responsable de las nuevas tecnologías. 

 

Nuestros amigos de RootedCon nos han propuesto repetir la experiencia del año pasado, participar con nuestros charlas de concienciación y talleres dentro del Congreso de Seguridad Informática RootedCon 2016, por supuesto nuestra respuesta, y sin dudarlo un momento ha sido SI.

Este año Rooted CON 2016 se celebra los días 3, 4 y 5 de Marzo de 2016 en la Sala 25 de los cines Kinepolis de la Ciudad de la Imagen en Madrid.

 

Como veis esta nueva edición, del prestigioso congreso, se va a celebrar en un marco incomparable en Madrid, pero ¿qué haremos desde X1RedMasSegura para que el público NO TÉCNICO vaya al congreso RootedCon?

 

RootedCon es sin duda un foro técnico, donde se dan cita los mejores expertos de seguridad del ámbito nacional e internacional, donde además de ponencias, talleres técnicos y un punto de inicio para el lanzamiento de los profesionales más noveles también se potencia, en paralelo, la educación digital de los colectivos más vulnerables en el uso de las nuevas tecnologías, padres, madres, abuelos, adultos en general sin olvidar a los más pequeños, nuestros menores. Prueba de ello es el patrocinio la colaboración desde nuestros inicios de las Jornadas y Talleres X1RedMasSegura.

 

En esta edición “X1RedMasSegura especial Rooted” tenemos confirmada la participación de nuestros compañeros de la iniciativa (por orden alfabético) Ángel-Pablo Avilés (Angelucho), David “Insonusvita, Fernando de la Cuadra, Longinos Recuero, Josep Albors,  Juan Antonio Calles y Olga Martín. Tal vez tengamos sorpresas y puedan participar el resto de compañeros sin consiguen liberarse de sus compromisos profesionales, ya sería hacer un PLENO y estaríamos toda la familia X1RedMasSegura al 100%.

 

Las actividades se desarrollarán durante toda la jornada del sábado 5 de marzo, en la misma ubicación del Congreso, en la Sala 25 de los cines Kinépolis, donde podréis escucharnos para que os llevéis un “trocito” de concienciación conociendo los peligros de Internet, los peligros a los que se enfrentan nuestros menores, donde aprenderéis sencillos trucos para estar un poquito más seguros en la red y hacer que vuestros hij@s también lo estén, donde aprenderéis a utilizar las TIC,s de forma segura mediante consejos de nuestros expertos. Consejos que siempre serán dirigidos a los objetivos de X1RedMassegura, los usuarios NO TÉCNICOS. Por supuesto también tendréis las experiencias de nuestros ciberabuelo.

Para los más pequeños estamos preparando talleres donde los más pequeños podrán iniciarse a la robótica, aprendiendo a diferenciar las diferentes partes de un robot, observando, manipulando y aprendiendo mientras construyen su primer robot.

Por supuesto también repetiremos los talleres musicales, con los que aprenderán cantando a modo de Rap como deben comportarse en la red y sobre todo como deben reaccionar ante cualquier peligro.

 

Un SECRETO… TODAS ESTAS ACTIVIDADES SON TOTALMENTE GRATUITAS.

Solo os pedimos un favor, y es que deis difusión de las actividades en vuestros círculos para conseguir que las personas que realmente necesitan estas actividades puedan acceder a ellas. Tened en cuenta que los mayores peligros son sufridos por los que no están informados.

 

En los próximos días se publicará la agenda de las actividades, pero mientras tanto, y para que no os lo cuenten, podéis inscribiros DE FORMA GRATUITA directamente en la página web del Congreso. ¡Asegurar vuestra plaza puesto que serán limitadas por aforo!

INSCRIPCIÓN

Os esperamos, si os inscribís será la diferencia de estar con nosotros o verlo por la tele ;-)

 

X1RedMasSegura Team

---

Informe Flu - 240

February 14, 2016, 2:47 pm

≫ Next: A donde bash con tu historyal: bash_history

≪ Previous: X1RedMasSegura Especial RootedCon 2016

$

0

0

Buenas a todos, como cada domingo os dejamos con nuestros enlaces de la semana:

Lunes 8 de Febrero

• El lunes os presentamos los Eventos de ciberseguridad para esta semana - Semana cargadita

Martes 9 de Febrero

• El martes publicamos el interesante artículo Usa correctamente tu gestor de contraseñas o exponla

Miércoles 10de Febrero

• El pasado miércoles compartimos con vosotros la Formación de Pentesting con Kali en Valencia - Taes

Viernes 12 de Febrero

• El viernes os hablamos de la edición especial de X1RedMasSegura que tendrá lugar en RootedCon 2016

Saludos!

A donde bash con tu historyal: bash_history

February 15, 2016, 3:14 pm

≫ Next: Powershell Empire: La post-explotación llevada al máximo nivel

≪ Previous: Informe Flu - 240

$

0

0

Buenas a todos, en el post de hoy os queríamos enseñar algunas búsquedas bastante curiosas que podremos realizar de forma sencilla con Google Hacking para localizar en Internet historiales de bash que han quedado expuestos en Internet, y que normalmente se producen a la hora de subir aplicaciones a sitios como Github, compartir códigos en foros de consulta o similares. Son muy interesantes porque en ellos se pueden encontrar verdaderas joyas para acelerar un proceso de intrusión en un pentest. 

Para ilustrarlo utilizaremos un ejemplo de búsqueda para localizar credenciales de conexión a bases de datos MySQL expuestas en los bash_history:

• inurl:bash_history mysql "-u":

 

Interesante... ¿verdad?:

Además de contraseñas de acceso a BBDD, también podremos encontrarnos rutas locales, credenciales de otros servicios y aplicativos, nombres de usuarios, archivos, backups, logs, y un largo etc. Cómo le gusta decir a Pablo, el límite de estas búsquedas se encuentra en nuestra imaginación...

Saludos!

Powershell Empire: La post-explotación llevada al máximo nivel

February 16, 2016, 3:26 pm

≫ Next: Video: interceptando dispositivos Android con Metasploit y Msfvenom

≪ Previous: A donde bash con tu historyal: bash_history

$

0

0

Desde hace unos meses estoy jugando con Powershell Empire. Empire es un framework de post-explotación basado en el despliegue de agentes. Los agentes se ejecutan en las máquinas comprometidas y son gestionados desde una consola bajo el control del pentester. Según se puede leer en el propio sitio web de Powershell Empire, las comunicaciones están cifradas. Jugando con el framework uno se da cuenta que la fuerza del Empire radica en la integración de todos los frameworks conocidos de Pentesting con Powershell. Frameworks como Powersploit, Nishang, Posh-SecMod o PowerUp, entre otros, se integran y están disponibles para ser utilizados a través de la arquitectura que proporciona el Empire.

Una de las cosas más potentes que ofrece Powershell Empire es la posibilidad de ejecutar agentes de Powershell sin necesidad del binario powershell.exe. Esto hace que los agentes puedan ser inyectados en diferentes procesos, y pasar más desapercibido. 

¿Qué partes tiene Powershell Empire? Fundamentalmente 3: listeners, agents y stagers. A continuación se enumeran las distintas funciones y de qué se encargan dentro del juego propuesto por el Empire:

• Listeners. Se encargan de esperar las conexiones de los agentes desplegados en las máquinas comprometidas. Podemos decir que el listener será el punto final, dónde el pentester colocará sus órdenes a ejecutar.
• Agents. Los agentes es el código ejecutado en las máquinas comprometidas. El Empire ofrece una gran cantidad de agents, como por ejemplo uno en formato bat, vbs, dll, o incluso, un código preparado para el rubber ducky. 
• Stagers. Los stagers son precisamente el código a generar, que una vez ejecutado se convierte en agent.

El flujo de uso es sencillo, el pentester conseguirá acceso a través de la explotación de una vulnerabilidad y podrá utilizar un stager de tipo DLL, por ejemplo, para conseguir ejecutar un agent en la máquina remota. Otro caso de uso sencillo sería aprovechar la potencia de Rubber Ducky en un ataque físico, o la ingeniería social para que el usuario ejecute un archivo. La fase de ejecución de los agentes queda en mano de los lectores. 

PoC: Conexión entre el agente y el listener

Para la prueba de concepto se va a utilizar un stager de tipo bat. En primer lugar hay que instanciar un listener sobre la máquina para recibir las conexiones de los agentes. La instrucción a ejecutar en este caso es listeners. Una vez el prompt cambia se puede consultar las opciones que existen. Para este caso, nos vale con ejecutar la instrucción execute.

La generación del fichero bat es sencilla, simplemente hay que ejecutar la instrucción usestager. Con el comando options se puede verificar que podemos cambiar y personalizar. Como se puede visualizar el entorno es muy similar al de la consola de Metasploit, está claro que @harmjoy y cia han querido darle ese toque parecido.

Si analizamos el fichero que acabamos de crear podemos encontrar que el stager se reduce a un código encodeado en base64 y que es invocado a través de una powershell.exe. Powershell ofrece la posibilidad de ejecutar código a través de base64 (-Enc), en un proceso oculto (-W Hidden) y no interactivo (-NonI). En otras palabras, un modo perfecto para pasar desapercibido. En la imagen se puede ver el contenido del fichero .bat.

Cuando el fichero .bat se ejecute en la máquina comprometida se lanzará una Powershell sin ningún profile, en modo no interactivo, con ventana oculta y ejecutará el código en base64. Ese código es el que creará la conexión en busca del listener que tenemos configurado. El listener recibirá la conexión y tendremos un nuevo agente. A partir de ese instante el pentester puede ejecutar instrucciones y módulos en la máquina remota. El funcionamiento no es inmediato, el listener prepara las órdenes y el agente realiza conexiones no continuas para obtener la lista de cosas a ejecutar. Esto hace que si en la máquina comprometida se visualizan las conexiones de red, no viésemos la conexión entre el agent y el listener.

Más de 115 módulos disponibles para que el pentester saque el jugo a la máquina comprometida. Técnicas como Pass the Hash, pivoting, exfiltración de datos, escaneo de red interno y externo, etcétera, pueden ser llevados a cabo con el agente desplegado. 

Para esta prueba elegimos un módulo que cuelga de un módulo “curioso” llamado trollsploit. Este módulo proporciona 5 funcionalidades que son las siguientes:

• Message.
• Process_Killer.
• Thunderstruck.
• Voicetroll.
• Wallpaper.

No hace falta explicar mucho lo que hace cada funcionalidad. Elegimos para este caso el módulo message. Al ejecutarlo, en la máquina comprometida se mostrará un message box con la información configurada en el módulo.

¿Cuál es el resultado? En esta prueba de concepto se puede ver cómo el listener configuró las órdenes para el agente denominado Win7, el cual fue renombrado previamente. El agente consulta las órdenes cada N segundos contra el listener y ejecuta las instrucciones. 

Video: interceptando dispositivos Android con Metasploit y Msfvenom

February 19, 2016, 4:05 pm

≫ Next: Informe Flu - 241

≪ Previous: Powershell Empire: La post-explotación llevada al máximo nivel

$

0

0

Buenas a todos, en el post de hoy quería compartir con vosotros un video que grabé recientemente para ilustrar una prueba de concepto en una conferencia sobre interceptación de smartphones  Android con Metastploit y Msfvenom, y sobre la cual ya hablamos en el siguiente artículo de Flu Project publicado el año pasado:

• http://www.flu-project.com/2015/11/troyanizando-android-con-msfvenom.html

Para realizarla simplemente necesitáis contar con una distribución de Kali Linux 2, la cual podéis lanzar por ejemplo desde una máquina virtual.

¡Disfrutadlo!:

Informe Flu - 241

February 20, 2016, 11:55 pm

≫ Next: Rooted Labs 2016: Pasando un día de hacking!

≪ Previous: Video: interceptando dispositivos Android con Metasploit y Msfvenom

$

0

0

Buenas a todos, como cada domingo os dejamos con nuestros enlaces de la semana:

Lunes 15 de Febrero

• El lunes publicamos el post  A donde bash con tu historyal: bash_history, donde expusimos los problemas de que los historiales de bash queden publicados en Internet

Miércoles 17de Febrero

• El pasado miércoles compartimos con vosotros el interesante artículo, Powershell Empire: La post-explotación llevada al máximo nivel, uno de los más vistos de esta semana

Viernes 19 de Febrero

• El viernes publicamos el Video: interceptando dispositivos Android con Metasploit y Msfvenom

Saludos!

Rooted Labs 2016: Pasando un día de hacking!

February 22, 2016, 5:10 pm

≫ Next: Powershell Empire: Bypasses, inyecciones y code execution

≪ Previous: Informe Flu - 241

$

0

0

Por cuarto año tengo la oportunidad de estar en los Lab de Rooted CON. La temática de mi lab es la de Metasploit, cuyo Lab tiene como nombre Metasploit on Fire!Aprovecha y disfruta de un día de pentesting. 

El Lab tendrá lugar el 29 de Febrero y tendrá una duración de 8 horas. La sala de formación se encuentra en el hotel Eurostars i-Hotel en la Ciudad de la Imagen (Madrid - España). El objetivo de este RootedLab es disponer de una visión global de Metasploit Framework, además del conocimiento sobre la utilización de herramientas que ayudan a Metasploit y al pentester en su tarea. Se profundizará en la arquitectura del framework, distintas etapas de un test de intrusión (gathering, exploiting, post-exploiting) y desarrollo por parte del alumno de sus primeras pruebas con ruby.

Durante el RootedLab, los asistentes tendrán la oportunidad de trabajar con pruebas de concepto, con ejercicios prácticos y entornos reales de pentesting con la herramienta Metasploit. El alumno recorrerá diferentes ambientes con diferentes tipos de di cultad. Comenzará con una visión básica hasta completer acciones más avanzadas con el framework.

Además, otros compañeros darán sus Labs esos días, échales un ojo en el sitio web de Rooted CON.

Os esperamos! MAS INFO. 

Powershell Empire: Bypasses, inyecciones y code execution

February 23, 2016, 5:36 pm

≫ Next: Monitoriza un proceso de RAM para encontrar información

≪ Previous: Rooted Labs 2016: Pasando un día de hacking!

$

0

0

La semana pasada tratamos un tema interesante como es Powershell Empire y las múltiples cosas que podemos realizar con los listeners, stagers y agents que ofrece la herramienta. Si jugamos un poco más podemos llegar a hacer cosas realmente útiles en una auditoria de sistemas Microsoft. El disponer de agents desplegados en una o varias máquinas puede proporcionarnos el escenario perfecto para intentar obtener privilegios, pivotar, recopilar información sensible de las máquinas, ejecutar código que ofrezca nuevas posibilidades y vías, en otras palabras, explorar múltiples vías. 

En el caso práctico de hoy veremos funcionalidades de Powershell Empire que permiten realizar las siguientes acciones:

• Si las condiciones del usuario lo permiten se puede realizar un bypass del UAC.
• Powershell Empire permite inyectar un agent en un proceso cualquiera, sin necesidad de ejecutar powershell.exe. Esto es bastante potente e interesante para pasar desapercibido. 
• Ejecución de código. Podremos ejecutar, por ejemplo, una Meterpreter y tomar el control de dicha máquina con Metasploit en un momento dado.

Bypasseando UAC remotamente

Cuando tenemos el control de un agent en remoto disponemos de una gran variedad de opciones y módulos ejecutables. Uno de los módulos potentes es privsec/bypassuac_wscript, el cual permite elevar privilegios en la máquina remota. Es cierto que para que el bypassuac tenga éxito el contexto en el que se ejecuta el agent debe tener:

• UAC debe estar configurado por defecto.
• La identidad del usuario con el que se ejecutó el agent debe formar parte del grupo administradores.

En el módulo se tendrá que configurar el listener al que el agent devolverá la salida del job ejecutado. Si la acción tiene éxito obtendremos la ejecución de un nuevo agente que se ejecutará como SYSTEM, por lo que dispondremos de la posibilidad de ejecutar cualquier acción en el sistema, por ejemplo, realizar un volcado de hashes con el módulo powerdump.

En Listener hay que configurar la dirección dónde estaremos a la escucha, como se mencionaba anteriormente. Si nos fijamos en la siguiente imagen se puede ver como el nuevo agente obtenido tiene un * dónde la columna Username. Esto quiere decir que se está ejecutando con privilegio elevado, es decir, nuestro bypass funcionó. El nombre del agent que obtenemos es aleatorio, y es recomendado renombrar para poder interactuar de manera más sencilla. Para ello se puede ejecutar el siguiente conjunto de instrucciones:

1. agents
2. interact <nombre agent>
3. rename <nombre nuevo>

Inyectándonos en otros ambientes

Una de las cosas más interesantes para mí es la posibilidad de inyectarse en casi cualquier proceso, siempre que se tenga privilegio para ello. Por ejemplo, poder inyectar un agent en un proceso como lsass.exe. Esto haría que pasáramos muy desapercibidos. 

Lo primero que se podría hacer con el agent anterior sería lanzar un tasklist que nos permita, a través de Powershell, obtener un listado de procesos que se ejecutan en la máquina y con qué privilegio. En este instante ya sabemos el PID de los procesos, lo cual lo necesitaremos para el módulo PSInject. 

Para cargar el módulo de PSInject se puede utilizar dos vías: usemodule management/psinject o el comando psinject [nombre listener]. Una vez cargado el módulo disponemos de una serie de opciones que nos permiten configurar el proceso dónde nos queremos inyectar, a través del PID de éste. Si todo va bien obtendremos un nuevo agent ejecutándose en la máquina remota, pero en este caso no será lanzado por un proceso powershell.exe, por lo que pasamos un poco más inadvertidos.

Cómo se puede ver en la imagen anterior obtenemos un nuevo agent, con privilegio de SYSTEM e inyectado en el proceso lsass. A partir de aquí uno puede jugar de forma más relajada, ya que el usuario no cerrará dicho proceso. 

Ejecución de código: shellcode

El último paso es la ejecución de código, cómo por ejemplo una Meterpreter desde un agent de Powershell. Para ello se utiliza el módulo code_execution/invoke_shellcode. Este módulo permite seleccionar la dirección IP o el puerto a la que se conectará la Meterpreter.

Por otro lado habrá que configurar en Metasploit el módulo exploit/multi/handler para recibir la conexión de la shellcode que lanzará el agent. La configuración debe coincidir, tanto en LHOST como en LPORT. Como peculiaridad diremos que al ser ejecutado en un proceso que ha obtenido privilegio previo, podrá ser SYSTEM desde Metasploit, tal y como se puede ver en la siguiente imagen.

En conclusión, tenemos varias fórmulas para potenciar nuestra acción en la auditoria o en un pentest y Powershell nos ofrece gran potencia y versatilidad. Cuando hice el bot de auditoria, más simple que el Empire, ya se podía ver la fuerza y potencia que proporciona esta herramienta que viene con Windows desde Vista. 

---

Monitoriza un proceso de RAM para encontrar información

February 26, 2016, 6:02 pm

≫ Next: Informe Flu - 242

≪ Previous: Powershell Empire: Bypasses, inyecciones y code execution

$

0

0

En un proceso de RAM se puede obtener información sensible, debido a pequeños descuidos que el común de los humanos podemos cometer. Es cierto que podemos extraer este tipo de información con Keefarce hasta ciertas versiones, lo cual os recomiendo que lo probéis. ¿Por qué no hacer que Meterpreter monitorice un proceso concreto o varios en busca de diferentes patrones? Decidí hacer una aproximación a este sano ejercicio de pentest y ponerme manos a la obra. Al script lo llamé process_monitor.rb.

El script de Meterpreter

Meterpreter puede ejecutar diferentes scripts, lo cual hace que de una forma sencilla podamos añadirle funcionalidades de manera sencilla. Realmente, podemos verlo como un intérprete de Ruby y podríamos incluso abrir la herramienta irb e ir indicándole a Meterpreter las órdenes una a una. El objetivo era automatizar lo máximo el proceso de monitorización. Para ello decidí reutilizar el código de proc_memdump que permite realizar un volcado de un proceso de memoria RAM, entre otras cosas. 

Esta función la utilizaremos de forma iterativa para monitorizar uno o varios procesos. Una vez tenemos esto claro hay que ver las diferentes opciones del módulo, lo cual puede servir a alguien para mejorarlo. Los scripts de Meterpreter tienen algo en común y es que se debe incluir un objeto opts. Este objeto de tipo Parser::Arguments permite simplificar el menú de ayuda y que se debe ejecutar en función de cada parámetro. El script de Meterpreter presenta diferentes opciones que son las siguientes:

• “-h”. Mostrará la ayuda del script.
• “-p”. Permite indicar el PID del proceso a monitorizar.
• “-i”. Permite indicar el intervalo en segundos entre cada volcado de proceso.
• “-m”. Permitiría indicar si en el momento que haya un “match” entre el contenido y el patrón buscado se dejaría de llevar a cabo el proceso de monitorización. Es un valor booleano, al fin y al cabo.
• “-e”. Permite indicar el patrón buscado. A día de hoy es tan sencillo como un string, pero se podría evolucionar a una expresión regular, dotándole de mayor potencial.

Cuando se crea el objeto opts se utiliza el constructor new y se le pasan los argumentos. Los argumentos tienen un campo dónde se indica mediante un valor booleano si éste irá acompañado de un valor o no. Como se puede visualizar en la imagen “-h” tiene un valor false asociado, esto quiere decir que si el usuario lanza run process_monitor –h dicho parámetro no se acompaña de un valor. Sin embargo, run process_monitor –p [val] se le debe especificar el PID.

Por último, el cuerpo del script consta de un sencillo algoritmo. Este irá dumpeando el proceso indicado a través del parámetro –p, en un intervalo indicado por el parámetro –i y se buscará lo que se indique en el parámetro –e. A continuación se hace un esbozo en pseudocódigo de dicho algoritmo.

Mientras no_salir

Dump de memoria

Mientras leer dumpeo

Si línea incluye patrón buscado

Imprimir “Yeah”

Fin si

Fin Mientras

Fin mientras

Como se puede ver, el pseudocódigo es muy sencillo. Su código en Ruby también. El script puede descargarse desde mi Github de Metasploit. 

Prueba de concepto

Para la prueba de concepto utilicé Firefox como proceso a monitorizar. Según he ido viendo con Firefox, cuando un usuario se loguea incorrectamente en su cuenta de correo, toda la petición HTTPS queda en claro almacenada en RAM, por lo que se puede encontrar datos interesantes. En el caso de realizar un login correcto dicha información no se almacena. 

En este caso el patrón de búsqueda es Passwd, el cual se conoce que cuando nos conectamos al correo electrónico de Gmail es el parámetro dónde se indica la contraseña. Es importante no quedarse solo en este ejemplo de prueba de concepto, y dejar que vuestros pensamientos más oscuros fluyan… Las ideas surgen a partir de semillas, utilicemos esto de semilla.

Cuando el dumpeo finaliza, se analizará el dump en busca del patrón concreto. Si se encuentra alguna coincidencia se mostrará por pantalla, aunque también se podría modificar para que se almacenase en un fichero. Además, si se encuentra una coincidencia se podría notificar al pentester de algún modo. 

Se puede observar en la imagen anterior la petición realizada y que se alojaba en el dump del proceso. Información útil y monitorizada, que una vez estando dentro de una máquina se puede tener. ¿Qué más cosas buscarías en una máquina comprometida por el auditor durante la realización de un pentesting?

Informe Flu - 242

February 27, 2016, 6:39 pm

≫ Next: Jornadas X1RedMasSegura 2016 - 20 y 21 de Mayo

≪ Previous: Monitoriza un proceso de RAM para encontrar información

$

0

0

Buenas a todos, como cada domingo os dejamos con nuestros enlaces de la semana:

Lunes 23 de Febrero

• El lunes anunciamos el Rooted Lab sobre Metasploit de mi compañero de Flu Project, Pablo González, el cual tendrá lugar el día 29 de Febrero en el hotel Eurostars i-Hotel en Ciudad de la Imagen (Madrid - España). Curso imprescindible! :)

Miércoles 25 de Febrero

• El pasado miércoles compartimos con vosotros el post Powershell Empire: Bypasses, inyecciones y code execution. Estamos acostumbrados a utilizar Metasploit en las auditorías de hacking ético, pero sin duda Powershell Empire es también una solución muy potente a tener en cuenta.

Viernes 26 de Febrero

• El viernes publicamos el interesante artículo: Monitoriza un proceso de RAM para encontrar información.

Saludos!

Jornadas X1RedMasSegura 2016 - 20 y 21 de Mayo

February 28, 2016, 7:41 pm

≫ Next: Sacándole partido al bash_history

≪ Previous: Informe Flu - 242

$

0

0

Las Jornadas X1RedMasSegura se celebrarán los días 20 y 21 de Mayo en el Salón de Actos de la Escuela Técnica Superior de Ingenieros de Telecomunicación de la Universidad Politécnica de Madrid (ETSIT-UPM).

Durante estos dos días se tendrá la oportunidad de escuchar a verdaderos profesionales de la Seguridad traduciendo sus conocimientos y experiencias para hacerlas llegar a los usuarios finales de Internet con la finalidad de hacer más sencillo su paso en la Red, tan presente hoy en día en nuestras vidas.

Este año celebraremos la 3ª Edición de nuestro concurso de Infografías para niñ@s y adolescentes, y cuyas bases podéis leer AQUÍ. ¡ID PREPARANDO VUESTRAS INFORGRAFÍAS!

Novedades

La edición 2016 repetirá de nuevo la experiencia de los talleres, celebrándose para ciberabuelos, padres, educadores, musicales y de robótica para niños, empresas y empresarios, disCAPACITADOS e internautas en general, así como cualquiera que surgiera viabilidad para su celebración. Los talleres se desarrollarán desde los meses febrero/marzo con la finalidad de poder realizarlos, además, en localidades distantes de Madrid, ciudad donde se culminará la edición 2016 con la celebración de las jornadas los días 20 y 21 de mayo.

Estos talleres, que seguirán siendo TOTALMENTE GRATUITOS, se desarrollarán a solicitud de los
interesados y tras el estudio de viabilidad y desarrollo por las partes, teniendo en cuenta la logística a la hora del desplazamiento de/l/los ponente/s, designados por Organización de X1RedMasSegura para participar en la actividad

Patrocinios y Colaboraciones 2016

Si deseas patrocinar o colaborar en la edición 2016 de las Jornadas X1RedMasSegura puedes ponerte en contacto con nosotros en: info@x1redmassegura.com y/o descargarte el dossier de información y patrocinio. Buscamos colaboración principalmente en los siguientes aspectos. Los patrocinadores se encargarán directamente de la aportación de recursos sin intervenir la organización de x1RedMasSegura más allá de la coordinación. Figurarán en la publicidad y página web como tales además de ser nombrados en todos los eventos.

COMUNICACIÓN

• Publicidad y difusión
• Cartelería e impresiones
• Acreditaciones

LOGÍSTICA

• Catering 2 Jornadas x 300 personas
• Catering Talleres (400 personas total)
• Catering Networking
• Viajes y Alojamiento ponentes no residentes en Madrid (Jornadas)
• Realización de talleres fuera de Madrid

MATERIALES

• Agradecimiento autoridades y ponentes
• Agradecimiento asistentes Jornadas y Talleres
• Agradecimiento staff (personal apoyo en Jornadas y Talleres)
• Premios concurso Infografías para niños (6 en total)
  
  

Cualquier otra ayuda será bienvenida ya que x1RedMasSegura es una iniciativa sin ánimo de lucro que persigue llevar el uso seguro y responsable de Internet a todos los ciudadanos.

Cierre confirmación patrocinios: domingo 1 de mayo de 2016.

DESCARGA DOSSIER DE COLABORACIÓN Y/O PATROCINIO

Por otro lado, aprovechamos para recordaros que esta semana tenemos RootedCON 2016, y junto a ella este año repetiremos una edición especial de X1RedMasSegura. ¡No os la perdáis! Más información AQUÍ

Sacándole partido al bash_history

March 2, 2016, 8:25 pm

≫ Next: Retromalware: Jugando con Netbus (Parte I de II)

≪ Previous: Jornadas X1RedMasSegura 2016 - 20 y 21 de Mayo

$

0

0

Buenas a todos, en el post de hoy me gustaría analizar algunas búsquedas interesantes de Google, basadas en el archivo bash_history y orientadas a la localización de carpetas de Linux expuestas en la red.

Uno de los programas que más utilizamos los informáticos para enviarnos archivos entre máquinas es SCP. A través del cual podremos remitir un archivo de un origen a un destino. Tanto ese origen, como el destino deben figurar en la cadena del comando SCP, por lo que si identificamos archivos bash_history expuestos en Internet, es posible que identifiquemos algunas decenas de carpetas origen y/o destino pululando por la red. 

Algunos ejemplos:

• 122 resultados cacheados de rutas "/home": 

• 78 resultados cacheados de rutas "/root": 

• Mientras que solo se encuentran 9 resultados cacheados de rutas "/var/www", donde podrían encontrarse los archivos en producción de un servidor web Apache: 

Otro filtro interesante podría ser "*.sql", para identificar exportaciones de BBDD que hayan quedado cacheadas por el mundo mundial. En este caso con 283 resultados:

Se le puede sacar mucho partido a bash_history en una auditoría, por lo que echadle imaginación :)

Saludos!

Retromalware: Jugando con Netbus (Parte I de II)

March 3, 2016, 8:28 pm

≫ Next: Informe Flu - 243

≪ Previous: Sacándole partido al bash_history

$

0

0

En el año 98 el mundo de la informática conoció el troyano NetBus. Esta pequeña aplicación fue lanzada como una herramienta de administración remota de máquinas, aunque existían algunas versiones más oscuras que eran utilizadas por atacantes para troyanizar máquinas. Yo dediqué tiempo a jugar con NetBus cuando iba al instituto, allá por el año 2001, pero eso es otra historia.

En verano me dio por trastear y sacar del baúl de los recuerdos a software que hoy en día tienen poca aplicación, ya que son desbordados por otras herramientas con mucho más poder, pero apareció de nuevo el NetBus. Decidí echarle un ojo, y ver como los creadores de malware de la época hacían para transmitir la información y las órdenes desde un cliente a un servidor. Hay que recordar que el malware de aquella época seguía una arquitectura cliente-servidor clásica. Cuando mandaban el fichero patch.exe (servidor de NetBus) a una víctima ésta disponía de una dirección IP, la cual era una dirección pública. Esto hacía que cualquier usuario pudiera tener conectividad directa con dicha máquina. Después aparecieron los routers y la idea tuvo que cambiarse y ser el “bicho.exe” el que haga la conexión al atacante.

Echando un ojo con un Wireshark a la interacción entre el cliente y servidor en una red me llamó la atención la facilidad con la que NetBus se identificaba.

En la imagen se ve como el cliente (versión 1.60) realiza la conexión con el servidor (three-way handshake) y el servidor “escupe” un segmento con datos. Parece que el servidor muestra el baner, como si de otro servicio normal se tratase. Con Wireshark podemos ver que nos dice la versión a la que nos hemos conectado.

Al ver esto, y viendo que el verano por el norte no ha sido muy productivo a lo que horas de sol se refiere, me puse a trastear con Ruby. Muchos saben que desde el libro de Metasploit para pentesters un servidor anda con ganas de ir haciendo más y más cosas para el framework, aunque no todo lo que me gustaría debido al poco tiempo libre. Para pasar el rato decidí codificar un script en Ruby para dándole una dirección IP detectar un NetBus y su versión.

En el código, muy sencillo, se puede ver como se abre un socket contra una dirección IP y un Puerto que, en la version 1.60 de NetBus es el 6000, es por el que se gestiona. Tras abrir el socket esperamos a recibir un “\r” que es el delimitador que utiliza NetBus, y lo cual también se puede obtener del mensaje mostrado con Wireshark anteriormente. Se puede ver que cada commando, o información enviada acaba con un “\r”, en hexadecimal 0d.

Si lo que recibimos por el socket encaja con la expresión regular definida para localizar un baner de NetBus se imprime por pantalla la versión. Como se puede imaginar esto es algo bastante rápido de montar, y el sol seguía sin salir por el norte así que decidí ir un poco más allá.

El cliente de NetBus tiene diversos botones que permitían al atacante hacer maldades sobre sus víctimas. Pero, como ya hemos visto antes, la comunicación era trivial, el texto plano es la clave. Al probar el botón de Get Info, el cliente obtiene algo de información de la máquina remota, por ejemplo el Usuario con el que se está logueado, la ruta dónde se encuentra el patch.exe o el número de clientes conectados. Si observamos la trama en Wireshark veremos que el comando no puede ser más sencillo “Get Info”, escrito a través del socket, eso sí que no se nos olvidé el 0d al final, o lo que es lo mismo “\r”.

Tras ver esto quise interactuar con el bicho a través del script, era como meterle mano al juguete que tenía de pequeño. El código al final era algo así:

Es sencillo, si el socket está abierto se manda por el socket el texto GetInfo con el delimitador 0d al final y esperamos a que patch.exe nos proporcione la infomación. Una vez recibida, la damos un poco de format sustituyendo los ; y | por saltos de línea y se muestra.

Seguí investigando y jugando un poco con el troyano e implementé también la posibilidad de enviar texto a la víctima, recopilar información sobre el disco duro, por ejemplo listar todos los archivos y carpetas, y la posibilidad de ejecutar un message box en remoto. Justo en este punto el sol empezó a salir por el norte y decidí que las vacaciones eran para coger algo de color…

Os dejo un screenshot de la ejecución del script, el cual lo podéis descargar desde mi github.

¿Segundo día y también llueve? En efecto, llover y mucho llover por el norte, por lo que decidí llevar mi pequeño script al mundo Metasploit.

Informe Flu - 243

March 5, 2016, 11:41 pm

≫ Next: Retromalware: Jugando con Netbus (Parte II de II)

≪ Previous: Retromalware: Jugando con Netbus (Parte I de II)

$

0

0

Buenas a todos, ya estamos de vuelta en Flu Project tras la resaca de ayer de RootedCON, por lo que como cada domingo os dejamos con nuestros enlaces de la semana :)
 

Lunes 29 de Febrero

• El lunes anunciamos las Jornadas X1RedMasSegura 2016, que ya tienen fecha, se celebrarán los días 20 y 21 de Mayo de 2016

Miércoles 2 de Marzo

• El pasado miércoles compartimos con vosotros el post Sacándole partido al bash_history, que tendrá segunda parte la semana que viene con interesantes búsquedas que nos estáis enviando via email ;)

Viernes 4 de Marzo

• El viernes publicamos el interesante artículo: Retromalware: Jugando con Netbus (Parte I de II)

Saludos!

Retromalware: Jugando con Netbus (Parte II de II)

March 6, 2016, 9:04 pm

≫ Next: Publicada nuestra conferencia sobre malware en Android de las Jornadas TASSI 2016

≪ Previous: Informe Flu - 243

$

0

0

Como se comentó en el artículo anterior debido al tiempo por el norte seguí trasteando con Ruby y NetBus, lo que llamamos retromalware. Mi idea era hacer un módulo auxiliary, mi prueba de concepto, más didáctico que efectivo en una auditoría, aunque módulos en Metasploit que detectan malware o que detectan paneles de gestión existen. Si visualizamos la ruta modules/auxiliary/scanner/misc podemos encontrar los módulos en Ruby que comentaba.

Apoyándome en un módulo scanner el cual ya nos proporciona la posibilidad de escanear rangos de direcciones IP quise implementar la funcionalidad que tenía en mi script anterior.

Es importante observar los mixins que se incluyen con Tcp, scanner y report. Un mixin es una llamada a un método que es proporcionado por otra clase y que simplifica las tareas que realizamos. Por ejemplo, en el caso de Tcp se nos proporciona connect() y disconnect(). Con la primera se crea un socket contra el puerto y dirección IP que toque, recordemos que un módulo scanner coge rangos de direcciones IP y mediante un bucle se van recorriendo estas direcciones IP. El mixin disconnect() nos permite cerrar el socket. Más adelante en el post se muestra una zona de código dónde se pueden visualizar tanto el connect() como el disconnect().

La función initialize que todo módulo debe incluir permite inicializar el módulo cuando éste es cargado en el framework. Podemos ver que existen ciertos atributos que se configuran a modo informativo sobre el nombre del módulo, autor, tipo de licencia, etcétera. Esta información puede ser visualizada en msfconsole a través del comando info.

Por último, la función initialize tiene una llamada importante que es register_options. Con este método podemos incluir o sobreescribir nuevos atributos o parámetros del módulo. En este caso se indica que el parámetro RPORT por defecto tiene el valor 6000, que como hemos podido ver es un puerto en el que NetBus trabaja. Si decides implementar tus módulos utilizarás esta llamada en algún momento.

Al final la otra función que debe tener un módulo de Metasploit de tipo auxiliary es la de run_host. En esta función se le pasa el target_host, que simplemente será la dirección IP que toque ser escaneada. En otras palabras, como es un módulo auxiliary y de tipo scanner, de forma trasparente al programador el framework le proporciona un bucle que va ejecutando esta función, siendo en cada iteración un target_host distinto. También otra opción viable es la utilización de un número mayor de THREADS, ya que por defecto es 1. Esto también es trasparente al programador gracias al framework, por lo que podemos lanzar distintos hilos que el programador no tendrá que realizar la gestión ni de esto, ni de la llamada a run_host con distintos valores.

Como se puede ver en la definición de la función run_host se abre un socket a través del mixin connect. Una vez abierto el socket se espera que patch.exe, el bicho de NetBus nos envíe su versión. Tras esto se imprime la por pantalla que se ha encontrado en una dirección IP una versión de NetBus. En este punto se podría utilizar una expresión regular para asegurarnos que lo encontrado es lo que buscábamos.

En el momento que se encuentra una dirección IP infectada se muestra un menú al usuario para que interactúe con él. A modo de prueba de concepto se han implementado algunas funcionalidades para manejar el troyano.

A continuación podemos ver cómo se puede lanzar un message box sobre la máquina infectada. Realmente se ha implementado un mini cliente de NetBus en esta prueba de concepto. Posteriormente se muestra la captura dónde se recibe lo que ha pulsado el usuario víctima.

Por último, quiero mostraros una función interesante como es el listado de ficheros que se encuentran en el disco de la víctima. Tras analizar con Wireshark como realiza esta operación paso a comentarla. El cliente legítimo manda un “GetFiles” a través del socket abierto en el puerto 6000, el servidor nos contesta con “DiskDone” y nos indica un tamaño en bytes de lo que ocupa toda la información (textual) que recibiremos. Después de esto, el cliente legítimo abre un segundo socket al puerto 12346 y es dónde tras abrir la conexión se recibe toda la información del disco duro.

Tenéis disponible el código en mi github para poder trastear con ello un rato y poder evolucionarlo. Si quieres aprender más sobre Metasploit y el desarrollo en el framework consulta Metasploit para pentesters.

---

Publicada nuestra conferencia sobre malware en Android de las Jornadas TASSI 2016

March 9, 2016, 9:52 pm

≫ Next: Localizando Cpanel y Phpmyadmin abiertos con Google Hacking

≪ Previous: Retromalware: Jugando con Netbus (Parte II de II)

$

0

0

Buenas a todos, en el post de hoy queríamos informaros de que ya se encuentra disponible en el canal YouTube de la Universidad Politécnica de Madrid la primera conferencia del XII Ciclo UPM TASSI2016, Temas Avanzados en Seguridad y Sociedad de la Información, de título El malware en dispositivos móviles, que tuve el placer de presentar el pasado 11 de febrero de 2016 en el Campus Sur de la Universidad Politécnica de Madrid. 

 

¡Disfrutadla!

 

 

Localizando Cpanel y Phpmyadmin abiertos con Google Hacking

March 10, 2016, 10:55 pm

≫ Next: Informe Flu - 244

≪ Previous: Publicada nuestra conferencia sobre malware en Android de las Jornadas TASSI 2016

$

0

0

Buenas a todos, en los últimos meses hemos dedicado en Flu Project varios artículos a Google Hacking, y a identificar distintas búsquedas que nos han permitido localizar información curiosa indexada por Google y a la que cualquier usuario tiene acceso simplemente realizando búsquedas en su buscador. La semana pasada nos contactó Juan Martínez, al cual enviamos un abrazo desde aquí, para compartir con nosotros dos interesantes dorks sobre Cpanel y Phpmyadmin que procedemos a contaros:

• Dork Cpanel (200k resultados): inurl:login inurl:user inurl:pass -intext:pass -intext:user

• Dork Phpmyadmin (14k resultados): inurl:phpmyadmin "information_schema" filetype:php

 

Saludos!

Informe Flu - 244

March 12, 2016, 3:01 pm

≫ Next: Los SecureString protegen en RAM

≪ Previous: Localizando Cpanel y Phpmyadmin abiertos con Google Hacking

$

0

0

Buenas a todos, como cada domingo os dejamos con nuestros enlaces de la semana:
 

Lunes 7 de Febrero

• El lunes finalizamos la cadena Retromalware: Jugando con Netbus (Parte II de II), en la que hablamos del mítimo malware :)

Miércoles 9 de Marzo

• El pasado miércoles compartimos con vosotros nuestra conferencia sobre malware en Android de las Jornadas TASSI 2016, en la que impartimos una introducción al mundo del malware, tipologías, técnicas de evasión, y algunos ejemplos de malware orientados a entornos Android. ¡Disfrutadla!

Viernes 11 de Marzo

• El viernes publicamos el artículo Localizando Cpanel y Phpmyadmin abiertos con Google Hacking.

Saludos!

Los SecureString protegen en RAM

March 14, 2016, 12:21 am

≫ Next: X1RedMasSegura "ESPECIAL FAMILIAS" el día 16 de Abril

≪ Previous: Informe Flu - 244

$

0

0

La memoria RAM y los tricks que rodean a este elemento volátil son interesantes y un punto de exposición. Muchos usuarios piensan que de ella no se puede obtener datos de interés, pero cómo hemos visto en los artículos “Cómo sacar la contraseña de Gmail de la memoria del proceso de Firefox usando Metasploit” o el de “Volcar credenciales del proceso KeePass con Meterpreter”, se puede obtener datos jugosos o indicios que nos ayuden en un pentest.

En esta ocasión voy a tratar el tema de los SecureStrings. Según indica Microsoft en su MSDN los SecureString es un objeto similar a los Strings, el cual tiene un texto almacenado como atributo. Dicho atributo es almacenado en memoria, pero se utiliza un mecanismo que protege el valor del atributo. El mecanismo suele ser el cifrado que el propio sistema operativo proporcione. Esta es la principal diferente con un String. Con el String no es posible predecir cuando la instancia será eliminada del equipo, por lo que existe un riesgo de que esa información sea visualizada por otro usuario o proceso. Al final todo se reduce a: la información sensible, tales como contraseñas, deberían ser almacenadas en SecureString, mientras que el resto de información podría ser almacenada, sin más, en Strings.

Para esta prueba de concepto se ha utilizado un código .NET escrito en C#, el cual permite ejemplificar dos situaciones:

1. En la primera situación el usuario utiliza SecureStrings para gestionar su clave. La clave no se imprime por pantalla y si buscamos la información en memoria RAM no debemos encontrar nada. 
2. En la segunda situación el usuario gestiona su clave en un tipo String. Cómo ya hemos visto en anteriores artículos, la información será mostrada.

El trozo de código anterior muestra 2 funciones, una que permite convertir un String a SecureString y la otra realiza el proceso inverso. Una correcta gestión de los SecureString puede ayudarnos a solventar problemas de leaks a través de información en la RAM.

Para realizar el volcado de memoria RAM del proceso .NET utilizado, el cual en este caso solo gestiona información con SecureStrings, se utiliza el script de Meterpreter llamado proc_memdump para obtener el volcado remoto.

Cómo puede verse en la imagen, si buscamos cadenas como “System.Security” se encuentra Password: System.Security.SecureString. En el caso de que se utilizará un String ya tendríamos el leak y el valor de la contraseña.

Conociendo la contraseña que hemos almacenado en el SecureString realizamos una búsqueda sobre el dumpeo de memoria. El resultado es el que se puede ver en la imagen, nada. No encontramos información sobre la contraseña en el volcado, se está gestionando de forma correcta y segura.

Ahora vamos a ejecutar el proceso nuevamente pero haciendo que la contraseña se gestione a través de un String. Tal y como se puede ver en la imagen se ejecuta process_memdump y se obtiene el volcado en crudo del proceso.

Realizando la búsqueda sobre la captura de la palabra “Pass” podemos encontrar la contraseña en texto plano en la memoria RAM. Esta información ha sido mostrada por pantalla, por lo que obtenemos del proceso está ahí en la memoria del proceso.

Cómo conclusión decir que una correcta gestión del uso de Strings sensibles y unas buenas pautas a la hora de programar nos ayudan a hacer nuestro desarrollo más seguro. No son ataques sencillos o comunes en un pentesting, pero la información que, generalmente, almacena la memoria RAM es sensible, por lo que se debe cuidar de forma similar a mimamos la información que se encuentra en disco.

X1RedMasSegura "ESPECIAL FAMILIAS" el día 16 de Abril

March 15, 2016, 4:01 pm

≫ Next: 0Day: XSS en VMWare por Álvaro Trigo

≪ Previous: Los SecureString protegen en RAM

$

0

0

Desde la organización de X1RedMasSegura siempre pretendemos llegar al usuario final de Internet con la intención de proporcionarle el conocimiento y las herramientas para poder disfrutar de la red de forma segura.

Las Jornadas X1RedMasSegura, que estamos preparando y que como bien sabéis se celebrarán en el mes de mayo, nacen con esa idea.

A lo largo del año participamos en talleres tanto para adultos como a menores, incluso llevándolos a los distintos congresos de seguridad con la finalidad de llevar la seguridad a las personas no técnicas, especialmente a adultos y niñ@s.

Pero hasta ahora no habíamos planificado, dentro de las jornadas X1RedMasSegura, una jornada específica en la que toda la familia pueda pasar el día aprendiendo seguridad en Internet sin tecnicismos y a la vez disfrutando las nuevas tecnologías todos juntos.

Por ello, este año volvemos intentar subir las "revoluciones" de la maquinaria de X1RedMasSegura organizando una "Jornada X1RedMasSegura Especial Familias".

La Jornada tendrá lugar el próximo día 16 de Abril en el Centro Cultural Eduardo Urculo (Pl. de Donoso, 5, 28029 Madrid) y tendremos el honor que sea inaugurada por D. Pedro Núñez Morgades, quien fué Defensor del Menor en la Comunidad de Madrid y, aún hoy en día, una persona muy sensibilizada con la protección de nuestros menores también en la red.

Así mismo contaremos con un plantel de excepcionales ponentes que nos hablarán sobre los distintos aspectos de la seguridad en Internet de nuestros menores, nos harán conocedores de los peligros que los acechan en la red, pero también nos aportarán soluciones para evitar esos peligros así como fórmulas para mitigar sus consecuencias en caso de sufrirlos. En breve publicaremos sus Bios para que os hagáis una idea de lo importante que será escuchar sus charlas.

La jornada se desarrollará de acuerdo a la siguiente agenda: 

Pero como jornada familiar que es, también hemos planificado tres talleres que se desarrollarán en paralelo, y por los que podrán pasar todos los niños asistentes de forma rotativa.

Los talleres serán posible gracias a la inestimable colaboración de Raúl Renales,junto con Feli, Pilar, Jacob, David, Paco, Martita, Miguel, Julian, Miriam, Félix, Ricardo, Silvia, Antonio, Karel y Mayte, de la Asociación HoneySec,  nos ofrecerá un taller llamado "Detectives Criptográficos",  Olga Martín, directora de la Academia Educa en Digital montará un interesantísimo taller de robótica y nuestro rapero David "Insonusvita", y su estudio de grabación "Inflama Estudios", nos pondrá la nota musical con un taller específico. Todos con la intención de concienciar sobre los peligros y educar en el buen uso de las TIC a los más pequeños de la familia.

-       Taller de “Detectives Criptológicos” - ¿Quieres
que tus hijos aprendan criptografía jugando? Tenemos un divertido taller para
niños de 6 a 12 años que quieran resolver misterios y les guste la
investigación. 

-      Taller de Robótica - Actividad para iniciarse
en la robótica, aprendiendo a diferenciar las diferentes partes de un robot,
observar, manipular, comprobar y verificar mientras construyen su primer robot.

-       
Taller Musical -A modo de RAP se
transmitirán mensajes sobre seguridad, privacidad y uso responsable de 
Internet, encaminado a la concienciación del uso responsable de Internet,
conociendo los peligros que cualquier menor puede estar expuesto en la red. Se
llevará a cabo mediante canciones propias, compuestas y cantadas
por David Avilés (David "Insonusvita")

Os dejamos el cartel para que nos ayudéis a llegar a más gente y que puedan disfrutar de forma totalmente gratuita de las actividades que hemos planificado. (pulsa sobre el mismo para descargarlo)

 

Os recordamos que podéis asistir de forma totalmente gratuita y que para ello tenéis que registraros en el siguiente enlace.

ACCESO AL REGISTRO PARA LA JORNADA "X1REDMASSEGURA ESPECIAL FAMILIAS"