En la primera parte y segunda parte de esta serie de artículos vimos cómo aprovechar la vulnerabilidad MS15-078 para escribir en una ruta privilegiada y luego cómo identificar posibles aplicaciones y servicios vulnerables a DLL hijacking.

En este último post aprovecharemos estas dos vulnerabilidades juntas para obtener privilegios de SYSTEM a partir de un usuario sin privilegios de administrador.

[Read more…]

En este post vamos a cubrir qué es el DLL hijacking y cómo podemos identificar posibles aplicaciones vulnerables, con el fin de realizar un ataque de escalada de privilegios.

Los conceptos básicos son simples: cuando una aplicación carga dinámicamente una DLL sin especificar un nombre de ruta de acceso completa o ha sido compilada por los desarrolladores con una DLL que ya no está en esa carpeta, Windows intenta localizar las DLLs siguiendo una estructura de carpetas predefinidas en un orden predeterminado, que es el siguiente:

[Read more…]

En esta serie de artículos, hablaremos de cómo aprovechar la vulnerabilidad (MS15-078: creación de archivo en una ruta privilegiada) + dll hijacking para obtener privilegios de SYSTEM con un usuario no privilegiado.

En el boletín de seguridad del pasado 14 de julio, Microsoft publicó varios parches de seguridad que corrigen varias vulnerabilidades de escalada de privilegios. Entre ellas “DCOM DCE/RPC Local NTLM Reflection Elevation of Privilege”, esta vulnerabilidad permite realizar un ataque reflejado sobre una conexión local DCOM hacia un socket TCP que esté en escucha, lo que permite el acceso a un desafío de autenticación NTLM del usuario LocalSystem, el cuál puede ser reenviado al servicio de activación local DCOM.

[Read more…]

En este post vamos a ver dos maneras de droppear shells en equipos Windows, no voy a entrar en detalles de cómo llegar a comprometer un equipo, asumo que ya está hecho y que habéis volcado los hashes o credenciales en texto plano utilizando Mimikatz o alguna herramienta similar.

La primera de ellas será utilizando Metasploit y psexec_scanner,un grandioso módulo de Darkoperator, la segunda mediante psexec.py de IMPACKET.

[Read more…]

En el post anterior (Detección de código malicioso con YARA (I)) os explicamos la funcionalidad de YARA y cómo crear reglas básicas para detectar malware especifico. En este post vamos a usar YARA con Volatility sobre un volcado de memoria RAM para la detección de un Troyano bancario ‘Zeus’. Para los que no sepáis que es Volatily, es una herramienta de código abierto para el análisis de la memoria RAM. Es compatible con el análisis para Linux, Windows, Mac y sistemas Android.

Para el propósito de demostrar la funcionalidad de Volatility con Yara hemos obtenido un volcado de memoria que esta infectado por uno de los troyanos bancarios mas conocidos, ‘Zeus’.

Actualmente Zeus es muy “difícil” de detectar incluso con antivirus y otros softwares de seguridad, ya que usa algunas técnicas de ofuscación. Se considera que esta es la razón principal por la cual se ha convertido en una de las mayores botnets de Internet.

[Read more…]

¿Qué es YARA y para qué sirve?

YARA es una herramienta de código abierto para la identificación de malware la cual utiliza una gran variedad de técnicas. Su principal característica es su flexibilidad. Además, es de gran ayuda en situaciones de respuesta a incidentes, en las cuales tanto las herramientas como el tiempo, suelen ser limitados.

En este post vamos a crear un par de reglas para detectar payloads específicos de Metasploit y de Veil-evasion.

Escribir reglas para YARA es bastante sencillo. Aunque YARA ofrece multitud de opciones para crear reglas, solo hay que entender unos conceptos básicos para empezar. Observemos el siguiente ejemplo.

Regla YARA de ejemplo

[Read more…]

Jugando un poco con Google Apps Script, que es un entorno de scripting de gran alcance proporcionado por Google, se pueden hacer solicitudes autenticadas contra los datos de un usuario en Google.

Al autorizar una aplicación de Google, los usuarios están permitiendo a una tercera parte el acceso a sus datos, por lo que los ataques de ingeniería social resultan demasiado fáciles, debido a que se encuentran alojados en un dominio de Google, incluso los usuarios experimentados que buscan dominios sospechosos pueden ser engañados.

Después de la autorización de la aplicación, un usuario malintencionado puede, subir el correo electrónico del usuario a un medio externo, borrar datos, o acceder a la información personal a través del API de Google.

Cómo funciona
Aquí está un simple Google Apps Script que hice. Que se encuentra alojado en Google.

Una persona malintencionada podría hacer un script usando “https://script.google.com” para que realice cualquier acción en contra de los datos de Google de un usuario. A continuación, compartí el enlace con la apariencia de una herramienta útil. Desde la URL script.google.com, parece legítimo e incluso los usuarios experimentados es probable que se dejen engañar.

Nombré mi aplicación “Actualización de seguridad de Gmail”, pero podría llamarse de cualquier otra manera.

La capacidad del atacante para asignar el nombre de la aplicación es muy peligrosa. Para este post usamos como nombre “Actualización de seguridad de Gmail”. Cabe destacar que Google de ninguna manera deja claro que esta aplicación fue creada por una tercera parte, durante el proceso de autorización de la aplicación.

El usuario aprueba la aplicación, ya que parece completamente legítima:

Una vez aprobada la aplicación, en este caso solo envía los 10 primeros correos de la bandeja de entrada a la papelera, pero podría haber borrado todos los emails, leer todo el correo electrónico, reenviar correos, o acceder a la información personal a través del API de Google y enviarla a una tercera parte.

La comunicación efectiva de Seguridad a veces resulta difícil, pero considero fundamental comunicar al usuario los riesgos implicados al autorizar alguna aplicación, Google podría agregar una advertencia importante en el cuadro de autorización de la aplicación.

Dicho esto, veo complicado que un usuario común o quizás algún usuario más experimentado, entienda que se puede ejecutar código malicioso estando dentro del dominio de Google. Irónicamente después de autorizarla Google envía un correo electrónico explicando que una aplicación de una tercera parte ha sido autorizada, pero a estas alturas es, muy tarde la aplicación ya ha tenido acceso a los datos del usuario, y se ha eliminado, robado o manipulado.

Detalles adicionales
La aplicación creada para este post “Actualización de seguridad de Gmail”, simplemente contiene este código:

URL de la aplicación Actualización de seguridad de Gmail(CUIDADO)

API de Google Scripting

Aplicaciones autorizadas en tu cuenta de Google