Laboratorio de hacking III: Nexx WT3020F SWORD

En esta parte de la serie de artículos de creación de herramientas trataremos el montaje de una dropbox que podremos dejar abandonada en una red a la que queramos tener acceso.

SWORD es un portal web instalado en un pequeño dispositivo, normalmente un router, en el que puedes hacer un pivote y hacer ataques desde él mientras el equipo principal se puede dedicar a otras cosas.

Su funcionamiento puede recordar a la herramienta Packet Squirrel de Hak5 en cuanto al tamaño y finalidad, aunque difiere un poco en su forma de trabajar. Mientras que Packet Squirrel  se conecta entre un host y el hub de red y selecciona 1 de entre 3 payloads que tiene precargados vía switch físico, SWORD se conecta de la misma manera pero tiene todo lo necesario precargado de forma que es necesaria una conexión hacia él, ya sea vía red física o por un punto de acceso que creemos desde el dispositivo, aunque si usamos este último, no podremos utilizar algunos ataques Wifi como por ejemplo los destinados a WEP y WPA. [Read more…]

Soluciones FDP (Fraud Detection and Prevention). El poder de la correlación de eventos para la acción preventiva

Durante los últimos años han proliferado en el mercado tecnológico soluciones relacionadas con la detección del fraude a través de sistemas de inteligencia artificial basada en explotación de datos masiva (Big Data). La detección de patrones anómalos y correlación de eventos son dos de los elementos clave de éstas soluciones que permiten detectar los “inicios” de las anomalías antes de que se produzcan tanto a nivel de transacciones económicas, operacionales como de cualquier otro dato relacionado o no que se determine en un orden del tiempo o en lugar concreto.

Las soluciones FDP tienen por objetivo la correlación de eventos de manera efectiva dentro de los procesos de negocio relacionando datos de transacciones (financieras, comerciales u operativas) con determinaciones de patrones de riesgo. Así pues, basado en un modelo de datos adecuado consiguen hacernos llegar potenciales situaciones de riesgos previamente identificadas con un detalle adecuado para poder gestionar “la anomalía”.

Profundizando en las soluciones FDP (Fraud Detection and Prevention) hemos de encontrar primero aquellas que se han “encasillado” en un determinado nicho de trabajo con alta especialización y, por otro lado, las que desde la particularidad han ido adquiriendo gradualmente mayores ámbitos de aplicación. [Read more…]

Data Loss Prevention. Fuga y pérdida de datos no son soluciones sino riesgos

Aquellos que llevamos muchos años protegiendo la información corporativa e investigando incidencias de fuga de información lo tenemos claro. No todo está detrás de un teclado en materia de secuestro de información, pérdida de datos y prevención de dichos eventos.  A pesar de ello, los esquemas de incidencia, los eventos no esperados, las acciones de las personas y el entorno no dejarán jamás de cambiar de forma sorprendente.

Básicamente hay que diferenciar tres elementos clave para determinar una incidencia de fuga de información:

Entorno: La evidencia de investigación no siempre está en un directorio, un equipo o un archivo. El entorno de fuga de información está compuesto por un conjunto de características de personas, la cultura empresarial, los medios y tiempo en que se desarrolla el proceso de fuga. En la evaluación del entorno podemos encontrar las relaciones de confianza, la segregación funcional, los sistemas de comunicación y un largo etcétera completado por las medidas de control puestas en marcha para la prevención de fuga de información.

Valor de la información:  No todas las fugas de información son importantes ni es posible prevenir el 100 % de los casos. No es lo mismo que se lleven unos resultados empresariales antes de cierre de ejercicio cuando la situación financiera es adecuada que cuando no lo es. De una manera sencilla, el valor de la información tiene una cotización dependiendo de la clasificación de la información que pudiéramos realizar más el impacto que significaría dicha fuga de información a nivel corporativo. Por lo tanto, la clasificación no es un elemento estático al que recurrir sino que proporciona el valor de impacto en caso de fuga dependiendo de un conjunto de criterios asociados al momento en que se produce, la estrategia empresarial y el valor en mercado negro (habitualmente a través de Dark Web). Existen más criterios para determinar el valor de información pero, desde luego, la categorización debe de adaptarse a la realidad del propietario de la información.

Motivación: La fuga de información corresponde a una motivación, racionalización y un esquema de vulneración. Uno de los problemas que suele aparecer en las investigaciones de fuga de información es que no se realiza dicho análisis desde una perspectiva plural y relacionada con la motivación y suele centrarse en la determinación del esquema en uno de los entornos. Es por ello que cuando hablamos de fuga de información basada en sistemas de información puede dejarse de lado el resto de elementos que constituyen la visión global del incidente. Si perdemos ésta perspectiva global, difícilmente podríamos adoptar medidas correctoras o preventivas que respondieran a una situación similar.
[Read more…]

Auditorías web: Cuando no son pitos son flautas, y si no una banda entera

Normalmente, cuando auditamos una aplicación web mal programada en su backend, es habitual encontrarnos con vulnerabilidades de inyección SQL. Principalmente inyecciones ciegas basadas en error o, si tenemos mucha suerte, basadas en unión de tablas. Sin embargo, lo que no es muy habitual es encontrarnos con una inyección sql fuera de banda.

Éstas no solo dependen de que la aplicación sea vulnerable sino de que el servidor tenga habilitados mecanismos que nos permitan exfiltrar la información por una banda distinta a la propia aplicación web.

El propio hecho de que los resultados sean devueltos por una vía completamente diferente, unido a que éstas pueden ser muy variadas, hace que sea muy difícil utilizar herramientas automatizadas para explotar este tipo de vulnerabilidades. Aún así, en ciertos casos donde los tiempos de respuesta de un servidor sean muy lentos o irregulares, puede merecer la pena tratar de exfiltrar la información de dicha forma.

Como ejemplo vamos a echar un vistazo a una inyección que me he encontrado recientemente en una auditoría web.

En este caso, la vulnerabilidad resultaba muy extraña puesto que el parámetro se llamaba sql***, pidiendo a gritos una inyección, pero la web no devolvía errores y no parecía ser afectada por técnicas basadas en tiempo. Sin embargo, nuestro mejor amigo Burp active scan parecía convencido de que existía una inyección en dicho parámetro.
[Read more…]

(Cyber) Guerra Fría IV: Irán

En el post de hoy continuamos con nuestra saga de (Cyber) Guerra Fría en la que para esta cuarta entrada nos situamos en Irán, un país de actualidad.

Contexto geoestratégico y político

Geoestratégicamente es destacable la rivalidad histórica latente entre Irán y Arabía Saudita que muchos asemejan a lo que fuera la Guerra Fría entre Estados Unidos y la (ex)Unión Soviética. Como en muchas rivalidades en esta zona del mundo, las diferencias religiosas juegan un factor crucial (Irán es mayoritaríamente chiíta y Arabia Saudita sunita), y a ésto hay que sumarle que ambos paises se encuentran enfrascados en una lucha por el dominio regional del territorio intentando hacerse con un control sobre un corredor terrestre hacia el Mediterráneo. Además hay añadir la inestabilidad política que se generó en la región a raíz de la Primavera Árabe y por supuesto los intereses en la zona de las grandes potencias y demás tensiones socio políticas . Tal y como se observa en el mapa, Arabía Saudita estaría apoyada por los países marcados y contaría con el apoyo de USA e Israel.

Recientemente Irán ha saltado a la palestra por la retirada por parte del gobierno de Trump del  acuerdo nuclear JCPOA (Joint Comprehensive Plan of Action), acuerdo por el que Irán se comprometía a limitar su polémico programa de energía atómica y a cambio se le levantarían las sanciones económicas impuestas, se le permitía reanudar sus exportaciones de petróleo a mercados internacionales y -entre otras muchas acciones- retomar el uso del sistema financiero de comercio global. Tras la ruptura con este acuerdo nos encontramos ante una situación de previsible presión económica contra Irán y algunos investigadores ya apuntan a que en los próximos meses veremos represalias por parte de Irán contra Occidente, incluidas operaciones ofensivas en el ciberespacio.
[Read more…]

Análisis de Linux.Omni

Siguiendo nuestra clasificación y análisis de las amenazas Linux e IoT activas en la actualidad, en el presente artículo vamos a indagar en un malware detectado muy recientemente en nuestros honeypots, la botnet Linux.Omni. Dicha botnet nos ha llamado particularmente la atención debido a las numerosas vulnerabilidades incluídas en su repertorio de infección (11 diferentes en total), pudiendo determinar, finalmente, que se trata de una nueva versión de IoTReaper.

Análisis del binario

Lo primero que nos llama la atención es la etiqueta que se da el malware en el momento de la infección del dispositivo, es decir, OMNI, pues estas últimas semanas estábamos detectando OWARI, TOKYO, SORA, ECCHI… todas ellas versiones de Gafgyt o Mirai y, que poco innovan respecto a lo reportado en artículos anteriores.

Así pues, analizando el método de infección, encontramos las siguientes instrucciones:

Tal y como se puede observar, es un script bastante estándar y, por tanto, importado de otra botnet. Nada nuevo.

A pesar de que todo apuntaba a que la muestra se trataría de una variante estándar de Mirai o Gafgyt, llevamos a cabo la descarga de la muestra.
[Read more…]

Simple & crazy covert channels (I): Asciinema

En la preparación de nuestras auditorias muchas veces perdemos bastante tiempo desarrollando herramientas que requieren de un gran trabajo y que, en muchos casos, no llegan a pasar desapercibidas para esos usuarios con un perfil algo más técnico.
Sin embargo, existen otros métodos más sencillos (e igualmente efectivos) de llevar a cabo la exfiltración de información, como es a través de herramientas no pensadas en un primer momento para ello y, que con ajustes relativamente sencillos, nos permiten llevarlo a cabo.

Así pues, durante el siguiente artículo se llevará a cabo el análisis de la herramienta asciinema, así como las diferentes posibilidades de uso y como ésta puede ser integrada con un vector de ataque.

Asciinema es una herramienta bastante simpática que suelo utilizar para demos cuya única función es el registro de la sesión del usuario y la de facilitar una URL que nos permite compartir de forma sencilla la visualización de la actividad del usuario. Una información muy valiosa que puede ser usada de forma malintencionada.

A continuación vamos a ver si podríamos llegar a usarla como un keylogger de Linux y cuales serían las modificaciones necesarias a aplicar.
[Read more…]

CSIRT-CV publica un informe sobre Cryptomining Malware

Estoy seguro que muchos de vosotros habréis oído hablar de las criptomonedas, el bitcoin, la tecnología Blockchain basada en cadenas de bloques para registrar transacciones y muchos otros términos relacionados. Pues bien, vamos a centrarnos un poco en esa parte del registro de transacciones.

¿Qué es la minería de criptomonedas?

La cadena de bloques requiere de una minería constante con el fin de mantenerse consistente e íntegra de forma permanente para que las nuevas transacciones entrantes puedan ser recogidas de forma correcta. Dichas transacciones cuando son en grupo son conocidas como “bloques”.
[Read more…]

Drupalgeddon 2: una lucha entre mineros

El pasado 28 de marzo el equipo de Drupal publicó la vulnerabilidad CVE-2018-7600, la cual permite la ejecución remota de código en las versiones 7.x 8.x y ha sido calificada como crítica.

Tal y como se hizo eco el portal https://isc.sans.edu/, dicho CVE está siendo utilizado para el minado de criptomoneda. Sin embargo, no solo hemos encontrado que hay más de un grupo utilizando la presente vulnerabilidad, sino que compiten entre ellos por el control de los mismos.
Así pues, en el siguiente post se va a llevar a cabo el análisis de los diferentes malware que hacen uso de la vulnerabilidad de Drupal, así como de la metodología utilizada tanto para la detección de servidores vulnerables como para la infección del mismo por parte de las diferentes muestras detectadas.

Según hemos podido encontrar, la detección de los servidores vulnerables se hace a través de lo que ha sido bautizado como Drupalgeddon 2: [Read more…]

Exchange forensics: El misterioso caso del correo fantasma (II)

(Nota: Esta es una historia de ficción; los personajes y situaciones no son reales; lo único real es la parte técnica, que se basa en una mezcla de trabajos realizados, experiencias de otros compañeros e investigaciones llevadas a cabo. Si queréis una versión con la misma dosis técnica pero con menos narrativa, podéis consultar el vídeo de la charla que el autor dio en   las XI Jornadas STIC del CCN-CERT aquí )

Dejamos el anterior artículo con nuestras miras puestas sobre el servidor de correo de la Organización, un Microsoft Exchange 2010.  Lo primero que podemos hacer es solicitar a Sistemas que haga un message tracking (seguimiento del mensaje) del correo, que mediante una herramienta gráfica (aunque también podemos hacerlo por consola) nos localiza el histórico de un correo a alto nivel dentro de Exchange.

Primer intento, y el correo sigue sin aparecer. Repetimos las direcciones y el técnico de Sistemas repite la búsqueda sin éxito. El correo tiene que estar por fuerza, así que le pedimos que busque de nuevo en todo el día completo… y por fin lo encontramos, 14 minutos más tarde de cuando tenía que haber sido enviado.

Al parecer la Organización no tiene bien implementada su estrategia de sincronización de tiempos, y tenemos una deriva de 14 minutos entre el servidor Exchange y los clientes (nota mental: insistir en la necesidad de desplegar un servidor NTP lo antes posible), pero al fin hemos localizado el correo. El pantallazo enviado por Sistemas sería algo similar a este (por temas de confidencialidad no podemos poner ninguno de los originales):

[Read more…]