Evadiendo nuestro antivirus con Windows PowerShell

Hace algunos días se difundió la noticia de que PowerShell se estaba convirtiendo en el método más eficaz para la difusión de malware pero, ¿existen razones de peso que expliquen la migración a esta plataforma?
Durante el siguiente artículo veremos algunas de las razones prácticas por la que muchos blackhat están optando por este lenguaje de scripting.

En primer lugar, cabe destacar que la distintiva de PowerShell respecto a intérpretes tradicionales es que está orientado a objetos, puesto que la información de entrada y de salida en cada etapa del cmdlet es un conjunto de instancias de objeto. Esto, junto a la capacidad de agregar clases personalizadas a framework .NET mediante el cmdlet “Add-Type”, le otorga grandes funcionalidades a tener en cuenta para el desarrollo de malware.
[Read more…]

PoC simple de C2 con domain fronting sobre GAE

En esta entrada seguimos con domain fronting. En esta ocasión vamos a explorar cómo implementar un PoC simple de un servidor de mando y control, y exfiltración sobre Google App Engine (GAE en adelante), y veremos cómo conseguir el domain fronting desde Windows, con un script VBS o PowerShell, para ocultar las interacciones con el servidor C2.

El objetivo

Cuando lo tengamos todo desplegado, dispondremos de un servicio web en myc2server.appspot.com que podremos utilizar desde un equipo Windows comprometido de la siguiente forma: contaremos con un canal de mando y control (sobre la ruta /e2e7765b71c1, a modo de autenticador): [Read more…]

Fileless UAC Bypass

Un paso muy importante tras obtener acceso a una máquina a la que no se debería tener acceso, suele ser elevar privilegios lo antes posible para poder acceder a las zonas más interesantes y poder borrar huellas del sistema de la forma más fiable.

Para controlar estos accesos con privilegios, Microsoft implementó a partir de Windows Vista, un sistema llamado User Account Control (UAC). Como era de esperar, no tardaron en aparecer métodos para saltarse esta protección, llamados de forma genérica como métodos de “bypass de UAC”. Desde el laboratorio de malware de S2 Grupo intentamos conocer bien este tipo de técnicas a fin de poder identificar cada paso que da una muestra de malware en un sistema, y esta en los últimos meses nos ha llamado la atención.

La mayoría de estos métodos “bypass de UAC” requieren de un fichero que se tiene que descargar en el equipo para ser ejecutado o importado por otro proceso ya con privilegios, lo cual en muchos casos hace que salten las alarmas. El sistema sobre el que vamos a hablar en este artículo difiere de ellos en este punto, y puede resultar realmente sencillo de implementar. Sin embargo, no es oro todo lo que reluce ya que este método solo permite hacer bypass cuando la cuenta original tiene un mínimo nivel de permisos. En el caso de una cuenta sin ningún tipo de permisos en la que para ejecutar algo requiere a un administrador, implica tener que introducir las credenciales de otro usuario y por tanto este método no resultaría efectivo.
[Read more…]

Actualización automática de reglas Snort con PulledPork

Nos encontramos en una época en la cual, cada día que pasa, se descubren nuevas vulnerabilidades software, y es muy probable que alguien con malas intenciones intente aprovecharse de estos fallos para realizarnos un nuevo tipo de ataque y que nuestros sistemas informáticos de seguridad no se percaten de dicha intrusión.

Por esta razón, es tan importante mantener todos nuestros sistemas de detección de intrusos (IDS) actualizados. En esta ocasión, se presenta una herramienta para la actualización de reglas del IDS Snort, llamada PulledPork.

PulledPork es un script escrito en Perl que descarga, combina, instala y actualiza conjuntos de reglas de varios sitios que serán usados por el IDS Snort. [Read more…]

La CCI rusa (XI): el ecosistema de inteligencia. Empresas

Cuando hablamos de la relación de los servicios rusos con las empresas del país, es necesario destacar que a dichos servicios no les interesa cualquier tipo de organización, sólo las que puedan dar una cobertura al servicio o aquellas que les permita controlar, en mayor o menor medida, una parcela de interés para los intereses nacionales de Rusia –generalmente empresas estratégicas para la nación-: recursos naturales (gas y petróleo sobre todo), medios de comunicación, monopolios estatales creados tras el desmembramiento de la URSS… Como dato curioso en relación al control estatal en algunos ámbitos, en la legislación rusa se identifican sectores o empresas estratégicas y es la propia Ley rusa quien define cómo invertir en ellas, incluyendo la inversión extranjera en estas empresas: las empresas extranjeras tienen prohibido ser dueñas de una empresa estratégica rusa, salvo aprobación explícita del Presidente.... Leer Más

Libro recomendado: “El pequeño libro rojo del activista en la red”

portada_el_pequeno_libro_rojoEn esta entrada he decidido hacer una revisión del libro “El pequeño libro rojo del activista en la red”, escrito por Marta Peirano, periodista fundadora de Cryptoparty Berlin, co-directora de COPYFIGHT y adjunta al director del diario.es, entre otras cosas.

Así que el pequeño libro rojo del… ¿activista en la red? ¿Pero quiénes son los activistas? Marta Peirano ha seleccionado de forma muy acertada esa palabra para el título. Como bien recalca: “Cuando nuestros representantes no pelean por defender nuestros derechos sino contra nuestro derecho a ejercerlos, la única respuesta es la desobediencia. Puede que no tengamos nada que ocultar, pero sí tenemos mucho que temer. En una sociedad ultravigilada, todo el mundo es antisistema”. Dicho de otra forma, nos convertimos en activistas en la red en el momento que somos conscientes de los mecanismos de control y vigilancia y queremos escapar de ese sistema establecido.
[Read more…]

Evolucionando nuestro VPMS II

Hace algo más de dos años que vimos como evolucionar nuestro VPMS inicial para el control de acceso a red, a un sistema basado en una asignación dinámica de VLANs en función del usuario. No obstante, no siempre es posible este tipo de autenticación ya que, por ejemplo, podemos encontrar dispositivos conectados a nuestra red como controles de acceso, teléfonos o impresoras que no dispongan de funcionalidad para su autenticación mediante 802.1x y, por lo tanto, debemos garantizar otro tipo de autenticación, siendo lo más habitual usar la autenticación MAB (MAC Authentication Bypass).

Al igual que vimos en la configuración inicial de nuestro VPMS, mediante la autenticación MAB nos volvemos a basar en la dirección MAC del cliente para proporcionar el acceso a la red (no en el usuario final) aunque, al estar integrado en un servidor Radius, nos da más potencia que la versión inicial de VPMS. No obstante, como todo, tiene sus ventajas e inconvenientes. [Read more…]

Camuflaje en la capa de cifrado: domain fronting

En la entrada de hoy hablaremos sobre una técnica relativamente vieja (aunque programas como Signal la han empezado a utilizar hace relativamente poco) y que siempre me ha parecido un hack muy “astuto”: el domain fronting.

Por ejemplo, tomemos la dirección IP del frontal que nos sirve www.google.es:

$ host www.google.es
www.google.es has address 216.58.210.227

Vamos a fijarnos en el campo Common Name (CN) del certificado TLS que nos devuelve el servidor: [Read more…]

Ejecutando un binario mediante la técnica RunPE

La técnica conocida como RunPE la podemos encontrar descrita con varios nombres diferentes como: RunPE, Dynamic Forking, process replacement o process hollowing. También he visto que se refieren a ella como “process zombie”, pero después en otras fuentes mencionan diferencias que podéis leer aquí [5].

Durante los últimos meses hemos observado desde el laboratorio de malware que algunos “bichos”conocidos la implementan, por ejemplo como hancitor[1].

En esta entrada no vamos a explicar la técnica en detalle, ya que con un simple búsqueda en Google por los términos RunPE, Dynamic Forking o Process Hollowing, encontraréis información muy buena sobre la técnica [2][4].

Por tanto, el objetivo de la entrada es ver como un analista cuando se encuentra con un malware que utiliza esta técnica puede obtener el código del malware para analizarlo posteriormente (el código inyectado). Para probarlo, durante esta entrada hemos utilizado el código que podéis encontrar aquí [3]. Como podréis ver está sacado de una entrada del foro “www.rohitab.com” que se referencia como comentario en el mismo código fuente. [Read more…]

La CCI rusa (X): el ecosistema de inteligencia

coat_of_arms_of_the_russian_federation-svgNo podemos concebir la comunidad de inteligencia rusa, descrita en esta serie, como un conjunto de servicios dependientes del poder político o militar; el grado de penetración de estos servicios en toda la sociedad rusa es muy elevado, tanto oficial como extraoficialmente. No es ningún secreto que antiguos oficiales del KGB o del FSB ocupan puestos de responsabilidad en la política o las grandes empresas del país; como curiosidad, en 2006 se publicó que el 78% de los mil políticos más importantes del país habían trabajado para los servicios secretos rusos ([1]). Tanto es así que estos perfiles tienen un nombre propio: siloviki, término que viene a significar personas en el poder. Y no es ningún secreto quién es el siloviki más conocido: Vladimir Putin, Presidente de la Federación Rusa, quien fue agente del KGB en la época soviética y posteriormente Director del FSB.... Leer Más