Análisis de ficheros apk con Agnitio 2.1

Os dejamos un breve vídeo donde podemos ver como utilizar Agnitio 2.1 para analizar aplicaciones en Android sin necesidad de decompilarlas primero:

Gusano Morto ataca contraseñas débiles mediante RDP

Un nuevo gusano, llamado Morto, está infectando máquinas masivamente a través del protocolo de escritorio remoto de Microsoft (RDP).

Morto es el primer gusano de Internet que utiliza RDP como vector de infección. A diferencia de otros gusanos automatizados como CodeRed, Blaster, Sasser y Slammer, que llegaron a causar estragos en las redes empresariales, este gusano no se aprovecha de ninguna vulnerabilidad específica de Windows. Por el contrario, busca las máquinas en la red con el puerto 3389 abierto, utilizado comúnmente por RDP y luego trata de obtener la contraseña del administrador (y de otros usuarios con nombres predecibles) por fuerza bruta.

Para ello utiliza una lista de unas 30 contraseñas muy comunes como admin, admin123, user, test, *1234, letmein, password, server o 1234567890. Una vez que el gusano consigue entrar con una de estas contraseñas predecibles, se conecta al sistema remoto y se autocopia. Ya se han identificado varias variantes de Morto.

Vulnerabilidad podría permitir realizar un DDoS a través de los servidores de Google

Acabo de leer acerca de una interesante vulnerabilidad en IHTeam Security Blog donde nos explican como poder llegar a hacer un DDoS a través de los servidores de Google.

Las páginas vulnerables son "/_/sharebox/linkpreview/" y "gadgets/proxy?" mediante las cuales es posible hacer una petición a cualquier tipo de fichero, de tal forma que G+ lo descargará y mostrará su contenido. De esta manera, si se realizan muchas peticiones paralelamente es posible realizar un DDoS a cualquier sitio con el ancho de banda de Google. Incluso es posible lanzar el ataque sin loggearse en G+.

Si se utiliza "gadgets/proxy?" se mostrará la IP origen en los logs del servidor web atacado, por lo que para mantener el anonimato sería necesario usar "/_/sharebox/linkpreview/".

Ejemplos:

https://plus.google.com/_/sharebox/linkpreview/?c=&t=1&_reqid=&rt=j

https://images2-focus-opensocial.googleusercontent.com/gadgets/proxy?url=&container=focus

Taller de lock picking #2: Técnicas de apertura

Una vez que conocemos los componentes y el funcionamiento normal de las cerraduras con cámara de pernos (pin tumbler lock), vamos a ver las principales técnicas de ganzuado para abrirlas, por supuesto sin causarles ningún daño para que vuelvan a ser reutilizables con su llave correspondiente ;)

Además, en esta entrada también repasaremos otras técnicas o métodos adicionales que incluso pueden combinarse para conseguir una apertura.

Ganzuado o Picking


Como hemos visto, para la apertura es necesario empujar una serie de pernos de forma que estos se alineen en la línea de corte dejando libre el cilindro rotor que, al girar, acciona con una palanca el pestillo de la puerta. El objetivo por lo tanto es subir cada uno estos pernos a su altura correcta.

Para ello utilizaremos dos herramientas imprescindibles: el tensor (torque), una palanca para aplicar tensión en el cilindro hacia la dirección de apertura, y la ganzúa (pick), que es la herramienta que usaremos para ir subiendo los pernos que impiden que gire el cilindro, ya sea uno a uno o varios a la vez, o lo que es lo mismo: perno a perno o rastrillando.

OSFClone: utilidad para clonar y crear imágenes de disco forenses

OSFClone es una solución open-source, gratuita y auto-arrancable que permite crear o clonar imágenes de disco exactas en formato RAW de forma rápida e independiente del sistema operativo instalado. También es compatible con unidades de imagen en formato AFF (Advance Forensics Format), un formato abierto y extensible para almacenar imágenes de disco y metadatos asociados.

Su estándar abierto permite a los investigadores utilizar de forma rápida y eficiente sus herramientas preferidas para el análisis de la unidad. Después de crear o clonar una imagen de disco, se puede montar la imagen con PassMark OSFMount antes de la realización de análisis con OSForensics PassMark™.

OSFClone crea una imagen forense de un disco, preservando los sectores no utilizados, el espacio de slack, la fragmentación de archivos y los registros de archivos no borrados del disco duro original. Es posible clonar discos FAT, NTFS y unidades USB conectadas. OSFClone se puede arrancar desde CD/DVD, o desde unidades flash USB.

killapache: consigue un DoS remoto desde un único PC

Un fallo desconocido en el código para procesar los encabezados de los rangos de bytes hace posible que las versiones 2.2.x del servidor web Apache puedan ser detenidas desde un único PC.

Killapache.pl, un script en perl de Kingcope publicado en las listas Full Disclosure, demuestra esta vulnerabilidad enviando peticiones GET con varios rangos de bytes que demandan grandes cantidades de memoria al sistema.

La declaración de un rango de bytes permite a un navegador cargar sólo algunas partes de un documento, por ejemplo bytes de 500 a 1000. Este método es usado por programas como los clientes de descarga para reanudar las descargas que se han interrumpido, y está diseñado para reducir los requisitos de ancho de banda. Sin embargo, parece que iniciar múltiples componentes no clasificados en la cabecera puede causar un mal funcionamiento del servidor Apache.

Introducción al análisis de malware

Os dejamos un interesante vídeo visto en SecurityTube de Lenny Zeltser del SANS Institute que da a conocer el proceso de ingeniería inversa del software malicioso. En el se esbozan las fases de comportamiento y análisis de código, haciendo este tema accesible incluso a personas no muy familiarizadas con conceptos de programación. En resumen, se aprenderán los fundamentos y herramientas asociadas para empezar con el análisis de malware.

Además, puedes descargar las diapositivas con anotaciones para verlas en mayor detalle.

Taller de lock picking #1: Iniciación

Si recordáis, cuando anunciábamos el wargame internacional Global CyberLympics había una categoría de ataque de lock picking o ganzuado, en que los participantes tenían que abrir varias cerraduras de distinta dificultad. Esto y una histórica admiración e interés por este arte, han hecho que al fin me decida a comenzar a adentrarme en este apasionante mundo.

Las siguientes entradas que quiero compartir con vosotros, serán un viaje desde mi iniciación desde cero hasta los intentos de apertura de las cerraduras que vaya encontrando, uso de distintas técnicas y en general adquisición de nuevos conocimientos. Eso sí, dado que soy un principiante en lock picking, os pido disculpas de antemano por cualquier error que pueda cometer y os agradezco cualquier apunte o corrección, información adicional, etc. que nos pueda ayudar a mejorar.

A ver hasta dónde llegamos.

Introducción, componentes y funcionamiento normal de una cerradura

Empezamos con la definición principal desde la wikipedia:Lock picking es el arte de abrir una cerradura mediante el análisis y manipulación de sus componentes internos sin utilizar la llave original.

Antes de comenzar a ver diferentes técnicas y herramientas para conseguir una apertura, tenemos que conocer a fondo el mecanismo de la cerradura y los detalles de su funcionamiento. Para ello os aconsejo que empecéis leyendo la Guía MIT del Lock Picking que, aunque fue publicada en el año 1991, se considera todavía la auténtica biblia de este tema.

Solución al reto 12: Encuentra las 7 diferencias

Seguro que recordáis las imágenes de las playas abarrotadas de nuestro último reto, en las que había que encontrar 7 diferencias.

Estas diferencias no eran visuales, es decir, si las comparábamos pixel a pixel el resultado era este:



Pero antes de continuar, veamos un resultado válido de esta comparación, por ejemplo si agregamos a la primera imágen a Wally ;)

¿Quién la tiene más grande en RankMyHack.com?

El británico s0lar ha creado un sitio llamado RankMyHack "para resolver el problema del ranking en el mundo underground del hacking".


La dinámica es muy sencilla: los usuarios rellenan un formulario con la url de la web hackeada y una etiqueta que el sistema debe encontrar para certificar que el sitio ha sido comprometido, por ejemplo "hacked by M3ph1st0".

Una vez escaneado y en caso de encontrar dicha etiqueta, se le asignan los puntos al hacker en función de la dimensión o importancia del sitio hackeado: contra más grande es el sitio más puntos consigue.

ClubHACK Magazine nº19 + Matriux "Krypton" final

Hoy os presentamos un nuevo número de la revista ClubHack Mag (nº 19 - Agosto), que este mes viene con los siguientes contenidos:

0x00 Tech Gyan - Gonna' Break It On Down Gonna' Kick It Root Down
0x01 Tool Gyan - SniffJoke – Defeating Interception Framework
0x02 Mom's Guide - RSA Security
0x03 Legal Gyan - Patent Law and Computer technology
0x04 Matriux Vibhag - SOCIAL ENGINEERING TOOLKIT
0x05 Poster of the Month.

Si quieres echa un vistazo a http://chmag.in para más información sobre los artículos y/o descarga la versión en PDF desde http://chmag.in/issue/aug2011.pdf.


A parte de la revista, deciros también que se ha abierto el CFP (Call For Papers) para la conferencia ClubHack y que el 15 de agosto se ha lanzado una nueva revisión de la distribución de seguridad india Matriux ("Krypton" final) con un buen arsenal que merece la pena probar ;)


Any tool is a weapon if you hold it right. - Ani Difranco

Publicado FireCAT 2.0

Acaba de publicarse la versión 2.0 de FireCAT (Firefox Catalog of Auditing exTensions), esta vez con un catálogo con más de 90 addons clasificados en 7 categorías, a su vez divididas en otras 18 sub-categorías.

Como novedad destacar una nueva subcategoría llamada 'Protection' dentro de 'Misc' para proteger nuestra navegación con extensiones como TrackMeNot, NoScript, cookieSafe, TrackerBlock y Adblock Plus, sin olvidarnos que también ha sido integrado con el navegador portable y open source Mantra.


Kinectasploit: maneja Metasploit desde Kinect!

Sin duda una de las cosas que más me ha llamado la atención viendo las presentaciones de la Defcon 19 es Kinectasploit, una implementación del framework de Metasploit ¡controlado desde Microsoft Kinect!.

Se trata de un GUI en 3D, en forma de shooter en primera persona, a través del cual podremos hackear sistemas mediante gestos. La parte del Kinect se maneja a través de los drivers OpenNI/NITE, el scripting es realizado mediante Python y, a partir de ahí, se mapean los comandos de Metasploit con acciones específicas dentro del entorno tridimensional.

Sinceramente, tampoco creo que sea más eficiente que manejar Metasploit desde la línea de comandos, pero se trata de un interfaz muy creativo y una excelente prueba de concepto. Si quieres echarle un vistazo, mira el siguiente vídeo en el que se muestra como se lanza una escaneo con nmap mediante gestos y/o entra en la página de p0wnlabs.

Malheur 0.5.0: análisis automático de comportamiento de malware

Malheur es una herramienta para el análisis automático de comportamiento de malware. Se basa en el concepto de análisis dinámico: se obtienen los binarios y se ejecutan en un sandbox, donde su comportamiento es monitorizado en tiempo de ejecución y presentado en informes para su análisis.

Además, esta monitorización del comportamiento puede presentarse en varios formatos:



- Extracción de prototipos: a partir de un determinado conjunto de informes, Malheur identifica a un subgrupo de los prototipos representativos dentro del conjunto de datos obtenido. Los prototipos ofrecen una visión general del comportamiento registrado y se pueden utilizar para guiarnos en la inspección manual.

Presentaciones de la Defcon 19

El 7 de agosto terminaba la Defcon 19 y, en el momento de escribir esta entrada, su web sufría un DDoS producido por la cantidad de miles de usuarios como yo, ávidos del tan esperado material de las conferencias.

Sorprendentemente, Chief Monkey pone ya a nuestra disposición los pdfs de las presentaciones y, aunque la celeridad de su publicación hacía sospechar de su seguridad, parece que son fidedignos, o eso espero ;)

Anti: el pentesting sencillo desde Android

El israelí Itzhak Avraham alias Zuk y su empresa de seguridad Zimperium han dado a conocer en la Defcon una aplicación para Android capaz de hackear los equipos de su entorno de forma muy sencilla "simplemente pulsando unos pocos botones".

Se trata de Anti o Android Network Toolkit y tienen previsto ofrecerla gratuitamente en el Market de Android en los próximos días, con una actualización de tan sólo 10$ para empresas.

Anti es una aplicación diseñada para pruebas de intrusión a través de smartphones, viene con una herramienta de escaneo wi-fi para encontrar redes abiertas y equipos, así como un traceroute que puede revelar las direcciones IP de los servidores remotos.

Cuando un objetivo se identifica, la aplicación ofrece un sencillo menú con comandos como "man-in-the-middle" para la captura de tráfico, "connect" y "espiar" como lo haría un troyano, o incluso "atacar" capaz de ejecutar exploits recogidos en plataformas como Metasploit o ExploitDB.

"La gente puede usarlo de forma peligrosa"
dice Avraham encogiéndose de hombros. "Realmente espero que no. Pero sé que podría ser un riesgo a cambio de ayudar a las personas a aumentar su seguridad, y esa es nuestra meta."

Actualización 4/10/2011: Zimperiun publica la versión 1.0 de Anti

Global CyberLympics: wargame internacional

Global CyberLympics es un wargame internacional creado por EC-Council. La competición dará comienzo a partir de septiembre donde, en distintas conferencias y eventos a lo largo del globo, se enfrentarán hasta 20 equipos de cada zona (América del Norte - Oeste, América del Norte - Este, América del Sur, Europa, Asia Pacífico, Medio Este e India y África) para ser campeones regionales y llegar a la gran final mundial en 2012.

Los equipos deben comprender entre cuatro y seis jugadores de la misma nacionalidad y tendrán que defender su propia red mientras atacan a otras. Los objetivos se dividen en seis categorías:

Ataque

- Aplicaciones web: se desplegarán aplicaciones web vulnerables en el entorno de cada equipo. Los atacantes deberán descubrir y explotar los máximos fallos posibles durante un tiempo determinado: un registro en una tabla de la base de datos, un hash MD5 o algún otro tipo de datos oculto.

IPv6: certificaciones de compatibilidad

Si estás trabajando en la transición a IPv6 de una compañía o simplemente vas a adquirir un producto y quieres asegurarte de que es totalmente compatible con IPv6, nunca esta de más revisar las listas de las siguientes organizaciones que certifican que los dispositivos y sistemas han superado una serie de especificaciones de cumplimiento e interoperatividad.

Programa IPv6 Ready Logo

El Foro IPv6 tiene un servicio llamado IPv6 Ready Logo. Se trata de un programa de capacitación que asegura que los dispositivos que prueban son compatibles con IPv6. Una vez certificados, permiten mostrar su logotipo. Los objetivos del Foro IPv6 son los siguientes:

- Verificar la implementación del protocolo y validar la interoperatividad de los productos IPv6.

- Facilitar el acceso a herramientas gratuitas de auto-análisis.

- Proporcionar laboratorios de pruebas IPv6 Ready Logo en todo el mundo dedicados a la prestación de asistencia o servicios de pruebas.

Vulnerabilidad 0-day en TimThumb de Wordpress

Timthumb.php es un script sencillo y flexible que permite redimensionar imágenes y que viene con muchos temas de WordPress.

Recientemente se ha descubierto una vulnerabilidad que podría permitir a un atacante subir código PHP al servidor de forma arbitraria.

Cuando TimThumb trata una imagen escribe en un directorio que es accesible vía web. El problema es que la utilidad no comprueba correctamente los dominios desde los que se les permite recibir la imagen:

$allowedSites = array (
'flickr.com',
'picasa.com',
'blogger.com',
'wordpress.com',
'img.youtube.com',
'upload.wikimedia.org',
'photobucket.com',
);

AnonWare: un framework de desarrollo de malware de Anonymous

Ayer opendev/anondev, un desarrollador perteneciente al grupo Anonymous, publicó en Pastebin.com un fragmento de código en C# y un enlace para descargar el proyecto en M$ Visual Studio de un framework para el desarrollo de malware denominado AnonWare.

El objetivo de este framework es facilitar a todos los programadores de nivel básico e intermedio un esqueleto para el desarrollo de virus "sin que sea necesario reinventar la rueda".

AnonWare puede ser configurado para usarse en Windows XP, Vista o 7 y el equipo donde se ejecute debe tener instalado una versión compatible del framework .NET. El autor además recomienda el uso de un shellcode para ejecutarlo.