Vulnerabilidades de los drones (by María José Cortés #hc0n2018)

Otra charla muy esperada en la h-c0n fue la de María José Cortés sobre el análisis de vulnerabilidades en drones. Responsable de producto y soluciones en Thales, María José tuvo que empalmar prácticamente una presentación que hizo en el norte de España con su ponencia en nuestra conferencia, con la dificultad añadida de que coincidió con un fuerte temporal de tormentas y nieve, por lo que no podemos hacer otra cosa que volverle a agradecer, y doblemente, su esfuerzo por estar con nosotros.

Además su empresa expuso durante el evento una maqueta a tamaño real de un espectacular Gecko Optronics, un sistema avanzado de identificación y sequimiento de drones que incorpora una cámara térmica de largo alcance y permite el tracking de video de micro UAVs (tipo Phantom) a más de 2 kms.

Todos los que estuvisteis allí pudisteis verlo junto con la magnífica charla de María José, para los que no o para los que además quieran tener el material, aquí os dejamos sus slides:


Solución al reto 23 "Hacker War"

Un espectrograma es una representación visual del espectro de frecuencias de sonido u otra señal en un periodo de tiempo. Normalmente los espectrogramas de audio se suelen usar para identificar palabras habladas fonéticamente y para analizar las diversas llamadas de animales pero, ¿podrían usarse también para ocultar información en un fichero de audio?

Si hicisteis el reto 23 que planteaba _Stuxnet sabeis que la respuesta es afirmativa. Para resolverlo bastaba con descargar la pista de música modificada de "Hacker War" y analizar su espectrograma con un programa como Audacity. Si no lo tenéis instalado y queréis probarlo:

sudo add-apt-repository ppa:ubuntuhandbook1/audacity
sudo apt-get update

sudo apt-get install audacity


(si queréis borrarlo después de las pruebas: sudo apt-get remove --autoremove audacity audacity-data)

Ahora abrimos el fichero y en el desplegable de la izquierda seleccionamos 'Spectrogram':

Estándar de Verificación de Seguridad de Aplicaciones Móviles (MASVS) 1.0 de OWASP en español

Ya tenemos disponible en español el Estándar de Verificación de Seguridad de Aplicaciones Móviles (MASVS, en inglés Mobile Application Security Verification Standard) de OWASP, un esfuerzo comunitario para establecer un marco de requisitos de seguridad necesarios para diseñar, desarrollar y probar aplicaciones móviles seguras en iOS y Android.

El MASVS se puede utilizar para establecer un nivel de confianza en la seguridad de las aplicaciones móviles. Los requerimientos fueron desarrollados con los siguientes objetivos en mente:

- Usar como una métrica - Para proporcionar un estándar de seguridad contra el cual las aplicaciones móviles existentes pueden ser comparadas por desarrolladores y los propietarios de las aplicaciones;
- Utilizar como guía - Proporcionar una guía durante todas las fases del desarrollo y prueba de las aplicaciones móviles;
- Usar durante la contratación - Proporcionar una línea de base para la verificación de seguridad de aplicaciones móviles.

Modelo de seguridad para una aplicación móvil

El MASVS define dos niveles estrictos de verificación de seguridad (L1 y L2), así como un conjunto de requisitos de resistencia a la ingeniería inversa (MASVS-R) flexible, es decir, adaptable a un modelo de amenaza específico de la aplicación.



Los niveles MASVS-L1 y MASVS-L2 contienen requerimientos genéricos de seguridad recomendados para todas las aplicaciones móviles (L1) y para aplicaciones que manejan datos altamente sensibles (L2).

MASVS-R cubre los controles de seguridad adicionales que se pueden aplicar si la prevención de las amenazas del lado del cliente son un objetivo de diseño.

Cumplir con los requerimientos de MASVS-L1 resulta en una aplicación segura que sigue las mejores prácticas de seguridad y no sufre de las vulnerabilidades más comunes. MASVS-L2 añade controles adicionales de defensa en profundidad, como la fijación de certificados SSL, lo
que resulta en una aplicación resistente a ataques más sofisticados, asumiendo que los controles de seguridad del sistema operativo móvil estén intactos y que el usuario final no sea visto como un adversario potencial.

El cumplimiento de todos o de un subconjunto de los requerimientos de protección del software en el nivel MASVS-R ayuda a impedir amenazas
específicas del lado del cliente cuando el usuario final es considerado malicioso y/o el sistema operativo móvil está comprometido.

Proyecto: https://github.com/OWASP/owasp-masvs/releases/tag/1.0-ES
DocumentoOWASP_Mobile_AppSec_Verification_Standard_v1.0-ES.pdf

PoT: saliendo a pescar en Twitter

PoT acrónimo de 'Phishing on Twitter' es una sencilla herramienta escrita en Python que genera automáticamente tweets de phishing y los envía a la víctima. Funciona en tres pasos:

1- Recopila datos de la cuenta de Twitter objetivo
2- Encuentra el amigo del objetivo y copia su cuenta
3- Generar el texto del tweet automáticamente con el algoritmo de cadena de markov y lo envía

Instalación

git clone https://github.com/omergunal/PoT
cd PoT
pip3 install -r requirements.txt


Actualiza tus API keys en "PoT.py" (para obtenerlas visita previamente https://apps.twitter.com/)

Uso

python3 PoT.py [nombre_cuenta_objetivo]

Demo


 Github: https://github.com/omergunal/PoT

Exploiting: A Love Story (by Antonio Pérez #hc0n2018)

El material que subimos a continuación es de la charla de nuestro compañero de SIA, el quillo Antonio Pérez, ducho ya en la docencia con CICE, sobretodo en temas de exploiting.

Lo tuvimos hace unos meses en Navaja impartiendo un taller de desbordamiento de pila y más recientemente estuvo en su tierra, en la SecAdmin, dando la charla “De 0 a exploiting” y en la h-c0n tuvimos la suerte de contar también con él con su ponencia "Exploiting: A Love Story" en la que dio un repaso global a toda la historia sobre el exploiting, desde como se desarrollan las diferentes técnicas, las contramedidas que surgieron para las mismas, su funcionamiento y como se han conseguido evitar.

Si quieres introducirte en el mundo del exploiting en Antonio tienes una gran referencia:



[HTB write-up] Shocker


En anteriores ocasiones les he dejado un par de retos muy entretenidos, en este caso os dejaré la solución de Shocker, un máquina muy entretenida de Hackthebox.

Como sabrán Hackthebox es un sitio donde hay todo tipo de máquinas virtuales vulnerables para practicar nuestras habilidades de pentesting, ya sin mucha palabrería vamos a ello.

Agenda

    • Enumeración con nmap
    • dirb - Bruteforce de directorios
    • Bruteforce file extencion .sh
    • Explotación vulnerabilidad shellshok
    • Privilege escalation.

* Enumeración con nmap


Tenemos un apache corriendo en el puerto 80 y un SSH en el puerto 2222

* Dirb

Cuando ingresamos a la dirección http://10.10.10.56 y vemos el código fuente no hay nada interesante, así que vamos a realizar un bruteforce de directorios utilizando la herramienta dirb, por default ya está instalada en kali.



FOFA.so, el nuevo Shodan chino

No solo de Shodan vive el hombre...
Aparte de otros motores de búsqueda con multitud de servicios escaneados, como Zoomeye.org u O'shadan, ha salido a la palestra recientemente uno nuevo llamado FOFA.so:
https://fofa.so/

Para las búsquedas ofrece una pequeñas ayuda predictiva con una mini-guía sobre Dorks y condiciones lógicas:
domain="" || ip="" || host="" || title="" || header=""


Los resultados los muestra por:
- Servicio
- Año
- Geolocalización
- Puertos
- Tecnología
- Protocolo
- Sistema Operativo

Introducción a la Post-Explotación con Empire (by @CyberVaca_ #hc0n2018)

El 4 de abril del año pasado Luis Vacas subió al Github de Hackplayers un mod de Empire al que añadió muchos módulos para elevar la funcionalidad al infinito del famoso agente y framework post-explotación.

Cuando veíamos cualquier nueva herramienta o exploit en Powershell que tuviera cabida a Empire en seguida llamábamos a la puerta del "tito Vacas" y con el paso del tiempo se sucedieron los commits y se fue llenando de nuevas funcionalidades. Por eso, cuando surgió la idea de la h-c0n allá por julio, la propuesta de que diera una charla sobre el mod de Empire estaba clarísima... y nuestro compi de L1k0rd3b3ll0t4 accedió a darla.

El resultado fue una de las ponencias que más ha gustado de nuestra conferencia: 'Introducción a la Post-Explotación con Empire' y es que, por mucho que Luis diga que es "sólo" un administrador de sistemas y que no tiene experiencia en seguridad que no os engañe... conoce como pocos las entrañas de Empire, domina a la perfección powershell y un montón técnicas de explotación y post-explotación, más no quiero contaros las horas que se pega en Hack the box... ;)

Así que aquí os dejo la presentación que dió, donde veréis varios módulos y stages que ha implementado en Hackplayers y varios videos de demos que seguro os gustarán (y que Melendi aprueba):



Grupos de Telegram sobre hacking y seguridad informática en español

Casi me atrevo a decir que el IRC de los hackers del siglo XXI, o si acaso de esta década, es Telegram. Evidentemente no es el único medio y quizás no tenga el mismo romanticismo de antaño (o quizás los años hayan diluido algo la magia), pero en Telegram se han vuelto a encontrar muchos grupos y canales como los de antes.


Vale que ha habido muchos cambios... el arte ASCII ha dejado paso a los stickers y los gifs, podemos deleitarnos con la estela multicolor del arcoiris del Nyan Cat y llevar las conversaciones en el móvil hasta la taza del váter. Pero la esencia sigue estando ahí... gente con un interés común que interactúa y comparte... llora, ríe, trollea, ...

Precisamente hace unas horas en nuestro grupo de Telegram uno de los miembros preguntaba acerca de otros grupos similares... ¿por qué no? surge una oportunidad para recopilar y conocer otros grupos y comunidades y hay que aprovecharla.

Así que para que no se pierda en el timeline del chat escribimos este post con un recopilatorio de grupos y comunidades de hacking y seguridad informática de habla hispana en Telegram (en otros idiomas se nos iría a una lista casi interminable):
¿Conoces alguno más a parte de los siguientes? si es así, comenta por favor!

DVHMA: una aplicación móvil híbrida vulnerable para practicar

Las aplicaciones móviles híbridas son aquellas que se crean a través de estándares web HTML5, CSS y JavaScript y luego se ejecutan en el smartphone dentro de un contenedor que les permite instalarse y funcionar de manera similar a una aplicación nativa. Normalmente ese contenedor es una aplicación nativa que utiliza WebView, por manejar un símil, como una ventana del navegador sin bordes que generalmente está configurada para ejecutar pantalla completa. Esto les permite acceder a las capacidades del dispositivo, como el acelerómetro, la cámara, los contactos, etc.

Damn Vulnerable Hybrid Mobile App (DVHMA) es una aplicación móvil híbrida (para Android) que contiene vulnerabilidades de forma intencionada. Su propósito es permitir a los profesionales de seguridad probar sus herramientas y técnicas legalmente, ayudar a los desarrolladores a comprender mejor los fallos más comunes en el desarrollo de aplicaciones móviles híbridas de forma segura.

Esta aplicación está desarrollada para estudiar las "trampas" en el desarrollo de aplicaciones híbridas, por ejemplo, utilizando Apache Cordova o SAP Kapsel de forma segura. Actualmente, el enfoque principal es desarrollar una comprensión más profunda de las vulnerabilidades de inyección que explotan el nexo de unión entre JavaScript a Java.

Instalación

Requisitos previos

- Android SDK (https://developer.android.com/sdk/index.html)
- Apache Cordova (https://cordova.apache.org/), versión 6.3.0

* Es conveniente familiarizarse con el sistema de compilación de Apache Cordova.

Construyendo DVHMA

Establecer variables de entorno:

export ANDROID_HOME=(Android SDK Installation Directory)
export PATH=$ANDROID_HOME/tools:$PATH
export PATH=$ANDROID_HOME/platform-tools:$PATH


Compilando DVHMA

cd DVHMA-Featherweight
cordova plugin add ../plugins/DVHMA-Storage
cordova plugin add ../plugins/DVHMA-WebIntent
cordova platform add android
cordova compile android


Ejecutando DVHMA en un emulador

cordova run android

Proyecto Github
: https://github.com/logicalhacking/DVHMA

¿Sabes qué pasa en tú nube? Forensic version (by @loriendr #hc0n2018)

Con el mensaje: "Nadie duda que el Cloud es seguro" que van predicando los grandes proveedores en la nube, se intenta dar una sensación de seguridad por defecto que los técnicos sabemos que no es real. A través de varios casos, se verán incidentes que pasan en la nube y el trabajo a nivel forense que se puede realizar.

Lórien Doménech es un apasionado de la seginfo en varios ámbitos y está especializado en entornos Cloud, y en la h-c0n nos regaló la ponencia '¿Sabes qué pasa en tú nube? Forensic version' que seguro será de gran utilidad para el público en general que opera en la nube y en particular a los profesionales del DFIR (Incident Response y Digital Forense) con un enfoque práctico y como una evolución del trabajo DFIR enfocado a la nube y denominado FAAS (forensic as a service).

En ella, pudimos ver algunos ejemplos y una demo de cómo paliar incidentes y cómo realizar una extracción de evidencias digitales con un software creado para dicho cometido, con todas la garantías asociadas al trabajo de forense, en un entorno cloud.


Conecta a su servidor SSH a través de un proxy HTTP mediante corkscrew

corkscrew es una herramienta que se creó hace ya bastantes años pero que todavía sigue siendo bastante útil para tunelizar conexiones TCP a través de un proxy HTTP que admite el método CONNECT. Lee stdin y escribe en stdout durante la conexión, como hace netcat.

Usando SSH a través de un proxy HTTP

Se suele utilizar sobretodo para conectarse a un servidor SSH a través de un proxy HTTP/Socks. Para hacerlo, basta configurar el cliente ssh para usar el proxy de turno con corkscrew.

Primero editamos el fichero ~/.ssh/config y añadimos:
ProxyCommand /usr/local/bin/corkscrew IP_PROXY 3128 %h %p

Sintaxis: corkscrew $proxy_ip_or_domain_name $proxy_port $destination_ip_or_domain_name $destination_port

Y a continuación ya podemos conectarnos al servidor ssh de forma transparente:

ssh username@anyexternalcomputer

También podemos ejecutarlo con una única línea:

ssh user@server -o "ProxyCommand corkscrew IP_PROXY 3128 %h %p"

Si el proxy HTTP usa autenticación, deberemos editar un fichero 'auth-file':

$ gedit .corkscrew-auth

y dentro pondremos el nombre de usuario y la contraseña en el siguiente formato:

username:password

En ese caso debemos especificar el fichero con las credenciales en la configuración ssh:
Host *
ProxyCommand corkscrew proxyhostname proxyport %h %p /home/username/.corkscrew-auth 

Túnel SOCKS

Si queremos hacer un túnel SOCKS podremos ejecutar lo siguiente:
ssh -ND 9000 user@server -o "ProxyCommand corkscrew IP_PROXY 8088 %h %p"

que creará un proxy SOCKS en localhost:9000.

Tunneling Git

Los firewalls generalmente bloquean el puerto que usa git. Sin embargo, se puede hacer que git realice un túnel a través de proxies HTTP usando utilidades como corkscrew. Cuando git ve la variable de entorno GIT_PROXY_COMMAND establecida, ejecutará el comando en $GIT_PROXY_COMMAND y usará el stdin y stdout de ese programa, en lugar de un socket de red.

Creamos el script corkscrewtunnel.sh
#! /bin/bash
corkscrew proxyhost proxyport $*
Set GIT_PROXY_COMMAND
export GIT_PROXY_COMMAND=path-to-corkscrewtunnel.sh

Ahora, deberíamos poder usar git también a través del proxy HTTP.

Fuentes:

- CorkScrew - A Tool for Tunnelling SSH over HTTP Proxies etc. 
- How to use SSH Via HTTP Proxy using Corkscrew in Ubuntu
- Using corkscrew and an HTTP proxy to ssh anywhere through firewalls
- HTTP tunneling

Reto 23: Hacker War

César Calderón aka @_Stuxnet vuelve a la carga con otro reto de esteganografía, esta vez un audio que puedes descargar desde el siguiente enlace:
 
Link: https://mega.nz/#!11JnSATR! forQujSSFGwCU7wZ7Y31AK0HyG86Mn 8fpYSsmbpiGrY
md5: 9b3bcd2edab4dce649821b704c2dca 70


Tipo: Esteganografía.
Dificultad. 2/10
hint: N/A
 
Esta vez los 5 primeros en resolver el reto serán reconocidos e inscritos en nuestro eterno hall de la fama. Para ello tendrán que mandarnos el flag final a hackplayers(at)ymail.com y el procedimiento seguido para su consecución.

Por supuesto recordar también que si queréis comentar alguna duda acerca del reto (sin spoilers, por favor) podéis hacerlo por correo o comentando directamente esta entrada.

Por último, queremos agradecerle una vez más a @_Stuxnet por haberse puesto en contacto con nosotros para presentarnos otro de sus retos.

¡Ánimo que éste es fácil!

Técnicas "file-less" para pentesting (by @rpinuaga #hc0n2018)

Sois muchos los que estáis preguntando acerca del material de las ponencias y talleres de la pasada h-c0n. Tal y como dijimos, lo que vamos a hacer es ir liberándolo poco a poco (el que nos faciliten), publicándolo de forma simultánea en el blog y en la web oficial de la conferencia. Si bien, aquí ampliaremos un poco el material con más enlaces, fotos y vídeos y podréis comentar cualquier cosa al respecto.

Empezaremos con la charla "Técnicas "file-less" para pentesting" de Ramón Pinuaga (@rpinuaga), pentester y analista de seguridad con mas de 17 años de experiencia, trabajando actualmente el Prosegur.


Cada día es mas habitual que los creadores de malware utilicen técnicas "file- less" para infectar equipos. ¿Por qué? pues porque no utilizar ficheros normales para ocultarse dificulta su detección por parte de antivirus y herramientas similares.

En su presentación vimos en qué consisten estas técnicas que básicamente se dividen en guardar todo en memoria (problema: no tendremos persistencia) o guardar código fuera de un fichero o en ficheros especiales.

APT Simulator: simula que un equipo ha sido víctima de una APT

APT Simulator de Nextron Systems GmbH es un simple script en Batch para Windows que utiliza un conjunto de herramientas y archivos de salida para que el sistema parezca comprometido. Sus casos de uso son:

- POC: agentes de detección de endpoint / herramientas de evaluación de compromiso
- Poner a prueba las capacidades de detección y monitorización de la seguridad
- Poner a prueba la respuesta de un SOC ante una amenaza que no sea un simple EICAR o un escaneo de puertos
- Preparar un entorno para dar clases de forense

Hay que tener en cuenta que el objetivo de esta herramienta es simular la actividad de un atacante, no de malware.



Tienes otras herramientas más avanzadas como Caldera, Infection Monkey o Flightsim, pero para realizar pruebas rápidamente puede resultar una buena alternativa.

Instalación

Para instalarlo simplemente hay que descargar la última release, descomprimirla (contraseña apt) y ejecutar desde la línea de comandos como administrador APTSimulator.bat. El script en batch extraerá a continuación las herramientas y las shells del archivo 7z en tiempo de ejecución. 

Técnicas

Las técnicas que realiza para la simulación son:

1. dumps: guarda la salida de un listado de directorios y de pwdump al directorio de trabajo
2. Recon: ejecuta el comando utilizado por los atacantes para obtener información sobre un sistema de destino
3. DNS: busca varias direcciones conocidas de C2 para provocar solicitudes DNS y obtener las direcciones en el caché de DNS local
4. Registro de eventos: crea entradas en el Eventlog que parecen haber ejecutado WCE
5. Hosts: agrega entradas al archivo de hosts local (bloqueador de actualizaciones, entradas causadas por malware)

#hc0n2018 : Crónica de la primera conferencia de @Hackplayers

Ya he escrito sobre otras conferencias, pero nunca imaginé que llegaría a hacerlo sobre una propia, la nuestra y la de todos aquellos que pudieron estar los pasados 2 y 3 de febrero en el Campus Sur de la UPM, más de 450 almas y una repercusión inesperada (en Twitter llegamos a ser trending topic de España hasta en dos ocasiones).


Cuando os anunciamos en el blog la h-c0n ya os hablamos un poco de su origen y de cómo iba a ser su formato. Teníamos charlas de gran calidad, un aforo mucho mayor que el previsto inicialmente con unas instalaciones espectaculares (la de la ETSISI-UPM) que nos permitieron incluso añadir talleres al programa y un CTF co-organizado con una empresa especializada (iHackLabs)... teníamos todos esos ingredientes y el gran reto de ponerlo todo en el mejor contexto posible para que los asistentes pudieran disfrutarlo en las mejores condiciones y a un precio muy reducido.

Gracias a los patrocinadores pudimos costear el catering, el material incluido en los welcome packs y los trabajos de impresión para todo el tema de cartelería. Otros además nos ofrecieron cursos online para sortear y descuentos para incentivar aún más a los asistentes.

El resto, la gestión de tickets, la web del evento, todos los diseños, los anuncios y comentarios en redes sociales, la compra de productos, el almacenaje y el transporte de casi todo el material, las plantillas de las presentaciones, los acuerdos con proveedores y patrocinadores y, lo más importante, las cervezas que nos tuvimos que tomar para hablar de todo eso y más, lo sufrimos y lo disfrutamos respectivamente desde el staff.

"No mires, amor, mis alas, ni mi balsámica piel, mira entre mis cicatrices, pues allí inicié el vuelo que ahora te deslumbra".

Frase por Ouka Leele