Crónica de #MundoHackerDay 2019

El miércoles 24 de abril estuvimos en Mundo Hacker Day, la sexta edición del evento que organizan desde Mundo Hacker y que este año tuvo lugar en Kinépolis en Madrid. Tuvimos la suerte de ser invitados junto con otras comunidades y conferencias del panorama nacional y por ende la oportunidad de reencontrarnos y conocer a colegas que comparten con nosotros una misma pasión: el hacking. Allí estuvieron @workinghackers @hackandbeers @HackOnURJC @Honey_SEC @secadm1n @CONPilarZgz @tomatinacon @HackSolidario @qurtubacon @EuskalHack @FAQinCongress @mariapitadefcon:

Pocas veces podemos encontrarnos tantos en un mismo espacio así que la experiencia fue genial. Además, también preparamos varios "juegos" para los que os pudisteis acercar a conocernos o charlar con todos nosotros y, como muchos me pedistéis más detalle o simplemente para los que no tuvisteis la oportunidad de asistir, os dejo un resumen de cada uno de ellos.

Reto 30: TweetDB

Nuestro colega, el bot de Hackplayers que se encarga de las RRSS de la comunidad, ha evolucionado a tal nivel que es capaz de desarrollar sus propias aplicaciones, esta vez ha realizado una especie de almacén para guardar las estadisticas de los tweets más relevantes de la cuenta de @Hackplayers. Según comenta, esta aplicación ha sido programada correctamente y no entraña ningún peligro para el servidor que la ejecuta. ¿Eres capaz de demostrar lo contrario?

Aplicación: https://drive.google.com/file/d/1DRZ-HeedHx_ZYZGkG5LjqSKV09F0GmGH
Servidor: challenges.hackplayers.com 
Puerto: 1337/TCP
(Formato de la flag: HPYS{string})

Bonus: Mañana 24 de abril estaremos en Mundo Hacker Day, el primero que nos facilite la flag allí presencialmente será obsequiado con una estupenda camiseta de nuestra conferencia h-c0n (edición 2019)

PartyLoud: un sencillo script en bash para generar "ruido" en la red

PartyLoud es una herramienta para crear tráfico de Internet falso con el fin de impedir o mitigar el seguimiento en redes locales. Está basada en noisy.py y su objetivo es hacer mucho ruido en la red (en forma de peticiones http) para que sea más difícil rastrear tu navegación real.

Cuando ejecutamos el script, se inician varios hilos y cada uno realiza una solicitud HTTP diferente con Curl. Luego se analiza la salida para elegir la siguiente url, simulando una navegación. A menos que el usuario detenga el script (ya sea presionando Intro o mediante CTRL-C), permanecerá activo.

Podemos editar el fichero partyloud.conf para actualizar la lista de URLs utilizadas para iniciar la "falsa" navegación pero, eso sí, cada vez que añadamos nuevas direcciones más subprocesos se iniciaran, pudiendo llegar a convertirse en una "fork bomb". En futuras versiones se añadirá la posibilidad de limitar el número máximo de hilos para evitar este problema. La herramienta también va cambiando el "User Agent" de las peticiones para prevenir el fingerprinting.

En definitiva un script sencillo pero útil en algunos escenarios...

Usage: ./partyloud.sh [options...]

-l --url-list     read URL list from specified FILE
-b --blocklist    read blocklist from specified FILE
-p --http-proxy   set a HTTP proxy
-s --https-proxy  set a HTTPS proxy
-h --help         dispaly this help

Repo: https://github.com/realtho/PartyLoud

Evil Clippy: herramienta para crear documentos de MS Office maliciosos

Evil Clippy de Stan Hegt (@StanHacked) es un asistente multiplataforma para crear documentos maliciosos de Microsoft Office. Se presentó en la BlackHat Asia (28 de marzo de 2019) y puede ocultar macros VBA, pisar (en adelante stomp) códigoVBA (a través de P-Code) y confundir a las herramientas de análisis de macros.

Actualmente esta herramienta es capaz de obtener una macro predeterminada de Cobalt Strike que puede bypassear todos los principales productos antivirus y la mayoría de las herramientas de análisis de maldoc (mediante el uso de stomping VBA en combinación con nombres de módulos aleatorios).

Evil Clippy usa la librería OpenMCDF para manipular los archivos (Compound File Binary Format) de MS Office y abusa de las especificaciones y características de MS-OVBA. Reutiliza el código de Kavod.VBA.Compression para implementar el algoritmo de compresión que se usa en las secuencias de dir y módulos (consultar MS-OVBA para obtener las especificaciones relevantes).

Evil Clippy funciona perfectamente bien con el compilador Mono C# y ha sido probado en Linux, OSX y Windows.

Repositorio: https://github.com/outflanknl/EvilClippy

Instalación

Se puede encontrar un binario compilado multiplataforma en "releases".

En OSX y Linux hay que tener instalado Mono y ejecutar el siguiente comando desde la línea de comandos:

mcs /reference:OpenMcdf.dll,System.IO.Compression.FileSystem.dll /out:EvilClippy.exe * .cs

Después para ejecutar Evil Clippy desde la línea de comandos:

mono EvilClippy.exe -h

En Windows hay que tener instalado Visual Studio. Luego, ejecutar el siguiente comando desde una ventana de comandos de Visual Studio developer:

csc /reference:OpenMcdf.dll,System.IO.Compression.FileSystem.dll /out:EvilClippy.exe * .cs

Luego ejecutar Evil Clippy desde la línea de comandos:

EvilClippy.exe -h

RedHunt Linux Distribution (VM)

RedHunt Linux Distribution (VM) es máquina virtual para la emulación de adversarios y la caza de amenazas. Pretende ser una "ventanilla única" para todas las necesidades de emulación de amenazas y búsqueda de amenazas al integrar el arsenal del atacante y el conjunto de herramientas del defensor para identificar activamente las amenazas en el entorno.

Máquina base:

• Lubuntu-18.04 x64

Herramientas:

Emulación de ataques:

• Caldera
• Atomic Red Team
• DumpsterFire
• Metta
• RTA
• Nmap
• CrackMapExec
• Metasploit
• Responder
• Zap

Logging y monitorización:

• Kolide Fleet
• ELK (Elasticsearch, Logstash, and Kibana) Stack

Open Source Intelligence (OSINT):

• Maltego
• Recon-ng
• Datasploit
• theHarvester

Threat Intelligence:

• Yeti
• Harpoon

Enlace de descarga de la VM:

• Release v1: http://bit.ly/RedHUNTv1.

La pastilla Roja/Azul del Cloud (by Lorien & Kneda #hc0n2019)

Al contratar los servicios cloud para el almacenamiento de nuestros archivos se nos permite disponer de estos en cualquier parte del mundo pero, ¿qué pasa si se vulnera la seguridad del cloud?. En la charla "La pastilla Roja/Azul del Cloud" Kneda demostró cómo se puede llegar a vulnerar la seguridad del cloud, llegando incluso a conseguir información personal, y Lórien intentó a través de la forénsica desenmascarar al autor. ¿Quién ganó realmente?

Tenemos un vídeo en el que se muestra la "batalla" pero sus autores nos han pedido que no lo subamos todavía porque volverán a dar la charla próximamente. Así que si quieres ser testigo presencial de nuestro particular Yin Yang aka rojo vs azul en ciberseguridad permanece atento!

Presentación:

Plugin para exportar proyectos de IDA Pro a Ghidra

Ghidra ha llegado dispuesto a "comerle la tostada" a IDA Pro. Sirva de claro ejemplo que hasta incluye un plugin para usarse directamente con el famoso desensamblador/debugger de Hex-Rays y que permite exportar bases de datos de IDA Pro como archivos XML para que luego puedan importarse a Ghidra.
Para agregar el plugin de este exportador a XML a la instalación de IDA simplemente hay que mover o copiar los directorios a <directorio de instalación de ghidra>/Extensions/IDAPro. El complemento está disponible para IDA Pro versiones 6 y 7.

Sus contenidos son:

- xml_exporter.py: es el plugin para exportar la base de datos IDA como archivo XML. Se debe colocar en la carpeta de plugins de IDA.
- xml_loader.py: es el cargador de IDA para construir una nueva base de datos utilizando un archivo XML. Carga el archivo de bytes y construye la base de datos de IDA utilizando el contenido del archivo XML. Debe colocarse en la carpeta de loaders de IDA.
- xml_importer.py: es un plugin para agregar datos de un archivo XML a una base de datos existente. NO cargará ningún dato binario del archivo de bytes. Agregará símbolos, comentarios, códigos, datos, funciones, etc. para las direcciones que existen actualmente en la base de datos. Se debe colocar en la carpeta de plugins de IDA.
- idaxml.py: es un módulo y una importación requerida para xml_exporter, xml_importer y xml_loader. Debe colocarse en la carpeta python de IDA.

Después de colocar los archivos indicados, veremos en IDA dos nuevos iconos en el menú de plugins:

mXtract: escanea volcados de memoria... para hacer el mal

En la mayoría de los entornos de Linux, los usuarios pueden acceder a la memoria de muchos procesos, lo que puede permitir a un atacante recopilar credenciales, claves privadas o cualquier cosa que se suponga que se ve, pero que está siendo procesada por un programa en texto no cifrado.

mXtract es una herramienta escrita en c++ y de código abierto que realiza y analiza volcados de memoria y se desarrolló precisamente como una herramienta ofensiva con el propósito principal es escanear la memoria en busca de claves privadas, IPs y contraseñas usando expresiones regulares.

Es una herramienta que puede resultar bastante útil y sus resultados serán tan buenos como las expresiones regulares que añadas en las búsquedas.    

Características

- Posibilidad de usar expresiones regulares
- Comprueba si el rango de memoria se puede escribir con los permisos actuales
- Salida en XML y HTML junto con la salida predeterminada (nombre del proceso: resultado)
- Capacidad para escanear todos los procesos o un PID específico
- Posibilidad de elegir secciones de memoria para escanear
- Capacidad para mostrar información detallada del proceso
- Capacidad para escanear archivos del entorno de proceso
- Los volcados de memoria eliminan automáticamente los caracteres Unicode, lo que permite el procesamiento con otras herramientas o manualmente.
Instalación

Descarga: git clone https://github.com/rek7/mXtract
Compilar: cd mXtract && sh compile.sh

Esto creará el directorio bin/ y compilará el binario como mXtract.

 ./bin/mxtract -h