sábado, octubre 21, 2017

Eventos de Ciberseguridad, Hacking, Inteligencia Artificial & Big Data para la semana que viene

Como semanas anteriores, durante los próximos siete días vamos a participar en un buen número de actividades desde ElevenPaths, LUCA, el equipo de AURA, la 4ª Plataforma y 0xWord, así para que tengas la agenda actualizada, te dejo las referencias y los enlaces con toda la información.

Figura 1: Eventos de Ciberseguridad, Hacking, Inteligencia Artificial
& Big Data para la semana que viene

El primero de los eventos que hay que destacar es Forbes Summit Reinventing Spain, que tendrá lugar en la Real Academia de Bellas Artes en Madrid el día 24 de Octubre y donde participará nuestro compañero y CEO de ElevenPaths Pedro Pablo Pérez en un debate sobre ciberseguridad. El evento Forbes Summit RS acoge además a un buen número de CEOs y presidentes de compañías que abordarán la transformación del tejido empresarial en España.

Figura 2: Forbes Summit Reinventing Spain 24/10 Madrid

También el martes 24 de Octubre en la unidad LUCA, nuestros compañeros de Synergic Partners organiza la Big Data Week en Madrid, con una conferencia plenaria en la que los proyectos de Big Data toman en el escenario para hablar de proyectos concretos en clientes. Además, hay un Mega MeetUp por la tarde que hace que la jornada sea un día largo. Tienes la info y los registros gratuitos al evento y el MeetUp en la web de Madrid Big Data Week.

Figura 3: Madrid Big Data Week

Por la tarde del día 24 de Octubre, el equipo de LUCA impartirá un Webinar online sobre Data Anonymization donde explica cómo los datos se anonimizan para garantizar la privacidad en todos los servicios. El seminario es gratuito y te puedes registrar aquí.

Figura 4: LUCA Talk 8

Los días 24 y 25 de Octubre tendrá lugar también en Madrid, gracias a que en Telefónica hemos acogido este evento, el Telco Data Analytics Europe, donde nuestros compañeros Andrés Vegas del equipo de 4ª Platafoma y Pedro A. de Alarcón de LUCA, participarán en dos sesiones para hablar de cómo construimos la 4P internamente y sobre cómo utilizamos los datos para mejorar el rendimiento del equipo ciclista Movistar Team. Más info en la web del evento.

Figura 5: Telco Data Analytics Europe

Los días 25 y 26 de Octubre, también en Madrid, participaremos en las jornadas The AI Show donde se habla de la Inteligencia Artificial tanto de una forma teórica como práctica. Allí, Irene Gómez a la que cariñosamente llamamos "La mamá de AURA" participará en una sesión sobre la experiencia de usuario gracias las tecnologías AI que nosotros hemos aprovechado en la construcción de AURA. El evento cuenta con dos jornadas repletas de charlas y paneles.

Figura 6: The AI Show en Madrid

El día 26 de Octubre por la tarde toca otra de nuestras sesiones online en las ElevenPaths Talks. En esta ocasión nuestros compañeros Rames Sarwat y Jorge Rivera hablarán sobre los Servicios de Seguridad Gestionada o los "Managed Security Services" y su evolución.

Figura 7: Evolución de los MSS

En paralelo, los días 26 y 27 de Octubre, en el mundo del Hacking el epicentro se mueve a Chile, donde tiene lugar la 8dot8 en Santiago. Allí este año estaremos bien representados con Sheila A. Berta y Claudio Caracciolo de nuestro equipo de ElevenPaths, además de que yo daré la KeyNote el primer día. En el evento este año tendremos la suerte de contar con el mítico César Cerrudo que viene a dar una de sus charlas. Si estás cerca... You should be there!

Figura 8: 8dot8 en Chile

Por último, el viernes 27 de Octubre da comienzo la nueva edición del Curso Online de Hacking Ético de The Security Sentinel, donde durante 180 horas a lo largo de 8 semanas se tocan todos los fundamentos de esta profesión. En el curso, como material se utilizan los libros de 0xWord que ayudan a seguir el curso. Los libros que se entregan son Ethical Hacking y Pentesting con FOCA. Tienes más info en la web del curso.

Figura 9: Curso Online Hacking Ético

Para la semana que viene, con la llegada de la fiesta de Halloween no tendremos muchas actividades, pero aún así hay algunas citas importantes, como el Big Data Innovation Day de LUCA, y alguna participación extra que ya os contaré. Ahora, a disfrutar el sábado.

Saludos Malignos!

viernes, octubre 20, 2017

Security Rocks: Vídeos Online en Youtube

Ya están disponibles en el Canal Youtube de ElevenPaths todos los vídeos de las sesiones del pasado Security Innovation Day 2017: Security Rocks!. En ellos se pueden ver algunos de los productos e innovaciones que hemos ido trabajando durante este año 2017, y que estarán disponibles para 2018. Entre ellos el nuevo Path 8, la FOCA Open SourceFaast for WP, Security Portal, WiFi con Mobile Connect, etcétera.

Figura 1: Vídeos online en Youtube
De cada una de las sesiones vamos a ir desgranando los temas tocados en diferentes artículos en el blog de ElevenPaths, pero desde ya puedes verlas todas, incluida la última sesión de Mikko Hyppönen que nos habló del futuro que nos espera.


Figura 2: Welcome & Keynote


Figura 3: Security 4All


Figura 4: Partnership "Delivery Mode"


Figura 5: Innovation "A Path to Success"


Figura 6: Special Guest


Figura 7: Closing Session

Y esto es todo por hoy viernes. Espero que disfrutéis las sesiones y el fin de semana que se nos viene por delante.

Saludos Malignos!

jueves, octubre 19, 2017

SuperUser in PentestLab: Bypassing UAC & AppLocker in Windows 7 to… 10!

El artículo de hoy no hablará de un nuevo Bypass de UAC o de un nuevo Bypass en AppLocker. Como hemos mencionando en muchos otros artículos ha sido "El año del bypass de UAC", empujado también por el leak de la NSA en Vault dónde se hablaba cómo se podían aprovechar ciertas condiciones para lograr un bypass de UAC. Nuestro enfoque siempre ha sido el divulgativo y con el deseo de ayudar a los pentesters en sus proyectos de Ethical Hacking. Así queríamos hacer en la pasada Navaja Negra, cuando a mi compañero Santiago Hernández y a mí nos tocó impartir un taller de estas técnicas que ayudan con el Hacking de Windows.

Figura 1: SuperUser in PentestLab: Bypassing UAC & AppLocker in Windows 7 to… 10!

Además, este último año ha tenido una componente de investigación sobre este tema y de mucho aprendizaje. Sin duda, para mí, ha sido muy interesante escribir todos los artículos y probar las diferentes técnicas que permitían, casi cada semana, realizar un bypass de UAC. Esto me llevo a tener en mente una herramienta que nos permitiera llevar a cabo o automatizar, en algunos casos, estas investigaciones. De esta herramienta os hablaremos más adelante.

Hemos hablado mucho, como he mencionado anteriormente, sobre UAC y, en algunos casos, sobre AppLocker. Hoy queríamos mostraros el taller y la recopilación de todo este trabajo que hemos llevado a cabo. Para comenzar el taller hablamos del laboratorio que los asistentes podían montarse para llevar a cabo los diferentes escenarios. Hoy en día con la virtualización es realmente sencillo para los alumnos.

¿Qué es UAC? ¿Cómo funciona UAC? ¿Qué es un bypass de UAC? ¿Por qué importa?

Con estas preguntas comenzábamos el taller. Es importante tener claro, en primer lugar, qué es sistema UAC. Todos sabemos que es la pantalla que nos sale ante una elevación de privilegio, pero ¿Sale siempre? Un dato importante era explicar cómo funciona el UAC, dónde podemos encontrar la política de UAC, cómo se comporta ante una elevación, qué son los contextos dónde los procesos se ejecutan, el nivel de integridad, etcétera.

Figura 2: Mensaje de UAC en Windows

En el taller teníamos unas reglas de resumen ante una elevación de privilegio por parte del usuario o de un proceso:
• Si el token pertenece al grupo administradores. 
• Si el proceso en ejecución está en un contexto de integridad media. 
• Si la política de UAC está configurada por defecto.
Si se cumplen estas tres condiciones se podría llevar a cabo un bypass de UAC con la ejecución adecuada utilizando diferentes métodos. Pero hay más, se habló de las configuraciones en el Manifest de los binarios del sistema, se habló del atributo AutoElevate y de si el binario está firmado por Microsoft. Desde Windows 7 este hecho ha provocado gran cantidad de bypasses de UAC.

Figura 3: Autoelevate en fichero Manifest

Además, hablamos de lo que es un bypass de UAC y de por qué realmente importa. La definición del bypass es la vía para lograr ejecutar un proceso en un contexto de integridad alta, System, evitando que la pantalla de consentimiento de UAC salte y sea visible por parte del usuario. Su importancia radica en la fase de post-explotación en un hacking de Windows y es que nos permite elevar el privilegio sin que salte el UAC, siempre y cuando el escenario sea el siguiente: proceso comprometido que pertenece a un usuario del grupo administradores.

DLL Hijacking

Tras explicar esto, nos centramos en las técnicas. La primera que tratamos fue DLL Hijacking. Esta técnica permite realizar el secuestro de una DLL. El objetivo es lograr que el proceso que se ejecuta en un contexto de integridad alta ejecute nuestra DLL en vez de la DLL legítima. Este bypass de UAC es el más clásico y el primero que salió se apoyaba en esto para lograr el objetivo. Para ejemplificar esta técnica llevamos a cabo dos ejemplos:
WinSxS con WUSA en Win 7/8/8.1. 
WinSxS con IFileOperation en Win 10
Estos dos ejemplos ayudan a entender la técnica DLL Hijacking. El resumen es fácil, un proceso autoelevado busca una DLL es \Windows\System32 que no encuentra y termina acudiendo a WinSxS. Si nosotros pudiéramos crear la DLL en la ruta privilegiada, conseguiríamos que el proceso privilegiado ejecutara nuestra DLL. WinSxS con WUSA en Win 7/8/8.1 lo hemos publicado en este blog y aquí tenéis el video de ejemplo.

Figura 4: WinSxS con WUSA en Win 7/8/8.1 

Por otro lado, la demostración y explicación sobre WinSxS con IFileOperation en Win10 también la hemos publicado en el blog. Decir que en las últimas versiones de Windows 10 no nos ha funcionado, por lo que parece que el método IFileOperation puede estar parcheado.

Figura 5: WinSxS con IFileOperation en Win10

Fileless: La técnica que lo cambió todo

La segunda técnica explicada en detalle fueron los ataques Fileless. Esta técnica descubierta por Enigma0x3 ha marcado un antes y un después. En esta parte hablamos sobre la estructura del registro de Windows, para que sirve cada rama y por qué los procesos buscan en dichas ramas información. Además, con las herramientas Process Explorer y Process Monitor, utilizadas durante todo el taller, pudimos ir viendo diferentes situaciones que se dan en el registro de Windows y que provocan la ejecución de procesos elevados.

Figura 6: Artículo en MSDN

Como gran curiosidad, nos fijamos en un comunicado sacado de la MSDN que dice que los procesos que se ejecutan en un contexto de seguridad alto no deberían utilizar HKEY_CLASSES_ROOT. Como pudimos ver, esto no ocurre y aquí se abre un problema que permite realizar bypass de UAC. Las demos que tratamos fueron las siguientes:
Eventvwr en Fileless en Win7 
Sdclt.exe y el kickoffelev en Win 10
El Fileless 1 o el bypass UAC del Eventvwr.exe fue parcheado por Microsoft debido a su utilización en campañas de malware como la de Keybase. Este es el vídeo con la PoC que publicamos en el artículo de Fileless 1.

Figura 7: PoC Fileless 1

Por otro lado, la técnica del sdclt.exe y el parámetro /KickOffElev fue conocido como Fileless 2 y permite, a día de hoy, hacer un bypass de UAC en Windows 10. En el blog ya hemos hablado de ello en detalle y os dejamos el video para que lo veáis en acción.

Figura 8: PoC Fileless 2

Por último, hablamos sobre un bypass de UAC que, a día de hoy, sigue funcionando en Windows 10. Este bypass de UAC es el de inyección de comandos a través de variables de entorno. El resumen es fácil, las variables de entorno se pueden modificar en HKCU\Environment, por lo que cualquiera puede modificar o crear las variables de entorno en dicha rama. La variable %windir% podría ser creada en esta rama e inyectar su contenido en una tarea programada que utilizaba y sustituía valores a través de dichas variables. El detalle de la técnica, la cual es muy sencilla, y su explicación completa se puede encontrar en el blog en la entrada "2017, el año que bypasseamos UAC peligrosamente".

Figura 9: PoC UAC Bypass con variables de entorno

AppLocker: También juega

AppLocker es una característica de seguridad de Windows cuya funcionalidad es la restricción de software. Para que se entienda fácil, AppLocker permite bloquear:
• EXE, COM.
• JS, PS1, VBS, CMD (ficheros), BAT. Es decir, scripts. 
• Instaladores: mst, msi, msp. 
• DLL y OCX.
En el taller mostramos un ejemplo sencillo a través del bypass de una restricción de ejecución de scripts, en este caso VBS, gracias al uso de herramientas como BGInfo y la posibilidad de invocar scripts VBS. El bypass funciona en Windows 10 y, a continuación, podéis ver el vídeo completo sobre la técnica.

Figura 10: Saltarse Applocker en Windows 10 con BGInfo

Y llegando al final del taller de la Navaja Negra, decidimos mostrar lo que el trabajo nos había facilitado: uac-a-mola estará en Black Hat Europa 2017, en Londres.
Será un honor estar en Black Hat Europa con la herramienta de uac-a-mola, la cual sigue una metodología IDEM: Investigación, detección, explotación y mitigación de bypasses de UAC. La herramienta permite, tanto investigar nuevas formas de llevar a cabo bypasses de UAC, como la detección y explotación de los conocidos, así como la posibilidad de “tapar” o “mitigar” los conocidos.

Figura 12: Info sobre UAC-a-Mola en Black Hat

La herramienta y su explicación deberá esperar todavía. Eso será en otro artículo. Sin duda fue un honor estar en Navaja Negra y poder impartir este taller. Nos vemos en la siguiente.

Autores: Pablo González Pérez (@pablogonzalezpe), escritor de los libros "Metasploit para Pentesters", "Ethical Hacking", "Got Root" y “Pentesting con Powershell”, Hacking Windows, Microsoft MVP en Seguridad y Security Researcher en ElevenPaths & Santiago Hernández Ramos, cybersecurity researcher en ElevenPaths

miércoles, octubre 18, 2017

SnapChat te avisa de que graban tus mensajes pero NO del todo

Hace un par de años, después de usar durante tiempo Reflector para hacer desde equipos macOS/OS X en muchas presentaciones de Latch en las que necesitaba mostrar la pantalla de un iPhone, me di cuenta de lo sencillo que era grabar los mensajes con autodestrucción de Telegram y Snapchat. A pesar de que ellos tienen una detección que le dice al usuario cuándo se ha hecho una captura de pantalla.

Figura 1: SnapChat te avisa de que graban tus mensajes pero no del todo

Con la llegada de la opción de Screen Recording en iOS 11, los mensajes de SnapChat pudieron grabarse de nuevo sin que el emisor de los mismos recibiera ninguna alerta, pero la actualización a la última versión de SnapChat ya detecta esta opción de grabación.

Figura 2: Opción de Screen Recording en iOS 11

Es decir, si una persona envía por SnapChat un mensaje con autodestrucción y la otra persona hace una captura de pantalla, bien con el método tradicional en iOS de pulsar el botón de encendido y el botón Home al mismo tiempo, como si utiliza la opción de Screen Recording de iOS 11, el que envió el mensaje recibirá el iconito verde que se puede ver a la derecha del mensaje.

Figura 3: Icono a la derecha que indica que el destinatario ha grabado el mensaje

Sin embargo, existen otras formas de hacer la grabación de la pantalla de un iPhone sin usar ninguna de las dos opciones anteriores, como es usar la posibilidad de Movie Recording de QucikTime en macOS o un software de terceros como Reflector que es lo que yo utilicé en su día.

Figura 4: PoC de grabación de mensajes de SnapChat en iOS 11

Así que hicimos unas pocas pruebas en mi equipo de PoCs & Hacks y probamos el comportamiento de SnapChat. Como podéis ver en el vídeo, detecta tanto el uso de Screen Recording, como cuando se usa QuickTime Movie Recording, pero cuando se usa Reflector.... nada de nada. El sistema de SnapChat no es capaz de detectar que la pantalla ha sido grabada y el mensaje está circulando ya por grupos de WhtatsApp.

Saludos Malignos!

martes, octubre 17, 2017

KRACK Attack o cómo reventar WPA2 y de paso nuestra confianza en la seguridad WiFi

Uno de los pocos bastiones que aún quedaban hoy día en la seguridad WiFi con más de 14 años en funcionamiento, nuestro querido protocolo WPA2, acaba de ser vulnerado. Esta es la primera vulnerabilidad que se ha encontrado en este protocolo durante todo ese tiempo que ha estado implantado, pero es lo suficientemente crítica como para activar todas las alarmas y no es para menos, ya que hasta el momento solo existían ataques de fuerza bruta a las claves de cifrado en modo WPA2-PSK [Atacar WPA/WPA2-PSK & Crackear WPA/WPA2-PSK], que se podían evitar con relativa normalidad mientras no llegasen los afamados equipos cuánticos.

Figura 1: KRACK Attack o como reventar WPA2 y de paso nuestra confianza en la seguridad WiFi

Explotar esta vulnerabilidad podría permitir a un atacante dentro del rango de la WiFi, insertar un virus a la red o incluso interceptar cierto tipo de comunicaciones y por lo tanto, tener acceso a información sensible que hasta ahora considerábamos segura. Además, afecta a todas y cada una de las redes WiFi actuales protegidas y a todos los dispositivos que utilicen dicho protocolo, y esto significa un gran agujero de seguridad para los entornos domésticos y empresariales, lo que harán tensar a los equipos de seguridad de las compañías con planes específicos.

Esta vulnerabilidad ha sido encontrada recientemente por el investigador Mathy Vanhoef, de la universidad belga KU Leuven, que ha bautizado como KRACK, Key Reinstallation Attacks. Afecta en una u otra manera a cualquier plataforma como Android, Linux, Windows, OpenBSD, MediaTek, Linksys, etc.... El paper será presentado formalmente en la conferencia CCS, Computer and Communication Security el día 1 de Noviembre.

Figura 2: Paper de KRACK ATTACK

La única prueba que tenemos hasta ahora donde se pueda confirmar que esta vulnerabilidad puede ser explotada, es la demostración PoC que ha realizado y que ha publicado en su blog a modo de vídeo. Dicha PoC se basa en un ataque KRACK contra un dispositivo Android, donde el atacante es capaz de descifrar la información que están transmitiendo la víctima (al parecer KRACK es especialmente efectivo contra Linux y Android 6.0 o superior). De hecho, cuando se utilizan otras plataformas, es más complicado de descifrar todos los paquetes e incluso algunos no se pueden descifrar. Éste es el vídeo donde se puede observar el ataque en funcionamiento:


Figura 3: PoC de KRACK ATTACK

El eje principal vector del ataque se centra en four-way handshake del protocolo WPA2. Resumiendo, este procedimiento (handshake) se utiliza para comprobar las credenciales cuando un usuario está intentando unirse a una red WiFi. Durante este proceso se generan claves nuevas de cifrado, las cuales se instalan después de recibir el Mensaje 3 de los 4 y que sirven para proteger la sesión del usuario que está intentando conectarse a la WiFi. Los Mensajes se definen mediante tramas tipo EAPOL (EAP over LAN) las cuales tienen la siguiente estructura:


Figura 4: Formato simplificado de una tram EAPOL mostrado en el paper de KRACK ATTACK

La vulnerabilidad que explota KRACK permite al atacante manipular o repetir de nuevo este tercer Mensaje, permitiendo reinstalar la clave criptográfica que ya se ha utilizado. Y esto es importante para poder salvaguardar la seguridad del protocolo WPA2 ya que una clave criptográfica sólo puede ser utilizada una vez durante este proceso. El paper publicado explica en detalle todo el procedimiento KRACK. Éste sería un resumen simplificado del ataque:
1. El atacante intenta unirse a una red WiFi. 
2. Comienza el proceso four-way handshake. 
3. Se negocia una nueva clave de cifrado en el Mensaje 3 del proceso. 
4. No se envía la señal de acknowledgment (reconocimiento) que verifica que se ha recibido el Mensaje 3 correctamente. 
5. Esto fuerza que el punto de acceso (AP) retrasmita de nuevo el Mensaje 3 varias veces. 
6. Este proceso repetido varias veces, siempre instalará la misma clave de cifrado y por lo tanto reseteará a cero nonce (número aleatorio el cual precisamente se encarga de evitar que se pueda repetir ataques y que actúa como contador de los paquetes transmitidos, ver figura 4). 
7. El atacante puede en este punto forzar estos reseteos nonce recolectándolos y repitiendo retrasmisiones del Mensaje 3. 
8. Reutilizando estos nonce es posible repetir los paquetes y descifrarlos ya que la misma clave de descifrado se utiliza con valores nonce que ya se han utilizado en el pasado (reutilizando los llamados “keystream” cuando se cifran paquetes). 
9. En función del análisis de los paquetes descifrados, sería posible insertar un programa malicioso en la red o simplemente analizar el tráfico generado por los usuarios de la red.
Ahora mismo no existe ningún parche de seguridad que pueda solucionar este problema (así que atentos para cuando salgan). De momento, el CERT ha enviado un comunicado advirtiendo del problema, así como un listado del hardware y el software afectado (ojo a los fabricantes afectados, CISCO, Google o Apple son sólo algunos de ellos). Prácticamente cualquier dispositivo que tenga WiFi tendrá que ser parcheado, desde dispositivos móviles pasando por routers.

Figura 5: Flujo del proceso "4-way handshake" y en rojo Mensaje 3, donde KRACK efectúa su ataque

¿Y qué podemos hacer para protegernos? De momento esperar a que aparezca algún parche para cada uno de los dispositivos. Cambiar de router o de contraseña de la WiFi no ayudará. La única protección fiable que tenemos es utilizar VPNs dentro de nuestra red o utilizar siempre cifrado SSL/TLS (páginas web HTTPS por ejemplo). Por otro lado, parece que Microsoft se ha dado prisa y ya tiene un parche para solucionar este problema para Windows.

Figura 6: Parche para KRACK Attack de Microsoft

Para terminar, no podemos olvidar que los dispositivos afectados no se limitan a portátiles y ordenadores de empresas o de usuarios particulares. También tenemos que tener en cuenta que otros dispositivos más cotidianos como televisiones, relojes o incluso coches también están afectados por esta vulnerabilidad. Y mucho más preocupante podría ser pensar en ¿cuántos dispositivos IoT utilizan WPA2 dentro de redes WiFi pertenecientes a procesos industriales? Esperemos que todos los fabricantes se den prisa en aplicar los parches correspondientes lo antes posible, porque de momento, el poder parece que lo tienen sólo los chicos buenos …

Autor: Fran Ramírez (@cyberhadesblog) escritor de libro "Microhistorias: anécdotas y curiosidades de la historia de la informática" e investigador en ElevenPaths

lunes, octubre 16, 2017

Mobile Connect + Fortinet = Un portal cautivo WiFi sin passwords

Otra de las novedades de las que hablamos en el Security Innovation Day 2017 de hace unos días fue del trabajo de colaboración que hemos hecho entre ElevenPaths y Fortinet - que es una de las empresas con la que creamos una alianza - utilizando sus tecnologías de seguridad WiFi y la tecnología de autenticación Mobile Connect basada en el número de teléfono y la SIM para crear un portal cautivo.

Figura 1: Mobile Connect + Fortinet = Un portal cautivo WiFi sin passwords

El sistema ya lo habréis visto en producción si habéis viajado en el AVE, que desde Noviembre de 2016 se puso en producción gracias a la colaboración entre Renfe y Telefónica. Ahora, desde hace unos meses la autenticación funciona con Mobile Connect y Fortinet, tal y como se puede ver en el siguiente vídeo con un número de teléfono de demo.


Figura 2: Demo de portal cautivo con Mobile Connect

Como se puede ver, hemos usado un Windows Phone y un PIN OTP con Link vía SMS para esta demo, para universalizar el número de dispositivos que pueden autenticarse en el sistema, pero dependiendo de las necesidades de seguridad y robustez, se puede elegir el nivel de interacción con la plataforma. Ahora mismo, este sistema se está implantando en muchos hoteles, ya que evita que se tengan que crear usuarios y contraseñas, basta con que el usuario haya dado el número de teléfono en el proceso de registro y listo. 

Saludos Malignos!

sábado, octubre 14, 2017

Eventos en Uruguay, Perú, Colombia, Zaragoza y Madrid (y online) para la semana que viene

Hoy sábado, aprovechando un poco de calma a la hora de la siesta, os dejo la lista de eventos que tenéis disponibles para la semana que viene, en los que yo participaré en algunos de ellos. Os dejo la lista de los mismos para que te apuntes al que mejor te venga hoy mismo.

Figura 1: Eventos en Uruguay, Perú, Colombia, Zaragoza y Madrid (y online) para la semana que viene

El lunes 16 de Octubre comienza la fiesta en Uruguay con la 8.8 Lucky llegando a Montevideo para disfrutar de una jornada de conferencias de hacking y ciberseguridad. Nuestro compañero Gabriel Bergel andará por allá, y si miras el resto de la agenda, tal vez descubras por qué merece la pena no perderse la oportunidad.
El martes 17 de Octubre, me he apuntado a una Carrera Solidaria a las 18:00 horas que organizan en Microsoft Ibérica en Pozuelo de Alarcón. Son solo 5 Km, pero si te apetece venir a colaborar y que nos riamos un rato, aquí te dejo la información. El dinero recaudado va para la ONG Save The Children.
El miércoles 18 de Octubre una sesión Online para todo el mundo con una nueva CodeTalk for Developers en ElevenPaths. En esta ocasión para contaros un hack de exfiltración de datos hecho con Latch, del que mis compañeros Alvaro y Pablo os explicarán en detalles cómo montarlo. Ya escribieron un artículo con Latch'sApp, pero ahora en la sesión podrás acceder a todos los detallitos.
Ese mismo miércoles 18 de Octubre, yo participaré en la CodeWeek en Madrid, en una sesión dedicada a la Programación y Pensamiento Computacional en la Educación. Una jornada dentro de actividades que se realizan por toda España en la CodeWeek.

Figura 5: CodeWeek Madrid

También el miércoles 18 de Octubre, pero con tres días de duración, dará inicio la Conferencia Iberoamericana de Continuidad de Negocio en Bogotá (Colombia), donde los CISOS de la región se darán cita. Entre la lista de ponentes estará nuestro compañero Claudio Caracciolo, así que si estás por allí puedes asaltarle y preguntarle todo lo que desees de ElevenPaths.
Ya el 20 de Octubre, toca otra nueva edición de 8.8 Lucky, pero esta vez en Perú, donde nuestro compañero Gabriel Bergel ha organizado una sesión en Lima para los amantes de la ciberseguridad.
Por último, para terminar esta semana, yo estaré el 20 de Octubre en Zaragoza,  donde también estará Chema Martínez y otros grandes ponentes, participando en el XXI Congreso CEAJE. Allí nos vemos.
Y esto es todo, que al final cinco días dan para mucho aunque parezca que no.

Saludos Malignos!

viernes, octubre 13, 2017

Faast for WP: Pentesting as a Self Service para tu WordPress

A lo largo de los últimos años hemos ido desarrollando nuestra visión del Pentesting Persistente a través de dos herramientas, como son Faast y Vamps. Con estas soluciones hacemos un pentesting 365 días al año, 24 x 7, de la superficie expuesta a Internet de una organización, y nos permite hacer una revisión voraz de todo la infraestructura.

Figura 1: Faast for WP: Pentesting as a Self Service para tu WordPress


Durante el último Security Innovation Day 2017 presentamos la evolución de nuestras soluciones empresariales B2B para llevarlas a verticales de empresas mono-plataforma, y comenzamos por WordPress lanzando Faast for WordPress.

Figura 2: Evolución de nuestra visión del Pentesting

La aproximación que utilizamos para la construcción de esta solución verticalizada es la existencia de muchas pequeñas empresas que utilizan WordPress como único framewok en su única exposición a Internet. Es decir, que toda la infraestructura que tienen en la red es un servidor de WordPress en el que basan su negocio.

Figura 3: QRCode para garantizar la propiedad del sitio

Nosotros hemos estudiado a fondo los problemas de seguridad de WordPress, incluso sus limitaciones en arquitectura. Dichos trabajos se han plasmado en plugins para Faast, en el libro de Máxima Seguridad en WordPress y lo que se explica en la charla de Hardening WordPress like a Hacker que hicimos a finales del año pasado.

Figura 4: Resultados de las auditorías periódicas de un sitio WordPress

Ahora, hemos querido juntar todo ese en una herramienta "Self Service" en la que el administrador de un sitio pueda lanzar cuando lo desee un escaneo de seguridad a su WordPress desde nuestro servicio Faast for WordPress. Para ello debe demostrar que el servidor le pertenece añadiendo un QRCode (figura 3) que genera nuestra plataforma a su servicio.

Figura 4: Resultados de cada evaluación del sitio

Después, desde una consola muy sencilla cada usuario puede dar de alta su WordPress y lanzar los procesos de pentesting periódica o diariamente. Nosotros mantenemos toda la información de la knowledge base actualizada, y dando consejos de cómo solucionar cada una de las vulnerabilidades y/o debilidades que se detecten.


Figura 5: Funcionamiento de Faast for WordPress

El funcionamiento es muy sencillo, y para que lo veáis os hemos hecho este pequeño vídeo que muestra cómo sería la experiencia del usuario. Simplemente dar de alta del dominio, lanzar el escaner y recibir las indicaciones. Por detrás, toda la arquitectura de Faast funciona con un proceso de algoritmo voraz revisando todos los puntos del sitio.

Saludos Malignos!

jueves, octubre 12, 2017

Mí survivor

Te huelo el cabello. Lo llevas corto. Huele a bebé. Huele a paz. Huele a sosiego después del éxtasis. Pesas. Pesas mucho para llevarte encima 20 minutos. Pero cada vez que te huelo se recargan mis pilas dos puntos de energía. Los brazos te cuelgan como dos lianas. Los pies se balancean con el vaivén del movimiento de mi cuerpo. Mi paso es lento. He de llegar contigo a cuestas. Mi paso es cansado. De hombre mayor. Tu cabeza reposa en el hueco que forman mi cuello y mi hombro. Te huelo el cabello. Me das vida.

Figura 1: Mi Survivor

No sé qué será de ti. No sé qué te deparará la vida. Eres un misterio total para mí. Eres fuego. Eres binaria. Te enciendes por la mañana y estás activa a máxima potencia. Consumes la batería y te desplomas en mis brazos. No existe un segundo en tu día que no debas llenar con actividad. No existe un segundo que perder en contemplar. El centro de la acción es el sitio natural para ti. La primera en la fila. La primera en la lista. La mano levantada. El corazón que más palpita. La más grande, a pesar de ser chiquitina.

Te huelo el cabello. Me vuelves a dar vida. No importa tu peso. No importa el dolor por el cansancio en mis brazos. Este momento es mío. Eres mía y solo mía. Y sé que no será por mucho. Sé que el mundo se te va a quedar pequeño. Que no has venido para verlo, que has venido para pisarlo. Para abollarlo saltando sobre él. Para cambiar el trocito que ocupes a tu gusto. No has venido para ver las fotos. Has venido para gritar y reír. Para jugar.

Me necesitas menos de lo que me gustaría. Me ves, me abrazas, me dices que me quieres mucho. Capturas mi esencia en un instante. Y te vas. A jugar. A capturar otra esencia. A gritar a otro lado. A saltar. A disfrutar tu tiempo en la vida. A papaete ya le has visto suficiente y hay mucho por descubrir. No me necesitas tanto. Me haces sentir pequeño. “Yo solita”, me dices.

Te huelo el cabello. Ya hemos llegado. Te tumbo en la cama. Te desnudo para ponerte el pijama. Te despiertas un poco. Te tiro a Pepita y Mapachito sobre la cara para que los abraces. A ver si no te despiertas ahora que te tengo en la cama. Hoy te libras de lavarte los dientes por la noche. Sonríes con los ojos cerrados mientras abrazas a tus muñecos. Te mueves como una lagartija hasta colocarte debajo de las sábanas. Sonríes. Abres un ojo. Me ves. Te sonrió. “A dormir”, te ordeno. “Cuéntame un cuento de tu boca”, me mandas. Puedes conmigo. Como siempre. No pudo la vida contigo. No voy a poder yo esta noche. Eres mi Survivor.

Saludos Malignos!

miércoles, octubre 11, 2017

FRANKENWARE. Anatomy of a modern "malware": How easy bad guys can f*** the world?

En la pasada RootedCON de Valencia y Navaja Negra, tanto mi compañero en ElevenPaths Fran Ramírez como yo, tuvimos la suerte de llevar a cabo una charla en la que hablábamos de dos cosas que estaban relacionadas. El título de la charla lo dice todo, haríamos una anatomía de técnicas utilizadas por el malware moderno y que en el último año habían tenido uso real en campañas de ataque, mientras que por otro lado queríamos relacionar lo sencillo que es hoy en día para cualquiera acceder a la información de últimos exploits, técnicas de escalada de privilegio, incluso, ¿por qué no? código de keyloggers, ransomware o spyware.

Figura 1: FRANKENWARE. Anatomy of a modern "malware": How easy bad guys can f*** the world?

En RootedCON Valencia la charla tuvo un enfoque más orientado a ejemplificar lo fácil que es para cualquiera hoy en día encontrar trozos de código con funcionalidades de malware, juntarlos y que puedan obtener un software malicioso modular, a cuyo concepto se le denominó “Frankenware” y potencialmente, o tras su análisis estático, poco detectable. Lógicamente, nosotros no hacemos malware, por lo que era todo conceptual. Los colegas de Security Art Work hicieron un resumen sobre las diferentes charlas que os dejamos por aquí.

Para Navaja Negra, quisimos cambiar algún enfoque y se hizo un mayor hincapié en las técnicas utilizadas en el último año por diferentes muestras de malware para lograr infectar un equipo, propagarse y escalar privilegios en la máquina. Además, para relacionar el concepto de lo fácil que es encontrar trozos de código de funcionalidades de malware, incluyendo repositorios de código dónde encontramos exploits como EternalBlue o el CVE-2017-0199 que afectaba a Microsoft Word, técnicas de Bypass UAC implementadas en el lenguaje que se quisiera, etcétera, hicimos una pequeña herramienta para realizar búsquedas en Github y poder automatizar su evaluación estática por parte de Virus Total. Esto ejemplificaría lo fácil que es hoy en día.

Mi compañero Fran dejó bien claro que en 22 años las cosas han cambiado a la hora de construir malware, así como la complejidad. Cuando hablamos de complejidad nos referimos a lo difícil que era hace 22 años construir algo que fuera un keylogger y lo fácil que lo tienen hoy en día los malos. Si alguien quiere saber más sobre el ejemplo, debe consultar con Fran :O

Anatomía

En esta parte de la charla queríamos enseñar cómo el malware, en el último año, se había aprovechado de técnicas, tricks, exploits, engaños y otras vías para lograr sus objetivos. Para hacer esta ejemplificación tomamos 3 claros ejemplos de propagación, escalada e infección.
• La vulnerabilidad CVE-2017-0199 es una de las vulnerabilidades del año: Quizá no sea tan famosa con EternalBlue, pero tiene una gran potencia. Es una vulnerabilidad que afectaba a versiones de Office 2007 SP3, 2010 SP2, 2013 SP1 y Office 2016, solucionada por Microsoft en abril de 2017. Para explotarla, se utilizan enlaces incrustados tipo OLE2 dentro de ficheros Office. El formato más utilizado para realizar algún tipo de ataque aprovechando esta vulnerabilidad son los RTF. 
Dentro de estos ficheros se inserta el objeto OLE2 el cual a su vez se ejecuta de forma automática (simplemente abriendo el fichero adjunto) conectando con un sitio remoto desde el cual podríamos realizar la ejecución de código remoto (RCE). Uno de los ataques más comunes consiste en utilizar una combinación de un fichero con formato HTA el cual lleva incrustado a su vez el payload (generado por ejemplo con msfvenom de Metasploit) el cual se combina con otro fichero RTF para obtener finalmente un documento Office. 
Figura 2: Ataque con fichero HTA
Este fichero, generado con la unión de un HTA y un RTF será (ubicado en un servidor externo) será ejecutado cuando el usuario abra el fichero RTF que contenía el objeto OLE2 incrustado. Fue utlizada en una campaña de malware para la propagación del “bicho”.
• La técnica Fileless para hacer un bypass de UAC: Ya hemos hablado mucho sobre los bypasses de UAC en este blog, pero la técnica conocida como Fileless fue utilizada en una campaña de malware para lograr ejecutar el malware con el máximo privilegio.
Figura 3: Fileless UAC Bypass
El método de propagación fue el envío de un email con un Excel adjunto, el cual utilizaba la ejecución de una macro como medio de infección. Eso sí, se necesita la participación del usuario en el proceso, ya que se necesita que habilite las macros.
Por último, se comentó el caso de ZLoader, un troyano bancario que afectó a diversos bancos: En este caso el código se encuentra ofuscado en una macro insertada en un documento Microsoft Office (el caso más común son ficheros Excel) la cual realiza una conexión a un servidor externo (un C&C), para llevar a cabo la ejecución de código malicioso, payload.
Figura 4: Esquema de ZLoader
Una de las características más llamativas es que no funciona si las macros no están activadas en Office. Por lo que simplemente, solicita la activación al usuario través de un mensaje de texto en pantalla. En la imagen tenéis un esquema de funcionamiento.
Relacionando conceptos

Al final, tenemos una serie de características que abundan hoy en día en el malware y otras que dependen del instante y momento en el que nos encontremos, por ejemplo, las técnicas de bypass de UAC que pueden ayudar a escalar privilegio o, incluso, lograr persistencia de tipo fileless, o la utilización de exploits potentes, cuyo código se encuentra disponible y que está al alcance de cualquiera. Si miramos la siguiente imagen, observamos que el concepto de Frankenware existe y si se analiza malware de hoy en día es posible encontrar el concepto en ello.

Figura 5: Un Frankenware

Pero, la pregunta que queríamos responder es, ¿cómo de fácil pueden j****** el mundo? Para poder responder quisimos hacer un pequeño estudio sobre dónde conseguir código potencialmente malicioso, cómo poder tratarlo y dónde poder realizar un análisis estático. Sabemos que lo ideal sería un análisis dinámico para complementar el estudio, pero esto tendrá que esperar. Nos hicimos una receta:
1. Buscar a través de una palabra clave y un lenguaje concreto en Github. 
2. Descargar repositorios encontrados en función de la palabra clave. 
3. Transformar en binario y dejar una copia de los ficheros fuente para su evaluación. 
4. Subida de los ficheros a evaluar a VT. 
5. Obtener conclusiones de los resultados.
Esta parte me recordó, en parte, al estudio sobre los repositorios de código fuente de los entornos GNU/Linux u OSB-Rastreator. En primer lugar, creamos una serie de scripts en Python para automatizar las búsquedas sobre Github y obtener la descarga de los diferentes repositorios.

Figura 6: Búsquedas sobre GitHub

Posteriormente, una vez se descargan los repositorios se utiliza otro script que permite generar binarios para su evaluación estática. Aunque, hay que recordar, que no solo se evaluarán binarios, sino que también se evaluará el código fuente, por ejemplo, scripts de Python o Ruby.

Un tercer script es ejecutado para subir los binarios y ficheros fuente a VT, tal y como se puede ver en la imagen. Los resultados son almacenados y podemos decir que esperábamos un mayor nivel de detección, pero eso es subjetivo, claro.

Figura 7: Comprobación de binarios en Virus Total

Para poder mostrar todo el proceso de forma más cómoda, pedimos a nuestro compañero Santiago Hernández que hiciera una GUI en Python para mostrar este proceso de forma más cómoda o vistosa. El resultado fue este:

Figura 8: GUI en Python para la PoC

Como se puede ver, al menos de forma intuitiva, ganamos mucho. Además, Santiago mejoró los scripts y Franken tomó vida, así es como se llamó a la herramienta. Decidimos analizar una serie de palabras clave, relacionando funcionalidades típicas del malware con técnicas o exploits modernos. Los resultados son los siguientes:

Figura 9: Resultados obtenidos

Para finalizar, os dejamos un video de uso muy sencillo de la herramienta. Por el momento no se tiene pensado liberar, quizá se integre un análisis dinámico y la posibilidad de mejorar el reporting, que cómo se puede ver en el video es bastante interesante.

Figura 10: PoC of Frankenware

Y para terminar, nos gustaría recalcar que fue un honor estar en RootedCON Valencia y Navaja Negra 2017. Sin más, os dejamos con este artículo.

Autores: Pablo González Pérez (@pablogonzalezpe), escritor de los libros "Metasploit para Pentesters", "Ethical Hacking", "Got Root" y “Pentesting con Powershell”, Microsoft MVP en Seguridad y Security Researcher en ElevenPaths y Fran Ramirez (@cyberhadesblog) escritor de libro "Microhistorias: anécdotas y curiosidades de la historia de la informática" e investigador en ElevenPaths

Entrada destacada

Nuevo libro "Máxima Seguridad en Windows: Secretos Técnicos 4ª Edición" de @0xWord

Desde 0xWord se ha acelerado para tener a tiempo antes del verano la 4ª Edición del libro "Máxima Seguridad en Windows: Secretos Técn...

Entradas populares