miércoles, octubre 16, 2013

Encontrar las guaridas de los ladrones de identidad (1 de 3)

A la gente le gusta por lo general la comodidad. Cuanto menos trabajo y menos preocupaciones mejor. Las empresas, por su parte, suelen dar a clientes y usuarios aquello que les gusta. ¿Que hay que recordar una contraseña y ponerla cada vez que quieras arrancar tu programa de telefonía por Internet?... pues no te preocupes, que él lo hará por ti. ¿Que no quieres ni molestarte en iniciar sesión cada vez que accedes a tu webmail?... pues, nada, hacemos que la sesión persista incluso cuando tú cierres el navegador.

Contraseñas, cookies y otras credenciales acaban con frecuencia ocultas a nuestra vista, almacenadas por las aplicaciones a saber cómo. Y en algunas ocasiones, a base de no tener que escribirlas, llegamos a olvidarlas. Pero no hay que preocuparse demasiado: ya se sabe que hay herramientas que extraen las contraseñas que tenemos guardadas en nuestros sistemas. No hay más que buscar en Internet y...aparecerán.

Lo malo es que el malware también existe. Y hay programas que no se contentan con extraer las credenciales, tal y como lo puede hacer uno manualmente en cualquier servidor, sino que una vez que las tienen,se las envían a sus “amos”. ¡Y sin avisarnos siquiera!

Es por eso que dejar en manos de los usuarios las credenciales de cuentas que pueden conectarse dentro de tu sistema y no tener un sistema de Ciberseguridad que vigile tu CPD más allá de tus dominios es una mala idea.

HC Stealer: Un ladrón de credenciales

Por poner un ejemplo, ahí tenemos a HC Stealer. El propio nombre da una pista sobre lo que es: un stealer, un ladrón. Un ladrón de credenciales que mira en el registro de sistemas Microsoft Windows y los ficheros de configuración de las aplicaciones más comunes y envía a su “amo” todo lo que encuentra.

Quizá ya haya quien que se esté frotando las manos, pensando en las cosas malas que se puede hacer con una herramienta como ésta. Quizá, pero no voy a ser yo quien le enseñe. Manuales y vídeo tutoriales, algunos bastante largos, los puede encontrar uno en Internet por montones, pero la mayoría son para acabar en esquemas tradicionales de Fraude Online. Eso sí, que cada cual se ande con cuidado cuando visite ciertas páginas o instale cosas descargadas de aquellas fuentes o maneras. Y que todo el mundo tenga claro que no se debe hacer nunca cosas ilegales.

Su funcionamiento, para entender este artículo, lo resumiré de este modo: El delincuente dispone de un servidor web en el que aloja un script, normalmente escrito en PHP, que recibirá y gestionará la información de sus víctimas. Es habitual ver como se recomienda utilizar servidores gratuitos para esto. Gratuitos por las buenas, que los hay, o por las malas que son owneados, que de eso también se encargan ellos.

A riesgo de alejarme de mi tema, vaya aquí un detalle “técnico”: si uno echa un vistazo al script PHP que suele controlar todo esto en HC Stealer, notará que el malware le manda los datos mediante parámetros GET. O sea, que si no se usa HTTPS, lo que es frecuente en los servidores gratuitos, todo irá en abierto y podrá ser visto por cualquiera. Alguno de estos scripts, por supuesto, acabará indexado Google. Como el de la siguiente imagen, que ni estaba del todo bien terminado ni, a la vista de lo que sale, tampoco convenientemente ofuscado:

Figura 1: Panel de control de HC Stealer indexado en caché de Google

Lo que le saldría a un usuario autenticado es un listado de usuarios, sitios y credenciales. Si a alguien le interesa verlo “en bonito”, que busque en Google Images la cadena hc stealer  y tendrá para hartarse.

Teniendo ya donde ir mandando las cosas, el malandrín utilizará el módulo de creación de ejecutables de HC Stealer para generar un programa que le haga el trabajo de robar las credenciales almacenadas en los equipos que infecte. Ahí podrá configurar un montón de cosas. Entre ellas, por supuesto, la URL a la que mandar la información. Después utilizará su magia negra (básicamente, engaños) para que este programa se ejecute en los ordenadores de la gente. Y se sentará a la espera de que vayan apareciendo contraseñas.

Listados de contraseñas en paneles de control de HC Stealer

Como todo buen programa de gestión, la consola de HC Stealer tiene una opción para exportar los datos. El código fuente deja claro el formato:
while ($row = mysql_fetch_array($result)) {
echo "Program:\t".$aplications[$row['program']]."\r\n";
echo "Url/Host:\t".$row['url']."\r\n";
echo "Login:\t\t".$row['login']."\r\n";
echo "Password:\t".$row['pass']."\r\n";
echo "Computer:\t".$row['computer']."\r\n";
echo "Date:\t\t".$row['date']."\r\n";
echo "Ip:\t\t\t".$row['ip']."\r\n";
echo "----------------------------------------------------------\r\n";
}
Muy bonito. Pero sabiendo, como sabemos, que ninguno de nosotros le va a calzar malware a nadie (¿verdad?)... ¿para qué nos sirve todo esto que llevamos visto?

¿Para qué? Bueno, todo depende. Puede que alguna vez nos encontremos con un listado de éstos. Y nos convendrá saber de qué se trata. Pero es que, además, una vez que conocemos un formato de datos podemos crear dorks para localizarlos en Internet. Sí, precisamente eso que por estos lares se denomina “Hacking con Buscadores” a estas técnicas. De modo que si sabemos que hay por ahí cosas como:
Program: Internet Explorer
Url/Host: http://www.example.com
Login: admin
Password: 12345678
Computer: Mi_PC
Date: 01-01-2013 08:24:22
IP: 192.168.0.1
… Puestos a ser curiosos… ¿por qué no ir buscándolas? Un dork que se podría utilizar para encontrar en Google los ficheros con este formato sería: "program * url/host" ¿Encontraremos algo con esta búsqueda? Pues parece que sí:

Figura 2: Datos robados con HC Stealer indexados por Google

Un buen número de páginas, aunque Google nos va a dar después muchas menos. En este ejemplo, y en varios más de los que seguirán, es posible que Google muestre inicialmente sólo unos cuantos resultados y que, al final nos salga eso de: Para mostrarte los resultados más relevantes, hemos omitido algunas entradas muy similares a las 6 que ya se muestran. Si lo deseas, puedes repetir la búsqueda e incluir los resultados omitidos. Ya sabes. Si lo deseas…

El caso es que hay muchos resultados. Más de las que uno podría esperar de algo que se hace normalmente para ganar dinero y que, de conocerse, se devaluaría rápidamente. Porque una vez que se publica una contraseña cualquiera puede utilizarla y cambiarla. Pero cada uno tiene sus motivos.

Algunas veces las dejan en PasteBin gente que hace todo esto por hobby - mal hobby se buscaron, que los puede llevar a vestir con rallas horizontales - y quieren demostrar lo grandes que son. Otras son sólo muestras que un vendedor deja en sus anuncios para atraer a los clientes. Otras, exportaciones que alguien hizo y guardó donde no debía. Otras tienen detrás grupos activistas. Otras...

Figura 3: Anuncio de ventas de log de HC Stealer/iStealer

Pero sigamos jugando con el hacking con buscadores. Añadamos ahora condiciones al dork anterior. Por ejemplo, para buscar credenciales de acceso a equipos pertenecientes a intranets se puede probar cosas como las siguientes:
"program * url/host" 192.168
"program * url/host" 172.16
… etc. Y nos aparecerán datos del tipo:

Figura 4: Datos robados de una Intranet

O direcciones IP típicas de routers, como 192.168.0.1 y que, si el aparatito es gestionable desde “fuera”, eso que llaman WAN, puede dar mucho juego.
"program * url/host" 192.168.0.1
Tanto en uno como en otro caso, se debe tener en cuenta que uno de los datos que aparecen en el listado es la dirección IP pública de la víctima. Y eso también puede dar para un rato de “diversión”.

Si estamos interesados en accesos por FTP, buenos sitios de los que coger cosas y también donde ponerlas, podemos preguntar por algún conocido cliente de FTP, como por ejemplo:
"program filezilla url/host"
Figura 5: Contraseñas almacenadas en el cliente Filezilla robadas con HC Stealer

… o, directamente, “atacando” al protocolo
"program * url/host" ftp
Figura 6: Datos indexados en Google con cuentas de acceso a servidores FTP

Y puesto que muchos webmasters suben y modifican sus webs a través de FTP, si se consiguen estas credenciales se pueden hacer muuuuuchas cosas. Hasta aquí la primera parte, que ya se ha hecho muy largo. En la segunda podéis seguir leyendo parte de la historia, para ver si tomamos un poco de conciencia de la necesidad de aplicar, como dice  Sergio de los Santos en su libro, Máxima Seguridad en Windows.

Autor: Enrique Rando
Escritor del libro Hacking con Buscadores

****************************************************************************************
Encontrar las guaridas de los ladrones de identidad (1 de 3)
Encontrar las guaridas de los ladrones de identidad (2 de 3)
Encontrar las guaridas de los ladrones de identidad (3 de 3)
****************************************************************************************

5 comentarios:

JuanQ dijo...

Buen tema, aunque incluye demasiada paja en mi opinión.
Saludos!

Anónimo dijo...

Buen artículo, pero creo que es algo pueril lo de meter publicidad de los libros en el artículo y al final del mismo. Puedes ponerlo como una anotación sólo al final, pero así escrito parece metido con calzador.

Insisto, el artículo me ha gustado.

Unknown dijo...

buenas tardes tengo un problema.,necesito saber nada mas que la fecha de nacimiento de una persona o aunque sea el correo.,tengo data de la persona publicaciones y demas., pero no encontre nunca la fecha de nacimiento o el mail., me podrian ayudar?

alex dijo...

yo lo veo muy similar a este enlace.... de Enrique Rando...
http://buhosec.com/SecNews/?cat=16

Anónimo dijo...

http://tecnicaquilmes.fullblog.com.ar/encontrar-las-guaridas-de-los-ladrones-de-identidad-1-de-3.html

Entrada destacada

Programa de Especialización "Inteligencia Artificial para Expertos en Ciberseguridad" 2ª Edición.

Hoy, en medio del verano, os traigo información de la 2ª Edición del   Programa de Especialización  de "Inteligencia Artificial para Ex...

Entradas populares