domingo, mayo 16, 2021

TypoDetect: Una herramienta para detectar dominios de tus enemigos

Sin duda una de las técnicas más usadas en ataques de Phishing y Smishing, es el Typosquatting, el cual se aprovecha de la capacidad del cerebro humano en hacer correcciones inmediatas de palabras mal escritas, o de palabras faltantes en un texto. Esta es una habilidad muy útil para la lectura rápida y para minimizar el consumo de energía por el cuerpo en el momento de leer, razón por la que la lectura es tan relajante. Sin embargo, esta capacidad puede también ser utilizada por los malos en nuestra contra.

Figura 1: TypoDetect. Una herramienta para detectar dominios de tus enemigos

Existen muchos tipos de modificaciones que se pueden hacer a una palabra para que pueda ser usada en un engaño, por lo que para detectarlos hemos creado TypoDectec, - que puedes usar en tu Kali Linux - una herramienta en la que se se codificaron todos los tipos conocidos para así poder generar la mayor cantidad de posibilidades. Para entender los métodos que ejecuta la herramienta hemos hecho esta tabla con el dominio elladodelmal.com

Figura 2: Mutaciones de dominios creadas para elladodelmal.com

Una de las mutaciones que otras herramientas no toman muy en cuenta es el cambio de TLD (Top Levels Domains) o TLD Swap, pero esta mutación es muy importante si se tiene en cuenta que tomando solo los TLD de países son más de 500 y que con las nuevas normas de la IANA, cualquier palabra puede ser un TLD válido y no como al inicio de Internet que solo existían 6 TLD’s aprobados. 

Figura 3: Lista de TLDs actualizada. (imagen de ayer)

Con los cambios en la política de las IANA, casi diariamente aumenta el numero de TLD permitidos, así que la herramienta tienen esto en consideración para acceder a la publicación de la lista y actualizar las posibles mutaciones que se generen. Es así como del dominio elladodelmal.com se generan 689.921 mutaciones, las cuales como se ve de la imagen siguiente, se generan de los tipos de mutaciones antes mencionadas.

Figura 4: Ejecutando TypoDetect para crear mutaciones

Una vez, el sistema tiene la lista de mutaciones inicia las pruebas de si el dominio esta o no activo, para lo cual usa DNS over HTTPS (DoH), esto debido a que además de darnos los valores tipo A y tipo MX del dominio, nos brinda la posibilidad de tener una valoración del nivel de seguridad del dominio según su calificación de filtrado. Así, usando el servidor de DoH de ElevenPaths, obtenemos la respuesta y según el contenido se crea un JSON con todos los datos de DNS y la valoración de seguridad, con esta estructura.

Figura 5: JSON con resultado de dominios encontrados

Y para complementar la búsqueda se realizan las pruebas de que existen los dominios en la nueva red de DNS, denominada Blockchain-DNS, la cual se creo con la promesa de no poder rastrear los dominios que se usan al navegar, pero que desafortunadamente también a permitido el uso para actos maliciosos.

Figura 6: Demo de utilización de TypoDetect

Cuando el proceso de validación termina, lo cual se puede tardar unas horas, la herramienta pone en pantalla los dominios detectados como maliciosos y los detectados en Blockchain-DNS, pero crea un archivo JSON o TXT, con las respuestas de todos los dominios detectados como activos.
Es así como esta herramienta Open Source, que está disponible en el GitHub de Telefonica en el  repositorio de TypoDetect,  le brinda una capacidad más de detección a los equipos de defensa y Threat Hunting en sus labores diarias, que pueden integrar en sus procesos.

Saludos,

Autor: Diego Samuel Espitia Montenegro, CSA de ElevenPaths, Colombia

sábado, mayo 15, 2021

El cielo tiene nubes, está enladrillado y es imprevisible: Debates para pensar en disrupción tecnológica.

Hoy sábado os traigo material para entreteneros escuchando a gente interesante. El vídeo del OpenExpo Buisness Live centrado en Cloud para los negocios y las empresas, un nuevo podcasts de El cielo está enladrillado con la divulgadora Silvia Leal, y un nuevo capítulo de ElevenPaths Radio con Marta García Aller. Tecnología, emprendimiento, divulgación. Material para actualizar el cerebro, que siempre viene bien tener buen alimento para pensar más.

Figura 1: El cielo tiene nubes, está enladrillado y es imprevisible.
Debates para pensar en disrupción tecnológica.

El primer vídeo, como os he dicho, es el Cloud Day. Son tres horas de vídeo, pero tienes cuatro partes diferenciales. Hay primero una mesa de debate sobre transformación de negocios con Cloud Computing presentada por Philippe Lardy y luego hay una charla de Susana Juan - con la que he trabajado alguna vez en nuestro pasado haciendo cosas en Microsoft -.


Figura 2: OpenExpo Business Live: Cloud Day

Después hay otra mesa de debate, en este caso con Iñaki Ayudar, que además de hacer los cursos en vídeo de RAM ROM Check que puedes ver gratis en Movistar Campus sobre cómo hacer juegos, es Cloud Software Architect en mi equipo en Telefónica. Antes de ello estuvo en Electronic Arts trabajando en juegos de la franquicia, wait for it,  de Star Wars y antes de eso, en Microsoft, donde llegó después de haber estado años nombrado como Most Valuable Professional por su trabajo en el mundo del emprendimiento, que se lanzó a crear una empresa de simuladores de conducción.

Figura 3: Beatriz Cerrolaza, CEO de MyPublicInbox,
Iñaki Ayucar CTO de Digital Home en Telefónica
y Fernando Guillot, director de Wayra Builder.

También están en la sesión Fernando Guillot, que llevó algún tiempo el programa de colaboración con startups de Microsoft Azure, y que ahora dirige el programa Wayra Builder en Telefónica, creando nuevas empresas centradas en la innovación, como Shaadow.io, la startup que dirige como CEO Isabel Hernández Ruíz, que también está en esta segunda mesa de debate. Después termina la sesión con una entrevista a Rafael Gil Horrillo de Mobility ADO.


El siguiente vídeo es una nueva entrega del podcast "El cielo está enladrillado" en el que Philippe Lardy, Paco Estrada y Beatriz Cerrolaza desenladrillan a Silvia Leal, que para quién no la conozca va a ser todo un descubrimiento. Silvia Leal es divulgadora científica, Doctora Cum Laude en sociología, experta en tecnología y transformación digital. Es capaz de contagiar un gran optimismo por el futuro, con mensajes adaptados a todo tipo de audiencias, por lo que más de cien empresas confían en ella sus eventos cada año.


Figura 5: Desenladrillando a Silvia Leal

Además, transmite de forma muy sencilla las cosas más complejas, lo que le ha permitido colaborar estrechamente con medios de comunicación como Agencia EFE, El País y RTVE. Tras tres años con una sección semanal en el programa Emprende, ha conseguido su propia serie de televisión en RTVE: "La Cuarta Revolución". Si quieres, puedes contactar con ella a través de su buzón público en MyPublicInbox.
El tercer - y último vídeo por hoy - es una nueva entrega del podcast de ElevenPaths Radio. En los tiempos que corren, el mundo se ha vuelto más imprevisible que nunca. La tecnología facilita la vida de las personas y podemos pensar que en el futuro, muchos de los problemas que existen hoy en día, estarán resueltos gracias a ellos. Pero también cabe preguntarse ¿hasta dónde llega el poder de la tecnología y qué puede y qué no puede controlar? 

Figura 7: Entrevista a Marta García Aller

Para profundizar en estas y otras cuestiones, tienes como invitada en este podcast a Marta García Aller, profesora del IE, periodista de El Confidencial y autora de varios libros. Si aún no lo has leído, hazte ya con el último de ellos, “Lo imprevisible”.


Por supuesto, los podcasts que hoy os he dejado en este artículo los podéis escuchar todos a través de Movistar Home, que tiene todos los de la plataforma Ivoox con la que estamos integrados, así que puedes escucharlos solo con decir:

"OK Aura, quiero escuchar el podcast de El cielo está enladrillado".

¡Saludos Malignos!

viernes, mayo 14, 2021

UCA Cybersecurity Day: Este sábado una CON de Hacking Online

Este sábado 15 de Mayo tiene lugar en la Universidad de Cádiz el UCA Cibersecurity Day, un evento al uso de las CONs de hacking y ciberseguridad en nuestro país, y donde desde 0xWord hemos querido colaborar con ellos con algunos libros para regalar como premios en el CTF, y creando un código promocional para comprar todo el material de la tienda de 0xWord durante este sábado con un 10% de descuento usando como cupón: UCACYBERSECURITYDAY.

Figura 1: UCA Cybersecurity Day. Este sábado una CON de Hacking Online

En el evento, los miembros del Consejo de Estudiantes de la Universidad de Cádiz, encabezados por Pedro José Navas Pérez, Francisco José Gutiérrez Medina y Jesús Lagares Galán, han preparado una agenda con ponentes como Aarón Flecha, Pablo González que es nuestro "Head of Ideas Locas" en Telefónica, Ofelia Tejerina, que es la presidenta de la Asociación de Internautas, Ramsés Gallego o Adrián Rodríguez, entre otros. 
Además, hay actividades en paralelo, como la competición de Capture The Flag, y no solo habrá ponencias, ya que también hay talleres. Puedes consultar todo lo relativo a este evento y ponerte en contacto con la organización de la UCA Cybersecurity Day en el buzón del Consejo de Estudiantes de la Universidad de Cádiz en MyPublicInbox
Además, para conocer un poco más del evento, yo he querido hacerle unas preguntas sobre el mismo a Pedro José, que tenéis aquí en forma de una pequeña entrevista. Puedes registrarte y participar aún, ya que se va hacer 100% online a través de Zoom, con lo que aprovecha esta oportunidad para pasar un sábado aprendiendo sobre hacking y ciberseguridad.

1.- Pedro José, queremos conocerte mejor, cuéntanos, ¿quién eres?, ¿cómo te presentarías?

Pues soy un estudiante de Ingeniería Informática en la UCA, que desde hace unos 5 meses me encuentro trabajando en en el equipo de auditorías de Hispasec. Me encanta aprender cosas nuevas sobre todo si están relacionadas con pentesting, redes, y análisis forense.

Dentro del mundillo de los CTFs se me conoce con el nickname de srbleu y actualmente soy parte del equipo de CTF Flaggermeister que fundamos yo y un par de amigos a finales del año pasado.

2.- ¿Qué te movió para estudiar el grado de informática y enfocar tu trayectoria profesional al mundo de la ciberseguridad?

Desde pequeño siempre tuve bastante interés por los ordenadores, supongo que el hecho de que mi padre sea profesor de informática ayudó a que eligiese un poco este camino. En cuanto al enfoque en el mundo de la ciberseguridad, siempre me ha llamado muchísimo la atención, de hecho pasé muchas horas en clase leyendo artículos del blog de cyberhades (de Fran Ramírez y Rafael Troncoso) durante la secundaria, claro que en esa época tampoco entendía mucho del tema y acabé por dejarlo un poco de lado. Luego ya al entrar en la universidad retome la afición al adentrarme un poco en el mundo de los CTFs y ha sido un no parar desde entonces.

3.- ¿Cómo nace?, ¿de dónde surge la idea de organizar UCA Cybersecurity Day?

Ya hacía un par de años que en la universidad queríamos asistir a eventos sobre seguridad informática, pero por una cosa o por otra, siempre era algo que se quedaba en el tintero. Así que este año, en medio del COVID, varios alumnos dijimos: "Oye, ¿y si formamos nosotros un evento?", y unos 8 meses después, da inicio UCA CybersecurityDay

Es un evento que nace de la propia necesidad de los estudiantes para aportar información punta de lanza en el sector de la Ciberseguridad, demostrando también que en el sur podemos montar grandes cosas.

4.- Como miembro del comité organizador del evento, dinos, ¿cuál es el objetivo de esta jornada?, ¿qué se encontrarán los asistentes en ella?

Uno de los principales objetivos de la jornada es tender puentes entre la universidad y el mundo laboral, la universidad y el mundo laboral no pueden ser dos mundo aislados, en mi opinión deben convivir y enriquecerse mutuamente. Y ahí es donde entra UCA Cybersecurity Day con una propuesta para aunar estos dos mundos, con una propuesta atractiva tanto para el estudiante que pretende iniciarse en este mundo como para el mundo empresarial y gente con experiencia en el sector.

Los asistentes encontrarán ponencias de rigurosa actualidad sobre temas a la orden del día como son las infraestructuras críticas, la ciberinteligencia o la legislación en el ciberespacio, de la mano de ponentes de altísimo nivel como son Aron Flecha, Pablo González u Ofelia Tejerina por darte un par de nombres.

5.- Por último, como estudiante recién salido al mercado laboral, cuéntanos tu experiencia y recomendaciones para aquellos estudiantes o personas que quieran empezar abrirse camino en esta profesión.

Bueno mi experiencia con el mundo laboral está siendo genial, trabajo de algo que me encanta y con gente a la que ya admiraba antes de entrar y que me han acogido con los brazos abiertos. Para el que quiera empezar desde 0 y no sepa por dónde, yo les recomendaría que empezase por adquirir una bases fuertes de redes y luego diese el salto a plataformas como TryHackMe o HackTheBox y participasen en CTFs. 

En cuanto a que les recomiendo a aquellos que quieran trabajar en el mundo de la seguridad, en mi opinión lo mejor que pueden hacer es tener iniciativa y estar dispuestos a aprender muchísimo pues el mundo de la seguridad informática está en constante cambio y por ende los que trabajamos en ella también.

Saludos Malignos,

jueves, mayo 13, 2021

GeeksHubs Academy te patrocina Tempos en MyPublicInbox #HackYourCareer

Si eres uno de los miles de usuarios de MyPublicInbox que utilizan diariamente la plataforma para comunicarse con personas con perfil público relevantes de forma respetuosa, hoy tenemos una buena noticia, porque gracias a GeeksHubs Academy, con quien hay un acuerdo de colaboración entre la plataforma para dar un servicio de comunicación con sus estudiantes más allá de las formaciones, y para que ellos puedan acceder a contactar a los profesionales de MyPublicInbox que les ayuden a "Hackear su Carrera Profesional".
Para ello, cuando entres en tu cuenta de MyPublicInbox - si no eres un Perfil Público - verás un botón arriba la derecha con la opción de acceder a los Tempos patrocinados por algunos de nuestros partners, que te van a ayudar a tener saldo en tu wallet que puedes utilizar para contactar con los perfiles públicos.

Figura 2: Reto de GeeksHub Academy en MyPublicInbox

En el caso de GeeksHubs Academy vas a entrar en un "reto" en el que te vamos a mostrar un vídeo que debes ver, para poder responder correctamente a una pregunta que irá cambiando, así que más vale que prestes atención.

Figura 3: Vídeo del reto de GeeksHub Academy que tienes que ver

Nada más acabar el vídeo te llegará esa pregunta, con la que puedes conseguir los primeros 25 Tempos, que son de agradecimiento por tu tiempo al estar prestando atención al vídeo que te muestran, donde te van a hablar del trabajo que hacen.

Figura 4: 25 Tempos por responder correctamente a la pregunta del vídeo

Una vez que consigas responder correctamente a la pregunta, tendrás la opción de estar más cerca de GeeksHubs Academy y suscribirte a su newsletter de comunicación, lo que te premiarán con otros nuevos 25 Tempos, que tendrás disponible en tu wallet.

Figura 5: 25 Tempos por suscribirte a la newsletter de GeeksHubs Academy

Como verás, hay varias empresas ya que están valorando tu tiempo cuando tú te acercas a ellos, igual que tú valoras el tiempo de los profesionales que están en MyPublicInbox como Perfiles Púbicos cuando te acercas a ellos.

¡Saludos Malignos!

miércoles, mayo 12, 2021

Armas de fuego hechas con Impresión 3D: Riesgos y Peligros

La Impresión 3D ofrece infinidad de posibilidades a la hora de diseñar y crear piezas de todo tipo y para toda clase de aplicaciones, con la llegada de nuevos materiales mas técnicos cada vez es más sencillo crear piezas cada vez mas funcionales y no solo prototipos. En el mundo Maker, nosotros hemos escrito mucho sobre cómo mezclar la Impresión 3D junto con proyectos de Raspberry Pi, Arduino, Micro:Bit o Drones, para hacer proyectos fantásticos. E incluso hay una ONG llamada Ayúdame 3D que se dedica a crear prótesis a personas utilizando 3DPrinting. Pero también tiene usos malos, como puede ser la fabricación de armas de fuego caseras.

Figura 1: Armas de fuego hechas con Impresión 3D: Riesgos y Peligros

Hace apenas unos días pudimos ver en los informativos un caso en el que la policía había desarticulado un taller clandestino ubicado en Tenerife que se dedicaba a la fabricación y tráfico de armas impresas en 3D. Este descubrimiento fue posible gracias a la detención de un simpatizante del movimiento supremacía blanca al que habían descubierto comprando componentes químicos para la fabricación de artefactos explosivos. 

Figura 2: ONG Ayúdame 3D

Durante la redada en el establecimiento donde el sujeto fabricaba las armas la policía encontró al menos 19 cuerpos de arma corta, varios cargadores y correderas sin número de serie además de algunos accesorios como silenciadores o visores holográficos. En el “taller de armas” también se encontraron varios manuales de guerrilla urbana y fabricación casera de explosivos. Por el momento no se sabe si este sujeto llegó a comercializar alguna de las armas fabricadas.

Figura 3: Cuerpo de pistola glock siendo impreso en una impresora Prusa

Este caso en particular se dio en el mes de septiembre, pero debido a la preocupación de las autoridades se ha mantenido en secreto hasta hace un par de semanas. La Policía Española no dudó en alertar de esta nueva amenaza a otras policías europeas y organismos internacionales como la Interpol o Europol con el fin de coordinar un grupo dedicado a la investigación de este tipo de organizaciones. Durante el próximo otoño España acogerá un congreso europeo sobre la fabricación de armas impresas en 3D para debatir cual es el riesgo real de este tipo de artefactos, como regular su fabricación y cuáles son los mejores métodos para combatir con esta amenaza. 

Durante el congreso se harán una serie de demostraciones y pruebas, como la de la impresión de un arma, y la realización de pruebas con la misma en el campo de tiro de la Policía de Canillas. Es importante tener en cuenta que a pesar de que algunos de los diseños que se pueden encontrar en la red sean bastante seguros una mala configuración a la hora de imprimirlo puede suponer un gran riesgo para la integridad estructural del arma pudiendo llegar a herir gravemente a la persona que la utiliza.


Figura 4: Policía desmantela taller clandestino de armas.

Esta no ha sido la primera vez que se ha dado un caso parecido en Europa, hace 3 años un ataque con armas impresas en 3D dejó dos víctimas mortales en una sinagoga de Halle en Alemania. El autor del tiroteo había adquirido una impresora 3D unos meses antes de cometer el atentado y llegó a ensamblar hasta 5 armas completas. Por suerte para el resto de personas que se encontraban en la sinagoga las armas impresas por el sujeto no eran del todo fiables y se encasquillaron en varias ocasiones haciendo que no hubiese más víctimas mortales. 

El diseño e impresión de armas con impresoras 3D es una práctica mas habitual de lo que creemos, sobre todo en Estados Unidos, donde hace aproximadamente una década se vio por primera vez la “Liberator”, una pistola capaz de disparar seis veces seguidas y cuyo diseño fue retirado de Internet por las agencias de inteligencia estadounidense en cuanto se supo de su existencia, pero que se puede encontrar en muchos rincones de la DeepWeb.
La Liberator solo necesita una pieza metálica, el percutor, y es totalmente adaptable para utilizarse con munición de distintos calibres. Durante esta década la Impresión 3D ha avanzado a pasos agigantados y ha hecho que hoy en día prácticamente cualquiera pueda acceder a una impresora 3D por menos de 200 € haciendo más fácil que cualquier ciudadano u organización criminal pueda fabricar sus propias armas desde casa. 

Otro de los problemas para la policía es detectar este tipo de talleres clandestinos ya que al contrario que los laboratorios o plantaciones de droga el consumo energético de una granja de impresoras 3D no es muy elevado y los materiales necesarios para fabricar este tipo de armamento se puede obtener legalmente y sin llamar la atención.

Figura 6: Pistola Liberator impresa en 3D completamente irrastreable.

En Estados Unidos ya existen leyes que regulan la producción y distribución de este tipo de artefactos, de hecho, allí es totalmente legal que cualquier ciudadano pueda fabricarse un arma en casa, con lo que todos los controles que se realizan en las armerías dejan de ser eficaces, en la única situación en la que se requeriría una licencia especial sería si queremos realizar producción en serie.

Cody Wilson, el creador de la Liberator, que en 2012 fue designado como una de las 15 personas más peligrosas del mundo por la revista Wired, también es el fundador de Defense Distributed, una organización que se dedica al desarrollo y publicación de diseños de armas de fuego de manera gratuita con el fin de que puedan replicarse utilizando impresoras 3D. En 2013 tras hacer público el diseño de la Liberator, Cody aseguró en una entrevista que a pesar de que Estados Unidos sea uno de los países con una legislación muy permisiva para las armas, España había sido el país en el que más veces se había descargado su archivo.

Figura 7: Defcad, el mayor repositorio del mundo dedicado a la impresión de armas 3d.

Antes de fundar su empresa, Cody era un estudiante de segundo curso de derecho en la Universidad de Texas, y a través de Crowdfounding, Wilson logró recaudar más de 20.000 USD  con los que pretendía alquilar una impresora 3D de la empresa Stratasys. Tras conocer las intenciones de Defense Distributred Stratasys rescindió el contrato por considerar la fabricación de armas de fuego un acto ilícito. Esto no freno a Cody, que no dudó en acudir a la ATF para informarse acerca de la legislación y regulaciones existentes relacionadas con la fabricación casera de armas. Antes de poner en marcha su proyecto se aseguró de conseguir una Licencia Federal de Armas de Fuego que le permitiese diseñar, fabricar y distribuir sus propios componentes.

Figura 8: Ghost Gunner y algunos de los Starter Packs ofrecidos por DD.

Durante los últimos años Defense Distributed ha diseñado y compartido numerosos archivos para la fabricación de armas de todo tipo, desde pistolas hasta el mecanismo mas resistente impreso en 3D para AR-15 o cargadores para armas como el AR-15 y el AK-47. De hecho, también ha desarrollado su propia máquina CNC y un software propio (Ghost Gunner) con el que optimizar la fabricación de piezas de armamento caseras. En su página web también vende algunas de sus piezas (en formato físico) o kits para principiantes. La empresa de Cody también es la responsable de Defcad, el mayor repositorio del mundo de armas y partes impresas en 3D.

En 2018 un juez de Washington prohibió a Defense Distributed la publicación de sus planos alegando que podían provocar “daños irreparables”. Tras estudiarse de nuevo la legislación acerca de la fabricación y distribución de armas caseras, Cody Wilson ha reabierto su sitio web para que todos aquellos ciudadanos estadounidenses que quieran tengan acceso a estos archivos. La estrategia utilizada para reactivar el sitio web ha sido muy sencilla ya que la justicia ordenó cerrar el sitio web por “distribuir planos de armas de fuego gratuitamente” por lo tanto la orden solo prohíbe la distribución gratuita de los planos, pero no la comercialización de los mismos.

Figura 9: Algunos de los últimos modelos de piezas y armas añadidos tras la vuelta de Defcad.

Con este movimiento, Defense Distributed ha reactivado su página web y ofrece una suscripción anual por 50 USD  (únicamente para los residentes en EEUU) con la que se da acceso a lo que su fundador ha denominado “El Netflix de las armas”, donde hay videos, tutoriales e instrucciones para construir cualquier tipo de arma, desde pistolas hasta fusiles automáticos o escopetas, todos ellos sin numero de serie y capaces de pasar por los arcos de seguridad de un aeropuerto sin hacer saltar la alarma. Con esta jugada DD también ha conseguido una gran notoriedad e impulso mediático que llevó a la empresa a recaudar casi 250.000 USD en donaciones solo en la primera semana desde la reapertura del sitio web.

A pesar de que Defcad siga activo, algunos legisladores estadounidenses todavía no se dan por vencido y ahora se acogen a la Ley de Armas de Fuego Indetectables que prohíbe expresamente la fabricación, posesión y venta de armas que no activen detectores de metales. A pesar de que con esta ley se busque frenar la impresión de armas en 3D no existe ninguna otra ley que regule el diseño o la distribución de los planos de las mismas, por lo tanto, a falta de una prohibición directa o una ley que establezca que tipo de contenidos pueden publicarse en la red Defcad no tendrá ninguna traba para continuar ofreciendo su nuevo programa de suscripciones anuales.
 
Saludos,
 
Autor: Sergio Sancho, Security Researcher en Ideas Locas.

martes, mayo 11, 2021

Cómo explotar una vulnerabilidad de DLL Hijacking en Slack para Windows

Hasta aquí hemos hablado sobre qué es una DLL y en qué consisten las técnicas de DLL Injection, y también de cómo detectar oportunidades para el DLL Hijacking usando Process Explorer, en el caso de nuestro ejemplo en Slack para Windows. Ahora nos toca continuar el trabajo donde lo dejamos e intentar explotar esta oportunidad de DLL Injection

Figura 1: Cómo explotar una vulnerabilidad de DLL Hijacking en Slack para Windows

Como hasta este momento no hemos analizado el binario, no sabemos cómo reaccionará el programa frente al ataque, por lo que la única manera de saber si alguna de esas DLL hace al programa realmente vulnerable al hijacking es mediante ensayo y error. Por norma general, para demostrar un DLL Hijacking de forma práctica se suele recurrir a un programa que simplemente cargue una DLL en tiempo de ejecución mediante la función LoadLibrary(). El ejemplo típico es el siguiente:

Figura 2: Código prototipo en la demostración de un ataque de DLL Hijacking

Hacer un DLL hijacking a este programa es trivial ya que basta con crear una DLL que contenga en su entry-point un payload que nos ayude a identificar que esta DLL maliciosa se carga. En el caso de la siguiente figura el payload es una caja de texto con un mensaje.

Figura 3: DLL maliciosa cuyo payload lanza una ventana con un texto cuando se ejecuta

En este caso, al utilizar la función LoadLibrary() sin especificar la ruta absoluta de la DLL se buscará primero en el directorio de la aplicación (donde se ha depositado la DLL maliciosa previamente) y cuando se cargue la DLL maliciosa se ejecutará el lanzando el mensaje que habíamos escrito:

Figura 4: Resultado de la ejecución del payload

El problema surge cuando queremos ejecutar este mismo ataque con programas reales, entonces observamos que este ejemplo no es muy representativo en la práctica real. Cuando se trata de programas complejos la mayoría de las DLL que identificaremos como vulnerables al hijacking se cargarán mediante vinculación implícita (a través del linker) y, además, tendremos que asegurarnos de que la ejecución del programa no se rompa cuando se cargue la DLL maliciosa en vez de la DLL legítima. 

Figura 5: Libro de Hacking Windows en 0xWord
de Valentín Martín, Carlos García y Pablo González

Esto significa que nuestra DLL maliciosa debe contener, de alguna manera, las funciones que el programa importaría de la DLL legítima. Para lograr esto vamos a recurrir a una técnica conocida como DLL Proxying.

Efectuando un DLL Proxying

Como no sería práctico copiar o replicar en nuestra DLL cada una de las funciones que exporta la DLL legítima a la que intentamos suplantar, vamos a aprovechar la capacidad que nos ofrece el compilador de C/C++ de Visual Studio de Microsoft para exportar funciones a través de una directiva de preprocesador

Figura 6: Sintaxis de la directiva que actúa como forwarder

La idea es que cuando se cargue la DLL maliciosa, además de ejecutarse el payload, le “diga” al loader que las funciones deben importarse desde la DLL legítima, haciendo que nuestra DLL actúe como un proxy de funciones. Las directivas export que hacen esto posible se conocen como forwarders y tienen la sintaxis que puedes ver en la Figura 6. En resumen, para hacer un DLL Proxying vamos a introducir dos DLL en el directorio de la aplicación:
  • La DLL maliciosa que actuará como proxy y que contiene el payload y los forwarders.
  • La DLL legítima que contiene las funciones que necesitan ser exportadas para que el programa se ejecute correctamente.
El proceso para crear una DLL Proxy es un poco tedioso. Tras identificar la DLL que queremos suplantar, necesitamos conocer las funciones que esta DLL exporta. Para hacer esto vamos a utilizar el programa DLL Export Viewer (dllexp). El uso de dllexp es muy sencillo: abrimos el programa y seleccionamos la ruta de la DLL que queremos inspeccionar (generalmente en C:\Windows\System32\) y una vez generada la lista de funciones la exportamos como reporte en HTML:

Figura 7: Uso de DLL Export Viewer

Ahora que tenemos la lista de funciones exportadas hay que crear una directiva que sirva como forwarder para cada una de las funciones. Para hacer esto hay varios scripts que automatizan la tarea de convertir el reporte HTML a las directivas #pragma que necesitamos copiar en el código de nuestra DLL. Yo he usado el script de itm4n (Apartado 3, el script está incrustado como texto plano). Tras copiar las directivas en la DLL maliciosa tendrá este aspecto:

Figura 8: Ejemplo de DLL con directivas que actúan como forwarders

Con esto ya tenemos lista la DLL que actuará como proxy. También necesitamos copiar la DLL legítima que se encuentra en C:\Windows\System32\. Ahora solo tenemos que renombrar la DLL maliciosa con el nombre de la DLL legítima y la DLL legítima según el nombre que hayamos puesto en la directiva pragma. Si usas el script de itm4n el nombre por defecto es el mismo nombre de la DLL añadiendo el sufijo “_orig”. 

Figura 9: PoC de DLL Hijacking en Slack para Windows

Una vez hecho este trabajo, basta con introducir ambas DLL en el directorio de la aplicación y comprobar que al ejecutar Slack se ejecuta también nuestro payload tal y como se puede ver en el vídeo de la PoC anterior.

lunes, mayo 10, 2021

Cómo proteger los equipos de la red de tu casa: Activa Conexión Segura - que es gratis - desde la Living App de SmartWiFi en Movistar+

En los equipos de Network Tokenization - Movistar Tokens - y de SmartWiFi tenemos una planificación de nuestras versiones mensualizada, así que en las actualizaciones vamos añadiendo características para mejorar los servicios en nuevo despliegue. Hace poco os hablé de la inclusión de los perfiles de desconexión en SmartWiFi y Chema Alonso os habló, por ejemplo, de la Optimización del canal de la red WiFi desde la Living App de. SmartWiFi. Hoy os quiero hablar de la inclusión de Conexión Segura en la Living App de SmartWifi en Movistar+.

Figura 1: Cómo proteger los equipos de la red de tu casa:
Activa Conexión Segura - que es gratis - desde la Living App
de SmartWiFi en Movistar+

Ya hace algún tiempo, que el equipo de ElevenPaths (ahora parte de Telefonica Tech) trabajó para crear el servicio de Conexión Segura que está incluido en todos los clientes de Movistar Fusión. Este servicio tiene el objetivo de ofrecer seguridad desde la propia red de Telefónica, bloqueando aquellas amenazas que pueden producirse por dispositivos conectados tanto a la red fija - y la WiFi de casa - como a la red móvil (3G/4G/5G) para proteger la navegación de todos los equipos que están conectados, tanto en la red del hogar, como fuera de ella.

Figura 2: Resumen de amenazas bloqueadas por Conexión Segura
de una línea fija de hogar (WiFi + Fibra Óptica)

El éxito de este servicio es espectacular, que lleva más de un millón de altas activas y está bloqueando anualmente la cifra de 200 millones de amenazas. Que es una barbaridad. Eso significa que en los hogares de España donde se ha activado Conexión Segura, se han evitado muchos, pero que muchos, problemas de malware, de spyware, de ransomware, de phishing, etcétera, solo por haber activado el servicio de protección de Conexión Segura - que es gratuito y viene incluido en el paquete Movistar Fusión -.

Living App de SmartWiFi: Conexión Segura y Optimización de Canal WiFi

Por si no lo sabías, Conexión Segura es un servicio - que como he dicho varias veces es gratuito -  que no requiere ningún tipo de instalación. Únicamente, la activación del servicio por parte del usuario. Hasta ahora, se podía activar desde el desde la web de movistar.es como explica este artículo, y desde las apps Mi Movistar y Smart WiFi - que es la app que te permite sacar más partido a las capacidades de tu router SmartWiFi con un montón de opciones.

Figura 3: Arriba tienes "Conexión Segura" y "Optimizar canal WiFi"

En SmartWiFi tenemos un especial cariño al servicio de Conexión Segura y es por ello que hemos querido ponértelo tan fácil como a tiro de mando de la televisión. Así que si no lo tienes activado todavía, ya puedes activarlo desde la Living app de Smart WiFi en Movistar+, además de consultar las amenazas que hemos sido capaces de bloquear. Tienes la opción justo al lado de la opción de Optimizar el Canal WiFi que incluimos en un despliegue anterior de la Living App de SmartWiFi.


Figura 4: Demo de Living App de SmartWiFi en el Hogar Movistar

Desde la Living App de SmartWiFi, que puedes manejar como explica Chema Alonso en este vídeo desde el Mando Vocal Aura, desde Movistar Home, o desde el mando Movistar+, vas a poder saber si lo tienes activado. Y si no lo tienes, activarlo con un solo clic.

Figura 5: Activación de Conexión Segura desde

Como podéis ver, para nosotros es tan importante crecer en funcionalidades que permitan al usuario mejorar el rendimiento de su conectividad como ayudar a nuestros compañeros a cumplir sus objetivos de proteger a los usuarios de Movistar de posibles amenazas que pueden derivarse de entornos completamente conectados a Internet. Y hoy, en el entorno de teletrabajo masivo, hemos querido ponerlo más fácil todavía.

Conexión Segura y Movistar Tokens

Por último, si has activado el servicio gratuito Tokens de Movistar podrás también recibir tokens por activar el servicio de Conexión Segura ya que para nosotros que nuestros clientes estén seguros es motivo de alegría. También seguiremos premiándote siempre y cuando lo tengas activado, pues el objetivo es que tengas una experiencia lo más segura y confortable posible gracias a nuestros servicios de seguridad en la red. 
Los tokens podrán darte acceso a gigas y a contenido de Movistar+ completamente gratis. Recuerda que puedes consultar el número de tokens que llevas acumulados tanto en la app Mi Movistar como la Living app de Mi Movistar. En el servicio Tokens de Movistar, que actualmente solo está disponible para 20.000 clientes Fusión, tenemos el objetivo de premiar a los usuarios por ser más digitales y para nosotros la concienciación de que la seguridad es un factor importante en el propio proceso de digitalización de los usuarios es parte de las acciones generadoras de tokens.

Figura 7: Sección Mis Tokens en la Living App de Mi Movistar

Puede que actualmente no seas usuario elegible para poder activar el servicio Tokens de Movistar pero estamos trabajando para que este servicio esté disponible para todos los usuarios de Movistar Fusión a lo largo de este año.

Saludos,

domingo, mayo 09, 2021

OpenExpo Business Live: Cloud Day (12 de Mayo)

El próximo 12 de Mayo a las 16:00 horas, tendrá lugar el OpenExpo Business Live: Cloud Day, un evento 100 % online al que te puedes apuntar gratuitamente, y en el que se hablará de la importancia del Cloud Computing en el mundo del emprendimiento y el nuevo orden en el que nos encontramos tras venirse encima el mundo pandemia y post-pandemia.
El equipo de OpenExpo Europe con Philippe Lardy y Andrea Andrade, lideran esta tarde de formación donde participan Beatriz Cerrolaza, CEO de MyPublicInbox, Isabel Hernández Ruiz, CEO de Shaadow, Fernando Guillot, director de Wayra Builder, Iñaki Ayucar, CTO de Digital Home en CDCO Telefónica, o  Susana Juan, que después de años trabajando juntos en Microsoft, ahora desempeña su labor como directora de desarrollo de negocio y alianzas en Arsys. La agenda es la siguiente:
  • 16.00 - 16.05 - Inauguración del evento: El auge del Cloud Computing
  • 16.05 - 17.00 - Mesa Redonda: "Presente y Futuro del la Nube en un entorno corporativo", moderada por Beatriz Cerrolaza y con Adrián González, César Trigo, Marco Antonio Sanz y Juan Ignacio Codoner.
  • 17.00 - 17.30 - Demo "Arsys Virtual Desktop: Beneficios y casos de uso" por Susana Juan, Director of Partners & Business Development en Arsys.
  • 18.30 - 19.00 - Entrevista "Fireside chat" con Rafael Gil Horrillo, Director de Tecnología en Transformación Digital en MOBILITY ADO
El formato del evento está dividido, como podéis ver, entre dos mesas redondas, una demostración de una hora y una entrevista a Rafael Gil Horrillo, con lo que vamos a tener una tarde entretenida para escuchar diferentes puntos de vista y experiencias profesionales que nos hagan entender cómo ha sido el viaje a la Cloud o el desarrollo directo en entornos de Cloud Computing en otras empresas.
Puedes registrarte de manera gratuita en la web del OpenExpo Buisness Live: Cloud Day para venir a pasar el día 12 de Mayo una tarde con todos nosotros. Yo estaré de asistente para preguntar y participar en alguna de las charlas.

¡Saludos Malignos!

Entrada destacada

Singularity Hackers: Para descubrir el trabajo de Ciberseguridad & Seguridad Informática que mejor se adapta a ti

Hoy me toca hablar de Singularity Hackers , la nueva plataforma de Inteligencia Artificial que te ayuda a descubrir el trabajo en Cibersegu...

Entradas populares