EvilClippy: Crea documentos Office maliciosos multiplataforma en un Ethical Hacking #pentest

En esta última semana he estado ojeando diferentes herramientas del ámbito del Ethical Hacking y he llegado a una que me ha ganado por dos cosas. La primera por su logotipo. Simplemente espectacular. Los que recordamos a Clippy como el gran asistente de una época dorada de MS Office tendremos nostalgia al ver el logo de la herramienta del artículo de hoy. Clippy nos acompañó durante muchos años, y muchos también le conocíamos como Clipo, en su traducción al castellano.

Figura 1: EvilClippy: Crea documentos Office maliciosos multiplataforma en un Ethical Hacking

Hechas las presentaciones hoy quiero hablaros de EvilClippy, una nueva herramienta de Hacking en Windows, GNU/Linux e incluso Hacking MacOS - aunque estar centrada en archivos Microsoft Office - orientada a la creación de documentos ofimáticos maliciosos. En otras palabras, una herramienta que permite utilizar diferentes técnicas para generar documentos con un payload, el cual se ejecutará al interaccionar con el documento.

Figura 2: EvilClippy en GitHub

De este modo puede utilizarse para evaluar la concienciación de los empleados ante diferentes situaciones. El caso de evaluación clásico es el envío de un e-mail con un archivo adjunto. Este vector sigue siendo de los más utilizados cuando en lugar de una evaluación de concienciación es un ataque recibido en la empresa.

Figura 3: Manual de Ethical Hacking en 0xWord

La herramienta es un asistente sencillo para crear documentos MS Office, el cual puede ocultar VBA macros, Stomp código VBA y ofuscar macros. La herramienta puede ser ejecutado sobre diversas plataformas: Microsoft Windows, GNU/Linux y MacOS & Mac OS X. El investigador Stan Hegt publicó las presentaciones que se hizo sobre la herramienta en BruCON y en DerbyCON, sin duda, más que interesante.


Figura 4: Presentación de Stan Hegt sobre EvilClyppy

Desde el Github del proyecto se puede descargar el código fuente, escrito en C#, u obtener la versión preparada con la DLL necesaria para poder ejecutar la aplicación. En la siguiente imagen se pueden ver las opciones que dispone el binario. 

Figura 5: Opciones de EvilClippy

Detección de EvilClippy

En cualquier proceso de Ethical Hacking la detección y la evasión son factores fundamentales. Seguramente nos causa dudas saber cuánta detección tiene esta herramienta. La experiencia nos dice que al ser una herramienta pública y utilizada en este tipo de procesos será bastante detectada, pero también hay que tener en cuenta que cuanto más se actualice y más al día esté, mayor será el ratio de evasión.

Así suele pasar, pero esto supone un gran trabajo. Un ejemplo de esto era The Shellter.  Para este caso, en particular, la herramienta puede utilizar una Macro de Cobalt Strike para hacer bypass de la mayoría de productos antivirus. Para ello utiliza VBA Stomping y combina nombres de módulos de forma aleatoria. 

Casos de Uso

Como comentaba anteriormente, y se puede ver detallado en el artículo del investigador Stan Hegt, se puede utilizar una macro de Cobalt Strike antes de aplicar EvilClippy. Este es un proceso de inyección básico, el cual es detectado en un gran ratio. 

Figura 6: Detección con macro de Cobalt Strike

Después de aplicar EvilClippy al documento se puede ver el siguiente resultado. Para ejecutar EvilClippy sobre el documento se puede ejecutar la siguiente instrucción.

evilclippy.exe –s fake.vbs –g –r [documento ofimático]. 

Figura 7: Aplicación de EvilClippy a un documento y evasión de detección

EvilClippy solo focaliza su estrategia en la no detección estática. Es decir, si una vez se ejecuta el payload y es detectado no es un tema que trate la herramienta. La herramienta puede ser utilizada en procesos de Red Team, en los cuales hay que abrir una brecha y evitar la detección desde el primer momento. Además, se puede juntar con técnicas de bypassing de AMSI en VBA. 

VBA Stomping 

La técnica más potente que utiliza EvilClippy es VBA Stomping. Esta técnica se aprovecha de una característica, la cual no está oficialmente documentada. Se trata de una ‘PerformanceCache’ de cada flujo de módulo contiene un pseudo-código compilado, también conocido como código-P, para el motor de VBA. Si la versión de MS Office especificada en la secuencia _VBA_PROJECT coincide con la versión de MS Office del programa, entonces se ignorará el código fuente de VBA y ejecuta el código-P en su lugar. 

Si se conoce la versión de MS Office de una máquina destino se podrá reemplazar el código fuente de VBA con un código falso, y el código malicioso se ejecutaría a través del código-P. Además, cualquier herramienta que analice el código fuente de VBA es completamente engañado, porque está analizando un código que no se va a ejecutar posteriormente. No se evalúa el que se debería. El investigador Vesselin Bontchev fue el primero en documentar públicamente esta técnica. 

Para poder reemplazar el código fuente de VBA en el documento ofimático con un código falso y conseguir que el código-P malicioso se ejecute se debe escribir en EvilClippy lo siguiente:

evilclippy.exe –s fakecode.vba –t 2016x86 [documento]

dónde 2016 es la versión de Office y x86 la arquitectura. Después de esto, se crea un archivo llamado macrofile_EvilClippy.doc. 

Es una técnica potente, pero debemos tener claro que necesitamos conocer la versión de MS Office del objetivo. 

¿Cómo podemos saber o identificar la versión destino de MS Office? 

EvilClippy también puede automatizar y ayudar a esto. El truco es sencillo y sigue los siguientes pasos: 

1. Se crea una plantilla de MS Word, la cual incluye una macro maliciosa. 

2. Ejecuta la herramienta EvilClippy con la opción –webserver. Apunta a la plantilla creada anteriormente. A continuación, la herramienta activa un servidor web que escucha las conexiones entrantes en el puerto que se especifica. 

3. Posteriormente, se crea otro documento que apunta al documento de la plantilla a través de una URL. 

4. Si se abre el archivo, MS Office se comunicará con el servidor web para buscar la plantilla. EvilClippy identificará la versión de MS Office por el protocolo HTTP. 

Una forma sencilla y fácil de detectar la versión y poder utilizar la técnica VBA Stomp 

Figura 8: Detección de versiones

Una herramienta interesante para llevar en la mochila, ya que puede ser utilizada en diferentes ámbitos de un proceso de Ethical Hacking. Hay que tener mucho cuidado cuando se abre un documento ofimático y ver qué tipo

Autor: Pablo González Pérez (@pablogonzalezpe), escritor de los libros "Metasploit para Pentesters", "Hacking con Metasploit: Advanced Pentesting" "Hacking Windows", "Ethical Hacking", "Got Root" y “Pentesting con Powershell”, Microsoft MVP en Seguridad y Security Researcher en el equipo de "Ideas Locas" de la unidad CDO de Telefónica.

10 años después descubres que hay que tapar la Webcam #malware #privacidad

Hace 11 años, exactamente en el año 2005 nació el popular RAT (Remote Administration Tool) Poison Ivy. Las herramientas RAT son un tipo de malware creado especialmente para controlar totalmente un equipo desde una consola centralizada. Su evolución natural les llevaría a convertirse en las populares Botnets de equipos Zombie, donde desde un Command & Control Panel se llegan a gestionar millones de equipos infectados. En el año 2005, cuando aparece la primera versión de Poison Ivy, se empiezan a extender las técnicas de Reverse Shell, o lo que es lo mismo, que el llamado "Server" que se instala en la máquina infectada, es quien realiza la conexión al panel de control para recibir las órdenes y no al revés, como se hacía en malware clásico anteriormente.

Figura 1: 10 años después descubres que hay que tapar la webcam

Poison Ivy fue muy popular durante los años en los que  estuvo en plena evolución, hasta llegar al año 2008 donde apareció su última release, la versión 2.3.2. Después vendrían muchos más que copiarían la mayoría de sus funciones. Entre las muchas que traía la herramienta Poison Ivy estaba un módulo de vigilancia que permitía al atacante activar tu Webcam y grabarte en tu intimidad - y este no fue el primero que lo hizo -. Aquí tenéis una captura hecha por la webcam de una persona infectada con Poison Ivy 2.3.2, del año 2008.

Figura 2: Webcam capture en Poison Ivy versión del año 2008

El primer día que yo descubrí que con herramientas como Poison Ivy era tan fácil para un atacante activar tu Webcam la tapé. Desde hace más de una década llevo la Webcam de todos mis equipos tapados, lo que me generó que mucha gente me preguntara desde ese momento por qué lo hacía. Las nuevas herramientas RAT que fueron siguiendo la estela de Poison Ivy fueron añadiendo todas la misma función, y ver ya esa opción entre la lista de posibilidades no sorprende a nadie de este mundo. En la imagen IndSocket y en este otro artículo tienes Incognito RAT que también funciona con equipos Mac OS X infectados e incluso se controlaba desde un iPhone.

Figura 3: Opción de Webcam Capture en IdnSocket RaT

En el año 2011, ya con mi blog abierto, descubrí la existencia de un foro en el que la gente se dedicaba a infectar personas con RATs, capturarles con la Webcam y compartir el material con todos. Las fotos eran brutales, e incluso había vídeos subidos a Youtube - hoy retirados - que mostraban el proceso completo. Si te aburres, abre Youtube y busca vídeos y tutoriales de RAT. Te sorprenderá ver la gran cantidad de esta familia de malware que existe con la capacidad de grabarte en tu casa y hemos visto que hasta vecinos lo usaban para espiar a sus víctimas.

Figura 4: Un caso de espionaje vía Webcam del año 2013 en España

A partir de ahí, sistemáticamente he ido explicando en multitud de ocasiones el riesgo de no taparse la Webcam, además de explicar que el número de fallos que aparecen y que pueden permitir a un atacante infectarte para activar la Webcam es alto. En el año 2011 un bug en Adobe permitía hacer lo mismo.

Figura 5: Security Innovation Day 2014. En esta charla hacemos la demo de infectar a la víctima con un documento Excel y capturar la webcam con Metasploit

En muchas demostraciones, como en el evento de Creo en Internet en el año 2011 o en el Security Innovation Day 2014, he hecho demos con malware que infecta el equipo y activa la Webcam usando Metasploit, que tiene módulos para eso desde hace infinidad de tiempo, e incluso algún ciberespía ruso ha salido retratado en un proceso de doxing con el que le han activado hasta la webcam de su casa - con sus cortinas último nivel de moda -.

Figura 6: Supuesto ciberespía ruso grabado en su casa

Algunos creen que las Webcam con las luces son más que suficientes, porque si se enciende la luz lo ves, pero incluso hay muchos casos que han demostrado cómo es posible llegar a encender la Webcam sin encender la luz. Al final si hay software de por medio hay posibilidad de que haya un bug para saltarse el proceso.

Figura 7: Recomendaciones de la NSA sobre la Webcam y el micrófono en OS X

Otros creen que por tener Linux ya no es necesario tapar la Webcam como si el software fuera diferente en ellos. Lo curioso es que hace años, pudimos ver ya documentos de la NSA que recomendaban a todos los miembros del gobierno que taparan la webcam y el micrófono para evitar este tipo de espionaje.

Figura 8: Equipo de Moxie Marlinspike en Twitter con la Webcam tapada

Entre los hackers esto es muy común desde hace años y en esta foto tomada al equipo de Moxie Marlinspike cuando era responsable de seguridad de Twitter se podía ver que él hacía lo mismo con  la Webcam de su Mac OS X.

Figura 9: Equipo MacBook de Mark Zuckerberg con la Webcam y el micrófono tapado

Ahora la gente ha visto que Mark Zuckerberg también tapa la webcam y el micrófono de su MacBook y ha vuelto la gente a preguntarse si será excesivo o no hacer esto con su equipo, tablet y dispositivo móvil, que el malware para Android también puede hacer estas cosas.

Figura 10: El iPatch de Latch que tapa mi Webcam

Yo llevo mucho tiempo con la mía tapada, e incluso regalamos para los eventos el popular iPatch con Latch para los asistentes, pero tú eres libre de hacer lo que quieras. Eso sí, "Si no tapas tu Webcam, ponte sexy para salir en Internet".

Saludos Malignos!

Aquí tienes millones de usuarios y contraseñas para jugar

Hace poco más de dos semanas Mark Burnett, investigador de seguridad, publicó un fichero con 10 Millones de usuarios y contraseñas que puedes descargar desde este Torrent. El fichero en sí no es más que la recolección de usuarios y contraseñas, anonimizados lo más posible, que han sido recolectados de Internet utilizando diferentes técnicas, y que se ponen a disposición de investigadores que quieran utilizarlos en sus estudios.

Figura 1: Aquí tienes millones de usuarios y contraseñas para "jugar"

Cuando digo que el investigador los ha "anonimizado" lo más posible, es porque ha quitado de ellos el dominio de la empresa de referencia para que no se pueda saber, al menos de forma directa, dónde eran válidas esas credenciales. Sí que es cierto que si se busca por algunos dominios conocidos sale información que hace presuponer dónde podrían haberse estado utilizando dichas credenciales.

Figura 2: Grep Facebook sobre el fichero de usuarios y passwords

Las técnicas que utiliza el investigador para sacar las credenciales las ha explicado en otro post, y no dejan de ser más que fuentes públicas conocidas como las que utiliza por ejemplo HaveIBeenPowned o las que cualquiera puede encontrar haciendo Hacking con Buscadores, como se explica en este artículo titulado "Buscar las guaridas de los ladrones de Identidad". Las fuentes y servicios existentes hoy en día para localizar usuarios y contraseñas son muchas, y puedes monitorizar lugares habituales donde se publican como Pastebin o suscribirte a servicios que ya te filtran las publicaciones en tiempo real como LeakedIN en formato RSS o Dump Monitor en Twitter.

Figura 3: Dump Monitor en Twitter

Si quieres tener un buen diccionario de usuarios o passwords para hacer ataques de fuerza bruta, estudios o para probar las passwords suprayectivas de un determinado sitio, este fichero está perfecto. Yo por pura curiosidad maligna he buscado qué passwords ponían los usuarios "chema" dumpeados en esta base de datos. Las hay muy curiosas.

Figura 4: Passwords de cuentas "chema*"

Las passwords ya han dado mucho de sí y como os dije en el pasado, tenemos que acabar primero con las passwords complejas en los servicios online, para luego terminar de una vez con la identificación basada en conocer una cadena de caracteres, que si no esto va a seguir siendo el paraiso del robo de la identidad. Por ahora, pon un segundo factor de autenticación a todas las que puedas.

Saludos Malignos!

Actualización: Si utilizas algún servicio como CheckNames, podrías llegar a saber de quiénes son esas cuentas

Figura 5: CheckNames te dice dónde existe un usuario

Detekt: ¿Hay alguien espiándome en mi ordenador?

Ya hace mucho tiempo que salieron a la luz pública casos de espionaje de gobiernos a ciudadanos por medio de software especialmente creado para espionaje gubernamental. Ahora Amnistía Internacional, Electronic Frontier Foundation y otras organizaciones pro-derechos civiles ha lanzado Detekt, una herramienta creada por Claudio Guarnieri para ayudar a encontrar software de espionaje utilizado en equipos de personales.

Figura 1: ¿Hay alguien espiándome en mi ordenador?

Dentro del desarrollo de soluciones R.A.T. (Remote Administration Tools) existen algunas que son más del mundo underground hechas por hacktivistas para sus acciones de reivindicación, otras que son generadas por grupos de cibercrimen que pueden ir desde soluciones amateurs hasta bots profesionales que se comercialización, algunas hechas a medida para operaciones A.P.T. contra objetivos concretos - famosos son los ataques contra los grupos pro-Tibet y el Dalai Lama - y otras que se hacen para comercializar en gobiernos y cuerpos de seguridad del estado.

El software de espionaje comercial

Este último, el software de espionaje gubernamental es un sector en el que se posicionan algunas empresas para cubrir las necesidades que en algunos países tienen los gobiernos que han legalizado este tipo de técnicas, como por ejemplo en Holanda y Alemania donde los cuerpos de seguridad del estado puede utilizar estos programas baja la supervisión judicial. Por supuesto, como denunció Reporteros sin Fronteras, también acaban siendo utilizados por gobiernos totalitarios que persiguen a disidentes sin ningún control. De las empresas que hacen este tipo de software hay algunas que se han hecho muy populares por incidentes y filtraciones recientes.

Figura 2: Funcionamiento de FinFisher/FinSpy Mobile

El primero que saltó a los medios de comunicación masiva fue el caso de FinFisher y su software de monitorización móvil FinSpy que desarrolla la empresa Gamma International. Este software fue descubierto en las revueltas de la primavera árabe en Egipto, y desde entonces ha estado en el centro de la noticia. En un análisis posterior de la herramienta se descubrieron paneles de control en 25 países por todo el mundo, lo que dejaba al descubierto más o menos qué organizaciones y/o países estaban utilizando dichos programas.

Figura 3: Ubicaciones en las que se encontraron paneles de FinFisher

Por supuesto, en el mundo de la seguridad se le sigue la pista a FinFisher & FinSpy desde hace tiempo, ya que el truco de Masque utilizando provisioning profiles - no suplantando apps, pero si metiendo fake apps - para infectar terminales iPhone con software de espionaje ya lo usaban ellos hace tiempo, y en los equipos Windows llegaron a utilizar a Mozilla Firefox para colarse dentro de los sistemas.

Figura 4: Panel de análisis de Hacking Team RCS 9

Otro de los software comerciales posicionados como R.A.T.s gubernamentales es el famoso RCS de Hacking Team, que recientemente ha sufrido una filtración de su documentación permitiendo saber exactamente cómo funciona este software. Entre los trucos que usan este último están los ataques de fake AP en redes WiFi para infectar equipo o el último de hacer Jailbreak a los terminales iPhone desde un equipo Windows pareado para poder infectarlo con el bot de RCS.

Por supuesto estos no son los únicos programas espías que se venden, ni las únicas empresas que los desarrollan. Ya vimos hace tiempo cuando Anonymous hackeó la empresa HBGary como ellos desarrollaban herramientas como 12 Monkeys o Task.B para troyanizar equipos infectados.

¿Qué hace Detekt?

Detekt es un software desarrollado en Python para buscar los rastros de FinFisher/FinSpy & Hacking Team RCS dentro del equipo, además de algún otra R.A.T. popular como DarkComet, Por supuesto, después de toda la información que se ha hecho pública de ambas familias se conoce mucho de ellos ya que de FinFisher se filtró el código completo y de HackingTeam RCS toda la documentación, así que si se lanza en un equipo infectado, entonces es posible que sepa si hay alguno de ellos actualmente instalados en el equipo.

Figura 5: Funcionamiento de Detetk. Te recomienda hacerlo offline

La pregunta que mucha gente se hace es si es fiable o no. La respuesta es que no es 100% fiable, por supuesto. En primer lugar los creadores de los RATs que busca este software están acostumbrados a lidiar con software antimalware desde hace mucho tiempo, y está claro que harán los deberes para primero hacerse indetectables y segundo atacar e inutilizar este software en los equipos en los que se vaya a utilizar. 

No hay que olvidar que este software de espionaje tiene conexión directa con el panel de control y puede mutar a gusto, cambiar los binarios, modificarse en caliente, etcétera. Nada sencillo para detectarlo en un equipo vivo. De hecho, mi solución contra este tipo de casos es la que os propuse en en un artículo que decía que una buena política antimalware y antiAPTs debe mirar en el pasado, analizando instantáneas pasadas de los sistemas informáticos de una organización.

Figura 6: Propuesta de análisis de copias de seguridad para detectar bots mutados

Sea como fuere, esto es un juego del gato y el ratón, así que si tienes un equipo del que sospechas pueda haber sido infectado con FinFisher/FinSpy o Hacking Team RCS mejor que pases un antimalware actualizado y pruebes Detekt antes que no hacer nada, pero lo suyo sería que le hicieras un buen análisis forense a ver qué sale de ahí, y que antes de llegar a ese punto tengas fortificado al máximo tu Windows. A día de hoy Detekt sólo funciona en Windows en versiones anteriores a Windows 8.1.

Saludos Malignos!

Cómo funciona el software de espionaje de Hacking Team

El periodista Gleen Greenwall ha publicado en The Intercept una serie de manuales pertenecientes a la empresa italiana Hacking Team. Esta compañía se dedica a comercializar, al igual que hace por ejemplo FinFisher, software para espionaje gubernamental. Según ellos, han vendido sus sistemas en 40 países en los 5 continentes de nuestro planeta.

Figura 1: Filtrados los manuales y guías de Hacking Tema RCS 9

Con estas guías que han sido filtradas - datadas en 2013 - puedes ver cómo funciona la herramienta para los técnicos de campo en la Guía para Técnicos, donde se explica cómo montar las operaciones, la Guía del Administrador del Sistema donde se cuenta cómo funciona el sistema completo, la Guía del Administrador de las operaciones y la Guía del Analista de la información. Además de algunos docs extra como un par de changelogs y un Informe de Invisibilidad. Material digno de analizar. Éste es un pequeño resumen de todo lo que puedes leer allí.

RCS (Remote Control System) 9

Las guías que se han filtrado hacen referencia a Remote Control System, la versión R.A.T. (Remote Administrator Tool) que comercializan como software de espionaje de objetivos para cuerpos y fuerzas de seguridad. Este sistema se bas en infectar equipos por medio de lo que llaman Network Injectors, que sirven exploits y agentes de infección a los equipos objetivos, ya sean terminales móviles o sistemas operativos. En la guía para los técnicos se puede ver cómo funciona este software.

Figura 2: El Tactical Control Center y los Network Injectors para meter el agente

El sistema RCS 9 de Hacking Team inyecta el software malicioso vía ataques de red usando puntos de acceso Rogue WiFi clonados para lanzar falsas actualizaciones en entornos de Evil Grade como hace FinFisher, ataques man in the middle comunes para inyectar descargas en navegación web, etcétera. Lo que van a enviar puede ser distinto en cada caso, desde una falsa actualización, una descarga forzada vía técnicas de phishing o un exploit que comprometa la seguridad del cliente para inyectar el agente de monitorización.

Figura 3: Configuración del agente a través de la consola de RCS

Estos agentes salieron a la palestra no hace mucho tiempo porque habían creado un mecanismo para infectar terminales iPhone a través del sistema operativo pareado. Estos agentes, cuando se conecta el terminal iOS al equipo realizan directamente el jailbreak para conseguir meter un troyano de espionaje en iOS sin la protección de codesigning de Apple.

Figura 4: Infección de iPhone haciendo jailbreak al dispositivo desde el equipo pareado

Para eludir mejor las protecciones que pudieran suponer los antivirus, el manual recomienda comprar software de firmado de código de Verisign (Symantec), Thawte o GoDaddy, lo que hace que el software de protección sea menos proclive a eliminarlos del sistema al venir firmados. Este es el truco que usó tiempo atrás Flame, que al venir firmado por Microsoft ningún antimalware se atrevía a bloquearlo.

Figura 5: Evidencias capturadas de un equipo controlado

Una vez que los objetivos están infectados, el sistema RCS funciona en primer lugar como una herramienta de recolección de evidencias con técnicas de análisis forense - al estilo de por ejemplo Oxygen Forensics -, es decir, trayéndose del dispositivo a decisión del administrador todo el contenido, o haciendo una captura selectiva por medio de elementos seleccionados o por medio de alertas. 

Figura 6: Evidencias de audio en RCS

Al igual que los R.A.T. para terminales móviles, permite capturar evidencias de todo tipo, como llamadas de teléfono en los dispositivos, sonido ambiente a través del micrófono, o realizar grabaciones con la cámara. Por supuesto, el agente reporta en todo momento lo que está pasado y funciona como una herramienta de monitorización en tiempo real que indica la ubicación exacta y los programas en ejecución en cada caso.

Figura 7: Análisis de ubicaciones de un objetivo infectado

Para los analistas del sistema, la consola es una herramienta de inteligencia en donde van a poder realizar búsquedas, establecer relaciones entre evidencias, hacer búsquedas de patrones, etcétera, como cualquier consola de búsqueda de conocimiento en datos desestructurados.

Figura 8: Análisis de relaciones con RCS de Hacking Team

Si te interesa conocer en detalle lo que se puede hacer con esta herramienta, para que sepas lo que pueden hacer esas 40 organizaciones en esos 5 continentes que lo habían comprado ya en el año 2011, puedes leerte en detalle las guías. Los documentos están disponibles para descarga en formato PDF, aunque las imágenes no se ven con muy buena calidad, en las siguientes URLs:

- Hacking Team RCS 9 Analyst’s Guide
- Hacking Team RCS 9 Administrator’s Guide
- Hacking Team RCS 9 Technician’s Guide
- Hacking Team RCS 9 System Administrator’s Guide
- Hacking Team RCS Invisibility Report
- Hacking Team RCS 9.0 Changelog
- Hacking Team RCS 9.1 Changelog

Recordad que este software ha tenido presencia en muchos de los incidentes que se cuentan en el informe sobre el espionaje gubernamental a disidentes y en algunos ejemplos de los incidentes de ciberespionaje entre países.

Saludos Malignos!

Android.Oldboot: Primer Bootkit para Android

Hoy la noticia que más me ha sorprendido ha sido la que parece primera aparición en escena de un bootkit para los terminales Android, lo que abre la puerta a un panorama mucho más peligroso para los terminales con este sistema operativo y el malware, ya que si no se controlan bien en las tiendas de apps, esta moda puede ser más que peligrosamente aprovechada por apps maliciosas del tipo de la linterna molona o el juego de Android que vende tus WhatsApps que quieran generar dinero en la industria del fraude online.

Tras la proliferación del malware instalado a nivel de kernel como drivers, los fabricantes de sistemas operativos decidieron prohibir la instalación de drivers a nivel de kernel que no estuvieran firmados digitalmente por una entidad autorizada.

Figura 1: Error de intento de carga de driver no firmado en un Windows

Eso hizo que los creadores de malware crearan los bootkits, un software que funciona como un sistema operativo reducido a su mínima expresión con la única misión de buscar el kernel del sistema operativo, parchearlo para anular la verificación de la firma digital del los drivers, e instalar el rootkit a nivel de kernel con tranquilidad, antes de arrancar definitivamente el sistema operativo de la víctima - ya infectado -.  Aquí os publiqué un ejemplo en el que Blackngel - autor del libro de Linux Exploiting -hacía algo algo similar con un sistema operativo, pero con el objetivo de hacer un ataque de fuerza bruta.

Para conseguir hacer todo ese proceso, los bootkits necesitan ponerse antes en el proceso de arranque, así que modifican el famoso MBR (Master Boot Record) del disco duro del sistema para conseguir el control total de la máquina de la víctima. Como contramedida a los bootkits, la industria decidió apostar por el firmado digital del Master Boot Record y la comprobación del mismo desde el firmware UEFI del equipo, lo que se llamó SecureBoot y hace que antes de instalar un nuevo sistema operativo en un hardware sea necesario tenerlo firmado digitalmente por el fabricante - como hizo Microsoft con el loader de Linux -.

Ahora Dr. Web ha anunciado que ha descubierto un malware, al que ha denominado Android.Oldboot que se distribuye mayoritariamente en China como un bootkit. Para ello se aprovecha de apps maliciosas que instalan el bootkit, y en el siguiente reinicio se carga el rootkit que toma control total del sistema.

Figura 2: Android.Oldboot publicado por Dr. Web

Esto en Android es especialmente complicado de controlar, ya que la dispersión de hardware hace que sea complicado asegurarse de que todos los terminales con Android tienen la protección contra la manipulación del proceso de arranque.  Además, el proceso de cifrado de disco completo de Android es algo que se hace antes de que el sistema arranque, así que lo que hace el bootkit es cargarse en el inicio, pero después de que se haya descifrado el disco, por lo que no le afecta para nada si el terminal está cifrado o no.

Figura 3: El SecureBoot Activado en un firmware de dispositivo

Controlar el proceso de arranque en terminales Android es algo que se persigue desde hace tiempo, pero muchos terminales vienen con el Secure Boot deshabilitado y otros muchos usuarios lo deshabilitan de forma manual para instalar determinados mods de firmware en sus dispositivos.

Una fiesta para controlar todos que puede dar mucho juego al mundo del e-crime, que podría portar sus famosos ransonwares a un secuestro total del terminal, obligando a pagar a la gente si quiere volver a recuperar el control de su dispositivo, o podría también crear troyanos para espiar Android que sean más difíciles de detectar y tengan más poder dentro de todo el terminal o evolucionar los Rogue AV de Android a sistemas mucho más peligrosos.

Saludos Malignos!

49 productos de ciberspionaje de la NSA creados por ANT

El número de proyectos de hacking utilizados para el ciberespionaje hechos por la NSA es muy alto. Desde que comenzaron las noticias referentes a las prácticas extra-limitadas de espionajes hechas por la Agencia de Seguridad Nacional norte-americana hemos ido conociendo nombres de proyectos como Sinapsis, DropJeepOut, Tempora, etcétera, etcétera, todos ellos dedicados a alguna de las fases de recolección o análisis de la información capturada.

Figura 1: NSA Ant

Dentro de esas operaciones, el grupo Ant "Hormiga", se dedican a crear productos de software que deben utilizarse para troyanizar terminales, equipos de sobremesa, portátiles, software industrial, etcétera, y de ellos ya conocemos muchos de los productos que crearon. Como este proyecto Swap, orientado a lograr la persistencia del backdoor mediante la explotación de bugs en la BIOS y el uso del Host Protected Area del disco duro del equipo.

Figura 2: Proyecto ANT SWAP

Así, como este, hasta un total de 49 proyectos de Ant que han sido recopilados en un post del blog Leaked Source y que yo he convertido en un documento PDF que he subido a mi SlideShare para que podáis descargarlo y analizarlo en detalle.

Figura 2: Productos de ANT

La verdad es que técnicamente no tiene ningún desperdicio y en ellos puedo reconocer muchas de las charlas dadas en conferencias como DefCON, BlackHat o CCC, lo que deja claro que los equipos que trabajan en Ant se miran muy mucho todas estas conferencias. Casi todos los proyectos son del 2008 - el primer año que yo asistí a DefCON -, y desde entonces yo he visto conferencias sorprendentes, así que miedo me da pensar qué es lo que podrían tener montado desde 2008 al 2013.

Saludos Malignos!

Un Juego de Android que roba los mensajes de WhatsApp

Hace un par de días llegó un comentario al post que tengo sobre "Cómo Espiar WhatsApp" en la que se hablaba de un servicio para robar la base de datos de WhatsApp mediante un falso juego para Android. La idea es tan sencilla como convencer a un amigo, compañero, pareja, hijo, enemigo, etcétera para que se instale ese juego para que le robe la base de datos de WhatsApp y luego poder consultar los mensajes a través de una página web que te cobrará por ello.

El juego no es más que un sencillo - y feo - en JavaScript que lleva incrustado un código Java que accede a la base de datos y las fotografías de las víctimas del engaño. Es decir, la definición clásica de un Caballo de Troya, dejas pasar un juego aparentemente inofensivo y este te roba los datos. Este esquema está descrito de igual forma para terminales iPhone en el libro de Hacking iOS, siguiendo un esquema similar al que utilizaron tanto Charlie Miller con InstaStock como el malware Find & Call para conseguir saltar todos los controles de seguridad de App Store.

Figura 1: Juego troyanizado para robar la base de datos de WhatsApp

La gran diferencia entre Google Play y App Store es que, mientras que en App Store los controles - aún lejos de ser perfectos - complican mucho la vida a los desarrolladores de app maliciosas, en Google Play esto parece un cachondeo. En el caso de WhatsApp ya vimos como casi todos los días aparecen nuevas apps maliciosas pretendiendo ser la popular app de mensajería en Google Play, y una app como ésta, orientada a robar los datos de los usuarios ni tan siquiera se oculta, tal y como se puede ver en las condiciones del servicio.

Supongo que asumiendo que "la policía es tonta", el servicio pone, como el que no quiere la cosa, que puede hacer una copia de seguridad de tus archivos, que luego dejará consultar vía una página web para que cualquiera pueda acceder a los mensajes robados sólo con poner el número de teléfono y pagar.

Figura 2: Condiciones de servicio donde se "informa" de la copia de archivos

Aprovechando que tenemos un equipo de investigación de Eleven Paths en Málaga, le pedí a mis compañeros de Eleven Paths que le echaran un vistazo a lo que me estaban enviando con el comentario. Con un poco de revisión por Internet se puede ver que este mismo mensaje o uno similar al que había sido dejado en mi blog había sido publicado en varios fotos utilizando nombres distintos, todos creados en fechas similares y más que probablemente desde las mismas direcciones IP.

Por supuesto, echando una ojeada a la app, se puede ver como el código no deja lugar a dudas de lo que va a hacer. Se puede ver fácilmente tras decompilar el Java que en esta sección se accede tanto a la base de datos, como a los ficheros enviados y recibidos.

Figura 3: Código del troyano que roba la base de datos de WhatsApps

Me preguntaba Jordi Évole en la entrevista si esto es legal, y lo cierto es que los que han creado esta app se deben sentir bastante impunes, ya que está creada desde una empresa sita en España que se publicita junto al servicio. Hablan de "copia de seguridad", pero directamente asocian esta app a un servicio para buscar los mensajes de WhatsApp robados y hacen campañas de spam con explicaciones claras de cómo funciona servicio.

No sé si la "policía es tonta" y se creerá que esto realmente es para jugar "y hacer una copia de seguridad de ficheros", pero lo que sí que creo es que Google Play debería hacer muchas más comprobaciones de seguridad, ya que con dar el permiso de acceso al almacenamiento cualquier app maliciosa puede llevarse la intimidad de tu WhatsApp.

Saludos Malignos!

Update: Tras hablar con el Google, han tirado la app de Google Play. Bien por ellos.

Figura 4: Google Play ha tirado la app

Salvados, Temporada 7 - Capítulo 4: "Nos Espían"

Anoche echaron el programa de Salvados en el que Jordi Évole me entrevisto para hablar de Seguridad Informática, Hacking y Espionaje. La charla que en antena fue de unos 10 minutos nos llevó como tres horas grabarla, y más de 3 días de conversaciones para enfocar el guión de la entrevista y las demos. Luego ellos eligieron las partes que les gustaba para que quedara como la podéis ver online ya.

Figura 1: Entrevista en Salvados Temporada 7, Capítulo 4: "Nos espían"

Me habían pedido desde el programa que evitara usar términos técnicos que pudieran no ser entendidos por todo el mundo, como "Troyano", "man in the middle" o "IPv6", así que en el vídeo uso siempre la palabra "virus" y defino el tráfico de red como "paquetitos o mensajitos".

Por supuesto, las demos de hacking de Facebook y Hotmail robando las passwords son reales y basadas en el ataque de SLAAC de Evil FOCA, pero realizando un Bridging HTTPs(IPv4)-HTTP(IPv6), a través de aprovechar el SSLStrip que hace Evil FOCA en los resultados de Google. Todo eso, por supuesto, no está explicado en el vídeo, pero si ves el vídeo de DEFCON 21 entenderás mejor el ataque.

Figura 2: Accediendo a credenciales de Facebook con el ataque de Evil FOCA

Respecto a la demo con el virus de Android, era un terminal mío infectado con un malware de espionaje de los muchos que se venden en Internet, y del que ya os hablé. Es el mismo que utilicé además en la última conferencia en San Sebastián para "espiar" a los jóvenes chicos de la organización que me guardaban el móvil. Repito lo que dije por aquí en su momento, y en Twitter anoche. Si buscas un antimalware para tu terminal, recuerda que hay Fake AV y Rogue AV para Andorid que pueden ser peor que el malware en sí.

Figura 3: Fotos robadas con el troyano al terminal Android infectado durante la entrevista

Yo no quería hacer nada que fuera ilegal, así que la red, a pesar de llamarse Free WiFi, tenía contraseña. El cliente al que robamos el Facebook y el Hotmail es un equipo mío y los datos de cuentas, de mensajes para espiar WhatsApp, los SMS, los e-mails, las llamadas, y demás datos que aparecen, estaban todos creados desde cero para ilustrar que se podía sacar esa información, pero todos son falsos, no le robamos ningún dato a nadie en las demos.

Saludos Malignos!