miércoles, 24 de diciembre de 2014

Cuidado con lo que imprmís en tu lan! (siempre hay alguien espiando)



A modo de regalo de Navidad, hoy quiero contarles algo que llamó mi atención ayer en el trabajo (se termina el año y uno empieza a dispersarse). Estaba capturando tráfico para ver que comandos eran enviados a la impresora, con el fin de "codear" algo en python que me permita imprimir desde la consola (si si, esas cosas locas que se nos cruzan a veces por la cabeza. Cualquier cosa con tal de no trabajar jeje), y entonces me topé con algo interesante...era posible leer en texto plano un archivo word e incluso un mail! Quizás digan, es algo obvio, si ya lo sé, pero cuantos de ustedes se pusieron a pensar en algo así? Que tal si el texto a enviar contiene información sensible? Bueno, ya se imaginan la respuesta...

Nuestra compañera, Konica Minolta (AKA "Matilda")


Esta impresora (también fotocopiadora/scanner), permite que la configuremos asignándole una dirección de red con lo cual se ve como un host mas:


También nos permite asignarle un código de acceso para evitar que cualquier persona pueda sacar copias:



Este mismo código se debe ingresar en las propiedades de impresora para poder imprimir.

Una pequeña prueba

Lo primero que hice fué imprimir un documento en Word desde mi pc  y luego comencé a mirar el tráfico con Wireshark:


Ahí podemos ver una porción del texto enviado.

Una vez hecho esto quise ir mas lejos y probar interceptando el tráfico que enviaba otra pc a la impresora.

Que empiece la acción!

Para comenzar hice un Man In The Middle utilizando Cain , con el fin de capturar el tráfico entre la pc de un compañero y la impresora: 

Envenenamiento ARP con Cain
Esquema del ataque

Luego le pedí a mi compañero que imprima un documento en Word con la frase "Do not read please" y comencé a mirar el tráfico:

Texto plano capturado de un documento Word
Como podemos ver en la imagen el texto se lee perfectamente.

No tengo el código para imprimir :( , no importa, capturo el tráfico y listo! :)

Al realizar la captura incluso pude ver el código que se utiliza para poder imprimir:


Después le pedí que imprima un correo (a esta altura mi compañero ya se estaba enojando un poco) para ver que sucedía:


Podemos ver la cuenta de correo del remitente y del destinatario


Después, lo sorprendí un poco leyendo lo que había en el cuerpo del mail:


Conclusión

Con esto intento mostrar las posibilidades que tiene un atacante una vez obtenido el acceso a un equipo de la organización. Puede encontrar información sensible, usuarios de correos, aplicaciones que se utilizan y muchas cosas mas. Todo lo que se imprima corre riesgo de ser espiado.

A la hora de protegernos de estos ataques (y de otros), una buena práctica sería detectar ataques de Man In The Middle ---> http://mamaquieroserpentester.blogspot.com.ar/2014/11/man-in-middle-y-sus-consecuencias.html

Bueno, eso es todo por ahora, nos vemos en la próxima entrada.

Saludos, buena Navidad para todos y...


@PJL SET= Happy (Christmas) Hacking!

miércoles, 10 de diciembre de 2014

Google Hacking (Siempre se trata de saber como preguntar...)

Fase: Information Gathering
Herramienta: Google


"Google es como un oráculo: Nos dará las respuestas que queremos, si sabemos como preguntar"

Como a esta altura ya todos sabemos, los servicios de nuestro amigo Google pueden ser utilizados para un sin fin de actividades y, entre ellas, está la posibilidad de recolectar información que puede ser muy útil a la hora de realizar un Penetration Test. Pero, a veces, sucede que esa información jugosa no aparece de un primer vistazo (morimos ante la famosa INFOXICACIÓN), y se vuelve imperioso valerse de algún método para encontrar lo que buscamos...

Google Dorks

Son consultas especiales que podemos realizar en el buscador para obtener resultados específicos. Estas consultas se arman con una o mas palabras clave (operadores). Aquí un listado de algunas palabras con las acciones que realizan:

SITE: Nos permite definir el dominio específico en el cual queremos buscar información.

INURL: Busca todas las URL´s donde aparezca el parámetro que le pasemos.

FILETYPE: Busca un tipo de archivo acorde al parámetro pasado. En este caso, el parámetro a pasar será la extensión del archivo.

ALLINTEXT: Busca la cadena de texto que le pasemos dentro de una pagina web y
no dentro de una URL. (No se puede utilizar junto a otros)

ALLINTITLE: Busca una cadena de texto solo dentro del titulo de una web. (No se puede utilizar junto a otros)

LINK:Este operador se utiliza para buscar enlaces que apunten a un determinado sitio web. (No se puede utilizar junto a otros)

Teniendo en cuenta lo visto, supongamos que quiero saber si en un sitio web X hay archivos en formato PDF publicados (esto puede ser util dado que podemos buscar luego metadatos en el archivo). Entonces armo la consulta de la siguiente manera:

SITE:DOMINIOX.COM FILETYPE:PDF

Veamos un ejemplo:

Resultados obtenidos al aplicar los "dorks"

Los Google Dorks no solo nos sirven para buscar información, también podemos utilizarlos para identificar vulnerabilidades en sitios web. Por ejemplo con los siguientes dorks podemos buscar páginas vulnerables a SQL Injection:

allinurl:*.php?txtCodiInfo=
inurl:read.php?=
inurl:”ViewerFrame?Mode=”
inurl:index.php?id=
inurl:trainers.php?id=
inurl:buy.php?category=
inurl:article.php?ID=
inurl:play_old.php?id=
inurl:declaration_more.php?decl_id=
inurl:pageid=
inurl:games.php?id=
inurl:page.php?file=
inurl:newsDetail.php?id=
inurl:gallery.php?id=
inurl:article.php?id=
inurl:show.php?id=
inurl:staff_id=
inurl:newsitem.php?num=
inurl:readnews.php?id=
inurl:top10.php?cat=
inurl:historialeer.php?num=
inurl:reagir.php?num=
inurl:Stray-Questions-View.php?num=
inurl:forum_bds.php?num=
inurl:game.php?id=
inurl:view_product.php?id=
inurl:newsone.php?id=
inurl:sw_comment.php?id=
inurl:news.php?id=
inurl:avd_start.php?avd=
inurl:event.php?id=
inurl:product-item.php?id=
inurl:sql.php?id=
inurl:news_view.php?id=
inurl:select_biblio.php?id=
inurl:humor.php?id=
inurl:aboutbook.php?id=
inurl:ogl_inet.php?ogl_id=
inurl:fiche_spectacle.php?id=
inurl:communique_detail.php?id=
inurl:sem.php3?id=
inurl:kategorie.php4?id=
inurl:news.php?id=
inurl:index.php?id=
inurl:faq2.php?id=
inurl:show_an.php?id=
inurl:preview.php?id=
inurl:loadpsb.php?id=
inurl:opinions.php?id=
inurl:spr.php?id=
inurl:pages.php?id=
ENLACES PARA DIVERTIRNOS UN RATO:

En la página de exploit database podemos encontrar la sección de Google Hacking donde podemos filtrar sobre que queremos obtener información y el sitio se encarga de ejecutar los dorks por nosotros.

http://www.exploit-db.com/google-dorks/


Luego nos muestra cual sería el dork correspondiente de acuerdo a nuestra consulta:


Por último, en este sitio tenemos un listado impresionante de dorks para jugar un buen rato:

http://www.starthacking.net/google-dorks/

Como pueden ver tenemos miles de combinaciones posibles para obtener buenos resultados, una vez más, todo depende de como preguntemos...

Saludos y..

HAPPY (GOOGLE) HACKING!

jueves, 4 de diciembre de 2014

MALWARE Y ANTIMALWARE (en UTN FRLP) - PARTE II

Hola otra vez. En esta entrada voy a continuar con el resumen de la charla mencionada en el título. 

Sigamos con Troyanos y Backdoors:






Como es el proceso de creación un Troyano?


 Teniendo en cuenta lo que nos dice el programa del CEH, un troyano consta de tres partes:

1)DROPPER: Es el fragmento de código que instala el código malicioso en el equipo víctima.

2)CÓDIGO MALICIOSO: El código que permite la conexión remota y que realiza las distintas actividades en el sistema victima.

3)APLICACIÓN GENUINA: Cualquier programa legítimo. (El tetris ese que usabas a los 8 años por ejemplo).

Estas tres partes forman un WRAPPER (El lindo regalito para la víctima)





Cuando el Troyano llega a la victima y esta lo ejecuta, el DROPPER se encarga de liberar su código:

Proceso de troyanización y ejecución en el equipo víctima

Tipos de Troyanos:

Troyanos, hay de todos los gustos y colores.

Vamos a ver algunos de ellos:

CMD SHELL TROJAN:

No hace falta aclarar demasiado. Son aquellos que se conectan a través de shells (Si si, usando el famoso netcat por ejemplo)

DOCUMENT TROJAN:

Código malicioso embebido en documentos Word.



DEFACEMENT TROJAN:

Trojanos que se ocultan en programas gráficos como por ejemplo la calculadora de Windows (Hola si, cuanto es 2 + 2, mmm... Un troyano!)


FTP TROJAN:

Se instala una aplicación legítima y por detrás (background) un servidor FTP en el equipo víctima, el cual permite la transferencia de archivos a la máquina del atacante.


E-BANKING TROJAN:

Como se puede ver en la imagen, estos troyanos son mucho mas complejos en cuanto a procesos, pero obviamente son mas redituables para los atacantes.

El atacante sube un anuncio malicioso a un servidor, esos anuncios son publicados en sitios legítimos. El usuario se conecta al sitio infectado y es redirigido a un kit de exploits que terminan tomando control de su equipo. Luego, el troyano reporta a un servidor de control y comandos que tiene un nuevo equipo en la red bot y comienza a transmitir toda la actividad del usuario hacia el. Después, el servidor enviará instrucciones a realizar si el usuario se conecta a su home banking, y bueno...ya sabemos el resto.


EJEMPLOS DE TROYANOS:


-------------------------------------------------------------------------------------------------------------
También se denomina backdoor al código instalado en un equipo, (una vez que un atacante obtuvo acceso a él) para obtener accesos posteriores de forma mas sencilla, es decir sin tener que volver a realizar el trabajo de explotación en el equipo victima.

Los backdoors mas conocidos sin lugar a dudas son BackOrifice y NetBus, de los cuales podemos informarnos aquí:

http://es.wikipedia.org/wiki/Back_Orifice
 
http://www.iss.net/security_center/reference/vuln/NetBus.htm




Eso es todo por ahora

Espero que sea de utilidad, gracias por pasar!

Saludos y...

HAPPY HACKING!!!!!!!!!!!!