martes, septiembre 17, 2019

Un viaje por el fin de semana: RootedCON, TechParty y una visita a El Pardo con mucho honor

Volver de vacaciones el 9 de septiembre, tras un par de semanas lejos de todo y casi de todos, y tener que enfrentarse a la vuelta al trabajo y a los eventos acordados. Llegó el día 13 de septiembre y, por sexto año, tuve el RootedLab en Valencia. En las seis ediciones de RootedVLC he tenido un Lab y eso para mí es un verdadero honor. Cada año me repito lo mismo: “Venga Pablo a por otro más, a dar lo mejor de ti”.

Figura 1:Un viaje por el fin de semana: RootedCON, TechParty
y una visita a El Pardo con mucho honor

Fue un taller especial, como lo son todos, con gente con muchas ganas de aprender, de sacar el máximo aprovechamiento de un día que, como siempre, pasa volando. Uno piensa que ocho horas son muchas, pero siempre pasan rápido, necesitamos más horas.

RootedCON Valencia, TechParty y una charla de Phishing

El día 14 de septiembre, siguiente al del RootedLab, tenía una pequeña maratón. Y es que primero exponía en la Rooted Valencia, donde hablaba sobre uac-a-mola^2, y presenté uac-a-mola^3, que ha llegado en los últimos días a estar listo a tiempo. De esta nueva versión hablaré en el post de hoy para contar el funcionamiento.

Pero mi odisea continuaba después de la presentación, ya que ese mismo día, debía estar por la tarde en la TechParty 2019 en La Nave, Vicálvaro. La charla en esta conferencia fue un enfoque sobre cómo investigar manualmente y qué herramientas utilizar para obtener bypasses de UAC.

Por último, hoy lunes 16 de septiembre un amigo nos invitó a participar en una charla sobre la evolución del phishing hasta la llegada de la inteligencia artificial. Contaré algo un poco más tarde. Así que vamos a comenzar por el principio.

UAC-a-Mola^3

La charla de uac-a-mola mostraba un repaso sobre lo que es la herramienta UAC-A-Mola, publicada en 2017 y que fue presentada en BlackHat Europe 2017. La utilidad evolucionó en 2018 en una “spin off” en la que queríamos llevarla a Powershell - ya sabéis mi afición al Pentesting con Powershell - y orientarla a complementar los bypasses de UAC que otras herramientas no implementaban. La idea era poder ejecutarla siempre desde memoria y poder hacer uso de las funcionalidades necesarias con el objetivo de evadir protecciones.


Con esta razón nace uac-a-mola^2. Esta herramienta se presentó en 8dot8 2018 en Chile. En el siguiente video se puede ver una demo del uso de la herramienta. Es cierto que aún no se ha publicado esta función de Powershell, que se utiliza en la demo con Meterpreter, pero lo haremos pronto, junto a la publicación de uac-a-mola^3.

Figura 3: Demo de UAC-a-mola thin client

Esta solución buscaba una serie de cosas que yo tenía en la cabeza, para integrarla más con Powershell y con Metasploit, del que ya sabéis que me ha quitado tanto el sueño como para sacar dos libros: Metasploit para Pentesters y Hacking con Metasploit.
• Descarga directa a memoria, evitar en la medida de lo posible el uso del disco. 
• Integrar el entorno de uac-a-mola en memoria y en Powershell. 
• Detectar y explotar bypasses de UAC desde Powershell y complementar otras soluciones de frameworks como Metasploit o Empire. 
• Utilizar desde el Meterpreter.
Este thin client nos llevó a evolucionar la solución y buscar una integridad más amigable, ya que sabíamos que no era todo lo usable que un pentester quiere o necesita. Para ello pensamos que la mejor solución era integrarlo como una extensión de Meterpreter real. Para ello, estudiamos el framework y fue nuestro compañero Josué Encinar el encargado de poner las piedras a estos pensamientos. Hay que recordar que Josué trabajó en un TFM que llevé desde la UEM dónde nació el proyecto Boomer.

Figura 4: Libro de Hacking con Metasploit: Advanced Pentesting

La idea era la extensión para cualquier Meterpreter, pero uac-a-mola^3 presenta la extensión para el Meterpreter de Python. Tendremos que seguir trabajando para cubrir el resto de Meterpreter que se pueden ejecutar en Windows. Por tanto, es disponible que la víctima o la máquina comprometida disponga de Python en Windows. Los comandos y las posibilidades que ofrece la extensión hace que sean sencillas de usar y ejecutar.

Probando de UAC-a-mola^3

Un ejemplo de funcionamiento de la extensión es el siguiente en el que podemos ver cómo haciendo uso del comando load se puede cargar la extensión. Una vez cargada, si ejecutamos la opción help podemos encontrar las opciones y comandos de la extensión. Solo tiene un comando que es start_uacamola.

Cuando se ejecuta el comando start_uacamola obtenemos una shell dentro del proceso. Esa consola es nuestro uac-a-mola integrado, con diferentes módulos. El comando help puede ayudarte a encontrar lo que necesitas. La capacidad que se tiene para poder integrar nuevos bypasses de UAC es rápida, por lo que puedes encontrar algunos bypasses que no encontrarías con Metasploit o con Empire.

Figura 5: cargando uacamola como extensión de Meterpreter

La charla de Valencia tuvo cinco demos en directo que mostraban lo que era un bypass de UAC, lo que era uac-a-mola y todo lo que había evolucionado después. Pronto estará listo para ser publicado y os iremos informando. Estará en el repositorio de Github de ElevenPaths en el apartado de uac-a-mola. Seguiremos trabajando para que podáis utilizarlo y saquéis el máximo jugo a uac-a-mola.

Una historia de UAC en TechParty

Después de la charla de Rooted en Valencia, el AVE me llevó a Madrid a la carrera. Próxima parada La Nave en Villaverde. En la TechParty me encontré con más de 90 ponentes en un día, con más de 9 salas y con bastante gente. Un evento grande en un espacio grande. Blockchain, Inteligencia Artificial, Ciberseguridad, Legalidad, diferentes ámbitos que empujaban el mundo actual y con ponentes de diferentes sectores que, estoy seguro, disfrutaron y dieron lo mejor de sí.

Figura 6: De charla en Valencia a charla en Madrid

El título de la charla: “The UAC Story: How-Tos for bypass research”. Un paseo por cómo abrir investigaciones para detectar nuevos bypasses de UAC en diferentes versiones del sistema operativo Windows. La idea, siempre, mejorar la calidad de la seguridad del sistema, y conocer técnicas nuevas que poder usar en proyectos de Ethical Hacking que tengan que pasar por un Hacking de Windows.

Figura 7: Libro de Hacking Windows: Ataques a sistemas y redes Microsoft

Se pudo ver los resultados que uac-a-mola sacó en el paper que hicimos para publicarlo, respecto a las posibilidades que los investigadores tienen para lograr encontrar, con técnicas conocidas, nuevos bypasses. Un tema interesante para los que nos dedicamos a esto.

Y ahora algo de Phishing con Inteligencia Artificial

Ayer lunes 16 teníamos una cita en El Pardo para mostrar la evolución de las técnicas de Phishing, desde el engaño clásico hasta el uso de Inteligencia Artificial, pasando por las nuevas amenazas a las que nos enfrentamos. En este repaso, lo primero que vimos fue cuáles eran las creencias de la sociedad en cuanto al Phishing más clásico, las medidas importantes que debíamos tener en cuenta, como por ejemplo usando 2FA con Latch, y vimos la evolución de ataques como:
• Bar Spoofing. 
• Punycode. 
• QRLJacking. 
• OAuth Apps.
• WebView embebidas en apps. 
• Rogue Apps.
Posteriormente tocó hablar de la Inteligencia Artificial y su irrupción en el mundo de la ciberseguridad para lo bueno, pero también para lo malo. A lo que nos enfrentamos no solo las empresas, si no la sociedad y los estados. El ejemplo más claro era la evolución de una estafa del CEO/CDO que se mostraba en vídeo y con audio de la persona suplantada. Se explicó lo que había por detrás. Lo contamos mi compañero Enrique Blanco y yo en RootedCON. Hablamos de Machine Learning, de Inteligencia Artificial, de redes neuronales, de Autoencoders, de GANs, etcetera.

Con las GANs jugamos y mostramos como la estafa del CEO podía llegar a límites visuales y auditivos más que interesantes. ¿Cómo combatirlos? También expusimos trabajos que han salido para detectar DeepFakes, pero, ¿quizá sea necesario un dataset de esto para poder detectarlas? Parece que algunas empresas ya trabajan en esa idea.

Figura 8: Una placa para el equipo de Regimiento de Guerra Electrónica 31

La sorpresa vino al final de la charla, cuando nos entregaron esta placa para el equipo de Ideas Locas y la gente de Telefónica Digital. Un agradecimiento con el que estamos muy contentos y queremos compartir. Trabajo de todos.

Y en cuanto toque... más aún

Como podéis ver, un fin de semana y un lunes de mucho trabajo y de buenos resultados que hacen que todo este “trajín” merezca la pena. Gracias al equipo de Ideas Locas por todo su esfuerzo y por toda la pasión que se pone en todo lo que se hace. Seguiremos, y espero que, por mucho tiempo, al pie del cañón.

Saludos,

Autor: Pablo González Pérez (@pablogonzalezpe), escritor de los libros "Metasploit para Pentesters", "Hacking con Metasploit: Advanced Pentesting" "Hacking Windows", "Ethical Hacking", "Got Root" y “Pentesting con Powershell”, Microsoft MVP en Seguridad y Security Researcher en el equipo de "Ideas Locas" de la unidad CDO de Telefónica.
Para consultas puedes usar el Buzón Público para contactar con Pablo González

1 comentario:

  1. Vaya trajín llevas Chema ;), tanto que en la primera mención a la TechParty 2019 en La Nave has puesto Vicálvaro y no Villaverde. Aprovecho para preguntarte qué te parece la implementación de la normativa PSD2 que están haciendo los bancos en España, un saludo.

    ResponderEliminar