listas negras de certificados SSL

fingerprint del certificado, pues es lo que me servirá para buscar en las listas negras de SSL y en concreto en esta https://sslbl.abuse.ch/.

Anuncios

Sparta, Network Pentesting Tool

Una de las primeras fases de cualquier auditoría es la realización de una fase de escaneo de red con el fin de localizar equipos activos y detectar puertos abiertos, versiones de software, sistemas operativos, etc. Para ello contamos con muchas herramientas, entre ellas de la que hablaré hoy, SPARTA

SPARTA es una aplicación escrita en Python mediante una interfaz gráfica que simplifica la tarea de la que hablábamos anteriormente, permitiendo al auditor ahorrar tiempo teniendo una única aplicación desde la cual poder visualizar los resultados y analizarlos a posteriori.

Entre sus características destacan:

  1. Ejecutar nmap o importar los resultados desde un fichero XML
  2. Plataforma única donde visualizar resultados
  3. Menús contextuales para cada servicio descubierto.
  4. Posibilidad de correr cualquier script o software contra un servicio sobre equipos objetivo.
  5. Definir tareas automatizadas para servicios.
  6. Capacidad para realizar intentos de logueo con credenciales definidas de forma personalizada o por defecto.
  7. Identificación de host sobre los cuales ya se han realizado algún tipo de acción.
  8. Otras muchas más…

Si bien la aplicación ya viene instalada en la distribución Kali Linux el procedimiento de instalación es la siguiente:

Descargar  la aplicación:

https://github.com/SECFORCE/sparta/archive/master.zip

O bien:

git clone https://github.com/secforce/sparta.git

Luego deberemos resolver algunas dependencias.

Para Kali:

apt-get install python-elixir

Para distribuciones basadas en Debian

apt-get install python-elixir python-qt4 xsltproc

SPARTA requiere de otras aplicaciones para tener completa funcionalidad como son:

– nmap (para añadir equipos)
– hydra (para logueo on-line por fuerza bruta)
– cutycapt (para capturas de pantalla)

Para Kali:

apt-get install nmap hydra cutycapt

Finalmente nos aseguraremos tener instaladas otras herramientas que la configuración por defecto que utiliza Sparta:

apt-get install ldap-utils rwho rsh-client x11-apps finger

Sparta cuenta con un fichero de configuración situado sparta.conf. La aplicación verificará la existencia del mismo y si no lo encuentra lo generará de forma automática. En Kali lo tendremos en /etc/sparta.conf

Sparta 01

Allí podemos encontrar las lo que se denominan las “Actions”, esto es aquellos que se ejecutará sobre :

  • Host Actions: Será la que se ejecutará cuando hagamos “botón derecho” sobre un equipo concreto y cuyo resultado será almacenado y visualizado en la interfaz de Sparta.
  •  Port Actions: Idem pero con un puerto.
  • Terminal Actions: Lo mismo pero en este caso el resultado será exportado en un terminal ajeno a Sparta.

Si quisiéramos definir una nueva “Action” deberemos seguir la siguiente fórmula, o bien tomamos como ejemplo las ya creadas por defecto.

tool=label, command, services

Donde:

Tool, identificador único, normalmente el nombre de la aplicación.

Label, texto que aparecerá en el menú contextual.

Command, comando que se introduciría en una Terminal si quisiéramos utilizar la herramienta concreta. Los valores como IP, Puerto y Resultado vendrán por los campos [IP], [PORT] y [OUTPUT], respectivamente.

Services, lista de servicios de nmap sobre los cuales Sparta va a realizar una acción concreta.  Si hacemos “botón derecho” sobre un servicio concreto la herramienta sólo mostrará aquellos que esté definidos allí.

Por ejemplo si quisiésemos configurar la herramienta Nikto para ejejcutar una acción sobre un puerto concreto deberíamos añadir lo siguiente:

nikto=Run nikto, nikto -o [OUTPUT].txt -p [PORT] -h [IP], “http,https”

Importante tener en cuenta reiniciar la aplicación una vez realizados cambios en el fichero de configuración.

Por otra parte es posible configurar ataques automatizados ejecutando cualquier herramienta que previamente hayamos configurado en el apartado [PortActions]. Estos ataques automatizados están habilitados por defecto aunque podremos deshabilitarlos  editando la opción “enable-scheduler” en [GeneralSettings]. Bajo esta última opción también podremos añadir otros siguiendo el siguiente formato:

tool=services, protocol

Tool, identificador único el cual hemos utilizado para definir la herramienta en el apartado [PortActions].

Services, listado de servicios sobre los cuales actuará la herramienta.

Protocol, protocolo del servicio en cuestión, esto es, TCP o UDP. 

Pero como todas cosas mejor verlo con un ejemplo. 

En mi caso en lugar de llevar un escaneo desde la propia aplicación lo que haré será realizar uno con nmap mediante su interfaz gráfica Zenmap, exportar los resultado en un fichero .xml y luego importarlo a Sparta. 

Con el scan hecho:

Sparta 02

 Abrimos “Aplicaciones – Recopilación de Información – Sparta”

Sparta 03

Luego importamos el scaneo previamente guardado:

Sparta 04

Sparta 05

Pinchando en la pestaña “Host” veremos los equipos y los “Servicios” localizados en él.

Sparta 06

Mientras que el pestaña “Services” veremos todos los servicios detectados en el escaneo.

Sparta 07

A partir de aquí,  clickando con el botón derecho del ratón sobre el servicio podremos ejecutar otras aplicaciones.

Sparta 08

Las mismas se verán en la ventana “logs”:

Sparta 09

Y el resultado será:

Sparta 10

Ahora bien si lo hacemos sobre un dispositivo “Cisco”, en este caso un router, veremos que las pruebas nos revelan resultados distintos entre ellos el requisito de contraseña de nivel 15.

Sparta 11

Otra de las posibilidades de la herramienta es lanzar intentos de logueo online con “THC- Hydra”. Haremos la prueba sobre el equipo router Cisco.

Sparta 12

Elegiremos dos ficheros donde tendremos almacenadas nuestros diccionarios y no los que trae por defecto Sparta:

Sparta 13

Si quisiéramos guardar nuestros proyectos podremos hacerlo en un fichero identificado como:

Sparta 14

Como podemos comprobar Sparta es una herramienta donde podremos aglutinar aquellas herramientas que sean de nuestra utilidad cara a una auditoría o pentest. Como todo deberemos de ajustarla según necesidades o circunstancias ya que las configuraciones por defecto pueden no arrojar los resultados que esperamos. Vamos a verlo.

Según el archivo de configuración dispondremos de los siguientes diccionarios para la prueba con THC-Hydra:

Sparta 15

Los cuales comprenden:

Sparta 16

Este tipo de listados contendrán palabras generalmente en inglés por lo que resulta vital emplear otros con palabras en nuestro propio idioma. De nada nos sirve emplear el usuario “Administrator” cuando lo más probable es que sea “Administrador”.

Otro caso es el escaneo con herramientas desde la propia Sparta como es nmap. Los puertos por defecto son:

Sparta 17

Nuevamente volvemos a la misma pregunta, y si los puertos que nos interesan no están en la lista? Nuevamente tenemos que editar…

También deberemos comprobar las acciones bajo [PortActions]

Sparta 18

Con la entrada de hoy hemos visto una herramienta que bien nos puede ayudar y facilitar mucho el trabajo, en nuestras auditorias. Además podremos ajustarla a nuestras necesidades concretas mediante la edición de su archivo de configuración, todo desde una única interfaz.

Fuente: SPARTA: Herramienta de pentesting

Sistema de detección de tráfico malicioso.

Maltrail se basa en la arquitectura Trafico->Sensor<->Servidor<->Cliente. El sensor es un componente autónomo que se ejecuta en el nodo de monitorización (por ejemplo, una plataforma Linux conectada pasivamente al puerto SPAN/mirroring o transparente en un puente Linux) o en la máquina autónoma (por ejemplo, Honeypot) donde “monitoriza” la lista negra (es decir, nombres de dominio, URLs y / o Ips). En caso de una coincidencia positiva, envía los detalles del evento al servidor(central) donde se almacenan dentro del directorio de registro apropiado (descrito en la configuración). Si el Sensor se está ejecutando en la misma máquina que servidor (configuración predeterminada), los registros se almacenan directamente en el directorio de registro local. De lo contrario, se envían a través de mensajes UDP al servidor remoto (descrito en la sección configuración).

La función principal del servidor es almacenar los detalles de los eventos y proporcionar soporte de fondo para la aplicación web de informes. En la configuración predeterminada, el servidor y el sensor se ejecutarán en la misma máquina. Por lo tanto, para prevenir posibles interrupciones en las actividades de los sensores, la parte de informe de front-end se basa en la arquitectura “Fat client” (es decir, todos los datos de post-procesamiento se realiza dentro de la instancia del navegador web del cliente). Los eventos (es decir, entradas de registro) para el período elegido (24h) se transfieren al cliente, donde la aplicación web de reporte es la única responsable de la parte de presentación. Los datos se envían hacia el cliente en trozos comprimidos, donde se procesan secuencialmente. El informe final se crea en una forma muy condensada, prácticamente permitiendo la presentación de un número prácticamente ilimitado de eventos.

Casos reales detectados:

Exploraciones de masivas.
Las exploraciones masivas son un fenómeno bastante común en el que individuos y organizaciones se dan el derecho de explorar todo el rango de IP 0.0.0.0/0 (es decir, Internet entero) diariamente, con descargo de responsabilidad. Entonces se debe contactar con ellos en privado para ser excluido de las exploraciones futuras.Para empeorar las cosas, organizaciones como Shodan y ZoomEye ofrecen todos los resultados disponibles (a otros posibles atacantes) a través de su motor de búsqueda. Un comportamiento más común es el escaneo de todo el rango de IP 0.0.0.0/0 (es decir, Internet) en la búsqueda de un puerto en particular (por ejemplo, el puerto TCP 443, ataque Heartbleed).

Atacantes anónimos.
Para detectar a los posibles atacantes escondidos detrás de la red de anonimato de Tor , Maltrail utiliza listas de nodos de salida de Tor públicamente disponibles.

Ataques a servicios.
Un caso bastante similar al anterior es cuando un atacante previamente marcado en la lista negra intenta acceder a un servicio particular (por ejemplo, no HTTP (s)) en el rango deuna organización de manera bastante sospechosa (es decir, 1513 intentos de conexión en menos de 15 minutos).

Malware.
En caso de intentos de conexión procedentes de computadoras infectadas dentro de una organización hacia servidores C&C ya conocidos.

Búsquedas de dominio sospechoso.
Maltrail utiliza la lista estática de dominios de TLD que se sabe que están comúnmente involucrados en actividades sospechosas. La mayoría de estos dominios de TLD vienen de registradores de dominio gratuitos (por ejemplo, Freenom), por lo que deben estar bajo un mayor escrutinio. Utiliza una lista estática de los llamados “dominios dinámicos” que se usan frecuentemente en actividades sospechosas (por ejemplo, para servidores C & C de malware que a menudo cambian las direcciones IP del destino). Además, Maltrail utiliza una lista estática de dominios relacionados con “Tor” que también se usan frecuentemente en actividades sospechosas (por ejemplo, malware que contacta a los servidores C&C utilizando los servicios de Tor2Web).En el caso de malware antiguo y  obsoleto que se encuentra sin ser detectado en los equipos internos infectados de la organización, suele haber un “fenómeno” en el que el malware intenta contactar permanentemente con el dominio del servidor C&C sin ninguna resolución DNS.

Solicitud de información de IP sospechosa.
Muchos malware utilizan algún tipo de servicio de información de IP (por ejemplo, ipinfo.io) para averiguar la dirección IP de Internet de la víctima. En el caso de regulares y especialmente en horas de fuera de la oficina, este tipo de solicitudes deben ser monitoreadas de cerca.

Descarga directa de archivos sospechosos.
Maltrail rastrea todos los intentos sospechosos de descarga directa de archivos (por ejemplo, las extensiones de archivo “.apk”, “.exe” y ”.scr”). Esto puede desencadenar un montón de falsos positivos, pero eventualmente podría ayudar en la reconstrucción de la cadena de infección (Nota: los proveedores de servicios legítimos, como Google, suelen usar HTTPS cifrado para realizar este tipo de descargas).

Solicitudes HTTP sospechosas.
En caso de solicitudes sospechosas procedentes de escáneres de seguridad de aplicaciones web externas (por ejemplo, búsqueda de vulnerabilidades SQLi, XSS, LFI, etc.) y o intentos maliciosos del usuario interno hacia sitios web desconocidos, podrían encontrarse amenazas como el caso real de Atacantes tratando de explotar las vulnerabilidades de CMS CVE-2015-7297, CVE-2015-7857 y CVE-2015-7858 de Joomla!.

Exploración de puertos.
En caso de demasiados intentos de conexión hacia una cantidad considerable de puertos TCP diferentes, Maltrail advertirá sobre el escaneo de puertos potenciales, como resultado de su detección de mecanismo heurístico.

Agotamiento de recursos DNS.
Un ataque DDoS popular contra la infraestructura de los servidores web es el agotamiento de recursos de su servidor DNS (principal) mediante la realización de consultas de recursión de DNS válidas para nombres de subdominio aleatorio (pseudo) (por ejemplo, abpdrsguvjkyz.www.dedeni.com ).

Fuga de datos.
Los programas diversos (especialmente móviles) presentan un comportamiento de tipo malware (similar) en el que envían datos potencialmente confidenciales. Maltrail intentará capturar tal comportamiento.

Falsos positivos
Como en todas las demás soluciones de seguridad, Maltrail es propenso a “falsos positivos”. En este tipo de casos, Maltrail (especialmente en caso de amenazas sospechosas) registrará el comportamiento de un usuario regular y lo marcará como malicioso y sospechoso.

Más información y descarga de Mailtrail:
https://github.com/stamparm/maltrail

PRET: framework de pentesting a impresoras

PRET (Printer Exploitation Toolkit) es una nueva herramienta para realizar pruebas de seguridad a impresoras. Fue desarrollada en el marco de una tesis de maestría en la Universidad Ruhr de Bochum [PDF].

Se conecta a un dispositivo a través de red o USB y explora las características de un lenguaje de impresora determinado. Actualmente soporta PostScript, PJL y PCL que son compatibles con la mayoría de las impresoras láser. Esto permite realizar cosas interesantes como capturar o manipular trabajos de impresión, acceder al sistema de archivos de la impresora y la memoria, o incluso causar daños físicos al dispositivo.

La idea principal de PRET es facilitar la comunicación entre el usuario final y la impresora y luego permitir introducir un comando similar a UNIX que PRET lo traduce a PostScript, PJL o PCL, lo envía a la impresora, evalúa el resultado y lo traduce de nuevo a un formato fácil de usar.

PRET ofrece un montón de comandos útiles para ataques a las impresoras y la realización de fuzzing. Todos los ataques están documentados en detalle en la Wiki del proyecto.

Fuente: Kitploit

Vulnerabilidades críticas en OpenVPN (Parchea!)

Un poco después del mes en que se publicaran los resultados de sus dos auditorías de seguridad, OpenVPN ha publicado la solución a cuatro vulnerabilidades, entre ellas un fallo crítico de Ejecución Remota de Código (RCE),

Una de las auditorías de OpenVPN, llevada a cabo desde diciembre de 2016 hasta febrero de 2017, encontró varios problemas de riesgo bajo y medio y esa auditoría elogió el diseño global de OpenVPN en criptografía. Estos errores ya fueron parcheados en mayo pasado.

La otra auditoría realizada sobre OpenVPN 2.4.0 encontró dos más errores que también fueron parcheados en mayo.

Ahora, estos nuevos parches fueron liberados después de revelaciones privadas realizadas en mayo y junio por el investigador holandés Guido Vranken. Este investigador dijo que las vulnerabilidades no se encontraron en ninguna de las auditorías previas, y fueron una combinación de una revisión manual del código fuente y la exploración automatizada.Vranken no sabía si alguna de las vulnerabilidades ha sido explotada públicamente y dijo que él utilizó exclusivamente un fuzzer para encontrar estos errores.

Los tres errores del lado del servidor requieren que el atacante sea autenticado para poder realizar un el ataque. La CVE-2017-7521 “puede ser utilizada para sacar información de la memoria del servidor. Esta es la peor vulnerabilidad porque luego de la autenticación se pueden enviar datos modificados para bloquear el servidor. Definitivamente se necesita actualizar lo antes posible”.

El error restante, del lado del cliente permite a un atacante robar una contraseña para obtener acceso a un proxy, dijo Vranken. Esta vulnerabilidad sólo se puede explotar en ciertas circunstancias particulares, como cuando el cliente se conecta a un proxy a través de la autenticación NTLM v2.

Vranken proporcionó explicaciones técnicas detalladas de cada error en un informe publicado

Fuente: ThreatPost

Backdoor en imágenes BMP!!

Muchos nos hemos dedicado a darle cientos de vueltas a la cabeza para conseguir ejecutar malware sin ser frenados por la multitud de antivirus que hay en el mercado, para ello hay algunas herramientas como AVET, comentada anteriormente por estos lares, que nos facilitan cantidad el proceso de evasión de AVs, pero debemos saber que estas herramientas no son infalibles.

Seguramente casi nadie (por no decir nadie) os habréis fijado bien si hay algo raro en la imagen de cabecera del post, ¿no veis nada raro?, ampliarla un poquito más, ¿seguís sin verlo?, os daré un pista, haced zoom a la parte inferior izquierda de la imagen…

Bueno, como podéis observar, aparece una tira de pixels de diferentes colores, los cuales no concuerdan con la imagen original, pues en esa tira de pixels se encuentra nuestra futura sesión de meterpreter, o mejor dicho, nuestro querido backdoor.

Como muchos habréis podido observar, es una imagen en formato bitmap (.BMP), esto quiere decir que estamos ante un mapa de bits que es una estructura o fichero de datos que representa una rejilla rectangular de pixels o puntos de color, denominada matriz, que se puede visualizar en un monitor, papel u otro dispositivo de representación. Aprovechando esta característica, hemos insertado un backdoor dentro de dicha matriz en 54 pixeles de la parte inferior izquierda de la imagen.

Si observamos de una imagen original y de otra backdorizada con un visor hexadecimal veremos los siguiente:

Si os fijáis, en comparación a la imagen original (izquierda), la imagen backdorizada (derecha) tiene añadidos unos valores seleccionados, ese es el backdoor en cuestión que se representa en la imagen original  con esos pixels coloreados mencionados anteriormente.

Para crear esta imagen tenemos la herramienta NativePayload_Image, una herramienta creada en C# por Damon Mohammadbagher que va a servir de interprete de nuestra puerta trasera, en este caso, una sesión de de meterpreter. Su uso es muy sencillo, nada más descargar el repositorio, compilaremos la solución con .Net Framework 2.0 , 3.5 o 4.0, y lo ejecutaremos desde la terminal de Windows.

Ransomware PetrWrap/Petya paraliza decenas de empresas 

Paralización total en grandes multinacionales: la empresa de alimentación Mondelez (matriz de empresas como Cadbury y Nabisco y dueña de marcas como Oreo, Chips Ahoy, TUC), las empresas Nivea, el laboratorio estadounidense Merck, la petrolera rusa Rosneft, la naviera Moller-Maersk, y el bufete DLA Piper, una de las mayores firmas legales de todo el mundo, han sufrido esta mañana un ataque de ransomware similar al ocurrido a nivel mundial con Wannacry hace apenas un mes. Y no son las únicas.

Cómo recuperar los archivos cifrados con Petya

El Vice Primer Ministro de Ucrania, Pavlo Rozenko también dijo en su Facebook que Petya cifró sus unidades de disco.

Los analistas de Kaspersky Lab han descubierto PetrWrap, una nueva familia de malware que explota el módulo de ransomware original de Petya, distribuido a través de una plataforma Ransomware-as-a-Service, para realizar ataques dirigidos contra organizaciones concretas. Los creadores de PetrWrap crearon un módulo especial que modifica el ransomware de Petya original “sobre la marcha”, dejando a sus autores indefensos contra el uso no autorizado de su malware. Este hecho es indicativo de la creciente competitividad que existe en el mercado negro del ransomware.

En mayo de 2016, Kaspersky Lab descubrió el ransomware Petya que no sólo cifra los datos almacenados en un ordenador, sino que también sobrescribe el registro de arranque maestro (MBR) de la unidad de disco duro, imposibilitando a los ordenadores infectados arrancar el sistema operativo.

Según suponían varios usuarios, PetrWrap está usando el mismo medio de propagación de WannaCry, es decir la explotación de EternalBlue y EternalRomance en Windows y el puerto 445 abierto pero los últimos informes confirman que la propagación es por correo electrónico.

“Petya utiliza el mismo exploit de Eternalblue y también se propaga en las redes internas con Mimikatz WMIC y PsExec, por eso los sistemas parcheados pueden ser afectados igualmente” dijo Mikko Hypponen, Director de Investigación de F-Secure. La diferencia fundamental con WannaCry es que este malware solo se propaga en la red local, no a través de Internet. Petya, además cifra muchos menos tipos de archivos que su predecesor.

Petya también ha causado graves trastornos en otras grandes empresas, entre ellas el gigante de la publicidad WPP, la empresa francesa de materiales de construcción Saint-Gobain y las firmas rusas de acero y petróleo Evraz y Rosneft. El ataque fue informado por primera vez en Ucrania, donde el gobierno, los bancos, la energía eléctrica estatal, el aeropuerto de Kiev y el sistema de metro fueron afectados. El sistema de monitoreo de radiación de Chernobyl fue puesto fuera de línea, obligando a los empleados a usar contadores manuales para medir los niveles en la zona de exclusión de la
antigua planta nuclear.

Los responsables del ataque solicitan al usuario pagar un rescate de 300 dólares y enviar el justificante de pago a una dirección de correo electrónico con una contraseña preestablecida. Por ahora, los ciberdelincuentes han recibido 32 transacciones, la primera de ellas a las 12:48hs de hoy (hora de Europa). Aquí se encuentra toda la información técnica correspondiente a los binarios detectados hasta ahora.