Tag Archive for Malware

Instalación de Snorby

En los artículos anteriores hemos configurado Snort para que nos escribiera las alertas en un fichero Unified2 y con Barnyard2 conseguimos pasar estas alertas a nuestra Base de Datos de Mysql. Para nuestra gestión de alertas que genere nuestro Snort vamos a instalar la aplicación Web SNORBY en un sistema operativo Debian 8.

Aquí os dejamos una captura del dashboard así como del login de este framework muy interesante e intuitivo.

snrb1

Login de acceso a nuestro framework

Read more

Spyware en Android

En el día de hoy os traigo un artículo generado a raíz de una pequeña investigación que realicé al móvil android chino (chino, re-chino, vamos que ni la marca es pronunciable) de un familiar el cual, al utilizarlo yo mismo para realizar una llamada (hay que ahorrar xD), noté, por intuición más bien, que algo en el teléfono no andaba bien.

Llevo usando android hace bastante tiempo, “tuneando” ROMs en mis terminales, haciendole mods y otros “enrreos” así como en el último año, he estado más centrado en probar herramientas de pentesting de Android aunque no haya publicado ni expuesto nada sobre esto.

Bueno pues tras pelearme unos instantes con él detecté que ¡estaba roteado! A partir de ahí os podéis imaginar un poco que posibilidades se puede abrir en el caso de ser infectado por algún malware.

Por lo pronto detecté que, al desbloquearlo, siempre salía una pantallita con un anuncio. Oh Shit! Siempre. Desinstalé alguna APP de estas famosillas de programas de la TV y algún Widgets del tiempo un poco cutre pero el problema seguía. El teléfono mostraba publicidad.

androchina_logo

Read more

Web Hacking : Una línea para manejarlos a todos

¿Podría darte una línea de código acceso a un sitio Web completo? ¿Qué información obtendría un atacante si consiguiera llegar al nivel más bajo de tu página Web? es decir, a tu BBDD o SSOO. Dependiendo del objetivo de la misma podría encontrar seguramente información sobre la identidad de los usuarios, transacciones bancarias, compras online, usuarios, contraseñas y mucho más.

¿Cuánto vale tu información? Debemos de establecer unos controles de seguridad mínimos a nuestro sitio Web, llevar a cabo una serie de auditorías de seguridad que garanticen el buen funcionamiento de la misma. No sólo tener en regla la política de cookies y poco más, sino os puede ocurrir como la Web con la que me encontré hace unas semanas a la hora de preparar una charla. Antes de nada os muestro un disclaimer.


Aviso Legal y Descargo de Responsabilidad

  1. El objetivo de lo mostrado a continuación tiene fines educativos para aprender a mejorar la seguridad de nuestros sitios Web.
  2. No nos hacemos responsables del mal uso que se le pueda dar a las herramientas mostradas.
  3. Toda la auditoría Web mostrada a continuación se ha llevado a cabo con permisos de sus administradores según lo acordado en documento legal.

Vamos a llevar a cabo la auditoría de un sitio Web siguiente la metodología OWASP, concretamente seguiremos la OWASP Testing Guide V4. Los diferentes puntos que abarca dicha metodología los podéis ver detalladamente en el enlace anterior. A continuación nombramos los aspectos generales a tratar.

Read more

You have a new eFax from…

Hace escasamente dos días, me llegó a mi cuenta de correo un “revelador” mensaje en el que se me advertía (en inglés) que tenía un fax nuevo desde un número un tanto “raro”. “You have a new eFax from…”

Normalmente esto va filtrado y eliminado por el gestor de correo que tengo configurado pero me picó la curiosidad de ver que tenía el correo sin riesgo de infectarme. A todas luces parecía un malware.

Este correo nos consta que es recibido por cientos de clientes al día, en horas dispares y no llega de forma masiva. Se envía desde una dirección relativamente convincente como es message@efax.com algo que podría hacernos pensar que no tiene porque ser un correo “malvado”.

Read more

Analizar malware con Anubis

En la última semana hemos recibido en nuestro laboratorio unos binarios provenientes de campañas de phishing y envío de malware, que hemos procedido a analizar de una forma muy práctica y bastante efectiva por el resultado de dicho análisis, que nos permite rápidamente extraer unas primeras contramedidas por si ha habido alguna infección. Vamos a analizar malware con Anubis.

El último de los ficheros lo hemos recibido esta misma mañana y es el que usaremos en este artículo.

Concretamente se trata de un fichero adjunto en este mensaje que “generosamente” Bobby nos envía y que se le había olvidado adjuntar en un correo anterior. Todo un detalle.

Analizar malware con Anubis

Un primer paso era analizar el fichero con el antivirus instalado en uno de los equipos usados como sandbox, con antivirus Avira actualizado hasta el día. En ese primer análisis no salió ninguna detección. Acto seguido, decidimos probar con los 57 motores de análisis de VirusTotal (donde pudimos comprobar que el motor de Avira no lo detectaba), obteniendo en un primer análisis sólo 7 detecciones de los 57 motores, y al cabo de 2 horas un resultado de 12 detecciones.

Analizar malware con Anubis

Aunque nuestro antivirus Avira no lo había detectado, gracias a VirusTotal pudimos comprobar que efectivamente se trata de malware, concretamente el troyano Trojan.Upatre.Gen.3.

Como desconocemos lo que este troyano es capaz de hacer, y queremos saber posibles contramedidas por si ha habido alguna infección, procedemos a subir el archivo a Anubis, donde además de un análisis del binario, lo desplegará y ejecutará en una máquina Windows propia, nos indicará las modificaciones en el sistema de ficheros, posibles entradas de registro y lo que es muy interesante también, nos facilitará una captura del tráfico generado por este malware tras su ejecución.

Analizar malware con Anubis

Como podemos ver en la imagen anterior, tras subir el fichero a Anubis y ser analizado, tenemos a nuestra disposición el informe del análisis en varios formatos, y en la parte inferior un enlace al fichero pcap resultante de la captura de tráfico realizada.

Veamos qué tiene ese fichero si lo abrimos con Wireshark:

Analizar malware con Anubis

Si filtramos los paquetes por tráfico http podemos ver algunas cosas interesantes. Por ejemplo que hace una petición a la IP 91.198.22.70. ¿Qué habrá en ese recurso?

Analizar malware con Anubis

¡Anda qué curioso! Es para saber desde qué IP pública nos hemos infectado. Sigamos. Podemos ver también varias peticiones para descarga de supuestos ficheros PDF, que seguro que no lo son y a su vez realizarán otro tipo de acciones maliciosas como descarga de otros binarios necesarios para lanzar su ataque, que tiene toda la pinta de CryptoLocker.

Como podéis ver, haciendo uso de servicios online totalmente gratuitos podemos de forma rápida y sencilla hacer un análisis del malware y sacar unas primeras conclusiones, y lo que es más importante, aplicar unas contramedidas que mitiguen o reduzcan el riesgo que esta amenaza pueda suponer para los sistemas de información de cualquier organización.

¿Contramedidas? Obviamente en primer lugar realizar un análisis de los posibles equipos infectados, concienciar al usuario de no abrir archivos adjuntos en correos de remitentes desconocidos y aplicar algunas reglas en la seguridad perimetral, por ejemplo, denegar el tráfico desde / hacia las direcciones IP observadas en la captura de tráfico. Se ha comprobado que están reportadas como servidores maliciosos.

Por cierto, en una de esas direcciones IP nos espera un bonito RouterOS de MikroTik. 😉

Analizar malware con AnubisComo siempre, espero que sea de vuestro interés, y nos leemos en siguientes artículos.

¡Saludos!

Parando Metasploit con Snort

Hoy vamos a ver como podemos detectar cualquier tipo de ataque a una aplicación vulnerable de nuestro servidor, simplemente analizando aquellos posibles exploit que puedan ser lanzados contra este y añadiendo una regla en nuestro IDS para detectarlos y pararlos, en nuestro caso utilizaremos Snort. El escenario sería el siguiente:

escenarioPC-Metasplit

La idea es identificar una característica única del exploit a detectar con el IDS y crear una regla con Snort para detectarlo. Para ello previamente lo que hacemos es lanzar el exploit para explotar la vulnerabilidad y capturar el tráfico para analizarlo.

meterpreter

En este momento tenemos que identificar una característica única/particular de este exploit. Debemos ser capaces de obtener la máxima información de como funciona el exploit, para ello podemos analizar el código del propio exploit así como examinar su documentación.

Exploit –> http://www.exploit-db.com/exploits/28681/

Concretamente hemos usado un exploit bajo metasploit para explotar el puerto 21 de un FreeFTPd con una vulnerabilidad que lleva a cabo un PASS Command Buffer Overflow, es decir, introducir una contraseña no esperada para provocar un desbordamiento de buffer. Lanzamos el exploit varias veces y obtenemos varios ficheros .pcap que nos disponemos a analizar exhaustivamente:

wireshark1

wireshark2

Una vez que somos capaces de sacar información que identifique al exploit unívocamente nos disponemos a generar una regla en Snort. Las reglas en Snort constan de dos partes: la cabecera y las opciones. El objetivo de este artículo no es explicar el funcionamiento de Snort, ni tampoco el de como crear una regla, para ello podéis consultar su manual en http://manual.snort.org/.

Si analizamos cada uno de los paquetes que lanza el exploit veremos que se están inyectando operaciones tipo NOPs (No-Operation, instrucciones que no hacen nada, como por ejemplo sumarle 0 a un registro) para rellenar instrucciones además del Payload inyectado. Esto se suele hacer por muchos tipos de malware para reconducir la ejecución del programa, caso de caer en una posición de memoria donde haya una NOP, se ejecutarán todas las instrucciones que no hacen nada hasta llegar al trozo de código malicioso que realmente quiere ejecutar el atacante. Vemos con Wireshark las NOPs y lo que realmente inyecta el Payload.

nops

user_pass

Con toda esta información ya podemos crear un regla en nuestro IDS Snort para detectar este exploit. A continuación mostramos la regla creada según las peculiaridades encontradas en el exploit:

drop tcp $EXTERNAL_NET any -> $HOME_NET 21 (msg:”Exploit FreeFTPd  PASS Command Buffer Overflow detectado by Hacking-Ético”;  content:”USER anonymous”; content:”PASS “; pcre:”/^PASS\s[^\n]{100}/smi”; classtype:shellcode-detect; sid:1000001; rev:1; nocase;) ;

Hemos visto que el exploit va dirigido al puerto 21, que hace uso del usuario anónimo y que introduce varios caracteres raros en la parte de la PASS, por tanto esas serán nuestras características concretas para nuestra regla.

Analicemos pues la parte de la cabecera:

drop tcp $EXTERNAL_NET any -> $HOME_NET 21

Se aplicará la regla de eliminación de paquete (drop) a todos aquellos paquetes que vengan vía tcp desde una red exterior ($EXTERNAL_NET es una variable que identifica cualquier IP externa) desde cualquier puerto de comunicación en el origen (any); y cuya petición vaya destinada a una IP interna ($HOME_NET idem IP interna) sobre el puerto 21.

 Dentro de la parte de las opciones:

(msg:”Exploit FreeFTPd  PASS Command Buffer Overflow detectado by Hacking-Ético”;  content:”USER anonymous”; content:”PASS “; pcre:”/^PASS\s[^\n]{100}/smi”; classtype:shellcode-detect; sid:1000001; rev:1; nocase;) ;

En este apartado determinaremos que características tienen los paquetes que deben ser eliminados. Dejaremos constancia del bloqueo de paquetes en el log de Snort con el mensaje que aparece en msg.

El paquete debe ser una petición de usuario anónimo y que la clave contenga alguno de los datos contenidos en la expresión regular (pcre). Dicha expresión regular debe estar escrita en perl, podéis encontrar diferentes expresiones regulares y reglas en el fichero policy.rules de Snort. El resto de las opciones determinan la clase de paquete (classtype), el identificador de la regla local (sid) y revisión (rev); y por último añadimos la palabra nocase para indicar al motor de Snort que la aplicación de la regla no sea “case-sentitive“.

La regla se añadirá al final del fichero de configuración de snort (snort.conf). Una vez añadida se comprueba su funcionamiento con los .pcap capturados del ataque para ver si es efectiva en caso de producirse nuevo ataque.

snort -A fast -c /ruta/snort.conf –pcap-dir=”/ruta/pcaps/” -l .

-A modo de la alerta, rápida en este caso (fast)

-c fichero de reglas, en este caso el snort.conf que hace referencia a todos los ficheros de reglas de que se encuentra en la carpeta de snort (/rutaSnort/rules) y además contiene al final nuestra regla. Debe ponerse todo en una sola línea.

–pcap-dir indicamos la carpeta donde están los pcap para comprobar.

-l indicamos la carpeta de salida del log (se creará un fichero llamado alert)

Una vez comprobado el funcionamiento de las reglas con los pcaps que contienen la captura del exploit, obtenemos el siguiente resultado:

alert

 Vemos como además de nuestra regla, hay otras reglas dentro de snort que detectan el uso del usuario anonymous o el overflow en la PASS. Ahora sólo tendremos que coger un exploit de un 0day y analizarlo para crear una regla de Snort y que no afecte a nuestro servidor hasta que podamos parchear la vulnerabilidad en cuestión. También se suele analizar el tráfico que genera ciertos malware y crear reglas en función de las peticiones que realicen.

Bueno ahora sólo queda que os pongáis a jugar con algunos exploits y los analicéis para poder detectarlos.

Un handshake

@eduSatoe

“Si caminas solo andarás más rápido, si caminas acompañado llegarás más lejos”

El peligro de las URL acortadas

Llevo ya varias semanas viendo como algunas cuentas de Facebook y Twitter, con algún interés oculto (o no), publican imágenes impactantes acompañados de una URL, acortada para no descubrir el destino final. El peligro de las URL acortadas es que a simple vista no sabemos hacia dónde nos llevará cuando hagamos clic en ellas.

Esta URL, en el caso que os expongo a continuación, a diferencia de llevar a un sitio Web con la información completa e “impactante” según indicaba la publicación, nos llevará a un sitio de vídeos de pornografía o incluso a un sitio Web malicioso, preparado para infectar nuestro equipo con algún malware.

Veamos un ejemplo:

Peligro de las URL acortadas

En la imagen superior podéis ver un ejemplo claro. Texto impactante, imagen impactante y supuestamente una URL que nos llevará a un vídeo, más impactante todavía. Vamos, ¡aquí hay que pinchar sí o sí!

Nada más y nada menos que 1.649 retweets de la publicación… Alguno caerá, seguro.

Pero, ¿y si comprobamos antes la URL? Está acortada, pero ¿por qué no descubrimos dónde nos llevaría antes de hacer clic?

El peligro de las URL acortadas

En la publicación observamos la URL http://goo.gl/hJsxiV (acortador de URL) que sin embargo, al poner el puntero del ratón encima, nos llevará a http://t.co/pnYhDc5SBR (otro acortador URL) como podemos observar en la barra de estado del navegador Web.

Bien, sin hacer clic en el enlace, ¿cómo podemos saber dónde nos llevará? Para eso disponemos de unos recursos online que nos permiten expandir este tipo de URL y mostrarnos la dirección Web real.

Uno de estos servicios es http://checkshorturl.com:

En este sitio Web escribimos la URL acortada http://t.co/pnYhDc5SBR y hacemos clic en el botón Expand.

El peligro de las URL acortadas

Y a continuación el resultado de expandir esta URL:

El peligro de las URL acortadas

Poco más que añadir…

Impactante“, ¿verdad?

Diseccionando malware: javascript malicioso en una Web

Diseccionando malware, suena a quirófano y bisturí, pero es lo que realmente intento metafóricamente hacer, ya que cada vez es más frecuente encontrarnos con algún código JavaScript malicioso en una Web. En los últimos días, han sido muchas las tareas de limpieza de malware en sitios Web que he tenido que hacer, y algunas de estas experiencias quiero compartirlas con vosotros, estimados hackers éticos 😉

Comencemos por nuestro software antivirus, que estando debidamente configurado y actualizado, nos tiene que avisar cada vez que aterricemos en una Web con código Javascript malicioso. Ya no tanto por la capacidad de navegación segura que incorporan si no porque al tratarse de archivos temporales que nuestro navegador “obedientemente” almacena en nuestras carpetas temporales, detecta como un archivo con malware.

Desde el punto de vista del cliente, propietario de la Web, la preocupación es tremenda ya que sus clientes a su vez se le quejan de que al navegar, su antivirus o Google Safe Browsing (hablaremos en otra ocasión de esto), alertan de la presencia de software maligno. A continuación un ejemplo de este tipo de avisos. Read more

Poison Ivy Trojan explota vulnerabilidad Java Zero-Day

Desde Hacking Ético dot como nos hacemos eco de una noticia que acaba de salir, acerca del troyano conocido como Poison Ivy, que explota una nueva vulnerabilidad en Java del que de momento no hay parche ni solución.

De momento se aconseja deshabilitar Java en nuestros navegadores hasta que se publique el parche o la forma de cómo solucionarlo manualmente.

En el momento en el que tengamos más información la iremos publicando en nuestro blog.

Actualizado [21:15]: El troyano Poison Ivy data del año 2008, por lo tanto los antivirus deben de detectarlo sin problemas. Habrá que estar atentos a posibles variantes.

Saludos éticos!

Facebook: Nuevas características protección contra malware

En hacking-etico.com siguiendo nuestra filosofía y nuestro afán de ayudar en la lucha contra el malware, hacemos referencia a una noticia reciente titulada Facebook: protección contra malware en los equipos. Esperamos que sea de vuestro interés.

Facebook ha añadido nuevas caracterísitcas para protección contra el malware. Durante estos días, los hackers blackhat parecen estar muy activos, por ejemplo, hace un par de días 4.5 millones de contraseñas de Yahoo fueron robadas y con anterioridad, eHarmony y LinkedIn fueron atacados por piratas informáticos. Además todo indica que uno de los objetivos más interesantes son las cuentas de usuarios de las distintas redes sociales.

Facebook, con el objetivo de no caer ante estas amenazas, sigue con su lucha anti-malware y ha añadido nuevas características de protección contra malware para usuarios.

Para proteger a los usuarios de mensajes maliciosos, Facebook ya cuenta con escáneres internos que identifican el spam y evitan que las cuentas de usuario puedan ser secuestradas por el malware. Si Facebook detecta que una cuenta está difundiendo mensajes spam debido a algún malware, notifica a los dueños de las cuentas para que realicen un escaneo en busca de malware en su equipo.

Se acaba de lanzar “malware checkpoint” característica que permitirá a los usuarios recuperar sus sistemas infectados a través del procedimiento de bloqueo y ejecutar un análisis antivirus de forma gratuita.

Nuevas características para protección malware

El usuario puede escanear sus ordenadores, ya sea con McAfee Scan and Repair o con Microsoft Security Essentials, pero antes de poder hacer uso de estas herramientas, es necesario descargarlas e instalarlas.

“Si estás preocupado con que tu equipo puede haber sido infectado por malware, puedes visitar http://on.fb.me/infectedMSE o http://on.fb.me/infectedMcA para registrarse en Microsoft Security Essentials o en McAfee Checkpoints Malware “, dijo el equipo de seguridad de Facebook en un blog.

Esta nueva característica es extremadamente útil para los usuarios y permite actuar de manera proactiva y no es necesario esperar a escáneres automáticos de Facebook para detectar una amenaza.

Para aquellos usuarios que vayan a utilizar Scan and Repair de McAfee, no podrán acceder a su cuenta hasta que el escaneado de malware haya finalizado. Para facilitar información a los usuarios, el progreso del análisis se mostrará en la página web de Facebook.

Pues nada, todo lo que sean “ayudas” para luchar contra el malware, bienvenido sea.

Saludos!