miércoles, 14 de septiembre de 2011

LimaHack 2011 - Call For Papers

Extraido de: http://limahack.com/index.aspx?pagina=cfp.aspx

Te parece gracioso como quieren parar el "hacktivismo" de Anonymous ampliando los anchos de banda ? Te resulta divertido explicarle a los demas como piratasdelared saco informacion de algunos sitios ? Ahora tu fingerprint (footprint para otros) incluye los sitios pastebin ? Blogueas continuamente explicando tecnicas de explotacion de vulnerabilidades ? Eres un pentester profesional ? No mandas mails a las listas de correo pidiendo ayuda para que funcione tu hack tool sino que la hackeas para que funcione "as expected" ? Aprendiste a desarrollar exploits y ahora quieres gritarselo al mundo (bueno, por ahora al menos a todo Perú) ? Investigaste sobre como funciona Stuxnet y quieres compartir todo ese conocimiento ? Eres bueno explicando a los "nuevos" y gerentes los temas de hacking ? Eres mujer y hackeas como Joanna Rutkowska ? Dominas algun framework de hacking al 100% ?

Si respondiste SI, entonces eres la cantidadata (las mujeres primero) o el candidato ideal para exponer en LimaHack 2011 y el motivo principal es querer compartir el conocimiento con los demas.

Todos esos motivos son un ejemplo de lo que esperamos sean las exposiciones durante esta edicion de LimaHack 2011 que considera charlas por diferentes niveles de conocimiento :
- Introductorio
- Medio / Tutorial
- Avanzado

Tambien hemos considerado diferentes tipos de exposiciones :
- Networking. Orientado a hacking de dispositivos de red.
- Desarrollo. Orientado a hacking de aplicaciones en general.
- Administracion de Sistemas. Lo mas clasico del hacking.
- Consultoria. Para consultores que ven tema de seguridad, ejemplo : el tecnico que instala los IPSs.

Es importante que tengas en cuenta que LimaHack es acerca de hacking de seguridad y temas relacionados (analisis de incidentes, computacion forense). LimaHack no es acerca de como establecer un SGSI ni como auditar con respecto a COBIT ni los 10 mejores tips para configurar un firewall.

LimaHack es un evento que durara un dia completo y que tendra charlas en paralelo, asi que hay muchas oportunidades de presentar tus investigaciones y compartir lo que sabes.

El Comite organizador evaluara los "papers" que envies, te confirmara tu participacion y en base a esto se publicara la agenda.

Por ser un evento 100% gratuito, no habra cobertura de gastos de viaje de ningun tipo.

Es importante que estes 100% seguro del compromiso que asumiras y que se requerira que prepares una presentacion y que el contenido sera revisado previamente asi como la ejecucion de la exposicion.
No esperamos demos en vivo y reales de como meterse a la base de datos de una organizacion, por ejemplo, porque entonces seria nuestro ultimo LimaHack, solo cuentas como hiciste y si estas mintiendo, el detector de mentiras te pasara una descarga de 50,000 voltios para que recapacites ;)

IMPORTANTE : LimaHack es el evento MAS tecnico de seguridad en Perú, no se aceptaran papers que propongan promocion de productos, servicios, marcas, etc.

De que hablamos : LimaHack 2011 Call For Papers
Cuando : El CfP se cerrara el 29 de setiembre
Como : Completar el formato del paper de acuerdo al ejemplo colocado en <paper_ejemplo.txt> y enviarlo en formato de texto plano y simple a cfp@limahack.com
(El nombre del archivo debe tener el formato : nombre-apellido-titulo_paper.txt)

jueves, 11 de agosto de 2011

OWASP Latam Tour 2011 en Lima

Les copio la invitación del capítulo local de OWASP.

Estimados,

El presente correo es para invitarlos al OWASP LATAM TOUR 2011, el cual esta organizado en conjunto por el Capitulo Peruano de OWASP y OWASP Foundation, el ingreso es libre para miembros de OWASP y estudiantes Universitarios (Pre-Grado) quienes deberán acreditar su ingreso con el Carnet Universitario vigente.

Si deseas ser miembro el proceso de registro se detalla líneas abajo.

INFORMACIÓN RELACIONADA AL EVENTO

Día : Sábado, 13 de Agosto del 2011
Hora: 9 am - Acreditación
10 am a 4 pm - Conferencias
Dirección: Av. Salaverry 2625 – San Isidro (Frente al Hotel Meliá)
Auditorio – Pabellón “A”, 4to piso (Capacidad de 150 personas)

Sitio Web: https://www.owasp.org/index.php?title=LatamTour2011#tab=Lima.2C_Peru

Registro: http://www.regonline.com/trainingdayperu


PONENTES:

- Fabio Cerullo

Especialista en Seguridad en AIB Bank (Irlanda) - Miembro del Comité Global de Educación OWASP

- Ing. Ricardo Supo

Chief Security Office en Consultoría LimaSoft SAC - Líder Capítulo Peruano OWASP

- Ing. Juan Pablo Quiñe

CSO en Hewlett-Packard Perú

- Ing. Andrés Morales

Consultor Senior Seguridad Informática en Ximark

- Bach. Mauricio Velazco

Consultor de Seguridad en OpenSEC

- John Vargas

Consultor de Seguridad en ETEK INTERNACIONAL - Fundador y Líder Capítulo Peruano OWASP

- Rolando Antón

Coordinador de Servicios – Consultor de Seguridad en ETEK INTERNACIONAL


PROGRAMA DEL EVENTO

Presentación y palabras de Bienvenida
John Vargas

OWASP Top 10
Fabio Cerullo

Google Hacking
John Vargas

Presentación de SQLinJeymei
Ricardo Supo

OWASP Testing Guide
Mauricio Velazco

Usando técnicas Man in the Middle para la Seguridad Web
Juan Pablo Quiñe

2011 CWE/SANS - Top 25 Monster Mitigations & OWASP TOP10 2010
Andres Morales

OWASP WebGoat Project
Rolando Antón

Adicionalmente incluyo algo más de información acerca de OWASP

¿Cómo ser miembro?

Para hacerse de la membresia de OWASP deberán ingresar al siguiente Link:

http://www.regonline.com/Register/Checkin.aspx?EventID=919827

Seleccionar el tipo de Membresia ( Individual Member ) durante el proceso de pago podemos ingresar el Cupon de Descuento LATAM y se aplicara un descuento del 60% . (El costo normal es de 50 dolares).

Al ser miembro de OWASP algunos de los beneficios son :

Participacion de manera gratuita a todos los eventos organizados por OWASP Perú.
Posibilidad de adquirir CPE's
Pertener a OWASP Linked'In Grupo
La lista de beneficios adicionales los podemos ver en
https://www.owasp.org/index.php/Member_Offers
https://www.owasp.org/index.php/Membership

viernes, 8 de abril de 2011

Troyanos Bancarios en Peru II

Hola.

Antes de leer esto, asegurate de leer la primera parte de este post aqui .

En la primera parte mostre la manera como el malware era descargado a la victima haciéndose pasar por una postal de amor. Ahora veremos el funcionamiento del malware una vez ejecutado por la victima. El escenario : la victima recibe el correo, confia en el titulo, descarga el archivo Postal.exe y lo ejecuta.

Antes de empezar, es importante recalcar que si reciben un archivo sospechoso NO LO EJECUTEN, apliquemos la politica del implicit deny. Todo lo que parece extraño, lo desechamos y solo leeremos y abriremos correos de contactos conocidos. Ademas tengan en cuenta tener siempre un antivirus actualizado. Por otro lado, si lo que quieren hacer es jugar con el malware para ver lo que hace, utilicen una maquina virtual para probarlo. Aunque algunos tipos de malware reconocen si estan corriendo sobre una maquina virtual y no ejecutan su payload, pero eso para otro dia.

Ok, una vez ejecutado el malware lo primero que notamos es trafico de red inusual. Utilizamos un analizador de paquetes como Wireshark para ver mas alla de lo evidente.



En los paquetes 1y2 se observa una resolución DNS de un dominio .com. Al revisar el host, vemos que es de una empresa de latinoamerica cuyo servidor probablemente ha sido vulnerado como parte de la campaña. En 3,4 y 5 vemos el establecimiento de una sesión TCP el famoso SYN - SYN-ACK - ACK hacia el puerto 80 del server mencionado. A partir del paquete numero 6 vemos lo mas interesante, un requerimiento HTTP con el metodo GET hacia un recurso localizado en /images/bg.jpg

Al ver el contenido de esta supuesta imagen las primeras lineas nos develan la naturaleza del ataque.  


Al final del archivo, vemos lo mas interesante.



En su totalidad, este es el famoso archivo hosts. Para los que no saben que es, una breve descripcion. Como sabemos, los equipos en internet utilizan su dirección IP para comunicarse entre ellos. Dado que seria imposible para un ser humano acordarse de los numeros IP de todos los dominios que visita, se invento el protocolo DNS para resolver una direccion IP a un nombre de dominio. Claro, es mas facil para un usuario acordarse de www.google.com que de 74.125.226.115.

Sin embargo, el sistema operativo, antes de mandar una consulta al servidor DNS, lo primero que hace es revisar el archivos hosts. Este es un simple fichero localizado en el sistema de archivos del equipo (en Windows: C:\Windows\System32\drivers\etc\hosts En linux: /etc/hosts ) que contiene entradas con la estructura Direccion IP : Dominio. En resumen, cuando escribes en tu navegador www.google.com lo que hace el sistema operativo primero es buscar en el archivo hosts si existe alguna entrada para ese dominio (www.google.com). De existir, toma la direccion IP del archivo e intenta conectarse al mismo. Es decir, ya no hace la consulta DNS y confia en el archivos hosts.

Este ataque es conocido como Pharming. Lo que hace el malware primero es descargar un archivo hosts modificado maliciosamente y sobreescribe el archivo original del equipo por el descargado, de manera que cuando el usuario intente conectarse a cualquiera de esos dominios (todos de ellos bancos peruanos) en realidad se estara conectando a la IP del atacante quien configura un servidor Web en el equipo para que a la victima se le presenta una Web idéntica a la de su banco y de esta forma podra obtener las credenciales para luego hacer transacciones fraudulentas.




Como vemos, una única direccion IP es utilizada para todos los dominios. Al analizar el registro de esa dirección IP en la base de datos Whois de ARIN podemos observar que le pertenece a la empresa Turnkey Internet Inc localizada en Norteamerica. Esta empresa brinda servicios de hosting y servidores dedicados. Luego de realizar un DNS reverso y un escaneo de puertos, concluimos que el atacante adquirió un VPS (Virtual Private Server) de la compañia que tiene un costo que varia entre 39 y 129 dolares al mes. Ya saben lo que dicen, para ganar dinero hay que gastarlo. Habrá comprado el atacante este servicio son su propia tarjeta de crédito o con una robada ? De ser lo primero entonces Turnkey Internet Inc tiene la identidad real de nuestro atacante en su base de datos...


Viendo el escaneo de puertos vemos una tipica instalacion por defecto de un VPS, con un CPanel y Plesk para su facil administracion. SMTP, POP3, POP3S, IMAP, IMAPS, DNS, muchos servicios innecesarios lo que nos muestra que el atacante no hizo un hardening de su servidor y que nos puede dar una luz respecto a su perfil. Lo mismo si ingresamos al servidor Web sin suplirle una cabecera HOST, vemos algunos archivos por defecto de una instalación de apache.

Jugando un poco con las aplicaciones Web falsas me asombra el nivel de detalle que el atacante le ha añadido (todo en php). Incluso implementa la tarjeta de coordenadas utilizadas por muchos bancos para que las victimas no sospechen. Probando algunas cosas, logro forzar un error PHP en el servidor lo que nos brinda un Full Path Disclosure y podemos averiguar el usuario con el que el atacante maneja su servidor: PEPITOCO. Al googlear este nick, vemos varios resultados pero no encontramos nada relevante.



Lamentablemente cuando quise darle mas tiempo para analizar esta campaña, el servidor del atacante habia sido dado de baja por el proveedor.

Con esto terminamos. Hemos visto a grandes rasgos el funcionamiento de un troyano bancario desde su propagación hasta su ejecución. Algo importante es que este malware apunta exclusivamente a bancos peruanos. Alrededor de 3 meses despues de iniciada la campaña el servidor del atacante fue dado de baja. En ese tiempo, cuántas victimas habrán ingresado sus credenciales en esos portales falsos ?

No lo olviden, desechar todo correo extraño. No está demas revisar si su archivo hosts no tiene algo extraño. Lo pueden encontrar en :
C:\Windows\System32\drivers\etc\hosts

Saludos.
MVelazco
http://twitter.com/mvelazco

miércoles, 6 de abril de 2011

Lo que CORTAS no siempre se CORTA

Escrito por Rodolfo Castelo.

Empezaré por contarles que hoy mi amigo Walter, ante un hecho personal me consulto sobre un tema de Microsoft Office (como soy según él mosquetero de Microsoft), en donde una imagen previamente “cortada” es mostrada en toda su plenitud original, en otras palabras la imagen sin cortar. Entendemor por "cortar" a la trata de la imagen para que sólo sea visible parte de ella.


En vista de ello, se me ocurrió una teoría no muy zafada, y creo algo lógico, claro está en el escenario usado, pero que tenía que probarse.
Bueno, la teoría era la siguiente:

“Microsoft Office, en su herramienta Word no es una suite ni aplicación de dibujo, pero que tiene algunos componentes que nos ayudan en el día a día para colocar imágenes en nuestros documentos y así hacerlos más atractivos y entendibles, por tanto, al cortar una imagen, este lo que hace es dejar visible la parte que nos interesa y ocultar con parámetros, meta o tags el resto de la imagen original, por tanto otra herramienta similar a Word, no necesariamente interpreta esta información de manera correcta o simplemente no lo hace, hecho por el cual deja visible toda la imagen, es ahí donde llegamos a decir LO QUE CORTAS NO SIEMPRE SE CORTA

  • Hice un printscreen y lo pegue en Word 2010
  • Luego se usó la utilidad recortar y se dejo visible sólo parte de la imagen.
  • Grabé el documento y se lo envíe a mi amigo Walter quien lo abrió con OpenOffice
  • ¿Qué creen? En el documento, Walter ve la imagen original sin cortes y no sólo lo que se dejo visible.
Por tanto la teoría era cierta, el Microsoft Word, al recortar directamente en la aplicación una imagen, no lo hace en realidad solo deja visible lo que deseas, pero en realidad guarda la imagen original y completa. El Open Office desecha los parámetros de ocultación y muestra la totalidad de la imagen.

Este tema podría catalogarse como un punto a considerar dentro de los análisis de seguridad de información ya que afecta directamente a la Confidencialidad del remitente siempre y cuando se manipule imágenes en el mismo Microsoft Word y no en aplicaciones de terceros enfocadas al dibujo.

A continuación muestro las imágenes vista desde Microsoft Word y desde Open Office.

Imagen como se ve en MS Word, la que fue recortada en la misma aplicación.

Como se ve en OpenOffice

Comparto esta información para los fines pertinentes!

Usen herramientas de dibujo cuando deseen manipular imágenes y pegarlas en documentos si es que no quieren que alguien vea más alla de lo evidente.

    sábado, 5 de febrero de 2011

    Troyanos Bancarios en Peru I : Operacion Bambi ?

    Hola.

    Hace unos dias recibi un correo electronico, como ustedes tambien seguramente suelen recibir, con la tipica postal de amor adjuntada a un mensaje cursi sobre un diseño visiblemente falso. Normalmente desecho estos correos pero ahora que dispongo de algo de tiempo me propuse hacerle un simple analisis para descubrir algo sobre su funcionamiento, sus creadores o lo que sea que pueda averiguar. Debo admitir que es algo que quiero hacer hace tiempo. El area de analisis de malware es realmente bastante interesante y puede llegar a ser muy compleja al jugar con debuggers y el binario. Sin embargo, dada mi calidad de newbie en este tema, este analisis sera algo mas superficial. Para hacerlo mas interesante, separare este post en partes.

    Ok, veamos el correo.



    Al ver el codigo del correo puedo visualizar que todo esta armado alrededor de una imagen hosteada en http://i55.tinypic.com/yyyy.jpg. Una imagen jpg, tal vez le pueda sacar algo de metadata con la siempre funcional Foca. Luego de ir al servicio online de la herramienta obtengo el siguiente resultado:





    Interesante, segun la Foca la imagen fue creada con Photoshop. Ahora para ser delincuente hay que saber de todo, hasta de diseño ! Otro dato interesante es la ultima fecha de modificación: el 26 de Octubre del 2010 a las 21:05 horas lo que nos brinda información sobre cuando empezó la campaña. Seguimos.

    El link que descarga la "postal" apunta a http://xxx.com/Gusanito/Amor/Postal-Amor. Si ingresamos con el navegador, al instante vemos un pop up preguntando si deseas descargar el binario "Postal.exe". Hacer esto con un navegador no nos brinda la informacion que realmente queremos ver.




    Utilizaremos netcat para ver mas alla de lo evidente y ver la respuesta del servidor Web cuando hagamos el requerimiento a este recurso a traves de HTTP.




    El servidor responde con el codigo HTTP 302 que es una redireccion. En la cabecera Location: podemos ver el nuevo destino: http://yyy.com/mjimenez/config.php . El malware no esta hosteado en www.xxx.com, tan solo es utilizado como un puente para llegar a él. Me pregunto porque el atacante lo ideo de esta manera, tal vez intenta implementar algo de seguridad para protegerse ? . Luego de las cabeceras HTTP se puede ver un Warning en un script php que ademas nos brinda una ruta del servidor (Path Disclosure). Por un momento pense que estaba viendo un error originado en un servidor del atacante e incluso que ya habia descubierto su nombre.

    La emocion duro poco. Luego de analizar la respuesta concluyo que el atacante ademas de forzar una redireccion desde http://xxx.com/Gusanito/Amor/Postal-Amor llama a un script hosteado tambien en el servidor comprometido : www.xxx.com/contador.php (que contiene un error al utilizar la funcion preg_match() y por eso el warning ). Infiriendo por el nombre, asumo que es usado para determinar cuantas personas ya han bajado su malware y llevar algo de estadistica de esta campaña de ataque.

    Vamos por el siguiente recurso http://yyy.com/mjimenez/config.php




    Ok, el servidor responde con la cabecera Content-Disposition. Esta cabecera no me es familiar, estoy mas acostumbado a ver tan sólo Content-type en las respuestas. Luego de preguntarle a san Google descubro que cuando la cabecera Content-Disposition tiene como valor attachment, se fuerza al navegador a descargarse un fichero del servidor web, en este caso, el binario Postal.exe que espera ser ejecutado para infectar al usuario.

    Al enviar el requerimiento por HTTP y ver el dump del binario en texto encuentro cosas interesantes (ver siguiente imagen). Primero observo una ruta de una instalación de Microsoft Visual Studio lo que nos da una luz sobre cómo fue creado este binario. Pero lo que mas llama mi atencion es lo que parece ser la ruta del directorio donde el atacante estaba programando el malware. Viendo la extension del archivo casa.vbp confirmamos el uso de Visual Studio ademas podemos afirmar que se trata de un projecto de Visual Basic. Lo intrigante es el porque del nombre de directorio "bambi". Será que el creador tiene una fascinación con el pequeño ciervo de cola blanca o es simplemente un nombre aleatorio? . De cualquier forma, este ataque ahora sera conocido como La Operacion Bambi.



    Hasta este punto tenemos conocimiento de 2 servidores vulnerados como parte de esta campaña que pertenecen a empresas que brindan servicios hosting. El primero www.xxx.com hostea el recurso Gusanito/Amor/Postal-Amor que al momento de ser requerido hace una redirección hacia el recurso /mjimenez/config.php del segundo servidor http://yyy.com donde finalmente se fuerza al navegador a descargar el fichero Postal.exe.

    Luego de descargar el binario, aprovecho la genial herramienta online Virustotal para hacerle un análisis. Según sus resultados tan sólo 5 antivirus de 43 (11.6%) reconocen a Postal.exe como un malware variante de Kanzi. Pueden ver el reporte de Virustotal aqui.


    Eso es todo por ahora, atentos a la proxima parte.

    Saludos

    MVelazco.
    http://twitter.com/mvelazco

    viernes, 28 de enero de 2011

    Auditoria de passwords : Brute Forcing VNC

    Hola.

    Queria empezar el primer articulo de este año compartiendo con ustedes un escenario real en los servicios que realizamos. Hace unas semanas me encontraba en la ultima (y mas interesante) etapa de un proyecto de Ethical Hacking: la explotacion o comprobacion de vulnerabilidades.

    Los resultados fueron los esperados: control de varios equipos sensibles tanto externa como internamente, nuevo conocimiento adquirido en el ambito tecnico asi como en la gestion de un proyecto y ademas una carpeta llena de archivos de evidencia esperando ser plasmados en la siguiente etapa : la elaboracion de entregables que tanto le gusta a los consultores de Open-Sec.

    Nota: Toda informacion relevante presentada (rangos ip, passwords, numero de hosts, capturas, etc, etc) ha sido modificada para guardar la confidencialidad respectiva.

    Revisando los resultados de Nmap veo que muchas de las estaciones de trabajo cuentan con el puerto 5900 abierto. Como saben, este es uno de los puertos por defecto que utiliza el protocolo RFB. RFB es utilizado por las distinas implementaciones del sistema VNC (Virtual Network Computing) que permiten la administracion grafica y remota de un equipo. Pero, estaciones de trabajo con VNC ? Esto es algo que ya he visto en otras organizaciones, es una solucion normalmente utilizada para que el personal de soporte pueda gestionar los problemas de los usuarios remotamente.

    Los que han utilizado VNC antes sabran que en instalaciones por defecto lo unico que se configura en el servidor para la autenticacion es un password. En el caso de RealVNC, por ejemplo, es necesario obtener una versión de pago para contar con la funcionalidad de autenticacion nativa. TightVNC, no cuenta con esa funcionalidad mientras que en UltraVNC si es posible asociar la autenticación nativa o incluso al dominio (pero por defecto es solo un password).


    Teniendo en cuenta que estoy enfrentado a una red corporativa con mas de 500 nodos será posible que cada una de las instalaciones VNC tenga un password distinto ? O los administradores eligieron un único password para el control de todos, o la mayoria, de los equipos ?

    Vamos a comprobar esta hipotesis. Primero utilizamos el siempre util nmap para determinar el subconjunto de equipos que cuentan con el servicio VNC activo en uno de los segmentos de red.

     nmap -p 5900 -oG vnc_servers 10.0.0.0/24  
    

    Nmap nos permite crear 3 tipos de reportes. Utilizo el parametro -oG para crear el reporte, como nmap le llama, "grepeable" que puede ser tratado de manera eficiente con el comando grep que es lo que haremos. De esta forma, sera mas facil crear una lista de equipos.


    Ahora jugamos un poco con grep y cut.

     cat vnc_servers | grep open | cut -d" " -f2  
    

    Lista de servidores VNC creada. Lo siguiente es crear un diccionario customizado para la organizacion, pueden utilizar una herramienta como rsmangler que permite crear un diccionario recibiendo algunos parametros que utiliza como semilla para el resultado.





    La herramienta a utilizar para la auditoria de passwords en este caso sera medusa que tiene un modulo para la autenticacion VNC. Otra opcion es hydra que tambien soporta conexiones hacia VNC. Ahora a correr medusa y esperar los resultados :

     medusa -H vnc_hosts -u "" -P dict.txt -M vnc -r 5 -T 1 -t 1  
    



    Si enviamos el output a un archivo y luego "grepeamos" veremos el resultado final.

    Interesante resultado. Para comprobarlo, pueden utilizar cualquier cliente VNC, en mi caso xtightvncviewer


    Eso fue todo,  espero que haya sido de interes para alguien. Seria interesante ver comentarios, quejas, consultas, divagaciones.

    Happy Hacking,

    Mauricio Velazco
    http://twitter.com/mvelazco