30 mayo, 2013

Detección de entornos virtualizados con pafish

Desde hace tiempo venimos escuchando con frecuencia los nuevos avances en el desarrollo y operación del Malware, hoy hablaremos de uno de estos avances que puede ser la pesadilla para cualquier analista en malware.

Y es que la mayoría de los análisis de malware se hacen mediante algún tipo de sistema virtualizado o sandbox, y el avance que hablaremos hoy es sobre esto, que un malware puede detectar si se esta corriendo sobre un entorno virtualizado y así no realizar ninguna acción para evitar su detección del mismo.

Hay un proyecto de Alberto Ortega de una herramienta que su funcion es detectar varias caracteristicas de un sistema con el fin de saber si es un entorno virtualizado o no.

Si ustedes corren esta herramienta sobre VirtualBox, la herramienta detecta de manera exitosa y rapida mostrando de forma clara los elementos que ha preguntado.


Imagen 1.- Detección de entornos virtualizados con Pafish



Aqui una muestra de una prueba hecha por el equipo de Securitybydefault que corre la herramienta de Pafish sobre VMDetectguard, esta aplicación entre otras funciones, intenta hacer creer a un Malware que se está ejecutando en otro entorno, mediante enmascaramiento de peticiones.


Imagen 2.- VMDetectGuard. Soporte a diferentes sistemas


A la hora de ejecutar ambas herramientas, se puede comprobar cómo esta solución logra enmascarar ciertas peticiones, pero por el contrario no llega a engañar a esta gran herramienta.

Imagen 3.- Ejecución de Pafish en un entorno enmascarado


Como se ve la herramienta de Pafish no puede ser engañada, por lo cual nos deja pensando sobre las diferentes variantes de malware que pueden aprovechar esta tecnología para evitar un analisis del mismo.

Descarga de Github: Pafish

Saludos

29 mayo, 2013

Subterfuge Framework Automatiza ataques Mitm



Hoy les traigo una herramienta que fue presentada en la DEFCON 20 .  El uso de este material es educativo y solo se muestra como una prueba de concepto sin afectar a terceros. El uso indebido de la herramienta es responsabilidad del usuario.

La idea de esta publicación es para mostrar la forma tan fácil que puede hacerse un ataque de Man in the Middle  sin llegar a tener tantos conocimientos previos.

Subterfuge framework es una herramienta con un entorno gráfico que automatizara y ahorrara tiempo en un ataque de Mitm en algun pentest que se realize.


La instalacion es muy sencilla, lo primero es descargar el Subterfuge  

Una vez descargado abrir una terminal y dirigirnos a la carpeta donde lo descargaste, en mi caso fue en el Escritorio del Backtrack

cd Desktop

Descomprimiremos el archivo con el siguiente comando

tar fvxz SubterfugePublicBeta4.2.tar.gz           (puede variar dependiendo el nombre del archivo que descargaste)

Se descomprimirá y nos dirigimos a entrar a la carpeta donde se descomprimió el Subterfuge

cd Subterfuge

Una ves en el directorio del subterfuge solamente ingresamos el siguiente comando de instalación

./install.py

Se nos abrira una ventana de instalacion



Seleccionamos la opcion de Full installation with Dependencies.

Al terminar la instalacion podemos cerrar todo y abrir una terminal y ejecutar el programa solamente ingresando Subterfuge



Para ingresar a la interfaz grafica del subterfuge solo abriremos nuestro navegador e ingresaremos al localhost   127.0.0.1 



Aqui se muestran los diferentes modulos que tiene el Subterfuge.



Se podran dar cuenta que tiene muchas funcionalidades como Credential Harverster que captura las credenciales en la red. Este plug-in incorpora el SSLSTRIP con el cual podras capturar credenciales que van por HTTPS, lo que hace esta herramienta es engañar al servidor y convertir todo el HTTPS de una web en HTTP


 Se capturan credenciales de Facebook que tenia la proteccion del HTTPS activado.

Puedes realizar denegaciones de servicio o ejecutar javascript en el navegador y ejecutar una payload con una sesion de meterpreter.



Aqui un video de la explicacion de la Anatomia del ataque con subterfuge.


Bueno hasta aqui termino digamos esta prueba de concepto de esta gran herramienta, espero que no caiga en manos de malvados o lammers que le den un uso indebido.

Saludos.


28 mayo, 2013

ESET Guías de Seguridad II Protección Infantil




Hola a tod@s

En este segundo post de la series de artículos de las guías de seguridad de ESET se abordará la protección infantil en Internet y el asesoramiento para los padres y/o tutores legales.

 clip_image002[6]

La red está llena de peligros para los niños, por lo tanto, al igual que los padres enseñan y educan a sus hijos en la vida, también deben de educar en el mundo virtual. Por ello, los padres deben de establecer un conjunto de reglas y saber qué es lo que el niño debe hacer de acuerdo con su edad.


Niños hasta los 10 años:

  • El niño debe siempre estar acompañado en sus primeras experiencias en la web.
  • Se debe establecer unos horarios fijos para la utilización de internet y no sobrepasarlos.
  • Las escuelas deberían desarrollar actividades escolares para la educación de los menores en materia de informática.


 clip_image004[6]

Niños de 11 a 14 años:

  • Utilice herramientas de control parental, estas herramientas permiten bloquear sitios web que contengan material inapropiados para menores.
  • La menor exposición posible, es decir, enseñar al menor a compartir la mínima información posible, sobre todo en redes sociales, chats, etc.
  • Ubicar el sitio físico del ordenador en lugar común de la casa, por ejemplo el salón. Con esta práctica se consigue una mayor supervisión.


Niños de 15 a 18 años:

  • Nadie debe saber sus contraseñas, al igual que no se da las llaves de acceso a la casa a un desconocido, tampoco nadie en la red debe saber las contraseñas del menor. Esto incluye a compañeros de colegio, amigos de la calle, etcétera.
  • El menor debe de denunciar de forma inmediata a sus padres y/o tutores legales de casos de ciberacoso (cyberbulling), sobre todo en redes sociales.
  • El menor debe tener claro que las compras online son competencias de sus padres.



clip_image007[4]

Estas nuevas generaciones han venido con un ordenador, table o móvil debajo del brazo y es por ello que deben estar preparados y educados para interactuar con unas tecnologías que les acompañarán es resto de sus vidas. Para poder prevenir estas amenazas y muchas más a los que se encuentra expuesto su familia, la mejor opción es tener un buen sistema de seguridad como ofrece ESET NOD32 Antivirus y ESET Smart Security, buques insignia de la compañía, quien con sus productos se encuentran a la cabeza de las grandes compañías antivirus a nivel mundial.

ESET Guías de Seguridad I Seguridad en Redes Sociales

No seáis malos.  

27 mayo, 2013

Phishing Bancario Disclosure

El día de ayer mientras revisaba mi correo, encontré el pan de todos los días, esos email de phishing de diferentes tipos.

Esta ocasión era una suplantación de identidad del Banco Santander de México, el cual no tengo ninguna relación con el banco porque no soy cliente.

Al revisar el correo de este supuesto banco encontré esto.




El típico mensaje que tu servicio sera desactivado y tienes que realizar una confirmación para que no lo desactiven.

Al dar clic en el enlace te lleva a esta pagina.



Podernos darnos cuenta que la pagina es completamente idéntica a la del banco Santander, aquí todo es como un cualquier otro phishing, también se puede notar que el scam esta instalado sobre un wordpress.
Al ingresar tu usuario y nip nos muestra la siguiente pantalla (ingrese datos falsos)



Podemos ver que nos pide el horario en el cual ingresamos a la banca, nuestro celular, teléfono local y correo.

Esta pagina falsa, no solo roba información de usuario y nip, sino también tiene interacción telefónica, puedes ver otro caso similar a este en el blog de ESET 

Como todos sabemos ya casi todas las bancas en linea manejan una doble protección de acceso, donde no solo con el usuario y contraseña puedes ingresar, sino ahora te asignan un token, un dispositivo que genera un numero cada cierto tiempo o depende del token.

Al ingresar los datos nos muestra la siguiente pantalla.



Nos vuelve a pedir el teléfono y la compañía, y ahora también te pide el correo y tu contraseña.

Con toda esta información se puede crear un escenario donde sepan cuando te conectas a tu banca y utilizar esos espacios del tiempo cuando no lo haces para realizarte una llamada por algún servicio de Voip (Skype) y con ingeniería social se hagan pasar como ejecutivos del banco, el cual te pediran sincronizar tu token, tu les das el numero que tienes mientras ellos se logean a tu banca e ingresan el token que les acabas de dar.
Quiza tengas activado las notificaciones por correo y celular de tu banco, pero si el ciberdelincuente al momento que realiza la transferencia intercepta tu correo eliminando todo rastro, y en tu celular te realiza suplantaciones de sms con algún servicio de esos de Internet, te habrán robado dinero sin que te des cuenta.

Al ver todo esto y la manera en que operaba esta estafa, me puse a investigar un poco y hice un escaneo con Acunetix en la pagina y  un sniffeo de mi red para buscar rastros de información



Pude ver todos los directorios y mas a fondo de como estaba estructurada la pagina, encontre que el dominio donde se encontraba el scam era de una pagina de otra persona, ya que podias encontrar en facebook el negocio y comentarios de sus clientes de que si existia dicha pagina la cual era Anytimenirvanayoga.

Al checar sniffeo encontre una pagina que me parecio rara por el directorio en el cual estaba, al ingresar a ella me encontre con esto.



Con una shell, que si no me equivoco es la famosa C99, al ver esto me doy cuenta que el ciberdelincuente habia tomado el control del hosting donde estaba hospedada esta pagina. Lo mas seguro es que halla utilizado una vulnerabilidad de Remote File Inclusion para poder ingresar esa shell al hosting.



Me duro muy poco el gusto el estar husmeando en la shell, ya que el administrador del hosting o nuestro ciberdelincuente, desactivo el servicio y puso el mensaje que estaba en mantenimiento.
Despues de eso, me puse a checar el codigo del correo donde me enviaron este phishing.



Aqui encontre el mailer de donde me estaban enviando estos correos.



Tambien encontre donde estaban guardadas las imagenes del cuerpo del mensaje del phishing.



En este directorio que también era de otra pagina web que había sido vulnerada como las anteriores encontré las imágenes del cuerpo del mensaje y un archivo de texto el cual contenía esto.



Una lista de direcciones ips, todas eran de ISP de México, la verdad no encontré de donde provenía esto, ya que se me hizo muy sospechoso.

Después de alrededor de 2 horas pude volver a ingresar a la pagina la cual  estaba el Scam y la shell del ciberdelincuente. Pero mi sorpresa fue ver que ya la shell no se encontraba, y el scam tampoco solo redireccionaba a otra pagina de otro hosting donde estaba el mismo Scam. Entonces creo nuestro vándalo quizá se dio cuenta en el log mi ingreso y el fue el que detuvo el servicio para realizar estos cambios y no le husmeara en su estafa.

Este es el mismo Scam pero en otro hosting vulnerado también en diferente localización




Pero este scam era diferente ahora no solo te pedía los datos de correo, nombre y celular, sino también agrego ingresar los datos de la tarjeta



Y no solo pedía el numero de tarjeta sino validaba que los datos ingresados fueran correctos a los usados por una tarjeta de Santander, y también te pedía que ingresaras tu RFC.

Al ver todo esto creo que este tipo no se dio cuenta de que seguía su rastro, sino que actualizo su Scam por uno mejorado.

Bueno con esto vemos las nuevas formas de phishing, no me imagino cuanta gente sin mucho conocimiento en seguridad ha caído en las redes de este ciberdelincuente.

Realizo este post para que sean mas cuidadosos ya que aunque tengamos nuestro token de acceso y sentido común, con este escenario de Ingeniería Social que nos plantea este ciberdelincuente, muchos podemos ser victimas.

Saludos

24 mayo, 2013

SMS Spoofing Attack Vector



Hola a tod@s

Ya vimos como Clonar una Web con SET y QRCode Generator Attack Vector, hoy es el turno de utilizar SET con los dispositivos móviles, como es la técnica de SMS Spoofing.

Los ciberdelincuentes realizan autenticas mega campañas con esta técnica enviado SMS masivos a multitud de teléfonos móviles y con diferentes tácticas, como suplantación de la web bancaria y varias plantillas realizadas a “manopla” por ellos mismos, se hacen pasar el banco, compañías de teléfonos, incluso un amigo o familiar.
Su objetivo es que a través del SMS recibido accedas a una URL maliciosa o clonada y pierdas tu passwords o ahorros €/$.


Para comenzar iniciamos SET, nos saldrá el menú de inicio.

Imagen 1: Social-Engineering Attacks




A continuación indicamos la opción deseada, en nuestro caso Social-Engineering Attacks.


Imagen 2: SMS Spoofing Attack Vector




En la siguiente imagen elegimos la técnica de SMS Spoofing Attack Vector.


Imagen 3: Perform a SMS Spoofing Attack



En este punto, la herramienta pregunta si deseas realizar una plantilla o utilizar las definidas por la aplicación.


Imagen 4: Teléfono Víctima



En la anterior imagen lo primero que nos pregunta es si el envío de SMS se va realizar de forma masiva, es decir a varios teléfonos o por el contrario a un solo teléfono, en nuestro caso el envío será a un solo teléfono, el mío.
 



Imagen 5: Elección de la Plantilla 



Ahora toca elegir la plantilla definida, pueden ser de Movistar, tu banco, Vodafone, para esta PoC elegiremos la opción número diez.


Imagen 6: Elección del Servicio



A continuación tendremos que elegir el servicio para el envío de SMS.
 


Imagen 7: SMS Enviado




Para finalizar el receptor recibirá el SMS spoofeado, como comente anteriormente, el SMS puede inducir a la víctima a que facilite sus credenciales de banco, correo electrónico, etcétera, o que haga clic en una URL maliciosa para la descarga de software malicioso o simplemente una web clonada en la que perdería sus credenciales.



Veamos de forma rápida otra prueba de concepto en la que nos "guisaremos" nosotros mismos el SMS.


Imagen 8: One-Time use SMS



Volvemos a la imagen cuatro del presente artículo y elegimos la opción la opción dos, One-Time use SMS.

A continuación le indicamos el supuesto número emisor, yo opte por ejemplo el 003 el antiguo número de información en España. Seguidamente podemos comenzar con la edición del mensaje.


Imagen 9: Elección del Servicio


Acto seguido, al igual que ocurría en la anterior Poc nos pedirá elegir un servicio para el envío se SMS.

Imagen 10: SMS Enviado





Y "voilá" el SMS llega a su receptor, como se puede apreciar el atacante quiere hacerle ver a la víctima que por tantos años como cliente en su compañía de teléfonos se ha ganado llamadas gratuitas para siempre, haciendo que accedan a su web maliciosa. Por cierto, una aclaración la herramienta no interpreta las tildes, ni la letra Ñ como se puede observar en el SMS recibido.


 
No seáis malos.