29 abril, 2015

Es posible espiar conversaciones de skype

Hace un par de días que comentábamos en punch la idea de desarrollar herramientas que nos faciliten el proceso al momento de realizar un análisis forense, tener un registro de lo que sucede en la computadora para alguna investigación, o bien que puedas mantener un control  con quien hablas o los últimos movimientos que has hecho dentro del ordenador; y 
ahora le ha tocado a skype.

Les explico, skype almacena dentro de la computadora demasiado información en la cual se almacena demasiada información que puede ser imprescindible en una investigación, u otras situaciones es información que puede ser usada por alguna persona para vigilar tus conversaciones en skype, dentro de la información que almacena veremos:


-Contactos
- Mensajes Enviados
- Mensaje Recibidos
- Archivos enviados
-Imágenes Enviadas
- Archivos recibidos
- Imágenes  Recibidas
- Llamadas Salientes
-Llamadas Entrantes
NUEVO - Geolocalizacion


y quizás si se hace una investigación a fondo a la base de datos podríamos encontrar mensajes que han sido borrados pero que aun siguen en la BD.



La información puede ser leída fácilmente haciendo uso de la herramienta Skype Sneak, esta herramienta era de las pocas que teniamos en privado para nuestras auditorias, ahora la compartimos para que puedan probar su funcionamiento, en la versión free puedes ver los usuarios que se han logueado en skype, los contactos, y extraer las conversaciones que se han llevado acabo en esa computadora y también geolocalizar por medio de la IP a cualquier contacto con el cual hayamos tenido una llama:






Una idea tambien es que todos tengan el control de lo que sucede en casa cuando los menores usan la computadora, desde vigilar las conversaciones que se llevan acabo, hemos visto en la actualidad que la cyber delincuencia esta a la orden del dia, y si no lo creen, ya tienen el caso del chico al cual grabaron en una vídeo llamada teniendo sexting supuestamente con una chica, cuando en realidad se trataba de un cyber-delincuente el cual se aprovecho de esto para grabar dicha vídeo llamada y extorsionarlo con mostrarlo a sus familiares.




Noticia del adolescente que se quito la vida después de una extorsión

Esto puede ser prevenido o en otras situaciones investigado haciendo uso de este tipo de herramientas que nos permitan ordenar la información extraída para posteriormente hacer un informe completo de lo que sucede o ha sucedido.






Ahora puedes  ver un vídeo de como funciona esta herramienta:



Puedes obtener una versión lite para probar la herramienta aquí:

 --Skype Sneak-


Si quieres información a detalle sobre la herramienta te dejo un enlace de contacto:

Contacto:   ventas@punchsecurity.com

Fuente: http://blog.punchsecurity.com/2015/04/te-pueden-vigilar-si-usas-skype-skype.html

¿Cómo puedo descargar una APK de Google Play?



Hola a tod@s

Me han consultado en varias ocasiones ¿Cómo puedo descargar una APK de Google Play?

Hoy es el día que os respondo con  APK Downloader: es un servicio online que permite descargar aplicaciones de Google Play directamente a tu PC. Una vez descargadas en tu PC ya disponemos de ellas para jugar, por ejemplo descompilarlas y analizar el comportamiento de estas, quizás no encontremos sorpresas en sus llamadas y encontremos malware.

¿Cómo funciona online APK Downloader?
Hay un grupo de monos que trabajan detrás 24/7 y buscan en las aplicaciones que desea descargar. Tal y como habéis leído la descripción anteriror aparece en su sitio oficial. ;)

Seguro que ya se os ha pasado por la cabeza ¿Puedo descargar aplicaciones de pago? Para evitar la piratería, no se le permite descargar aplicaciones de pago.

APK Downloader está disponible en http://apps.evozi.com/apk-downloader


No seáis malos.

27 abril, 2015

Liberando algunas vulnerabilidades - Ultimate Product Cataloge v2.1.2 (I de II)

Hola a todos,

    Wordpress es una de las plataformas CMS más extendidas en Internet, rozando el 50% del todos los CMS del mercado. Los plugins desarrollados para esta plataforma se cuentan por miles. La facilidad para publicar tu plugin (tan solo es necesario registrarse gratuitamente) permite que haya una legión de empresas y autónomos desarrollando para este CMS. Esta gran variedad de desarrolladores tiene su parte buena y su parte mala. La buena es la gran oferta de plugins que permiten a los usuarios personalizar su web rápidamente y tener infinidad de funcionalidades a su disposición, la parte mala es que algunos de estos desarrolladores no siguen unas buenas prácticas de seguridad a la hora de programar estos plugins, de ahí que nos encontremos también con esa ingente cantidad de vulnerabilidades para esta plataforma.

    En este post, el primero de dos partes, voy a publicar 5 vulnerabilidades encontradas en unos de estos plugin. En este hablaré de dos inyecciones SQL ciegas sin autenticar y en el siguiente hablaré de otras que prefiero no detallar hasta que no estén solucionadas (IMPORTANTE: La empresa ya ha sido notificada y estas dos SQLi que publico ya están solucionadas en la versión 3.1.3).

Plugin afectado

    El plugin afectado es Ultimate Product Cataloge en su versión v2.1.2 (y probablemente en anteriores), un plugin con alrededor de 61.000 descargas y más de 4.000 instalaciones activas.

    Explorando entre el código de este plugin con un par de greps y expresiones regulares se puede encontrar en qué ficheros se están ejecutando algunas queries SQL que no están siendo filtradas adecuadamente mediante el uso de $wpdb->prepare o esq_sql.

En el plugin analizado se llegaron a identificar dos funcionalidades en los que un usuario sin autenticar interactua con el este plugin, que construye la consulta SQL de forma insegura.

1º SQLi: Inyección en la consulta de un producto único [1] [4]

En el momento que un usuario selecciona del catálogo de productos uno de ellos, dependiendo de la configuración del plugin, este le redirigirá a la página que detalla la información del producto. Se nos redirigirá a una página con una URL similar a la siguiente:

http://<wordpress site>/?&SingleProduct=2


Esta URL hará una llamada a la función "SingleProductPage()" localizada en el fichero "Functions/Shortcodes.php", donde la query que se construye es como la siguiente:

[...]
else {$Product = $wpdb->get_row("SELECT * FROM $items_table_name WHERE Item_ID='".$_GET['SingleProduct']."'");}
[...]

Supongo que ya vemos por donde van los tiros con esta query y si tenemos claro los conceptos de una inyección SQL ciega, podéis saltaros el siguiente apartado. En caso contrario, os dejo un ejemplo de cómo se puede probar la vulnerabilidad.

POC

Si el parámetro es un entero como un 2, la query será la siguiente:

SELECT * FROM $items_table_name WHERE Item_ID='2'

y devolverá los detalles del producto con este identificador que se encuentre almacenado en la base de datos, pero también devolverá el mismo resultado si en vez de insertar un 2, insertamos 2' and 'a'='a y posteriormente 2' and 'a'='b produciendo la siguientes queries:

SELECT * FROM $items_table_name WHERE Item_ID='2' and 'a'='a'
SELECT * FROM $items_table_name WHERE Item_ID='2' and 'a'='b'

Comparando respuesta del servidor del primer caso con la del segundo, podremos ver que se pueden inyectar condiciones lógicas en el parámetro SingleProduct y que a través de la respuesta del servidor se podrán identificar si se han evaluado como verdaderas o falsas.

Llevando esta prueba de concepto a una utilidad más amplia para un atacante, podrían inyectarse pruebas como preguntar al servidor si la primera letra del usuario que accede a la base de datos es la "c" inyectando lo siguiente 2' and substr(user(),1,1)='c, ejecutando la query final siguiente:

SELECT * FROM $items_table_name WHERE Item_ID='2' and substr(user(),1,1)='c'



Si la respuesta del servidor es igual a aquella que obtuvimos cuando el parámetro era tan solo un 2 (es decir, se visualiza la misma página), entonces sabemos que se ha evaluado a True esta query inyectada y que por tanto, el nombre del usuario de la base de datos empieza efectivamente por una 'c'. 

Para no eternizarnos con las pruebas manuales, SQLMap puede ayudarnos con la extracción de datos.
Es importante comentaros que esta vulnerabilidad será explotable si el servidor tiene desactivadas las magic_quotes_gpc en la configuración de php.ini, en caso contrario, automáticamente se escaparán las comillas introducidas en los parámetros con una contrabarra '\' y la explotación no será posible tan fácilmente.

2º SQLi: Inyección en el contador de visitas de un producto [2] [3]

En este caso, la vulnerabilidad, similar a la anterior, pero con la dificultad añadida de que la respuesta del servidor siempre es vacía y por tanto no se podrá distinguir entre una inyección evaluada a True a través de lo que se visualice. Por tanto, se deberán utilizar inyecciones basadas en tiempo, como por ejemplo SLEEP o BENCHMARK, pudiendo introducir condiciones como "si la primera letra del usuario es una "c" duerme 5 segundos". Así pues, se podrá utilizar la medición del tiempo de respuseta del servidor como método de detectar si una query se ha evaluado a True o False (de nuevo, el uso de SQLMap o similares es necesario si no quieres eternizarte con las pruebas manuales)

La inyección se encuentra en la función que se ejecuta automáticamente cada vez que se visita un producto por parte de un visitante a la web. Esta función parece ser la encargada de contar cuantas veces los usuarios han visitado un producto, almacenando en la base de datos un contador de visualizaciones.

La query con el parámetro vulnerables se encuentran en Functions/Process_Ajax.php y el parámetro inyectable es Item_ID dentro de la función Record_Item_View():

[...]
$Item_ID = $_POST['Item_ID'];$Item = $wpdb->get_row("SELECT Item_Views FROM $items_table_name WHERE Item_ID=" . $Item_ID);
[...]
add_action('wp_ajax_record_view', 'Record_Item_View');add_action('wp_ajax_nopriv_record_view', 'Record_Item_View' );
[...]

En este caso, a diferencia de la anterior vulnerabilidad no es necesario que magic_quotes_gpc estén deshabilitadas en el servidor ya que la query que se construye no hace uso de comillas simples o compuestas en el parámetro inyectable.

POC

Utilizando burp para visualizar las peticiones que se realizan al hacer click sobre uno de los productos, vemos que automáticamente se llama a la acción "record_view" a través de un POST a "/wp-admin/admin-ajax.php". Los parámetros enviados a esta pagina se verán en el burp similares a:

POST /wp-admin/admin-ajax.php HTTP/1.1
Host: <wordpress host>
[...]
Cookie: wordpress_f305[...]

Item_ID=2&action=record_view

Inyectando en Item_ID 2 and SLEEP(10) la respuesta de la página deberá retrasarse 10 segundos más que la query sin inyectar, dejándonos la evidencia de que en este parámetro se puede inyectar código SQL.



La mecánica para extraer los datos de la base de datos es similar al anterior SQLi y como ya se ha mencionado, no será necesario que el servidor de destino tenga deshabilitado las magic quotes.

En el próximo artículo espero poder liberar de un par de vulnerabilidades diferentes a SQLi también muy interesantes.
PD: ¡Actualizad siempre!

21 abril, 2015

Rootpipe MAC OS X Backdoor



Hola a tod@s



Apple ha fallado en el parcheo de Rootpipe y deja Backdoor en los sistemas operativos Macs, todos los Macs son vulnerables a escalada de privilegios.


¿Qué es RootPipe?

En octubre de 2014, el hacker Emil Kvarnhammar descubrió un fallo en la manzana, dicha vulnerabilidad (CVE-2015-1130), según la información del CVE mayormente consistía en que un atacante podría tomar el control completo del PC, mediante escalda de privilegios.


Teniendo en cuenta el efecto devastador de la vulnerabilidad de RootPipe, Kvarnhammar reportó el fallo a Apple y no reveló los detalles del fallo públicamente hasta que la compañía lanzó un parche para solucionarlo, hasta aquí todo bien. Apple liberó una actualización para parchear la vulnerabilidad de RootPipe.


Aquí comienza lo bueno, a principios de este mes, Apple lanzó la última versión de Mac OS X Yosemite, es decir, OS X Yosemite 10.10.3 y afirmaron que habían solucioando la vulnerabilidad, que había estado residiendo en ordenadores Mac desde 2011.


Sin embargo, la empresa no arregló el defecto en las versiones anteriores (debajo de 10.10) del sistema operativo, dejando a decenas de millones de usuarios de la manzanita en riesgo.
En líneas anteriores, os comente que comenzaba lo bueno, pero atención a las siguientes líneas, lo mejor está por llegar. Lo que se supone que arreglaría el problema, es decir el parche ¡es también vulnerable! ¡What!

Phoenix; RootPipe Reborn from patrick wardle on Vimeo.




No seáis malos.





17 abril, 2015

Recopilación servicios online para analizar malware



Hola a tod@s

Para los amantes del malware traemos hoy una recopilación de recursos online donde subir y analizar muestras de “bichos”.
Comenzamos la recopilación por el más conocido por todos, Virustotal, la primera sede de Google en Andalucía ;)

  • Virustotal: Escáner online de virus, malware y URLs, analiza las aplicaciones con más de 50 motores antivirus.
  • Jottis malware scan: Es un servicio online que permite escanear archivos sospechosos con varios programas antivirus.
  • Metascan Online: Otro escáner online gratuito de ficheros con más motores de antivirus que Jottis.
  • Anubis: El informe es bastante completo y nos muestra gran cantidad de información sobre cómo interacciona el virus con el registro de Windows, el sistema de archivos, la red, llamadas al sistema, etc. Además de subir cualquier ejecutable, también nos permite subir archivos .apk de Android. Tras finalizar, Anubis nos permite descargar el análisis en varios formatos, incluyendo HTML, XML o PDF, y además, podemos descargar el fichero .pcap con el tráfico generado por el malware, para mí de lo mejor para analizar archivos online.
  • ThreatExpert: Es un sistema de análisis de amenaza automatizado avanzado diseñado para analizar y reportar el comportamiento de los virus informáticos, gusanos, troyanos, adware o spyware.
  • Eureka Malware Analysis Page : Servicio de análisis automático de binarios de malware. Nos permite descargar el ejecutable desempaquetado por si queremos analizarlo nosotros mismos, y nos permite examinar el desensamblado del ejecutable así como el diagrama de flujo de ejecución del mismo.
  • Wepawet: Enfocado a ficheros JavaScript, PDF y Flash.
  • VirSCAN: Escáner de virus, soporta 36 motores de antivirus.
  • malwr.com: Servicio de análisis de malware gratuito hecho a partir de un sandbox Cuckoo
  • Joe Security: Además de un análisis dinámico y un interesante análisis estático que busca partes del código que sólo se ejecutaran bajo ciertas condiciones (por ejemplo, malware dirigido a un objetivo concreto) y por lo tanto, son difíciles de detectar en un análisis dinámico normal. Un sistema muy completo, pudiendo analizar ficheros .apk, ejecutables, documentos o URLs.
  • ViCheck.ca: Además de ejecutables, ViCheck.ca puede examinar archivos en formato MS Office Word, Powerpoint, Excel, Access o Adobe PDF. Permite la carga de varios archivos a la vez. Lo único que tendremos que poner en el formulario, además del archivo que queremos examinar, es un correo electrónico donde se enviará el resultado del análisis.
  • AndroTotal: De esta aplicación ya hablamos aquí. Analiza las aplicaciones con varios motores antivirus, menos que Virustotal. Además, muestra información como los permisos y las actividades que realiza la aplicación.
  • Mobile Sandbox: Permite acceder a la información de un análisis estático de toda la vida.
  • Akana: Es un entorno interactivo online que muestra la información típica de un análisis estático.
A analizar muestras!

No seáis malos.
 

14 abril, 2015

Nueva vulnerabilidad SMB afecta a todas las versiones de Windows

Hola a tod@s


Nuevo fallo al protocolo SMB (Server Message Block) que afecta a todas las versiones de Windows, esta vulnerabilidad ha sido clasificada como grave. Dicha vulnerabilidad permite que un atacante pueda robar las credenciales de servicios del usuario.

El error está relacionado con la forma en que Windows y otro software manejan algunas peticiones HTTP, y los investigadores dicen que afecta a una amplia gama de aplicaciones, incluyendo iTunes y Adobe Flash, algunos clientes de GitHub, Oracle y AVG Anti-virus. La vulnerabilidad, divulgada el lunes por los investigadores en Cylance, es una extensión de la investigación realizada por Aaron Spangler hace casi 20 años, conocida como “redirect to SMB”. Esta debilidad puede permitir a un atacante forzar a las víctimas para que se autentiquen mediante hijacking en un servidor controlado por el atacante, mediante ataques man-in-the-middle y luego enviarlos a servidores maliciosos SMB. Con lo que ello supone, robo de credenciales.

Microsoft todavía tiene que lanzar un parche para arreglar la redirección a la vulnerabilidad SMB. La solución más simple es bloquear el tráfico saliente de TCP 139 y 445 TCP en el firewall.

Microsoft no resolvió el problema reportado por Aaron Spangler en 1997. Esperamos que esta nueva investigación obligue a Microsoft a reconsiderare esta vulnerabilidad y deshabilite la autenticación con servidores SMB no confiables. 



No seáis malos.