Webcast: Análisis de Malware con Sysinternals

Estándar

Hola a tod@s!

La semana que viene, más concretamente el martes 24 de Julio a las 16:00, tendré el gusto de dar otro Webcast sobre análisis de Malware orientado principalmente a Administradores de Sistemas.

Como en el otro Webcast, se verán las capacidades de las herramientas de SysInternals así como sus novedades añadidas y funcionalidades que ayudarán a un administrador TI en la búsqueda y análisis de Malware. El guión completo más la URL de conexión lo tenéis en el siguiente párrafo.

En este Webcast se mostrará una primera aproximación sobre cómo los administradores de sistemas e investigadores de seguridad se pueden enfrentar a amenazas de tipo APT utilizando para ello las herramientas de Microsoft SysInternals.
Para esta sesión, se utilizará como demostración la reciente aparición de un Malware que ha dado mucho que hablar dentro de la comunidad de seguridad, así como en equipos de gobierno y fuerzas de seguridad del Estado: el Malware FLAME.
Con la información obtenida en esta sesión se podrá comprobar cómo los analistas de sistemas, así como administradores de seguridad, pueden utilizar estos datos para mitigar la amenaza utilizando para ello una arquitectura basada en Microsoft.

URL de conexión: https://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032521432&Culture=es-ES&community=0 

Os espero por allí!

Salu2 a tod@s!!

 

Información de Malware. ¿A través de DNS?

Estándar

Hola a tod@s!

Hoy día, y debido a que cada año crece más todo lo relativo a vías de infección, han proliferado muchos servicios de consulta de Malware, y todo lo relacionado con la muestra.

Servicios como VirusTotal y ThreatExpert son buenas referencias a tener en cuenta, en tanto y cuanto a un auditor, le caiga el “marrón” de analizar un “bicho”.

A la hora de analizarlo, y viendo como está el mercado, en cuanto a horas reales y cuantificables que se dedican a un proyecto, a un auditor le puede solucionar la papeleta el consultar este tipo de servicios, a día de hoy imprescindibles y para mi gusto perfectos, para que le den una visión global sobre qué dicen las principales casas de antivirus sobre el mismo.

Buscando proyectos relacionados con el análisis dinámiso de muestras de manera online, y habiéndome leído la gran entrada de HackPlayers sobre análisis de Malware, me encontré con un proyecto en OWASP bastante interesante. Consulta de Malware en base a un MD5 o SHA1. Si miramos esta última frase con ojo crítico, pensaremos, nada nuevo no?

La solución que se aloja en OWASP, la cual puede consultarse de manera ONLINE, permite que puedas realizar consultas en base a un MD5 o SHA1 de algún fichero “sospechoso”, pero en vez de consultar a una Web, las consultas las realizas a través de peticiones DNS, adjuntando al final del MD5 o SHA1 un sufijo DNS.

La idea en sí es simple. Tener un repositorio de HASHES relacionados con ficheros maliciosos. Pero la ejecución cambia totalmente al ser consultas a través de DNS.

Desde un punto de vista “corporativo”, las consultas DNS se permitirán, casi por obligación. Como segundo punto es la información que obtenemos al realizar las consultas. Esta información va desde el supuesto tamaño de fichero que coincide con el HASH, así como información relativa al estatus de este. Si es Malware, desconocido, bueno, etc… Una de las respuestas más curiosas, es la relativa a la certeza. En la respuesta, dan un grado, en tanto por ciento, de lo cierto de que ese HASH sea Malware o no, en función del estatus, y de lo analizado.

Según el servicio, esta base de datos es mantenida con regularidad, y analizan bastantes muestras de ficheros maliciosos.

Para realizar una consulta, lo único que necesitamos es un cliente nslookup o dig.

Si lo que necesitamos es consultar si el HASH se encuentra incluido en la base de datos, se puede realizar una consulta de tipo A. La respuesta que obtendremos, en el caso de que el HASH se encuentre en la BBDD, es de 127.0.0.11.

En el caso de que se necesite extraer la información relativa al HASH, habrá que realizar la consulta, pero esta vez de tipo TXT, y añadiendo un sufijo específico, hash.sapao.net.

Imagen 1.- Consulta de HASH malicioso a través de DNS

Aunque desconocía por completo que se pudiesen realizar consultas de HASH a través de DNS, en la página del proyecto, existen enlaces a sitios y comunidades que ofrecen lo mismo. En el caso de Team Cymru’s, ofrecen el mismo servicio de consultas de HASH a través de DNS, operando de la misma manera que la anterior.

SANS, por su parte, tiene otro servicio muy similar, que, aunque no tan potente como los anteriores, tienen algo que lo hace bueno, y es que mantienen una base de datos de ficheros catalogados en WhiteList, por lo que, si se realizan consultas, se puede cotejar si un fichero es malicioso, o por el contrario se encuentra en una lista blanca.

Realizando una prueba con el MD5 un fichero, SANS me informa de que se encuentra listado en varias ocasiones. ¿Colisión? Por la pinta del tamaño, y viendo que son ficheros en texto plano, no sé, no sé…..

Imagen 2.- Consulta realizada en NIST Hash Database

Si realizamos esta consulta, pero a través de NSLOOKUP, la respuesta que obtendríamos sería la siguiente:

Imagen 3.- Consulta de HASH a través de NSLOOKUP en SANS

Curiosa forma de consultar por ficheros maliciosos no?

No sólo de la password vive el HASH!

Saludos a tod@S!

 

 

virtualAPP con Mark Russinovich en SpringBoard

Estándar

Hola a tod@s!

Buscando información sobre la virtualización de aplicaciones, tanto en local como en remoto, y de las posibilidades de hacerlo con Windows 7, me he topado con dos vídeos muy interesantes de Mark Russinovich sobre cómo la virtualización de aplicaciones antiguas puede ayudar en procesos de migración a otros sistemas operativos.

Las sesiones (2), las podéis encontrar en los siguientes enlaces:

Windows 7 Application Compatibility Part 1

http://technet.microsoft.com/es-es/windows/dd981014.aspx?ITPID=stepcon 

El vídeo se puede descargar completito desde esta dirección  

Windows 7 Application Compatibility Part 2. Virtualization

http://technet.microsoft.com/es-es/windows/ee532933

El vídeo de esta sesión se puede descargar completito desde esta dirección

Saludos!



Google Hacking Database Offline

Estándar

Hola a tod@s!

A veces nos encontramos con que en una auditoría de seguridad necesitamos realizar búsquedas en Google sobre una determinada Web, o sobre un trabajador de una empresa por ejemplo.

La base de datos de GHDB (Google Hacking Database) de Johnny Long nos puede servir de gran ayuda en esa tarea, y numerosas herramientas utilizan esta base de datos como valor añadido a la aplicación. La herramienta de análisis Acunetix, y herramientas  como Nikto o Wikto en su versión de Windows, utilizan esta base de datos como añadido.

Esta tarde, realizando unas pruebas, me he encontrado con que la Web de Johnny Long está caida, y por consiguiente, la base de datos de GHDB también arroja un bonito error 404.

La falta de esta clase de recursos para nuestras auditorías puede ocasionar que haya pruebas de seguridad que no se realicen o que se realicen de forma incorrecta. Para solucionar este problema (No tengo idea de si estará de nuevo Online en un futuro) hay personas que han realizado una labor de mirroring sobre la base de datos de Johnny Long.

En el caso de la Base de datos de GHDB, el mirror es el siguiente: http://ghdb-mirror.freehostia.com/index.HTM

Si se quiere acceder a todos los Google Dorks, la URL es la siguiente: http://ghdb-mirror.freehostia.com/_0toc.html

Y por último, si se necesita descargar toda la BBDD, la URL es la siguiente: http://ghdb.mirror.googlepages.com/ghdb.jar

Si alguien conoce algún otro mirror o tiene algún enlace más actualizado de los que yo utilizo, que no tarde en ponerlo!

Espero que os sirva de ayuda.

Salu2 a tod@s!

Volcados de memoria. De W2k3 SP1 en adelante

Estándar

En anteriores artículos, hemos dado un repaso a las herramientas de software que hay para realizar volcados de memoria en sistemas basados en Windows.

Este tipo de técnicas, hasta ahora sólo valían para equipos anteriores a Windows 2003 SP1, ya que en el Service Pack 1 de Windows 2003 se introdujo una medida por la cual el objeto \Device\PhysicalMemory no es accesible en modo usuario.

Este cambió se debió, principalmente, porque en anteriores versiones de Windows, este objeto estaba protegido únicamente con una ACL. Un exploit podría utilizar capacidades como WMI o incluso la herramienta CACLS para cambiar las propiedades de ese objeto en segundo plano o bajo línea de comandos.

Matthieu Suiche desarrolló una herramienta hace meses, llamada Win32DD, la cual accede a la memoria en modo kernel, saltándose así la protección y provocar con éxito un volcado de memoria. Lo mejor de esta aplicación es la no limitación de sistema operativo, lo que abre un gran abanico de posibilidades en el ámbito forense. Con esta herramienta podremos obtener volcados de memoria a partir de sistemas Windows 2003 SP1en adelante.

La herramienta es gratuita, el código fuente se publica con ella, y podéis hacer uso de ella en el siguiente link.

http://www.msuiche.net/countcount/click.php?id=2

Referencias: http://technet.microsoft.com/en-us/library/cc787565.aspx

Saludos!

Tip: Renombrar el nombre de conexión por línea de comandos

Estándar

Salam Malicum hermanos…

El otro día estuve montando una red de unos 50 equipitos. Si todo marcha bien y las máquinas son parecidas, lo tienes todo montado en un par de días. Clonar la mayoría de máquinas, cambiarles el SID para que las máquinas no se peleen entre ellas, configurar permisos en el dominio y montar un ISA Server  como firewall  y proxy caché. Me creé un script sencillito para cambios de IP por si algún empleado interno necesitaba cambiar de dirección al cambiar de oficina. Y me encontré con un problema. Las tíldes. No me había dado cuenta, pero al crear el script en batch con la aplicación netsh, éste no acepta las tíldes ni los acentos, aunque vayan entre “”. Menos mal que los chicos del Scripting lo tienen todo bien documentadito..

http://www.microsoft.com/technet/scriptcenter/resources/qanda/may05/hey0511.mspx

Así que el script se queda así:

Const NETWORK_CONNECTIONS = &H31&
Set objShell = CreateObject("Shell.Application")
Set objFolder = objShell.Namespace(NETWORK_CONNECTIONS)
Set colItems = objFolder.Items
For Each objItem in colItems
   If objItem.Name = "Conexión de área local" Then
      objItem.Name = "Red"
   End If
  
Next

Como el dominio se creó con el principio del mínimo privilegio, los usuarios no pueden cambiar el nombre de red ni los parámetros TCP/IP. Así que lo único que había que hacer es alojar el script de inicio en el dominio, y crear una política de equipo que se encargase de cambiar el interface name. Para crear la regla hice lo siguiente:

En Windows 2003

Inicio –> Ejecutar –> dsa.msc

Se abre automáticamente la consola de usuarios y equipos del directorio activo.

Pincháis en el árbol de vuestro dominio tal y como aparece en la imagen:

Propiedades directorio activo

Se os abrirá una nueva ventana con las propiedades. Pincháis en la pestaña directiva de grupo y editáis la que tengáis existente. Y automáticamente es como trabajar en local con la herramienta de políticas de usuario gpedit.msc.

Configuración de equipo –> Configuración de Windows –> Archivos de comandos –> Inicio

Cambio nombre

Lo mejor es que no tienes que tocar ninguna máquina cliente. Más seguro para tí y menos trabajoso para los empleados. No hay acentos, no hay problemas. Recordad que esta regla la podéis aplicar a todas las políticas que implementéis en un dominio (en grupo de trabajo también es válida). Tan solo tenéis que tener claro los cambios para los que se necesita tener privilegios de administrador y no, para colocar la directiva en equipo o en usuario.

Espero que os sirva

Saludos!

Vista Tip Básico: Exportar configuración de Windows Firewall

Estándar

Una vez configurado nuestro Firewall para bloquear el puerto TCP 1214 y aceptar comunicaciones procedentes de la aplicación Office Communicator, procederemos a exportar la configuración del Firewall, para después poder importarla a cuantas máquinas queramos.

Estando en la consola de administración del Firewall de Windows Vista, procederemos a exportar la configuración, pulsando en Export Policy, tal y como aparece en la imagen

ExportPolicy

Podemos salvar las políticas en nuestro servidor, para tener un mayor control sobre ellas.

ExportPolicy2

Acto seguido podemos ir máquina por máquina e importar la configuración. Lo único que tendremos que hacer es pulsar en Import Policy, tal y como viene en la imagen

ImportPolicy

Una vez importadas las directivas del Firewall, el asistente nos avisará de que las políticas han sido importadas correctamente

ImportedPolicy2

Y lo único que nos queda por hacer, es comprobar que las políticas están ahí

Test

Test2

Recordad que todo esto también se puede realizar si estuviésemos bajo un controlador de dominio, pero esto ya lo veremos más adelante…