Analizando tráfico de Red II de III

Estándar

Hola a tod@s! Seguimos con esta entrega dedicada al análisis forense de tramas de Red. En esta entrada nos vamos a centrar en protocolos que no están muy documentados.  La gran mayoría de analizadores de red ofrecen soporte a protocolos que están bien documentados y dan parte de soporte o ninguno a protocolos que no están documentados. Este tipo de problemas se pueden dar en algún tipo de investigación forense, y casi seguro que alguno de los lectores se habrá visto en algún caso parecido.  

En nuestro caso, vamos a centrarnos en un protocolo que no está muy documentado, pero que es ampliamente utilizado. Es el caso de la mensajería instatánea con Windows Live Messenger y derivados.

Los primeros atisbos de información que nos encontramos, los tenemos en la Web del Internet Engineering Task Force. En dicha Web, mantienen un borrador de un protocolo llamado Messenger Service . Leyendo este documento, tendremos una idea básica de cómo el protocolo de Windows Live Messenger trabaja a la hora de enviar y recibir información.

Más adelante (hablando de tiempo), Webs como Hypotetic.org o MSNPiki documentarían más este protocolo, realizando ingeniería inversa sobre el mismo.

Wireshark implementa un único filtro para filtrar la comunicación a través de Messenger llamado MSNMS. Gracias a este filtro, podremos trabajar sólo con este protocolo.

Al ser un protocolo que envía los mensajes en texto plano, es fácil extraer una conversación de Messenger aplicando como búsqueda la cadena “Text/Plain” en el filtro de búsqueda por paquetes que dispne Wireshark.

Conversación

Imagen 1.- Extracción conversación Messenger con Wireshark

Herramientas comerciales como MSN-Sniffer, pueden capturar este tráfico y parsearlo directamente a una salida más “humana”.

Lo malo de todo esto, es que no toda la información enviada a través de este cliente de mensajería se envía a través del protocolo MSNMS. El envío de mensajes de Voz, ficheros o vídeo se realiza a través de protocolos comunes como TCP o UDP. Y, en este caso, ni MSN-Sniffer ni ninguna otra herramienta (que yo conozca) es capaz de detectarlo y extraerlo.

En el caso del envío de ficheros a través de Messenger, y leyendo la valiosa información de la Web MSNPiki, nos encontramos con que primeramente se envía un número de identificador único (GUID), el cual se especifica para determinar que lo que se va a transmitir es un fichero. En el mismo paquete, se añade un identificador llamado APPID.

Base64FileTransfer

Imagen 2.- Envío de ficheros a través de Messenger

Si se observa con atención este paquete, en el contexto de este campo (AppID), aparecen una serie de caracteres codificados en Base64. Decodificando este texto nos daría el nombre del fichero que se está enviando.

DecodeBase64

Imagen 3.- Decodificando mensaje Base64

Una vez recibida esta información se empieza con el envío de datos. La transmisión de ficheros a través de Messenger es algo complicada, ya que se pueden enviar a través de TCP o UDP, y, en mi caso, no conozco ninguna herramienta que, a través de un archivo PCAP y en modo Offline, pueda reconstruir los ficheros enviados a través de este cliente de mensajería instantánea. Tanto el señor Maligno como Dani Kachakil tienen muy buenos artículos sobre cómo extraer ficheros enviados a través de Messenger. La idea básica es ir recopilando cada paquete (ya sea TCP o UDP), para después unir todas las tramas y formar el fichero extraído.

followTCP

Imagen 4.- Follow TCP transmisión de paquetes en Messenger

Como esto se complica cuando se transmiten varios ficheros simultáneamente, nuestro compañero Rodol, de informática64, se curró una herramienta muy chula hace tiempo que realizaba esto mismo. Capturar todos los paquetes transmitidos a través de messenger, para después reconstruir los ficheros realizando un fingerprinting de los mismos.

MessengerSniffer

Imagen 5.- Sniffer de Messenger con funciones de recomposición de ficheros

Esta herramienta, junto con muchas más, las damos en exclusiva a las personas que se apunten a los cursos FTSAI que impartimos en informática64.

Hasta la próxima entrega!

 

Altenate Data Streams en Windows Vista III de III

Estándar

Alternate Data Streams en Windows Vista I

Alternate Data Streams en Windows Vista II

En el anterior artículo realizamos pruebas de ADS en Windows Vista y como respuesta deducimos que Windows Vista todavía tiene soporte para forks en su sistema de archivos NTFS. La prueba más fehaciente es la inclusión del parámetro /R en su comando DIR, el cual listará secuencias alternativas de datos en un fichero pasado como argumento.

El soporte, en este caso y bajo este sistema operativo, es limitado en funciones y mantenido a diversos programas locales como por ejemplo el bloc de notas  o la aplicación Paint. Este tipo de soporte, como vimos en el primer artículo, puede cambiar según la política interna de Microsoft con respecto a los forks. La explicación sobre este soporte se puede consultar en el siguiente boletín.

En las pruebas realizadas con ejecutables, nos encontramos con que el comando start, (En primera instancia), ya no soporta forks bajo el sistema operativo Windows Vista, debido a que el explorador de Windows, junto con un filtro llamado Fast I/O, deniegan la ejecución. En su lugar, añaden el parámetro /R al comando DIR para buscar secuencias alternativas.

Esto dejaria a los creadores de Malware en una posición extraña, al no poder usar este método de infección en posibles usuarios que utilicen Windows Vista.

Y digo dejaria, porque Windows Vista, al tener soporte su sistema de archivos a forks, éstos, si son lanzados de determinada manera, se ejecutan sin mayores problemas.

El mayor problema ahora, y según lo que he podido averiguar, reside en el Scripting y en sus motores de ejecución.

Lenguajes como Visual Basic Script, Perl o Python soportan la ejecución de scripts, incluso si están dentro de una secuencia alternativa.

Para ejecutar las pruebas he utilizado un script para cada uno de los motores.

Script en Python

import os                                        #Importamos el módulo OS
ruta = ‘C:\Windows\system32\calc.exe’      #Path de la aplicación
os.system(ruta)                              #Ejecución de la aplicacón

Script en Perl

system(“calc.exe”);

Script en VBS

msgbox(“https://windowstips.wordpress.com“)

Estos scripts, los he introducido en un fichero llamado p0c.txt. En la siguiente imagen se refleja este acto.

dir

Imagen 1.- Secuencias alternativas en un fichero

Para la primera ejecución utilizaré el motor de ejecución de scripts que trae Windows Vista. Este motor de scripts tiene un parámetro por el cual podremos indicarle con qué motor vamos a lanzar el script.

cscript

Imagen 2.- Ejecución de ADS a través motor de Scripting

En la segunda ejecución utilizaré el motor de ejecución de scripts de Python para lanzar un sencillo script que abra la calculadora de Windows.

python

Imagen 3.- Ejecución de ADS a través del motor de Python

En la tercera y última ejecución, utilizaremos el motor de ejecución de scripts de Perl para lanzar otro sencillo script que abra la calculadora de Windows.

perl

Imagen 4.- Ejecución de ADS a través del motor de Perl

Como se puede comprobar, la ventana de propagación de malware a través de esta técnica todavía está vigente en Windows Vista, con lo que tendremos que seguir protegiéndonos de la misma manera con la que nos protegíamos cuando teníamos Windows 2K/XP/2K3.

Saludetes!

Referencias

ADS Qué es y cómo funciona

The Dark Side NTFS

SMS de la muerte

Estándar

Hola a tod@s!

Llega un nuevo año, cargado de ilusiones, buenos propósitos, compañerismo, signos de amistad….. Y vulnerabilidades, exploits, advisories, etc…

Y esta es de las gordas, porque llega en unas fechas señaladas para su utilización.

Tobias Engel, que no hace mucho ha participado en el Chaos Communication Congress presentó hace unos días una vulnerabilidad en ciertos modelos de Nokia, la cual puede ser explotada masivamente y sin  muchos conocimientos sobre arquitectura. Lo peor de todo es que no es necesario la instalación de una aplicación específica, ya que incluso con modelos antiguos de Nokia se puede llevar a cabo el ataque.

El ataque es de lo más sencillo, y tan sólo le costaría al atacante el dinero con el que manda los SMS de la muerte.

Ciertos mails pueden ser enviados via SMS estableciendo que el protocolo a utilizar sea Internet Electronic Mail. Una vez realizado el cambio, se formatea el texto del mensaje tal que así:

<email-address><space><message body>

Si el contenido del mensaje contiene un campo <email-address> con más de 32 caracteres, algunas versiones de teléfonos Nokia no podrán recibir más SMS o MMS nunca más, a menos que al teléfono se le realice un “fuego purificador”. Depende de la versión de sistema operativo que tengamos en el teléfono, éste se comportará de diferente manera. En los links externos finales tenéis el aviso que explica el comportamiento y los modelos afectados, que no son pocos.

Tobias ha realizado un vídeo explicativo sobre el ataque en cuestión. El vídeo se ha subido a YouTube:

La noticia, la cual ha sido verificada por F-Secure, establece que el exploit de momento no se está utilizando de forma masiva, pero que después de lo acontecido, no saben como responderá el “público”.

Por otra parte, y viendo la que se avecina con las fiestas, no es de esperar que cientos de miles de millones de SMS circulen por la red, así que… no está de más prevenir que curar.

La forma de actuar es bien sencilla, pero bastante jodida. O lo llevas a la casa del fabricante, o realizas un Hard Reset al aparato en cuestión, con el código siguiente:

*#7370#

Pero no todo son malas noticias. La empresa Fortiguard, ha liberado no hace mucho una herramienta llamada FortiCleanUp, la cual, instalada en los modelos de Nokia afectados, es capaz de limpiar el susodicho sin tener que realizar al teléfono un hard reset, ni llevarlo al fabricante.

Así que ya sabéis, sed cuidadosos, y no hagáis bromitas…. Que el día de los inocentes pasó!

Tenéis más información en los enlaces externos

Saludos a tod@s!

Enlaces externos:

http://www.fortiguardcenter.com/mobile/cleanup.html

http://berlin.ccc.de/~tobias/cos/s60-curse-of-silence-advisory.txt

http://berlin.ccc.de/~tobias/cos/s60-curse-of-silence-demo.avi

http://www.f-secure.com/weblog/archives/00001569.html

http://www.3gpp.org/ftp/specs/1999-10/for-itu/23040-320.pdf

Seguridad en aplicaciones Web. El caso de Julián Moreno

Estándar

Hola a tod@s!

He de confesar que me ha encantado. Cómo condensar N horas sobre formación en seguridad en aplicaciones Web? Contando una historia!!

Pues eso es lo que me he encontrado al leer el blog de Gonzalo Álvarez Marañón.

Gonzalo asistió  como ponente en la II Jornada STIC CCN-CERT. Su charla se basó en explicar de una manera clara y concisa todo lo relacionado con los ataques Web. Ya sabéis, SQL injection, XSS, Phishing, manipulación de parámetros, etc, etc.. En 30 minutos!!

Y es que el pájaro este es un crack. Se inventa un personaje (Julián Moreno), una historia con tintes verídicos (Ventas por Internet), y un contrato con una consultora (Creación de tienda virtual). Y se monta una historia chulísima! Con permiso de Gonzalo, me voy a tomar la libertad de poner aquí la presentación, ya que me ha encantado. Me encantan las historias!

Por otra parte, me comenta Gonzalo que alguien grabó el evento, el cual está colgado en YouTube en 8 bonitas partes. 

Os recomiendo que la veáis. A mi, personalmente me ha encantado.

En otro orden de cosas, tengo cuasiterminado un post dedicado al blog de Gonzalo, el cual tengo que decir, me está ayudando muchísimo en mis labores de “presentador”. Me he visto reflejado en varios de sus post, y me he reido bastante de mi mismo al darme cuenta de esos fallos de “concepto” que cometo a dar alguna charla. Así que ya os hablaré de él dentro de poco.

Chapó Gonzalo y gracias por tus historias!

Referencias:

http://elartedepresentar.com/2008/11/28/no-muestres-datos-cuenta-historias/

http://elartedepresentar.com/2008/12/04/el-video-de-seguridad-en-aplicaciones-web/

http://www.iec.csic.es/~gonzalo/

Te vienes de fieshhta?

Estándar

Te llevas todo el día trabajando con un señor c#br##, tu jefe dandote la paliza, o como se suele decir por Triana city…. Comiéndote la oreja…

Te gritan, te mandan, mil correos, y tu jefe de fondo…. Oye, cuándo vas a instalar la VPN Site 2 Site hombre? Es que queremos montar la oficina antes de irnos! Déjalo todo y ponte con esto YA!!

Tú, que eres un informático de Pro, alguien con luces, haces caso al jefe. Coges los nuevos CD de Cisco, y montas la VPN. Creo que funciona. Voy a por el CD del Cliente VPN.

Metes el CD en la tostadora, le das al play y…. A bailar!!

12 Temazos de música mexicana! Para que no te quejes!

Aquí tenéis un temita de ejemplo. (Renombra a mp3)

La cara que se le habrá quedado a este chaval ha tenido que ser de pinícula.

No es la primera vez que Cisco tiene “problemillas”. La semana pasada tuvo no sé que problemas con las T.

Te vienes de fieshhhta?

Visto en elhacker.net

Saludos a tod@s!