Timando a los timadores II de II

Estándar

Hola a tod@s!

En el primer post estuvimos viendo en primera instancia la historia de cómo unos rusos estaban spammeando la red. Aunque el post que escribí ayer está en tono jocoso, debido principalmente a que los spammers no se han preocupado por la seguridad de sus sites, el asunto es bastante serio. El impacto del ataque se puede apreciar en una de las imágenes que publiqué ayer.

Imagen9 

Imagen 1. Impacto del ataque. + de 1.590.000 hits

Sorprende también que entre los favoritos de los rusos se encuentren sistemas operativos tan poco accesibles por malware o vulnerabilidades como MAC OSX…

imagen13

Imagen 2. Mac OSX + IPhones! Oh my God!!

A la hora del descubrimiento de servidores, me sorprendieron varios ficheros y directorios. Hablemos de los directorios en primera instancia.
En una de las Webs (Todavía accesible a día de hoy), existen dos directorios que acojonan a simple vista, debido al contenido de ellos. En uno de ellos, llamado cookies se encuentran más de 500 ficheros con cookies de correos electrónicos spoofeados, y los que le quedan….

Imagen14

Imagen 3. Directorio Cookies

En cuanto al otro directorio, llamado spammed, contiene identidades de correos electrónicos que YA han sido crackeados, con lo que los rusos tienen un control total de las acciones llevadas a través de esos correos electrónicos. Si a eso le sumamos la cantidad de información privada (extractos bancarios, passwords, etc…) que podemos encontrarnos en esas "identidades", la cosa escala a niveles superiores.

Imagen12

Imagen 4. Directorio Spamed

En el directorio raíz, también encontramos mucha información. En dicho directorio, encontramos más de 200 MB en correos electrónicos. Contando con que son archivos de tipo TXT, son muchos correos electrónicos por crackear…

Imagen11

Imagen 5. Directorio Principal.

En cuanto a las direcciones IP, tan solo una de ellas está listada en algún tipo de Black list, tal y como reflejan Robtex y SpamHaus.

Imagen15

Imagen 6. Lista negra. Robtex

Imagen16

Imagen 7. Lista Negra SpamHaus

Gracias a que pertenencen a una de estas listas, los navegadores que consulten estas listas, pueden alertar de un posible peligro al visitar alguna de estas páginas. Prueba de ello es Google y su sistema Safe Browsing.

Captura2

Imagen 8. Google Safe Browsing

Imagen17
Imagen 9. Malware en URL

Imagen18
Imagen 10. Malware en URL

Otro dato interesante que me ha llamado la atención, y haciendo honor a las "auditorías escalables", en cuanto a servicios y servidores se refiere, es la visualización de un archivo Log en uno de los servidores. Este archivo Log contiene las rutas de lo que parece ser el traspaso de ficheros entre dos servidores. Una dirección más para el EvilMap!. Como no tenía ganas de seguir "auditando", porque esto puede ser el nunca acabar, pego un bonito phpinfo que se han dejado por ahí…. 😉

Imagen21

Imagen 11. Daaaatossss

Imagen19
Imagen 12. PhpInfo

Y por último, si os digo que el PhpMyAdmin de una de las Webs no tenía password…. La cosa cambia no?

Imagen20

Imagen 13. Ohhhhh No hay datos!
 

En cuanto al código fuente del malware, por si alguien le quiere echar un vistazo, os paso los links de ambos códigos (Javascript y Java) pasteados en pastebin.

http://pastebin.com/f356f20f0 (Código Javascript)

http://pastebin.com/f45e076e2 (Código Java)

Salu2!

Anuncios

Timando a los timadores I de II

Estándar

Hola a tod@s!
Recientemente me he encontrado en una de esas situaciones en las que los dichos populares toman sentido. En este caso el dicho popular es el siguiente:

“Quien roba a un ladrón, 100 años de perdón…”

La situación es la siguiente. Me mandan un correo. Este correo tiene un link a un foro de un país en el que las damas me enamorarían con tan solo hablarme.

Al realizar un copy-paste del link y pegarlo al navegador, éste entra con facilidad en la Web. Pero al cargar la página completa, recibo una pequeña alerta. El sitio que voy a visitar puede dañar mi seguridad. Al analizar el código fuente, encuentro que éste contiene un IFRAME malicioso, el cual me redirige a una URL que me da la oportunidad de descargar no sólo uno, si no 3 archivos maliciosos.
Como el sábado no tenía nada que hacer (Es muy triste, lo sé… ;-)), me dispuse a tirar un poco del hilo, a ver qué me encontraba por el camino. Y vaya si me encontré con cosas….
Empezamos por el principio de esta hermosa historia.

Un ataque IFRAME se puede utilizar para muchos propósitos, desde ataques de denegación de servicios, descarga de archivos, o ataques de CSRF.
El iframe que se encontraba en el foro presentaba una URL codificada con el servicio de codificación de URL TinyURL. En el caso que nos ocupa, la URL http://tinyurl.com/false decodificada, presentaba una URL que apuntaba a http://WebDeMalware.com/in.cgi?default. Cuando intenté acceder a la Web anterior, ésta me redirigía al sitio http://OtraWebDeMalware.org/index.php, la cual me intentaba descargar 3 ficheros. Estos ficheros son un archivo .jar, un archivo .swf, y un archivo .pdf. Todos maliciosos, of course.

Imagen1 Imagen I. Iframe en foro vulnerable

Esos 3 archivos, analizados bajo VirusTotal, nos da 3 resultados, los cuales muestro a continuación:

http://www.virustotal.com/es/analisis/810306ed9b52261f0f01376f79f5a60c16cafd1689f46cc23e119ba466886aa8-1264270308 

http://www.virustotal.com/es/analisis/63fa129d7b1dd129a1e489c32a439a2ae65755d7cc7de09b7e433aa630a08f30-1264270204 

http://www.virustotal.com/es/analisis/626e0184037d75aa52591aecff1c1a531ca2e9458560fa6720de6e4b79942abf-1264270449 

Para tener una segunda opinión sobre los archivos descargados, utilicé otro servicio de análisis de malware basados en red. Este servicio, ofrecido por la Web iseclabs.org, Web de la que se habló también aquí, permite analizar ciertos archivos, como por ejemplo código javascript, ficheros pdf o ficheros flash.

http://wepawet.iseclab.org/view.php?hash=ab60256944c967a8553bd1ba4dd0e37b&type=js

Como virustotal y los laboratorios de iseclab se encargaron de analizar los ficheros por mi (Gracias chicos!!) me dispuse a “pelearme” un poco con las dos únicas direcciones que tenía.

Target1: http://WebDeMalware.com

Target2: http://OtraWebDeMalware.org

Como tenía tiempo para montar la estrategia, ya que no tenía nada que hacer en Sábado (Sí, otra vez, es muy triste… ;-)), me dibujé un pequeño mapa de cómo estaba la situación…

Imagen2Imagen 2.- Mapa Inicial de la situación 

Lo primero que hice fue “visitar” los sitios maliciosos con la debida protección. El primer sitio que visité, sólo tenía un html estático en el index de la página, y poco se podía hacer en ella, de momento….

Imagen3Imagen 3.- HTML estático de uno de los Sites

El segundo sitio que visité, a veces te intentaba descargar el malware, y a veces te redirigía a Google.cn (Google China). Así que en principio, poco se podía hacer también, de momento…

El siguiente paso por el que opté fue el descubrimiento de puertos de ambos servidores. El cuadro comparativo lo expongo aquí:

Imagen4Imagen 4.- Descubrimiento de puertos en los sites

Examinando las respuestas a la hora de descubrir puertos, me encuentro con que uno de los servidores lleva un sistema operativo Linux y el otro servidor lleva puesto un Windows. Como el puerto de terminal server está a la espera de alguna petición, me intento conectar con un cliente virtualizado.

Imagen5

Imagen 5.- Acceso deste un cliente TS

Rusos!!

Next Step… Footprinting!

Gracias a los códigos de estado HTTP, y si nada lo impide, se pueden realizar peticiones a una Web, tomando como base un diccionario “rico en palabros”. Este tipo de técnicas se pueden utilizar para descubrir directorios ocultos en un servidor Web, y nos pueden arrojar mucha información sobre un sitio en particular. Aplicando estas técnicas con los sitios Web, se obtiene la siguiente información:

Imagen6Imagen 6.- Descubrimiento de directorios

Imagen7

Imagen 7.- Descubrimiento de directorios

Como se puede observar en las imágenes, las Webs tienen directorios interesantes. Directorios como Admin, PhpMyAdmin, test o data, hacen las delicias para cualquiera que tenga un mínimo de curiosidad. Queréis ver lo que hay? Sigamos!

Next Step… Open the door!

Algunas veces, cuando auditamos algún sitio, y vemos un campo login + passwd, nos ponemos en lo peor. Pero me acordé de una charla en el Asegur@IT Camp de Alejandro ramos. Este pájaro, demostró como hoy en día, existen personas que son capaces de tener correos con pass 123456. El directorio Admin de una de las Webs, redirige a un apartado de autenticación, en el que se nos solicita un usuario y una password. En honor a la verdad, he de decir que los rusos no tenían como password 123456, pero también he de decir, que la pass era ADMIN… No comments….

Aparentemente, el sitio no es más que una simple aplicación para manejar una botnet. En ella, se nos reflejan estadísticas de los sitios atacados, y contadores de visitas por cada sitio.

Imagen8

Imagen 8.- Status Botnet

Imagen9

Imagen 9.- Estadísticas de Botnet

En la aplicación, también se pueden mostrar estadísticas de los sitios Web. Gracias a ello, los rusos también tendrán cierto control sobre si la vulnerabilidad en los sites se explota de forma correcta. En el caso opuesto, los rusos pueden dar por sentado de que el sysadmin del site ha parcheado el fallo.

Imagen10

Imagen 10.- Webs y foros atacados

Al parecer el ataque se está realizando en versiones no actualizadas de VBULLETIN y VBSEO

Mañana vamos con la edición II

Salu2!!

Estafa a las 3. Nicolai Prochenko SE01X02

Estándar

Son las 10 de la mañana, y en la antigua Yugoslavia hace un día frío y lluvioso. Nicolai Prochenko es un individuo que ha estado entrando y saliendo del trullo desde los 19 años. Se había educado en la llamada Universidad de la Vida, pero con un pésimo profesorado. Experto en timos a pequeña escala y en engaños personalizados. La mala educación y un pensamiento sobre el dinero siempre ha estado presente en su educación y en suvida. La llamada del dinero fácil. Un sueño que todos quisiésemos alcanzar. Ganar mucho dinero invirtiendo y trabajando lo menos posible. Fruto de ese sueño, y con la cantidad de 200 Kunas, fruto de su último timo (Una venta de entradas caducadas), se reunió con un personaje de los bajos fondos que tenía un negocio para Nicolai. Algo llamado “fraude bancario”.

Nicolai y su socio, se reunieron en el café Estafinski para dar forma a la “visión”. Nicolai estaba nervioso porque no conocía a su nuevo socio, pero había leído sobre él en algo llamado Internet…. Tras pedir dos Marraskinos, resolvieron presentarse…

Nicolai: Hola amigo, me he enterado de tus hazañas y me gustaría que me ayudases a conseguir mi sueño. Cómo te llamas?

Desconocido: Me llamo Albert Gonzalez y te puedo ayudar con tu sueño. Mínima inversón, máxima repercusión…

Nicolai: Me gusta esa frase. Qué necesito para ponerme a ello?

Albert: Por 150 Kunas, puedo pasarte un CD con un programa. Este programa lo hará todo por tí con sólo unos clics de ratón. Si le dedicas algo de tiempo, dominarás países….

Nicolai: Pero tengo un problema. No entiendo de ordenadores….

Albert: Pero sabes encenderlo no? Coger el ratón?

Nicolai: Sí, esas nociones las tengo….

Albert: Sabes realizar transferencias bancarias?

Nicolai: Tengo a una persona que podría ayudarme a conseguirlo….

Albert: Pues reunes todas las condiciones! Este es un timo bastante fácil. Sólo tienes que montar el programa que te adjunto en el CD, y él se encargará de realizar todas las acciones por ti. Lo único que tienes que hacer es construir una gran mentira, y enviarla por e-mail a todas las personas que puedas. Puedes coger notas mirando estos artículos . De seguro que te ayudarán en tu “visión”….

Nicolai: Albert, aquí tienes tus 150 Kunas.

Albert: Toma tu CD. Vas a ser un hombre rico….

Nicolai: Me voy corriendo al concesionario, que he visto un Mercedes descapotable que me encanta….

Las 13:00 Horas. Un rayo de luz acaricia el rostro de Nicolai. Se fue corriendo a casa ya que tenía trabajo por hacer. Tenía un ordenador que había robado de una tienda de PC’S mediante la técnica del sillanizaje. Es similar a la del coche, pero utilizando una silla. Llegó a casa, se encenció un cigarrillo, y conectó el equipo.

El manual de instrucciones del CD era muy claro, y hablaba de una forma que Nicolai podía entender. Las instrucciones eran claras. La conexión a Internet debía pasar por una serie de Proxys anónimos, y, para entornos de pruebas, realizar la conexión desde una señal que no fuese la propia. Nicolai no entendió esta última parte y conectó su equipo a una Red WIFI que ponía OPEN. Primer paso realizado…

Una vez realizado este paso, tenía que ejecutar algo que ponía SETUP.EXE. Una vez realizado este paso, el CD instaló varias cosas:

  • Un servidor Apache
  • Soporte para PHP
  • MySQL
  • PHPMyAdmin

Todo ello a un clic de ratón. El sueño estaba cada vez más cerca. Ahora llegaba la parte difícil. Instalar lo que le separa de su ansiado Mercedes y sus buenas vacaciones en las Bahamas. El gancho.

El gancho venía en una serie de ficheros con extensión PHP, y no era más que el panel de Administración de un BOT para administrar Malware a través de Internet. La ruta de instalación era clara. Tan sólo tenía que dirigirse al directorio .install y él se encargaría de realizar el resto…

InstallNicolai

Imagen 1.- Instalación Zeus BotNet

Una vez instalada la aplicación, ésta muestra el proceso de la misma, indicando si ha habido algún fallo en la instalación.

Captura

Imagen 2.- Instalación finalizada y completada

El siguiente punto del manual es claro. Ya tienes tu panel de control! Ya puedes soñar con ese Mercedes y con las Bahamas y con las Morenacas!! Entra a tu panel de control siguiendo la ruta indicada a continuación:

http://IP_DEL_MALO/Zeus/Web/in.php

Dibujo

Imagen 3.- Panel de administración Zeus

El panel de Administración estaba vacío, pero su sueño cobraba vida. Una vez realizado este paso, le tocaba configurar el paso siguiente. “La gran mentira”.

La gran mentira consistía en un fichero de configuración que posteriormente se incluiría como base de conocimiento a un Malware específico. El fichero de configuración, y una vez averiguada la dirección IP pública de Nicolai, presentaba el siguiente aspecto:

Config

Imagen 4.- Fichero de configuración Zbot

Una vez configurado el fichero, el manual indicaba que había una aplicación para “montar” la “gran mentira”. La aplicación constaba de un ejecutable, un fichero binario que contenía el código maligno, y un fichero de texto que contenía información sobre bancos y redes sociales. Esta información la utilizará después el Malware para enviar los datos seleccionados (Usuario, Password y firma electrónica) a la base de datos de Nicolai.

SantanderConfig

Imagen 5.- Inyección Web Malware Offline

Una vez modificado estos archivos de configuración, el montaje se hace muy rápido, gracias a la utilidad de montaje incorporada en el CD de Nicolai.

Builder

Imagen 6.- Builder Zbot Malware

Perfecto…. La “gran mentira” estaba montada. Ahora sólo hacía falta leerse los artículos anteriores y mandar correos y SPAM a diestro y siniestro.

Pasados unos meses, Nicolai gozaba de gran popularidad en la Red, y su sueño cobraba vida propia. Era un gran “administrador” y la gente le pedía muchos favores a cambio de dinero. Con el tiempo se dio cuenta de que “la gran mentira” podía “tumbar” a grandes corporaciones, gracias a que con el panel de administración podía crear grupos de trabajo, los cuales podían realizar una tarea en concreto.

zeus-cpanel

Imagn 7.- Panel de Administración Zeus 

La aplicación proporcionada en el CD, era capaz de decodificar los datos enviados por el Malware, y que guardaba celosamente tanto en su base de datos, como en un fichero binario a modo de Backup.

DecoderLogs

Imagen 8.- Decodificación de Logs con Zbot

Las capturas eran claras y decisivas en post de su sueño. Gracias a ellas tenía una gran base de datos con usuarios, passwords y firmas electrónicas. Todo ello junto a las Webs de acceso y direcciones IP y nombres de equipo de sus víctimas. Todo ello bien ordenado en sus correspondientes tablas.

CapturaClave

Imagen 9.- Captura de Claves en archivo Log

Había pasado un año desde que el proyecto “la gran mentira” empezó. Así que, nuestro amigo Nicolai, habiéndose convertido en un gran Administrador de este tipo de redes, se puso manos a la obra con “el plan B”.

El plan lo había planificado con un año de antelación, y era bastante simple. Se había dedicado a capturar durante un año completo usuarios y passwords de diferentes cuentas y sitios de Internet. Gracias a estas capturas, consiguió una base de datos bastante consistente de información. Un año después, Nicolai estaba preparado para dar el gran salto. Se había dedicado todo este tiempo a recopilar información en Internet sobre cada una de sus víctimas. Había cuentas de banco que se correspondían con las cuentas de correo, y éstas, a su vez, con redes sociales. Gracias a los conocimientos adquiridos, creó otra base de datos con ese conocimiento. Esta base de datos conectaba a cada usuario con su red social, correo electrónico, cuentas bancarias y mensajería instantánea. También le dió lugar a crear otra base de datos con los usuarios a los que no llegaba a conseguir gran cantidad de información. Esta base de datos la vendía al mejor postor, vendiendo también, cada cierto tiempo, actualizaciones sobre la misma. La “gran mentira” era todo un éxito.

Nicolai planificó cada detalle de sus actos para llevar a cabo “El plan B”. Gracias al dinero obtenido de ventas anteriores, llegó a contratar varios servidores alojados en países de “moral informática relajada” (Te lo copio Chema ;-)). En cada uno de ellos, instaló una aplicación que había conseguido encargar a un programador amigo suyo. La aplicación tan sólo recibia un fichero de configuración con unos datos específicos, y ésta, a su vez, realizaba todo el trabajo.

Nicolai se había empeñado en realizar una gran compra por Internet, utilizando la base de datos que le había costado un año llenar. El plazo de acción era realizar el trabajo en 24 horas.

Así que una mañana, sobre las 13:35 horas, Nicolai estaba sentado en pijama sobre su equipo, con un cigarrillo en la comisura de los labios, y un vaso con Marraskinos en el otro. Configuró todos los servidores, actualizó todas las víctimas, y pulsó el botón START.

Fin del capítulo II

Saludetes!!

 

 

Formación técnica en seguridad y auditoría

Estándar

Hola a tod@s!

Algunos de mis compis y yo, hemos decidido formar un “grupo de música”. Os cuento detalles….

 

Formación técnica en seguridad y auditor�a

 

Formación técnica en seguridad y auditoría

  • Idea: Formación en “música”
  • Tiempo: 6 semanitas o 150 horitas. Junio y Julio
  • Realización de la formación: Eminentemente práctico

 

Los temarios que se impartirán en el curso serán los siguientes:

 

Música estridente y ensordecedora

  • Partituras: Protocolos, Análisis de servidores, ataques a aplicaciones Web, Vulnerabilidades de código, vulnerabilidades en configuraciones, vulnerabilidades en S.O., spoofing en comunicaciones, sniffing de comunicaciones, ataques combinados, DOS, DDOS, ataques MITM, ataques VOIP, inyección de comunicaciones, malware en general, LDAP injection, inyecciones SQL, ataques WEP/WPA, etc, etc…
  • Instrumentos: La cabeza e instrumentos comerciales y gratuitos. (Nos reservamos demos y juguetes internos!)

Como este tipo de música puede “romper” tus oídos, hemos pensado en aderezar la “formación en música” con estos temas…

 

Prevención a la rotura de tímpano, sordera total, etc…

  • Realización de buenas partituras: VPN, sistemas de cifrado SSL, conceptos de auditoría, auditorías de caja blanca/caja negra, fuentes de información, detección de malware, fortificación de servidores, fortificación de código, análisis de seguridad server/client, herramientas de análisis de código, Firewalls de aplicación, cifrado y autenticación, IPSEC, etc, etc..
  • Instrumentos: La cabeza e instrumentación comercial y gratuita

Y si llegados a un punto, algún tipo de música ha hecho que te sangre el oído u otra enfermedad equivalente, completamos la “formación en música” con…

 

Análisis forense

  • Análisis de las notas: Captura de datos, buenas prácticas, cadena de custodia, análisis forense de Logs, análisis forense Online de Malware, análisis forense Offline de Malware, Análisis de memoria RAM, búsqueda de estructuras, análisis forense de S.O., realización de informes, etc, etc…
  • Instrumentos: La cabeza e instrumentación comercial y gratuita

 

Quienes estaremos

  • Solista: Chema Alonso: MVP Windows Server Security. Este solista está especializado en “saturar” notas musicales. Ha dado multitud de conferencias a lo largo de este país y fuera de él. Últimamente lo hemos podido ver por las conocidas conferencias de seguridad BlackHat. Lo conoceréis más en su blog http://www.elladodelmal.com
  • Bajos: Juan Luis García Rambla: MVP Windows Server Security. Sabe este hombre algo de redes y comunicaciones? Por ahí le llaman el “interceptor”. Este hombre se entretiene capturando y manipulando conversaciones y comunicaciones, modulando la voz, etc, etc.. Un excelente aliado si quieres conocer arquitectura de sistemas operativos, y todo un maestro en técnicas de auditoría forense. Tened cuidado con lo que “conversáis” si estáis cerca de él… Podéis saber más de él visitando su blog, http://legalidadinformatica.blogspot.com
  • Guitarra: Alekusu o Alejandro Martín, alias “el pensante”. Muchas veces lo veo sentado pensando cuál va a ser la próxima prueba que se va a sacar de la manga para el siguiente reto hacking, y creador de muchas de las herramientas internas de auditoría de seguridad que utilizamos.
  • Batería: Pedro Laguna, alias “La Pedra” como amistosamente le llamo yo. Se dedica principalmente a “romper de forma legal” las Webs que le vamos asignando. Así que cuidado con dejarle la vuestra.  Avisados estáis. Su blog es http://www.equilibrioinestable.com
  • Teclados: Yo, alias Juanillo, alias “el trianero”, al que si leéis lo que vomito en el blog de vez en cuando o me conocéis de alguna auditoría o alguna formación, ya sabréis algo de mí, y sí, prometo contar el verdadero chiste del pavo.

Asi que…. Te animas a tocar con nosotros?

Formación técnica en seguridad y auditoría informática

 

Saludos a tod@s!!

Monstruos, y no de feos

Estándar

No hace mucho tiempo cambié la lista de blogs que sigo diariamente como un mantra. En esta lista tan selecta, han entrado dos monstruos (y no de feos) especialistas en varios campos.

Uno de ellos es Joshua Sáenz, consultor de sistemas, y especialista en muchos campos, entre ellos los siguientes:

  • MOM y SCOM
  • SMS Y SCCM
  • Active Directory
  • Exchange

No hace mucho tiempo se ha ganado a pulso un MVP de Exchange, y si las cuentas no me fallan, creo que es el único de Spain que lo tiene.

Podéis seguir sus post en su Web. http://saenzguijarro.com

Otro de los monstruos que ha ingresado en la lista selecta, es Juan Luis García Rambla, experto en los siguientes campos:

  • SMS y SCCM
  • Active Directory
  • Seguridad en Sistemas
  • Análisis Forense (En especial fotografía, malware y dispositivos móviles)

También posee un MVP en Seguridad. Actualmente este MVP lo tienen dos personas en Spain, uno es el Maligno, y el otro es este personajillo.

Su blog está especialmente dedicado al análisis forense, visto desde una perspectiva legal. Interesantísimo y de obligada lectura.

Podéis seguirlo desde aquí. http://legalidadinformatica.blogspot.com

Y no os olviéis actualizarse y superfeedalizarse!!

Saludos!!