Hacking tico.

y seguridad
Software libre y mecnica de aprendizaje CERT guiado por amenazas reales

Juan Luis Martin Acal

jlmacal@gmail.com

Por donde empezar?

La seguridad informtica es una campo muy transversal, de aplicacin global y generoso con perfiles/equipos multidisciplinares. $$$Pregunta del milln$$$: Por donde empiezo?
ADMINISTRACION -Credenciales dbiles. -Usuarios por defecto. -Null sessions -Informatin disclosure .

COMUNICACIN -Pblica -En plano -Suplantable -Spoofing -No confiable -Sin garantas de recepcin

REVERSING ANALISIS FORENSE PENTESTING HARDENING SEGURIDAD PERIMETRAL CRIPTOGRAFIA CERTIFICACION ISOS

SEGURIDAD DE LA INFORMACION

DESARROLLO -Zero Days -Desbordamiento -Pila del sistema -Buffers de la aplicacin -Filtrado deficiente de entradas. ...

FACTOR HUMANO -Ingeniera social -Phising -Spam -Mensajes en cadena -Virales

Respuestas
Seguridad Perimetral Certificaciones, profesionales
CCNA Security, CCSP, CISA, CEH, SCASA, SAN,CISM,

Certificaciones, acadmicas
Master en seguridad de la informacin (UPM,UNED,UAL).

Pentestig by Desing Soluciones Criptogrficas

Esquema Nacional de Seguridad.

Soluciones Profesionales Avanzadas ;)

Aqu hay un gran volumen de negocio, las respuestas estn siempre sujetas a intereses econmicos. Sigues igual de perdido que al principio

La respuesta personal
Las dudas complicadas, esconden respuestas simples.
ADMINISTRACION

SOLUCION

FACTOR HUMANO

1. MIRALO POR TI MISMO.

COMUNICACION

DESARROLLO

2. DECIDE EN FUNCION DE TUS PUNTOS FUERTES.

3. HAZ UNION CON OTROS.

Eligiendo unas buenas gafas: Honeypots , IDS y Wireshark => Medios de conocimiento
Honeypot: Un honeypot es una trampa destinada a emular con distinto grado de interaccin un servicio, mquina o infraestructura de red.
Dionaea, Nephentes, Kippo, Kojoney, Deception Toolkit, Honeyd, Baja/Media interaccin: Muy tiles para detectar sin intromisin en la privacidad de la red. PIVOTING Universidad de Granada C.S.I.R.C

Alta interaccin: Mquinas reales o virtuales camufladas. Excepcionales para investigacin en profundidad.

IDS/IPS: Un sistema de deteccin de intrusos (IDS Intrusion Detection System) es un software empleado para la deteccin de patrones relacionados con la seguridad del trfico de red.
Snort, Sourcefire(+Snort +CISCO +hardware), Suricata (+GPU), Es muy amplia el rea de vigilancia. Siempre y cuando puedas hacer mirroring del trfico de la red Requiere acceso a la configuracin routers y administracin de una red razonablemente extensa.

Sniffers: Anlisis, del trafico de red.

Ethereal-Wireshark, P0f, Cuando sabemos que buscamos, al menos donde, es fundamental para destripar informacin a nivel de red y analizarla en profundidad.

Ejemplos reales con honeypot Herramienta Zetsu

Mi propia herramienta libre, Zetsu.
Dionaea+Kippo+ (Jutsus, funcionalidades extras). Ubuntu o Raspbian, sobre VirtualBox o Raspberry Pi.

Escenario: PENTESTING
Cuando miras al infierno, el infierno te devuelve la mirada. (Proverbio Galico)

1. Es muy probable que quin nos examina sea un zombi, que fue comprometido a travs de alguna vulnerabilidad, unas veces relacionada, otras no con el ataque que detectamos. 2. En otras ocasiones tan solo es la gateway de algn equipo comprometido de su entorno.

En ambos casos, tanto el hosts detectado como su entorno son buenos sujetos para entrenar destrezas en el anlisis de vulnerabilidades y su explotacin.

Laboratorio de Pentesting Casero PROXMOX + Kali Linux (antes Bactrack) + Nessus

FASE 1: FootPrinting-Local
3

traceroute whois nmap nslookup dig finger Google fuzzing de url

Qu haca un equipo de la red cientfica/tecnolgica china (Beijing) a la 15:34 pasando un diccionario a un servicio SSH en Espaa?

FASE 1: FootPrinting-Global
2 6

6
5

FASE 2: EXPLOTACION

Te escanean desde China, menos frecuentemente un pas en Africa o en Sudamrica. Pero el que entra a la primera en el intervalo de unas horas, es un pas miembro de la Unin Europea, Japn, Korea del Sur o EEUU

Escenario: Anlisis de Malware

1. Tenemos un intento de conexin a SAMBA. 2. Se inyect(ms04_007)/realizo(smb_GUEST) peticin de conexin y descarga/ejecucin remota, de una URL. 3. netapi involucrada SRVSRC func 31, 32.

4. Obtenemos el binario inyectado y su hash md5.

3 1. El enlace es seguro. ??
2. Se expone como un servicio http. 3. Parece que solo expone el contenido vrico a conexiones concretas. 4. EN EL PASADO, el enlace era a un .exe y desde navegador te lo puedes descargar mientras gritaba el antivirus.

Curiosidades sobre Conficker (Oct2008): -Explotacin simultanea de varios ZeroDay: MS04-007, MS06-040,MS08-067(Oct2008) (COMO STUXNET) -Conexin diaria a DNS pseudo aleatorios. (250 cada 3-2 horas, solo uno real, la semilla es la hora UTC) -Geolocalizacin, WindowsXP no usa ASLR, distribuye las funciones en memoria segn la distintas versiones e idiomas. Fundamental para hacer saber donde actuar el exploit de los ZeroDay. -Las actualizaciones estn firmadas mediante certificado. -P2P para C&C desde la versin D. (COMO ZEUS y CITADEL) -Proteccin contra reversing :Empaquetado UPX y continuas comprobaciones ReadTimeStampCounter. STUXNET, ZEUS-BOTNET, CONFICKER NO SON MALWARE, SON ARMAS DE CIBERGUERRA

DENTRO DE UNA SANDBOX!!! Desensamblado. Diagrama de flujo del programa con IDA. Anlisis de funciones que utiliza.

Ejemplo real con Sniffer Prueba de seleccin del Inteco

Cmo se ha comprometido el sistema?[15%]
El equipo se ha comprometido mediante descarga http de malware. En las siguientes preguntas se justifica esta afirmacin. Navegacin previa a la infeccin

www.google.es ssl.gstatic.com www.youtube.com heathawkheaters.com

Indique los hashes SHA256 y tipo de ficheros maliciosos encontrados en las conexiones.[15%]

Virustotal nos confirma que es un gusano

N Trama, Archivo, ip-oringen, dominio

1906, newbos3.exe, 109.87.207.34, http://kolasoeg.ru/newbos3.exe SHA256 a3929f0703a6d978654b48830035f54cda04d14f1fae594aa2c5861002f5f678

Pero as, por las buenas se descarg de una direccin por la que NO se est navegando previamente???

1. Entonces recurrimos a una visin ms global de las descargas.

-Salvo algunas imgenes y plugings que no hacen pitar el antivirus encontramos un .jar.

2. Previamente estaba visionando contenido multimedia con Shockwave.

Tpica pgina de actualice su pluging, que se nos cuela en la publicidad de los tube???

3.Este pas los test de Virustotal en aquel entonces , no as si al descomprimirlo. 4. Encontramos el mecanismo que posiblemente activ la descarga del .exe al navegador e inici la infeccin.

Describa el flujo de conexiones relevantes en el incidente, con todos los detalles de las mismas.[20%]
Se solicita lista de servidores C&C a EEUU ;) Requiere DNS, para que el que encuentre al que suministra la primera vez la informacin. ASI PUEDE CAMBIAR DE IP Y ES MAS DIFICIL NEUTRALIZAR.

Hay parmetro pasado mediante GET para identificarse. As la informacin comprometida solo se pasa al troyano y no a curiosos.

Este paso da conocimiento al virus de otros C&C secundarios y conecta directamente con ellos tambin mediante http. Por ejemplo.

Esta parte es la mas crptica, abra que analizar el malware para tener el 100% certeza

Una vez comprometido el sistema, segn las evidencias que tenemos, para qu se ha estado utilizando? Indique por favor todos los detalles: destinos de las conexiones con finalidad maliciosa; cules han tenido xito y cules no, en este caso indicando el porqu; aportando el mayor detalle posible del destino de los ataques.[35%]
1. Proceso de recoleccin de servidores de correo preguntando a servidores DNS registro MX

2. Unos no tienen xito en el envo de spam, estn en la blacklist del receptor.

3. Otros no tienen la cuenta solicitada. USA DICCIONARIO DE NOMBRES DE CUENTAS.

4. Otros tienen las cuentas destinatarias, pero estn desactivadas 5 Otros si tienen xito.

Fuentes Externas
Documental Amenaza ciberntica. http://www.youtube.com/watch?v=SANdw8DONsg Manual de desemsamblado de conficker. https://blog.fortinet.com/the-art-of-unpacking-conficker-worm/ Analyzing Maliciuos PDFs. http://resources.infosecinstitute.com/analyzing-malicious-pdf/ Honeypots en la securizacin de redes cientficas I http://www.flu-project.com/2013/11/honeypots-en-la-securizacion-de-redes_5895.html Proyecto final de carrera. http://es.scribd.com/doc/174841947/Memoria

Enlaces para descargar Herramienta Zetsu ya ensamblada. https://github.com/jlmacal/ZetsuHoneypot/blob/master/isos%26vm/enlaces%26instrucciones.txt