"Hackeando a tus Alumnos" Cain&Abel+Firesheep!!

Cordial saludo,



A veces es necesario tomar medidas de hecho para meter en cintura a tus alumnos y evitar que se distraigan en otro tipo de asuntos usando sus  equipos de computo, moviles o portátiles.  Y se ubiquen en tu clase centrando su atención en lo importante de la clase. Aunque, la clase sea dinámica o activa no falta quien se interese mas en su red social o correo, y no en el mensaje que se esfuerza el docente por entregarle contribuyendo a su crecimiento personal y a sus competencias profesionales.

Eso me toco hacer, xD

Mis alumnos desarrollaban un taller de Plan de Negocios en la cátedra de "Formacion Investigativa y Empresarial" ( Emprendimiento) que debían entregar al finalizar la clase y requería de constante iteración con el docente (Osease YOp). Debido a que note que no todos se encontraban trabajando en el tema a desarrollar del taller y desviaban su atención con el uso de su correo, red social o mensajería sin darle la importancia que se le debía al ejercicio a elaborar.

Así fue, que decidí tomarme las medidas de hecho, y buscar un mecanismo que causara impacto y los forzara a dejar a un lado sus redes sociales y se centraran en el taller a elaborar.

Para tal fin, me puse el disfraz del Juaker de la Avena Quaker xDD

Apelando a mi paupérrimo conocimiento, decidí trazar una estrategia de ataque para capturar las cuentas de una forma rápida y efectiva en lo que quedaba de mi clase.

Lo que me conllevo a usar firesheep de la mano de mi gran amigo Cain&Abel para alcanzar el objetivo . Evitando así otras técnicas tediosas de SideJackin.

Instale rápidamente mi Firesheep y lo active, debido a que estaba conectado por la inalámbrica de la Institucion inicialmente no me capturo nada, y procedí a activar la función de sniffer de mi Cain&Abel.

Ah! pero que es Firesheep??, es un addons (extensión) o plugin para firefox  que permite capturas las cookies de sesión de un un usuario para realizar validacion con un solo Click, demostrando lo inseguro que son por internet (Session hijacking attacks)

Y Cain&ABel??, es una herramienta de recuperación de contraseña para sistemas operativos de Microsoft. Permite la recuperación fácil de diversos tipo de contraseñas por métodos de sniffing de la red (olfateo de red), craqueo de contraseñas cifradas utilizando ataques de diccionario, fuerza bruta y ataques de criptoanálisis, permite grabar conversaciones de VoIP, descodificar contraseñas, recuperar claves de la red inalámbrica, revelar contraseñas en Text Box, caché las contraseñas en Windows y el análisis de protocolos de enrutamiento.

Inmediatamente al cabo de unos segundos de activadas las herramientas, empezó la captura de sesiones por parte de firesheep

Capturando la sesión de un Directivo  :(

Posteriormente se capturo la sesión de un funcionario.

Como la intención era acelerar el proceso para ganar tiempo y alcanzar a realizarlo en el poco tiempo que quedaba de clase, decidí envenenar la tabla ARP (arp-poisong) e iniciar un ataque de MITM (Man In The Middle). Y ahora si empezaron a caer las sesiones de los alumnos...   :P

Y también de otros directivos :(

Como pueden ver lo delicado de esta situación, es la cantidad de información que manejan las personas en cuento a credenciales de validacion de cuentas, otras redes sociales, servicios de Internet e información personal e intima. 

Que con solo un click y una rápida exploración en su buzón un atacante puede encontrar y continuar con un delito informático como mínimo una extorsión. De igual forma el hecho de acceder a un correo electrónico como se esta mostrando ya se constituye un delito al violar el derecho a la intimidad y la LOPD (Ley de protección de datos o Habeas Data), razón por la cual se guarda la confidencialidad de los buzones.

Y que particularmente, se que de que aquellas personas de las cuales entre a sus buzones son personas de confianza y conocidas que no pasare a mayores, o problemas legales, mas cuando se dan a conocer los graves peligros a los que nos enfrentamos en Internet sin las mínimas debidas medidas de seguridad.

Tal vez, sirve de forma mediatica a remediar un problema de atención, al mostrar lo delicado de la vulnerabilidad, generando un impacto en los estudiantes al saber que sus credenciales puedan ser capturadas pero no son las medidas adecuadas.

Por ultimo algunas anotaciones del proceso.

• Supuestamente al iniciar la sesión en hotmail este te obliga a realizarla por https, mas sin embargo el trabajo de firesheep se cumplió :(

• Solo activando el sniffer, se inicio el proceso de captura de sesiones por parte de Firesheep, pero su proceso se acelero, cuando decidí conectar patch cord (cable de Red) a mi portátil e iniciar un MITM.

• Efectivamente funciona con solo activar el sniffer o el arp poisong en inalámbricas con ciframiento WEP, WPA, WPA2.

• Se capturan rápidamente las cuentas de Windows Live con solo escoger la interface "Microsoft" de Firesheep con tu tarjete inhalambrica.

• Con algunas redes sociales, se deben de cambiar algunas opciones o adicionarlas en Firesheep

• Lo que no puedas hacer con Firesheep, lo puedes resolver con Cain& Abel y otras técnicas de SideJacking ya conocidas.

• Un mecanismo de un Solo click para captura rápida de credenciales.

• Las sesiones no son cerradas automaticamente en el caso de Windows Live, es decir se puede seguir ingresando a las cuentas una vez estos ya hallan apagado su computador. Por cuanto tiempo??, aun no lo se,  puesto que tenia que cerrar la sala de clases :(

Contramedidas disponibles:

1. BlackSheep combate Firesheep mediante el monitoreo de tráfico, alerta a los usuarios si Firesheep está utilizando la red. BlackSheep coloca para ello información en una falsa sesión con un falso ID en el cable  y  supervisa el tráfico para ver si ha sido hijackeada.
2. Realizar conexiones SSL con los servicios a los que nos conectamos, esto se puede hacer automaticamente en Firefox instalando la extensión ForceTLS y en Chrome con la extension KB SSL Enforcer
3.  Usar https para todos los servicios(aunque aun tengo la duda con Windows Live ) :(
4. Como siempre un buen Kit de Seguridad a nivel de Local Host (HIDS,Antivirus, AntiSpam, etc).
5. Herramientas anti-sniffing
6. Consultas de las tablas de ARP
7. Uso de conexiones seguras (VPN)
8. Limpiar datos privados al salir del Navegador
9. Herramientas de limpieza de software

Así que Ya Sabes, cuida tus credenciales, nunca sabremos cuando podemos ser victimas de un intruso indeseado........



Bytes


Dino

HACIENDO DE UNA HORA DE OCIO, UNA HORA PRODUCTIVA!!!

Saludos Amig@s,

Antes de iniciar mi labor de revisión de un sitio Web con graves problemas de seguridad, me tomare unos segundos para contarte como puedes hacer de "Una Hora de Ocio, Una hora Productiva".  :P

Mejor dicho, te voy a contar como lo hice YO....

Aprovechando que no tuve clases, me dirigí a recoger a la Patrona, PaTiCo (Pantera, Tigre y Cocodrilo) xD

No mentiras xDDD......

A mi amada esposa a su lugar de trabajo, ya que tiene una Tienda Natural. Esta se encuentra ubicada dentro de uno de los Supermercados o Supertiendas de mi Ciudad y mientras me daba a la espera, decidí no dormir en mi carro, si no revisar algo de trabajo, para tal fin saque mi portátil, y con el animo de encontrar una Red de Internet, me decidí a buscar redes disponibles o que pudiera realizar un cracking de Wirelles.

Inicie un sonde de Redes disponibles:

Buscando mayor información disponible, hice uso de mi Kismet.

 

 

Aunque no encontré un ESSID con ciframiento WEP que me facilitara la labor, decidí de todas formas lanzar un ataque automático:

El cual me indico que mi tarjeta no estaba lista, en modo monitor, si no sabes que es te cito a Wikipedia:

Cita:

El modo monitor, o RFMON (Radio Frecuencia) Supervisar modo, permite que un ordenador con una tarjeta de interfaz de red inalámbrica (NIC) para vigilar todo el tráfico recibido de la red inalámbrica. A diferencia de modo promiscuo , lo que también se utiliza para la detección de paquetes , el modo monitor permite que los paquetes a capturar sin tener que asociarse con un punto de acceso o red ad-hoc, en primer lugar. El modo monitor sólo se aplica a redes inalámbricas, mientras que el modo promiscuo se puede utilizar tanto en redes cableadas e inalámbricas. El modo monitor es uno de los seis modos que 802,11 tarjetas inalámbricas pueden operar en: Maestro (que actúa como un punto de acceso), administrado (cliente, también conocida como la estación), Ad-hoc, Mesh, Repetidor y modo de monitor.

Así que puse mi tarjeta en modo monitor, haciendo uso de la Suite de Aircrack de mi BackTrack

.

Use nuevamente wesside-ng en busca de lograr una asociación positiva.

Iniciamos airodump-ng para la captura de paquetes 802.11 y acumulacion de IVs (Vectores de Inicializacion).

 

 

OH!! Logrando la asociación con uno de los AP (Acces Point) decidí cambiar mi MAC por una de las estaciones que encontré asociadas, buscando pasar los Acls por MAC y hacer algo de anonimato.

Realizando la asociación nuevamente,

 

Efectivamente la asociación con ese AP me permitio la conexion en una de las Wirelles.

Habiendo logrado una IP, me restaba evaluar los controles de conexion que hubiesen, o si contaba ya con navegacion.

Como pueden observar no contaba con la navegacion aun, así que decidí realizar el sondeo de la Red y los requerimientos necesarios para lograr navegacion.

Busque cuantos equipos tenia disponibles en la Red (Live / Vivos). Al parecer estaban protegidos para Ping Sweep. 

Y alternativas de Enumeración y Sondeo de Red.

 

 

Haciendo uso de P0f, Smb4k, AutoScan.

 

Llego la hora de usar el grandioso nmap nuevamente, para lograr el Fingerprint de los equipos.

En la cual me indico los servicios disponibles, entre ellos un Squid en el puerto 3128. Procedí a configurar en mi navegador y me encontré con el  Web Content de ARUBA de la Organizacion.

Evalué rápidamente la Web Content.

Ya logrando la conexion de Red, y sabiendo a que me enfrentaba, decidí buscar algún mecanismo que me permitiera lograr credenciales de autenticación validas en el Proxy, así inicie mi ettercap para realizar un ARP Poisong y tratar de lograr mi objetivo.

 

 

 

 

 Aunque hasta ahí llegue, y no contaba con mas tiempo debido a que la Patrona ya estaba lista para regresar al anhelado hogar para descansar en sus aposentos, no logre capturar credenciales, ni tiempo para realizar otras técnicas como ataques por diccionario o fuerza bruta o cualquier otra cosa que se me ocurriera. O simplemente aplicar a mecanismos contra las WPA, o WPA2.

Más sin embargo si logre mucha información importante de la plataforma DHCP, DNS, Gateway (GW), SubNet, Ip de equipos solicitando conexion de red, Direcciones MAC.

Pero bueno así es la vida, al menos me divertí un rato.........

Ya vez que si se puede hacer del tiempo algo productivo. 

"La pereza es la madre de todos los vicios"

Bytes

Dino

Tomando el control de las estaciones de trabajo con un Script de Inicio

Cordial saludo a todos los lectores,


Bueno de nuevo aquí, contándoles mis Tales From the Crypt   xD


Recuerda este Articulo:
"Single Sign-On causa un Efecto Domino en Forest de Windows!!! "

Si no lo ha leído, lo invito a hacerlo por que es el punto de partida de esta historia.............


Asumiendo que ya lo hizo, continuo entonces..................


Teniendo control total de todos los Servidores del Forest de Windows, debido a las malas practicas y brechas de seguridad alcanzadas. Me pregunte a mi mismo, MI MISMO  por que te vas conformar con esto???, si tienes el PODER INFORMÁTICO DE DIOS EN TUS MANOS !!!  :p


Que tal si ahora aprovechamos otro vector de ataque!. 

Para tal fin diseñe la estrategia adecuada, de acuerdo a mis posibilidades y escaso conocimiento, de como hacerme dueño de las estaciones de trabajo, en donde sabia que encontraría una gran cantidad de información valiosa de la Organizacion y demostrar que no solo un atacante lograría Fuga de Información Sensible, si no que a su vez podría ser dueño, amo y señor de las mismas.


Usando la cuenta con privilegios (lograda en  Single Sign-On causa un Efecto Domino en Forest de Windows!!!) , me loguee en el Domain Mater Control del Forest, realizando una exploración en el sistema, me di cuenta que al tener acceso al SYSVOL y a la carpeta del Netlogon, tenia permisos de escritura y podía crear o modificar cualquier archivo!!!


Ah!! pero antes de continuar  voy a explicar que es el SYSVOL y el Netlogon:


Cito

The System Volume (Sysvol) is a shared directory that stores the server copy of the domain's public files that must be shared for common access and replication throughout a domain. The Sysvol folder on a domain controller contains the following items:


* Net Logon shares. These typically host logon scripts and policy objects for network client computers.
* User logon scripts for domains where the administrator uses Active Directory Users and Computers.
* Windows Group Policy.
* File replication service (FRS) staging folder and files that must be available and synchronized between domain controllers.
* File system junctions.


File system junctions are used extensively in the Sysvol structure and are a feature of NTFS file system 3.0. You must be aware of the existence of junction points and how they operate so that you can avoid data loss or corruption that may occur if you modify the Sysvol structure.

Ahora con Plastilina como me gusta a mi :P


El SYSVOL es un directorio (carpeta compartida) que almacena una copia de archivos que deben ser publicos en el Dominio, para mecanismos de acceso y son replicados por el File Replication service (FRS). 


Y contiene carpetas como:

• Netlogon: Carpeta que contiene scripts de inicio de sesión de host y objetos de directiva para los equipos cliente de red.

• Scripts de Inicio:  Que el Administrador usa para secuencias de comandos cada vez que un usuario inicia una sesion en una estacion de trabajo registrada en el Dominio.

• Directivas de grupo de Windows.

• Servicio de Replicacion de Archivos(FRS). Carpetas y archivos que deben
• estar disponible y sincronizados entre los controladores de dominio.

• Uniones del Sistema de Archivos. Son una característica del sistema de archivos NTFS 3.0.  Debe conocer la existencia de puntos de unión y cómo funcionan por lo que puede evitar la pérdida de datos o daños que pueden producirse si modifica la estructura de SYSVOL.

El diagrama siguiente es un ejemplo de una estructura de SYSVOL típica para un controlador de dominio basado en Windows 2000:

Ya que se entiende la importancia de estos elementos, paso a contar como me aproveche de ellos.

La cuenta usuario, clave, nombres de estacion e Ips son mascaras de las reales para efectos de este Articulo y su realidad.

Se logra acceso al Controlador de Dominio Maestro (XXXXXX001 – 192.1xx.1x.x.1) por medio de la cuenta “usuario” y el password “clave”,  la cual posee permisos de escritura sobre la carpeta Netlogon del Servidor  y se procede a incluir una Shell inversa haciendo uso de la herramienta multiuso Netcat, la cual nos permite tener prompt o consola de comandos en cada estación de trabajo de los usuarios que al conectarse y validarse en el Dominio XXXXXXX001 ejecutan el script “inicioxxxx” en su inicio de sesión, como se muestra en la figura:

Debido a que tiene permisos de escritura en la carpeta. 

Esta puede ser modificada para insertar codigo malicioso o Malware

Los scripts son modificados para injectar un Shell  en el puerto 8080. Esto afectara cada autenticacion que se realice en este servidor, debido a que es el servidor de autenticacion, todos los equipos en la plataforma informatica seran afectados descargando la Shell  y le daran paso al atacante para comprometer las estaciones de trabajo.

Todo lo que hice fue dejar la estacion de trabajo que me facilitaron conectado con un Netcat en Inversa, y al dia siguiente cuando retorne para continuar mi labor, me encontre con 20 pantallas abiertas de la Shell en Inversa. Entre ellas la del presidente de la compañia. Es ahi cuando digo que este tipo de evidencias son las que pagan el Proyecto, y otras estaciones criticas .

Estacion_02 del Dominio, con la shell en funcionamiento, se tiene posesion de la estacion de trabajo a nivel de consola

Estacion_07 del Dominio, con la shell en funcionamiento, se tiene posesion de la estacion de trabajo a nivel de consola.

Estacion_07 del Dominio, con la shell en funcionamiento, se tiene posesion de la estacion de trabajo a nivel de consola. Carpeta de Mis Documentos.

Equipo XXXXXR07 Comprometido con Shell Inversa NetCat, usuario "usuario2" Informacion de Mails Enviados en el año 2010

 

Estacion_04 del Dominio, con la shell en funcionamiento, se tiene posesion de la estacion de trabajo a nivel de consola

Equipo XXXXX34(192.1xx.1xx.1xx) Comprometido con Shell Inversa NetCat

 Equipo XXXXX02(19x.1xx.1xx.1xx) Comprometido con Shell Inversa NetCat

 Mis Documentos información sensible

Estacion_03 del Dominio, con la shell en funcionamiento, se tiene posesion de la estacion de trabajo a nivel de consola. Se realiza fuga de informacion por unidad de red creada y compartida X:

Carpeta Mis Documentos información sensible

Información sensible Sistema MUISCA.

información sensible como el certificado xxxxx.epf para firmar documentos de la administracion de Impuestos (DIAN)

Estacion del Presidente de la Organizacion registrada en el Dominio, con la shell en funcionamiento, se tiene posesion de la estacion de trabajo a nivel de consola. Se realiza fuga de informacion por unidad de red creada y compartida X:/”

Equipo XXXXXC54 (192.1xx.1xx.1xx) Comprometido con Shell Inversa NetCat

 Equipo XXXXXE01 (19x.1xx.1xx.x5) Comprometido con Shell Inversa NetCat

Equipo XXXXE10 (19x.1xx.1xx.x1) Comprometido con Shell Inversa NetCat

Asi termina este evento de seguridad, en donde no se toman las medidas de seguridad correspondientes para no tener el acceso a este recurso compartido tan vital e importante para el Controlador de Dominio Maestro.

Nuevamente gracias a 4v4t4r y a Sec-track por  darme la oportunidad de escribir en su grandioso sitio.

Bytes

Dino

PD: Publicado tambien en Sec-track