Client Side Attack - Registry Windows

Hola Amig@s,

Hoy deseo compartirles el proceso de intrusion, tomando como vector de ataque client side attack (ataque del lado del cliente) y definiendo como estrategia de ataque la información almacenada en una estación de trabajo de computo de un usuario.

Por medio de la cual una vez se compromete el equipo de trabajo de un usuario, se procede a la extracción de información almacenada por default en el equipo, o malas practicas en el aseguramiento de las estaciones de los usuarios.

Si no se realiza los respectivos protocolo de aseguramiento técnico y aplicación de políticas a nivel de LocalHost, tales como eliminar las claves que almacenan password  protect o credenciales con cifrado débil de algunas aplicaciones, que son almacenadas por el sistema windows. 

A esto se suman las malas practicas de los procesos de soporte que realizan los usuarios administradores que prestan su servicio de soporte autenticándose en los equipos de los usuarios con credenciales de Master Administrator o System, de forma negligente o con el desconocimiento que estos están quedando grabados en la estación de trabajo del usuario y una persona con conocimiento o investigación suficiente lograra recuperarlos dando acceso a los servidores de la Organización logrando el OWNED o santo grial esperado por el delincuente informático alcanzando sus objetivos de fuga de información o alcanzar el objetivo por lo que le han pagado.

Es así, como una vez se logra acceso a la estación de trabajo por fallas técnicas, de procesos o personas, un atacante procede a determinar el rol, perfil e importancia de la estación de trabajo del usuario, su información y contenido en relación de importancia como activo tecnológico en la Organización.

 Es así, como inicia sus técnicas de intrusion:

IDENTIFICACION DEL EQUIPO COMPROMETIDO

EL ATACANTE GENERA UN PUNTO DE RESTAURACION PARA DEVOLVERLO UNA VEZ CUMPLA SU COMETIDO

El atacante deshabilita las medidas de contención e  instala hacktools en el equipo comprometido con la finalidad de extraer información y ampliar su espectro de ataque.

Datos Rol en IE y System de Servidor Windows

Datos Rol Domain Master Forest Windows

Con la información lograda de credenciales de autenticación, ingresa a los activos tecnológicos que ha determinado como su objetivo militar, es así como ingresa por conexión a escritorio remoto desde su maquina atacante al Servidor Windows, una vez se ha determinado que este se encuentra en tiempo ocioso.

Crea un usuario fake "backup" y asigna rol de Administrador del Dominio.

Explorando recursos compartidos en la Red.

Explorando Administre su Servidor.

Explorando El plugin el Directorio Activo.

Realiza exploración en el sistema en busca de información valiosa para la Organización.

Encuentra información de Script SQL que le permiten ampliar su espectro y cobertura de ataque.

Que tanto crees que un delincuente informático estructurado y con conocimiento puede hacer con el control de una estación de trabajo operativa en tu Red.???

Como lo viste.

Lo has tenido en cuenta en tu esquema de defensa en profundidad??

Good Luck!

Byte


Dino

The World Wide What?

Píldora formativa 27: ¿Qué es mejor, la criptografía simétrica o la asim...

GS00 Morning Keynote Jack Daniel BP06 B-Sides Cleveland

BP06 Call of Duty Crypto Ransomware Brett Hawkins hawkbluedevil

¿Sabes qué es una botnet y cómo combatirla?

¿Sabes qué es un Exploit y cómo protegerte de ellos?

Conoce qué es el ransomware y cómo puedes protegerte

El BATCH que Asesino los Severs AIX IBM

Hola Amigos,  

Con un poco mas de tiempo el día de hoy y como relax de mis ajetreos. 

Me anime  a retomar el Blog, nuevamente con mis vicisitudes y uno de mis  Tales From de Crypt. 

Para ello les traigo la historia de como a partir de un script .BAT como punto de partida y vector de ataque, este se convierte en el Script asesino de un conjunto de Server IBM AIX que hacían parte de los objetivos de la auditoria de seguridad.

Entre los objetivos se establecía: 

“Encontrar fallos de seguridad en aplicaciones cliente/servidor programadas y en despliegue con cualquier tecnología y lenguaje de programación.”

El proceso se inicia comprometiendo una estación de trabajo y se procede a inhabilitar sus sistemas de contención, permitiendo así instalar hacktools.

Estación de Trabajo Cliente Comprometida

Se realiza exploración del ambiente y análisis de los aplicativos existentes, para entender su arquitectura y funcionamiento. Determinando que existen malas practicas de implementación en el despliegue del software. 

Cuando se inicia uno de sus aplicativos principales, hace uso de un script batch con la mala practica de quemar credenciales de autenticación en recursos compartidos de un usuario básico limitado que permite activar y mantener los servicios de impresión con los servidores Unix AIX IBM.

Recurso Compartido Unidad Y

Recurso Compartido Unidad Z

En el recurso de Red Z:\ (servidor aplicativo en producción) se encuentran archivos de configuración que permiten delinear la arquitectura del software:

REGEDITXXX

[HKEY_LOCAL_MACHINE\SOFTWARE\ORACLE\XXXXX] 

"XXXXXXXX_DATE_FORMAT"="DD-MM-YYYY" 

"XXXXXXXX_DATE_FORMAT"="DD-MM-YYYY HH24:MI:SS" 

"LANG" = "LATIN AMERICAN SPANISH_AMERICA.WE8ISO8859P1" 

"XXXXXXX_LANGUAGE" = "LATIN AMERICAN SPANISH" 

"XXXXXXX__TERRITORY" = "AMERICA" 

"SATDLLPATH"="Z:\\xxxxx\\Client\\xxxxxxxxxxx\\Dlls\\" 

"HOME_FORMS6I"="XXXXX" 

Haciendo uso de los archivos script y sus credenciales de autenticación se procede a hacer login en el servidor AIX IBM, y explorar revisando archivos del sistema, de errores, de configuración, de logs, históricos, etc.

Ingresando al Servidor Linux AIX IBM

Visualizando archivo de LOG

Visualizando ID y archivo PASSWD

Se visualiza y gestionan archivos críticos del sistema como el "/etc/passwd", facilitando al atacante aplicar técnicas de cracking password por fuerza bruta, por diccionario o Ingeniería social. De igual forma comprobamos que el usuario hace parte del grupo admin, lo cual permite ver directorios de los usuarios de la aplicación, archivos escondidos, archivos profile, archivos log que muestran la estructura de las tablas, el programador de tareas de Unix crontab, shell script de configuración de un servicio ftp y escalar privilegios con un exploit.

Proceso de Cracking de Password por Diccionario

Visualizando archivo historico .BASH_HISTORY

Visualizacion archivo del perfil .PROFILE

Posteriormente realizamos un análisis de la programación de tareas, para determinar información de operación critica del servidor y la aplicación:

/xxxxxxxxxxxx/users/xxxxxxx> cat crontab 

# Min Hour day_of_Month month weekday command 

# 30 10 * * 1-5 /oracle9/exports/xxxxxxxxxxxxxx.sh 

# 00 22 * * * /xxxxx/exports/xxxxxxxxxx.sh 

45 * * * * sh /xxxxxxxx/users/xxxxxxx/xxxxxxx/dataware/scripts/xxxxxxxxxxx.sh 

30 23 * * * sh /xxxx/users/xxxxx/xxxxxxx/dataware/scripts/xxxxxxxxxxx.sh\ 

# 30 01 * * 1,2,3,4,5 /xxxxxxx/exports/xxxxxx.sh 

De esta forma encontramos credenciales de un usuario AAAAAAA con su password AAAAAA, con rol y privilegios en el sistema mayor que el usuario XXXXXX con el que accedimos inicialmente, con relaciones de confianza y uso de las mismas credenciales en todos los servidores.

Se encuentra script con credenciales de nuevo usuario con un rol mayor y privilegios

Haciendo uso de estas nuevas credenciales de autenticación y de la relación de confianza entre los servidores, se procede a ingresar en cinco (5) servidores AIX IBM.

Ingreso a diversos Servidores AIX IBM

Indudablemente se llego mucho mas lejos, aprovechándome de otras fallas de seguridad en la Administración de estos Servidores, pero dejare esta parte de la historia para un nuevo articulo a partir de esta historia de terror.

Como puedes observar las malas practicas en las diversas capas de seguridad pueden causarnos un gran dolor de cabeza, puesto que por esta vez, la mala implementación para el despliegue del aplicativo por funcionalidad se obvio la seguridad, generando un alto riesgo en la materialización del riesgo y un gran impacto en la Organización.

Si te gusto solo:

Byte,



Dino.

SEGURIDAD EN REDES

Seguridad redes u_libre_sesion_1 from Jhon Jairo Hernandez

podcast Hablando con dino - El rincon del hacking etico Poderato.com/camilo2706

podcast Hablando con dino - El rincon del hacking etico Poderato.com/camilo2706

"COMO LOS DELINCUENTES PUEDEN ROBAR SU PRIVACIDAD??? / HACKING EN VIVO"

Encuentro Regional de Estudiantes de Tecnología en Sistemas de Información Universidad del Valle 2015

10 estafas de moda en las que usted podría caer

NO TE INFECTES CON UN PROGRAMA MALIGNO TIPO RANSOMWARE

Debilidades / Vulnerabilidades Protocolos de Red

Debilidades vulnerabilidades protocolos_charla_spectra from Jhon Jairo Hernandez

Version 2015 UNIVALLE - DIPLOMADO EN SEGURIDAD INFORMATICA

Cordial Saludo,

Deseo extenderle la invitación a la oferta del Diplomado en Seguridad Informática de la  UNIVERSIDAD DEL VALLE  (Sede Yumbo):

Desarrollando una Cultura en Seguridad Informacion

Desarrollando una Cultura Seguridad Informacion from Jhon Jairo Hernandez - Dino on Vimeo.

CUIDA QUE TU INFORMACION NO SEA SECUESTRADA

cuida-que-tu-informacion-no-sea-secuestrada from Jhon Jairo Hernandez - Dino on Vimeo.

Charla Gratuita "COMO LOS DELINCUENTES PUEDEN ROBAR SU PRIVACIDAD??? / HACKING EN VIVO"

Saludos, 

Deseo extenderle la invitación a la charla gratuita que se realizara en la UNIVERSIDAD DEL VALLE - Sede Yumbo, denominada: 

"COMO LOS DELINCUENTES PUEDEN ROBAR SU PRIVACIDAD??? / HACKING EN VIVO"

Proteger la información de su empresa es importante para mantener las buenas prácticas y fomentar su desarrollo, permitiendo garantizar la disponibilidad, confidencialidad e integridad de la información de la organización. Partiendo por la premisa de que la preocupación por la Seguridad Informática de las personas y las empresas es algo perceptible y medible, se hace necesario comprender los diversos factores que pueden comprometer la privacidad en Internet. Del mismo modo, es fundamental conocer qué tecnologías permiten mitigar el impacto de esta problemática.

Dentro del Área de Extensión y Educación Continua de la Universidad del Valle Sede Yumbo, nos permitimos hacer extensiva la invitación  a una charla completamente gratuita sobre HACKING EN VIVO, el día viernes 8 de mayo de 2015 a las 5:00 pm en las instalaciones de la Universidad del Valle Sede Yumbo.

Panelista: Jhon Jairo Hernández – Administrador de Empresas – Analista en Seguridad Informática e Investigador en Informática Forense – Docente en Pregrado, Diplomados y Especializaciones de Seguridad Informática en Universidad del Valle, Universidad Autónoma, Universidad Cooperativa, Universidad Libre y Universidad del Pacífico.

Mas informacion: 

Los esperamos no falten.

Fat analisis

Seguridad en profundida / Security in Depth

Aprender a combatirlos es historia, llego la hora de convertirse en un "Hacker Ético"

Cordial saludo,

El día de hoy les extiendo la invitación que oferta la Dirección de Extensión para participar en el Curso de Extensión temática "ETHICAL HACKING" de la Facultad de Ingeniería de la Universidad Autónoma de Occidente - Cali UAO:

Para mayor información:

PBX: (2) 318 8000 Exts: 14113, 14112, 14151
Email: extension@uao.edu.co
www.uao.edu.co

No te lo puedes perder,


Byte


Dino

CARBANAK APT THE GREAT BANK ROBBERY - steals up to $1 billion from banks / CARBANAK APT EL GRAN ROBO DE BANCOS - Robaron hasta un $1 billo de los Bancos BY Dino

Una banda de ciberdelincuentes bautizado  "Carbanak" por  la empresa de seguridad Kaspersky Lab tomando como  base el malware detectado como elemento principal de su modus operandi y que ha operado contra entidades financieras en Rusia, Estados Unidos, Alemania, China, Ucrania, Canadá, Hong-Kong, Taiwán, Rumania, Francia, España, Noruega, India, Reino Unido, Polonia, Pakistán, Nepal, Marruecos, Islandia, Irlanda, República Checa, Suiza, Brasil, Bulgaria, y Australia.

Karspersky, asegura que en los dos últimos años, la banda de ciberdelincuentes de origen ruso, chino y ucraniano, se ha apoderado de entre 300 y 1.000 millones de dólares en un centenar de bancos y empresas financieras de todo el mundo.

El descubrimiento se inició a partir de un cajero automático de Kiev (Ucrania) desde finales de 2013  que empezó a dispensar billetes de forma aleatoria a cualquier hora del día. Las cámaras de seguridad instaladas ante el cajero evidenciaron el problema.  Operacion que mostro la activacion sin una tarjeta magnética. Kaspersky Lab fue llamado y se apresuró a Ucrania para comenzar su larga investigación que dio lugar al informe recién publicado.

El banco ucraniano afectado pidió a Kaspersky que hiciera una investigación. Lo que encontró es que el problema del cajero era un problema menor. Los ordenadores del banco están infectados con un software malicioso (malware) que grababa todos los movimientos de las pantallas de los empleados del banco. De forma remota, los ciberdelincuentes, entre los que se incluyen rusos, chinos y europeos, recibían información precisa en vídeo sobre los procedimientos del banco al hacer transferencias y disponían de las claves para operar a su antojo.

Kaspersky Lab, la INTERPOL, Europol y autoridades de diferentes países unieron fuerzas en precisar los responsables de este jugoso robo cibernético: hasta mil millones de dólares americanos fueron robados durante dos años a instituciones financieras en todo el mundo. En un caso, un banco perdió 7,3 millones dólares a través de fraude en cajeros automáticos. En otro caso, una institución financiera perdió $ 10 millones para los atacantes que explotan su plataforma de banca online.

El cybergang Carbanak, así llamado por el malware que creó, envió correos electrónicos a los empleados de 100 bancos, incluidos los bancos en los EE.UU. Al hacer clic en el correo electrónico se descargaba código malicioso que se disemino a través de las computadoras administrativas de los bancos hasta enlazar con la transferencia de dinero en efectivo, saldo contable o remoto de sistemas de activación  ATM. Las transferencias de dinero se hicieron  de hasta 10 millones de dólares a la vez y enviados a cuentas ficticias o de cajeros automáticos activados remotamente en donde los cómplices recuperaban el dinero que aparentemente era arrojado al azar de los cajeros automáticos que funcionaban mal.

Los resultados iniciales son que 100 bancos e instituciones financieras de Rusia, Estados Unidos, Japón, Suiza, Holanda y otras 25 naciones fueron los más afectados de este millonario robo. Se sabe que las cuentas ficticias se establecieron en los Estados Unidos y China.

Aunque ningún banco ha comentado o confirmado, parece JP Morgan y el Banco Agrícola de China eran los lugares de estas cuentas ficticias. El control de los equipos internos de los bancos se realizaba a través de un RAT (herramienta de acceso remoto), los ciberdelincuentes imitaban las operaciones de los administradores, cuyas rutinas había sido capturado por el keylloger de malware Carbanak.

Al conocer esta noticia se me genero un Deja-vu con la presentación que realice sobre ataques “SEGURIDAD LÓGICA Y ATAQUES RECIENTES EN ATM'S” en la cual demostraba las variadas técnicas de robos electrónicos por ciberdelincuentes e involucraba un caso forense del mencionado JP Morgan u otros bancos Europeos y los cobros de la banda criminal tenían como finalidad cuentas en Malasya-Singapur.

Byte

Dino.

Si deseas analizar el reporte de KasperskyLab : http://goo.gl/2gBTQN

Si deseas analizar la presentación:

“SEGURIDAD LÓGICA Y ATAQUES RECIENTES EN ATM'S" : http://goo.gl/lnqXpO

Síntesis (Resumen) preparada para el Boletín de TechnologyINT

Fuente de Datos de esta Síntesis (Resumen):

http://www.digitaljournal.com/technology/malware-cyberthefts-confirmed-at-300-million-and-counting/article/426247#ixzz3RyHbqCv2

http://www.cioal.com/2015/02/16/carbanak-roba-mil-millones-de-dolares-de-100-instituciones-financieras/

http://www.lr21.com.uy/tecnologia/1216759-hackers-roban-1000-millones-dolares-internet

http://www.securityweek.com/hackers-hit-100-banks-unprecedented-1-billion-cyber-attack-kaspersky-lab

FUNDAMENTOS DE SEGURIDAD INFORMATICA

FundamentosSeguridad informática from Jhon Jairo Hernandez

HISTORIA DE LA SEGURIDAD INFORMATICA

Historia Seguridad informatica from Jhon Jairo Hernandez

QUE ES UN PLAN DIRECTOR DE SEGURIDAD??

Plan director seguridad from Jhon Jairo Hernandez

Píldora formativa 18: ¿Cómo se ataca la cifra por sustitución monoalfabé...

Píldora formativa 16: ¿Qué es la cifra del César?

Elaboración de fibra óptica

INFORMACIÓN IMPORTANTE MALWARE VIRUS QUE CIFRA LA INFORMACIÓN (ctb-locker-ransomware)

Cordial Saludo,

NO TODOS SOMOS INFORMÁTICOS, ENTENDEMOS Y COMPRENDEMOS LA CRITICIDAD E IMPORTANCIA DE ESTE SUCESO, Y CREO QUE REALIZANDO UNA CAMPAÑA MASIVA DE COMUNICACIÓN SE PUEDE MITIGAR O CONCIENCIAR A LAS PERSONAS DEL DAÑO AL QUE PUEDEN ESTAR EXPUESTOS CON ESTE TIPO DE MALWARE CTB-LOCKER-RANSOMWARE

Esta información no pretende ser técnica (como de costumbre en este Blog), tampoco conduce a realizar un proceso de investigación (análisis de malware, reversing, forense, etc.) de hecho en la actualidad existe buena información de referencia aunque no nos conduzca a eliminar el riesgo.

Es mas orientado a concienciar a un publico en general, con la finalidad de que estén informados de esta nueva y critica amenaza de Internet el malware ctb-locker-ransomware (programa maligno) que esta cifrando la información y tu puedes ser su proxima victima!!!, viene embebido en un archivo de extensión ZIP y extrae un archivo SCR y EXE e infecta los equipos buscando todos los archivos y cifrandolos (no los puedes recuperar) para posteriormente solicitar un rescate, pago para la llave de descifrado.

La finalidad de este comunicado es darte a conocer este nuevo mal de Internet y estés atento como mínimo a estas recomendaciones para mitigarlo:

1. Actualizar un respaldo de la información de cada uno de tus equipos (Backup)
2. Realizar un respaldo de Restaurar sistema o de Shadow Copy
3. Hay información que viene dirigida supuesta mene de la Dian.gov.co (tener mucha precausion, máxime si no tienes relación o realices trabajo de la Dian)
4. No abrir información de gente desconocida mas si vienen archivos adjuntos (INTUICIÓN)
5. Mantener actualizados los antivirus y medidas de protección actuales

Desconfiar de información que les llegue y no tenga sentido (Ej: información de una cuenta de banco que no se tiene)

Si tienes inconvenientes te envió esta información de Referencia, si desconfías de estos link solo revisalos en la siguiente Web que te indico en Linea (permite revisar archivos y links con mas de 50 motores de búsqueda):

https://www.virustotal.com/es/

Información de referencia:

• http://www.malwarerid.com/news/ransomware-cbt-locker-ou-como-desencriptar-ficheiros-encriptados
• http://www.welivesecurity.com/la-es/2015/01/20/ctb-locker-ransomware-ataca-nuevo/
• http://seguinfo.blogspot.com/2015/01/guia-sobre-ctb-locker-i.html
• http://www.bleepingcomputer.com/virus-removal/ctb-locker-ransomware-information

Si tienes alguna inquietud, por favor no dudes en comunicármela. CUÍDATE!!!!

Good Luck!

Byte

World War III: Ciberguerra en el siglo XXI

ALGORITHM: The Hacker Movie

Aniversario de Aaron Swartz - The Internet's Own Boy: The Story of Aaron Swartz (CC available)