Search for in Google by Dino

Google Custom Search

sábado, 20 de junio de 2015

El BATCH que Asesino los Severs AIX IBM





Hola Amigos,  

Con un poco mas de tiempo el día de hoy y como relax de mis ajetreos. 


Me anime  a retomar el Blog, nuevamente con mis vicisitudes y uno de mis  Tales From de Crypt. 




Para ello les traigo la historia de como a partir de un script .BAT como punto de partida y vector de ataque, este se convierte en el Script asesino de un conjunto de Server IBM AIX que hacían parte de los objetivos de la auditoria de seguridad.





Entre los objetivos se establecía: 

“Encontrar fallos de seguridad en aplicaciones cliente/servidor programadas y en despliegue con cualquier tecnología y lenguaje de programación.”


El proceso se inicia comprometiendo una estación de trabajo y se procede a inhabilitar sus sistemas de contención, permitiendo así instalar hacktools.
Estación de Trabajo Cliente Comprometida

Se realiza exploración del ambiente y análisis de los aplicativos existentes, para entender su arquitectura y funcionamiento. Determinando que existen malas practicas de implementación en el despliegue del software. 



Cuando se inicia uno de sus aplicativos principales, hace uso de un script batch con la mala practica de quemar credenciales de autenticación en recursos compartidos de un usuario básico limitado que permite activar y mantener los servicios de impresión con los servidores Unix AIX IBM.


Recurso Compartido Unidad Y

Recurso Compartido Unidad Z
En el recurso de Red Z:\ (servidor aplicativo en producción) se encuentran archivos de configuración que permiten delinear la arquitectura del software:



REGEDITXXX

[HKEY_LOCAL_MACHINE\SOFTWARE\ORACLE\XXXXX] 

"XXXXXXXX_DATE_FORMAT"="DD-MM-YYYY" 

"XXXXXXXX_DATE_FORMAT"="DD-MM-YYYY HH24:MI:SS" 

"LANG" = "LATIN AMERICAN SPANISH_AMERICA.WE8ISO8859P1" 

"XXXXXXX_LANGUAGE" = "LATIN AMERICAN SPANISH" 
"XXXXXXX__TERRITORY" = "AMERICA" 
"SATDLLPATH"="Z:\\xxxxx\\Client\\xxxxxxxxxxx\\Dlls\\" 
"HOME_FORMS6I"="XXXXX" 

Haciendo uso de los archivos script y sus credenciales de autenticación se procede a hacer login en el servidor AIX IBM, y explorar revisando archivos del sistema, de errores, de configuración, de logs, históricos, etc.

Ingresando al Servidor Linux AIX IBM

Visualizando archivo de LOG


Visualizando ID y archivo PASSWD
Se visualiza y gestionan archivos críticos del sistema como el "/etc/passwd", facilitando al atacante aplicar técnicas de cracking password por fuerza bruta, por diccionario o Ingeniería social. De igual forma comprobamos que el usuario hace parte del grupo admin, lo cual permite ver directorios de los usuarios de la aplicación, archivos escondidos, archivos profile, archivos log que muestran la estructura de las tablas, el programador de tareas de Unix crontab, shell script de configuración de un servicio ftp y escalar privilegios con un exploit.

Proceso de Cracking de Password por Diccionario

Visualizando archivo historico .BASH_HISTORY

Visualizacion archivo del perfil .PROFILE

Posteriormente realizamos un análisis de la programación de tareas, para determinar información de operación critica del servidor y la aplicación:



/xxxxxxxxxxxx/users/xxxxxxx> cat crontab 

# Min Hour day_of_Month month weekday command 
# 30 10 * * 1-5 /oracle9/exports/xxxxxxxxxxxxxx.sh 
# 00 22 * * * /xxxxx/exports/xxxxxxxxxx.sh 
45 * * * * sh /xxxxxxxx/users/xxxxxxx/xxxxxxx/dataware/scripts/xxxxxxxxxxx.sh 
30 23 * * * sh /xxxx/users/xxxxx/xxxxxxx/dataware/scripts/xxxxxxxxxxx.sh\ 
# 30 01 * * 1,2,3,4,5 /xxxxxxx/exports/xxxxxx.sh 



De esta forma encontramos credenciales de un usuario AAAAAAA con su password AAAAAA, con rol y privilegios en el sistema mayor que el usuario XXXXXX con el que accedimos inicialmente, con relaciones de confianza y uso de las mismas credenciales en todos los servidores.


Se encuentra script con credenciales de nuevo usuario con un rol mayor y privilegios
Haciendo uso de estas nuevas credenciales de autenticación y de la relación de confianza entre los servidores, se procede a ingresar en cinco (5) servidores AIX IBM.




Ingreso a diversos Servidores AIX IBM

Indudablemente se llego mucho mas lejos, aprovechándome de otras fallas de seguridad en la Administración de estos Servidores, pero dejare esta parte de la historia para un nuevo articulo a partir de esta historia de terror.






Como puedes observar las malas practicas en las diversas capas de seguridad pueden causarnos un gran dolor de cabeza, puesto que por esta vez, la mala implementación para el despliegue del aplicativo por funcionalidad se obvio la seguridad, generando un alto riesgo en la materialización del riesgo y un gran impacto en la Organización.

Si te gusto solo:



Byte,



Dino.


No hay comentarios.: