Weblog de JaCkSecurity

A aquellos clientes y amigos nuestros que algunas vez preguntaron por un script de carga rutinaria de tcpdump basado en la fecha del sistema, he aquí el aporte:

#!/bin/bash
#Made in JaCkSecurity
kill -9 `ps -ef | grep “[t]cpdump” | awk ‘{print $2}’` 2>/dev/null
tcpdump -i3 -n -w “log-`date “+%Y%m%d%H%M.%S”`” 2>/dev/null &

Observaciones:
- -i3, es la interfase de captura (esta varía según su sistema)
- El snaplen de tcpdump es por defecto pequeño, no cubre mucha data del paquete.

Staff
JaCkSecurity
Conocimiento, Conciencia y Consultoría

Varias semanas atrás estuvimos averigüando la forma en que Dan Kaminsky determinaba cúando un DNS era vulnerable a su famoso hallazgo, al usar el DNS CHECKER en Doxpara.com.

Inicialmente pensamos en la posibilidad de recrear el DNS CHECKER vía un viejo y útil programa llamado, tcpreplay, bajo la premisa que a Kaminsky se la había fugado parte o toda la cadena de explotación, pero no fue así.

Luego de montar un DNS vulnerable en nuestro lab, descubrimos que los paquetes eran muy inofensivos, pero no quisimos dejar tanto esfuerzo en un simple, no se puede. Quisimos ir más allá, y no despreciar el análisis de los paquetes capturados, contra nuestro DNS vulnerable. Sugerimos que lleve el curso SEC503 si desea aprender cómo hacer esto.

Al analizar los paquetes, observamos renuencia de paquetes. Ellos no eran otra cosa que un prolongado juego de acertijos (por eso el título arriba) en el que estuvo entretenido nuestro DNS. Los acertijos a que nos referimos eran (como puede ver abajo) varias respuestas CNAME sucesivas para una consulta de un registro tipo A, aquí una representación cinematográfica de lo visto:

Interprete el escenario así:
[192.168.1.19] como Batman (nuestro DNS vulnerable)
[209.200.168.66] como El Acertijo (el servidor DNS de Kaminsky)
[190.232.39.215] como El público de la película (PC que hace click en el DNS Checker)

La técnica, que hemos bautizado aquí como “la técnica del acertijo”, es muy interesante. Si bien acá es usada para diagnosticar la vulnerabilidad descubierta por Kamisky, esta, puede ser usada para otros fines futuros. Observe, que la técnica de responder con acertijos, es una forma muy útil de provocar más de una (seudo) sesión (seuda por lo de UDP) a fin de aprender más del host que inicia la sesión. Por otro lado, si piensa por un momento que las respuestas con acertijos son agotadoras (como lo pueden ser las preguntas repetidas de un infante), entonces entenderá -también- que esta técnica puede ser usada para intentar agotar los recursos de un servidor DNS (tarea para los researchers que quieran crackear un BIND-acertijo)

En suma, Kaminsky no sólo nos ha mostrado (BlackHat 2008) su vulnerabilidad, también nos ha dejado algo más (doxpara.com), sólo hacía falta un poco de análisis.

Staff
JaCkSecurity
Conocimiento, conciencia, consultoría

He aquí un reto para la audiencia con espíritu de administrador de firewalls:

18:51:53.778949 IP 192.168.1.19.32968 > 201.230.87.59.53: 843+ A? sb.google.com. (31)
18:51:53.782595 IP 192.168.1.1.53 > 192.168.1.19.32968: 843- 1/0/0 A 209.85.133.93 (47)
18:51:53.782703 IP 192.168.1.19 > 192.168.1.1: ICMP 192.168.1.19 udp port 32968 unreachable, length 83

El ver la vieja película del superhéroe más conocido del último siglo puede ayudar a descifrar qué es lo que dicen estas 3 líneas.

Ayuda:
192.168.1.19 es un servidor DNS y también a la vez un cliente DNS.

Reto:
¿Qué está pasando aquí?

Quiere más, le invitamos a inscribirse al próximo SEC 503.

Staff
JaCkSecurity

Quién dijo que el tópico de “security awareness” era sólo para los empleados convencionales, Oh, no. Se equivoca, es para todos, incluyendo los administradores de sistemas y de redes, excepto que para ellos el panfleto debe cambiar, y volverse mas bien, más exhaustivo.

¿Alguien dijo exhaustivo? Oh, sí, la primera vez que escribé esa palabra en la web, fue para traducir el nombre el curso SEC503, un super curso, que por cierto, es muy oportuno para llevar a los administradores de sistemas y redes a un nivel de concientización de seguridad, más profundo que los simples dispositivos de seguridad que hoy manejan.

Alíste ahora e inscríbase al curso, que casi lo hemos hecho nuestro. Lleno de retos o challenges de seguridad, los participantes experimentarán en sus venas los bits y bytes que en pantalla en el libro hemos de revisar.

Y ojo con esto, pues esta vez somos dos especialistas de JaCkSecurity que vamos a dirigir el curso. Es un co-mentoring del SEC503 Intrusion Detection In-Depth, por algo, el primer curso de seguridad que llevé.

Es una excelente fusión: SANS Local Mentoring y JaCkSecurity’s Labs & Challenges

http://www.sans.org/info/30083

Javier Romero
JaCkSecurity, CTO
Conocimiento, Conciencia y Consultoría

SANS is bringing Sec 503: SANS Intrusion Detection In-Depth to your local community! Beginning on September 6th , SANS Mentor Javier Romero will be leading this class in Lima. For complete course details, please click on http://www.sans.org/info/30083.

Why Choose the Mentor Program?
The Mentor Program, http://www.sans.org/info/30088, consists of small, local run, 10 week classes (actually, in Peru it will running on 6 weeks) utilizing the same great SANS coursework presented at the larger conferences. Mentors and students report several major advantages to the Mentor format: Cost savings, time to digest the material, convenient evening classes, and community networking.

COST SAVINGS: Is the slowing economy resulting in reduced training budgets? With the SANS Mentor program, you save 25% off the regular SANS tuition fee with the ability to save even more with group discounts (see below). No need to spend money on travel and living expenses or spend a week away from the family.

PACED STUDY: Take 6 weeks not 6 days to work through and understand the material. Past students report that the slower pace allows them to absorb and apply the information. Each session provides you the opportunity to apply the materials the next day when you return to the office!

EVENING CLASSES: The Mentor program provides a method for learning the SANS materials and working towards a GIAC certification without taking time off from work.

COMMUNITY NETWORKING: The Mentor program allows you to work with local security professionals in an open discussion format. This community networking has been identified by students as a major benefit of the Mentor program.

One recent Mentor student commented, “I thought that the class was great. I would consider taking another SANS Mentor Program class. It was much more convenient than traveling and I had the ability to review material at my own pace.”

A SANS Institute course delivered locally in Lima by an experienced SANS Mentor who will lead you over a comfortable and convenient schedule, saving you money, while giving you the opportunity to network with local security professionals. What a great combination!! Plus SANS promises you will be able to use what you learn in the classroom as soon as you return to the office.

TUITION DISCOUNTS!
SANS offers group registration discounts for 2 or more students who register from the same organization. To obtain the Group Discount fee and Registration Code offered for this course, contact Miranda Ruddick at mentor[@]sans.org PRIOR to registering, and provide the names and
e-mail addresses of all the students registering within your organization.

Does this sound like the kind of training that would help you be more effective in your job? Then register today at http://www.sans.org/info/30083 and see for yourself the excellent value
of SANS training and GIAC certification!

SPECIAL MENTOR OFFER! Write “recruited by mentor” on the web form (under the text box “COMMENTS”) and the mentor will give you two additional hours of a special security workshop.

Dependiendo en qué tipo de entidad gubernamental o empresa de servicios te halles, es más que visto que necesitas un argumento fuerte para convencer a tus jefes para que te aprueben el presupuesto para ese curso avanzado de seguridad que tanto andabas buscando.

Si no has perdido las esperanzas, y todavía estás envuelto en el nivel técnico, y te respetan por ello, cuenta cuánto tiempo te tomas en entender esta técnica de amenaza, y compara si ese es el tiempo que deberías tomarte para responder a un incidente similar.

http://isc.sans.org/diary.html?storyid=4645

Próximamente: SEC503, Intrusion Detection In-Depth

Javier Romero
JaCkSecurity, CTO
Conocimiento, Conciencia y Consultoría

(PARTE 1) Cuando una organización (pública o privada) sufre una fuga de información de algún sistema informático, es inevitable que los líderes de la misma recurran a su departamento de seguridad TI como primera instancia para ayuda forense.

La razón principal de este relación, es precisamente la fuente de almacenamiento principal de dicha información, un sistema informático. En ese sentido, los posibles vehículos de fuga posible pueden variar en un no muy gran avanico de posibilidades: los medios magnéticos (tapes), los medios de almacenamiento óptico (CD/DVD), el mismo disco duro del sistema informático, los USB-drives, y la red.

Aunque dependiendo del criterio del especialista, uno de los medios de fuga que se deben descartar primero es la red. A diferencia de un USB-drive, tape, CD o DVD, que puede ser confiscado físicamente en la portería de la organización (no obstante, de generar una ruidosa condición de pánico al personal y de alerta al “insider”), la red podría seguir siendo un medio incontrolable de fuga de información, luego del incidente. De esta forma, la red debe ser el primer medio de despistaje forense al alcance del departamento de seguridad TI.

Una forma efectiva pero -muy criticada por su factibilidad- es el despliegue de capturadores de tráfico en los cuellos de la red de la organización. Un mecanismo de captura puede ser ubicado y configurado a diferentes nivel de detalle, que un analista de protocolos puede acomodarse sin mayor problemas. Su principal detractor es el espacio de almacenamiento que requieren los equipos de captura, cuya demanda será proporcional al tráfico de la red.

Sin embargo, una forma más inteligente y económica es el despliegue de colectores de flujos (flows). Los colectores de flows pueden ser consultados luego de viajar a un sistema de base de datos, en tiempo real o hacia atrás. Ello permite al analista forense, realizar una infinita cantidad de consultas por el tráfico de la red, a fin de determinar la duracción, tamaño, y equipos que mantuvieron ciertas comunicaciones sospechosas.

Una fuga de información como la sufrida recientemente por la nación chilena, requiere -por ejemplo- de este tipo de evidencias rápidas. Viajando a través de un análisis exhaustivo de los flujos generados por las redes de las instituciones afectadas, el analista buscará el tráfico que represente la transferencia (upload o download) de semejante volumen de datos, hacia RapidShare o hacia cualquier otro lugar en la red, desde o hacia los sistemas afectados.

JaCkSecurity dispone de mecanismos para ayudarlo a preparse tempranamente para penosos e inevitables incidentes como estos. Sírvase consultarnos por estos mecanismos.

Javier Romero
JaCkSecurity, CTO
Conocimiento, Conciencia y Consultoría

Javier Romero, CTO de JaCkSecurity, estará dictando el curso SEC 503. Acá un video de Mike Poor, actual instructor de SANS para este curso:

En unas de mis cuentas personales, con fecha 09 de enero 2008, recibí un falso aviso de Telefónica que contenía un enlace hacia un supuesto antivirus importante para mi seguridad.

Nombre: AV-Speedy.exe
Tamano archivo: 192512 bytes
MD5: 2196150802bc7b9d5448f918ef0c4e04
SHA1: 16c486e892e41876210992d1544b40d9ba0fcbaf

Al correrlo en máquinas virtuales, primero con bajos privilegios (con resultado inexitoso para el malware), y luego con altos privilegios, capturé lo siguiente:

Vía netstat

Conexiones activas
Proto Dirección local Dirección remota Estado PID
TCP 192.168.131.65:1039 67.159.45.52:80 ESTABLISHED 248
[AV-Speedy.exe]

Vía windump

Ver adjunto

Tráfico de la captura autómata
Iniciado inmediatamente después de ejecutar el código AV-speed.exe, se observaron los siguientes datos importantes:
Guest virtual: 192.168.131.65
1er. destino: 200.48.225.130 (DNS de Telefónica) - dato ligeramente irrelevante
2do. destino: 67.159.45.52 (www.proxymafia.net) - comando central del malware

Data dentro del tráfico autómata
Al revisar, someramente, el contenido de la captura, se observó los siguientes datos importantes:
1er. dato: www.proxymafia.net (consultado vía DNS, al DNS por defecto de la PC virtual)
2do. dato: GET./surf.php (primer pedido del malware al comando central)
q=aHR0cDovL2JyaWFuc2VhZ3JhdmVzLmNvbS9wcm9maWxlcy9ob3N0LnR4dA%3D%3D&hl=3ed
3er. dato: host.txt (información enviada por comando central al malware)
66.49.193.228 www.hotmail.com
66.49.193.228 hotmail.com
66.49.193.228 www.viabcp.com
66.49.193.228 viabcp.com

Análisis de los datos extraidos
A) Proxymafia.net (67.159.45.52)
Perteneciente a una compañía inglesía y registrado vía GoDaddy.
Consulta vía www.netsol.com

Registrant:
Jack Cator
BCM Netco Solutions
London, WC1N3XX
United Kingdom
Created on: 30-Nov-06
Expires on: 30-Nov-08
Last Updated on: 30-Nov-07

B) anonr.com (DNS Provider)
Perteneciente a la misma compañía inglesía, vea la dirección IP (incluso).
Consulta vía DNS y www.netsol.com

proxymafia.net nameserver = ns1.anonr.com
proxymafia.net nameserver = ns2.anonr.com
ns1.anonr.com internet address = 75.126.48.147
ns2.anonr.com internet address = 67.159.45.52
Created on: 18-Oct-06
Expires on: 18-Oct-08
Last Updated on: 18-Oct-07

C) 66.49.193.228 (pharming)
Vía un get a http://66.49.193.228/, responde la comunidad Cardcaptor Redeemer. Curiosamente el argumento de CardCaptor se basa en que la protagonista tiene que capturar cierto número de tarjetas. Tal parece que quien hace esto, lo ve en cierto modo cómico o en juego.

Conclusiones tempranas
El código del comando central del malware, que no es una botnet, sigue activo en el web www.proxymafia.net. No es determinable el precisar, si la principal institución afectada por este pharming hizo o no algo por eliminar el código surf.php de la web de www.proxymafia.net. Sin embargo, si es concluyente que desde el 09/01/2008 hasta 21 días luego de mi análisis, el comando central sigue activo. Resta aún analizar otros componentes como la visita simulada a la web medicada www.viabcp.com desde esta PC virtual infectada.

Jimmy Villanueva
JaCkSecurity, Staff
conocimiento, conciencia y consultoría

Detecte cambios: Vigile la integridad del software público
No es novedad que en la actualidad varios criminales informáticos comprometan sitios web públicos para dejar código hostil en ellos. Sin embargo, esos sitios no son sólo aquellos con algún contenido dinámico o estilo portal. También, calza en este salón de la fama, los sitios web de aplicaciones open-source o de aplicaciones bastamente usadas.

La amenaza es real. Entre la segunda y tercera semana de diciembre (2007), la versión 1.4.12 del paquete SquirrelMail disponible para descarga pública, fue modificada inadvertidamente, según lo declara Jonathan Angliss el 13 de dic. 2007 en las noticias de la web de éste proyecto. Al parecer el paquete fue comprometido por una cuenta crackeada o robada con permiso a mantenimiento.

La solución “preventiva” consiste en monitorear los cambios inadvertidos de esas compilaciones que se dejan a libre descarga del público. Por supuesto, debe ser lo más automatizado posible. No se trata de comparar visualmente los md5 por un humano. Una herramienta útil y automatizable podría ser Tripwire, disponible en el mundo open-source como en el mundo comercial.

Nota: Una aplicación puede ser modificada para contener código malicioso que afecte la intención del programa o software, y haga que el computador final realice otras acciones, menos benignas, quizás para conformar una botnet o similar.

A continuación un ejemplo muy destacado de esas aplicaciones muy usadas, cuya integridad debe ser monitoreada de cerca:
PDT PDT.

%41%43%45%20%54%65%61%6d es el nuevo título del blog Hacker@Microsoft, el cual puedes decodificar manualmente o con algo de ayuda:

Step	Description	Now
Step 0	You entered:	http://ACE Team/
Step 1	Extract username/password	http://ACE Team/
Step 2	Remove port (e.g. ":80")	http://ACE Team/
Step 3	Decode octets (e.g. "%25")	http://ACE Team/
Step 4	Convert decimal to IP	http://204.204.204.204/

ACE Team is:
http://204.204.204.204/ .

La ayuda la hallará en http://member.dnsstuff.com/pages/tools.php

Siguiendo con el análisis sintetizado del malware anterior, se observó el siguiente hallazgo en VirusTotal.

Análisis del archivo Software.BBVAperu.exe recibido el 21.09.2007 22:44:45 (CET)

Motor antivirus Versión Última actualización Resultado
AhnLab-V3 2007.9.22.0 2007.09.21 -
AntiVir 7.6.0.15 2007.09.21 -
Authentium 4.93.8 2007.09.21 -
Avast 4.7.1043.0 2007.09.21 -
AVG 7.5.0.485 2007.09.21 -
BitDefender 7.2 2007.09.21 -
CAT-QuickHeal 9.00 2007.09.21 W32.Brontok.Q
ClamAV 0.91.2 2007.09.21 -
DrWeb 4.33 2007.09.21 -
eSafe 7.0.15.0 2007.09.19 suspicious Trojan/Worm
eTrust-Vet 31.2.5154 2007.09.21 -
Ewido 4.0 2007.09.20 -
FileAdvisor 1 2007.09.21 -
Fortinet 3.11.0.0 2007.09.21 -
F-Prot 4.3.2.48 2007.09.21 -
F-Secure 6.70.13030.0 2007.09.21 -
Ikarus T3.1.1.12 2007.09.21 -
Kaspersky 4.0.2.24 2007.09.21 -
McAfee 5125 2007.09.21 -
Microsoft 1.2803 2007.09.21 -
NOD32v2 2544 2007.09.21 -
Norman 5.80.02 2007.09.21 W32/Suspicious_M.gen
Panda 9.0.0.4 2007.09.21 Suspicious file
Prevx1 V2 2007.09.21 -
Rising 19.41.42.00 2007.09.21 -
Sophos 4.21.0 2007.09.21 Mal/Packer
Sunbelt 2.2.907.0 2007.09.20 VIPRE.Suspicious
Symantec 10 2007.09.21 -
TheHacker 6.2.5.064 2007.09.21 W32/Behav-Heuristic-066
VBA32 3.12.2.4 2007.09.20 -
VirusBuster 4.3.26:9 2007.09.21 Packed/MEW
Webwasher-Gateway 6.0.1 2007.09.21 Win32.Malware.gen#MEW (suspicious)
Información adicional
Tama?rchivo: 77878 bytes
MD5: e620a25ba56dea87fe6bb1004284298e
SHA1: 980a1074bf19c7e1f9bc4d6b0a0160ba64ceb157
packers: MEW
packers: MEW
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

Un ranking nada malo, para un malware que no tiene mucha complejidad de evasión (UPX, anti-debugging, etc). Esto último debido a que usa un artificio bastante viejo (quizás todavía útil), al modificar el archivo host del sistema infectado c:\windows\system32\drivers\etc, como sigue:

66.227.127.163 www.[nombre-banco].com
66.227.127.163 [nombre-banco].com]

Dirección que pertenece a otro proveedor de hosting web en Exton, PA (USA). Una réplica exacta al sitio web original.

Sin embargo, haciendo un examen muy sutil de los enlaces, se determinó que en el sitio web falso no enviaba a sitios ajenos al de la compañía original. Algo muy extraño, para tan elaborado esquema de fraude.

Una idea posible es, la intención del atacante de sensar el número de usuarios que van a caer en esta trampa.

Desde hace varias semanas atrás, varios escritores de malware están aprovechando la imagen de instituciones, de las que se supone se preocupan por la seguridad de sus usuarios informáticos o del público en general (generalmente con el ardid de una herramienta anti-phishing). Prueba de ello es el siguiente correo que llegó a un dominio peruano, hace unas pocas horas.

Al analizar rápidamente el mensaje engañoso se descubre:

1. Dirección IP del host donde se halla el malware, siendo este uno como “http://xx.yyy.201.115/Software.BBVAperu.exe, proveniente de un aparente servidor de hosting web hackeado en Chicago, IL (USA), en la que además se observa una imagen muy sugerente que proviene de un servidor aparentemente aislado a estos hechos (FantasyMundo.com).

2. Dirección IP del host de donde fue emitido el correo, siendo éste uno como xx.yyy.150.29, proveniente de un servidor (también, posiblemente hackead) ubicado en España, que redirecciona a una aplicación webmail (Horde) en el mismo servidor.

3. Direcciones IP (dentro del código html fraudulento) de la imagen relativa a la entidad que se procura falsificar, que responde DiaDeNegocios.com.ar y VisaNet Perú, una buena forma de evadir la técnica de contra phishing que publicase este blog en pasadas fechas.

Esta es una excelente y sencilla lección para aquellos bancos que se están iniciando en la búsqueda y cacería de las mafias de phishing, vea http://seguridad.internautas.org/html/4315.html

Un trabajo similar realizamos hace varios años en un laboratorio educativo de análisis de phishing contra un banco famoso. Vea: http://www.jacksecurity.com/publicacion.php?idpub=4

Recientemente, en una amena conversación tecnológica con unos colegas de internetworking acerca de una tecnología de comunicaciones de señal abierta (inalámbrica), descubrimos que más de una persona de redes confunde la dificultad entre decodificar (decode) y descifrar (encipher), ambas cosas no son lo mismo.

Aunque una señal que viaja por el aire, puede estar codificada con un protocolo propietario, ello no significa que no pueda ser desmenuzado a fin de obtenerse la data que viaja dentro de ella. Una posibilidad es hacerlo con un analizador de protocolo propietario, es decir, de la misma compañía que lo diseñó, o con una copia pirata de la trama o framework del protocolo en mención. De ello no nos cabe la menor duda, pues hace unos años atrás conocimos a un colega de análisis de protocolos que desarrolló un decodificador, usando un módulo avanzado de un software de olfateo de red.

En resumen, no hay ninguna seguridad al respecto de cualquier data que viaja inalámbricamente, sólo porque el protocolo es propietario.

Una situación muy diferente es si la data dentro de la trama del protocolo inalámbrico propietario, o mejor aún todo el tráfico viajase cifrado. Si ciframos, con la ayuda de un buen protocolo criptográfico, no tendríamos problemas en la seguridad de transmisión, aún si alguien tuviese acceso a la constitución del tramado de los paquetes que viajan en dicho protocolo propietario.

Esta confusión no es de esperarse en alguien que en su rato libre, ha visitado un lugar como el Museo del Espionaje en (Washington, DC), o que se ha preparado bien (en el módulo de criptografía) para su examen CISSP. El próximo examen CISSP en Lima auspiciado por JaCkSecurity será el 28 de octubre.