Weblog de JaCkSecurity

A aquellos clientes y amigos nuestros que algunas vez preguntaron por un script de carga rutinaria de tcpdump basado en la fecha del sistema, he aquí el aporte:

#!/bin/bash
#Made in JaCkSecurity
kill -9 `ps -ef | grep “[t]cpdump” | awk ‘{print $2}’` 2>/dev/null
tcpdump -i3 -n -w “log-`date “+%Y%m%d%H%M.%S”`” 2>/dev/null &

Observaciones:
- -i3, es la interfase de captura (esta varía según su sistema)
- El snaplen de tcpdump es por defecto pequeño, no cubre mucha data del paquete.

Staff
JaCkSecurity
Conocimiento, Conciencia y Consultoría

Varias semanas atrás estuvimos averigüando la forma en que Dan Kaminsky determinaba cúando un DNS era vulnerable a su famoso hallazgo, al usar el DNS CHECKER en Doxpara.com.

Inicialmente pensamos en la posibilidad de recrear el DNS CHECKER vía un viejo y útil programa llamado, tcpreplay, bajo la premisa que a Kaminsky se la había fugado parte o toda la cadena de explotación, pero no fue así.

Luego de montar un DNS vulnerable en nuestro lab, descubrimos que los paquetes eran muy inofensivos, pero no quisimos dejar tanto esfuerzo en un simple, no se puede. Quisimos ir más allá, y no despreciar el análisis de los paquetes capturados, contra nuestro DNS vulnerable. Sugerimos que lleve el curso SEC503 si desea aprender cómo hacer esto.

Al analizar los paquetes, observamos renuencia de paquetes. Ellos no eran otra cosa que un prolongado juego de acertijos (por eso el título arriba) en el que estuvo entretenido nuestro DNS. Los acertijos a que nos referimos eran (como puede ver abajo) varias respuestas CNAME sucesivas para una consulta de un registro tipo A, aquí una representación cinematográfica de lo visto:

Interprete el escenario así:
[192.168.1.19] como Batman (nuestro DNS vulnerable)
[209.200.168.66] como El Acertijo (el servidor DNS de Kaminsky)
[190.232.39.215] como El público de la película (PC que hace click en el DNS Checker)

La técnica, que hemos bautizado aquí como “la técnica del acertijo”, es muy interesante. Si bien acá es usada para diagnosticar la vulnerabilidad descubierta por Kamisky, esta, puede ser usada para otros fines futuros. Observe, que la técnica de responder con acertijos, es una forma muy útil de provocar más de una (seudo) sesión (seuda por lo de UDP) a fin de aprender más del host que inicia la sesión. Por otro lado, si piensa por un momento que las respuestas con acertijos son agotadoras (como lo pueden ser las preguntas repetidas de un infante), entonces entenderá -también- que esta técnica puede ser usada para intentar agotar los recursos de un servidor DNS (tarea para los researchers que quieran crackear un BIND-acertijo)

En suma, Kaminsky no sólo nos ha mostrado (BlackHat 2008) su vulnerabilidad, también nos ha dejado algo más (doxpara.com), sólo hacía falta un poco de análisis.

Staff
JaCkSecurity
Conocimiento, conciencia, consultoría

He aquí un reto para la audiencia con espíritu de administrador de firewalls:

18:51:53.778949 IP 192.168.1.19.32968 > 201.230.87.59.53: 843+ A? sb.google.com. (31)
18:51:53.782595 IP 192.168.1.1.53 > 192.168.1.19.32968: 843- 1/0/0 A 209.85.133.93 (47)
18:51:53.782703 IP 192.168.1.19 > 192.168.1.1: ICMP 192.168.1.19 udp port 32968 unreachable, length 83

El ver la vieja película del superhéroe más conocido del último siglo puede ayudar a descifrar qué es lo que dicen estas 3 líneas.

Ayuda:
192.168.1.19 es un servidor DNS y también a la vez un cliente DNS.

Reto:
¿Qué está pasando aquí?

Quiere más, le invitamos a inscribirse al próximo SEC 503.

Staff
JaCkSecurity

Quién dijo que el tópico de “security awareness” era sólo para los empleados convencionales, Oh, no. Se equivoca, es para todos, incluyendo los administradores de sistemas y de redes, excepto que para ellos el panfleto debe cambiar, y volverse mas bien, más exhaustivo.

¿Alguien dijo exhaustivo? Oh, sí, la primera vez que escribé esa palabra en la web, fue para traducir el nombre el curso SEC503, un super curso, que por cierto, es muy oportuno para llevar a los administradores de sistemas y redes a un nivel de concientización de seguridad, más profundo que los simples dispositivos de seguridad que hoy manejan.

Alíste ahora e inscríbase al curso, que casi lo hemos hecho nuestro. Lleno de retos o challenges de seguridad, los participantes experimentarán en sus venas los bits y bytes que en pantalla en el libro hemos de revisar.

Y ojo con esto, pues esta vez somos dos especialistas de JaCkSecurity que vamos a dirigir el curso. Es un co-mentoring del SEC503 Intrusion Detection In-Depth, por algo, el primer curso de seguridad que llevé.

Es una excelente fusión: SANS Local Mentoring y JaCkSecurity’s Labs & Challenges

http://www.sans.org/info/30083

Javier Romero
JaCkSecurity, CTO
Conocimiento, Conciencia y Consultoría

SANS is bringing Sec 503: SANS Intrusion Detection In-Depth to your local community! Beginning on September 6th , SANS Mentor Javier Romero will be leading this class in Lima. For complete course details, please click on http://www.sans.org/info/30083.

Why Choose the Mentor Program?
The Mentor Program, http://www.sans.org/info/30088, consists of small, local run, 10 week classes (actually, in Peru it will running on 6 weeks) utilizing the same great SANS coursework presented at the larger conferences. Mentors and students report several major advantages to the Mentor format: Cost savings, time to digest the material, convenient evening classes, and community networking.

COST SAVINGS: Is the slowing economy resulting in reduced training budgets? With the SANS Mentor program, you save 25% off the regular SANS tuition fee with the ability to save even more with group discounts (see below). No need to spend money on travel and living expenses or spend a week away from the family.

PACED STUDY: Take 6 weeks not 6 days to work through and understand the material. Past students report that the slower pace allows them to absorb and apply the information. Each session provides you the opportunity to apply the materials the next day when you return to the office!

EVENING CLASSES: The Mentor program provides a method for learning the SANS materials and working towards a GIAC certification without taking time off from work.

COMMUNITY NETWORKING: The Mentor program allows you to work with local security professionals in an open discussion format. This community networking has been identified by students as a major benefit of the Mentor program.

One recent Mentor student commented, “I thought that the class was great. I would consider taking another SANS Mentor Program class. It was much more convenient than traveling and I had the ability to review material at my own pace.”

A SANS Institute course delivered locally in Lima by an experienced SANS Mentor who will lead you over a comfortable and convenient schedule, saving you money, while giving you the opportunity to network with local security professionals. What a great combination!! Plus SANS promises you will be able to use what you learn in the classroom as soon as you return to the office.

TUITION DISCOUNTS!
SANS offers group registration discounts for 2 or more students who register from the same organization. To obtain the Group Discount fee and Registration Code offered for this course, contact Miranda Ruddick at mentor[@]sans.org PRIOR to registering, and provide the names and
e-mail addresses of all the students registering within your organization.

Does this sound like the kind of training that would help you be more effective in your job? Then register today at http://www.sans.org/info/30083 and see for yourself the excellent value
of SANS training and GIAC certification!

SPECIAL MENTOR OFFER! Write “recruited by mentor” on the web form (under the text box “COMMENTS”) and the mentor will give you two additional hours of a special security workshop.

Dependiendo en qué tipo de entidad gubernamental o empresa de servicios te halles, es más que visto que necesitas un argumento fuerte para convencer a tus jefes para que te aprueben el presupuesto para ese curso avanzado de seguridad que tanto andabas buscando.

Si no has perdido las esperanzas, y todavía estás envuelto en el nivel técnico, y te respetan por ello, cuenta cuánto tiempo te tomas en entender esta técnica de amenaza, y compara si ese es el tiempo que deberías tomarte para responder a un incidente similar.

http://isc.sans.org/diary.html?storyid=4645

Próximamente: SEC503, Intrusion Detection In-Depth

Javier Romero
JaCkSecurity, CTO
Conocimiento, Conciencia y Consultoría

Javier Romero, CTO de JaCkSecurity, estará dictando el curso SEC 503. Acá un video de Mike Poor, actual instructor de SANS para este curso:

En unas de mis cuentas personales, con fecha 09 de enero 2008, recibí un falso aviso de Telefónica que contenía un enlace hacia un supuesto antivirus importante para mi seguridad.

Nombre: AV-Speedy.exe
Tamano archivo: 192512 bytes
MD5: 2196150802bc7b9d5448f918ef0c4e04
SHA1: 16c486e892e41876210992d1544b40d9ba0fcbaf

Al correrlo en máquinas virtuales, primero con bajos privilegios (con resultado inexitoso para el malware), y luego con altos privilegios, capturé lo siguiente:

Vía netstat

Conexiones activas
Proto Dirección local Dirección remota Estado PID
TCP 192.168.131.65:1039 67.159.45.52:80 ESTABLISHED 248
[AV-Speedy.exe]

Vía windump

Ver adjunto

Tráfico de la captura autómata
Iniciado inmediatamente después de ejecutar el código AV-speed.exe, se observaron los siguientes datos importantes:
Guest virtual: 192.168.131.65
1er. destino: 200.48.225.130 (DNS de Telefónica) - dato ligeramente irrelevante
2do. destino: 67.159.45.52 (www.proxymafia.net) - comando central del malware

Data dentro del tráfico autómata
Al revisar, someramente, el contenido de la captura, se observó los siguientes datos importantes:
1er. dato: www.proxymafia.net (consultado vía DNS, al DNS por defecto de la PC virtual)
2do. dato: GET./surf.php (primer pedido del malware al comando central)
q=aHR0cDovL2JyaWFuc2VhZ3JhdmVzLmNvbS9wcm9maWxlcy9ob3N0LnR4dA%3D%3D&hl=3ed
3er. dato: host.txt (información enviada por comando central al malware)
66.49.193.228 www.hotmail.com
66.49.193.228 hotmail.com
66.49.193.228 www.viabcp.com
66.49.193.228 viabcp.com

Análisis de los datos extraidos
A) Proxymafia.net (67.159.45.52)
Perteneciente a una compañía inglesía y registrado vía GoDaddy.
Consulta vía www.netsol.com

Registrant:
Jack Cator
BCM Netco Solutions
London, WC1N3XX
United Kingdom
Created on: 30-Nov-06
Expires on: 30-Nov-08
Last Updated on: 30-Nov-07

B) anonr.com (DNS Provider)
Perteneciente a la misma compañía inglesía, vea la dirección IP (incluso).
Consulta vía DNS y www.netsol.com

proxymafia.net nameserver = ns1.anonr.com
proxymafia.net nameserver = ns2.anonr.com
ns1.anonr.com internet address = 75.126.48.147
ns2.anonr.com internet address = 67.159.45.52
Created on: 18-Oct-06
Expires on: 18-Oct-08
Last Updated on: 18-Oct-07

C) 66.49.193.228 (pharming)
Vía un get a http://66.49.193.228/, responde la comunidad Cardcaptor Redeemer. Curiosamente el argumento de CardCaptor se basa en que la protagonista tiene que capturar cierto número de tarjetas. Tal parece que quien hace esto, lo ve en cierto modo cómico o en juego.

Conclusiones tempranas
El código del comando central del malware, que no es una botnet, sigue activo en el web www.proxymafia.net. No es determinable el precisar, si la principal institución afectada por este pharming hizo o no algo por eliminar el código surf.php de la web de www.proxymafia.net. Sin embargo, si es concluyente que desde el 09/01/2008 hasta 21 días luego de mi análisis, el comando central sigue activo. Resta aún analizar otros componentes como la visita simulada a la web medicada www.viabcp.com desde esta PC virtual infectada.

Jimmy Villanueva
JaCkSecurity, Staff
conocimiento, conciencia y consultoría

TCP[13]=0×02 ó TCP[13:1]=0×02
Este sencillo, pero extremadamente útil comando de tcpdump, es la navaja suiza en la mente de un especialista en detectar intrusos.

Sólo en ésta semana, el haberlo tenido grabado en nuestra mente, ayudó a uno de nuestros clientes a detectar con rapidez los centros de ataque de un problema muy serio que golpease su red.

Sin duda, no nos equivocamos hace más de 2 años atrás, cuando -a estos macro comandos- le diseñáremos un arte nmemónico para imprimirlo en un estilizado polo de baseball via Cafepress, y se lo obsequiáremos -como premio- el primer colega peruano en obtener localmente su certificado GCIA (GIAC Certified Intrusion Analyst).

De igual manera, usted tampoco se equivocará en invertir en el curso de detección de intrusos de SANS Institute que viene promoviendo localmente JaCkSecurity.

SEC 503 Intrusion Detection In-Depth
Inscríbase pronto.

Se esperaba que luego del lamentable terremoto que dañara el sur del Perú, el pasado 15 de agosto, el consumo del Internet local disminuyera a sus niveles más bajos, producto de las masivas evacuaciones que se realizaron en las oficinas y hogares conectados a la red. Sin embargo, esta suposición quedó desacreditada luego de observar las gráficas de intercambio del NAP Perú, hecho que a su vez provocó una interrogante: ¿qué generó ese tráfico?

Aunque parte de este remanente pudo haber sido generado por personas no afectas al terremoto (población norteña del Perú) -además de usuarios proclives al Internet como alternativa de comunicación (Ej. correo), es altamente probable que mucho de éste tráfico haya sido generado por código autómata. En ese sentido, varios colegas tienen interesantes teorías al respecto:

Nota: Entre un 30 y 50 porciento del tráfico normal, fue el remanente de consumo que permaneció entre los 7 de los 9 proveedores de Internet conectados al NAP Perú.

Tráfico autómata no malicioso:
- Actualizaciones de herramientas antivirus
- Actualizaciones de sistemas operativos y aplicaciones
- Correo electrónico encolado
- Conexiones a radios en-línea
- Conexiones a TV en-linea
- Telefonía IP
- Similares

Tráfico autómata producto de efectos del mundo cibercriminal:
- Amplificación de código malicioso (gusanos) a través de diversos puertos (P.e.1433, 5900, 2967, 2968)
- Abuso de proxies abiertos (puertos 3128, 8080)
- Descargas peer-to-peer no permitidas
- Tráfico tunelizado vía puerto 80 (para disfrazar tráfico no permitido)
- Tráfico de señalización y comandos de botnets (80 ó 6667)
- Port scan y host scans
- Tráfico de shells reversos, backdoors y similares (puertos muy bajos o muy altos)

Ante éste interesante escenario, se recomienda a los administradores de sistemas el examinar los registros de monitoreo de sus redes en dicha fecha. La probabilidad de hallar tráfico autómata malicioso es alto, y beneficiará en mejorar la seguridad de su compañía. JaCkSecurity sugiere ésta labor, especialmente, a aquellas personas que van a participar del curso SEC 503 Intrusion Detection In-Depth.

Descargue el análisis de las gráficas de Internet desde el portal

No, esto no es un error de redacción, tampoco es un artículo del cuidado infantil por Internet. La palabra “suyos”, acá, viene a colación del idioma oficial que hablaban los antiguos peruanos, los creadores de Machu Picchu, el ombligo del Tahuantisuyo (hoy, una de las 7 Nuevas Maravillas del Mundo).

Suyo es una palabra del quechua, que significa zona o territorio. Como soñar no cuesta nada, (estimado compatriota): ¿se imagina qué palabra emplearía hoy un ingeniero de sistemas, hablando de DMZ | zonas | perímetros de red, si el quechua hubiese llegado a convertirse en el idioma predominamente de la Tierra? Es probable que en las conferencias de seguridad se hablarán más de SUYOS y PUCARÁS, que de DMZs y firewalls. Por esa razón, como peruano, oso preguntarle ¿cómo protejes los -suyos- de tu red?

Para aquel buen porcentaje de dueños de firewalls, que suelen no conformarse con adquirirlo, sino -además- configurarlo, es altamente probable, que la mejor configuración que le hayan propuesto los “expertos” el día de su instalación, fuese sólo la de filtrar el tráfico que ingresa, mas no el que sale. Si ese es su caso, continúe leyendo.

Si bien todo lo externo a la red es por definición hostíl y desconocido, lo cierto es, que aún las redes internas pueden ser un nido de zombis, botnets, y piratas. Por ello, filtrar el tráfico que sale, es tan o más útil que el filtro de entrada. ¿Por que puede ser “tan o más útil”? La razón es simple: el día que deje de tener servidores importantes en su red y las termine llevando a un proveedor de hosting, para lo único útil que servirá su firewall, es para pasar paquetes. En vez de eso, se debe aprovechar al máximo la tecnología. Es así que, son necesarios, los filtros salientes.

Un filtro saliente, asegura que nadie esté pasando tráfico (e información) hacia el exterior. Hoy, en los tiempos en donde casi las botnets han desplazado a los antiguos troyanos, es doblemente real la amenaza de tráfico saliente. Una red con PCs zombis, tiene de todas formas tráfico que sale, esto es, aquel tráfico que procura enganchar el PC zombi con el cuartel general de la “botnet” (A.K.A. “cc” o comando y control de zombies), para recibir nefastos comandos.

Por otro lado, un filtro saliente, no sólo protege el segmento de estaciones de su red, también protege a los servidores. Un filtro saliente, bien afinado (sin cometer errores de protocolos) con la red de servidores, ayudará a que éstos no sean usados por una varidad de formas de abuso, por ejemplo, los proxies (encapsulamientos), o por las conexiones provocadas por shells en servidores web (cmds, tftps, xp_cmd…) y otras estimulaciones generados a servidores de correo o aplicación web (típicamente para provocar la fuga de información), vía vulnerabilidades o facilidades de los sistemas.

Proteger de esta forma sus -suyos- hace que su red sea más segura, y no tenga que ser sorprendido un día con que sus servidores y estaciones se dedican a enviar SPAM, cuando los usuarios apenas si saben usar el Windows. Esto es todavía mejor, si en el supuesto que su red sea traspasado por intrusos, el bloquear todo (o casi todo) el tráfico saliente, eliminaría toda chance para que le retorne un prompt/shell al villano que la penetró. La cosa no para allí nada más, imagínese todo lo que puede hacer en términos de “análisis de detección de intrusos” con aquellos registros de negación de sesiones que son generados por sus servidores y estaciones detrás del firewall (si activa correctamente el filtro y registro). Si desea aprender más técnicas de detección de intrusos, lo invito a inscribirse al curso que dictaré para SANS Institute, ahora en octubre.

J.R.
SANS Local Mentor