Yuzi download

La semana que viene voy a estar todos los días en Ecuador. Los pasaré entre Quito y Guayaquil, participando en el TIC Forum 2016 que se hará en esas dos ciudades, dando charlas a clientes, a compañeros de Telefónica y atendiendo algunas entrevistas. Pero siempre que viajo a un país pido que me organicen una charla abierta al público a la que pueda venir todo el mundo, estudiantes o profesionales y que sea gratuita, y ésta será el día 6 en la Universidad de las Américas.

Como podéis ver en la información, comenzará a las 19:30 en el Auditorio Udlapark, en la ciudad de Quito, y la entrada es gratuita para todo el mundo hasta que se llene el aforo del lugar - que las medidas de seguridad priman sobre lo demás -.

No sé cómo iré de tiempo, pero si alguno ha comprado algún libro de 0xWord en nuestro distribuidor en Ecuador Area 51 y quiere que se lo firme, intentaré sacar algo de tiempo para ello en los eventos en los que participe.

Por lo demás, os recuerdo que la semana que viene tienes el siguiente calendario de  eventos. [*] Significa que estaré yo y [G] que es un evento gratuito.

Saludos Malignos!

En la pasada Defcon 23 se liberó una aplicación denominada NetRipper. Esta aplicación es una herramienta de post-explotación que permite interceptar el tráfico de red y, por ejemplo, es capaz de capturar tanto el tráfico en plano y el cifrado. En otras palabras, podremos hookear los navegadores de la máquina y robar las credenciales de Gmail, Facebook, Twitter u Outlook, ya que estamos en un nivel inferior, antes de que el HSTS haga su juego. También podremos extraer cookies de sesión, por lo que si la víctima tiene algún servicio al que se conecta con cookie persistente se podría sustraer.

Metasploit: Cómo hookear con NetRipper los navegadores para robar las contraseñas

La herramienta tiene una versión para Windows con un binario o .EXE, una versión para PowerShell y otra versión en forma de módulo de Metasploit. A mí me llamó la atención tanto el script de PowerShell, ya que se podría utilizar con el Powershell Empire y utilizarlo como script de post-explotación y la versión de Metasploit, ya que junto a una sesión de Meterpreter podríamos hacer grandes cosas. Para este artículo decidí orientarlo hacia el caso de Metasploit.

Instalación de NetRipper en Metasploit

Tal y como se puede leer en el Github de la herramienta, su instalación es básica, simplemente descargar los ficheros, por ejemplo, con un git clone. Después, hay que seguir los pasos que se detallan a continuación:

Figura 2: Instalación de NetRipper en Metasploit

Cómo se puede ver el proceso de instalación o de adición al framework es sencillo. Antes de continuar con el artículo vamos a pararnos a visualizar la siguiente imagen sobre dónde NetRipper se inyecta y cómo funciona.

Figura 3: Esquema de hooking de NetRipper

Se puede consultar más detalles sobre la charla de la Defcon y sobre el funcionamiento de la herramienta en la dirección URL de las diapositivas de Ionut Popescu, autor de la investigación y de la herramienta.

PoC: Hookeando navegadores y obteniendo contraseñas de Gmail o Facebook

La prueba de concepto la comenzamos en el estado en el que el auditor o el atacante ya tienen la sesión de Meterpreter conseguida. Sin perder la sesión ejecutamos el comando background y, posteriormente, cargamos el módulo de netripper con la instrucción use post/windows/gather/netripper. Tal y como se puede ver en la imagen, el módulo ofrece diferentes opciones, a través de sus atributos.

Figura 4: Opciones de NetRipper

Hay varios atributos que tenemos que configurar. El primero, y el requerido sí o sí, es el identificador de sesión. Tenemos que indicar por cual sesión queremos ejecutar el módulo de post-explotación. En esta prueba de concepto utilizaremos la sesión número 1 conseguida previamente para ejecutar el código.

Por otro lado, hay que configurar el atributo PROCESSNAMES, indicando cual es el nombre del proceso al que NetRipper debe hacer el hook. Para este ejemplo, utilizaremos iexplore.exe, para ello ejecutamos set PROCESSNAMES iexplore.exe. Podríamos separar por comas e intentar hacer hooking a más procesos que nos interesasen.

Una vez configurado se puede ejecutar el comando run y el módulo será ejecutado a través de la sesión de Meterpreter. El módulo listará los procesos y se quedará con los procesos que encajen con los valores indicados en el atributo PROCESSNAMES, tal y como se puede ver en la imagen.

Figura 5: Hooking en Internet Explorer

En este instante vemos que tenemos 2 procesos de Internet Explorer hookeados. En la siguiente ruta de la máquina comprometida se comenzará a escribir ficheros de texto con las peticiones HTTP que el navegador envía, justo antes de que se cifren.

Figura 6: Ficheros con peticiones HTTP realizadas

Si echamos un ojo, por ejemplo al fichero que comienza con el PID_iexplore.exe_EncryptMessage.txt podemos ver las peticiones en texto plano. La máquina víctima es un Windows 8.1, se puede ver en la petición a través del User-Agent. La petición POST queda al descubierto con NetRipper y obtenemos el usuario y contraseña.

Figura 7: Fichero con petición HTTP que almacena usuario y contraseña de Google

Es cierto que un KeyLogger podría darnos un resultado similar, y Metasploit también tiene esta posibilidad. Lo que no lograríamos sería la limpieza y todos los datos que obtenemos con NetRipper, ya que como se mencionó anteriormente, quizá solo podamos robar una cookie y eso ya es mucho. Si la víctima visita Facebook y hace login o simplemente tiene una sesión abierta, le podríamos robar la cookie de sesión.

Figura 8: Credenciales de Facebook en sesión HTTP

En la siguiente anterior vemos cómo robar la contraseña de Facebook, lo único que tenemos que hacer es visualizar el fichero indicado anteriormente. Como nota aclaratoria, con Meterpreter podremos descargar los ficheros de texto con esta información que NetRipper genera en la máquina comprometida. El comando que debemos utilizar es download [ruta origen] [ruta destino].

Una PoC de NetRipper para robar cuentas de Facebook en vídeo

En el siguiente vídeo tienes un ejemplo de cómo un Windows 8.1 es vulnerado con Metasploit a través de una versión vulnerable de Easy File Sharing FTP. Una vez que el equipo con Windows 8.1 es controlado con Meterpreter, se utiliza el módulo de post-explotación de NetRipper para hookear Internet Explorer y robar las credenciales de un inicio de sesión en Facebook.

NetRipper es una potente herramienta integrada con el framework de Metasploit, lo cual hace que un proceso complejo o que pueda llevarnos más tiempo en una auditoría podemos realizarlo rápidamente. Interesante herramienta que debemos llevar en la mochila en una auditoría interna.

Autor: Pablo González Pérez (@pablogonzalezpe)
Escritor de los libros "Metasploit para Pentesters", "Ethical Hacking" y “Pentesting con Powershell”

A la hora de impartir una charla o conferencia, con demostraciones prácticas utilizando un smartphone, es muy aconsejable que todo el auditorio pueda ver la pantalla del smartphone para comprender mejor todas las prácticas que realices con él terminal. Para los usuarios de iPhone, iPad, lo más habitual suele ser utilizar algún software tipo Reflector junto con AirPlay en sus dispositivos. o directamente usar QuickTime con iPhone como webcam. Como alternativa, los usuarios de Android pueden utilizar algún programa similar a Mobizen para hacer lo que se conoce como el "Screen Mirroring" y así poder compartir la pantalla de su smartphone con el resto del auditorio.

Figura 1: Comparte sólo la pantalla de tu Android, no tus passwords

Compartir la pantalla del tu dispositivo Android utilizando Mobizen es muy sencillo y puede utilizarse también para grabar los mensajes de SnapChat o Telegram con autodestrucción, por eso es muy popular. Basta ir a la página del fabricante, instalar la aplicación en el ordenador portátil que se comunicará con el dispositivo Android e instalar la app de Mobizen en el dispositivo móvil.

A partir de aquí, hay que configurar la aplicación instalada en el ordenador portátil. Durante el proceso de instalación, si se lee el contrato de licencia, uno de sus artículos dice que la compañía será la encargada de proteger los datos de carácter personal de sus usuarios. Entiendo que entre esos datos personales, están la cuenta de correo y contraseña utilizada por el usuario.

Figura 2: Término que indica al usuario final que la compañía protegerá sus datos de carácter personal

Una vez instalada la aplicación en el ordenador portátil, ésta solicita una cuenta de correo y una contraseña en el proceso de configuración. Cualquier persona no familiarizada con la tecnología o seguridad informática es muy probable que introdujera como contraseña la misma que utiliza en la cuenta de correo usada en Mobizen.

Figura 3: Solicitud de cuenta de correo y password

Según el artículo 7 de la Figura 2, aunque se introdujera durante el proceso de configuración la misma password que la de la cuenta de correo del usuario, no habría de qué preocuparte. Si se analiza el tráfico de red, tras introducir una cuenta de correo electrónico y contraseña, la aplicación envía por medio de una conexión HTTP al servidor un objeto JSON con el correo del usuario y la contraseña en texto claro.

Figura 4: Cuenta de correo y password enviados en texto plano vía HTTP

Tras la finalización de la instalación de la aplicación en el ordenador portátil, siempre que se quiera utilizar la aplicación para compartir la pantalla del dispositivo Android con el resto del auditorio, será necesario volver introducir la cuenta de correo con la contraseña, si hemos decidido que la aplicación no recuerde esta información.

Figura 5: Login con usuario/password, Google+ o Facebook

Como se ve en la figura anterior, si disponemos de una identidad digital en Google+ o Facebook, también podemos utilizarlas para configurar la aplicación, pero la securización de los datos de acceso a las identidades digitales anteriores corresponde a Google o Facebook, ya que es contra sus servidores con los que realiza la validación de esas cuentas.

Figura 6: Autenticación segura frente a Google

Es más, conociendo la dirección IP del servidor donde se mandan las cuentas de correo electrónico y las contraseñas, bajo HTTP, realizando fuzzing contra el servidor Apache podrían descubrirse recursos tan interesantes como los siguientes:

Figura 7: Recursos descubiertos en el servidor Apache de Mobizen

Conclusiones

Aunque en las condiciones del contrato de cualquier aplicación te garanticen que van a proteger tus datos de carácter personal, no te fíes, puede ser que tu información viaje en texto claro y cualquiera de la Wi-Fi en la que estás conectado pueda verlas o que al final, las medidas que hayan implantado en los servidores no sean tan eficientes.

Además, cuando impartas una conferencia y utilices alguna aplicación para que el auditorio vea la pantalla de tu dispositivo móvil, piensa que puede que al menos uno de los asistentes puede que esté conectado a la red Wi-Fi del auditorio intentando robar datos de los demás asistentes conectados a la misma red Wi-Fi, así que, si necesitar Internet para tus demostraciones prácticas, procura usar tu VPN y si es posible tu propia conexión con tu smartphone haciendo tethering.

Autor: Amador Aparicio
Twitter: @amadapa