Yuzi download

Hace mucho tiempo os contaba la historia de cómo jugando con Siri era posible robarle la cuenta a una persona. Es un truco sencillo de bar que, la última vez que lo probé hace un mes y medio o así, todavía funcionaba. Consiste en aprovecharse de aquellos terminarles iPhone que permiten que Siri esté activado con la pantalla bloqueada y comenzar con un sencillo "¿Quién soy yo?" o "Who am I?" si lo tienes en inglés como yo.

Cuando se le hace esa pregunta a Siri, lo que hace el terminal es buscar qué cuenta tienes configurada en Siri. Tal vez no tengas ninguna, tal vez la hayas configurado y lo sepas, o incluso puede que no recuerdes que la tienes configurado - como le suele suceder a mucha gente - . En el siguiente vídeo hago una pequeña demo de cómo funciona el ataque:


Figura 2: Demo de cómo robar un cuenta usando Siri
Esta opción se encuentra en las opciones de Siri y es una cuenta de la agenda de contactos que hayas establecido tú con tus datos.

Si la tienes configurada, Siri accede a esa información y te muestra el contacto para que lo sepas. Antes, en las versiones vulnerables de iOS - hasta la iOS 9.3.1 - sale la información completa de la cuenta. Esto lo podrías usar para robarle la cuenta con el truco de bar que os conté o para simplemente sacarle el correo electrónico o el teléfono a esa chica que te gusta tanto y darle una sorpresa. Tal y como se ve en la pantalla.

En las nuevas versiones de iOS, Apple ha cerrado un poco más la boca a Siri para evitar esta fuga de información y otras más, por lo que ahora sale el nombre del contacto, pero ningún dato más sobre cuentas de correo electrónico o números de teléfono.

Poco a poco se van cerrando los leaks de información en Siri, que como sabéis, pueden dar mucho juego. Desde buscar información en  las notas o el calendario, hacer llamadas a personas o poner alarmas para despertar al que se ha descuidado y dejado su iPhone a tiro, a las 4 de la mañana.

Saludos Malignos!

Con el Jet Lag de mi viaje a Miami me levante pronto para aprovechar el tiempo y trabajar antes de comenzar las actividades planificadas para el día. De hecho, madrugué tanto que me dio tiempo hasta escribir este artículo durante el desayuno y dejarlo listo antes de comenzar el día, que todo es planificarse. La historia comenzó cuando me quité el grueso de los correos electrónicos y las acciones más importantes. Como siempre, decidí echarle un ojo a mi pasión, la seguridad informática. Esto es algo que realizo sistemáticamente todos los días. Leo, pruebo o compruebo algo que tiene que ver con Seguridad Informática, Hacking, y desde hace unos meses Big Data antes de comenzar o terminar el día. Obligatorio.

En este caso me puse a revisar un correo de mi amigo rootkit (que sigue aceptando la invitación que os hice en Mayo a todos para publicar vuestros artículos en el lado del mal) que me hablaba de un buzón temporal de esos que se usan para registrarse en sitios en los que no deseas dejar ningún rastro. Normalmente se utilizan en procesos de descarga que solicitan una dirección de contacto o para darse de alta en servicios que no quieres que sepan quién eres realmente. En este caso se trata del buzón de YOPMail.

La gracia de estos buzones es que normalmente se crea un alias, y durante un tiempo concreto se mantiene vivo. Una vez que se acaba el tiempo, generalmente asociado a una sesión, el buzón se elimina y con él todos los mensajes de correo electrónico que se hayan podido recibir hasta ese momento. Sin embargo, si se recrea ese buzón con el mismo alias, o si realmente el buzón no se elimina, entonces cualquiera podría investigar y saber qué está pasando por ahí y, tal vez en tiempo real, conseguir sacar alguna información jugosa. Esto es algo que Alejandro Ramos (@aramosf), en una de sus múltiples investigaciones que le llevarían más tarde a escribir con esas ideas el libro Hacker Épico, realizó hace mucho tiempo y publicó en un artículo titulado: "En lo qué pierdo el tiempo: Mailinator".

El caso del buzón de YOPMail es de esos que no solo reutilizan los buzones, sino que los alias son totalmente públicos y cualquiera puede conectarse a lo que está recibiendo ese buzón en todo momento, así que hay que tener mucho cuidado con lo que conectas allí. Quiero decir, cualquier alias de YOPMail es de todos. En mi caso, en una primera aproximación, me conecté a un buzón para ver qué llegaba.

Una cuenta de Steam asociada a un alias de YOPMail

Como podéis ver, lo que suele llegar casi siempre es SPAM, newsletters, etcétera, uno de los motivos por los que proliferaron este tipo de servicios. Pero, entre la lista de esos mensajes, encontré uno que me llamó la atención. Era un mensaje de Steam para recuperar la contraseña de una cuenta. 

No tiene mucho sentido que alguien ponga una cuenta de un servicio como Steam asociado a un mensaje de correo electrónico de un servicio como YOPMail, a menos que no conozca como funciona este servicio o que la cuenta que se esté asociando haya sido robada previamente, y el atacante no quiere dejar ningún rastro de ella. 

Lo cierto es que quería saber si esto era cierto o se trataba de un ataque de Phishing a uno de los usuarios de Steam, así que tras revisar el mensaje y ver que no parecía tener trampa ni cartón, me conecté y solicité la recuperación de contraseña para esa cuenta y me llegó, de nuevo al buzón de YOPMail, el One-Time Password para recuperar la cuenta.

Una vez introducido el sistema Steam te deja ver todos los usuarios y cuentas conectadas a esa dirección de correo electrónico para que se pueda cambiar, una a una, la contraseña de todas ellas. Como podéis ver, la lista es bastante grande.

No cambié la contraseña de ninguna de las cuentas, e hice un reporte a Steam porque quizá era una cuenta robada, o una cuenta que funciona con tarjetas de crédito robadas, o similar. Si no, si es de un usuario legítimo, usar YOPMail para recuperar la cuenta no parece lo más inteligente, así que Steam podrá decidir qué debe hacerse en cada caso.

Saludos Malignos!

En la pasada Defcon 23 se liberó una aplicación denominada NetRipper. Esta aplicación es una herramienta de post-explotación que permite interceptar el tráfico de red y, por ejemplo, es capaz de capturar tanto el tráfico en plano y el cifrado. En otras palabras, podremos hookear los navegadores de la máquina y robar las credenciales de Gmail, Facebook, Twitter u Outlook, ya que estamos en un nivel inferior, antes de que el HSTS haga su juego. También podremos extraer cookies de sesión, por lo que si la víctima tiene algún servicio al que se conecta con cookie persistente se podría sustraer.

Metasploit: Cómo hookear con NetRipper los navegadores para robar las contraseñas

La herramienta tiene una versión para Windows con un binario o .EXE, una versión para PowerShell y otra versión en forma de módulo de Metasploit. A mí me llamó la atención tanto el script de PowerShell, ya que se podría utilizar con el Powershell Empire y utilizarlo como script de post-explotación y la versión de Metasploit, ya que junto a una sesión de Meterpreter podríamos hacer grandes cosas. Para este artículo decidí orientarlo hacia el caso de Metasploit.

Instalación de NetRipper en Metasploit

Tal y como se puede leer en el Github de la herramienta, su instalación es básica, simplemente descargar los ficheros, por ejemplo, con un git clone. Después, hay que seguir los pasos que se detallan a continuación:

Figura 2: Instalación de NetRipper en Metasploit

Cómo se puede ver el proceso de instalación o de adición al framework es sencillo. Antes de continuar con el artículo vamos a pararnos a visualizar la siguiente imagen sobre dónde NetRipper se inyecta y cómo funciona.

Figura 3: Esquema de hooking de NetRipper

Se puede consultar más detalles sobre la charla de la Defcon y sobre el funcionamiento de la herramienta en la dirección URL de las diapositivas de Ionut Popescu, autor de la investigación y de la herramienta.

PoC: Hookeando navegadores y obteniendo contraseñas de Gmail o Facebook

La prueba de concepto la comenzamos en el estado en el que el auditor o el atacante ya tienen la sesión de Meterpreter conseguida. Sin perder la sesión ejecutamos el comando background y, posteriormente, cargamos el módulo de netripper con la instrucción use post/windows/gather/netripper. Tal y como se puede ver en la imagen, el módulo ofrece diferentes opciones, a través de sus atributos.

Figura 4: Opciones de NetRipper

Hay varios atributos que tenemos que configurar. El primero, y el requerido sí o sí, es el identificador de sesión. Tenemos que indicar por cual sesión queremos ejecutar el módulo de post-explotación. En esta prueba de concepto utilizaremos la sesión número 1 conseguida previamente para ejecutar el código.

Por otro lado, hay que configurar el atributo PROCESSNAMES, indicando cual es el nombre del proceso al que NetRipper debe hacer el hook. Para este ejemplo, utilizaremos iexplore.exe, para ello ejecutamos set PROCESSNAMES iexplore.exe. Podríamos separar por comas e intentar hacer hooking a más procesos que nos interesasen.

Una vez configurado se puede ejecutar el comando run y el módulo será ejecutado a través de la sesión de Meterpreter. El módulo listará los procesos y se quedará con los procesos que encajen con los valores indicados en el atributo PROCESSNAMES, tal y como se puede ver en la imagen.

Figura 5: Hooking en Internet Explorer

En este instante vemos que tenemos 2 procesos de Internet Explorer hookeados. En la siguiente ruta de la máquina comprometida se comenzará a escribir ficheros de texto con las peticiones HTTP que el navegador envía, justo antes de que se cifren.

Figura 6: Ficheros con peticiones HTTP realizadas

Si echamos un ojo, por ejemplo al fichero que comienza con el PID_iexplore.exe_EncryptMessage.txt podemos ver las peticiones en texto plano. La máquina víctima es un Windows 8.1, se puede ver en la petición a través del User-Agent. La petición POST queda al descubierto con NetRipper y obtenemos el usuario y contraseña.

Figura 7: Fichero con petición HTTP que almacena usuario y contraseña de Google

Es cierto que un KeyLogger podría darnos un resultado similar, y Metasploit también tiene esta posibilidad. Lo que no lograríamos sería la limpieza y todos los datos que obtenemos con NetRipper, ya que como se mencionó anteriormente, quizá solo podamos robar una cookie y eso ya es mucho. Si la víctima visita Facebook y hace login o simplemente tiene una sesión abierta, le podríamos robar la cookie de sesión.

Figura 8: Credenciales de Facebook en sesión HTTP

En la siguiente anterior vemos cómo robar la contraseña de Facebook, lo único que tenemos que hacer es visualizar el fichero indicado anteriormente. Como nota aclaratoria, con Meterpreter podremos descargar los ficheros de texto con esta información que NetRipper genera en la máquina comprometida. El comando que debemos utilizar es download [ruta origen] [ruta destino].

Una PoC de NetRipper para robar cuentas de Facebook en vídeo

En el siguiente vídeo tienes un ejemplo de cómo un Windows 8.1 es vulnerado con Metasploit a través de una versión vulnerable de Easy File Sharing FTP. Una vez que el equipo con Windows 8.1 es controlado con Meterpreter, se utiliza el módulo de post-explotación de NetRipper para hookear Internet Explorer y robar las credenciales de un inicio de sesión en Facebook.

NetRipper es una potente herramienta integrada con el framework de Metasploit, lo cual hace que un proceso complejo o que pueda llevarnos más tiempo en una auditoría podemos realizarlo rápidamente. Interesante herramienta que debemos llevar en la mochila en una auditoría interna.

Autor: Pablo González Pérez (@pablogonzalezpe)
Escritor de los libros "Metasploit para Pentesters", "Ethical Hacking" y “Pentesting con Powershell”