Archive for September 2018

Call For Papers Patagonia Hacking, capítulo Temuco

¿Te gustaría dar una charla y compartir tu experiencia en el sur de Chile? El capítulo Temuco de Patagonia Hacking se realizará el 15 y 16 de noviembre. Las postulaciones para que envies tu investigación o charla ya se encuentran abiertas.

Patagonia Hacking es una instancia para compartir experiencias y conocimientos en relación a seguridad informática y hacking. Por primera vez, se realizará en dos ciudades de Chile. El 8 y 9 de noviembre en Punta Arenas y el 15 y 16 de noviembre en Temuco. Los speakers y talleres para el capítulo de Punta Arenas ya se encuentra completo, sin embargo, para Temuco se acaba de abrir un CFP para que puedas enviar tu investigación. El plazo es hasta el 29 de septiembre.

Temuco

Este es el anuncio oficial:

Si eres investigador/a en seguridad y quieres mostrar tu trabajo, Patagonia Hacking es una buena instancia para lograrlo.

Temáticas
• Pentesting. Ingeniería Social, Hardware Hacking.
• Seguridad en Redes, Seguridad Web, Seguridad Móviles, Seguridad en Entornos Industriales. Seguridad en la Nube, Seguridad en Tecnologías Emergentes.
• Vulnerabilidades 0-day,Exploiting.
• Criptografía, Computación Forense, Desarrollo Seguro.
• Seguridad en IoT.

Para enviar tu paper a Patagonia hacking necesitas:

• Enviar tu paper al siguiente correo contacto@patagoniasec.cl
• Plazo Máximo para recepción de papers: 29 de Septiembre de 2018
• Anuncio de papers aceptados 01 de Octubre de 2018
• En caso que su paper sea aceptado el comité académico se pondrá en contacto con Usted y le indicara los pasos a seguir

Leer artículo original: Call For Papers Patagonia Hacking, capítulo Temuco

Solución al Reto: DarkArmy ataca la 8.8 Bolivia

Lastimosamente nadie gano la entrada, respecto al reto que lanzamos el mes de Agosto para el evento de la 8.8 que se realizara este Viernes 14 y 15 de Septiembre a continuación detallo cual era el proceso para resolver el reto.

https://1.bp.blogspot.com/-juVBR21jmhY/W3s6tXmQi_I/AAAAAAAAJmw/TbkAkE1w9MoV8km6Io2V5ebEiZ5PltOfwCLcBGAs/s1600/SniferL4bs_8dot8_Reto.bmp

Muchas gracias a todos los que participarón y estuvierón de pie en el cañon espero que cuando se tengan retos que no vengan con premio igual anden, asi que sin mas vueltas con la  Solución. Lo primero que teniamos como referencia es el siguiente contenido.

Además de como nunca faltan en las entradas alguna frase, en este caso tenía mucho sentido con el reto para afrontarlo y dar con la solución. Una vez descargamos el fichero, con la información obtenida procedemos a extraer y nos brinda dos ficheros “Whiterose.txt” y “white.exe”.

Al abrir el fichero “Whiterose.txt” tenemos la siguiente frase y codigo binario.

"Si te vas, te conviertes en un cero. Si te quedas, si quieres cambiar el mundo. Te conviertes en un uno."

01100001 01001000 01010010 00110000 01100011 01001000 01001101 00110110 01001100 01111001 00111001 00110101 01100010 00110011 01010110 00110000 01100100 01010011 00110101 01101001 01011010 01010011 00111001 01000110 01010011 01101100 01001010 01111010 01011010 00110010 01010010 01011001 01100001 00110000 01010001 01111001 01010110 01010001 01101111 00111101

Entonces procedemos a convertirlo  y obtenemos el texto en base64.

aHR0cHM6Ly95b3V0dS5iZS9FSlJzZ2RYa0QyVQo=

Al proceder a descifrarlo nos brinda un enlace a Youtube , en el cual es una escena de Mr Robot cuando Eliot comenta sobre el Hackeo al FBI. Enlace a Youtube: https://youtu.be/EJRsgdXkD2U

Si vemos en la descripción esta el texto cifrado por lo tanto, toca obtenerlo en claro en este punto varios estuvieron peleando con obtener la URL correcta ya que no se realizaba el desplazamiento de los numeros, en la web Cryptii si ingresamos el texto no da la URL correcta que es la siguiente:

WhiteRose tienes los datos, cuando los descargues avisa para borrar y no dejar información suelta. /file/u0w9m62elbusc25/EmpireAttack.zip Atte;mediafire
Una vez realizamos el proceso correctamente tenemos para descargar el fichero EmpireAttack.zip.

Al descomprimir nos quedan ahora 2 ficheros por analizar el audio “EmpireAttack.wav” el cual lo obtenemos del deepsound y el “White.exe”

El fichero ejecutable “white.exe” tenia como unico objetivo marear y que se pierda el tiempo en un análisis ya que podría tener algun BoF, pero lo único que nos interesa es ver los datos que estan en el mismo podemos hacerlo con un editor hexadecimal y tenemos lo siguiente.

El código binario que se tiene es el siguiente el cual al obtenerlo en texto tenemos base64_esta_la_llave con esto podemos realizar una busqueda de referencia en base64.

Mas abajo del codigo binario tenemos texto que se debe de tratar para tenerlo correctamente y descifrar en base64.

Obtenemos la llave: EmpireFramework (que por cierto viene en relación a la charla que daré en el evento.)

Ahora el audio es un chiptune por decirlo de Star Wars, en este punto podriamos analizar y ver si lleva algo de esteganografia en el mismo embebiendo algun fichero.

Como sabran Elliot hace uso de una herramienta DeepSound para guardar su información en archivos de audio, y como la temática de este reto era la misma ya venia derecho el uso de la misma les hablo de deepsound. (Quizas no sea  legal o igualitario para los que no vierón la serie.)

Al abrir el fichero nos pide contraseña, evidentemente podria ser “EmpireFramework”, algunos se que generaron un diccionario pero la pista para resolver se encontraba en el mismo video si lo llegan a ver con detalle en diversos fotogramas daba una pista, dejo en una imagen los datos que se brindaba así tambien los segundos donde se muestra el texto.

00:00 La
00:04 Password
00:08 es
00:15 el
00:21 canal

Se que algunos llegarón a este punto y se estancaron, pusieron el canal del blog en Telegram, el canal de Youtube asi que era el canal de IRC donde se ve en el segundo 00:15 #th3g3ntl3man

Al ingresar la password en deepsound nos extrae el fichero de texto Information.txt

El mismo contiene el siguiente texto:

Ahora si llegamos a visualizar con detalle se tiene algunas letras mayúsculas,  ESASLPB evidentemente algunas son forzosas asi que extrayendo nos queda ESA ordenando nos da AES, el cifrado usado del texto y la llave como ya la tenemos es la primera que obtuvimos EmpireFramework al descifrar obtenemos el medio de contacto por Telegram y el infiltrado.

Espero les agrade y pasaron un buen momento tratando de resolverlo, por mi parte nos vemos en el evento, en el cual estare dando la charla de Post & Explotación con Empire donde veremos parte del framework y además el potencial que esta llegando a tener PowerShell para la realización de diferentes ataques bajo windows. 
Pero aquí no termina, me gustaria que alguien gane la entrada por lo tanto pondremos algunas reglas básicas para este sorteo. 
1.- Si eres estudiante de la universidad o Colegio puedes participar (se validara con el ganador).
2.- Si estas fuera de La Paz, es decir en cualquier otro departamento pero te gustaria venir, y tener esa ayuda con el ticket de ingreso puedes participar.
3.- Realizar un tweet con el Hashtag #8dot8BoliviaRetoSniferL4bs solo una vez, hasta el dia de mañana jueves a  medio día, y entre los que lo realicen me contacto con la persona que salga ganadora eso si debe de cumplir con los requisitos.

Una lastima que nadie se animó a lanzar el tweet, hubiese sido el único ganador, gracias a todos por participar.  Dos personas  resolvieron el reto ambos dando pistas, uno mas que el otro eso si fuera de Bolivia cuando recuerde los nicks o me digan los agregamos.

Nadie tiene más amor que el que da su vida por los que ama – (Paul Claudel)

Regards,
Snifer

Leer artículo original: Solución al Reto: DarkArmy ataca la 8.8 Bolivia