Archivo

Posts Tagged ‘hacking linux’

Intentando evadir mecanismos y restricciones de Seguridad – Desactivando procesos resilientes en una máquina comprometida – Parte XV

marzo 14, 2012 14 comentarios

En esta ocasión se intentará indicar como es posible desactivar procesos resilientes en máquinas comprometidas (máquinas Windows) para evitar las dificultades que conlleva trabajar con un sistema monitorizado por un anti-virus u otro software de seguridad, para esto se utilizará en primer lugar MetaSploit Framework con una consola meterpreter establecida, IRB para ejecutar scripts escritos en Ruby contra la máquina comprometida y finalmente una DLL que permite “dormir” un proceso determinado y sus correspondientes procesos hijo, esto es todo lo que se necesita para conseguir eliminar procesos resistentes que no pueden ser detenidos o suspendidos por medio de los mecanismos convencionales.

En entradas anteriores de este blog se han indicado las bases sobre el uso de Ruby y de IRB desde Meterpreter, estos conocimientos son en esta ocasión, utilizados con el fin de crear un script que permita la carga de la librería DLL a un proceso del sistema y una vez cargada, intentará suspender el proceso. El procedimiento es realmente simple, se indica a continuación:

Leer más…

Categorías:Hacking, MetaSploit, Networking, Programacion, Services - Software Etiquetas: , , , , , , ,

Intentando evadir mecanismos y restricciones de Seguridad – Uso de redes virtuales privadas – OpenVPN ALS/Adito – Parte XIII

marzo 9, 2012 Dejar un comentario

OpenVPN ALS es una solución de VPN escrita en Java con interfaz web y soporte a SSL, esta aplicación Web soporta AJAX y tecnologías Web 2.0 que permite el acceso completo a una red de ordenadores conectados independiente de su localización física. OpenVPN ALS es también conocido como Adito, el cual anteriormente era compuesto por SSL-Explorer, actualmente se encuentra disponible de forma independiente.

Esta aplicación es software libre, licencia GNU/GPL lo que invita a utilizarla y comprobar con un nivel de profundidad adecuado las potencialidades que ofrece.

A continuación se indicará el proceso de instalación y los conceptos clave para tener una VPN con Adito escalable y sobre todo segura.

Leer más…

Categorías:Hacking, Networking, Services - Software Etiquetas: , , , ,

Intentando evadir mecanismos y restricciones de Seguridad – Uso de redes virtuales privadas – OpenVPN – Parte XII

marzo 7, 2012 Dejar un comentario

OpenVPN es una aplicación sumamente interesante en el campo de las redes VPN que aprovecha al máximo todas las características de cifrado, certificación y autenticación que soporta OpenSSL para crear túneles sobre redes IP utilizando únicamente un puerto TCP/UDP, se trata de una aplicación bastante robusta y estable que se ha consolidado como una de las mejores aplicaciones en el campo de VPN en el software libre (su licencia es GNU/GPL).

Al igual que cualquier túnel sobre IP utilizando una VPN, una de las principales ventajas es precisamente la posibilidad de “saltar” las restricciones que pueden estar establecidas entre una máquina determinada y la red a la cual se encuentra conectada, a continuación se indica como es el proceso de instalación y como utilizar OpenVPN

Leer más…

Categorías:Hacking, Networking, Services - Software Etiquetas: , , , ,

Intentando evadir mecanismos y restricciones de Seguridad – Uso de redes virtuales privadas – Hamachi – Parte XI

marzo 5, 2012 3 comentarios

Existen muchas herramientas que permiten usar VPN las cuales permiten crear, literalmente, una “red” completamente independiente de las configuraciones de Firewall, IDS y otros elementos restrictivos en un determinado entorno (como por ejemplo, una organización, una universidad, etc).

Los conceptos de lo que es una VPN, se pueden ver con un mayor nivel de detalle aquí: http://en.wikipedia.org/wiki/Virtual_private_network

la intención de esta entrada es simplemente indicar como se puede utilizar este mecanismo para realizar un “bypass” de las restricciones a las que habitualmente nos encontramos expuestos en determinados sitios, a continuación se indicará el uso de Hamachi para lograr este cometido

Leer más…

Categorías:Hacking, Networking, Services - Software Etiquetas: , , , ,

Intentando evadir mecanismos y restricciones de Seguridad – Burlando restricciones de Firewall usando protocolo ICMP – Parte X

marzo 2, 2012 1 comentario

ICMP (Internet Control Message Protocol) es un protocolo que permite consultar si un servicio solicitado se encuentra realmente disponible para su uso así como también si un host remoto puede ser alcanzado, por ejemplo, cuando se ejecuta un comando ping especificando una dirección IP o un nombre de dominio, realmente se utiliza protocolo ICMP para determinar si el host objetivo se encuentra al alcance.

>ping google.com

PING google.com (209.85.147.106) 56(84) bytes of data.

64 bytes from bru01m01-in-f106.1e100.net (209.85.147.106): icmp_req=1 ttl=52 time=65.3 ms

64 bytes from bru01m01-in-f106.1e100.net (209.85.147.106): icmp_req=2 ttl=52 time=65.2 ms

64 bytes from bru01m01-in-f106.1e100.net (209.85.147.106): icmp_req=3 ttl=52 time=64.0 ms

Partiendo de este punto, frecuentemente nos encontramos que las peticiones salientes de una máquina utilizando este protocolo, rara vez son restringidas por los firewall, lo que permite utilizar este protocolo para realizar conexiones reversas, permitiendo a un atacante tener acceso a una consola en la máquina objetivo pasando por detrás de las restricciones del firewall, sin embargo, actualmente existen pocas herramientas que aprovechen esta potencial vulnerabilidad. En esta entrada se realizaré un análisis sobre algunas de las herramientas disponibles para este propósito, su uso y sus resultados, así como las ventajas y desventajas que tienen cada una de estas.

Leer más…

Categorías:Hacking, Networking, Services - Software Etiquetas: , , , , , ,

Intentando evadir mecanismos y restricciones de Seguridad – Escaneo con NMAP evadiendo Firewalls – Parte VII

febrero 24, 2012 5 comentarios

Existen distintas técnicas que permiten conocer cuales puertos se encuentran abiertos en una máquina remota, cada una estas técnicas utilizan distintos tipos de envío de paquetes y protocolos, sin embargo, cuando una máquina remota tiene un Firewall o un IDS instalado y correctamente configurado, lo más probable es que los escaneos sean infructuosos, dado que la salida más frecuente, será precisamente ver todos los puertos bloqueados. Por ejemplo, si ejecutamos un clásico escaneo de puertos contra una máquina windows sin un firewall activo, podríamos ver lo siguiente:

Leer más…

Categorías:Hacking, MetaSploit, Networking, Services - Software Etiquetas: , , , , , , , ,

Intentando evadir mecanismos y restricciones de Seguridad – Evadiendo Anti-Virus con Metasploit Framework usando VBSMEM – Parte VI

febrero 22, 2012 10 comentarios

VBSMEM es un encoder incluido en las versiones de MetaSploit FrameWork  superiores a la 3.8, nace de la necesidad de una solución al problema que se enfrentar los pentesters a la hora de generar payloads con msfpayload, codificarlos múltiples veces con msfencode para que al final, sean detectados por el AV en la maquina objetivo y no sea posible obtener una sesión meterpreter, lo que desde luego, es bastante frustrante. Se basa en la idea de que, los payloads con VBScript no son detectados por los AV actuales, esto ocurre, porque se ejecutan en memoria y no realizan ningún tipo de operación de escritura en disco, evidentemente el AV confiá en el contenido de una macro que se ejecute dentro de un programa de Microsoft Office (por ejemplo), esto se ha detallado hace unas cuantas entradas, para revisar dicha entrada ver aquí http://thehackerway.com/2012/02/13/intentando-evadir-anti-virus-usando-metasploit-framework-y-visual-basic-contra-plataformas-windows-parte-ii/ tomando este enfoque, se ha implementado el encoder VBSMEM, el cual escribe un shellcode en un fichero VBScript el cual utiliza una librería llamada Dynawrap.dll la cual ejecuta llamadas nativas del sistema operativo en concreto las funciones:

1. VirtualAlloc: Separar un espacio en memoria para la ejecución del shellcode.

2. WriteProcessMemory: Copiar el shellcode en el segmento de memoria separado.

3. CreateThread: Ejecutar el shellcode cargado en memoria.

Por lo demás, para el funcionamiento de este encoder, se utilizan las mismas técnicas de ofuscación para VBScript para ocultar el Shellcode actual de un software AV en la máquina objetivo, la ventaja de esto es que se crea un fichero ejecutable (.vbs) con las mismas características de ofuscación de un fichero en ms office con una macro maliciosa, por lo tanto no es detectable (al menos a día de hoy) por ningún AV del mercado. Los pasos a seguir para conseguir esto son los siguientes:

Leer más…

Categorías:Hacking, MetaSploit, Networking Etiquetas: , , , , , , , , ,

Intentando evadir mecanismos y restricciones de Seguridad – Evadiendo Firewalls usando MetaSploit Framework – Parte V

febrero 20, 2012 6 comentarios

Existen diferentes técnicas para el establecimiento de una conexión entre dos máquinas que se encuentran separadas y condicionadas por un firewall que evita que determinados puertos, protocolos y/o hosts puedan establecer conexiones, aunque se trata de un mecanismo bastante eficiente, en muchas ocasiones estas reglas no restringen absolutamente todo por diferentes razones, como por ejemplo, la necesidad de tener determinados puertos abiertos para realizar conexiones a un servicio externo, entre otras cosas. Esta situación es bastante frecuente en algunas organizaciones, donde alguna de las aplicaciones internas necesita acceso a un servicio externo y para este fin se debe dejar abierto uno o varios puertos. En este escenario se puede realizar un ataque de “fuerza bruta” en busca de una conexión pasando por el firewall, para este fin se utilizan los payload windows/*/reverse_tcp_allports que intentan capturar alguno de estos puertos abiertos e iniciar la transferencia del stage.

Leer más…

Categorías:Hacking, MetaSploit, Networking, Programacion Etiquetas: , , , , , , , ,

Intentando evadir mecanismos y restricciones de Seguridad – Creando una puerta trasera y accediendo a información de usuarios usando un DEB malicioso – Parte IV

febrero 17, 2012 Dejar un comentario

En la entrada anterior se ha indicado como crear un instalador DEB malicioso utilizando msfpayload, lo que ha permitido obtener una consola en la mÁquina remota que se deseaba atacar.

Partiendo de la publicación anterior, se intentará crear un programa simple que acceda a la información de todos los usuarios del sistema y dicha información se intentará enviar a una máquina remota por medio de un socket. A continuación se indica paso a paso, el uso de algunas librerías propias en C/C++ (en concreto, contenidas en el paquete libc y build-essencial) y como se ha codificado esta pequeña puerta trasera. El objetivo de lo que se indica a continuación, es solamente para fines ilustrativos, no se tienen en cuenta factores de seguridad vitales en la máquina atacada tales como firewalls, AV y/o IDS, de esta forma, un hacker con conocimientos medios en programación puede darse una idea de la cantidad de operaciones que puede llevar a cabo en una máquina objetivo con un vector de ataque como este.

Leer más…

Categorías:FileSystem, Hacking, Networking, Programacion Etiquetas: , , , , , ,

Intentando evadir mecanismos y restricciones de Seguridad – Ataques contra plataformas Linux creando ficheros DEB maliciosos – Parte III

febrero 15, 2012 Dejar un comentario

En entradas anteriores sobre Payloads en MetasSploit, se ha hecho énfasis especial sobre Payloads contra plataformas Windows y como estos conseguían burlar la seguridad de la víctima. En esta ocasión se intentará indicar el procedimiento que frecuentemente se lleva a cabo para conseguir estos mismos resultados sobre plataformas GNU/Linux, en este caso particular sobre distribuciones Debian/Ubuntu por medio de envenenamiento de paquetes de instalación (*.DEB)

El procedimiento es muy sencillo, a continuación se listan los pasos que se deben de llevar a cabo para conseguir una consola remota usando un DEB infectado.

Leer más…

Categorías:Hacking, MetaSploit, Networking, Programacion Etiquetas: , , , , , , ,

Intentando evadir mecanismos y restricciones de Seguridad – Evadir Anti-Virus usando MetaSploit Framework y Visual Basic contra plataformas Windows – Parte II

febrero 13, 2012 2 comentarios

En la anterior entrada, se ha indicado la forma de realizar un “bypass” utilizando MetaSploit Framework y una plantilla simple escrita en lenguaje C, en esta ocasión, se intentará explicar la forma de “infectar” un documento de MicroSoft Office (word, excel, etc.) por medio de una macro maliciosa generada por metasploit framework, la virtud de tipo de ataques es que no son detectables por un AV, ya que los AV normalmente suelen confiar en el contenido que se ejecuta dentro de los procesos de programas instalados y frecuentemente utilizados, (como en este caso un programa ofimatico) lo que le permite a un atacante enviar un documento malicioso a un usuario con el fin de comprometer su máquina, no obstante, existen mecanismos de seguridad en Office que no permite la ejecución de Macros, pero si el documento es generado directamente por el atacante y enviado a la víctima, evidentemente el nivel de seguridad que intentará establecer para el documento será bajo de tal forma que cuando el objetivo del ataque abra el documento, no encontrará nada sospechoso en él.

Leer más…

Categorías:Hacking, MetaSploit, Networking, Programacion Etiquetas: , , , , , , ,

Intentando evadir mecanismos y restricciones de Seguridad – Evadir Anti-Virus usando custom encoders, Lenguaje C y Metasploit Framework – Parte I

febrero 10, 2012 6 comentarios

Esta es la primera de una serie de entradas que intentarán indicar las técnicas de hacking que frecuentemente se utilizan con el fin de comprometer una maquina remota que implementa mecanismos de seguridad y restricciones que dificultan las labores de penetración de un pentester o un hacker, en esta serie de entradas se indicará como es posible evadir dichas restricciones (restricciones de AV, IDS o Firewalls).

En muchos casos nos encontramos con la necesidad de distribuir un backdoor o cualquier tipo de troyano en una maquina objetivo con el fin de tener acceso a los recursos de dicha máquina para ejecutar alguna clase de tarea, sin embargo, estos son fácilmente detectados por antivirus como NOD32, AVG, Norton, etc. Esto ocurre debido a su gran cantidad de registros e información relacionada con virus, troyanos, puertas traseras, etc. Ademas de los mecanismos que incorporan para detectar de forma efectiva algún tipo de amenaza que pueda representar un riesgo para el sistema. Un antivirus frecuentemente verifica si un fichero representa un riego o no por medio de determinadas firmas o “signatures” que tiene un programa ejecutable, estas firmas corresponden a una serie de patrones de comportamiento que tiene el programa, estos patrones son obtenidos por un antivirus por medio de un proceso de desensamblaje que convierte el código ejecutable en código en ensamblador, si dentro de este código, existe al menos una de las firmas registradas en el antivirus, este programa es marcado como no fiable, ya que probablemente se trate de un troyano o algún otro tipo de amenaza.

Leer más…

Categorías:Hacking, MetaSploit, Programacion, Services - Software Etiquetas: , , , , , ,
Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

Únete a otros 566 seguidores

%d bloggers like this: