La Comunidad DragonJAR

Esta es ya la tercera entrega de la serie que estamos redactando aquí en la comunidad DragonJAR.

Aquí podréis encontrar la primera entrega => http://www.dragonjar.org/sqlmap-herramienta-imprescindible-en-tu-arsenal.xhtml

Aquí la segunda => http://www.dragonjar.org/sqlmap-herramienta-imprescindible-en-tu-arsenal-ii.xhtml

En la entrada de hoy veremos varios flags de SQLmap que seguro os resultan muy interesantes.

Cambiando User Agent.

Existen ciertas protecciones para evitar ataques a nuestro aplicativo web. Hay herrramientas que usan su propio user agent, por eso en los sistemas perimetrales se pueden aplicar reglas que cuando se identifiquen este tipo de user agents se bloqueen estas peticiones.

Es por eso que podemos modificar la herramienta para atacar con otro user agent

darkmac:sqlmap-dev marc$ python sqlmap.py -u http://testphp.vulnweb.com/listproducts.php?cat=1 –user-agent=”Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)”

Con esto en el servidor saldrá el user agent de Google.

Usando TOR como pasarela de ataque.

Además de cambiar el user agent para los ataques podemos conbinar SQLmap con TOR, para que los ataques vengan desde la red TOR y sea casi imposible poder tracerar el ataque.

El flag del sqlmap es:

darkmac:sqlmap-dev marc$ python sqlmap.py -u http://testphp.vulnweb.com/listproducts.php?cat=1 –dump-all –tor –user-agent=”Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)”

Está claro que irá bastante mas lento que si hicéisemos un ataque sin TOR.

SQLmap + Metasploit

Podemos combinar la potencia de SQLmap con Metasploit, para hacerlo es muy sencillo, hacemos

python sqlmap.py -u “http://192.168.136.129/sqlmap/mysql/iis/get_int_55.aspx?id=1″ –os-pwn \ –msf-path /software/metasploit

Como habéis podido ver en estas pequeñas entradas SQLmap es una herramienta muy versátil que nos puede ayudar en un proceso de auditoría.

Hoy quiero compartir con vosotros un documental que se emitió aquí en España. A mas de uno le parecerá interesante y conocerá algunos de los participantes.

A disfrutarlo

Los equipos que se dedican a la disciplina del ecrime necesitan el poder procesar muestras de malware para ir alimentando su base de datos interna.

Es por eso que se necesitan procesos automatizados de descarga de samples desde Internet.

Para ello existen proyectos como mwcrawler que es un script en python que descargará los samples de distintas fuentes.

Iniciamos el script

Irá parseando las URL una a una para hacer la descarga de los simples correspondientes.

Hay que modificar el script si queremos que guarde los samples en la ruta deseada.

Podemos automatizar este proceso de análisis y pasar estos samples por nuestro sandbox preferida.

Sandbox

No hay excusa para tener nuestra base de datos de malware actualizada.

En sitios como GitHub y Code Google hay MILLONES de proyectos. Muchas veces es interesante pasarse por el buscador y buscar si alguien ha echo eso o aquello. Te puedes encontrar con verdaderas joyas, os lo aseguro.

Pues buscando y buscando me he encontrado con un script en python que me ha parecido de lo mas curioso.

Las páginas con mucho tráfico web han de tomar ciertas medidas si no quieren auto-caerse de sus visitantes legítimos. Es por eso que existen cosas como Amazon, Cloudfare, o balanceadores de carga que te puedes configurar nivel de servidor para dimensionar esta carga de tráfico.

Una imagen vale mas que mil palabras.

Balanceador

Este es el aspecto que tendría un balanceador de carga para un servidor web.

¿Como podemos saber que hay un balanceador?

El script que me he encontrado alojado en Code Google comprueba si existe un balanceador realizando las siguientes pruebas.

- Check multiple DNS "A" entries
- IPID Analysis
- IP TTL value analysis
- Server banner analysis
- Well-known load balancer cookies checking
- HTTP Date header timestamp analysis
- ICMP timestamp analysis
- TCP timestamp analysis
- Multiple DNS queries with different geolocated DNS servers (round-robin, anycast)</blockquote>
Si lanzamos esta prueba obtendremos los siguientes resultados.
<blockquote>root@kali:~/tools/loadbalancer-finder/loadbalancer-finder/src# <strong>python lbd.py -c -d communities.vmware.com -f lb-finder.conf.example</strong>
WARNING: No route found for IPv6 destination :: (no default route?)

|----------------------------------------------------------|
| Load Balancer Finder |
| Alejandro Nolla (z0mbiehunt3r) |
|----------------------------------------------------------|

[*] Looking for load balancers in communities.vmware.com
[*] Checking multiple A DNS entries...
[-] Just one DNS entry found: 2.20.195.51
[*] Analyzing IPID sequence...
[-] IPID always zero
[*] Analyzing IP TTL value
[-] No high IP TTL received
[*] Looking for banner inconsistencies
[-] No banner inconsistencies found
[*] Looking for known load balancers cookies
[+] F5 load balancer detected
[*] Going to enumerate some internal IPs
&lt;-&gt; Decoded cookie: 10.119.17.56:80
&lt;-&gt; Decoded cookie: 10.119.17.60:80
&lt;-&gt; Decoded cookie: 10.119.17.57:80
&lt;-&gt; Decoded cookie: 10.119.17.56:80
&lt;-&gt; Decoded cookie: 10.119.17.59:80
&lt;-&gt; Decoded cookie: 10.119.17.57:80
&lt;-&gt; Decoded cookie: 10.119.17.59:80
&lt;-&gt; Decoded cookie: 10.119.17.57:80
&lt;-&gt; Decoded cookie: 10.119.17.57:80
&lt;-&gt; Decoded cookie: 10.119.17.57:80
[*] Looking for HTTP timestamps inconsistencies
[-] No HTTP timestamps inconsitencies found
[*] Analyzing ICMP timestamps...
[-] No ICMP inconsistencies found
[*] Analyzing TCP timestamps...
[+] TCP timestamp inconsistency found
[*] Looking for round-robin/anycast DNS
[+] DNS round-robin/anycast detected
&lt;-&gt; Found DNS A entry: 84.53.131.51
&lt;-&gt; Found DNS A entry: 23.14.211.51
&lt;-&gt; Found DNS A entry: 84.53.141.51
&lt;-&gt; Found DNS A entry: 2.20.195.51
&lt;-&gt; Found DNS A entry: 2.18.67.51
&lt;-&gt; Found DNS A entry: 95.100.131.51
[*] Looking for known load balancers HTTP 'Server' header
[-] No known HTTP 'Server' header found
[-] All tests done...

Aquí podéis ver las pruebas realizadas sobre los foros VMWARE.

La herramienta la podemos encontrar aquí => https://code.google.com/p/loadbalancer-finder/

Las empresas de seguridad afinan los controles del correo para que los correos de SPAM no lleguen hacia la bandeja de entrada y puedan por ejemplo llegar a infectar a los usuarios. Una cantidad X de links en el correo, que no se tenga activado SPF o DKIM, al final todo esto marca una puntuación y el correo acaba siendo enviado a la bandeja de entrada o la papelera.

Los criminales van buscando nuevas técnicas  de saltarse los filtros de anti-spam creados por las empresas para que el correo de SPAM llegue hasta los usuarios. Leer más…

Liberty Reserve

Como si se tratara de una película, que dicen aquello de: “Los malos nunca se salen con la suya y el bien siempre triunfa.

El propietario de uno de los servicios mas usados en el ámbito Underground ha sido arrestado en España.

Para quien no lo sepa Liberty Reserve es un procesador de pagos electronicos el cual sirve como un medio para enviar y recibir dinero de casi cualquier lugar del mundo en minutos, es un procesador de pagos electronicos muy seguro.

En algunos foros Underground usan este sistema de pagos para sus trabajos, por lo que cuando el servicio se quedo en OFF, empezaron los mensajes de preocupación.

Si alguien quiere comprobar la disponibilidad del dominio:

darkmac:ips marc$ host Libertyreserve.com
Libertyreserve.com has address 74.208.15.160

El servidor contesta con la IP, es decir, esta UP. Pero en cambio nadie puede acceder ¿Como es posible?

Pues si hacemos un Whois del dominio:

Domain Name: LIBERTYRESERVE.COM
Registrar: AB NAMEISP
Whois Server: whois.nameisp.com
Referral URL: http://www.nameisp.com
Name Server: NS1.SINKHOLE.SHADOWSERVER.ORG
Name Server: NS2.SINKHOLE.SHADOWSERVER.ORG
Status: clientTransferProhibited
Status: serverDeleteProhibited
Status: serverTransferProhibited
Status: serverUpdateProhibited
Updated Date: 24-may-2013
Creation Date: 27-jul-2001
Expiration Date: 27-jul-2018

Como veis los DNS se han cambiado a los de Shadow Server. Por quien no los conozca Shadow Server es una asociación que ayuda a los ISP en materia de DDOS, malware y otros incidentes relacionados con la seguridad.

La policía española ha sido la responsable de detener al presunto propietario que se llama Vladimir Kats, de origen Ucraniano. Los cargos que se le imputan es el de transmitir dinero de modo ilegal.

Aún no ha habido comunicado oficial por parte de la policía española:

http://policia.es/prensa/historico/prensa_1.html

En los próximos días, imagino que habrá una comunicación oficial.

Los proveedores de correo electrónico vigilan de ajustar sus filtros de SPAM para que los usuarios no sufran oleadas de correos basura con phishings, malware etc…

Yo siempre reviso el SPAM por si acaso viene algún premio que merezca la pena analizar.

En la revisión de correos que estaba realizando me ha llegado un correo de SPAM, se trataba de un phishing. Sabía que era así porque me ofrecían cambiar las claves de una cuenta bancaria de la que yo no tenía cuenta registrada.

Observamos el correo:

Tenía claro de que se trataba de un phishing ya que yo no tengo cuenta en Banamex.

Miramos el enlace donde apunta la palabra Entrar:

http://www.baltiprofiil.ee/boveda.banamex.com.mx/serban/

La parte en negrita es el dominio, para confundir al usuario han usado la palabra banamex en el directorio donde estaría alojado el phishing.

darkmac:malware marc$ curl -I http://www.baltiprofiil.ee/boveda.banamex.com.mx/serban/
HTTP/1.1 404 Komponenti ei leitud
Date: Mon, 20 May 2013 21:38:03 GMT
Server: Apache/2.2.24/DataZone SP (Unix) mod_zfpm/0.2
P3P: CP="NOI ADM DEV PSAi COM NAV OUR OTRo STP IND DEM"
Expires: Mon, 1 Jan 2001 00:00:00 GMT
Cache-Control: post-check=0, pre-check=0
Pragma: no-cache
Set-Cookie: fb2e82f3aa5e9e6274ab1d0eb636e5bd=6e5fcf339c991bbe34523d245d2d2a29; path=/
Set-Cookie: lang=deleted; expires=Sun, 20-May-2012 21:38:02 GMT; path=/
Set-Cookie: jfcookie=deleted; expires=Sun, 20-May-2012 21:38:02 GMT; path=/
Set-Cookie: jfcookie[lang]=deleted; expires=Sun, 20-May-2012 21:38:02 GMT; path=/
Last-Modified: Mon, 20 May 2013 21:38:03 GMT
Content-Type: text/html; charset=utf-8

El phishing no está disponible, una lástima, me hubiera gustado analizarlo.

He consultado el dominio en las listas negras y no está, por lo tanto puede que se trate de un dominio comprometido.

http://multirbl.valli.org/lookup/baltiprofiil.ee.html

Una de las cosas que podemos hacer es mirar las cabeceras del correo eso nos aportará mas información.

Received: by 10.60.27.70 with SMTP id r6csp7332oeg;
Sat, 18 May 2013 02:11:56 -0700 (PDT)
X-Received: by 10.15.108.6 with SMTP id cc6mr79602894eeb.28.1368868315363;
Sat, 18 May 2013 02:11:55 -0700 (PDT)
Return-Path: <[email protected]>
Received: from s16071902.onlinehome-server.info (intercampusonline.com. [212.227.89.54])
by mx.google.com with ESMTPS id i3si21728397eev.129.2013.05.18.02.11.54
for <[email protected]>
(version=TLSv1 cipher=RC4-SHA bits=128/128);
Sat, 18 May 2013 02:11:55 -0700 (PDT)
Received-SPF: neutral (google.com: 212.227.89.54 is neither permitted nor denied by best guess record for domain of [email protected]) client-ip=212.227.89.54;
Authentication-Results: mx.google.com;
spf=neutral (google.com: 212.227.89.54 is neither permitted nor denied by best guess record for domain of <strong>[email protected]</strong>) smtp.mail=[email protected]
Received: by <strong>s16071902.onlinehome-server.info</strong> (Postfix, from userid 502)
id 9E1269FB0; Sat, 18 May 2013 10:18:52 +0200 (CEST)
To: [email protected]
Subject: Verificacion de datos en BancaNet
X-PHP-Originating-Script: 502:index.php
From: Notificaciones<[email protected]>
Reply-To: [email protected]

La dirección de correo estaba spoofeada por lo tanto el destinatario del correo pensará de nuevo que la notificación se la envía el banco. Una de las maneras de revisar esta parte es mirar la cabecera del correo.

Como véis un pequeño análisis nos da información sobre el phishing recibido.

Desde el momento en que la gente comenzó a utilizar contraseñas, no tardaron en darse cuenta que varias personas utilizaban la misma contraseña una y otra vez, incluso la forma en que las personas escriben erróneamente las palabras es coherente; Normalmente las personas son tan previsibles que la mayoría de los hackers hacen uso de listas de contraseñas comunes como las publicadas en este articulo. Leer más…