Solución CTF: Fristileaks 1.3

Publicado el diciembre 18, 2015 por Simon Roses

Esta VM vulnerable es un divertido y simple CTF que puede descargarse desde el estupendo portal VulnHub.

Nota: Para vmware puede ser necesario configurar la dirección MAC 08:00:27:A5:A6:76 para conseguir que funcione (obtenga DHCP). Yo lo hice, ver Fig 1.

srf_fristileaks_1

¡Que comience el juego!

En este caso ya sé la dirección IP, por lo que empezamos lanzando un escaneo nmap. Del resultado podemos ver solo 1 puerto abierto (HTTP) y el archivo robots.txt con algunos directorios.

srf_fristileaks_2

Abrimos el sitio Web.

srf_fristileaks_3

Nada interesante por el momento. Ahora vamos a probar abrir el robots.txt

srf_fristileaks_4

En estos directorios solo encontramos una imagen del Jedi Obi-Wan Kenobi y nada más.

srf_fristileaks_5

Pensando un poco en próximos pasos y teniendo en cuenta que este es el juego fristi, llegamos a la siguiente URL; un portal admin con inicio de sesión y contraseña.

srf_fristileaks_6

Revisando el código HTML encontramos que la imagen se codifica en Base64 y también un posible nombre de usuario: eezeepz

srf_fristileaks_7

Mirando más de cerca el código fuente HTML nos encontramos con otro texto posiblemente codificado en base64.

srf_fristileaks_8

Vamos a poner el texto codificado en base64 en el decodificador de Burp Proxy. Vemos una cabecera PNG. ¡Suena a una imagen!

srf_fristileaks_9

Escribamos un script en Python para obtener la imagen.

srf_fristileaks_10

Abrimos la imagen y ¡tiene pinta de ser una contraseña!

srf_fristileaks_11

Ahora tenemos un nombre de usuario y una contraseña. ¡Continuemos!

srf_fristileaks_12

Genial, tenemos acceso al portal.

srf_fristileaks_13

Podemos subir una imagen.

srf_fristileaks_14

¿Por qué no una webshell? :) Modificamos una de las que trae Kali para añadir mi dirección IP.

srf_fristileaks_15

Subimos la webshell pero ocurre un error. ¡Algún tipo de filtro!

srf_fristileaks_16

Abrimos Burp Proxy para intentar saltar el filtro, cambiando el nombre del archivo para agregar una extensión “.png”.

srf_fristileaks_17

Perfecto! filtro saltado y tenemos una webshell subida.

srf_fristileaks_18

Llamemos a nuestro webshell

srf_fristileaks_19

Recuerda que antes de llamar a la webshell debemos poner Netcat a la escucha. Caballeros, tenemos shell :)

srf_fristileaks_20

Un buen lugar para empezar es analizar el código de la aplicación web, escrita en PHP. En el directorio /var/ podemos ver un directorio llamado /fristigod/ del usuario fristigod, interesante.

srf_fristileaks_21

Hurgando en el directorio /var/www/ encontramos un archivo llamado notes.txt.

srf_fristileaks_22

En el directorio /home/ podemos ver varios usuarios.

srf_fristileaks_23

Dentro del directorio /eezeepz/ encontramos otro archivo notes.txt con un mensaje interesante. Podemos ejecutar comandos, ¡genial!

srf_fristileaks_24

Vamos a ejecutar un comando para poder acceder al directorio /admin/ utilizando el truco del archivo /tmp/runthis.

srf_fristileaks_25

Dentro del directorio /admin/ vemos un montón de archivos interesantes.

srf_fristileaks_26

Tenemos algunos archivos cifrados y un script de Python utilizado para cifrar los archivos.

srf_fristileaks_27

Es hora de un poco más de Python, vamos a modificar el script de cifrar para descifrar los archivos.

srf_fristileaks_28

Ahora que tenemos algunas contraseñas vamos a cambiar nuestro actual usuario al usuario fristigod. Recuerda que uno de los archivos cifrados se llamaba «whoisyourgodnow.txt». Necesitamos una terminal real por lo que vamos a conseguir una, una buena chuleta aquí.

srf_fristileaks_29

El contenido del directorio /fristigod/ no revela nada.

srf_fristileaks_30

Recordamos que en el directorio /var/ teníamos un directorio llamado /fristigod/. En este directorio podemos encontrar algunos archivos interesantes, ¡incluso ejecutar un binario con permisos root!

srf_fristileaks_31

Al examinar el archivo. bash_history aprendemos cómo ejecutar el anterior binario root.

srf_fristileaks_32

Es momento de examinar el contenido del directorio /root/ utilizando el binario root.

srf_fristileaks_33

Premio! Tenemos shell de root y la bandera :)

srf_fristileaks_34

¡Felicitaciones al autor por crear este divertido CTF!

¿Has conseguido root y la bandera utilizando otras tácticas?

— Simon Roses Femerling / Twitter @simonroses

Publicado en Hacking, Hacking Etico, Seguridad, Tecnologia | Etiquetado , , | Deja un comentario

Análisis del APT Equation mediante la plataforma de Security Data Science: BinSecSweeper

Publicado el septiembre 24, 2015 por Simon Roses

Como muchos lectores sabrán, en VULNEX llevamos tiempo trabajando en nuestro proyecto BinSecSweeper, cuyo desarrollo comenzó en el 2013 gracias a una beca de I+D ofrecida por el DARPA dentro de su programa piloto Cyber Fast Track (CFT), y además fuimos la única startup española en ganar una de estas becas. En mayo del año pasado fui invitado al Pentágono por el DARPA para presentar mi proyecto junto a los otros participantes del CFT. ¡Toda una experiencia!

Desde entonces BinSecSweeper ha cambiado en todos los sentidos gracias a una fuerte apuesta en ingeniería durante este último año. Con la aparición de tantos APT últimamente, he pensado que sería interesante analizar un APT reciente que ha dado mucho que hablar utilizando técnicas de Data Science: Equation APT Group.

Para este análisis he conseguido 419 ejecutables Windows que vamos a proceder a examinar con BinSecSweeper, ¡veamos los resultados del análisis!

En la Fig. 1 tenemos el panel del proyecto y podemos ver de forma rápida un sumario del análisis. BinSecSweeper, al identificar malware y vulnerabilidades de carácter elevado, ha establecido el nivel de alerta en severo (basado en el sistema de seguridad de EE.UU. Homeland). También nos llaman la atención diferentes características como Packers, Información Identificable y similitudes entre binarios.

binsecsweeper_Online1
Fig. 1.

En Métricas (Fig. 2) vemos más detalle sobre el análisis. La métrica que más nos interesa, por lo menos a mi, son los riegos identificados y el número de ficheros afectados. BinSecSweeper ha identificado riesgos muy interesantes en este APT.

binsecsweeper_Online2
Fig. 2.

En BinSecSweeper podemos profundizar en el análisis de uno, varios o todos los ficheros, pero para este análisis rápido, nuestro objetivo es obtener la panorámica completa. Para ello observemos la analítica de datos, una poderosa herramienta (ver Fig. 3)

binsecsweeper_Online3
Fig. 3.

BinSecSweeper ofrece impresionantes gráficas que nos ayudan a entender los datos de forma rápida y visual. En la Fig. 4 vemos una visualización de la entropía de los binarios, “medida del desorden”. La mayoría de binarios están alrededor de 0.80 con algunos binarios en los extremos 0.65 y 1.00.

binsecsweeper_Online4
Fig. 4.

En la Fig. 5 vemos los diferentes tipos de binarios y llama la atención que la mayoría son DLL y luego tenemos un Driver, sin duda un fichero para analizar más en detalle.

binsecsweeper_Online5
Fig. 5.

En la Fig. 6 vemos una métrica muy interesante, el nombre de las secciones de un ejecutable. Nos ayuda a identificar packers y secciones sospechosas.

binsecsweeper_Online6
Fig. 6.

La Fig. 7 se relaciona con la métrica anterior, en este caso tenemos el número de secciones de los ejecutables. Destaca un fichero con diez secciones.

binsecsweeper_Online7
Fig. 7.

La siguiente métrica (Fig. 8) tenemos el número de librerías importadas por los ejecutables.

binsecsweeper_Online8
Fig. 8.

Las funciones que importan los ejecutables son interesantes para entender la funcionalidad. En la Fig. 9 tenemos esta métrica, específicamente las funciones Top 15.

binsecsweeper_Online9
Fig. 9.

También podemos ver las funciones que exportan las ejecutables (Fig. 10).

binsecsweeper_Online10
Fig. 10

En la Fig. 11 vemos los diferentes compiladores identificados. Interesante para entender las herramientas que utilizan los autores del APT.

binsecsweeper_Online211
Fig. 11.

La última métrica que vamos a ver es la fecha de compilación de los ejecutables organizada por años. Claramente en el 2008 los autores estuvieron muy ocupados.

binsecsweeper_Online212
Fig. 12.

De forma sencilla y rápida hemos obtenido una buena panorámica de este APT sin entrar en complejos/costosos análisis o ingeniería inversa, que sería nuestro siguiente paso. Para que luego digan que en España no se hace nada interesante ;)

Hoy en día dados los millones de malware que circulan y la complejidad de cualquier software es necesario contar en nuestro arsenal con poderosas herramientas de análisis como BinSecSweeper, que utiliza técnicas avanzadas de Data Science para analizar la seguridad y privacidad del software.

Quizá sería interesante pasar todos los antivirus por BinSecSweeper ;)

Sayonara baby, pronto volveré con más análisis 

Para mas información sobre BinSecSweeper puedes contactarnos en BinSecSweeper@vulnex.com

¿Tu organización utiliza Security Data Science? ¿Qué te gustaría analizar?

— Simon Roses Femerling / @simonroses

Publicado en Malware, Privacidad, Seguridad, Tecnologia | Etiquetado , , , , , , | Deja un comentario

Una brecha de seguridad puede hacerte mucho daño, ¡más de lo que piensas!

Publicado el septiembre 9, 2015 por Simon Roses

Semana tras semana leemos sobre brechas de seguridad en conocidos portales Web del mundo entero, donde se han expuesto millones de datos de usuarios y la empresa afectada ni siquiera pide disculpas. Hasta ahora nadie en la alta dirección asumía responsabilidad alguna de la brecha, que en muchas ocasiones se debía a la falta de seguridad, pero esta tendencia está empezando a cambiar.

Algunos altos ejecutivos están dejando su cargo debido a brechas de seguridad como el de Target en 2014 o el infame de Ashley Madison recientemente en julio de 2015. La alta dirección tiene que empezar a hablar sobre ciberseguridad y asumir la responsabilidad de las brechas de seguridad.

Una brecha de seguridad puede ser realmente lesiva. Tomemos por ejemplo el ataque de Ashley Madison: 36 millones de datos de usuarios expuestos – seamos honestos muchos de estos usuarios son perfiles falsos – pero de todos modos ha habido muchos usuarios reales afectados por el ataque. El verdadero problema para Ashley Madison no es el ataque en sí, sino lo que ha sido revelado, ya que la compañía tenía planes de hacerse pública pero examinando los datos parece era una estafa, ¡ay!

Otro brecha de seguridad reciente y de gran impacto ha sido Hacking Team, una empresa de seguridad que desarrolla soluciones ofensivas para FCSE pero que también ha estado vendiendo sus productos a regímenes opresivos por todo el mundo. Hacking Team era una empresa conocida desde hace tiempo por actividades sospechosas, pero no fue confirmado hasta que una brecha de seguridad reveló 400 gigabytes de sus datos conteniendo código fuente de productos, contratos de clientes, correos electrónicos y mucho más, en definitiva el lado oscuro de esta empresa. ¡Realmente ay!

Las escuelas de MBA necesitan empezar a incluir concienciación de ciberseguridad en sus cursos para que la alta dirección entienda los problemas y cómo lidiar con ellos. En estos momentos no es suficiente tener un buen CSO/CISO; la alta dirección debe estar implicada al 100%, si no una brecha de seguridad podría afectar seriamente tu empresa.

¿Debería la alta dirección estar involucrada en la ciberseguridad?

— Simon Roses Femerling – @simonroses

Publicado en Seguridad, Tecnologia | Etiquetado , , , | 1 comentario