Simon Roses Femerling – Blog | CyberSpace Insecurity 3.X

Los diez mejores documentos de informática que debes leer

Publicado el mayo 7, 2020 por Simon Roses

Alan Turing (1937) On Computable Numbers, with an Application to the Entscheidungsproblem
Vannevar Bush (1945) As We May Think
Claude Elwood Shannon (1948) A Mathematical Theory of Communication
Alan Turing (1950) COMPUTING MACHINERY AND INTELLIGENCE
THOMAS J. McCABE (1976) A Complexity Measure
Morris, Robert and Thompson, Ken (1979) Password Security: A Case History
Thompson, Ken (1984) Reflections on Trusting Trust
Jon Bentley (1987) A SAMPLE OF BRILLIANCE
Cristina Cifuentes (1994) Reverse Compilation Techniques
Elias Levy (also known as Aleph One) (1996) Smashing The Stack For Fun And Profit
Satoshi Nakamoto (2009) Bitcoin: A Peer-to-Peer Electronic Cash System

– Gracias por contribuir a la lista:
@Fare9

#QuedateEnCasa / #QuedateEnTuCasa

Lector: ¿Qué otros documentos crees que deberían incluirse en esta lista? ¡Gracias!

Publicado en Hacking, Hacking Etico, Libro, Negocios, Seguridad | Etiquetado Ciberseguridad, Informatica, Libro, Seguridad Informacion, Seguridad Software | Deja un comentario

Entretenimiento Hacker para tiempos del COVID-19

Publicado el marzo 27, 2020 por Simon Roses

Estamos ante una situación extraordinaria y muy grave por lo que es necesario que todos nos quedemos en casa. Afortunadamente vivimos en la era de la información y muchos de nosotros, hackers, estamos acostumbrados a estar encerrados en casa desde adolescentes.

Actualización: Más enlaces y nuevas secciones que incluyen programación, lockpicking y seguridad web.

En este post quiero proponer algunas ideas de temática hacker para formarte y pasarlo bien durante el confinamiento y además todo gratis (o casi).

Makers

Revista MagPi: revista de culto para los fans de Raspberry PI (tienes que tener varios de estos dispositivos en tu arsenal) Muchas ideas para desarrollar https://magpi.raspberrypi.org/
Raspberry Pi Projects & Tutorials: repositorio de proyectos basados en Raspberry PI https://maker.pro/raspberry-pi

Desarrollo de Exploits e Ingeniería Inversa

Azeria Labs: genial recurso para entrar en el mundo de ARM, incluyendo programación, exploits, ensamblador y labs preparados en formato VM https://azeria-labs.com/writing-arm-assembly-part-1/
Fuzzy Security: desarrollo de exploits en Windows https://www.fuzzysecurity.com/index.html
CorelanTeam: el recurso top para desarrollo de exploits en Windows https://www.corelan.be/
Linux Kernel Exploitation https://github.com/xairy/linux-kernel-exploitation
Tutoriales de Ricardo Narvaja http://ricardonarvaja.info/

Radiofrecuencia (qué hacer aunque no tengas radios o SDR)

Aprende código morse (aunque ya no se pide en la licencia de radioaficionado): Android Morse Mania Morse Code | iPhone Learn Morse Morse-it
Quizás es un buen momento para estudiar la licencia de radioaficionado (el examen es presencial, pero puedes ir preparándote)
Libro: Supera tu examen de radioaficionado Exámenes Exámenes

Retos Hacking: Capture The Flag (CTF)

Hack The Box: la plataforma de excelencia donde practicar pentesting https://www.hackthebox.eu/
vulnhub: portal web donde descargar multitud de VM vulnerables que explotar https://www.vulnhub.com/
OverTheWire: todo tipo de restos hacking https://overthewire.org/wargames/
CTFtime: portal para estar informado y encontrar https://ctftime.org/

Seguridad Web

Bugcrowd University https://www.bugcrowd.com/hackers/bugcrowd-university/
Portswigger (Burp proxy) Web Security Academy https://portswigger.net/web-security
PentesterLabs: diversos ejercicios para practicar hacking web https://pentesterlab.com/exercises

Lockpicking

MIT Guide to Lock Picking https://www.lysator.liu.se/mit-guide/MITLockGuide.pdf
LockPickingLawyer https://www.youtube.com/channel/UCm9K6rby98W8JigLoZOh6FQ
Deviant Ollam https://www.youtube.com/channel/UC4dxXZQq-ofAadUWbqhoceQ

Formación Online (muchísimas opciones, pero os pongo algunas interesantes)

Offensive Security Certified Professional (OSCP). Aunque este sí sea de pago, está considerada la certificación por excelencia para un pentester https://www.offensive-security.com/pwk-oscp/
ElasticSearch: formación sobre esta potente herramienta https://training.elastic.co/learn-from-home
Cybrary: plataforma de formación continua https://www.cybrary.it/

Programación

Code Academy https://www.codecademy.com/
w3schools https://www.w3schools.com/
Code.org https://code.org/

Vídeos

OPCDE – COVID-19 Edition – VIR(TU)AL SUMMIT – The Future of Cybersecurityhttps://www.youtube.com/watch?v=bcev_Eoqwz4&feature=youtu.be
Advanced Persistent Talks (APTs) https://advancedpersistenttalks.com/
Charlas de DEF CON https://www.youtube.com/user/DEFCONConference/videos
Irongeek: repositorio de enlaces a gran cantidad de charlas http://www.irongeek.com/i.php?page=security/hackingillustrated
Mi canal yotube 🙂 https://www.youtube.com/playlist?list=PLBuqvP4l-eNgflH37Wds0EuQxavCculU4

Libros & Zines

International Journal of Proof-of-Concept or Get The Fuck Out (PoC||GTFO or PoC or GTFO) https://www.alchemistowl.org/pocorgtfo/
Free Security Ebooks https://github.com/Hack-with-Github/Free-Security-eBooks
Red Team: How to Succeed By Thinking Like the Enemy https://www.amazon.com/Red-Team-Succeed-Thinking-Enemy/dp/1501274899
Tribe of Hackers Red Team: Tribal Knowledge from the Best in Offensive Cybersecurity https://www.amazon.com/Tribe-Hackers-Red-Team-Cybersecurity/dp/1119643325
The Art of Software Security Assessment: Identifying and Preventing Software Vulnerabilities https://www.amazon.com/Art-Software-Security-Assessment-Vulnerabilities/dp/0321444426
IoT Hackers Handbook: An Ultimate Guide to Hacking the Internet of Things and Learning IoT Security https://www.amazon.com/-/es/Aditya-Gupta/dp/1974590127
Inside Radio: An Attack and Defense Guide https://www.amazon.com/-/es/Qing-Yang-ebook/dp/B07BKVKL87/
The Web Application Hacker’s Handbook: Finding and Exploiting Security Flaws https://www.amazon.es/dp/1118026470/
PoC || GTFO https://www.amazon.com/-/es/Manul-Laphroaig-ebook/dp/B074YMZF4P/
PoC || GTFO, Volume 2 https://www.amazon.com/-/es/Manul-Laphroaig/dp/1593279345/
Elon Musk: Tesla, SpaceX, and the Quest for a Fantastic Future https://www.amazon.com/Elon-Musk-SpaceX-Fantastic-Future/dp/006230125X
Zero to One: Notes on Start Ups, or How to Build the Future https://www.amazon.com/-/es/Zero-One-Notes-Start-Future-ebook/dp/B00KHX0II4/

Espero que te sea útil y te haga el confinamiento más agradable. Con todo este material tienes para semanas, ¡incluso meses!

#QuedateEnCasa / #QuedateEnTuCasa

Lector: ¿alguna propuesta que añadir a esta lista? ¡Gracias!

@simonroses

Publicado en Sin categorizar | Etiquetado Ciberseguridad, COVID-19, COVID19, hacker, hacking etico, Seguridad Informacion | Deja un comentario

C1b3rWall: mi experiencia

Publicado el junio 20, 2019 por Simon Roses

La Escuela Nacional de Policía, ubicada en Ávila, ha celebrado su primer congreso de CiberSeguridad, C1b3rWall, del 17 al 20 de junio. He tenido el placer de poder participar y me gustaría compartir mi experiencia de este gran evento, que ya os adelanto es cita obligatoria!

El evento de cuatro intensos días ha estado repleto de charlas en el auditorio principal y de talleres en las aulas, todo de altísimo nivel y con una amplia variedad de temáticas donde escoger: OSINT, forense, seguridad, SIGINT, hacking, etc. En mi caso, impartí dos sesiones de un taller de introducción a la «ingeniería inversa de aplicaciones Android».

El enfoque de mi taller era de carácter práctico. Los asistentes deberían haber estado trabajando en una serie de ejercicios prácticos reales como aplicaciones vulnerables CVE del 2018-2019 y muestras de malware, pero desafortunadamente por diferentes motivos no pudo ser. Así que opté por contar cómo comenzar en este mundillo y algunos trucos aprendidos durante mi larga trayectoria en el tema. Doy las gracias a los asistentes, que me han transmitido su agradecimiento por unos estupendos talleres, y les invito a realizar los ejercicios prácticos. Como en el gimnasio, para aprender toca sufrir, pero siempre pasándolo bien 🙂

Los ponentes nos hemos albergado en la misma escuela, por lo que he probado en mis propias carnes la auténtica experiencia policial de ingresar en la Escuela 🙂

Además de todas las formaciones disponibles, la Policía Nacional organizó distintas demostraciones de sus capacidades que tuvieron una gran acogida entre el público asistente, más de 3000 personas!!! Personalmente una de las que más me gustó fue la simulación de cómo la Policía repele un ataque contra una persona VIP, protege mercancías valiosas o detiene un dron y su piloto, impresionante!

Por supuesto, no todo han sido talleres y charlas; también tuve el placer de asistir a un evento privado organizado por la gente de uniCOrN para disfrutar de los placeres de Ávila.

Desde aquí agradecer a todos los que han hecho posible este gran evento: la organización, Escuela Nacional de Policía, Policía Nacional, CNEC de la Universidad Autónoma de Madrid, patrocinadores y, por supuesto, asistentes. Muchísimas gracias.

Seguro que nos volveremos a ver en próximas ediciones y entretanto os dejo una foto de despedida 🙂

— @simonroses

Publicado en Conferencia, Hacking, Hacking Etico | Etiquetado Android @es, Apps @es, AppSec, Ciberseguridad, Conferencia, hacking etico, Ingeniería Inversa, VULNEX @es | Deja un comentario

Octubre, Mes Europeo de la Ciberseguridad 2018: ¿éxito o fracaso?

Publicado el noviembre 8, 2018 por Simon Roses

El pasado mes de octubre fue el Mes Europeo de la CiberSeguridad 2018, una campaña de concienciación que promueve la ciberseguridad a todos los ciudadanos de la UE organizada por ENISA (Agencia de la Unión Europea para la Seguridad de las Redes y la Información) cada mes de octubre durante los últimos 5 años. Gracias ENISA.

En este post destaco los principales incidentes / impactos de seguridad que ocurrieron solo en octubre (sin contar vulnerabilidades, exploits, etc.). Me voy a concentrar en fugas de información, malware, ataques de Estado-Nación y otros incidentes importantes (solo incluyo una vulnerabilidad por el gran impacto que ha tenido). Sin duda, octubre ha sido un mes muy interesante para la ciberseguridad.

Mira la siguiente tabla dividida en semanas:

Semana (Octubre 2018)	Incidente de Seguridad
1	Fuga de información en Facebook (50M usuarios afectados) Espías rusos (ciberoperativos del GRU) arrestados en Holanda Chips con puerta trasera chinos en EE.UU.
2	Cierre de Google+ debido a un error de seguridad Fuga de información de los registros de viajes del Pentágono.
3	Branch.io (685 millones de usuarios afectados) Ciber vigilante ruso 8 sitios web para adultos de incumplimiento
4	Fuga de información en Cathay Pacific (9.4M usuarios afectados) Fuga de información en British Airways (185K usuarios afectados
5	¿Nada? (que sepamos) 😉

Wow, algunos de estos incidentes de seguridad han tenido una gran cobertura en los medios de comunicación, como el de los espías rusos o del chip chino con puerta trasera en los EE. UU. Todos estos incidentes de seguridad fueron publicados en octubre, ¡de locura!

Es probable que haya pasado por alto algún gran incidente de seguridad que ocurrió en octubre, así que si me falta algo, por favor coméntamelo para actualizar la publicación, ¡gracias!

Creo que la ciberseguridad está mejorando un poco cada año, pero es obvio que queda muchísimo más trabajo por hacer. Yo digo: menos hablar y más acción (inversión en recursos) es lo que realmente necesita la ciberseguridad.

Entonces, la pregunta sigue siendo: ¿está mejorando o no la concienciación en ciberseguridad? ¿Qué piensas?

SRF

Publicado en Privacidad, Seguridad, Sin categorizar, Tecnologia | Etiquetado Brecha, Ciberseguridad, Fuga, Privacidad, Seguridad Informacion | Deja un comentario

Reseña Libro: PoC||GTFO

Publicado el septiembre 27, 2017 por Simon Roses

Sí, he vuelto a bloguear y con una reseña de libro, que hacía bastante tiempo que no comentaba ninguno aunque he leído muchos. Supongo que más vale tarde que nunca 🙂

En esta ocasión he leído el libro sagrado de los hackers: International Journal of Proof-of-Concept or Get The Fuck Out (PoC||GTFO, ISBN-13: 978-1-59327-880-9). El libro es una recopilación de los mejores artículos de la revista hacker PoC||GTFO. Realmente puedes leerlo gratis si vas a la revista pero te recomiendo que compres una copia del libro sagrado. La editorial No Starch Press permite copiar artículos de libro para distribuirlos digitalmente.

Vamos al grano: s te gusta desarrollar exploits, la ingeniería inversa, hackear radios, las puertas traseras en software o el hacking de hardware, este es tu libro. De verdad que todo profesional de la ciberseguridad debería leerlo.

El libro, con un aspecto igual al de la Biblia, está dividido en 8 capítulos, y cada capítulo tiene varios versículos muy técnicos en diversos temas. Dependiendo del interés de cada uno, preferirás unos versículos que otros pero recomiendo leer todo el libro, las 772 páginas.

Mis versículos preferidos están relacionados con ficheros políglotas, explotación de SO, radio hacking, puerta traseras en software y hacking Linux.

Algunos de mis versículos favoritos:

1:4 Making a Multi-Windows PE

1:5 This ZIP is also a PDF

2:8 This OS is also a PDF

3:10 Tales of Python’s Encoding

4:3 This OS is a Boot Sector

5:5 A Flash PDF Polyglot

8:3 Compiler Bug Backdoors

8:7 Stegosploit

8:11 Naughty Signals

Así que adelante, cómprate una copia ahora, léelo y difunde la palabra del Señor 😉

Felicitaciones a los autores de PoC||GTFO, los editores y todos los involucrados con la revista y libro. ¡Que sigan viniendo los versículos, vecino!

¿Cuáles son tus versículos preferidos del libro sagrado?

Puntuación (1 rosa, muy malo / 5 rosas, muy bueno): 5 Rosas (Lectura Obligatoria)

— Simon Roses Femerling / @simonroses

Publicado en Hacking, Hacking Etico, Libro, Malware, Privacidad, Seguridad | Etiquetado Ciberseguridad, Exploits, hacking etico, Libro, Poc||GTFO | Deja un comentario

Mirai DDoS Botnet: Análisis de Código Fuente y Binarios

Publicado el octubre 27, 2016 por Simon Roses

Mirai es una botnet de DDoS que ha saltado a los medios de comunicación recientemente debido a varios ataques de alto impacto: uno al periodista Brian Krebs y el segundo uno de los mayores ataques en Internet hasta la fecha realizado el pasado viernes 21 de octubre 2016 contra el ISP Dyn, que desconectó una gran parte de Internet.

Aparte de la cobertura mediática, Mirai es muy interesante porque por un lado tenemos binarios reales capturados de sistemas comprometidos y, por otro, el código fuente fue liberado recientemente, por lo que seguramente podemos esperar muchas variantes de Mirai próximamente. El tener binarios y código fuente nos permite estudiar este malware con más detalle.

Lo que es realmente sorprendente es que estando en el 2016 todavía hablemos de gusanos, contraseñas débiles / por defecto y ataques DDoS: hola gusano de Morris (1988) y proyecto Rivolta (2000), por mencionar algunos.

Análisis de código fuente

Hemos compilado el código fuente de Mirai con Tintorera, una herramienta de análisis estático desarrollada por VULNEX que genera inteligencia mientras se compila código C/C++, proporcionando una rápida panorámica del código.

Con Tintorera obtenemos un resumen en detalle de la aplicación que muestra archivos compilados, numero de líneas de código, comentarios, líneas en blanco y otras métricas de interés. Tintorera también calcula el tiempo necesario para auditar el código. Mirai es un proyecto pequeño y no demasiado complicado de auditar. (Figura 1)

Figura 1

Mirai utiliza diferentes funciones del API de Linux, principalmente relaciones con operaciones de red. (Figura 2)

Figura 2

En el informe de inteligencia generado por Tintorera tenemos un listado de archivos, nombres de funciones, bloques básicos, Complejidad Ciclomática, llamadas al API y ensamblador en línea utilizado por Mirai. Al examinar esta lista nos hacemos una idea del código. (Figura 3)

Figura 3

En el archivo killer.c existe una función llamada killer_init que mata diversos servicios: telnet (puerto 23), ssh (puerto 22) y http (puerto 80) para impedir acceso al sistema comprometido por otros. (Figura 4)

Figura 4

En el mismo archivo, killer.c, otra función llamada memory_scan_match busca en memoria indicadores de otros malware. (Figura 5)

Figura 5

La función get_random_ip del archivo scanner.c genera IPs aleatorias que atacar, exceptuando direcciones de la siguiente lista blanca de General Electric, Hewlett-Packard, el servicio de correo y el departamento de defensa americanos. (Figura 6)

Figura 6

Mirai contiene una lista de 62 contraseñas por defecto / débiles para realizar ataques a dispositivos IoT. Esta lista esta declarada en la función scanner_init del archivo scanner.c. (Figura 7)

Figura 7

En el archivo main.c tenemos la función principal que impide que el dispositivo comprometido pueda reiniciar, para ello Mirai mata el servicio watchdog, y también lanza el scanner buscando nuevas víctimas, otros dispositivos IoT. En la Figura 8 vemos el callgraph de este archivo.

Figura 8

Mirai tiene capacidades ofensivas que consiste en lanzar ataques DDoS utilizando diferentes protocolos: UDP, TCP y HTTP.

Análisis de binarios

Ahora es el turno del análisis de binarios. Hasta el momento hemos analizado 19 binarios, obtenidos de distintas fuentes, para las siguientes arquitecturas: x86, ARM, MIPS, SPARC, Motorola 68020 y Renesas SH (SuperH).

Para el análisis de binarios hemos utilizado la plataforma BinSecSweeper de VULNEX, que permite analizar binarios y otros tipos de ficheros en gran detalle combinando SAST y Big Data.

En la Figura 9 tenemos gráfico del tipo de ficheros y arquitectura de los binarios. Todas las muestras son 32 bits.

Figura 9

Mediante el uso de BinSecSweeper hemos obtenido mucha información de cada muestra, similitudes entre ellos y diversas vulnerabilidades. Actualmente no muchos Antivirus identifican todas las muestras, así que cuidado con el Antivirus que utilices! En la Figura 10 tenemos una visualización del tamaño de los ficheros en bytes.

Figura 10

También hemos analizado todas las secciones de la cabecera ELF de las muestras. (Figura 11)

Figura 11

Como se mencionó anteriormente, las muestras son para diferentes arquitecturas, por lo que en este post no mostraremos el análisis de código.

Hemos actualizado el motor de análisis de BinSecSweeper para identificar el malware Mirai. Un informe al completo del análisis de binarios esta disponible para los clientes de los servicios de Ciber Inteligencia de VULNEX, por favor visiten nuestra web o póngase en contacto con nosotros para mas información.

Conclusiones

A pesar de ser un código bastante simple, Mirai tiene interesantes capacidades ofensivas y defensivas y se ha hecho un nombre. Ahora que el código fuente ha sido liberado es solo cuestión de tiempo que veamos variantes de Mirai.

Mirai botnet es una llamada a los fabricantes de dispositivos IoT para que mejoren la seguridad. Por desgracia, ya existen millones de dispositivos IoT inseguros en internet, por lo que habrá muchos más ataques IoT en un futuro cercano.

¿Qué opinas sobre la seguridad de Internet de las cosas (IoT)?

— Simon Roses Femerling / Twitter @simonroses

Publicado en Hacking, Malware, Seguridad, Tecnologia | Etiquetado Attack Vector @es, Ciberseguridad, DDoS, IoT, Linux, Malware @es, Mirai | 1 comentario

Solución CTF: Fristileaks 1.3

Publicado el diciembre 18, 2015 por Simon Roses

Esta VM vulnerable es un divertido y simple CTF que puede descargarse desde el estupendo portal VulnHub.

Nota: Para vmware puede ser necesario configurar la dirección MAC 08:00:27:A5:A6:76 para conseguir que funcione (obtenga DHCP). Yo lo hice, ver Fig 1.

¡Que comience el juego!

En este caso ya sé la dirección IP, por lo que empezamos lanzando un escaneo nmap. Del resultado podemos ver solo 1 puerto abierto (HTTP) y el archivo robots.txt con algunos directorios.

Abrimos el sitio Web.

Nada interesante por el momento. Ahora vamos a probar abrir el robots.txt

En estos directorios solo encontramos una imagen del Jedi Obi-Wan Kenobi y nada más.

Pensando un poco en próximos pasos y teniendo en cuenta que este es el juego fristi, llegamos a la siguiente URL; un portal admin con inicio de sesión y contraseña.

Revisando el código HTML encontramos que la imagen se codifica en Base64 y también un posible nombre de usuario: eezeepz

Mirando más de cerca el código fuente HTML nos encontramos con otro texto posiblemente codificado en base64.

Vamos a poner el texto codificado en base64 en el decodificador de Burp Proxy. Vemos una cabecera PNG. ¡Suena a una imagen!

Escribamos un script en Python para obtener la imagen.

Abrimos la imagen y ¡tiene pinta de ser una contraseña!

Ahora tenemos un nombre de usuario y una contraseña. ¡Continuemos!

Genial, tenemos acceso al portal.

Podemos subir una imagen.

¿Por qué no una webshell? 🙂 Modificamos una de las que trae Kali para añadir mi dirección IP.

Subimos la webshell pero ocurre un error. ¡Algún tipo de filtro!

Abrimos Burp Proxy para intentar saltar el filtro, cambiando el nombre del archivo para agregar una extensión “.png”.

Perfecto! filtro saltado y tenemos una webshell subida.

Llamemos a nuestro webshell

Recuerda que antes de llamar a la webshell debemos poner Netcat a la escucha. Caballeros, tenemos shell 🙂

Un buen lugar para empezar es analizar el código de la aplicación web, escrita en PHP. En el directorio /var/ podemos ver un directorio llamado /fristigod/ del usuario fristigod, interesante.

Hurgando en el directorio /var/www/ encontramos un archivo llamado notes.txt.

En el directorio /home/ podemos ver varios usuarios.

Dentro del directorio /eezeepz/ encontramos otro archivo notes.txt con un mensaje interesante. Podemos ejecutar comandos, ¡genial!

Vamos a ejecutar un comando para poder acceder al directorio /admin/ utilizando el truco del archivo /tmp/runthis.

Dentro del directorio /admin/ vemos un montón de archivos interesantes.

Tenemos algunos archivos cifrados y un script de Python utilizado para cifrar los archivos.

Es hora de un poco más de Python, vamos a modificar el script de cifrar para descifrar los archivos.

Ahora que tenemos algunas contraseñas vamos a cambiar nuestro actual usuario al usuario fristigod. Recuerda que uno de los archivos cifrados se llamaba «whoisyourgodnow.txt». Necesitamos una terminal real por lo que vamos a conseguir una, una buena chuleta aquí.

El contenido del directorio /fristigod/ no revela nada.

Recordamos que en el directorio /var/ teníamos un directorio llamado /fristigod/. En este directorio podemos encontrar algunos archivos interesantes, ¡incluso ejecutar un binario con permisos root!

Al examinar el archivo. bash_history aprendemos cómo ejecutar el anterior binario root.

Es momento de examinar el contenido del directorio /root/ utilizando el binario root.

Premio! Tenemos shell de root y la bandera 🙂

¡Felicitaciones al autor por crear este divertido CTF!

¿Has conseguido root y la bandera utilizando otras tácticas?

— Simon Roses Femerling / Twitter @simonroses

Publicado en Hacking, Hacking Etico, Seguridad, Tecnologia | Etiquetado CTF, Exploits, hacking etico | Deja un comentario

Análisis del APT Equation mediante la plataforma de Security Data Science: BinSecSweeper

Publicado el septiembre 24, 2015 por Simon Roses

Como muchos lectores sabrán, en VULNEX llevamos tiempo trabajando en nuestro proyecto BinSecSweeper, cuyo desarrollo comenzó en el 2013 gracias a una beca de I+D ofrecida por el DARPA dentro de su programa piloto Cyber Fast Track (CFT), y además fuimos la única startup española en ganar una de estas becas. En mayo del año pasado fui invitado al Pentágono por el DARPA para presentar mi proyecto junto a los otros participantes del CFT. ¡Toda una experiencia!

Desde entonces BinSecSweeper ha cambiado en todos los sentidos gracias a una fuerte apuesta en ingeniería durante este último año. Con la aparición de tantos APT últimamente, he pensado que sería interesante analizar un APT reciente que ha dado mucho que hablar utilizando técnicas de Data Science: Equation APT Group.

Para este análisis he conseguido 419 ejecutables Windows que vamos a proceder a examinar con BinSecSweeper, ¡veamos los resultados del análisis!

En la Fig. 1 tenemos el panel del proyecto y podemos ver de forma rápida un sumario del análisis. BinSecSweeper, al identificar malware y vulnerabilidades de carácter elevado, ha establecido el nivel de alerta en severo (basado en el sistema de seguridad de EE.UU. Homeland). También nos llaman la atención diferentes características como Packers, Información Identificable y similitudes entre binarios.

Fig. 1.

En Métricas (Fig. 2) vemos más detalle sobre el análisis. La métrica que más nos interesa, por lo menos a mi, son los riegos identificados y el número de ficheros afectados. BinSecSweeper ha identificado riesgos muy interesantes en este APT.

Fig. 2.

En BinSecSweeper podemos profundizar en el análisis de uno, varios o todos los ficheros, pero para este análisis rápido, nuestro objetivo es obtener la panorámica completa. Para ello observemos la analítica de datos, una poderosa herramienta (ver Fig. 3)

Fig. 3.

BinSecSweeper ofrece impresionantes gráficas que nos ayudan a entender los datos de forma rápida y visual. En la Fig. 4 vemos una visualización de la entropía de los binarios, “medida del desorden”. La mayoría de binarios están alrededor de 0.80 con algunos binarios en los extremos 0.65 y 1.00.

Fig. 4.

En la Fig. 5 vemos los diferentes tipos de binarios y llama la atención que la mayoría son DLL y luego tenemos un Driver, sin duda un fichero para analizar más en detalle.

Fig. 5.

En la Fig. 6 vemos una métrica muy interesante, el nombre de las secciones de un ejecutable. Nos ayuda a identificar packers y secciones sospechosas.

Fig. 6.

La Fig. 7 se relaciona con la métrica anterior, en este caso tenemos el número de secciones de los ejecutables. Destaca un fichero con diez secciones.

Fig. 7.

La siguiente métrica (Fig. 8) tenemos el número de librerías importadas por los ejecutables.

Fig. 8.

Las funciones que importan los ejecutables son interesantes para entender la funcionalidad. En la Fig. 9 tenemos esta métrica, específicamente las funciones Top 15.

Fig. 9.

También podemos ver las funciones que exportan las ejecutables (Fig. 10).

Fig. 10

En la Fig. 11 vemos los diferentes compiladores identificados. Interesante para entender las herramientas que utilizan los autores del APT.

Fig. 11.

La última métrica que vamos a ver es la fecha de compilación de los ejecutables organizada por años. Claramente en el 2008 los autores estuvieron muy ocupados.

Fig. 12.

De forma sencilla y rápida hemos obtenido una buena panorámica de este APT sin entrar en complejos/costosos análisis o ingeniería inversa, que sería nuestro siguiente paso. Para que luego digan que en España no se hace nada interesante 😉

Hoy en día dados los millones de malware que circulan y la complejidad de cualquier software es necesario contar en nuestro arsenal con poderosas herramientas de análisis como BinSecSweeper, que utiliza técnicas avanzadas de Data Science para analizar la seguridad y privacidad del software.

Quizá sería interesante pasar todos los antivirus por BinSecSweeper 😉

Sayonara baby, pronto volveré con más análisis 

Para mas información sobre BinSecSweeper puedes contactarnos en BinSecSweeper@vulnex.com

¿Tu organización utiliza Security Data Science? ¿Qué te gustaría analizar?

— Simon Roses Femerling / @simonroses

Publicado en Malware, Privacidad, Seguridad, Tecnologia | Etiquetado APT, BinSecSweeper, Ciberseguridad, Data Science, malware, Seguridad Software, VULNEX @es | Deja un comentario

Una brecha de seguridad puede hacerte mucho daño, ¡más de lo que piensas!

Publicado el septiembre 9, 2015 por Simon Roses

Semana tras semana leemos sobre brechas de seguridad en conocidos portales Web del mundo entero, donde se han expuesto millones de datos de usuarios y la empresa afectada ni siquiera pide disculpas. Hasta ahora nadie en la alta dirección asumía responsabilidad alguna de la brecha, que en muchas ocasiones se debía a la falta de seguridad, pero esta tendencia está empezando a cambiar.

Algunos altos ejecutivos están dejando su cargo debido a brechas de seguridad como el de Target en 2014 o el infame de Ashley Madison recientemente en julio de 2015. La alta dirección tiene que empezar a hablar sobre ciberseguridad y asumir la responsabilidad de las brechas de seguridad.

Una brecha de seguridad puede ser realmente lesiva. Tomemos por ejemplo el ataque de Ashley Madison: 36 millones de datos de usuarios expuestos – seamos honestos muchos de estos usuarios son perfiles falsos – pero de todos modos ha habido muchos usuarios reales afectados por el ataque. El verdadero problema para Ashley Madison no es el ataque en sí, sino lo que ha sido revelado, ya que la compañía tenía planes de hacerse pública pero examinando los datos parece era una estafa, ¡ay!

Otro brecha de seguridad reciente y de gran impacto ha sido Hacking Team, una empresa de seguridad que desarrolla soluciones ofensivas para FCSE pero que también ha estado vendiendo sus productos a regímenes opresivos por todo el mundo. Hacking Team era una empresa conocida desde hace tiempo por actividades sospechosas, pero no fue confirmado hasta que una brecha de seguridad reveló 400 gigabytes de sus datos conteniendo código fuente de productos, contratos de clientes, correos electrónicos y mucho más, en definitiva el lado oscuro de esta empresa. ¡Realmente ay!

Las escuelas de MBA necesitan empezar a incluir concienciación de ciberseguridad en sus cursos para que la alta dirección entienda los problemas y cómo lidiar con ellos. En estos momentos no es suficiente tener un buen CSO/CISO; la alta dirección debe estar implicada al 100%, si no una brecha de seguridad podría afectar seriamente tu empresa.

¿Debería la alta dirección estar involucrada en la ciberseguridad?

— Simon Roses Femerling – @simonroses

Publicado en Seguridad, Tecnologia | Etiquetado Attack Vector @es, Brecha Seguridad, Ciberseguridad, Seguridad Informacion | 1 comentario

Carrera por el 0day en Sistemas Operativos de Estado Nación

Publicado el enero 16, 2015 por Simon Roses

El cambio de sistema operativo (S0) se acerca…

Todos sabemos que Windows aún domina la arena del escritorio con Linux y MacOS tratando de cogerle y que Android domina el espacio móvil con iOS y Windows Phone intentando alcanzarlo. Lo que muchos de estos sistemas operativos tienen en común es que son desarrollados por empresas de los Estados Unidos de América (Hola NSA!).

Con la silenciosa (o no tan silenciosa 🙂 ciber guerrilla que discurre en Internet entre el Oeste y el Este no es de extrañar que muchos Estados Naciones estén desarrollando sus propios sistemas operativos para reducir la dependencia de los Estados Unidos como proveedor de software.

Los ataques cibernéticos contra Sony por Corea del Norte (supuestamente, no probado todavía) han llamado mucho la atención de los medios de comunicación – incluso el Presidente Obama ha hablado sobre la necesidad de incrementar la ciberseguridad- y para hacer las cosas más interesantes el sistema operativo utilizado por el gobierno de Corea del Norte se filtró en Internet y está siendo analizado actualmente por muchas empresas de seguridad y agencias de inteligencia para encontrar 0day.

Varios Estados Naciones han anunciado el desarrollo de su propio sistema operativo «seguro (ejem, ejem)», los que conozco:

Red Star OS: Basado en Linux (Red Hat) con la apariencia de Windows XP, utilizado por Corea del Norte.
China: Varios SO personalizados.
- COS: China Sistema Operativo (China Operating System) basado en Linux para dispositivos móviles.
- Kylin: Primera versión se basó en FreeBSD, aunque la versión actual está basada en Ubuntu.
Rusia: Varios OS personalizados.
- RoMOS: Es una modificación de Android enfocada a dispositivos móviles. (este sistema operativo no envía ninguna información a Google).
- Linux: El gobierno ruso anunció el cambio a un entorno Linux como sistema operativo nacional este año 2015.
Francia: No tienen realmente su propio sistema operativo, pero los militares franceses cambiaron a Linux Ubuntu (alegando ahorro de costes).
India: También anunció su propio SO seguro (no hay mucha información publicada)
Los Estados Unidos de América: Varios SO personalizados.
- La Agencia de Sistemas de Información de Defensa (DISA) está desarrollando una versión segura de Android para ser utilizado en dispositivos móviles en todo el gobierno.
- Plan X: Un SO desarrollado por el DARPA para ser utilizado por los militares para las operaciones de guerra cibernética en tiempo real.

El que los Estados Naciones estén desarrollando sus propios SO personalizados por razones defensivas fuerza a los adversarios a intentar obtener copias de estos SO para encontrar 0day si quieren realizar acciones ofensivas, por lo que podemos suponer que el mercado de 0day experimentará un crecimiento en los próximos años para obtener vulnerabilidades y rootkits para todos estos SO de Estados Naciones.

Existe una buena oportunidad para la contrainteligencia de los Estados Naciones para publicar falsos SO y software pretendiendo ser auténticos para que los adversarios gasten recursos tratando de obtener copias y tiempo analizando el software o, por qué no, incluir software ofensivo dentro del sistema operativo para atacar los sistemas utilizados para analizar el software y comprometer la red del equipo de análisis.

Con toda certeza las empresas de seguridad y agencias de inteligencia de ambos lados (Este y Oeste) deberán vigilar las tecnologías utilizadas por sus adversarios y tener preparados varios 0days para estos sistemas operativos, ya que las versiones de Windows, Linux y Android estándar probablemente desaparecerán.

Los Estados Naciones que no empleen los suficientes recursos para desarrollar sus capacidades ofensivas serán incapaces de realizar cualquier acción contra adversarios que utilicen SO personalizados en el futuro.

Lector: Si sabes de algún SO de Estado Nación envíame un mensaje y si tienes copias de cualquiera de ellos me los envías, por favor!!!! (Ya tengo Red Star OS, gracias)

¿Qué opinas de los Estados Naciones que desarrollan su propio sistema operativo?

— Simon Roses Femerling | @simonroses

Publicado en Hacking, Privacidad, Seguridad, Tecnologia | Etiquetado 0Day @es, Attack Vector @es, Ciber Guerra, Ciberseguridad, Inteligencia, Seguridad Software | Deja un comentario

Simon Roses Femerling – Blog

Los diez mejores documentos de informática que debes leer

Entretenimiento Hacker para tiempos del COVID-19

C1b3rWall: mi experiencia

Octubre, Mes Europeo de la Ciberseguridad 2018: ¿éxito o fracaso?

Reseña Libro: PoC||GTFO

Mirai DDoS Botnet: Análisis de Código Fuente y Binarios

Solución CTF: Fristileaks 1.3

Análisis del APT Equation mediante la plataforma de Security Data Science: BinSecSweeper

Una brecha de seguridad puede hacerte mucho daño, ¡más de lo que piensas!

Carrera por el 0day en Sistemas Operativos de Estado Nación

Archivos

Meta

Languages

My Speaking Events

Search www.simonroses.com

Categorías

Blogroll