Haka: parte II (reglas de seguridad)

14:36 0 Comments A+ a-


Hola amigos y lectores de Underc0de!

Hace unos días compartimos post sobre Haka, el nuevo lenguaje de seguridad informática. Hoy traemos una segunda parte sobre la sintaxis de sus reglas de seguridad.
...

Haka ofrece una forma sencilla de escribir reglas de seguridad para filtrar, modificar, crear e inyectar paquetes. Según expertos de auditoría de seguridad informática, cuando se detecta un flujo con algo malicioso, pueden informar los usuarios o pueden dejar el flujo. Los usuarios pueden definir escenarios más complejos para mitigar el impacto de un ataque. Por ejemplo, se puede alterar peticiones http y obligar a los navegadores obsoletos para actualizar o falsificar paquetes específicos para engañar herramientas de análisis de tráfico.
La siguiente regla es una regla de filtrado de paquetes básico que bloquea todas las conexiones de una dirección de red.
local ipv4 = require(“protocol/ipv4”)
local tcp = require(“protocol/tcp_connection”)
local net = ipv4.network(“192.168.101.0/24”)
haka.rule{
   hook = tcp.events.new_connection,
   eval = function (flow, pkt)
       haka.log(“tcp connection %s:%i -> %s:%i”,
           flow.srcip, flow.srcport,
           flow.dstip, flow.dstport)
       if net:contains(flow.dstip) then
           haka.alert{
               severity = “low”,
               description = “connection refused”,
               start_time = pkt.ip.raw.timestamp
           }
           flow:drop()
     end
   end
}
Las primeras líneas del código cargan los disectores de protocolo, Ipv4 y TCP explica profesor de hacking, Mike Stevens. La primera línea se encarga de paquetes IPv4. Después usamos un disector de TCP de estado que mantiene una tabla de conexión y gestiona flujos de TCP. Las siguientes líneas, definen la dirección de red que debe ser bloqueada.
La regla de seguridad se define a través de palabras clave haka.rule. Según expertos de servicios de auditoría informática las reglas de haka son muy útiles. Una regla de seguridad está hecha de un gancho y una función de evaluación eval. El gancho es un evento que activará la evaluación de la regla de seguridad. 
En este ejemplo, la regla de seguridad se evaluará en cada intento de establecimiento de conexión TCP. Los parámetros pasados a la función de evaluación dependen del evento explica el experto de servicios de seguridad informática. En el caso del evento new_connection, eval toma dos parámetros: flow y pkt. Lo primero de ellos tiene detalles sobre la conexión y el segundo es una tabla que contiene todos los campos del paquete TCP.
Según recomendación del profesor, en el núcleo de la regla de seguridad debemos registrar en haka.log primero alguna información acerca de la conexión actual. Luego, comprobamos si la dirección de origen pertenece a la gama de direcciones IP’s no autorizadas. Si la prueba tiene éxito, elevamos una alerta (haka.alert) y liberamos la conexión. Menciona asimismo, Roberto Talles,  que se tenga en cuenta que se informa sólo algunos detalles de la alerta. Se puede añadir más información, como el origen y el servicio de destino.
Utilizamos hakapcap herramienta para probar nuestra filter.lua regla en un archivo de pcap trace filter.pcap:
$ hakapcap filter.lua filter.pcap

De aquí en adelante, en los resultados sale algo de información sobre disectores cargados y reglas registrados. El resultado muestra que Haka logró bloquear conexiones dirigidas a dirección 192.168.101.62:
En el ejemplo anterior, hemos definido una sola regla para bloquear las conexiones. Uno puede escribir un conjunto de reglas de firewall usando la palabra clave haka.group . En este caso, la configuración, se puede elegir un comportamiento por defecto (por ejemplo, bloquear todas las conexiones) si ninguno de la regla de seguridad autoriza explícitamente el tráfico.
Fuente: noticiasseguridad.com
Visítanos en Underc0de

Vulnerabilidad permite hackear Linux: verifica tu distribución

14:52 1 Comments A+ a-


Dos investigadores de la Universidad Politécnica de Valencia han descubierto una vulnerabilidad tan extraña como grave en la mayoría de sistemas Linux

Pulsar 28 veces la tecla “Retroceso” durante el login del gestor de arranque produce el desbordamiento de una variable que acaba dándote acceso al sistema.

El bug afecta al gestor de arranque Grub2 desde la versión 1.98 (diciembre de 2009) hasta la 2.02 (diciembre de 2015), común en la mayoría de distribuciones de Linux

La vulnerabilidad afecta a “un número incalculable de dispositivos”según los propios investigadores. Cualquier persona con acceso local podría entrar al sistema sin necesidad de contraseñas.

Si el sistema es vulnerable a este error, el atacante puede acceder a la consola de rescate Grub y realizar lo que se conoce como un “ataque de día cero”: robar los datos del usuario, instalar software malicioso, destruir el sistema... Hacer, básicamente, lo que le dé la gana con el ordenador.

¿Te afecta esta vulnerabilidad? Como explican los expertos Héctor Marcó e Ismael Ripoll, puedes comprobarlo tú mismo presionando 28 veces la tecla “Retroceso” (o Backspace) cuando Grub te pide el nombre de usuario. Si se abre la consola de rescate o el ordenador se reinicia, el error te afecta.

En ese caso, hay una solución de emergencia mientras Grub saca una actualización oficial. Los dos investigadores españoles han programado un parche que puedes instalar tú mismo con este código:

$ git clone git://git.savannah.gnu.org/grub.git grub.git $ cd grub.git $ wget http://hmarco.org/bugs/patches/0001-Fix-CVE-2015-8370-Grub2-user-pass-vulnerability.patch $ git apply 0001-Fix-CVE-2015-8370-Grub2-user-pass-vulnerability.patch

Los desarrolladores de UbuntuRed Hat y Debian también han publicado sus propios parches de emergencia. 

Fuente: gizmodo.com

Compartimos exploit zero-day en WordPress

14:55 0 Comments A+ a-


Hola amigos y lectores de Underc0de!

Cómo sabéis WordPress, es una de las plataformas de gestión de contenidos más populares para la creación de blogs o sitios webs que se ejecuten en entornos MySQL y Apache.

La facilidad de instalación del software (libre) y su uso intuitivo hacen que sea una de las opciones preferidas al momento de montar una web o bitácora propia.

Sin embargo, el sistema de gestión  no está exento de vulnerabilidades que los profesionales de la seguridad detectan con más frecuencia de la deseable.

En esta línea de ideas,  les traemos un Zero-day (autor: indoushka) -de fecha de hoy (13/12/2015)- vinculado a una vulnerabilidad remote file inclusion en WordPress  Squirrel Theme versión 1.6.4, describiéndosela como de alto riesgo.

Aquí podéis obtener el exploit.

Esta publicación tiene fines de divulgación, test e investigación. No nos responsabilizamos por el mal uso del mismo.

Fuente del Zero-day: 0day.today


Visítamos en Underc0de .

Configurando EDA2

15:22 6 Comments A+ a-


Hola a todos, a petición de varios usuarios, he realizado un tutorial básico y rápido de como configurar EDA2.

EDA2, es la versión actualizada de Hidden Tears, podéis obtener más información en estos post:

https://underc0de.org/foro/malware/hidden-tear-el-primer-ransomware-open-source/

https://underc0de.org/foro/malware/configurando-hidden-tear-(offline)/

https://underc0de.org/foro/malware/configurando-hidden-tear-(online)/

Repositorio oficial: https://github.com/utkusen/eda2

Al igual que Hidden Tears, EDA2 es un ransomware opensource con las siguientes características:

  • Utiliza ambos algoritmos RSA y AES.
  • Se coordina desde un C&C
  • Utiliza CSPRNG y phplibsec
  • Los archivos cifrados se pueden descifrar con el software de la versión anterior.
  • Cambia el fondo de escritorio al ejecutarse.

Funcionamiento

1. El ransomware envía una solicitud POST al C&C con la variable del nombre de usuario.
2. El C&C crea la key RSA pública /privada y envía la clave pública para al ransomware y guarda la clave privada en la base de datos
3. El programa crea una clave aleatoria para el algoritmo AES
4. El ransomware encripta los archivos con el algoritmo AES
5. El ransomware encripta la clave AES con la clave pública RSA y la envía al C&C vía POST.

NO FUNCIONA A mi no me funcionó y tuve que reprogramarlo para el tutorial (más bien hice una chapuza rápida). Parece ser que envía los campos en blanco.

6. El C&C guarda la clave cifrada AES dentro de la base de datos.
NO FUNCIONA  Al no recibir nada, no lo guarda.

Configuración

1. Lo primero con lo que nos encontramos, es la siguiente linea:


Desde esta, podremos modificar la longitud de la clave RSA.

2. Acto seguido, deberemos modificar estas 2 urls por las de nuestro hosting (habiendo subido previamente el panel).


En la siguiente línea podremos modificar la imagen que se pondrá de fondo de escritorio al ejecutar el ransomware:


3. Podremos modificar el directorio desde donde empezará a cifrar los ficheros en esta linea:


4. Además, como en Hidden Tears, podremos modificar la extensión de nuestros ficheros cifrados.


5. Obviamente, podremos decidir que extensiones queremos cifrar, pudiendo añadir o eliminar de la lista que viene por defecto.


6. Además, podemos modificar el algoritmo de creación de la clave, pudiendo poner una por defecto si queremos.


Nota: EDA2 utiliza .NET Framework 4.5, podremos modificar la versión desde aquí:


7. Una vez tengamos el ransomware modificado, debemos crear la tabla dummy en una base de datos llamada panel (obviamente estos nombres se pueden modificar desde el código php, pero son los que vienen por defecto).:


8. Ahora deberemos crear los siguientes campos en nuestra tabla:


Nota: No es necesario darles ese "tipo" de campo, requiere mucho menos espacio.

9. Una vez hecho esto, podremos logearnos en el panel de administración, cuya url sería dominio.com/panel/login.php, utilizando las credenciales por defecto, test:test


10. Este será el dashboard de nuestro panel, donde veremos la información de los infectados.


11.  Verificamos que nuestros ficheros no están cifrados (pues no hemos ejecutado aún el ransomware).


12. Ejecutamos EDA2 y veremos como cambia nuestro fondo de pantalla (por el que hemos seleccionado antes) y nuestros ficheros están cifrados.  


13. Accedemos al panel de administración para obtener la clave para descifrar los ficheros.


14. Pulsamos sobre el botón que dice "Decipher" (Descifrar) y obtendremos la clave necesaria para hacerlo.


15. Utilizamos la clave en el software y listo!


Saludos!
Blackdrake

Haka: nuevo lenguaje de seguridad informática

11:13 0 Comments A+ a-


Haka es un lenguaje de seguridad orientado a código abierto que permite especificar y aplicar las políticas de seguridad Informática en el tráfico capturado en vivo. HAKA se basa en Lua y es un lenguaje sencillo, ligero y rápido. El alcance de Haka es doble explican consultores de empresa de seguridad informática y hacking ético. En primer lugar, permite la especificación de las normas de seguridad para filtrar flujos no deseados y reportar actividades maliciosas. 
Haka proporciona un API simple para la manipulación del tráfico corriente. Uno puede descartar paquetes o crear otros nuevos e inyectarlos. Haka también apoya la modificación de paquetes en la marcha. Esta es una de las principales características de Haka desde todas las tareas complejas tales como el cambio de tamaño de paquetes, ajuste correctamente de los números de secuencia. Esto se hace en vivo sin la necesidad de un proxy y se realiza todo de forma transparente para el usuario.
En segundo lugar, Haka permite la especificación de protocolos y estado subyacente de todo. Haka es compatible con ambos tipos de protocolos: protocolos basados en binario (por ejemplo, DNS) y protocolos basados en texto (por ejemplo, http). La especificación cubre los protocolos basados en paquetes, tales como IP, así como los protocolos basados en secuencias como http.
 Según consultores de empresas de seguridad informática y hacking ético, HAKA se encaja en un marco modular. Incluye varios módulos de captura de paquetes (pcap, nfqueue) que permiten a los usuarios finales a aplicar su política de seguridad informática en el tráfico capturado vivo. El marco proporciona el registro (syslog) y alerta de módulos (Syslog, Elasticsearch). 
Por último, el marco tiene módulos auxiliares, tales como un motor de búsqueda de patrones y un módulo de desensamblador de instrucciones. Estos módulos permiten escribir las reglas de seguridad informática de grano fino para detectar malware ofuscado. Haka fue diseñado de manera modular, permitiendo a los usuarios a ampliarlo con módulos adicionales.
Haka proporciona una colección de cuatro herramientas importantes para consultores de empresa de seguridad informática y hacking ético:
haka: Es el programa principal de la colección. Está diseñado para ser utilizado como un daemon para controlar los paquetes en el fondo. Los paquetes son disecados y filtrados de acuerdo con el archivo de políticas de seguridad especificadas. Haka toma como entrada un archivo de configuración. Este archivo script se carga disectores de protocolo típicamente incorporados o definidos por el usuario y define un conjunto de reglas de seguridad.
hakactl: Esta herramienta permite controlar daemon. Uno puede obtener estadísticas en tiempo real en los paquetes capturados, inspeccionar los registros o simplemente apagar/reiniciar el daemon.
hakapcap: Esta herramienta permite reproducir un archivo de política en una captura de paquetes utilizando el módulo pcap. Por ejemplo, esto es útil para realizar análisis forense y hacking ético de la red.
hakabana: Esta herramienta permite la visualización y monitoreo de tráfico de red en tiempo real utilizando Kibana y Elasticsearch según expertos de empresa de seguridad informática. Hakabana consiste en un conjunto de reglas de seguridad que lleva información sobre el tráfico que pasa a través de Haka en un servidor de elastisserach y muestra a través de una consola Kibana. Un panel adicional también está disponible para visualizar alertas de Haka.

Fuente: noticiasseguridad.com
Visítanos en Underc0de