Windows File Analyzer: una herramienta forense

Cuando se realizan pruebas forenses sobre equipos Windows hay ciertos ficheros que tienen una especial importancia. Por ejemplo el fichero thumbs.db consiste en una pequeña base de datos en donde se guardan las últimas imagenes que se han visto en Windows por el usuario, es una forma mas de acelerar las futuras consultas de las imágenes. Otro fichero importante puede ser el index.dat que contiene todo el registro por donde el usuario ha navegado.

A continuación podemos ver un ejemplo de la herramienta aplicada sobre el fichero index.dat:

Windows File Analyzer nos permite analizar los siguientes tipos de ficheros:

• Thumbs.db: permite analizar las imagenes que ha registrado este fichero
• Papelera de reciclaje: nos permite analizar los ficheros que hay en la papelera de reciclaje
• Accesos directos: WFA nos permite analizar los accesos directos en busca de fechas de última modificación y fechas de creación
• Index.dat: nos permite analizar la información de la navegación (páginas visitadas, cookies, etc)
• Carpeta Prefetch: el prefetch es el sistema que utiliza Windows para mejorar el rendimiento del SO y lo utiliza sobre las aplicaciones mas empleadas. Con esta información podemos saber cuales son las aplicaciones mas utilizadas y sus ultimas fechas de utilización por el usuario.

Como veis Windows File Analyzer es una herramienta muy completa que nos ayudará en nuestras auditorías forenses a sistemas Windows. Esta aplicación funciona bajo las versiones mas populares de Windows como XP y Vista además de funcionar sobre Windows 98 y 2003 Server.

La última versión la podeis descargar de aqui

Vulnerabilidad en Windows permite elevar privilegios

Recientemente se ha publicado una vulnerabilidad para todas las versiones de Windows 32-bits (incluido Windows 7) que permite la elevación de privilegios. De momento no existe parche, estamos hablando de que es un "0 day" y cualquier persona puede acceder a este exploit sin previos conocimientos.

El fallo se encuentra en el soporte heredado que da Windows a las aplicaciones de 16 bits. Como bien nos explican en una-al-dia Windows comete algunos errores y asume que:

• Se requiere el privilegio SeTcbPrivilege para configurar un contexto VDM (Virtual DOS Machine) .
• Código en ring3 no puede instalar selectores de segmento de código arbitrarios. Usando el modo Virtual-8086, es posible.
• Código alojado en el ring3 (espacio de usuario) no puede falsificar un "trap frame".

Para eludir el tercer punto, se necesita acceder a una dirección de
memoria, que es siempre la misma en todos los Windows menos Vista y
Windows 7 que realizan una "aleatorización" de la carga en memoria. Se
supone que esto protege de este tipo de ataques. Sin embargo, usando
NtQuerySystemInformation(), se puede llegar a calcular dónde está esa
dirección aunque sea diferente en cada inicio, con lo que la protección
ASLR (Address space layout randomization) también se ve eludida.

Ormandy avisó a Microsoft en junio de 2009, y poco después confirmaron
el problema. Harto de que no publicasen una solución (que considera no
muy compleja), ha decidido hacer público el fallo. Él mismo entiende que
esta vulnerabilidad afecta de forma más seria a empresas y corporaciones
que mantienen a sus usuarios con privilegios limitados. Por desgracia,
la mayoría de usuarios caseros utilizan ya la cuenta de administrador
en su Windows (no tan poderosa como SYSTEM, pero equivalente a efectos
prácticos) para tareas cotidianas, con lo que la elevación de
privilegios no suele ser un requisito en los ataques.

En el siguiente ejemplo podemos ver como se ejecuta el exploit y la nueva ventana de cmd se ejecuta con el usuario SYSTEM:

Nos encontramos por lo tanto ante una vulnerabilidad grave que todos los administradores de sistemas deben remediar en sus servidores, aunque no hay parche oficial la vulnerabilidad es muy fácil de solucionar. Solo necesitamos abrir nuestra consola de políticas (gpedit.msc) y vamos a Configuración de Equipo -> Plantillas Administrativas -> Componentes de Windows -> Compatibilidad de Aplicación y habilitamos la política "Impedir el acceso a aplicaciones de 16 bits".

Una vez aplicada la política comprobamos que la nueva ventana de comandos se ejecuta con el mismo usuario que la crea:

Colleja a Microsoft por seguir teniendo compatibilidad con aplicaciones de 16 bits incluso en versiones como Windows 7 y otra colleja por no haber sacado el parche en su debido momento ya que hubo un aviso previo por parte de los responsables del exploit.

El exploit lo podeis descargar de aquí

Un saludo

Waledac, análisis de un botnet peer-to-peer (II de II)

Como ya comentamos al final de la anterior entrega, Waledac ha sido uno de los botnets mas importantes del año 2009 y es muy posible que todavía en el año 2010 siga acampando a sus anchas por Internet, seguramente haya cambiado su manera de actuar y gracias al boom de las redes sociales en el año 2009 se habrá podido extender todavía mas.

Uno de los objetivos principales del estudio de Waledac era estimar su tamaño. Como ya dijimos, a los spammers no se puede acceder directamente e intentar medir el tamaño del bot por el nº de repetidores nos daría una cifra sin sentido. Así pues, los investigadores crearon un script para simular que era un repetidor del botnet. Este script implementaba todas las funciones del repetidor, salvo que en vez de reenviar las peticiones, las respondía directamente. A este script se le llamo Walowdac.

En la imagen anterior podemos ver el ejemplo de como se introdujo en la red el repetidor ficticio.

Para dar mas precisión a la medición del bot, se introdujeron varios repetidores ficticios a lo largo del botnet. La información que recibían estos repetidores ficticios iba desde IP's, timestamps, versiones de los bots y de Windows y también las campañas de spam que se distribuían a través del botnet. En las últimas versiones de Waledac también se capturaron datos como cuentas FTP, POP3 y HTTP, en concreto 128.271 cuentas de FTP, 93.950 HTTP y 39.051 POP3. Los bots dentro de Waledac son identificados con un ID y cada vez hay un intercambio de mensajes estos se identifican con su ID.

Resultados de las mediciones

Los resultados de las mediciones se tomaron desde el 6 de Agosto hasta el 1 de Septiembre.

Durante la recolección en este periodo, se encontraron 248.983 IDs de diferentes nodos. El número máximo de nodos recolectados en un solo día fue de 102.748.  Lo curioso viene ahora, casi todos los spammers y repetidores son originarios de USA o de Europa:

Como vemos en esta tabla, USA está a la cabeza con el 17,34% de los spammers y el 19,50% de repetidores. Lo que realmente me acojona, es que España esté entre estas cifras, que un país de 40 millones de habitantes sea el 5,90% del total de los spammers y el 4,60% de los repetidores dice mucho, a mi me sugiere que la gente no está concienciada con la seguridad y que además debemos de comprar mucho Viagra, Cialis o cualquier producto que nos llega a nuestra bandeja de entrada en forma de spam.

Sobre las campañas de spam que manda Waledac, se recogieron distintos métodos de spam, entre ellos:

• Mandar spam con información sobre Viagra, Cialis y otros medicamentos farmaceuticos
• Correos con la promesa de regalo de un reloj de imitación si agregábamos a un amigo al correo
• Correos especiales del día de San Valentín, Navidad, etc.

Otro dato importante es el nº de correos que podría llegar a mandar el bot diariamente. Un estudio reciente de ESET reveló que un spammer podía mandar alrededor de 6500 correos por hora pero solo llegan a su destinatario un 25,32%, lo que harían 150.000 correos al día. Teniendo en cuenta que se monitorizaron  unos 10.000 bots conectados a la vez, si hacemos cuentas:

10.000 * 24 * 6500 * 0.2532 = 394.992.000 correos enviados al día

Este número solo es una estimación pero nos da una idea de lo que es capaz de hacer Waledac. Si todos los equipos estuvieran encendidos a la vez, Waledac sería capaz de enviar 8000 millones de correos, una cifra espeluznante.

Conclusión

Como conclusión quiero hacer especial mención a que en España falta todavía mucha información sobre seguridad informática a nivel de usuario y que creo que en los colegios se debería de enseñar desde pequeños a utilizar correctamente los equipos y a introducir ciertas palabras como spam, phishing, virus, botnet para que sepan que en Internet no todo son flores y margaritas de colores como algunos creen que es.

And the XSS goes to...

eu2010.es. Así es, el ganador de comienzo de año de XSS ha sido para web de la presidencia española. Ayer a través de distintas redes sociales, se dió a conocer un fallo de XSS en el cual aparecía en la web de la presidencia española el famoso personaje Mr.Bean en vez del Presidente Zapatero.

La URL en cuestión era la siguiente: http://www.eu2010.es/en/resultadoBusqueda.html?query=%3Cscript%3Edocument.write%28%27%3Cimg%20src%3D%22http%3A%2F%2Fblog.tmcnet.com%2Fblog%2Ftom-keating%2Fimages%2Fmr-bean.jpg%22%20%2F%3E%27%29%3C%2Fscript%3E&index=buscadorGeneral_en

En esta URL podemos ver como se inyecta en el parametro query de la página "resultadoBusqueda.html" el valor:

%3Cscript%3Edocument.write%28%27%3Cimg%20src%3D%22http%3A%2F%2Fblog.tmcnet.com%2Fblog%2Ftom-keating%2Fimages%2Fmr-bean.jpg%22%20%2F%3E%27%29%3C%2Fscript%3E&index=buscadorGeneral_en

el cual traducido de hexadecimal a ASCII quedaría así:

Como podemos ver se está ejecutando en la parte cliente (en el NAVEGADOR como bien dice Jose A. Guasch) y no en el servidor (XSS no persistente) un script que ejecuta una foto de nuestro amigo Mr. Bean.

En resumen, un 0 para los programadores que han realizado esta página por no validar los parámetros de entrada, otro 0 para los auditores que no han revisado de forma correcta la página web y otro 0 para el responsable de seguridad por no haber revisado todos los parámetros de la página web.

And the stupidity goes to...

Hasta aquí todo bien, ha habido un XSS como lo hay en millones de páginas importantes. La mala leche viene cuando ciertos periódicos y "periodistillas" intentan creerse que lo saben todo y que tienen toda la razón haciendo publicaciones de este tipo

En este artículo podemos leer un parrafo que comenta lo siguiente:

Los "hackers" consiguieron saltarse los sistemas de seguridad de la web de la Presidencia española el lunes, bloquear la página y colocar una imagen de Mr. Bean, sonriente, con los ojos muy abiertos y con cara de sorpresa, que saludaba con un "Hi there" ("Hola a todos", en un inglés coloquial)

 Veamos ciertos términos de este párrafo los cuales claramente están escritos de forma sensacionalista y morbosa:

• Hacker:  ya estamos con que la abuela fuma, los "hackers" no son gente de mala fe, son gente que utilizan la cabeza para pensar, que les gustan los retos y que intentan mejorar sus habilidades día a día sin hacer mal a nadie. El nombre de alguien que comete un delito es delincuente o cracker si os gusta mas, no "hacker".
  
• Saltarse los sistemas de seguridad: saltarse los sistemas de seguridad es como el que salta una valla y llega hasta el muro y coloca una foto de Mr.Bean. Si no consigues llegar al otro lado de la valla, no la has saltado. De poco sirve poner un cartel en el lado de la valla con la cara de Mr.Bean.
  
• Bloquear la página: la página web se bloqueó seguramente por los millones de personas que intentaban acceder en ese momento, no porque los supuestos "hackers" la bloquearan.
• Hi there: a ver si aprendéis inglés porque "Hi there" no es "Hola a todos", simplemente es "Hola", igual que "Hi" pero mas coloquial.

 Con esto intentamos decir (por si alguien no lo ha pillado aun) que hay que tener un poco de cabeza antes de escribir una noticia ya que últimamente se ven muchas noticias sensacionalistas y estúpidas que no van a ninguna parte y que encima hacen quedar al periódico en cuestión como el culo.

Un saludo

Waledac, análisis de un botnet peer-to-peer (I de II)

Desde la Universidad de Mannheim junto con el laboratorio de seguridad de la Universidad de Viena se ha hecho un estudio de uno de los botnets mas peligroso del año 2009: Waledac.

Este estudio o proyecto ha tenido por nombre: "Walowdac - Analysis of a Peer-to-Peer Botnet" y nos adentra en una de las mayores amenazas en Internet de hoy en día.

Para la realización de este estudio, se utilizo un clon del botnet llamado Walowdac, el cual emula y estudia el comportamiento del botnet real Waledac.

¿Qué es un botnet y para que se utiliza?

Un botnet es una red de equipos comprometidos controlados por un atacante. Los botnets son utilizados para realizar ataques distribuidos de denegación de servicio (DDoS), ataques de spam, ataques automatizados, etc.

¿Cual ha sido su evolución?

Las primeras generaciones de los botnet no eran mas que máquinas infectadas (zombies) conectadas a un cerebro (maquina principal) el cual se encargaba de mandar las señales al resto de máquinas infectadas. Estos botnets se basaban en estructuras centralizadas y de ahí a que su conocimiento sea alto gracias a las técnicas de botnet tracking.

La segunda generación de botnets evitan las arquitecturas centralizadas utilizando mecanismos de comunicaciones peer-to-peer como el famoso botnet Storm Worm predecesor de Waledac. Así pues es mucho mas difícil seguir su rastro ya que nos encontramos ante una autentica red de equipos descentralizados.

¿Cómo funciona Waledac? ¿Cómo se propaga?
 

La estructura de Waledac tiene como poco 4 capas diferentes las cuales podemos ver en la siguiente imagen:

En el nivel mas bajo de la jerarquía de Waledac, podemos encontrar los equipos llamados spammers. Estos equipos son los encargados de mandar los correos de spam y de phising. La diferencia entre los spammers y el resto de equipos del botnet es que los spammers no tienen una IP pública debido a que están detrás de un router con NAT y no se puede acceder a estos directamente desde Internet. El beneficio de esto es que por mucho spam que manden los spammers y generen una gran cantidad de tráfico, no es fácil seguirles la pista

En el siguiente nivel encontramos a los repetidores, estos equipos son el punto de entrada de los equipos que van a formar parte del botnet y su futuro punto de referencia. Debido a esto los repetidores necesitan tener una IP publica accesible. Un repetidor se puede considerar como un mediador entre la primera capa y la tercera capa del botnet. Los spammers contactan con los repetidores para adquirir nuevas tareas o para informar de su trabajo. Estas peticiones de trabajo son enviadas por los servidores Back-end.

Los servidores Back-end se encargan de responder a las peticiones finales de los spammers y de enviar las peticiones a los repetidores. Además también realizan funciones de servidores proxy.

Por encima de los servidores Back-end y en la parte superior de la jerarquía de Waledac, se cree que existe una mother-ship, la cual podríamos decir que es la encargada de gestionar todo el botnet y de actualizar el resto de servidores con nuevas funcionalidades.

Mecanismos de propagación

Los bots de Waledac no tienen ningún mecanismo integrado de propagación. Esto quiere decir que no buscan en sus redes locales para infectar a mas máquinas. Waledac es mucho mas simple que todo esto, simplemente se propaga mediante ingeniería social. De ahí a que los spammers se encarguen de enviar frecuentemente emails con URLs que apuntan a las últimas versiones de Waledac. Para incrementar la probabilidad de infección en nuevos equipos, los spammers envían bonitos correos de felicitaciones o postales.

En la imagen siguiente, podemos ver como es el ciclo de infección de Waledac:

El número de cada linea de la imagen indica el ciclo que sigue la infección de Waledac. La infección se puede resumir con los siguientes pasos:

1. El spammer cada cierto tiempo pide a los repetidores una nueva tarea a realizar
2. Los repetidores envían estas peticiones a los servidores Back-end
3. Los servidores Back-end responden a esta petición con una tarea a realizar, por ejemplo: "Manda Spam"
4. Los repetidores envían esta información a los spammers para que la ejecuten
5. Los spammers envían correos infectados a máquinas sin infectar
6. La máquina sin infectar recibe el correo y presiona en el enlace
7. El repetidor recibe la petición del equipo sin infectar y le pide el binario al servidor Back-end
8. El servidor Back-end le envía el binario al repetidor
9. El equipo sin infectar recibe el binario de Waledac

Dependiendo del nivel de acceso que se tenga a la máquina recién infectada, esta será puesta como repetidor o como spammer

En la siguiente parte del artículo abordaremos la forma de medir el número de infecciones de este botnet en el proyecto y los resultados de estas mediciones, las cuales nos sorprenderán bastante.

Un saludo

SMS Spoofing

Si pensabais que los ataques de spoofing solo afectaban a los correos, estabais muy equivocados. Los chicos de 48 bits, nos traen la técnica del spoofing aplicada a los SMS.

La técnica basicamente consiste en poder enviar SMS a tus "amigos" haciéndote pasar por otra persona, seguro que en estos momentos se os están ocurriendo montón de cosas buenas.

Desde 48 bits se ha dado ejemplo de este ataque utilizando los servicios SMS ofrecidos por las webs de Coca-cola y de Renfe, vamos que no estamos hablando de los servicios que ofrece mi tío el del pueblo.

Cualquier manta con 2 dedos de frente puede enviar SMS haciéndose pasar por RENFE y diciendo que regalan viajes gratis de AVE a todo el mundo que se pase por la estación o también hacer un phising mediante el uso de alguna página web maliciosa...

Mucho cuidado con los SMS que recibis!!!

Un saludo

FELIZ AÑO 2010!!!

FELIZ AÑO 2010!!!

Espero que lo hayais pasado muy bien en estos días y os deseo lo mejor a tod@s para este año!!!

Un saludo.