bitcoin prize

PWNEANDO AL ESTILO DE AGENTE SECRETO: ANALISIS ETERNAL-BLUE Y DOUBLE-PULSAR

"PWNEANDO A LO NSA"
"Uso y explicacion de Eternal-blue y Double-Pulsar"
 hace dias me he encontrado con una noticia bastante buena y es que las herramientas con las que la mayor agencia de seguridad del mundo entre comillas llamemosle asi, han sufrido lo que parece ser una de las mayores filtraciones, pues las herramientas y los exploits de los que hablaba snowden hace y algunos años atras se han revelado,  por fin su codigo fuente y todo para probar a lo nsa! :V XD LOL.
y como si fuera poco los afectados han sido los de siempre ya te imaginaras de quien, sii,  el tio bill gates y su empresita chunga microsoft.
y es que la querida agencia de seguridad nacional espiaba o mejor dicho nos espiaba a todos haciendo uso de lo que comunmente en seguridad le llamamos "in the wild o exploits in the wild" para llamarle ala seguridad o alas intrusiones no autorizadas aun no detectadas por el fabricante o reportada como 0day en la comunidad cibernetica.
la vulnerabilidad es la tipica crasheo y secuestro de una libreria dll que es cambiada por otra libreria dll para hacer creer que se esta usando la libreria legitima cuando en realidad se esta mandando llamar una libreria  falsificada y modificada previamente backdorizada,
los sistemas afectados que hacen uso de tal libreria son los siguientes:
mas adelante analizaremos el metodo de "secuestro dll o hijacking de librerias dll"  investigando a profundidad mediante el process explorer ,  asi como profundizaremos en el protocolo de comparticion de archivos vulnerable gracias al cual la nsa pudo colarse en vuestros ordenadores, dicho fallo del protocolo propietario de microsoft smb consistia en enviar al mismo muchos paquetes crafteados o rotos,  segun desde la web oficial de microsoft nos dicen que una de las soluciones mas "fiables" sease desactivar la funcion smb si no la estamos utilizando en un momento.
muchas  compañias tienen activado este tipo de funciones para crear y configurar carpetas compartidas.
la anterior imagen muestra el ataque que es conocido como secuestro de librerias DLL , las aplicaciones que son terminan .exe jalan por asi decirlo ciertos parametros que necesitan para acceder al nucleo central del sistema operativo mejor conocido como kernel y asi acceder a sus funciones principales en modo kernel ya que en modo usuario solo podria acceder a ciertos codigos de ejecucion que no pueden escribir en el sistema operativo.
la imagen anterior muestra claramente como podemos escanear a los sistemas operativos vulnerables ya sea por logica de que esten expuestos consecuentemente o que  encontremos alguna puerta por la que podramos ingresar como juan por nuestras casas jejeej :).

dicho esto,  vemos que tanto nmap como metasploit  tiene utilidades auxiliares o modulos auxiliares que nos pueden ser de muchisima utilidad a la hora del reconocimiento de informacion para verificar si el fallo de seguridad que hemos mencionado anteriormente y que es compatible con los ataques double-pulsar y eternal-blue se puede explotar con la maquina objetivo.


vemos en la anterior imagen que estamos escaneando con la famosa ya conocida herramienta nmap podremos realizar un escaneo en todas las fases de un ataque,  vemos que nos brinda efectivamente informacion acerca de  vemos que nos dan una descripcion del fallo de seguridad que se traduce en codigo remoto de ejecucion vulnerabilidad en microsoft SMBV1 es decir dentro del protocolo de archivos de windows tenemos un fallo de seguridad  que afecta principalmente a servidores de este tipo.

el estado que nos saco la herramienta nmap es vulnerable,   ademas de que nos saca EL CVE ID de los fallos de seguridad correspondiente,  la nomenclatura de los fallos de seguridad es el siguiente para comprenderlo:


CVE-YYYY-NNNN (YYYY indica el año y NNNN el número de vulnerabilidad).

podemos ver que es fácil de entender ya que por ejemplo si tenemos esta vulnerabilidad nos indica que 
este fallo que vamos a analizar es el 

CVE-2017-0143

estamos refiriendo a que el fallo de seguridad esta documentado se encontro en el 2017 y tiene el numero unico 0143 dentro de la base de datos nacional de seguridad en los estados unidos de america.



vemos que una vez que estamos corroborando y estamos en realidad seguros de que la maquina cliente tiene en realidad ese fallo de seguridad , ya que al ser herramientas tienen sus fallos tambien de generar falsos positivos o falsos negativos segun sea el caso,  podemos ver que tenemos varios parametros obligatorios que llenar antes de ejecutar el ataque asi como varios otros que son opcionales para perfilar un vector de ataque mas avanzado y eficaz si es lo que realmente queremos dentro de nuestro marco de investigacion.

vemos que tenemos muchos pero lo que mas me llamo la atencion es el de checar la arquitectura  ademas si queremos volver a corroborar  que los hosts en realidad si es vulnerable pues este modulo trae un chequeo rapido para que verfique si en realidad asi es,  ademas poidemos poner los hilos que en su lugar en este caso si es un parametro obligatorio ya que el ataque en si mismo hace uso de esta cuestion , podemos poner o elevar la ejecucion de los hilos, en este caso para hacer mas eficaz este fallo aunque eso cabe aclarar que se disminuira o afectara el rendimiento de nuestra maquina.

el puerto es el 445 obligatoriamente ya que es el puerto por donde se comunica este protocolo de red, de lo contrario podria no servir al menos que se haya cambiado el puerto dentro de las configuraciones correspondientes en el servidor determinado vulnerable.



podemos ver que en efecto las estaciones victima en realidad son extremadamente vulnerables al hacer el barrido o escaneo rapido de la herramienta metasploit  ahora lo que falta es solo  proceder con lo siguiente,  puedes seguir por dos vias o vectores de ataque,  una es inmediatamente  atacar los hosts vulnerables es decir proseguir atacando con todo y explotando el fallo de seguridad,  otra es ir recogiendo como analisis de informacion  cuales hosts son potencialmente vulnerables dentro del marco de investigacion en donde nos encontramos e investigar apropiadamente si existen ciber seguridad de perimetro.

ahora vamos analizar cual es la tecnica que hace que este fallo de seguridad sea posible, veamos el concepto de dll hijacking o el secuestro de librerias dll dentro de los sistemas operativos.

SECUESTRO DE DLL (DLL HIJACKING)

como se nos dice  en el texto sub-titulo,  es un secuestro lo que se hace es se interpone o se solapa mediante un PPID es decir un proceso padre, un proceso padre es aquel que tiene varios procesos hijos o child process sobre el esto puede ser por ejemplo el explorador de windows ,  que como es un proceso padre que puede  tener procesos hijos como por ejemplo la barra de tareas dentro del explorador,  administrador de tareas,  widgets del clima, entre otros.

ahora vemos que con una herramienta muy util llamada process explorer podemos ver y analizar que procesos son los que han sido suplantados o han sido secuestrados haciendose pasar por un proceso padre o hijo e inyectando codigo potencialmente malicioso y peligroso,   podemos ver mediante esta herramienta que procesos se estan cargando on the fly  y que funciones mismas esta llamando inclusive podremos analizar que conexiones en caso de que ese proceso este llamando hilos de ejecucion o threads o que este conectando hacia otro lado de la red , podremos ver las conexiones activas o si en un momento u otro cargo otro proceso  y hacia donde se esta conectando su flujo de informacion.


vemos que mediante otra mini-utilidad que trae esta herramienta analizamos mediante filtros regmatch las librerias predeterminadas que se estan cargando en el proceso,  ademas algo muy sospechoso es que hay muchos procesos hijos que dependen del proceso padre, esto es ciertamente sospechoso hasta cierto punto ya que vemos que no es necesario jalas mas hilos de ejecucion de los necesarios del proceso  lo que hace esto muy sospechoso,  ademas podremos ver si lo que esta corriendo esta firmado o autofirmado si no es asi entonces estamos ante un dll malicioso o procesos maliciosos



REFERENCIAS, IMAGENES Y ENLACES TECNICOS:
http://securityxploded.com/dllhijackauditor.php
https://en.wikipedia.org/wiki/DoublePulsar
https://es.wikipedia.org/wiki/EternalBlue
https://es.wikipedia.org/wiki/Server_Message_Block
http://cfile2.uf.tistory.com/image/196CE31C4C9D3F6044C902

0 comments:

Publicar un comentario

My Instagram

Uso cookies para darte un mejor servicio.
Mi sitio web utiliza cookies para mejorar tu experiencia. Acepto Leer más