Hacking Bluetooth (Spoofing)

SPOILER ALERT ¿Recordáis en la serie Mr. Robot, la escena en la que aprovecha el sistema Bluetooth de un vehículo policial, para "spoofearlo" y conseguir acceso al ordenador del agente?

Hoy vamos a aprender a utilizar esta técnica, para realizar ataques de spoofing a dispositivos Bluetooth. El proceso es bastante parecido al Spoofing Wi-Fi o el ataque del gemelo malvado, del que ya hemos hablado en este blog.

Aunque el Bluetooth hoy día no es TAN utilizado como la tecnología Wi-Fi, y suelen traer sistemas de seguridad (como hacer no visible al Bluetooth aún estando encendido esperando la interacción humana, por ejemplo), además de no tener tantas posibilidades como el Wi-Fi, sí que nos podría salvar en determinados momentos.

Para realizar esta prueba de concepto, utilizo una máquina Kali Linux virtualizada en VMWare, un teclado Bluetooth y un teléfono Android. Queremos hacer el ataque de spoofing al teclado Bluetooth, de forma que el teléfono Android se conecte a nuestro Kali Linux.

Comenzamos iniciando el servicio de Bluetooth, si vuestro PC o portátil no tiene Bluetooth debéis instalarle un dispositivo USB Bluetooth.

Además debemos subir la interfaz de Bluetooth (al igual que podemos manejar interfaces ethernet-ethx o Wi-Fi-wlanx), para ello utilizaremos la utilidad en Kali Linux "hciconfig" (uso similar a ifconfig o iwconfig).

Comprobamos que se haya subido correctamente (por motivos de seguridad no mostraré las direcciones MAC completas de los dispositivos, ya que se trata de elementos reales y propios).

A continuación usaremos la herramienta btscan para escanear dispositivos Bluetooth cercanos.

Hemos encontrado nuestro teclado víctima, el cual se encuentra conectado al teléfono Android, es el momento de comenzar el ataque... ¡SPOOFING! Simplemente debemos usar spooftooph y agregar los siguientes parámetros:

• -i (interfaz) = la interfaz Bluetooth que estamos utilizando
• -a (address) = la dirección MAC del teclado bluetooth VÍCTIMA
• -n (name) = el nombre del dispositivo víctima

Como podéis ver, en menos de 10 minutos (5 si tenemos práctica) podemos hacer un ataque de spoofing Bluetooth, y aun pareciendo el Bluetooth un sistema obsoleto o antiguo, aún dispositivos como ratones, teclados, manos libres de coches, móviles, etc usan esta tecnología, que además suele estar olvidada en cuanto a la seguridad... Un sistema con alto nivel de seguridad, podría ser altamente vulnerable gracias a un ratón o un teclado inalámbrico Bluetooth...

Hacking con buscadores. Episodio II. El Ataque de Inyecciones SQL.

Saludos hackers!!

Os traigo una nueva entrega de la saga de hacking con buscadores.

En esta PoC, agudizaremos nuestra dork en busca de paneles para que los administradores se logueen.

• inurl:validacion.asp ext:asp

 Esta dork nos permitirá encontrar paneles de acceso para webs asp.NET:

De acuerdo con mis compañer@s, por motivos de seguridad, voy a evitar poner ciertos paneles, ya que parte de esta PoC, es mostrar los logins, que puede que alguno con simples inyecciones SQL sea vulnerabilizado. Por ese motivo, pondré capturas aleatorias con el fin de evitar el reconocimiento de dichas webs.

En el panel de arriba, puede observarse que con esa simple inyección, es posible poder acceder a la web logueado.

Veremos un error arrojado por una web encontrado con la dork con la que se está trabajando:

Este tipo de error, es una mala configuración en este caso en SQL Server, y que el administrador debería corregir, ya que confirma las inyecciones en esa web.

• inurl:index.php intitle:Admin * login

 La dork utilizada ahora, nos mostrará páginas index.php en las que se encuentra el panel de acceso para el administrador:

Entraremos en un panel de administración:

 

Indicando esta inyección SQL, nos saldrá un mensaje de error, el error 403, dicho error se produce al entrar en alguna parte en la que no se tiene permiso.

Aunque os preguntaréis que tiene de bueno encontrarnos este error, diré que lo bueno que tiene es que este panel para empezar permite inyecciones SQL. Ya que sino nos arrojaría otro tipo de error, como este usuario o password es incorrecto, o lo lógico, decir que no se permiten el uso de caracteres.

Otro ejemplo:

Y vemos como hemos podido acceder al panel de control del administrador:

• inurl:index.php intext:welcome admin panel

Vamos a obtener paneles de acceso de administración en PHP, en los que se pueda ver en el texto "welcome admin panel" que esta dork nos proporciona:

Dentro de un panel de acceso, y tras introducir una inyección SQL, podremos ver el siguiente resultado:

Un error fatal, aunque no nos hemos logueado, puede ser aún mucho peor, porque nos está arrojando información sobre tablas, columnas...

Estas pruebas están realizadas con fines educativos, no me hago responsable de lo que personas ajenas realicen.

KeRanger: Descubierto ransomware para MAC (OS X)

Autor: Diego Jurado

Buenas a todos hackers!!

Hoy vamos a hablaros sobre un tema que nos acontece, es la noticia del momento y es que era solo cuestión de tiempo pero finalmente podemos decir: OS X ha sido vulnerado.

Hasta ahora, los usuarios de Apple podían presumir de ser uno de los únicos sistemas operativos que no había sufrido de las amenazas de Internet, pero esto ya es historia.

El 4 de marzo de este mismo mes, se registró el primer ataque de ransomware, bautizado como KeRanger dirigido a usuarios de Apple y esto es un problema, especialmente para los amantes de las descargas, ya que este ´malware´ ha sido difundido a través de software torrent y puede afectar a cualquier tipo de Mac, siempre que el usuario se encargue de ejecutar la aplicación asociada.

El único ransomware conocido para OS X hasta ahora fue descubierto por Kasperky Lab en 2014, fue denominado como FileCoder y estaba incompleto, mientras que KeRanger , según los investigadores de Palo Alto, se trata de "el primer ransomware completamente funcional que se ha visto en la plataforma OS X".

¿Qué es un Ransomware?

Un ransomware (del inglés ransom = rescate / ware = software) se trata de un tipo de programa informático malicioso, que encripta y restringe el acceso generalmente a archivos o partes del sistema que ha sido vulnerado.

Una vez se tienen los datos encriptados, la única forma de recuperar estos archivos es mediante el pago de un rescate que se le pide al usuario. 

Esto supone un daño crítico, especialmente a empresas u organizaciones que dependen de sus archivos y que se han visto en más de una ocasión a pagar dicho rescate, como por ejemplo hace un mes, un hospital en los Angeles se vio obligado a pagar 40 bitcoins (equivalente a $16700) para recuperar parte de sus sistema que fue afectado por un ramsomware.

KeRanger Ransomware

Para la propagación de este ransomware, los atacantes se aprovecharon de una actualización de Transmission, un cliente de BitTorrent para OS X que llevaba dos años sin actualizarse.

Los creadores inyectaron KeRanger en dos instaladores de la versión 2.90, aprovechando que esta es una aplicación de código abierto (open source).

La aplicación infectada con KeRanger estaba firmada con un certificado de desarrollador de Apple, que lograba evitar que Gatekeeper (mecanismo de seguridad integrado en OS X) detectase la aplicación como peligrosa y rechazase su instalación.

Cuando un usuario instala la aplicación, un ejecutable embebido en la misma, pasa a formar parte del sistema. Es entonces cuando KeRanger (a los 3 días aproximadamente) se conecta con sus servidores de control y comando en la conocida red Tor y comienza a cifrar ciertos tipos de documentos y archivos de datos del sistema.

Estos son algunos de los tipos de documentos que se cifran: 

Tras finalizar este proceso, se solicita automáticamente al usuario afectado que pague un BitCoin ($400 aproximadamente) a una dirección especifica para poder recuperar sus documentos. 

Se dice que KeRanger sigue en proceso de desarrollo, y este malware intenta cifrar tambien el contenido de las copias de seguridad de Time Machine para prevenir recuperar información desde sus copias de seguridad. 

¿Como detectarlo y como protegerse?

Como era de esperar, la reacción ha sido rápida, y desde Transmission ya se han dado cuenta, y han lanzado una nueva version 2.92, donde se ha eliminado el ransomware. Esta actualización ha pasado a ser obligatoria para todos los usuarios  de la aplicación.

Pero,  ¿como podemos saber si estamos infectados?, ¿como nos protegemos?

Si vamos a Transmission y hacemos clic en Mostrar contenido del paquete con el segundo botón del ratón, podremos observar que hay un archivo extra denominado General.rtf en la ruta:

Transmission.app/Content/MacOS/Transmission. 

Este archivo de texto no es más que un ejecutable empaquetado con UPX 3.91.

Cuando el usuario infectado ejecuta la aplicación, dicho archivo se copia en la ubicación: 

Library/kernel_service y se ejecuta el servicio antes de que ninguna interfaz aparezca para recolectar información del modelo de Mac y su identificador UUID.

Estos datos se envían a un servidor externo, y este devuelve una respuesta informando sobre el rescate.

Si queremos saber si hemos sido infectados, debemos seguir los siguientes pasos: 

• Abrir Terminal o Finder y verificar si tenemos el archivo General.rtf en nuestro equipo. Para ello basta con mirar las rutas: 

          /Applications/Transmission.app/Contents/Resources/General.rtf           /Volumes/Transmission/Transmission.app/Contents/Resources/

• Mediante el Monitor de actividad, deberemos verificar los procesos que están activos. Si encontramos uno llamado "kernel_service" ejecutandose, deberemos hacer doble click sobre él, ir a la opción de Archivos y puertos abiertos (Open Files and Ports) y ver si hay un archivo con el nombre: /Users/<username>/Library/kernel_service , en este caso, forzaremos el cierre.

• Por último, comprobaremos si los archivos: kernel_pid, kernel_time, kernel_complete o kernel_service existen en la carpeta Library directory, en este caso los eliminaremos.

Recomendaciones

Desde aqui, recomendamos siempre tener una copia de seguridad disponible, por si alguna vez sufrimos este tipo de ataques, con ella estaremos mucho más seguros.

Es importante concienciarse de que todos nuestros datos están expuestos, y de que todos somos vulnerables. 

Este es el primer caso de ransomware que hace que el Mac (OS X) ya no pueda mantener su reputación como bastión de seguridad por encima de Windows.

"Pienso que los virus informáticos muestran la naturaleza humana: la única forma de vida que hemos creado hasta el momento es puramente destructiva"  - Stephen Hawking -

Aircrack-ng (III) - Cracking de algoritmo WEP y WPA

Buenos días hackers!! Hoy vamos a continuar nuestro recorrido por Aircrack-ng comenzando a realizar ataques más interesantes. En esta entrada podréis aprender a realizar ataques contra los sistemas de cifrado de las redes inalámbricas más utilizados: WEP y WPA-PSK.

Sin mas preámbulos, pongámonos a ello.

Cracking del algoritmo WEP mediante inyección de tráfico

WEP es un algoritmo de cifrado para redes inalámbricas ya desfasado y en proceso de desaparición debido a sus múltiples fallos de seguridad. Entre ellos, el más aprovechado es que mediante la captura de los llamados vectores de inicialización o IVs, que se utilizan en el cifrado de los mensajes, puede realizarse un ataque que nos permite averiguar la clave de dicho cifrado. 

Explicado a grandes rasgos, esta vulnerabilidad explota el hecho de que los vectores de inicialización, en principio utilizados para mejorar el cifrado de la red añadiendo una serie de 24bits a la clave de cifrado en cada paquete, se transmiten en texto plano dentro del propio paquete, y suelen incrementarse de forma lineal. Por tanto, y constando solamente de 24bits, es fácil capturar dos paquetes que estén cifrados con el mismo IV y la misma clave de cifrado en un tiempo aceptable. Ésto permite ejecutar un ataque estadístico capaz de desvelar la clave de cifrado de la red. 

Utilizaremos de nuevo la herramienta aireplay-ng para el ataque sobre una red que de nuevo hemos preparado anteriormente, con cifrado WEP. Como siempre, configuraremos nuestra tarjeta de red inalámbrica en modo monitor con airmon-ng como paso previo al ataque, y localizaremos a nuestra víctima mediante airodump-ng. 

Tras localizar a la víctima, utilizaremos de nuevo airodump-ng para escuchar la red, colocando la tarjeta en el mismo canal de la víctima para mayor precisión, y especificando que queremos que los resultados de la escucha se guarden en un archivo salida. 

airodump-ng -c 7 -w captura_wep --bssid 84:9C:A6:36:99:24 wlan0mon

Tenemos ya la parte de la escucha preparada. Debemos dejar el comando ejecutándose a lo largo de todo el ataque, ya sea en segundo plano o en otro terminal. 

El siguiente paso será lanzar la herramienta aireplay-ng para ejecutar un ataque tipo ARP Replay. Es la manera más sencilla y utilizada para generar tráfico dentro de una red inalámbrica. Lo que hace es básicamente es capturar cada petición ARP dentro de la red inalámbrica y retransmitirla de vuelta al punto de acceso origen; ante esto, el AP vuelve a transmitir el mismo paquete con un vector de inicialización diferente. Repitiendo esta operación de forma constante, conseguimos registrar una enorme cantidad de IVs en un tiempo mucho menor que si simplemente quedásemos a la escucha. 

aireplay-ng -3 -b 84:9C:A6:36:99:24 wlan0mon

Salida del comando en aireplay-ng 

Escucha mediante airodump-ng durante el ataque

El objetivo es capturar cuantos más paquetes mejor, indicados en airodump-ng en el campo #Data. 

En otra terminal, deberemos ahora asociar nuestra MAC al punto de acceso víctima mediante el ataque de autenticación falsa que ya vimos anteriormente. Ésto es necesario para poder realizar correctamente la inyección de paquetes en la red inalámbrica; si no, el AP podría descartar directamente los paquetes ARP que le estamos reenviando. 

Una vez ejecutado dicha falsa autenticación, vemos que el campo #Data de airodump-ng aumenta de forma muy rápida. El ataque empieza a tener éxito. Para acelerar el proceso, podemos ejecutar un ataque de deautenticación sobre cualquier cliente que esté conectado a la red, de forma que se generen nuevos paquetes ARP que, a su vez, retransmitiremos. 

En este punto, solamente debemos esperar un rato a que la cantidad de paquetes capturados sea lo suficientemente alta. Esta cifra es muy variable, pero normalmente a partir de unos 150000 paquetes el éxito está asegurado. 

El número de paquetes capturados en airodump-ng aumenta más o menos rápidamente

Por último, podemos sacar a escena por fin la herramienta que da nombre a la suite: aircrack-ng. Como nombramos al principio, sirve para realizar el crackeo de claves a partir de archivos de escucha, como el que acabamos de generar con airodump-ng. Podemos ahora lanzar la herramienta de la forma: 

aircrack-ng captura-01.cap

Y vemos que enseguida nos ha sacado la clave de cifrado de la red inalámbrica, una clave hexadecimal muy sencilla que pusimos como ejemplo.

 

Captura de la clave de encriptación con aircrack-ng

Y hasta aquí la parte de crackeo de redes WEP. Ahora, empezamos con un algoritmo de encriptación algo más complicado: WPA Personal. 

Cracking del algoritmo WPA/WPA2 Personal mediante ataque por diccionario

Visto ya cómo realizar un ataque para desvelar la clave de cifrado para el algoritmo WEP, podemos pasar a un ataque a una red con algoritmo WPA o WPA2 con clave precompartida, llamado también WPA Personal, la implementación más habitual para el intercambio de claves de cifrado en un punto de acceso convencional y actualizado.

El ataque aprovecha la captura de los paquetes que intervienen en la autenticación de un cliente dentro de la red inalámbrica. En esta autenticación se realiza un handshake de 4 pasos o vías en el que se envía la clave de cifrado previamente cifrada mediante funciones hash. La captura de este handshake nos permite obtener dicho hash, que posteriormente podremos poner como entrada a un ataque de fuerza bruta por diccionario mediante herramientas como el propio aircrack-ng u otras como john u oclhashcat.

Comenzaremos el ataque como siempre, colocando nuestra tarjeta inalámbrica en modo monitor con airmon-ng y localizando la red con airodump-ng. Asimismo, de la misma manera que con el apartado anterior, colocaremos airodump-ng a la escucha y grabando los datos dentro de un archivo captura.

Una vez hecho ésto, lo único que debemos hacer es localizar un cliente de la red inalámbrica y lanzarle ataques de autenticación hasta que podamos ver que se ha capturado el 4 way handshake. Seguramente sean necesarios varios de estos ataques y reautenticaciones por parte del cliente hasta que capturemos el handshake.

Pequeño truco: Automatiza las deautenticaciones para lanzarlas periódicamente pero dando tiempo a que el cliente vuelva a intentar autenticarse. Por ejemplo, cada cinco minutos. 

while [ 1 -gt 0 ]; do aireplay-ng -0 3 -a 84:9C:A6:36:99:24 -c 64:A6:51:AD:EB:4C wlan0mon; sleep 300; done

Eventualmente, capturamos el handshake WPA. 

Captura del handshake de WPA mediante airodump-ng

Una vez capturado, solo tenemos que pasar el archivo de captura a aircrack-ng de forma similar a cuando hicimos el crackeo del algoritmo WEP. Sin embargo, ahora debemos tener un diccionario para realizar un ataque por fuerza bruta. En nuestro caso, utilizamos uno bastante conocido llamado rockyou.txt. Especificamos además el BSSID de la red víctima y el archivo de captura. 

aircrack-ng  -w rockyou.txt -b 84:9C:A6:36:99:24 captura-07.cap

Y rápidamente (colocamos una clave bastante evidente, así que se encuentra pronto en el diccionario) nos desvela la clave de la red inalámbrica cifrada en WPA2-PSK, uno de los algoritmos más seguros actualmente.

Crackeo de la clave mediante aircrack-ng

Y eso es todo por hoy amigos. Espero que la entrada os haya gustado y os sirva para aprender. Un saludo hackers!!

hartek

Creación de un Hidden Service de Tor

Antes de comenzar esta PoC, queremos recalcar que está realizada con fines educativos y, sobre todo éticos. Y no nos hacemos responsables del mal uso que puedan darle.

Vamos a montar un Hidden Service, es decir, un servidor con dominio .onion, aumentando así la privacidad y anonimato del servicio dado. Este tipo de dominio conforman lo que se conoce como red Tor, perteneciente a la Deep Web.

Para realizar esta PoC, montaremos un servidor web en un entorno virtualizado (no por ello falso, ya que aún virtualizado estará en la red y será accesible) sobre GNU/Linux Debian.

¿Qué es Tor?

Tor (The Onion Routing) es una red de nodos distribuidos por el mundo, en el que los paquetes viajan por los mismos antes de llegar a su destino, ofreciendo privacidad y sobre todo anonimato. Cada nodo por el que pasa un paquete es cifrado por capas (e ahí el nombre de Onion).

La red de Tor forma parte además de la conocida Deep Web, en la que el anonimato, como arma de doble filo, es tanto usada con fines éticos (librerías, tutoriales de todo tipo, prensa sin censura) como con fines delictivos (pedofilia, mercado negro, servicios ilegales).

Tras esta breve introducción a Tor, si deseas más información, te dejamos algunos enlaces que pueden serte de utilidad: Wikipedia, Tor Project, Cómo empezar a usar Tor, Cómo funiona Tor.

Instalación del servidor web (LAMP)

Comenzamos con la instalación del servidor LAMP en nuestro Debian. LAMP es el acrónimo dado a la infraestructura del servidor web conformado por las siguientes herramientas: Linux + Apache + MySQL + PHP (A veces, MySQL puede ser sustituido por MariaDB, y PHP por Perl o Python). No vamos a entrar en detalles sobre la instalación, ya que realizaremos una instalación básica sin configuraciones extra. Anteriormente en este blog explicamos algo parecido.

El proceso es sencillo y no ahondaremos en configuraciones, por lo que únicamente instalaremos los paquetes necesarios y editaremos el contenido de la página.

# apt-get install apache2 php5 libapache2-mod-php5 php5-mcrypt mysql-server php5-mysql

Comprobamos  el correcto funcionamiento de nuestro servidor web (conectándonos a la IP del servidor desde un navegador):

Editamos el contenido de la página. Éste se encuentra en la ruta /var/www/html.

Ya tenemos nuestro servidor LAMP corriendo, es el momento de instalar Tor y anonimizarlo, así como obtener el dominio .onion. Cabe destacar que en esta prueba de concepto no contemplamos todos los aspectos de seguridad, por lo que no se debe asumir que siguiendo estos pasos tendremos un servidor completamente seguro y anónimo, para lograr esto, debemos contemplar otras medidas de seguridad en el servidor, tales como detectores de intrusos, VPN, proxys, hardening del servidor, etc.

Instalación de Tor en nuestro servidor Debian

Antes de instalar Tor es necesario instalar algunos paquetes que permiten el correcto funcionamiento e instalación de Tor, los cuales son:

# apt-get install screen build-essential libevent-dev openssl zlib1g-dev libssl-dev

Una vez instalados, instalamos Tor con el gestor de paquetes apt-get.

El archivo de configuración, donde definimos los hidden service, se encuentra en /etc/tor/torrc. Accedemos y añadimos las siguientes líneas al final:

El parámetro “HiddenServiceDir” indica la ruta donde se almacena el contenido de la página. Nosotros hemos creado una carpeta dentro de /root denominada tor, donde alojaremos el index.html y el resto de contenido dela página.

El parámetro “HiddenServicePort” indicamos el puerto por el que accederemos al servidor. Podéis poner el que queráis, en mi caso he usado el puerto 80 (por defecto). Si elegimos un puerto extraño, deberemos configurar el archivo de configuración de Apache para que responda al mismo puerto además del archivo /etc/apache2/ports.conf.

Una vez guardado los cambios, reiniciamos el servidor y reiniciamos tor.

Arrancamos el servidor Tor con el siguiente comando:

Una vez terminado, listamos el contenido de la carpeta que hemos seleccionado para almacenar el Hidden Service, y veremos dos nuevos archivos junto al index.html.

¿Qué son? “private_key” almacena la clave privada del servidor.

El fichero “hostname”, almacena el dominio asignado .onion:

Para finalizar, únicamente debemos descargar el navegador de Tor (o acceder con un navegador con soporte para Tor) y veremos nuestra página. Editando el contenido podéis crear una página dinámica para objetivo que queráis, aunque eso es otro tema. (repetimos que no nos hacemos responsable del mal uso que puedan darle, puesto que es sólo para fines educativos y éticos).