SlideShare una empresa de Scribd logo
1 de 56
Descargar para leer sin conexión
Técnicas de escaneo masivo y
estadísticas de vulnerabilidades
Pedro Joaquín Hernández
pjoaquin@websec.mx
hkm
Contenido
• Introducción al escaneo masivo
• Herramientas: Nmap, Dnmap, Zmap, Masscan
• Escaneo con Botnet de ruteadores
• Escaneos diarios de todo Internet por un año
• Estadísticas de dispositivos de México
• Puertas traseras de dispositivos populares de México
Introducción al escaneo masivo
• Nmap es la herramienta que todos siguen utilizando.
• Dnmap te permite realizar escaneos distribuidos.
• Zmap te permite escanear todo el rango ipv4 en una hora.
• Masscan requiere hardware adicional, escanea todo Internet en 3 m.
Dnmap escaneando desde 10 servidores Websec
Zmap - http://zmap.io
• Creado por la Universidad de Michigan
• Puede escanear un puerto de todo IPv4 en 45 minutos
• Sigue activo su desarrollo en github
• Un solo paquete SYN por host a max 1.4 M por segundo :O
Zmap vs Nmap
Tipo de escaneo

Cobertura normalizada

Duración

Tiempo estimado por todo Internet

Nmap (default)

0.978

45:03

116.3 días

Nmap (1 probe)

0.814

24:12

62 días

ZMap, 2 probes

1.000

00:11

2:12:35

ZMap, (default)

0.987

00:10

1:09:45

Tipo de escaneo

Parámetros utilizados

Nmap (default)

nmap –Ss –p 443 –T5 –Pn –n –min-rate 10000

Nmap (1 probe)

nmap –Ss –p 443 –T5 –Pn –n –min-rate 10000 –max-retries 0

ZMap, 2 probes

zmap –P 2 –p 443

ZMap, (default)

zmap –p 443
Recolección de información Zmap
• Muy buena información en el reporte https://zmap.io/paper.pdf
• Más de 200 escaneos de todo Internet
• Publicaron algunas estadísticas…
Estadísticas de adopción de SSL - Zmap
• Obtuvieron 43 Millones de
certificados
• Compararon los sitios que
recientemente adquirieron SSL
• Observaron un crecimiento del
19.6% a lo largo de un año
Estadísticas de dispositivos vulnerables UPnP
– Rapid7 (17/11/12)

2.2% de Internet es UPnP
81 Millones de direcciones IP

20% de 81 M tienen SOAP API
23 Millones tienen libupnp vulnerable
Un solo paquete UDP es lo que se requiere para comprometerlos.
Estadísticas de dispositivos vulnerables UPnP
– ZMap (11/02/13)

15.7 millones de direcciones IP accesibles remotamente UPnP

16.5% de 15.7 M
2.56 millones tienen Intel UPnP vulnerable
+817,000 tienen MiniUPnP vulnerable
Un par de horas es lo que se requiere para comprometer todos los

+3.4 millones de hosts
Pero también sirve para cosas buenas 
Estadísticas de disponibilidad durante
huracán Sandy – Zmap
• Escaneo cada 2 horas de todo
IPv4 durante el huracán.
• En la costa este de EEUU se notó
un decremento del 30% de
puertos abiertos.
MASSCAN – Todo Internet en 3 minutos
• Según ellos puede escanear todo IPv4 en 3 minutos
• https://github.com/robertdavidgraham/masscan
• Para sobrepasar los 2 M de paquetes por segundo requiere una
tarjeta Ethernet Intel 10-gbps y el driver “PF_RING DNA”
• Velocidad máxima de 25 Millones de paquetes por segundo
• Encrypted monotonically increasing index
masscan 0.0.0.0/0 -p443 --rate 25000000
Estadísticas de SNMP – Errata Security
• Protocolo de administración de dispositivos
• Robert Graham en octubre 2013
• GET sysName y sysDescr
masscan 0.0.0.0/0 -pU:161 --banners
Estadísticas de SNMP – Errata Security
Cantidad SysName
288176 CableHome
145375 TD5130
123819 Unknown
119946 Broadcom
108174 CHT
79667 unnamed
48492 Innacomm
36876 KWS-1040G
28779 DSL-2640B
27768 P-660R-T1
27447 router
25229 WA3002G4
24178 ADSL
22738 ADSL
20528 Speedy
19828 Telefonica
18884 D-Link
18384 nobrand
17136 DSL-2500U
15755 Beetel
13175 Sprint
12374 Siemens
12032 RTL867x
11782 DNA-A211-I
10971 unknown
9738 USR9111

Cantidad
SysDescr
189979P-660HW-D1
132290Software Version 3.10L.01
122354Linux WNR1000v2 2.6.15
79667ucd-snmp-4.1.2/eCos
74816P874S5AP_20120106W
74654Linux ADSL2PlusRouter 2.6.19
74435Technicolor CableHome Gateway
73785CBW700N
65439System Description
55851Thomson CableHome Gateway
52248Wireless ADSL Gateway
41910Hardware
39351Linux ADSL2PlusRouter 2.6.19
38372Ubee PacketCable 1.5 W-EMTA
31197Netopia 3347-02 v7.8.1r2
30728P-660HW-T1 v2
28390Apple Base Station V3.84 Compatible
28311GE_1.07
27017ZXV10 W300
Internet Census 2012 – Carna Botnet
• Botnet “no maligna” utilizada para escanear todo Internet
• Utilizó 420,000 dispositivos para escanear 730 puertos
• Velocidad de hasta 4.2 millones de IPs por segundo

• El reporte es enorme con más de 9 TB de datos
• Utilizando Nmap NSE fue que descubrieron dispositivos vulnerables
420 Millones
respondieron
al Ping
165 millones
Tienen
puertos
comunes
abiertos
Dominios – Carna Botnet
Cantidad

Dominio

TLD

61327865

ne

jp

34434270

bbtec

net

30352347

comcast

net

.jp

27949325

myvzw

com

28059515

.it

24919353

rr

com

28026059

.br

22117491

sbcglobal

net

21415524

.de

18639539

telecomitalia

it

17480504

verizon

net

20552228

.cn

16467453

com

br

17450093

.fr

16378853

ge

com

17363363

.au

15743176

spcsdns

net

15081211

com

cn

17296801

.ru

14023982

t-dialin

net

16,910,153

.mx

13,421,570

com

mx

Cantidad

TLD

374670873

.net

199029228

.com

75612578
SubDominios – Carna Botnet
Cantidad

Subdominio

Dominio

TLD

16492585

res

rr

com

16378226

static

ge

com

15550342

pools

spcsdns

net

14902477

163data

com

cn

14023979

dip

t-dialin

net

12268872

abo

wanadoo

fr

11685789

business

telecomitalia

it

11492183

ocn

ne

jp

10,192,958

prod-infinitum

com

mx
SubDominios .mx – Carna Botnet
Cantidad

SubSubDominio

Dominio

TLD

prod-infinitum

10,192,958

Subdominio

com

mx

577,483

dyn

cableonline

com

mx

208,147

static

avantel

net

mx

157,059

static

metrored

net

mx
Internet Wide Scan Data Repository
https://scans.io/ :
• University of Michigan · HTTPS Ecosystem Scans
• University of Michigan · Hurricane Sandy ZMap Scans
• Rapid7 · Critical.IO Service Fingerprints
• Rapid7 · SSL Certificates
• Rapid7 · Reverse DNS
Critical.IO Service Fingerprints – Rapid7
• El proyecto critical.io descubría vulnerabilidades en todo IPv4
• Fue llevado a cabo de mayo 2012 a marzo 2013
• Se puede encontrar la información diaria en
https://scans.io/study/sonar.cio
Escaneo masivo realizado por
Websec
Paulino Calderón de Websec
HTTP Banners & DNS Open Resolver
Identificando dispositivos HTTP
• Cabeceras HTTP:
WWW-Authenticate: Basic realm=Portal de Inicio
Content-Type: text/html

Transfer-Encoding: chunked

Server: RomPager/4.07 UPnP/1.0

Connection: close


• Puerto 50001 para identificar 2Wire.
Legal
• Se realizó una petición web tal como la realizaría un navegador
común.
• No es intrusivo.
• No guardamos las direcciones IP.
• https://community.rapid7.com/community/infosec/sonar/blog/2013/
10/30/legal-considerations-for-widespread-scanning
• https://zmap.io/documentation.html#bestpractices
Recolectando datos
• Recolectamos

2,928,361 cabeceras HTTP o “banners” de web servers

corriendo en puerto 80

y 443.

• Base de datos de IPs de México pública con más de 26 millones de
registros. Puede ser descargada de http://software77.net/geo-ip/
Utilizando Dnmap para escanear México

• Nmap (http://nmap.org)
• Dnmap (http://dnmap.sourceforge.net)
• http-headers (http://nmap.org/nsedoc/scripts/http-headers.html)
Resultados
• Web servers encontrados: 2,928,361
• Tres dispositivos dominan:
• Huawei:
• 2Wire:
• Thomson:

1,720,910
422,685
321,467
16%

Huawei: 1,720,910

14%

Thomson: 321,467
2WIRE: 422,685

59%
11%

Otros: 463,299
PFSENSE
1%
Draytek routers
1%
SonicWALL
2%

Otros
43%

Cisco Routers
SonicWALL

Draytek router

Apache
16%

Cisco Routers
14%

Apache
IIS
Coyote

Aastra IP phon
Hikvision
uc-httpd
Otros

Aastra IP phone
2%

Hikvision
6%

uc-httpd
1%

PFSENSE

IIS
13%

Coyote
1%
16%

No sabemos
VULNERABLES

84%
Utilizando Zmap para escanear México
• 26 millones de direcciones IP (México)
escaneado en 10 minutos
• IPv4 puerto 53 TCP escaneado en 2 horas
• Se utilizó un servidor con conexión de 1Gbps
Estadísticas de DNS vulnerables - Websec
• Vulnerabildad: DNS Open Resolver
• Paulino modificó el script NSE dns-recursion.nse
• Se han detectado ~ 130,000 servidores vulnerables
• Análisis en curso…
Puertas traseras remotas
en dispositivos populares
de México
Huawei, Alcatel-Lucent, TP-Link, Technicolor
Que es una Puerta Trasera?
• Método de acceso que puede
ser utilizado para evadir políticas
de seguridad. (Microsoft)
• Método de acceso no
documentado.
• Comúnmente olvidado por los
desarrolladores.
• Frecuentemente es
implementada a propósito y
ocultada por los fabricantes.

Administración expuesta a Internet

Funciones / Interfaces redundantes
Parámetros ocultos
Cuentas comunes

Configuración expuesta
Huawei Remote Shell via /rom-0
Contraseña en archivo de configuración,
Habilitar interfaz de administración telnet,
Acceso remoto,
Borrado de logs.
• ZynOS tiene una vulnerabilidad
conocida que consiste en poder
descargar la configuración sin
autenticación.
• La configuración se encuentra
localizada en la interfaz web en
/rom-0
• El archivo rom-0 es un archivo
binario comprimido en formato
LZW.
• Es posible extraer información
como clave de administrador, WEP
default, versiones, etc.
Puerta trasera y ejecución de
comandos en Alcatel-Lucent
Encontrada por Pedro Joaquín de Websec
Cuenta por defecto: telecomadmin:nE7jA%5m
Ejecución de comandos desde interfaz web,
Router botnet c/IRC C&C
Puerta trasera Alcatel-Lucent - Websec
• Ejecución de comandos en interfaz web (ping).
• Contenido del archivo de usuarios web:

11/24/2013

http://www.websec.mx

43
Puerta trasera y ejecución de
comandos en TP-Link
Descubierta por Paulino Calderón de Websec
Cuenta por defecto: osteam:5up
URL escondido: /userRpmNatDebugRpm26525557/linux_cmdline.html
TP-Link Backdoor - Websec
• El router TP-Link WDR740ND/WDR740N cuenta con una interfaz web
oculta para depuración que podría servir de puerta trasera a atacantes
localizada en/userRpmNatDebugRpm26525557/linux_cmdline.html
• El nombre de usuario de esta consola esta guardado estáticamente en el
binario del servidor HTTP y la contraseña no puede ser cambiada desde la
interfaz web, por lo que siempre es valida la siguiente cuenta:
Usuario: osteam Contraseña: 5up
• La criticidad de esta vulnerabilidad es alta debido a que a través de esta
consola se pueden ejecutar comandos en el sistema con privilegios root
como agregar reglas de redirección de trafico y modificar archivos de
configuración
Video
• http://youtu.be/nSnXx4uY_1w
Puerta trasera en
Technicolor TG 582n
superman:superman
Puerta trasera en Technicolor TG 582n
Lista de puertas traseras comunes de México
Marca

Modelo

Puerta trasera

Acceso
remoto

Parche del ISP
11/17/2013

Detección
por DPT

Huawei

HG5xxx

Archivo de configuración con contraseña

Si

Si

Si

Technicolor

TG582n

Cuenta de administración oculta

Si

No

Si

Alcatel-Lucent

I-240-W

Cuenta de administración oculta

Si

No

Si

TP-Link

WDR740 URL de administración oculta

No

No

Si

Varias

Varios

Cuentas comunes de administración

Si
Detector de Puertas Traseras
D.P.T. v2.0
Detector de Puertas Traseras v2.0 - Websec
Video
• http://youtu.be/rdX45_rl3-4
Técnicas de escaneo masivo y
estadísticas de vulnerabilidades
Pedro Joaquín Hernández
pjoaquin@websec.mx

@_hkm
www.hakim.ws
www.underground.org.mx
Referencias
• https://zmap.io/paper.pdf
• http://community.rapid7.com/servlet/JiveServlet/download/2150-116596/SecurityFlawsUPnP.pdf
• http://blog.erratasec.com/2013/09/masscan-entire-internet-in-3-minutes.html
• http://internetcensus2012.bitbucket.org
• https://community.rapid7.com/community/infosec/sonar/blog/2013/09/26/welc
ome-to-project-sonar
• https://www.owasp.org/images/a/ae/OWASP_10_Most_Common_Backdoors.pdf
• http://www.hakim.ws/2012/12/puerta-trasera-en-fibra-optica-alcatel-lucent-deinfinitum/
• http://www.hakim.ws/2013/01/puerta-trasera-en-technicolor-tg582n/
• http://www.websec.mx/advisories/view/puerta-trasera-tplink-wdr740

Más contenido relacionado

La actualidad más candente

José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]
José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]
José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]
RootedCON
 
David López Paz - Global Warfare [RootedCON 2011]
David López Paz - Global Warfare [RootedCON 2011]David López Paz - Global Warfare [RootedCON 2011]
David López Paz - Global Warfare [RootedCON 2011]
RootedCON
 
Charla Nmap Jose Luis Chica Murcialanparty 11
Charla Nmap Jose Luis Chica Murcialanparty 11Charla Nmap Jose Luis Chica Murcialanparty 11
Charla Nmap Jose Luis Chica Murcialanparty 11
spankito
 
Tecnicas avanzadas de penetracion a sistemas
Tecnicas avanzadas de penetracion a sistemasTecnicas avanzadas de penetracion a sistemas
Tecnicas avanzadas de penetracion a sistemas
Rafael Seg
 
Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]
Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]
Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]
RootedCON
 

La actualidad más candente (20)

OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
 
Old fox new tricks malicious macros are back
Old fox new tricks malicious macros are backOld fox new tricks malicious macros are back
Old fox new tricks malicious macros are back
 
Escribiendo firmas para el sistema de detección de versiones de Nmap
Escribiendo firmas para el sistema de detección de versiones de NmapEscribiendo firmas para el sistema de detección de versiones de Nmap
Escribiendo firmas para el sistema de detección de versiones de Nmap
 
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro VillaverdeRooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
 
CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín
CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro JoaquínCPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín
CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín
 
Mariano Palomo - Taller de reversing en sistemas Windows aplicado a CTFs [ro...
Mariano Palomo  - Taller de reversing en sistemas Windows aplicado a CTFs [ro...Mariano Palomo  - Taller de reversing en sistemas Windows aplicado a CTFs [ro...
Mariano Palomo - Taller de reversing en sistemas Windows aplicado a CTFs [ro...
 
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
 
José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]
José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]
José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]
 
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)
 
Javier Marcos - Detección de amenazas a escala con osquery [rooted2019]
Javier Marcos - Detección de amenazas a escala con osquery [rooted2019]Javier Marcos - Detección de amenazas a escala con osquery [rooted2019]
Javier Marcos - Detección de amenazas a escala con osquery [rooted2019]
 
David López Paz - Global Warfare [RootedCON 2011]
David López Paz - Global Warfare [RootedCON 2011]David López Paz - Global Warfare [RootedCON 2011]
David López Paz - Global Warfare [RootedCON 2011]
 
Como usar Aircrack
Como usar AircrackComo usar Aircrack
Como usar Aircrack
 
Búsqueda de vulnerabilidades en aplicaciones de Android [GuadalajaraCON 2013]
Búsqueda de vulnerabilidades en aplicaciones de Android [GuadalajaraCON 2013]Búsqueda de vulnerabilidades en aplicaciones de Android [GuadalajaraCON 2013]
Búsqueda de vulnerabilidades en aplicaciones de Android [GuadalajaraCON 2013]
 
Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]
Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]
Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]
 
Snortpracticas 2006
Snortpracticas 2006Snortpracticas 2006
Snortpracticas 2006
 
Uso del escaner de puertos nmap
Uso del escaner de puertos nmapUso del escaner de puertos nmap
Uso del escaner de puertos nmap
 
Charla Nmap Jose Luis Chica Murcialanparty 11
Charla Nmap Jose Luis Chica Murcialanparty 11Charla Nmap Jose Luis Chica Murcialanparty 11
Charla Nmap Jose Luis Chica Murcialanparty 11
 
Tecnicas avanzadas de penetracion a sistemas
Tecnicas avanzadas de penetracion a sistemasTecnicas avanzadas de penetracion a sistemas
Tecnicas avanzadas de penetracion a sistemas
 
Gerardo Garcia Peña - Crypto Goofs... [rooted2018]
Gerardo Garcia Peña - Crypto Goofs... [rooted2018]Gerardo Garcia Peña - Crypto Goofs... [rooted2018]
Gerardo Garcia Peña - Crypto Goofs... [rooted2018]
 
Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]
Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]
Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]
 

Destacado

Mapa mental de los problemas de scanner
Mapa mental de los problemas de scannerMapa mental de los problemas de scanner
Mapa mental de los problemas de scanner
saracastrejongalvan
 
Letter of Reference - Clinton Ching
Letter of Reference - Clinton ChingLetter of Reference - Clinton Ching
Letter of Reference - Clinton Ching
Clinton Ching
 
Seguridad en el móvil
Seguridad en el móvilSeguridad en el móvil
Seguridad en el móvil
toyki1997
 
Vida Privada Y Espionaje Telefonico
Vida Privada Y Espionaje TelefonicoVida Privada Y Espionaje Telefonico
Vida Privada Y Espionaje Telefonico
Daniel Limon Ledesma
 
Espionaje Juan Puol Blog
Espionaje Juan Puol BlogEspionaje Juan Puol Blog
Espionaje Juan Puol Blog
guestcfb37a
 
Working capital management at kirloskar pneumatics co. ltd. by rajesh menon
Working capital management at kirloskar pneumatics co. ltd. by rajesh menon Working capital management at kirloskar pneumatics co. ltd. by rajesh menon
Working capital management at kirloskar pneumatics co. ltd. by rajesh menon
suresh_35
 

Destacado (20)

Curso de Thetahealing
Curso de Thetahealing Curso de Thetahealing
Curso de Thetahealing
 
Mapa mental de los problemas de scanner
Mapa mental de los problemas de scannerMapa mental de los problemas de scanner
Mapa mental de los problemas de scanner
 
Seguridad en internet y telefonía movil.
Seguridad en internet y telefonía movil.Seguridad en internet y telefonía movil.
Seguridad en internet y telefonía movil.
 
Protege tu móvil
Protege tu móvilProtege tu móvil
Protege tu móvil
 
Consejos de seguridad para móviles
Consejos de seguridad para móvilesConsejos de seguridad para móviles
Consejos de seguridad para móviles
 
Consejos de seguridad para móviles evitar ser localizado
Consejos de seguridad para móviles evitar ser localizadoConsejos de seguridad para móviles evitar ser localizado
Consejos de seguridad para móviles evitar ser localizado
 
DR Calux ICC & TOXpro
DR Calux ICC & TOXproDR Calux ICC & TOXpro
DR Calux ICC & TOXpro
 
Letter of Reference - Clinton Ching
Letter of Reference - Clinton ChingLetter of Reference - Clinton Ching
Letter of Reference - Clinton Ching
 
Facebook Developer Garage Hamburg_cellity AG
Facebook Developer Garage Hamburg_cellity AGFacebook Developer Garage Hamburg_cellity AG
Facebook Developer Garage Hamburg_cellity AG
 
Vacaciones en las Islas Cíes
Vacaciones en las Islas CíesVacaciones en las Islas Cíes
Vacaciones en las Islas Cíes
 
Semiotica de los nuevos medios
Semiotica de los nuevos mediosSemiotica de los nuevos medios
Semiotica de los nuevos medios
 
Die goldenen Regeln bei Telefon-Spendenkampagnen
Die goldenen Regeln bei Telefon-SpendenkampagnenDie goldenen Regeln bei Telefon-Spendenkampagnen
Die goldenen Regeln bei Telefon-Spendenkampagnen
 
Seguridad en el móvil
Seguridad en el móvilSeguridad en el móvil
Seguridad en el móvil
 
Vida Privada Y Espionaje Telefonico
Vida Privada Y Espionaje TelefonicoVida Privada Y Espionaje Telefonico
Vida Privada Y Espionaje Telefonico
 
Espiar el-whatsapp
Espiar el-whatsappEspiar el-whatsapp
Espiar el-whatsapp
 
Klaus Lommatzch, Duval Union
Klaus Lommatzch, Duval Union Klaus Lommatzch, Duval Union
Klaus Lommatzch, Duval Union
 
Riesgos profesionales
Riesgos profesionalesRiesgos profesionales
Riesgos profesionales
 
Espionaje Juan Puol Blog
Espionaje Juan Puol BlogEspionaje Juan Puol Blog
Espionaje Juan Puol Blog
 
Seis problemas en lectura artificial de la mente
Seis problemas en lectura artificial de la menteSeis problemas en lectura artificial de la mente
Seis problemas en lectura artificial de la mente
 
Working capital management at kirloskar pneumatics co. ltd. by rajesh menon
Working capital management at kirloskar pneumatics co. ltd. by rajesh menon Working capital management at kirloskar pneumatics co. ltd. by rajesh menon
Working capital management at kirloskar pneumatics co. ltd. by rajesh menon
 

Similar a Técnicas de escaneo masivo - 11/2013

106189646-deteccion-de-equipos-y-puertos
 106189646-deteccion-de-equipos-y-puertos 106189646-deteccion-de-equipos-y-puertos
106189646-deteccion-de-equipos-y-puertos
xavazquez
 
Analizadores de protocolos
Analizadores de protocolosAnalizadores de protocolos
Analizadores de protocolos
Blanca Rodriguez
 
Analizadores de protocolos
Analizadores de protocolosAnalizadores de protocolos
Analizadores de protocolos
Blanca Rodriguez
 
Herramientas de seguridad SSI
Herramientas de seguridad SSIHerramientas de seguridad SSI
Herramientas de seguridad SSI
xoanGz
 
Documentacion netdot
Documentacion netdotDocumentacion netdot
Documentacion netdot
Moni_TR
 

Similar a Técnicas de escaneo masivo - 11/2013 (20)

Uso del escáner de puertos nmap
Uso del escáner de puertos nmapUso del escáner de puertos nmap
Uso del escáner de puertos nmap
 
DoS En La Ciberguerra
DoS En La CiberguerraDoS En La Ciberguerra
DoS En La Ciberguerra
 
106189646-deteccion-de-equipos-y-puertos
 106189646-deteccion-de-equipos-y-puertos 106189646-deteccion-de-equipos-y-puertos
106189646-deteccion-de-equipos-y-puertos
 
Analizadores de protocolos
Analizadores de protocolosAnalizadores de protocolos
Analizadores de protocolos
 
Analizadores de protocolos
Analizadores de protocolosAnalizadores de protocolos
Analizadores de protocolos
 
Que es y como usar nmap
Que es y como usar nmapQue es y como usar nmap
Que es y como usar nmap
 
Queesycomousarnmap 150527171529-lva1-app6892
Queesycomousarnmap 150527171529-lva1-app6892Queesycomousarnmap 150527171529-lva1-app6892
Queesycomousarnmap 150527171529-lva1-app6892
 
Internet
InternetInternet
Internet
 
Exposicion sistemas seguridad_linux_software_libre
Exposicion sistemas seguridad_linux_software_libreExposicion sistemas seguridad_linux_software_libre
Exposicion sistemas seguridad_linux_software_libre
 
Herramientas de seguridad SSI
Herramientas de seguridad SSIHerramientas de seguridad SSI
Herramientas de seguridad SSI
 
Ari_u2_ea_viac
Ari_u2_ea_viacAri_u2_ea_viac
Ari_u2_ea_viac
 
Curso Virtual de Nmap 2019
Curso Virtual de Nmap 2019Curso Virtual de Nmap 2019
Curso Virtual de Nmap 2019
 
Historia internet
Historia internetHistoria internet
Historia internet
 
Pract campo
Pract campoPract campo
Pract campo
 
Administración de red servidores y seguridad
Administración de red servidores y seguridadAdministración de red servidores y seguridad
Administración de red servidores y seguridad
 
Descripcion Net-SNMP
Descripcion Net-SNMP Descripcion Net-SNMP
Descripcion Net-SNMP
 
Inseguridad Redes Inalambricas
Inseguridad Redes InalambricasInseguridad Redes Inalambricas
Inseguridad Redes Inalambricas
 
Documentacion netdot
Documentacion netdotDocumentacion netdot
Documentacion netdot
 
Manejo de Datos Seguros En La Deepweb
Manejo de Datos Seguros En La DeepwebManejo de Datos Seguros En La Deepweb
Manejo de Datos Seguros En La Deepweb
 
Curso Virtual de Nmap
Curso Virtual de NmapCurso Virtual de Nmap
Curso Virtual de Nmap
 

Más de Websec México, S.C.

Más de Websec México, S.C. (19)

Ciberseguridad durante la pandemia [Paulino Calderon]
Ciberseguridad durante la pandemia [Paulino Calderon]Ciberseguridad durante la pandemia [Paulino Calderon]
Ciberseguridad durante la pandemia [Paulino Calderon]
 
Estadisticas de redes 802.11 en Mexico (2013) por Paulino Calderon
Estadisticas de redes 802.11 en Mexico (2013) por Paulino CalderonEstadisticas de redes 802.11 en Mexico (2013) por Paulino Calderon
Estadisticas de redes 802.11 en Mexico (2013) por Paulino Calderon
 
Explotación de vulnerabilidades recientes de Windows - Agosto 2017
Explotación de vulnerabilidades recientes de Windows - Agosto 2017Explotación de vulnerabilidades recientes de Windows - Agosto 2017
Explotación de vulnerabilidades recientes de Windows - Agosto 2017
 
Mi experiencia en el programa Google Summer of Code
Mi experiencia en el programa Google Summer of CodeMi experiencia en el programa Google Summer of Code
Mi experiencia en el programa Google Summer of Code
 
El porqué está fallando tu programa de seguridad informática por Paulino Cald...
El porqué está fallando tu programa de seguridad informática por Paulino Cald...El porqué está fallando tu programa de seguridad informática por Paulino Cald...
El porqué está fallando tu programa de seguridad informática por Paulino Cald...
 
Pwning corporate networks in a single day by Paulino Calderon Pale
Pwning corporate networks in a single day by Paulino Calderon PalePwning corporate networks in a single day by Paulino Calderon Pale
Pwning corporate networks in a single day by Paulino Calderon Pale
 
CPMX7 Pwneando redes informáticas por Paulino Calderon
CPMX7 Pwneando redes informáticas por Paulino CalderonCPMX7 Pwneando redes informáticas por Paulino Calderon
CPMX7 Pwneando redes informáticas por Paulino Calderon
 
Explotación práctica de señales de radio por Luis Colunga
Explotación práctica de señales de radio por Luis ColungaExplotación práctica de señales de radio por Luis Colunga
Explotación práctica de señales de radio por Luis Colunga
 
OSINT vs CIBERCRIMEN por nickops
OSINT vs CIBERCRIMEN por nickopsOSINT vs CIBERCRIMEN por nickops
OSINT vs CIBERCRIMEN por nickops
 
Recuperacion de defaces con versionador Git por Alevsk
Recuperacion de defaces con versionador Git por Alevsk Recuperacion de defaces con versionador Git por Alevsk
Recuperacion de defaces con versionador Git por Alevsk
 
Seguridad en Bitcoin por Luis Daniel Beltran
Seguridad en Bitcoin por Luis Daniel BeltranSeguridad en Bitcoin por Luis Daniel Beltran
Seguridad en Bitcoin por Luis Daniel Beltran
 
CPMX5 - Las nuevas generaciones de redes por Luis Colunga
CPMX5 - Las nuevas generaciones de redes por Luis ColungaCPMX5 - Las nuevas generaciones de redes por Luis Colunga
CPMX5 - Las nuevas generaciones de redes por Luis Colunga
 
CPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino Calderón
CPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino CalderónCPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino Calderón
CPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino Calderón
 
Drive by subdomain router pharming (2012)
Drive by subdomain router pharming (2012)Drive by subdomain router pharming (2012)
Drive by subdomain router pharming (2012)
 
Mac2wepkey (2011)
Mac2wepkey (2011)Mac2wepkey (2011)
Mac2wepkey (2011)
 
Teensy para pentesters y locos (2010)
Teensy para pentesters y locos (2010)Teensy para pentesters y locos (2010)
Teensy para pentesters y locos (2010)
 
Desarrollo de rootkits en Linux [GuadalajaraCON 2013]
Desarrollo de rootkits en Linux [GuadalajaraCON 2013]Desarrollo de rootkits en Linux [GuadalajaraCON 2013]
Desarrollo de rootkits en Linux [GuadalajaraCON 2013]
 
Vulnerabilidades en tecnologías NFC y RFID [GuadalajaraCON 2013]
Vulnerabilidades en tecnologías NFC y RFID [GuadalajaraCON 2013]Vulnerabilidades en tecnologías NFC y RFID [GuadalajaraCON 2013]
Vulnerabilidades en tecnologías NFC y RFID [GuadalajaraCON 2013]
 
Desarrollo de exploit para infraestructura crítica [GuadalajaraCON 2013]
Desarrollo de exploit para infraestructura crítica [GuadalajaraCON 2013]Desarrollo de exploit para infraestructura crítica [GuadalajaraCON 2013]
Desarrollo de exploit para infraestructura crítica [GuadalajaraCON 2013]
 

Último

Chat GPT para la educación Latinoamerica
Chat GPT para la educación LatinoamericaChat GPT para la educación Latinoamerica
Chat GPT para la educación Latinoamerica
EdwinGarca59
 
microsoft word manuales para todos tipos de estudiamte
microsoft word manuales para todos tipos de estudiamtemicrosoft word manuales para todos tipos de estudiamte
microsoft word manuales para todos tipos de estudiamte
2024020140
 
Editorial. Grupo de 12B de La Salle Margarita.pdf
Editorial. Grupo de 12B de La Salle Margarita.pdfEditorial. Grupo de 12B de La Salle Margarita.pdf
Editorial. Grupo de 12B de La Salle Margarita.pdf
Yanitza28
 

Último (20)

10°8 - Avances tecnologicos del siglo XXI 10-8
10°8 - Avances tecnologicos del siglo XXI 10-810°8 - Avances tecnologicos del siglo XXI 10-8
10°8 - Avances tecnologicos del siglo XXI 10-8
 
Imágenes digitales: Calidad de la información
Imágenes digitales: Calidad de la informaciónImágenes digitales: Calidad de la información
Imágenes digitales: Calidad de la información
 
¡Ya basta! Sanidad Interior - Angela Kellenberger.pdf
¡Ya basta! Sanidad Interior - Angela Kellenberger.pdf¡Ya basta! Sanidad Interior - Angela Kellenberger.pdf
¡Ya basta! Sanidad Interior - Angela Kellenberger.pdf
 
infor expo AVANCES TECNOLOGICOS DEL SIGLO 21.pptx
infor expo AVANCES TECNOLOGICOS DEL SIGLO 21.pptxinfor expo AVANCES TECNOLOGICOS DEL SIGLO 21.pptx
infor expo AVANCES TECNOLOGICOS DEL SIGLO 21.pptx
 
Chat GPT para la educación Latinoamerica
Chat GPT para la educación LatinoamericaChat GPT para la educación Latinoamerica
Chat GPT para la educación Latinoamerica
 
presentación del desensamble y ensamble del equipo de computo en base a las n...
presentación del desensamble y ensamble del equipo de computo en base a las n...presentación del desensamble y ensamble del equipo de computo en base a las n...
presentación del desensamble y ensamble del equipo de computo en base a las n...
 
herramientas web para estudiantes interesados en el tema
herramientas web para estudiantes interesados en el temaherramientas web para estudiantes interesados en el tema
herramientas web para estudiantes interesados en el tema
 
AVANCES TECNOLOGICOS DEL SIGLO XXI. 10-08..pptx
AVANCES TECNOLOGICOS  DEL SIGLO XXI. 10-08..pptxAVANCES TECNOLOGICOS  DEL SIGLO XXI. 10-08..pptx
AVANCES TECNOLOGICOS DEL SIGLO XXI. 10-08..pptx
 
microsoft word manuales para todos tipos de estudiamte
microsoft word manuales para todos tipos de estudiamtemicrosoft word manuales para todos tipos de estudiamte
microsoft word manuales para todos tipos de estudiamte
 
Editorial. Grupo de 12B de La Salle Margarita.pdf
Editorial. Grupo de 12B de La Salle Margarita.pdfEditorial. Grupo de 12B de La Salle Margarita.pdf
Editorial. Grupo de 12B de La Salle Margarita.pdf
 
EL ESPIRITU SANTO en pentecostes2022.pptx
EL ESPIRITU SANTO en pentecostes2022.pptxEL ESPIRITU SANTO en pentecostes2022.pptx
EL ESPIRITU SANTO en pentecostes2022.pptx
 
Tarea_sesion_15_Reportes Maestro - Detalle con el uso de AJAX.pptx
Tarea_sesion_15_Reportes Maestro - Detalle con el uso de AJAX.pptxTarea_sesion_15_Reportes Maestro - Detalle con el uso de AJAX.pptx
Tarea_sesion_15_Reportes Maestro - Detalle con el uso de AJAX.pptx
 
2023 07 Casos prácticos para Realidad aumentada, metaverso y realidad extendida
2023 07 Casos prácticos para Realidad aumentada, metaverso y realidad extendida2023 07 Casos prácticos para Realidad aumentada, metaverso y realidad extendida
2023 07 Casos prácticos para Realidad aumentada, metaverso y realidad extendida
 
NIA_300_PLANEACION_DE_UNA_AUDITORIA_DE_E.pptx
NIA_300_PLANEACION_DE_UNA_AUDITORIA_DE_E.pptxNIA_300_PLANEACION_DE_UNA_AUDITORIA_DE_E.pptx
NIA_300_PLANEACION_DE_UNA_AUDITORIA_DE_E.pptx
 
Función del analizador léxico.pdf presentacion
Función del analizador léxico.pdf presentacionFunción del analizador léxico.pdf presentacion
Función del analizador léxico.pdf presentacion
 
presentacion_desamblado_de_una_computadora_base_a_las_normas_de_seguridad.pdf
presentacion_desamblado_de_una_computadora_base_a_las_normas_de_seguridad.pdfpresentacion_desamblado_de_una_computadora_base_a_las_normas_de_seguridad.pdf
presentacion_desamblado_de_una_computadora_base_a_las_normas_de_seguridad.pdf
 
Introduccion-a-la-electronica-industrial.pptx
Introduccion-a-la-electronica-industrial.pptxIntroduccion-a-la-electronica-industrial.pptx
Introduccion-a-la-electronica-industrial.pptx
 
Tipos de Datos de Microsoft Access-JOEL GARCIA.pptx
Tipos de Datos de Microsoft Access-JOEL GARCIA.pptxTipos de Datos de Microsoft Access-JOEL GARCIA.pptx
Tipos de Datos de Microsoft Access-JOEL GARCIA.pptx
 
Ejercicio 1 periodo 2 de Tecnología 2024
Ejercicio 1 periodo 2 de Tecnología 2024Ejercicio 1 periodo 2 de Tecnología 2024
Ejercicio 1 periodo 2 de Tecnología 2024
 
Desarrollo del Dominio del Internet - Estrada
Desarrollo del Dominio del Internet - EstradaDesarrollo del Dominio del Internet - Estrada
Desarrollo del Dominio del Internet - Estrada
 

Técnicas de escaneo masivo - 11/2013

  • 1. Técnicas de escaneo masivo y estadísticas de vulnerabilidades Pedro Joaquín Hernández pjoaquin@websec.mx hkm
  • 2. Contenido • Introducción al escaneo masivo • Herramientas: Nmap, Dnmap, Zmap, Masscan • Escaneo con Botnet de ruteadores • Escaneos diarios de todo Internet por un año • Estadísticas de dispositivos de México • Puertas traseras de dispositivos populares de México
  • 3. Introducción al escaneo masivo • Nmap es la herramienta que todos siguen utilizando. • Dnmap te permite realizar escaneos distribuidos. • Zmap te permite escanear todo el rango ipv4 en una hora. • Masscan requiere hardware adicional, escanea todo Internet en 3 m.
  • 4. Dnmap escaneando desde 10 servidores Websec
  • 5. Zmap - http://zmap.io • Creado por la Universidad de Michigan • Puede escanear un puerto de todo IPv4 en 45 minutos • Sigue activo su desarrollo en github • Un solo paquete SYN por host a max 1.4 M por segundo :O
  • 6. Zmap vs Nmap Tipo de escaneo Cobertura normalizada Duración Tiempo estimado por todo Internet Nmap (default) 0.978 45:03 116.3 días Nmap (1 probe) 0.814 24:12 62 días ZMap, 2 probes 1.000 00:11 2:12:35 ZMap, (default) 0.987 00:10 1:09:45 Tipo de escaneo Parámetros utilizados Nmap (default) nmap –Ss –p 443 –T5 –Pn –n –min-rate 10000 Nmap (1 probe) nmap –Ss –p 443 –T5 –Pn –n –min-rate 10000 –max-retries 0 ZMap, 2 probes zmap –P 2 –p 443 ZMap, (default) zmap –p 443
  • 7. Recolección de información Zmap • Muy buena información en el reporte https://zmap.io/paper.pdf • Más de 200 escaneos de todo Internet • Publicaron algunas estadísticas…
  • 8. Estadísticas de adopción de SSL - Zmap • Obtuvieron 43 Millones de certificados • Compararon los sitios que recientemente adquirieron SSL • Observaron un crecimiento del 19.6% a lo largo de un año
  • 9. Estadísticas de dispositivos vulnerables UPnP – Rapid7 (17/11/12) 2.2% de Internet es UPnP 81 Millones de direcciones IP 20% de 81 M tienen SOAP API 23 Millones tienen libupnp vulnerable Un solo paquete UDP es lo que se requiere para comprometerlos.
  • 10. Estadísticas de dispositivos vulnerables UPnP – ZMap (11/02/13) 15.7 millones de direcciones IP accesibles remotamente UPnP 16.5% de 15.7 M 2.56 millones tienen Intel UPnP vulnerable +817,000 tienen MiniUPnP vulnerable Un par de horas es lo que se requiere para comprometer todos los +3.4 millones de hosts
  • 11. Pero también sirve para cosas buenas 
  • 12. Estadísticas de disponibilidad durante huracán Sandy – Zmap • Escaneo cada 2 horas de todo IPv4 durante el huracán. • En la costa este de EEUU se notó un decremento del 30% de puertos abiertos.
  • 13. MASSCAN – Todo Internet en 3 minutos • Según ellos puede escanear todo IPv4 en 3 minutos • https://github.com/robertdavidgraham/masscan • Para sobrepasar los 2 M de paquetes por segundo requiere una tarjeta Ethernet Intel 10-gbps y el driver “PF_RING DNA” • Velocidad máxima de 25 Millones de paquetes por segundo • Encrypted monotonically increasing index masscan 0.0.0.0/0 -p443 --rate 25000000
  • 14. Estadísticas de SNMP – Errata Security • Protocolo de administración de dispositivos • Robert Graham en octubre 2013 • GET sysName y sysDescr masscan 0.0.0.0/0 -pU:161 --banners
  • 15. Estadísticas de SNMP – Errata Security Cantidad SysName 288176 CableHome 145375 TD5130 123819 Unknown 119946 Broadcom 108174 CHT 79667 unnamed 48492 Innacomm 36876 KWS-1040G 28779 DSL-2640B 27768 P-660R-T1 27447 router 25229 WA3002G4 24178 ADSL 22738 ADSL 20528 Speedy 19828 Telefonica 18884 D-Link 18384 nobrand 17136 DSL-2500U 15755 Beetel 13175 Sprint 12374 Siemens 12032 RTL867x 11782 DNA-A211-I 10971 unknown 9738 USR9111 Cantidad SysDescr 189979P-660HW-D1 132290Software Version 3.10L.01 122354Linux WNR1000v2 2.6.15 79667ucd-snmp-4.1.2/eCos 74816P874S5AP_20120106W 74654Linux ADSL2PlusRouter 2.6.19 74435Technicolor CableHome Gateway 73785CBW700N 65439System Description 55851Thomson CableHome Gateway 52248Wireless ADSL Gateway 41910Hardware 39351Linux ADSL2PlusRouter 2.6.19 38372Ubee PacketCable 1.5 W-EMTA 31197Netopia 3347-02 v7.8.1r2 30728P-660HW-T1 v2 28390Apple Base Station V3.84 Compatible 28311GE_1.07 27017ZXV10 W300
  • 16.
  • 17. Internet Census 2012 – Carna Botnet • Botnet “no maligna” utilizada para escanear todo Internet • Utilizó 420,000 dispositivos para escanear 730 puertos • Velocidad de hasta 4.2 millones de IPs por segundo • El reporte es enorme con más de 9 TB de datos • Utilizando Nmap NSE fue que descubrieron dispositivos vulnerables
  • 20.
  • 21. Dominios – Carna Botnet Cantidad Dominio TLD 61327865 ne jp 34434270 bbtec net 30352347 comcast net .jp 27949325 myvzw com 28059515 .it 24919353 rr com 28026059 .br 22117491 sbcglobal net 21415524 .de 18639539 telecomitalia it 17480504 verizon net 20552228 .cn 16467453 com br 17450093 .fr 16378853 ge com 17363363 .au 15743176 spcsdns net 15081211 com cn 17296801 .ru 14023982 t-dialin net 16,910,153 .mx 13,421,570 com mx Cantidad TLD 374670873 .net 199029228 .com 75612578
  • 22. SubDominios – Carna Botnet Cantidad Subdominio Dominio TLD 16492585 res rr com 16378226 static ge com 15550342 pools spcsdns net 14902477 163data com cn 14023979 dip t-dialin net 12268872 abo wanadoo fr 11685789 business telecomitalia it 11492183 ocn ne jp 10,192,958 prod-infinitum com mx
  • 23. SubDominios .mx – Carna Botnet Cantidad SubSubDominio Dominio TLD prod-infinitum 10,192,958 Subdominio com mx 577,483 dyn cableonline com mx 208,147 static avantel net mx 157,059 static metrored net mx
  • 24. Internet Wide Scan Data Repository https://scans.io/ : • University of Michigan · HTTPS Ecosystem Scans • University of Michigan · Hurricane Sandy ZMap Scans • Rapid7 · Critical.IO Service Fingerprints • Rapid7 · SSL Certificates • Rapid7 · Reverse DNS
  • 25. Critical.IO Service Fingerprints – Rapid7 • El proyecto critical.io descubría vulnerabilidades en todo IPv4 • Fue llevado a cabo de mayo 2012 a marzo 2013 • Se puede encontrar la información diaria en https://scans.io/study/sonar.cio
  • 26.
  • 27. Escaneo masivo realizado por Websec Paulino Calderón de Websec HTTP Banners & DNS Open Resolver
  • 28. Identificando dispositivos HTTP • Cabeceras HTTP: WWW-Authenticate: Basic realm=Portal de Inicio Content-Type: text/html
 Transfer-Encoding: chunked
 Server: RomPager/4.07 UPnP/1.0
 Connection: close
 • Puerto 50001 para identificar 2Wire.
  • 29. Legal • Se realizó una petición web tal como la realizaría un navegador común. • No es intrusivo. • No guardamos las direcciones IP. • https://community.rapid7.com/community/infosec/sonar/blog/2013/ 10/30/legal-considerations-for-widespread-scanning • https://zmap.io/documentation.html#bestpractices
  • 30. Recolectando datos • Recolectamos 2,928,361 cabeceras HTTP o “banners” de web servers corriendo en puerto 80 y 443. • Base de datos de IPs de México pública con más de 26 millones de registros. Puede ser descargada de http://software77.net/geo-ip/
  • 31. Utilizando Dnmap para escanear México • Nmap (http://nmap.org) • Dnmap (http://dnmap.sourceforge.net) • http-headers (http://nmap.org/nsedoc/scripts/http-headers.html)
  • 32. Resultados • Web servers encontrados: 2,928,361 • Tres dispositivos dominan: • Huawei: • 2Wire: • Thomson: 1,720,910 422,685 321,467
  • 33. 16% Huawei: 1,720,910 14% Thomson: 321,467 2WIRE: 422,685 59% 11% Otros: 463,299
  • 34. PFSENSE 1% Draytek routers 1% SonicWALL 2% Otros 43% Cisco Routers SonicWALL Draytek router Apache 16% Cisco Routers 14% Apache IIS Coyote Aastra IP phon Hikvision uc-httpd Otros Aastra IP phone 2% Hikvision 6% uc-httpd 1% PFSENSE IIS 13% Coyote 1%
  • 36. Utilizando Zmap para escanear México • 26 millones de direcciones IP (México) escaneado en 10 minutos • IPv4 puerto 53 TCP escaneado en 2 horas • Se utilizó un servidor con conexión de 1Gbps
  • 37. Estadísticas de DNS vulnerables - Websec • Vulnerabildad: DNS Open Resolver • Paulino modificó el script NSE dns-recursion.nse • Se han detectado ~ 130,000 servidores vulnerables • Análisis en curso…
  • 38. Puertas traseras remotas en dispositivos populares de México Huawei, Alcatel-Lucent, TP-Link, Technicolor
  • 39. Que es una Puerta Trasera? • Método de acceso que puede ser utilizado para evadir políticas de seguridad. (Microsoft) • Método de acceso no documentado. • Comúnmente olvidado por los desarrolladores. • Frecuentemente es implementada a propósito y ocultada por los fabricantes. Administración expuesta a Internet Funciones / Interfaces redundantes Parámetros ocultos Cuentas comunes Configuración expuesta
  • 40. Huawei Remote Shell via /rom-0 Contraseña en archivo de configuración, Habilitar interfaz de administración telnet, Acceso remoto, Borrado de logs.
  • 41. • ZynOS tiene una vulnerabilidad conocida que consiste en poder descargar la configuración sin autenticación. • La configuración se encuentra localizada en la interfaz web en /rom-0 • El archivo rom-0 es un archivo binario comprimido en formato LZW. • Es posible extraer información como clave de administrador, WEP default, versiones, etc.
  • 42. Puerta trasera y ejecución de comandos en Alcatel-Lucent Encontrada por Pedro Joaquín de Websec Cuenta por defecto: telecomadmin:nE7jA%5m Ejecución de comandos desde interfaz web, Router botnet c/IRC C&C
  • 43. Puerta trasera Alcatel-Lucent - Websec • Ejecución de comandos en interfaz web (ping). • Contenido del archivo de usuarios web: 11/24/2013 http://www.websec.mx 43
  • 44. Puerta trasera y ejecución de comandos en TP-Link Descubierta por Paulino Calderón de Websec Cuenta por defecto: osteam:5up URL escondido: /userRpmNatDebugRpm26525557/linux_cmdline.html
  • 45. TP-Link Backdoor - Websec • El router TP-Link WDR740ND/WDR740N cuenta con una interfaz web oculta para depuración que podría servir de puerta trasera a atacantes localizada en/userRpmNatDebugRpm26525557/linux_cmdline.html • El nombre de usuario de esta consola esta guardado estáticamente en el binario del servidor HTTP y la contraseña no puede ser cambiada desde la interfaz web, por lo que siempre es valida la siguiente cuenta: Usuario: osteam Contraseña: 5up • La criticidad de esta vulnerabilidad es alta debido a que a través de esta consola se pueden ejecutar comandos en el sistema con privilegios root como agregar reglas de redirección de trafico y modificar archivos de configuración
  • 46.
  • 48. Puerta trasera en Technicolor TG 582n superman:superman
  • 49. Puerta trasera en Technicolor TG 582n
  • 50.
  • 51. Lista de puertas traseras comunes de México Marca Modelo Puerta trasera Acceso remoto Parche del ISP 11/17/2013 Detección por DPT Huawei HG5xxx Archivo de configuración con contraseña Si Si Si Technicolor TG582n Cuenta de administración oculta Si No Si Alcatel-Lucent I-240-W Cuenta de administración oculta Si No Si TP-Link WDR740 URL de administración oculta No No Si Varias Varios Cuentas comunes de administración Si
  • 52. Detector de Puertas Traseras D.P.T. v2.0
  • 53. Detector de Puertas Traseras v2.0 - Websec
  • 55. Técnicas de escaneo masivo y estadísticas de vulnerabilidades Pedro Joaquín Hernández pjoaquin@websec.mx @_hkm www.hakim.ws www.underground.org.mx
  • 56. Referencias • https://zmap.io/paper.pdf • http://community.rapid7.com/servlet/JiveServlet/download/2150-116596/SecurityFlawsUPnP.pdf • http://blog.erratasec.com/2013/09/masscan-entire-internet-in-3-minutes.html • http://internetcensus2012.bitbucket.org • https://community.rapid7.com/community/infosec/sonar/blog/2013/09/26/welc ome-to-project-sonar • https://www.owasp.org/images/a/ae/OWASP_10_Most_Common_Backdoors.pdf • http://www.hakim.ws/2012/12/puerta-trasera-en-fibra-optica-alcatel-lucent-deinfinitum/ • http://www.hakim.ws/2013/01/puerta-trasera-en-technicolor-tg582n/ • http://www.websec.mx/advisories/view/puerta-trasera-tplink-wdr740