Se ha denunciado esta presentación.
WhoamI 
Network profiling based on 
HTML tags injection 
Dr. Alfonso Muñoz 
Senior Cyber Security Researcher 
(Co)Editor C...
Equipo… 
Ricardo Martín 
Q&A Security Analyst 
ricardo.Martin@11paths.com 
Dr. Alfonso Muñoz 
Senior Cyber Security Resear...
El mWuhnodaom reIal… 
- Ataques/Fugas de información vs contramedidas 
- ¿Estás seguro con tu navegador web?...
La iWdehao…amI
InveWsthigoaanmdIo… 
- ¿Cómo funcionan los navegadores web cuando buscan “recursos”? 
- … ¿pero qué es un “recurso”? 
Recu...
EnuWmheoraacmióIn… 
- Preguntemos por “recursos específicos…” 
<img src="http://172.192.19.70" onload="alert(1)" onerror="...
NavWeghaodoarmesI… 
- Navegadores web analizados IE (11.0.9600.17207), Chrome 
(35.0.1916.153 dev-m), Firefox (33.0), Safa...
In pWrohgroeasms…I más “SOs” 
- Linux (Ubuntu: FF, Chrome, Konqueror) 
- Android 
LINUX: RFC 1122 recommends at least 100 ...
TagsW úhtioleasm…I 
- Firefox 32.0.2 (Onerror): <img>, <object>, <iframe>, <audio>, <video>, 
<frame>, <script> 
- Chrome ...
Tiempos dWe heoscaamneIo… 
Red Windows 
- Necesidad de persistencia (MiTM…) 
- Tiempos máximos: 
- 1 IP|puerto 
- IE: 0<ti...
MáWs dheotaamlleIs… (escaneo rápido) 
* 
* 
* 
* 
* 
* 
Chrome
Port BanniWnghoamI 
Limitaciones en puertos < 1024 
- Algunos navegadores impiden peticiones a una serie de puertos 
númer...
DetWalhleosa…m I (experimental) – NMAP/wireshark 
- *Equipos “Windows”: es necesario lanzar contra puertos “abiertos” 
par...
Lo meWjohr eosatám poI r llegar….
DEMOW ehxpoloatmaciIón 
Port banning no es útil 
1. Usuario A visita página web 
Usuario A 
2. Lanza exploit 
Equipo en re...
TrabaWjo hacotuaaml /I futuro 
- Profiling based on HTML injection facilita la “ex-filtración” y perfil 
de una red intern...
WhoamI 
Network profiling based on 
HTML tags injection 
Dr. Alfonso Muñoz 
Senior Cyber Security Researcher 
(Co)Editor C...
Próxima SlideShare
Cargando en…5
×

Network profiling based on HTML tags injection – Eleven Paths en NoConName 2014 (Alfonso Muñoz & Ricardo Martín)

19.893 visualizaciones

Publicado el

Se presenta de forma novedosa un procedimiento para extraer información privada desde una red personal o corporativa ejecutando código HTML especialmente diseñado en cualquier navegador web actual. El ataque se basa en el comportamiento del navegador cuando espera resolver la consulta a una URI determinada. Es posible predecir (en función del tiempo de respuesta), si una URI existe o no. Por tanto, es factible identificar direcciones IP, puertos abiertos/cerrados, recursos internos, software instalado, etcétera.

Publicado en: Tecnología
  • Sé el primero en comentar

Network profiling based on HTML tags injection – Eleven Paths en NoConName 2014 (Alfonso Muñoz & Ricardo Martín)

  1. 1. WhoamI Network profiling based on HTML tags injection Dr. Alfonso Muñoz Senior Cyber Security Researcher (Co)Editor Criptored, CISA, CEH… alfonso.munoz@11paths.com Twitter: @mindcrypt Ricardo Martín QA Security Analyst ricardo.martin@11paths.com Twitter: @ricardo090489
  2. 2. Equipo… Ricardo Martín Q&A Security Analyst ricardo.Martin@11paths.com Dr. Alfonso Muñoz Senior Cyber Security Researcher (Co)Editor Criptored, CISA, CEH alfonso.munoz@11paths.com Dr. Antonio Guzmán Head of the research area antonio.guzman@11paths.com
  3. 3. El mWuhnodaom reIal… - Ataques/Fugas de información vs contramedidas - ¿Estás seguro con tu navegador web?...
  4. 4. La iWdehao…amI
  5. 5. InveWsthigoaanmdIo… - ¿Cómo funcionan los navegadores web cuando buscan “recursos”? - … ¿pero qué es un “recurso”? Recurso: <img src=“/images/latch.jpg”/> Recurso: <href a=“http://www.latch.com“/> Recurso: <embed src=“gatos.avi”> … ¿Recurso: <img src=“172.0.0.4:445”/>?
  6. 6. EnuWmheoraacmióIn… - Preguntemos por “recursos específicos…” <img src="http://172.192.19.70" onload="alert(1)" onerror="alert(0)"> Si el recurso no está disponible el navegador responderá más tarde… - ¿Qué podemos hacer…? - Vectores de ataque. HTML injection  navegadores con webRTC - Footprinting/Fingerprinting (“sistemas operativos”, escaneo de red, puerto abiertos, software en la red, impresoras, DNS…) - Evasión de seguridad perimetral. “Exfiltración” - APTs – “Exploits”- SCADA - ¿En qué navegadores web funciona y con qué tags?
  7. 7. NavWeghaodoarmesI… - Navegadores web analizados IE (11.0.9600.17207), Chrome (35.0.1916.153 dev-m), Firefox (33.0), Safari (5.1.7(7534.57.2)), Opera (25.0) <img src="http://172.192.19.70" onload="alert(1)" onerror="alert(0)"> - Ejemplo en WINDOWS 8.1: Firefox Chrome IE Safari/Opera Versión 32.0 35.0.1916.153 dev-m 11.0.9600.17207 5.1.7(7534.57.2) Event / TAG=IMG Onerror Onerror Onerror Onerror Host Activos < 21seg (>> 21 seg) (>27seg) < 21seg (>> 21 seg) (>27seg) < 7 seg (>> 7 seg) (>10seg) < 21seg (>> 21 seg) (>27seg) Timeouts (Host inexistentes) ≈ 21 seg (19 seg<X<23 seg) ≈ 21 seg (19 seg<X<23 seg) ≈ 7 seg (6seg<X<8seg) ≈ 21 seg (19 seg<X<23 seg) WebRTC   x x
  8. 8. In pWrohgroeasms…I más “SOs” - Linux (Ubuntu: FF, Chrome, Konqueror) - Android LINUX: RFC 1122 recommends at least 100 seconds for the timeout  Ubuntu 14.04.1 Chrome Ubuntu vs Chrome Windows - Por el timeout podemos “identificar” qué sistema operativo ejecuta el navegador…
  9. 9. TagsW úhtioleasm…I - Firefox 32.0.2 (Onerror): <img>, <object>, <iframe>, <audio>, <video>, <frame>, <script> - Chrome 35.0.1916.153 dev-m (Onload/Onerror): <img>,<object>, <iframe>, <audio>, <video>, <embed>, <frame>, <script> - IE 11.0.9600.17207 (onload/Onerror): <img>, <object>, <iframe>, <audio>, <video>, <embed>, <frame>, <script> - Safari 5.1.7 (Onerror): <img>, <object>, <iframe>, <embed>, <frame>, <script> TAGS analizadas: Todas 
  10. 10. Tiempos dWe heoscaamneIo… Red Windows - Necesidad de persistencia (MiTM…) - Tiempos máximos: - 1 IP|puerto - IE: 0<tiempo<8 seg Otros: 0<tiempo<23 seg (En general ≈300 ms, <2 seg) - 1 IP|puertos - IE: 0<tiempo<65535*8 seg Otros: 0<tiempo<65535*23 seg Ej: (10 abiertos, 65525 cerrados) ≈ 3 seg + 36horas (10 abiertos, 1014 cerrados) ≈ 3 seg + 33 minutos - Escaneo red (X.X.X.1 – X.X.X.254, 80 equipos activos) Lanzo 3 puertos por IP, 5 IP de golpe: 15 hilos - “Media” IE: ≈ 12 min  12*60 / 254*3 ≈ 0,95 seg/petición - “Media” Resto: ≈ 21 min  21*60 / 254*3 ≈ 1,65 seg/petición - Forzando por JavaScript el timeout a 2 seg se pueden reducir drásticamente tiempos (redes y puertos)…
  11. 11. MáWs dheotaamlleIs… (escaneo rápido) * * * * * * Chrome
  12. 12. Port BanniWnghoamI Limitaciones en puertos < 1024 - Algunos navegadores impiden peticiones a una serie de puertos número puerto < 1024 FF/Chrome: Sí (80,443,445,543,1433,…) NO (21,110,115,135,139,993…) - Internet Explorer es “libreeeeeeeeeeeeeeeeeee” Sí (69-tftp,80,115-sftp,135,139,443,445-smb,543-Kerberos,587-smtp, 1433-sqlserver…) NO (21-ftp,110-pop3,993-imaps…)
  13. 13. DetWalhleosa…m I (experimental) – NMAP/wireshark - *Equipos “Windows”: es necesario lanzar contra puertos “abiertos” para saber si la IP está activa (se recibe respuesta) - Equipos Linux (Ubuntu): si IP existe el puerto responde rápido (esté abierto o no [RST]) - Dispositivos “Android/Iphone”: si IP existe el puerto responde rápido (esté abierto o no [RST]) - *Dispositivos “Windows/Phone”: es necesario lanzar contra puertos “abiertos” para saber si la IP está activa
  14. 14. Lo meWjohr eosatám poI r llegar….
  15. 15. DEMOW ehxpoloatmaciIón Port banning no es útil 1. Usuario A visita página web Usuario A 2. Lanza exploit Equipo en red Vulnerable (Shellsock)
  16. 16. TrabaWjo hacotuaaml /I futuro - Profiling based on HTML injection facilita la “ex-filtración” y perfil de una red interna. ¿Ataques con persistencia? otros protocolos - El ataque no funciona si el código JavaScript está prohibido (NoScript, Port Banningdepende….) - ¿Es posible enviar las diferencias temporales al servidor sin usar Javascript/AJAX? - HTML5? - CSS? - … - ¿Por qué no se habla más de este tipo de ataques? - “Lugares públicos con navegador web”…
  17. 17. WhoamI Network profiling based on HTML tags injection Dr. Alfonso Muñoz Senior Cyber Security Researcher (Co)Editor Criptored, CISA, CEH… alfonso.munoz@11paths.com Twitter: @mindcrypt Ricardo Martín QA Security Analyst ricardo.martin@11paths.com Twitter: @ricardo090489 /**/ || ??

×