Se ha denunciado esta presentación.
Utilizamos tu perfil de LinkedIn y tus datos de actividad para personalizar los anuncios y mostrarte publicidad más relevante. Puedes cambiar tus preferencias de publicidad en cualquier momento.
WhoamI 
Network profiling based on 
HTML tags injection 
Dr. Alfonso Muñoz 
Senior Cyber Security Researcher 
(Co)Editor C...
Equipo… 
Ricardo Martín 
Q&A Security Analyst 
ricardo.Martin@11paths.com 
Dr. Alfonso Muñoz 
Senior Cyber Security Resear...
El mWuhnodaom reIal… 
- Ataques/Fugas de información vs contramedidas 
- ¿Estás seguro con tu navegador web?...
La iWdehao…amI
InveWsthigoaanmdIo… 
- ¿Cómo funcionan los navegadores web cuando buscan “recursos”? 
- … ¿pero qué es un “recurso”? 
Recu...
EnuWmheoraacmióIn… 
- Preguntemos por “recursos específicos…” 
<img src="http://172.192.19.70" onload="alert(1)" onerror="...
NavWeghaodoarmesI… 
- Navegadores web analizados IE (11.0.9600.17207), Chrome 
(35.0.1916.153 dev-m), Firefox (33.0), Safa...
In pWrohgroeasms…I más “SOs” 
- Linux (Ubuntu: FF, Chrome, Konqueror) 
- Android 
LINUX: RFC 1122 recommends at least 100 ...
TagsW úhtioleasm…I 
- Firefox 32.0.2 (Onerror): <img>, <object>, <iframe>, <audio>, <video>, 
<frame>, <script> 
- Chrome ...
Tiempos dWe heoscaamneIo… 
Red Windows 
- Necesidad de persistencia (MiTM…) 
- Tiempos máximos: 
- 1 IP|puerto 
- IE: 0<ti...
MáWs dheotaamlleIs… (escaneo rápido) 
* 
* 
* 
* 
* 
* 
Chrome
Port BanniWnghoamI 
Limitaciones en puertos < 1024 
- Algunos navegadores impiden peticiones a una serie de puertos 
númer...
DetWalhleosa…m I (experimental) – NMAP/wireshark 
- *Equipos “Windows”: es necesario lanzar contra puertos “abiertos” 
par...
Lo meWjohr eosatám poI r llegar….
DEMOW ehxpoloatmaciIón 
Port banning no es útil 
1. Usuario A visita página web 
Usuario A 
2. Lanza exploit 
Equipo en re...
TrabaWjo hacotuaaml /I futuro 
- Profiling based on HTML injection facilita la “ex-filtración” y perfil 
de una red intern...
WhoamI 
Network profiling based on 
HTML tags injection 
Dr. Alfonso Muñoz 
Senior Cyber Security Researcher 
(Co)Editor C...
Próxima SlideShare
Cargando en…5
×

Network profiling based on HTML tags injection – Eleven Paths en NoConName 2014 (Alfonso Muñoz & Ricardo Martín)

20.247 visualizaciones

Publicado el

Se presenta de forma novedosa un procedimiento para extraer información privada desde una red personal o corporativa ejecutando código HTML especialmente diseñado en cualquier navegador web actual. El ataque se basa en el comportamiento del navegador cuando espera resolver la consulta a una URI determinada. Es posible predecir (en función del tiempo de respuesta), si una URI existe o no. Por tanto, es factible identificar direcciones IP, puertos abiertos/cerrados, recursos internos, software instalado, etcétera.

Publicado en: Tecnología
  • Sé el primero en comentar

Network profiling based on HTML tags injection – Eleven Paths en NoConName 2014 (Alfonso Muñoz & Ricardo Martín)

  1. 1. WhoamI Network profiling based on HTML tags injection Dr. Alfonso Muñoz Senior Cyber Security Researcher (Co)Editor Criptored, CISA, CEH… alfonso.munoz@11paths.com Twitter: @mindcrypt Ricardo Martín QA Security Analyst ricardo.martin@11paths.com Twitter: @ricardo090489
  2. 2. Equipo… Ricardo Martín Q&A Security Analyst ricardo.Martin@11paths.com Dr. Alfonso Muñoz Senior Cyber Security Researcher (Co)Editor Criptored, CISA, CEH alfonso.munoz@11paths.com Dr. Antonio Guzmán Head of the research area antonio.guzman@11paths.com
  3. 3. El mWuhnodaom reIal… - Ataques/Fugas de información vs contramedidas - ¿Estás seguro con tu navegador web?...
  4. 4. La iWdehao…amI
  5. 5. InveWsthigoaanmdIo… - ¿Cómo funcionan los navegadores web cuando buscan “recursos”? - … ¿pero qué es un “recurso”? Recurso: <img src=“/images/latch.jpg”/> Recurso: <href a=“http://www.latch.com“/> Recurso: <embed src=“gatos.avi”> … ¿Recurso: <img src=“172.0.0.4:445”/>?
  6. 6. EnuWmheoraacmióIn… - Preguntemos por “recursos específicos…” <img src="http://172.192.19.70" onload="alert(1)" onerror="alert(0)"> Si el recurso no está disponible el navegador responderá más tarde… - ¿Qué podemos hacer…? - Vectores de ataque. HTML injection  navegadores con webRTC - Footprinting/Fingerprinting (“sistemas operativos”, escaneo de red, puerto abiertos, software en la red, impresoras, DNS…) - Evasión de seguridad perimetral. “Exfiltración” - APTs – “Exploits”- SCADA - ¿En qué navegadores web funciona y con qué tags?
  7. 7. NavWeghaodoarmesI… - Navegadores web analizados IE (11.0.9600.17207), Chrome (35.0.1916.153 dev-m), Firefox (33.0), Safari (5.1.7(7534.57.2)), Opera (25.0) <img src="http://172.192.19.70" onload="alert(1)" onerror="alert(0)"> - Ejemplo en WINDOWS 8.1: Firefox Chrome IE Safari/Opera Versión 32.0 35.0.1916.153 dev-m 11.0.9600.17207 5.1.7(7534.57.2) Event / TAG=IMG Onerror Onerror Onerror Onerror Host Activos < 21seg (>> 21 seg) (>27seg) < 21seg (>> 21 seg) (>27seg) < 7 seg (>> 7 seg) (>10seg) < 21seg (>> 21 seg) (>27seg) Timeouts (Host inexistentes) ≈ 21 seg (19 seg<X<23 seg) ≈ 21 seg (19 seg<X<23 seg) ≈ 7 seg (6seg<X<8seg) ≈ 21 seg (19 seg<X<23 seg) WebRTC   x x
  8. 8. In pWrohgroeasms…I más “SOs” - Linux (Ubuntu: FF, Chrome, Konqueror) - Android LINUX: RFC 1122 recommends at least 100 seconds for the timeout  Ubuntu 14.04.1 Chrome Ubuntu vs Chrome Windows - Por el timeout podemos “identificar” qué sistema operativo ejecuta el navegador…
  9. 9. TagsW úhtioleasm…I - Firefox 32.0.2 (Onerror): <img>, <object>, <iframe>, <audio>, <video>, <frame>, <script> - Chrome 35.0.1916.153 dev-m (Onload/Onerror): <img>,<object>, <iframe>, <audio>, <video>, <embed>, <frame>, <script> - IE 11.0.9600.17207 (onload/Onerror): <img>, <object>, <iframe>, <audio>, <video>, <embed>, <frame>, <script> - Safari 5.1.7 (Onerror): <img>, <object>, <iframe>, <embed>, <frame>, <script> TAGS analizadas: Todas 
  10. 10. Tiempos dWe heoscaamneIo… Red Windows - Necesidad de persistencia (MiTM…) - Tiempos máximos: - 1 IP|puerto - IE: 0<tiempo<8 seg Otros: 0<tiempo<23 seg (En general ≈300 ms, <2 seg) - 1 IP|puertos - IE: 0<tiempo<65535*8 seg Otros: 0<tiempo<65535*23 seg Ej: (10 abiertos, 65525 cerrados) ≈ 3 seg + 36horas (10 abiertos, 1014 cerrados) ≈ 3 seg + 33 minutos - Escaneo red (X.X.X.1 – X.X.X.254, 80 equipos activos) Lanzo 3 puertos por IP, 5 IP de golpe: 15 hilos - “Media” IE: ≈ 12 min  12*60 / 254*3 ≈ 0,95 seg/petición - “Media” Resto: ≈ 21 min  21*60 / 254*3 ≈ 1,65 seg/petición - Forzando por JavaScript el timeout a 2 seg se pueden reducir drásticamente tiempos (redes y puertos)…
  11. 11. MáWs dheotaamlleIs… (escaneo rápido) * * * * * * Chrome
  12. 12. Port BanniWnghoamI Limitaciones en puertos < 1024 - Algunos navegadores impiden peticiones a una serie de puertos número puerto < 1024 FF/Chrome: Sí (80,443,445,543,1433,…) NO (21,110,115,135,139,993…) - Internet Explorer es “libreeeeeeeeeeeeeeeeeee” Sí (69-tftp,80,115-sftp,135,139,443,445-smb,543-Kerberos,587-smtp, 1433-sqlserver…) NO (21-ftp,110-pop3,993-imaps…)
  13. 13. DetWalhleosa…m I (experimental) – NMAP/wireshark - *Equipos “Windows”: es necesario lanzar contra puertos “abiertos” para saber si la IP está activa (se recibe respuesta) - Equipos Linux (Ubuntu): si IP existe el puerto responde rápido (esté abierto o no [RST]) - Dispositivos “Android/Iphone”: si IP existe el puerto responde rápido (esté abierto o no [RST]) - *Dispositivos “Windows/Phone”: es necesario lanzar contra puertos “abiertos” para saber si la IP está activa
  14. 14. Lo meWjohr eosatám poI r llegar….
  15. 15. DEMOW ehxpoloatmaciIón Port banning no es útil 1. Usuario A visita página web Usuario A 2. Lanza exploit Equipo en red Vulnerable (Shellsock)
  16. 16. TrabaWjo hacotuaaml /I futuro - Profiling based on HTML injection facilita la “ex-filtración” y perfil de una red interna. ¿Ataques con persistencia? otros protocolos - El ataque no funciona si el código JavaScript está prohibido (NoScript, Port Banningdepende….) - ¿Es posible enviar las diferencias temporales al servidor sin usar Javascript/AJAX? - HTML5? - CSS? - … - ¿Por qué no se habla más de este tipo de ataques? - “Lugares públicos con navegador web”…
  17. 17. WhoamI Network profiling based on HTML tags injection Dr. Alfonso Muñoz Senior Cyber Security Researcher (Co)Editor Criptored, CISA, CEH… alfonso.munoz@11paths.com Twitter: @mindcrypt Ricardo Martín QA Security Analyst ricardo.martin@11paths.com Twitter: @ricardo090489 /**/ || ??

×