Chema Alonso - Presentación de la FOCA v2.0 [RootedCON 2010]

•

1 recomendación•2,753 vistas

En esta sesión se podrá ver la nueva versión de FOCA (v2.0) que, no sólo ya con metadatos, sino haciendo un uso de los resultados en los buscadores y las consultas DNS, mediante un algoritmo encadenado de búsquedas derivadas, ayuda a descubrir toda la red de una organización.

Tecnología

La Gorda FOCA

Chema Alonso

Congreso de Seguridad ~ Rooted CON’2010

FOCA 0.x

Congreso de Seguridad ~ Rooted CON’2010
3

Foca 1 : Análisis de Metadatos

• Busca documentos en Google y Bing
• Descarga los documentos
• Extrae los metadatos
• Clusteriza los documentos
• Genera un mapa de red

Congreso de Seguridad ~ Rooted CON’2010

FOCA 1: Metadatos
• Usuarios: • Internal Servers.
– Creadores. – NetBIOS Name.
– Modificadores . – Domain Name.
– Usuarios en paths. – IP Address.
• C:Documents and • Estructuras de BBDD.
settingsjfoomyfile
• /home/johnnyf
– Table names.
• Sistemas Operativos – Colum names.
• Impresoras • Devices info.
– Locales y remotas. – Mobiles.
• Paths. – Photo cameras.
– Locales y remotos. • Private Info.
• Información de red. – Personal data.
– Shared Printers. • Historial de uso.
– Shared Folders. • Versiones de software.
– ACLS.

ALGUNOS EJEMPLOS

Congreso de Seguridad ~ Rooted CON’2010

FOCA 1: Post-Post-Análisis

• Google Set
• Alternative Domains
• Robtex
• Rango IP
• DNS Prediction

Congreso de Seguridad ~ Rooted CON’2010

Google Sets

Congreso de Seguridad ~ Rooted CON’2010

DNS Scanning

Congreso de Seguridad ~ Rooted CON’2010

Alternate Domains

Congreso de Seguridad ~ Rooted CON’2010

DNS Prediction

Congreso de Seguridad ~ Rooted CON’2010

Problemas para pintar la red

• Alternative domains:
– O los sabías o aparecían o el servidor queda sin
dominio.
• DNS Scanning:
– Si el equipo no tiene dominio -> no tienes IP no
puedes aplicar DNS scanning
• Google Sets
– Si no hay dominio, aunque encuentres nombres
similares no sabes contra que dns probarlo.

Congreso de Seguridad ~ Rooted CON’2010

Necesitamos dominios

Congreso de Seguridad ~ Rooted CON’2010

Cómo buscar dominios

• Metadatos [SetA]
– Aparece el nombre dominio
– Aparece la dirección IP -> Resolución DNS

• Google & Bing Search [SetB]
– Uso de site y –inurl para maximizar resultados

 Se obtienen Domain names [SetA+SetB]

Congreso de Seguridad ~ Rooted CON’2010

Direcciones IPs

• Metadatos [IP_A]
– Direcciones IP directamente
– Nombres completos -> Resolución DNS contra
DNS principal del dominio.

• Nombres Dominio Google & BING [IP_B]
– Resolución DNS

 Se obtienen direcciones IP [IP_A+IP_B]
Congreso de Seguridad ~ Rooted CON’2010

Más dominios: Bing Search IP

• Con [IP_A+IP_B]
– Bing Search con parámetro IP
– > Nuevos dominios
• Internos
• Relacionados

Congreso de Seguridad ~ Rooted CON’2010

Mas dominios: PTR Scanning
• Con todas las direcciones IP
– Conexión al NS principal [Opcional a todos los NS]

Congreso de Seguridad ~ Rooted CON’2010

Mas dominios: PTR Scanning

Congreso de Seguridad ~ Rooted CON’2010

Más dominios: Rango IP

• Todas las direcciones IP asociadas a un
dominio objetivo:
– Resolución y Búsqueda del rango con el DNS
interno.
– Opcionalmente con todos los NS

Congreso de Seguridad ~ Rooted CON’2010

Más dominios + Más IPs

• Common names
– ftp, dns, dns01, pc01…

• Uso del “ls” en el DNS

Congreso de Seguridad ~ Rooted CON’2010

Algoritmo recursivo

Congreso de Seguridad ~ Rooted CON’2010

Algoritmo recursivo:

Aplica “algoritmo voraz”
Sigue todos los caminos
Profundidad del algoritmo es configurable
Detecta casi todas las referencias accesibles

Congreso de Seguridad ~ Rooted CON’2010

FOCA & SHODAN

Congreso de Seguridad ~ Rooted CON’2010

ALGUNA DEMO CON FOCA 2

Congreso de Seguridad ~ Rooted CON’2010

Evolución: SW recognition

– Metadatos
• Rutas de instalación [mejorado]
• OLE Streams
• EXIF
– SHODAN
• Banners [No intrusivo]
– Banners
• Connect
– URLs
• Google Hacking
– NameServers
• Prediction

Congreso de Seguridad ~ Rooted CON’2010

Chema Alonso
chema@informatica64.com
http://elladodelmal.blogspot.com
http://twitter.com/chemaalonso
http://www.informatica64.com

Autores
Chema Alonso
Francisco Oca
Alejandro Martín Bailón
Enrique Rando
Pedro Laguna
John Matherly
Congreso de Seguridad ~ Rooted CON’2010

Recomendados

Dn11 u3 a13_aag

adri2539

Manejo de archivos

Guadalupe Rangel

Taller Linux

Alexander Castro Cruz

Ejercicios Basicos Sobre Linux

manuel campo

Dominios personales y onion

Abanlex

vpk9kx2mj7cp72

Carlos De los Santos

Trabajo Linux

manuel campo

Empaquetar y comprimir archivos en linux

Moisés Elías Araya

MetaShield Protector & FOCA 2.0

Chema Alonso

S8-Hack-Hacking con Google Bing y Shodan P4

Luis Fernando Aguas Bucheli

Este documento presenta una introducción al uso de la herramienta de búsqueda Shodan para realizar hacking ético. Explica los conceptos básicos de Shodan y cómo puede usarse para buscar dispositivos como cámaras web, impresoras e IIS 7.5 a través de protocolos como HTTP, SSH y FTP. También cubre operadores como port, hostname y country para filtrar los resultados, y sugiere búsquedas para encontrar gestores de contenido, VNC, taxímetros y más.

Maricela poaquiza

Maricela Poaquiza

David Barroso - iPhone + Botnets = FUN! [RootedCON 2010]

RootedCON

El documento describe los planes y métodos de Homer para crear una botnet de iPhones llamada iOrchard. Explica cómo Homer se inspiró en el gusano Ikee para infectar iPhones a través de vulnerabilidades de SSH. Luego describe cómo iOrchard robaría información privada de iPhones infectados, como contactos, mensajes, llamadas y fotos, a través de varias bases de datos y archivos almacenados en el dispositivo. Finalmente, el documento compara los métodos de iOrchard con los utilizados por la botnet de escritorio Zeu

VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...

Internet Security Auditors

Como respuesta a nuestra cada vez mayor necesidad de almacenamiento de información, la proliferación de servicios de almacenamiento se ha convertido en un habitual de nuestro día a día, tanto en nuestros sistemas particulares como dentro de la organización donde desempeñamos nuestras tareas. Desde el punto de vista del análisis forense, entender las principales tecnologías en uso, su integración con los sistemas operativos más empleados y las evidencias tecnologías presentes en los sistemas se ha convertido en una necesidad en la mayoría de investigaciones. El objetivo de la ponencia es introducir al oyente tanto en la arquitectura de los servicios como en las evidencias presentes en los sistemas, cubriendo las principales tecnologías en uso.

Firebird Data Base

Nicole Cedeño

Firebird es un sistema de administración de base de datos relacional de código abierto cuya función principal es apoyar y promover el desarrollo del manejador de base de datos Firebird. Firebird ofrece características como soporte de transacciones ACID, claves foráneas, buena seguridad basada en usuarios y roles, y compatibilidad con SQL-92. Existen dos tipos de servidores Firebird: Classic y Superserver, siendo Classic la opción recomendada para la mayoría de situaciones debido a sus menores requerimientos de recursos.

Firebird grupo3

Nicole Angela Holguin Sancan

El hacking desde el punto de vista de la seguridad informática

Luis Fernando Aguas Bucheli

Configuracion del servidor dns en linux

Carlos Antonio Leal Saballos

Este documento explica cómo configurar un servidor DNS en Linux. Primero describe brevemente qué es el DNS y su función de traducir nombres de dominio a direcciones IP. Luego detalla los pasos para instalar y configurar el servidor DNS Bind, incluyendo editar el archivo de configuración named.conf, crear archivos de zona, y probar la configuración. Finalmente, menciona algunas herramientas comunes para administrar y probar un servidor DNS como nslookup, dig y ping.

S8 hack-hacking con google bing y shodan p4

Luis Fernando Aguas Bucheli

Este documento presenta una introducción al uso de la herramienta Shodan para realizar búsquedas de sistemas conectados a Internet. Explica algunos operadores básicos como country, port y hostname que permiten filtrar los resultados. También muestra ejemplos de búsquedas para encontrar cámaras web, impresoras y gestores de contenido expuestos. Finalmente, recomienda analizar los resultados encontrados para identificar posibles vulnerabilidades.

Internet

Brian Aguilar

Este documento proporciona una historia general de Internet y sus principales tecnologías subyacentes. En pocas oraciones, resume lo siguiente: Comenzó su desarrollo en la década de 1960 impulsado por el gobierno de EE.UU. para fines militares y académicos, evolucionando hacia una red mundial de computadoras interconectadas que usa protocolos como TCP/IP para compartir información. Ahora es una plataforma global que permite consultar datos, comunicarse y acceder a servicios a través de tecnologías como el correo electr

Internet

22542150b

Servidores Ubuntu 18.04 DNSSEC, DMZ, Firewall, Servidor archivos e IPV6

Alejandro Takahashi

Pimp your Android. Rooted CON 2012.

Internet Security Auditors

Dns basics 20140422-2 - citel - spanish

Eudy Zerpa

Este documento explica los fundamentos del Sistema de Nombres de Dominio (DNS). El DNS es una base de datos distribuida que traduce nombres de dominio amigables como "www.ejemplo.com" a direcciones IP como números que las máquinas pueden entender. El DNS es administrado de forma colaborativa por varias organizaciones, incluidos los registros que administran los nombres de dominio de nivel superior como .com y .org.

IPv6

Jesse Padilla Agudelo

Marc Fernandez - Auditando aplicaciones iOS [rooted2018]

RootedCON

Este documento presenta una guía sobre cómo auditar aplicaciones iOS. Explica los pasos clave de la auditoría, incluyendo el reversing para obtener los binarios, el análisis estático del código, el análisis dinámico interceptando tráfico de red y modificando código con Frida, y la elaboración de resultados. También cubre temas como la estructura de las aplicaciones iOS, jailbreaking, y las vulnerabilidades Spectre y Meltdown.

Uso_Avanzado_de_GPOs_en_Windows_Server_2003.ppt

RaulAnchiraicoGarcia

Sistemas distribuidos dns_dhcp_rras

Rafael Gomez

buscadores y metabuscadores

Palmira Guerra Sequeiros

Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde

RootedCON

Este documento presenta la plataforma SecAP, la cual automatiza las tareas de pentesting de una manera inteligente y autónoma. SecAP funciona como una suite de herramientas que incluye conectores, lanzadores, analizadores y una API REST. Coordina el proceso de pentesting al almacenar los activos descubiertos, lanzar las herramientas apropiadas, analizar los resultados y continuar la auditoría de forma autónoma. El documento describe la arquitectura, componentes, flujo de trabajo y ventajas de SecAP,

rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...

RootedCON

Este documento describe una investigación sobre la identificación y evasión de entornos de análisis sandbox. Los investigadores desarrollaron artefactos para recopilar información de varias sandbox y analizar su seguridad. Encontraron que algunas sandbox no ocultan bien su naturaleza y que es posible acceder a archivos de configuración. También pudieron identificar a los propietarios de algunas sandbox mediante vulnerabilidades de XSS. Concluyen que es posible obtener inteligencia sobre cómo funcionan las sandbox y evadir su detección.

Más contenido relacionado

Similar a Chema Alonso - Presentación de la FOCA v2.0 [RootedCON 2010]

MetaShield Protector & FOCA 2.0

Chema Alonso

S8-Hack-Hacking con Google Bing y Shodan P4

Luis Fernando Aguas Bucheli

Maricela poaquiza

Maricela Poaquiza

David Barroso - iPhone + Botnets = FUN! [RootedCON 2010]

RootedCON

VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...

Internet Security Auditors

Firebird Data Base

Nicole Cedeño

Firebird grupo3

Nicole Angela Holguin Sancan

El hacking desde el punto de vista de la seguridad informática

Luis Fernando Aguas Bucheli

Configuracion del servidor dns en linux

Carlos Antonio Leal Saballos

S8 hack-hacking con google bing y shodan p4

Luis Fernando Aguas Bucheli

Internet

Brian Aguilar

Internet

22542150b

Servidores Ubuntu 18.04 DNSSEC, DMZ, Firewall, Servidor archivos e IPV6

Alejandro Takahashi

Pimp your Android. Rooted CON 2012.

Internet Security Auditors

Dns basics 20140422-2 - citel - spanish

Eudy Zerpa

IPv6

Jesse Padilla Agudelo

Marc Fernandez - Auditando aplicaciones iOS [rooted2018]

RootedCON

Uso_Avanzado_de_GPOs_en_Windows_Server_2003.ppt

RaulAnchiraicoGarcia

Sistemas distribuidos dns_dhcp_rras

Rafael Gomez

buscadores y metabuscadores

Palmira Guerra Sequeiros

Similar a Chema Alonso - Presentación de la FOCA v2.0 [RootedCON 2010] (20)

MetaShield Protector & FOCA 2.0

S8-Hack-Hacking con Google Bing y Shodan P4

Maricela poaquiza

David Barroso - iPhone + Botnets = FUN! [RootedCON 2010]

VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...

Firebird Data Base

Firebird grupo3

El hacking desde el punto de vista de la seguridad informática

Configuracion del servidor dns en linux

S8 hack-hacking con google bing y shodan p4

Internet

Servidores Ubuntu 18.04 DNSSEC, DMZ, Firewall, Servidor archivos e IPV6

Pimp your Android. Rooted CON 2012.

Dns basics 20140422-2 - citel - spanish

IPv6

Marc Fernandez - Auditando aplicaciones iOS [rooted2018]

Uso_Avanzado_de_GPOs_en_Windows_Server_2003.ppt

Sistemas distribuidos dns_dhcp_rras

buscadores y metabuscadores

Más de RootedCON

Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde

RootedCON

rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...

RootedCON

Rooted2020 hunting malware-using_process_behavior-roberto_amado

RootedCON

Este documento describe una herramienta de correlación de procesos Sysmon que monitorea el comportamiento de procesos en un sistema para detectar actividad maliciosa. La herramienta incluye un motor de línea base que establece el comportamiento normal de procesos clave y un motor de jerarquía que detecta anomalías en la relación entre procesos padre e hijo. La herramienta puede usarse para cazar malware avanzado que opera en memoria sin dejar rastros en el disco.

Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_

RootedCON

Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...

RootedCON

This document discusses how software developers can be deceived through malicious software libraries uploaded to package managers. It describes how the researchers generated homograph variants of popular library names and uploaded them to PyPI and npm. Within a few hours hundreds of developers had installed the malicious libraries, demonstrating vulnerabilities in how developers and package managers prevent homograph attacks. The researchers then analyzed the results and issues recommendations to package managers on additional controls like rate limiting and mandatory user identification that could help prevent such attacks.

Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...

RootedCON

Este documento resume la legislación española e internacional sobre el whistleblowing o denuncia de irregularidades. Explica que las empresas están obligadas a disponer de canales internos de denuncia confidenciales y protegidos, y que los denunciantes no pueden sufrir represalias. La normativa incluye infracciones relacionadas con la ciberseguridad, como incidentes de seguridad y filtraciones de datos. Las empresas deben transponer estas directivas antes de 2021, aunque se concede más tiempo para pymes.

Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...

RootedCON

El documento presenta los resultados de un análisis de seguridad de plugins de WordPress. Se analizaron 84,508 plugins encontrando 1,775 vulnerables con 5,419 vulnerabilidades en total, predominando la inyección SQL. Se desarrolló una infraestructura llamada WordPressTerror para automatizar el análisis. Los resultados se informaron al equipo de seguridad de WordPress para notificar a los desarrolladores. El objetivo final es mejorar la seguridad de WordPress y sus plugins.

Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer

RootedCON

El documento presenta una charla sobre atacando comunicaciones de voz cifradas. Se discuten varios protocolos de cifrado como SIP, SRTP, ZRTP y Signal. Se explican sus características de seguridad y posibles ataques como interceptación de tráfico, suplantación de identidad y escucha de conversaciones. El objetivo es crear conciencia sobre la importancia de cifrar las comunicaciones para proteger la privacidad.

rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...

RootedCON

Rooted2020 stefano maccaglia--_the_enemy_of_my_enemy

RootedCON

Stefano Maccaglia is a Senior Principal Consultant at RSA who investigates cyber incidents. The document describes an investigation conducted at a government agency that discovered stolen data on an internal system. RSA found the system, called ASFOUR, had been compromised since August 2018. By analyzing logs and network traffic with RSA tools, they traced the activity to an adversary accessing ASFOUR and another system called HAKIMI. They also found evidence of two threat groups - Oilrig and Epic Turla. RSA helped the agency remediate by rebuilding compromised systems, resetting passwords, and removing unused accounts.

Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...

RootedCON

El documento describe un taller sobre análisis de binarios creados en GoLang. Explica quiénes son los presentadores, por qué es importante aprender sobre este nuevo lenguaje, las características de GoLang, ejemplos de malware creados en GoLang, y el proceso de generación y análisis de binarios de GoLang, incluyendo cómo recuperar los nombres de funciones y cadenas de caracteres en binarios strippeados. El taller concluye con un reto práctico de obtener un flag de un binario de muestra.

Rooted2020 virtual pwned-network_-_manel_molina

RootedCON

Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...

RootedCON

Este documento proporciona 10 recomendaciones para mejorar la seguridad de una red, como actualizar sistemas, implementar SPF y DKIM para el correo electrónico, prohibir macros, usar LAPS para contraseñas de administrador local, segmentar la red con VLAN, y realizar copias de seguridad fuera de la red. También recomienda eliminar protocolos obsoletos, auditar los permisos de Active Directory, y elevar los costos para los atacantes al interior de la red. El objetivo general es dificultar el acceso no autorizado

Rooted2020 todo a-siem_-_marta_lopez

RootedCON

El documento discute brevemente varios incidentes cibernéticos atribuidos a China, incluidos ataques a OPM, Equifax y Anthem. También menciona unidades de amenazas avanzadas persistentes chinas como APT1 y Comment Crew. Explica conceptos como IOC, TTP y marcos como ATT&CK y CAPEC para analizar amenazas. Finalmente, proporciona numerosos enlaces a fuentes adicionales sobre ciberespionaje chino y otros temas relacionados.

Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero

RootedCON

The document describes a proof-of-concept malware called "evil mass storage" that can infect systems without an internet connection. It uses a custom hardware device with a micro SD card and radio frequency module to exfiltrate information from infected targets. The malware has multiple stages and can hide in encrypted sectors on the SD card or transmit data via radio. Details are provided on the prototype hardware, firmware, and future improvements planned for the project.

Rooted2020 live coding--_jesus_jara

RootedCON

Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...

RootedCON

Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...

RootedCON

Este documento presenta una introducción a Bluetooth Low Energy (BLE), incluyendo su historia, funcionamiento y vulnerabilidades. Explica conceptos clave como el emparejamiento, los canales y los tipos de paquetes. Luego describe varios ataques realizados contra dispositivos BLE, como trackers, cámaras y monopatines eléctricos. Finalmente, ofrece recomendaciones para fortalecer la seguridad de BLE a través del cifrado y mecanismos robustos de intercambio de claves.

Rooted2020 evading deep-learning_malware_detectors_-_javier_yuste

RootedCON

Este documento describe un método para generar ejemplos adversarios (AE) que evadan detectores de malware basados en aprendizaje profundo. El método propuesto utiliza perturbaciones en las cabeceras de los archivos binarios y optimización mediante algoritmos genéticos para introducir cambios que eviten la detección sin afectar al comportamiento. Los resultados experimentales muestran que el enfoque alcanza tasas de evasión de hasta el 98.23% frente a MalConv, un detector de estado del arte.

Rooted2020 encontrando 0days-en_2020_-_antonio_morales

RootedCON

El documento describe diferentes técnicas avanzadas de fuzzing como mutation scheduling, structure-aware fuzzing y domain-specific feedback. Explica cómo estas técnicas pueden ayudar a encontrar vulnerabilidades de forma más eficiente explorando el espacio de búsqueda de manera inteligente. También incluye ejemplos de vulnerabilidades encontradas mediante fuzzing como CVE-2020-9273 y CVE-2020-9365.

Más de RootedCON (20)