SlideShare una empresa de Scribd logo

Comprometiendo dispositivos con software legal - H-C0N 2018

Descargar como PPTX, PDF
M
Matías Moreno Cárdenas

Presentación para el taller de "Comprometiendo dispositivos con Software legal" en la H-C0N 2018

Tecnología
1 de 54
Comprometiendo dispositivos con software legal
HELLO! Soy Matías Moreno Cárdenas Amante de la ciberseguridad y programador en ratos libres. Profesor y pentester en la empresa The Security Sentinel Puedes seguirme en @mmorenodev
36.000.000Cantidad de smartphones Android afectados en la última cepa de malware
Los archivos dex son los que contienen el código Java compilado y preparado para su ejecución en dispositivos Android. Podemos referirnos a ellos como los Ejecutables Dalvik ya que pueden ser interpretados por la máquina virtual Dalvik
Herramientas utilizadas MSFVENOM Herramienta que combina las herramientas de Metasploit msfpayload y msfencode en una única instancia del Framework. Con ella crearemos la apk maliciosa que vamos a inyectar a la app legítima. Mas información: https://www.offensive- security.com/metasploit- unleashed/msfvenom/ BACKDOOR-APK / THE FAT RAT Ambas herramientas las podemos descargar desde sus repositorios de GitHub. Con ellas, inyectaremos código malicioso en las app legítimas que hayamos descargado. https://github.com/Screetsec/TheFatRat https://github.com/dana-at-cp/backdoor-apk Utlizaremos la distribucion Kali y un dispositivo físico o emulado para realizar las PoC
1. GENERACIÓN DE LA APP MALICIOSA Comencemos utilizando msfvenom
Podríamos utilizar esta Apk directamente para infectar un Smartphone Android, pero resulta muy poco “invisible” de cara a la víctima. Vamos a probarlo y ver como sería esta instalación. Con backdoor-apk o TheFatRat y conseguiremos inyectar el código malicioso de esta apk en otra legítima que hayamos descargado previamente.
2. DESCARGA DE LA APP LEGÍTIMA Podemos elegir la app que deseemos
Vamos a descargar la que será la app en la que inyectaremos el código malicioso. En este caso vamos a descargarla utilizando la web https://apkpure.com/ Podemos descargarnos cualquier aplicación, para este ejemplo he optado por descargar una app de una calculadora y un PDF Reader.
3. BACKDOOR-APK Usaremos esta herramienta para infectar la calculadora
Vamos a ver que el uso de backdoor-apk es realmente sencillo, únicamente debemos tener localizada la APK legítima y , por supuesto, descargada la herramienta de su repositorio.
Esta herramienta tiene, actualmente, algunos problemas con las rutas relativas, por lo que deberemos pegar el apk dentro del directorio de la herramienta. Es un proyecto abierto, por lo que os podéis animar a subir un parche ;) Una vez copiado el APK estamos listos para ejecutar la herramienta, de una manera muy sencilla.
Tendremos que decidir que tipo de payload queremos para el APK, recordad que esto genera una conexión reversa que podremos escuchar desde nuestra consola de Metasploit. En mi caso voy a elegir la conexión reversa a través de tcp.
Siendo una conexión reversa, debemos definir las opciones con la IP y el puerto que escuchará la conexión Este mensaje es muy importante, porque influye mucho a la hora de que nuestra víctima sospeche o no de nuestra aplicación.
Esta última opción a elegir nos da la oportunidad de mantener los permisos que solicita la aplicación legítima, es decir, nuestra aplicación infectada solicitará los mismos permisos al instalarse que la app original. Esto puede hacer que nuestra víctima sospeche menos de la app. Por el contrario, si la app original no posee permisos, por ejemplo, para acceder a la cámara no podremos acceder a la cámara desde meterpreter. Si los combinamos, la app infectada podrá realizar todas las acciones posibles, pero en la instalación aparecerá, por ejemplo, que la calculadora puede realizar llamas o enviar sms, algo bastante sospechoso.
Una vez terminado el proceso, se nos creará una nueva APK en la ruta /original/dist/ Esta herramienta ha decompilado ambas apps utilizando apktool y ha inyectado las actividades que contiene la apk generada por msfvenom. Con las actividades introducidas inyecta la inicialización de la app maliciosa en el OnCreate de la aplicación legítima. Entre medias, ha ofuscado algunos strings para disminuir su detectabilidad frente a motores de AVs, además ha utilizado dex2jar, proguard y dx para ofuscar, optimizar y encoger el código malicioso. Por último, vuelve a compilar el código con apktool y acaba firmando la aplicación.
Además de lo anterior, también nos ha creado un archivo Resource Scripts para automatizar en Metasploit el proceso de escucha de la conexión que generará la app maliciosa.
4. THE FAT RAT Usaremos esta herramienta para infectar el Adobe Reader
Vamos a ver que el uso de TheFatRat no es exclusivo de Android, sino que también es una fantástica herramienta para generar backdoors para Windows con poca detectabilidad (esto lo dejamos para el siguiente taller jeje). Debemos descargar la herramienta desde el repositorio y ejecutar su instalación, que puede tardar un rato.
Cuando lo ejecutemos, debemos de fijarnos en la siguiente opción dentro de las que nos ofrece Vamos a seleccionar esa opción y ver que nos ofrece esta herramienta.
Directamente nos pide que introduzcamos los mismos datos que con backdoor-apk , normal ya que estamos ante una conexión inversa como hemos mencionado antes. Esta vez vamos a elegir un puerto distinto al anterior. Introducimos la ruta completa donde tenemos nuestro APK legítimo, en este caso el Adobe Reader.
Como en la ocasión anterior, vamos a elegir la conexión reversa de meterpreter a través de tcp. En la siguiente pantalla podemos ver que tenemos dos métodos, uno de ellos debe sonarnos ya que thefatrat tiene incluida una versión de backdoor-apk. Para realizarlo de manera distinta, elegiremos la opción propia de fatrat method y comenzará el proceso de creación de la app maliciosa, con el mismo resultado que la anterior.
Una vez terminado correctamente nos debe aparecer este mensaje, le decimos que sí para que nos genere el .rc que hemos visto con backdoor-apk que nos servirá para iniciar mas rápidamente un listener en la consola de Metasploit.
Ya tenemos listo nuestro apk infectado y nuestro fichero de Resource Scripts para iniciar el listener rápidamente en los siguientes directorios.
5. INFECCIÓN DEL SMARTPHONE
Con la APK maliciosa en nuestro poder, ya podemos pasar a la acción, en mi caso voy a infectar un Android virtual para comprobar la eficacia de nuestra Calculadora personalizada. Para ello, utilizaremos una máquina virtual de Android y pondremos un handler a la escucha en nuestra consola de Metasploit a través del puerto que configuramos al comienzo en msfvenom. Podemos usar el fichero .rc también
Gracias a que nuestro backdoor esta camuflado dentro de unas aplicaciones que a primera vista no son ilegítimas, podemos realizar ingeniería social contra nuestro objetivo de una manera mas fácil. Vamos a poner a escuchar nuestra consola de metasploit conexiones entrantes por el puerto que definimos al infectar la Calculadora con backdoor-apk
Ya tenemos nuestro metasploit esperando conexiones entrantes, el siguiente paso será infectar a nuestra víctima (en nuestro caso un terminal en nuestro poder) con la APK infectada para ver si nos da buenos resultados. La manera en la que infectamos a una víctima pueden ser muchas, aquí la ingeniería social es la que nosotros consideremos aplicar.
En cuanto nuestra víctima ejecuta la aplicación, se nos abre una nueva sesión de meterpreter, nuestra calculadora ha funcionado correctamente!  Tened en cuenta que el funcionamiento de la calculadora no se ve afectado, la aplicación funciona con total normalidad. Ahora revisemos los permisos de la aplicación…recordad que hemos establecido todos los permisos posibles para que meterpreter pueda realizar cualquier acción.
¿Algo sospechoso verdad? Que una aplicación de cálculos matemáticos necesite permisos sobre la cámara, contactos, localización… Por ello debemos jugar con la ingeniería social e infectar una aplicación legítima que solicite ciertos permisos por defecto que nuestro backdoor malicioso también utilice. Vemos que dice el antivirus local del dispositivo a cerca de esta aplicación, empecemos por Avast
En nuestro Smartphone de pruebas, tenemos Avast instalado, uno de los motores de antivirus para Android mas extendido y utilizado. Vamos a comprobar si detecta, primero, nuestra app de la calculadora
Vaya, pues ha detectado dos riesgos entre los cuales no se encuentra nuestra aplicación de la calculadora. Por lo tanto, todas las personas con Avast instalado podrían ser víctimas de este bicho que nos hemos fabricado. Nuestra sesión en metasploit sigue intacta también después del escaneo, todo perfecto. Probemos también con otro antivirus para Android muy utilizado, el AVG.
Exactamente igual que Avast (incluso comparten interfaz gráfica en los resultados, curioso) Nuestra sesión de meterpreter sigue intacta.
Llegados a este punto, probemos con nuestra otra app infectada, el Adobe Reader, que hemos creado con una técnica de Fat Rat. El proceso el exactamente el mismo que con la Calculadora, por lo que podemos resumirlo en una conexión meterpreter satisfactoria y un funcionamiento normal dentro del Smartphone. Por el contrario el método que hemos utilizado con TheFatRat no realiza una ofuscación tan buena como la realiza backdoor-apk. Además, el proceso “old” falla en muchas ocasiones y corrompe el APK la mayoría de veces, por lo que nos podemos decantar por backdoor-apk para la inyección de código malicioso, o por inyectarlo nosotros mismos manualmente 
6. DIVERTIRNOS
La sesión de Meterpreter nos brinda el acceso a utilidades muy interesantes, desde mandar sms, hacer capturas de la cámara, escuchar el micrófono, subirle archivos, descargárnoslos…
PWNED! 😉¿Que cosas se os ocurren con una sesión de meterpreter sobre un terminal Android?
7. ALTERNATIVAS Con software legal
SERVIDOR FTP Como posible alternativa, podemos tener en cuenta aplicaciones que podemos encontrar en Google Play, como la aplicación ser servidor FTP para poder acceder desde el exterior a los ficheros del teléfono. Teniendo en cuenta que tengamos acceso físico al teléfono, podemos ocultar estas aplicaciones dentro del menú de apps.
Podemos conectarnos al teléfono sin problema desde un cliente FTP como FileZilla
SERVIDOR SSH Como en el caso anterior podemos contar también con habilitar un acceso SSH al teléfono y conectarnos de manera remota. Al igual que con el FTP, tendremos que ocultar todo lo que podamos la app dentro del menú de aplicaciones
TODO EN UNO - AIRDROID Por otra parte también disponemos de aplicaciones todo en uno como puede ser Airdroid. Esta app nos brinda acceso completo al teléfono desde un fantástico interfaz web desde el que podemos acceder a contactos, llamadas, multimedia, captura de pantalla…
7. ALTERNATIVAS Con software no tan legal
ANDRO-RAT Tenemos disponible también en troyano bastante conocido llamado AndroRAT, y podemos descargar su código fuente desde aquí: https://github.com/wszf/androrat Tanto el servidor y el cliente están desarrollados en Java y tenemos la oportunidad de personalizarlo, su interfaz nos puede recordar a las típicas interfaces de troyano para Windows como Bifrost o CyberGate.
WACRYPT Herramienta de extracción de conversaciones de WhatsApp para su almacenado y análisis. Funcionamiento totalmente automatizado y simple para el usuario inexperto.
Síguenos en nuestras redes sociales si te ha gustado el taller! Muchas gracias por asistir  @TSSentinel @mmorenodev thesecuritysentinel.es Momento de hablar y de exponer vuestras dudas e ideas!

Recomendados

Meterpreter en android el desembarco en tu smartphone
Meterpreter en android el desembarco en tu smartphoneMeterpreter en android el desembarco en tu smartphone
Meterpreter en android el desembarco en tu smartphone
JASENT
 
Taller Android Navaja Negra 5 ED
Taller Android Navaja Negra 5 EDTaller Android Navaja Negra 5 ED
Taller Android Navaja Negra 5 ED
mirojo
 
Troyanizando y Auditando Android - HoneyCON
Troyanizando y Auditando Android - HoneyCONTroyanizando y Auditando Android - HoneyCON
Troyanizando y Auditando Android - HoneyCON
Matías Moreno Cárdenas
 
Ingeniería inversa básica en android tomo ii
Ingeniería inversa básica en android tomo iiIngeniería inversa básica en android tomo ii
Ingeniería inversa básica en android tomo ii
Freelance
 
Uso del troyano cybergate ok
Uso del troyano cybergate okUso del troyano cybergate ok
Uso del troyano cybergate ok
Tensor
 
Introducción a la programación del amigo bot
Introducción a la programación del amigo botIntroducción a la programación del amigo bot
Introducción a la programación del amigo bot
jhonsoomelol
 
Present3
Present3Present3
Present3
Rafael Cornejo Martinez
 
Cuckoo sandbox
Cuckoo sandboxCuckoo sandbox
Cuckoo sandbox
Tensor
 

Recomendados

Meterpreter en android el desembarco en tu smartphone
Meterpreter en android el desembarco en tu smartphoneMeterpreter en android el desembarco en tu smartphone
Meterpreter en android el desembarco en tu smartphone
JASENT
 
Taller Android Navaja Negra 5 ED
Taller Android Navaja Negra 5 EDTaller Android Navaja Negra 5 ED
Taller Android Navaja Negra 5 ED
mirojo
 
Troyanizando y Auditando Android - HoneyCON
Troyanizando y Auditando Android - HoneyCONTroyanizando y Auditando Android - HoneyCON
Troyanizando y Auditando Android - HoneyCON
Matías Moreno Cárdenas
 
Ingeniería inversa básica en android tomo ii
Ingeniería inversa básica en android tomo iiIngeniería inversa básica en android tomo ii
Ingeniería inversa básica en android tomo ii
Freelance
 
Uso del troyano cybergate ok
Uso del troyano cybergate okUso del troyano cybergate ok
Uso del troyano cybergate ok
Tensor
 
Introducción a la programación del amigo bot
Introducción a la programación del amigo botIntroducción a la programación del amigo bot
Introducción a la programación del amigo bot
jhonsoomelol
 
Present3
Present3Present3
Present3
Rafael Cornejo Martinez
 
Cuckoo sandbox
Cuckoo sandboxCuckoo sandbox
Cuckoo sandbox
Tensor
 
Lucky Patcher V3.7.5.1
Lucky Patcher V3.7.5.1Lucky Patcher V3.7.5.1
Lucky Patcher V3.7.5.1
McClureHvass01
 
Cuckoosandbox
CuckoosandboxCuckoosandbox
Cuckoosandbox
Tensor
 
Cuckoo sandbox
Cuckoo sandboxCuckoo sandbox
Cuckoo sandbox
Tensor
 
Fortifica tu Wordpress con Latch
Fortifica tu Wordpress con LatchFortifica tu Wordpress con Latch
Fortifica tu Wordpress con Latch
Jorge Cacho
 
Trabajo de ntics ii
Trabajo de ntics iiTrabajo de ntics ii
Trabajo de ntics ii
Kevin Semanate
 
Trabajo de NTICS II
Trabajo de NTICS IITrabajo de NTICS II
Trabajo de NTICS II
marco_acuna
 
Taller
TallerTaller
Taller
campus party
 
Taller3 trafico de_red_jose_gomez
Taller3 trafico de_red_jose_gomezTaller3 trafico de_red_jose_gomez
Taller3 trafico de_red_jose_gomez
Alex Gomez
 
Taller3 trafico de_red_jose_gomez
Taller3 trafico de_red_jose_gomezTaller3 trafico de_red_jose_gomez
Taller3 trafico de_red_jose_gomez
Alex Gomez
 
Gwt
GwtGwt
Gwt
Pablo Conrado
 
Curso basicoseguridadweb slideshare10
Curso basicoseguridadweb slideshare10Curso basicoseguridadweb slideshare10
Curso basicoseguridadweb slideshare10
tantascosasquenose
 
Curso de-mcu-proteus
Curso de-mcu-proteusCurso de-mcu-proteus
Curso de-mcu-proteus
Francisco Nieva Ricaldi
 
tehnik mobile hacking
tehnik mobile hackingtehnik mobile hacking
tehnik mobile hacking
bayuwidiatmoko
 
Backtrack claves wep pirate night
Backtrack claves wep pirate nightBacktrack claves wep pirate night
Backtrack claves wep pirate night
Miguel Alexander Segovia Lovera
 
Comentarios
ComentariosComentarios
Comentarios
Andre Omar Candela Jimenez
 
crackers
crackers crackers
crackers
maria_belen
 
Caratula de un crackers
Caratula de un crackersCaratula de un crackers
Caratula de un crackers
maria_belen
 
266521557 apuntes-unidad-formativa-app-inventor
266521557 apuntes-unidad-formativa-app-inventor266521557 apuntes-unidad-formativa-app-inventor
266521557 apuntes-unidad-formativa-app-inventor
xavazque2
 
Beef framework 2016
Beef framework 2016Beef framework 2016
Beef framework 2016
Tensor
 
1.2. Instalación de nuevos programas.pdf
1.2. Instalación de nuevos programas.pdf1.2. Instalación de nuevos programas.pdf
1.2. Instalación de nuevos programas.pdf
SebastianM1ch43l15
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
Maricarmen Sánchez Ruiz
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
FagnerLisboa3
 

Más contenido relacionado

Similar a Comprometiendo dispositivos con software legal - H-C0N 2018

Lucky Patcher V3.7.5.1
Lucky Patcher V3.7.5.1Lucky Patcher V3.7.5.1
Lucky Patcher V3.7.5.1
McClureHvass01
 
Caratula de un crackers
Caratula de un crackersCaratula de un crackers
Caratula de un crackers
maria_belen
 
266521557 apuntes-unidad-formativa-app-inventor
266521557 apuntes-unidad-formativa-app-inventor266521557 apuntes-unidad-formativa-app-inventor
266521557 apuntes-unidad-formativa-app-inventor
xavazque2
 

Similar a Comprometiendo dispositivos con software legal - H-C0N 2018 (20)

Lucky Patcher V3.7.5.1
Lucky Patcher V3.7.5.1Lucky Patcher V3.7.5.1
Lucky Patcher V3.7.5.1
 
Cuckoosandbox
CuckoosandboxCuckoosandbox
Cuckoosandbox
 
Cuckoo sandbox
Cuckoo sandboxCuckoo sandbox
Cuckoo sandbox
 
Fortifica tu Wordpress con Latch
Fortifica tu Wordpress con LatchFortifica tu Wordpress con Latch
Fortifica tu Wordpress con Latch
 
Trabajo de ntics ii
Trabajo de ntics iiTrabajo de ntics ii
Trabajo de ntics ii
 
Trabajo de NTICS II
Trabajo de NTICS IITrabajo de NTICS II
Trabajo de NTICS II
 
Taller
TallerTaller
Taller
 
Taller3 trafico de_red_jose_gomez
Taller3 trafico de_red_jose_gomezTaller3 trafico de_red_jose_gomez
Taller3 trafico de_red_jose_gomez
 
Taller3 trafico de_red_jose_gomez
Taller3 trafico de_red_jose_gomezTaller3 trafico de_red_jose_gomez
Taller3 trafico de_red_jose_gomez
 
Gwt
GwtGwt
Gwt
 
Curso basicoseguridadweb slideshare10
Curso basicoseguridadweb slideshare10Curso basicoseguridadweb slideshare10
Curso basicoseguridadweb slideshare10
 
Curso de-mcu-proteus
Curso de-mcu-proteusCurso de-mcu-proteus
Curso de-mcu-proteus
 
tehnik mobile hacking
tehnik mobile hackingtehnik mobile hacking
tehnik mobile hacking
 
Backtrack claves wep pirate night
Backtrack claves wep pirate nightBacktrack claves wep pirate night
Backtrack claves wep pirate night
 
Comentarios
ComentariosComentarios
Comentarios
 
crackers
crackers crackers
crackers
 
Caratula de un crackers
Caratula de un crackersCaratula de un crackers
Caratula de un crackers
 
266521557 apuntes-unidad-formativa-app-inventor
266521557 apuntes-unidad-formativa-app-inventor266521557 apuntes-unidad-formativa-app-inventor
266521557 apuntes-unidad-formativa-app-inventor
 
Beef framework 2016
Beef framework 2016Beef framework 2016
Beef framework 2016
 
1.2. Instalación de nuevos programas.pdf
1.2. Instalación de nuevos programas.pdf1.2. Instalación de nuevos programas.pdf
1.2. Instalación de nuevos programas.pdf
 

Último

EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
FagnerLisboa3
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
AnnimoUno1
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
JohnRamos830530
 

Último (11)

pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfRefrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 

Comprometiendo dispositivos con software legal - H-C0N 2018

  • 2. HELLO! Soy Matías Moreno Cárdenas Amante de la ciberseguridad y programador en ratos libres. Profesor y pentester en la empresa The Security Sentinel Puedes seguirme en @mmorenodev
  • 3. 36.000.000Cantidad de smartphones Android afectados en la última cepa de malware
  • 4.
  • 5.
  • 6. Los archivos dex son los que contienen el código Java compilado y preparado para su ejecución en dispositivos Android. Podemos referirnos a ellos como los Ejecutables Dalvik ya que pueden ser interpretados por la máquina virtual Dalvik
  • 7.
  • 8. Herramientas utilizadas MSFVENOM Herramienta que combina las herramientas de Metasploit msfpayload y msfencode en una única instancia del Framework. Con ella crearemos la apk maliciosa que vamos a inyectar a la app legítima. Mas información: https://www.offensive- security.com/metasploit- unleashed/msfvenom/ BACKDOOR-APK / THE FAT RAT Ambas herramientas las podemos descargar desde sus repositorios de GitHub. Con ellas, inyectaremos código malicioso en las app legítimas que hayamos descargado. https://github.com/Screetsec/TheFatRat https://github.com/dana-at-cp/backdoor-apk Utlizaremos la distribucion Kali y un dispositivo físico o emulado para realizar las PoC
  • 9. 1. GENERACIÓN DE LA APP MALICIOSA Comencemos utilizando msfvenom
  • 10. Podríamos utilizar esta Apk directamente para infectar un Smartphone Android, pero resulta muy poco “invisible” de cara a la víctima. Vamos a probarlo y ver como sería esta instalación. Con backdoor-apk o TheFatRat y conseguiremos inyectar el código malicioso de esta apk en otra legítima que hayamos descargado previamente.
  • 11. 2. DESCARGA DE LA APP LEGÍTIMA Podemos elegir la app que deseemos
  • 12. Vamos a descargar la que será la app en la que inyectaremos el código malicioso. En este caso vamos a descargarla utilizando la web https://apkpure.com/ Podemos descargarnos cualquier aplicación, para este ejemplo he optado por descargar una app de una calculadora y un PDF Reader.
  • 13. 3. BACKDOOR-APK Usaremos esta herramienta para infectar la calculadora
  • 14. Vamos a ver que el uso de backdoor-apk es realmente sencillo, únicamente debemos tener localizada la APK legítima y , por supuesto, descargada la herramienta de su repositorio.
  • 15. Esta herramienta tiene, actualmente, algunos problemas con las rutas relativas, por lo que deberemos pegar el apk dentro del directorio de la herramienta. Es un proyecto abierto, por lo que os podéis animar a subir un parche ;) Una vez copiado el APK estamos listos para ejecutar la herramienta, de una manera muy sencilla.
  • 16. Tendremos que decidir que tipo de payload queremos para el APK, recordad que esto genera una conexión reversa que podremos escuchar desde nuestra consola de Metasploit. En mi caso voy a elegir la conexión reversa a través de tcp.
  • 17. Siendo una conexión reversa, debemos definir las opciones con la IP y el puerto que escuchará la conexión Este mensaje es muy importante, porque influye mucho a la hora de que nuestra víctima sospeche o no de nuestra aplicación.
  • 18. Esta última opción a elegir nos da la oportunidad de mantener los permisos que solicita la aplicación legítima, es decir, nuestra aplicación infectada solicitará los mismos permisos al instalarse que la app original. Esto puede hacer que nuestra víctima sospeche menos de la app. Por el contrario, si la app original no posee permisos, por ejemplo, para acceder a la cámara no podremos acceder a la cámara desde meterpreter. Si los combinamos, la app infectada podrá realizar todas las acciones posibles, pero en la instalación aparecerá, por ejemplo, que la calculadora puede realizar llamas o enviar sms, algo bastante sospechoso.
  • 19. Una vez terminado el proceso, se nos creará una nueva APK en la ruta /original/dist/ Esta herramienta ha decompilado ambas apps utilizando apktool y ha inyectado las actividades que contiene la apk generada por msfvenom. Con las actividades introducidas inyecta la inicialización de la app maliciosa en el OnCreate de la aplicación legítima. Entre medias, ha ofuscado algunos strings para disminuir su detectabilidad frente a motores de AVs, además ha utilizado dex2jar, proguard y dx para ofuscar, optimizar y encoger el código malicioso. Por último, vuelve a compilar el código con apktool y acaba firmando la aplicación.
  • 20. Además de lo anterior, también nos ha creado un archivo Resource Scripts para automatizar en Metasploit el proceso de escucha de la conexión que generará la app maliciosa.
  • 21. 4. THE FAT RAT Usaremos esta herramienta para infectar el Adobe Reader
  • 22. Vamos a ver que el uso de TheFatRat no es exclusivo de Android, sino que también es una fantástica herramienta para generar backdoors para Windows con poca detectabilidad (esto lo dejamos para el siguiente taller jeje). Debemos descargar la herramienta desde el repositorio y ejecutar su instalación, que puede tardar un rato.
  • 23. Cuando lo ejecutemos, debemos de fijarnos en la siguiente opción dentro de las que nos ofrece Vamos a seleccionar esa opción y ver que nos ofrece esta herramienta.
  • 24. Directamente nos pide que introduzcamos los mismos datos que con backdoor-apk , normal ya que estamos ante una conexión inversa como hemos mencionado antes. Esta vez vamos a elegir un puerto distinto al anterior. Introducimos la ruta completa donde tenemos nuestro APK legítimo, en este caso el Adobe Reader.
  • 25. Como en la ocasión anterior, vamos a elegir la conexión reversa de meterpreter a través de tcp. En la siguiente pantalla podemos ver que tenemos dos métodos, uno de ellos debe sonarnos ya que thefatrat tiene incluida una versión de backdoor-apk. Para realizarlo de manera distinta, elegiremos la opción propia de fatrat method y comenzará el proceso de creación de la app maliciosa, con el mismo resultado que la anterior.
  • 26. Una vez terminado correctamente nos debe aparecer este mensaje, le decimos que sí para que nos genere el .rc que hemos visto con backdoor-apk que nos servirá para iniciar mas rápidamente un listener en la consola de Metasploit.
  • 27. Ya tenemos listo nuestro apk infectado y nuestro fichero de Resource Scripts para iniciar el listener rápidamente en los siguientes directorios.
  • 29. Con la APK maliciosa en nuestro poder, ya podemos pasar a la acción, en mi caso voy a infectar un Android virtual para comprobar la eficacia de nuestra Calculadora personalizada. Para ello, utilizaremos una máquina virtual de Android y pondremos un handler a la escucha en nuestra consola de Metasploit a través del puerto que configuramos al comienzo en msfvenom. Podemos usar el fichero .rc también
  • 30. Gracias a que nuestro backdoor esta camuflado dentro de unas aplicaciones que a primera vista no son ilegítimas, podemos realizar ingeniería social contra nuestro objetivo de una manera mas fácil. Vamos a poner a escuchar nuestra consola de metasploit conexiones entrantes por el puerto que definimos al infectar la Calculadora con backdoor-apk
  • 31. Ya tenemos nuestro metasploit esperando conexiones entrantes, el siguiente paso será infectar a nuestra víctima (en nuestro caso un terminal en nuestro poder) con la APK infectada para ver si nos da buenos resultados. La manera en la que infectamos a una víctima pueden ser muchas, aquí la ingeniería social es la que nosotros consideremos aplicar.
  • 32.
  • 33. En cuanto nuestra víctima ejecuta la aplicación, se nos abre una nueva sesión de meterpreter, nuestra calculadora ha funcionado correctamente!  Tened en cuenta que el funcionamiento de la calculadora no se ve afectado, la aplicación funciona con total normalidad. Ahora revisemos los permisos de la aplicación…recordad que hemos establecido todos los permisos posibles para que meterpreter pueda realizar cualquier acción.
  • 34. ¿Algo sospechoso verdad? Que una aplicación de cálculos matemáticos necesite permisos sobre la cámara, contactos, localización… Por ello debemos jugar con la ingeniería social e infectar una aplicación legítima que solicite ciertos permisos por defecto que nuestro backdoor malicioso también utilice. Vemos que dice el antivirus local del dispositivo a cerca de esta aplicación, empecemos por Avast
  • 35. En nuestro Smartphone de pruebas, tenemos Avast instalado, uno de los motores de antivirus para Android mas extendido y utilizado. Vamos a comprobar si detecta, primero, nuestra app de la calculadora
  • 36. Vaya, pues ha detectado dos riesgos entre los cuales no se encuentra nuestra aplicación de la calculadora. Por lo tanto, todas las personas con Avast instalado podrían ser víctimas de este bicho que nos hemos fabricado. Nuestra sesión en metasploit sigue intacta también después del escaneo, todo perfecto. Probemos también con otro antivirus para Android muy utilizado, el AVG.
  • 37. Exactamente igual que Avast (incluso comparten interfaz gráfica en los resultados, curioso) Nuestra sesión de meterpreter sigue intacta.
  • 38. Llegados a este punto, probemos con nuestra otra app infectada, el Adobe Reader, que hemos creado con una técnica de Fat Rat. El proceso el exactamente el mismo que con la Calculadora, por lo que podemos resumirlo en una conexión meterpreter satisfactoria y un funcionamiento normal dentro del Smartphone. Por el contrario el método que hemos utilizado con TheFatRat no realiza una ofuscación tan buena como la realiza backdoor-apk. Además, el proceso “old” falla en muchas ocasiones y corrompe el APK la mayoría de veces, por lo que nos podemos decantar por backdoor-apk para la inyección de código malicioso, o por inyectarlo nosotros mismos manualmente 
  • 40. La sesión de Meterpreter nos brinda el acceso a utilidades muy interesantes, desde mandar sms, hacer capturas de la cámara, escuchar el micrófono, subirle archivos, descargárnoslos…
  • 41. PWNED! 😉¿Que cosas se os ocurren con una sesión de meterpreter sobre un terminal Android?
  • 43. SERVIDOR FTP Como posible alternativa, podemos tener en cuenta aplicaciones que podemos encontrar en Google Play, como la aplicación ser servidor FTP para poder acceder desde el exterior a los ficheros del teléfono. Teniendo en cuenta que tengamos acceso físico al teléfono, podemos ocultar estas aplicaciones dentro del menú de apps.
  • 44. Podemos conectarnos al teléfono sin problema desde un cliente FTP como FileZilla
  • 45. SERVIDOR SSH Como en el caso anterior podemos contar también con habilitar un acceso SSH al teléfono y conectarnos de manera remota. Al igual que con el FTP, tendremos que ocultar todo lo que podamos la app dentro del menú de aplicaciones
  • 46.
  • 47. TODO EN UNO - AIRDROID Por otra parte también disponemos de aplicaciones todo en uno como puede ser Airdroid. Esta app nos brinda acceso completo al teléfono desde un fantástico interfaz web desde el que podemos acceder a contactos, llamadas, multimedia, captura de pantalla…
  • 48.
  • 50. ANDRO-RAT Tenemos disponible también en troyano bastante conocido llamado AndroRAT, y podemos descargar su código fuente desde aquí: https://github.com/wszf/androrat Tanto el servidor y el cliente están desarrollados en Java y tenemos la oportunidad de personalizarlo, su interfaz nos puede recordar a las típicas interfaces de troyano para Windows como Bifrost o CyberGate.
  • 51.
  • 52.
  • 53. WACRYPT Herramienta de extracción de conversaciones de WhatsApp para su almacenado y análisis. Funcionamiento totalmente automatizado y simple para el usuario inexperto.
  • 54. Síguenos en nuestras redes sociales si te ha gustado el taller! Muchas gracias por asistir  @TSSentinel @mmorenodev thesecuritysentinel.es Momento de hablar y de exponer vuestras dudas e ideas!