Quantcast
Channel: eternal-todo.com aggregator
Viewing all 12054 articles
Browse latest View live

SANS Internet Storm Center, InfoCON: green: Configuring MTA-STS and TLS Reporting For Your Domain, (Sat, Apr 13th)

April 13, 2019, 11:11 am
$
0
0

Currently, the majority of HTTP traffic uses TLS (HTTPS) [1]. This is in part due to free and easy to manage certificates from Let's Encrypt, but also due to HTTP Strict Transport Security, an HTTP header that will tell browsers to only connect to your site via HTTPS [2].

For email, we typically use TLS to connect from our mail client to our mail server. But for email, the weak link is connections between mail servers as they forward email. Years ago, STARTTLS became a popular feature. It does allow servers to discover that the other server supports TLS, and upgrades can happen "on the fly". The system is very simple and efficient, but suffers a major shortcoming: The initial connection is in the clear without TLS, and an adversary may easily alter the content, removing the TLS header, so users will never know that their server sent the email in the clear [3].

More recently, two new standards emerged: MTA-STS (SMTP MTA Strict Transport Security) which can be used to advertise that your mail server supports STARTTLS [5], and SMTP TLS Reporting which allows other mail servers to send you reports about whether or not your mail server responded properly to TLS.

Implementing these standards for your domain is a bit tricky. In this post, I will talk about implementing MTA-STS and TLS Reporting for your domain. I will not talk about how to tell your mail server to verify MTA-STS as it sends email, or how to send TLS reports.

There are two parts to these standards: DNS TXT records that advertise that you are supporting them, and a policy file with details that is served via HTTPS.

Step 1:

First of all, make sure your systems are configured correctly and are using proper TLS certificates. In particular mail servers often use bad certificates as you can get away with it. But once you have MTA STS enabled, all these checks need to pass. As a quick check, I recommend hardenize.com (I found the cache doesn't always get cleared if you re-test, so you may wait a while or do some manual checks after the initial check with hardenize). Hardenize was created by Ivan Ristic who also created the famous ssllabs test. But unlike ssllabs, hardenize goes beyond just https and beyond just basic TLS issues.

After you pass all the tests, it is time to get started on MTA-STS

Step 2: 

Setup a virtual host at "mta-sts.example.com". The hostname has to be "mta-sts". You could add this host name to your existing web server, but it may be cleaner to set up a distinct server (virtual host) for this hostname. It has to support TLS, so make sure to setup TLS and probably a Let's Encrypt certificate with it.

Step 3:

Create the policy file. The policy file has to live in mta-sts.example.com/.well-known/mta-sts.txt . The file is a simple text file. For example:

version: STSv1
mode: testing
mx: isc.sans.edu
mx: mail.dshield.org
max_age: 600

The version should always be "STSv1". The mode can be "testing" (do not enforce the policy), "enforce" or "none". Starting with "testing" is recommended. Next, you list your mail servers. The max_age indicates how many seconds the policy is cashed. Start with something short like 10 minutes until you got it all right.

Test that the policy can be retrieved and it should be returned with a Content-Type of "text/plain".

Step 4:

Next, you need to add two DNS entries. One for MTA-STS and one for SMTP TLS Reporting:

_mta-sts.example.com TXT "v=STSv1; id=201904131609"

Again, the version is always STSv1. The ID can be any string. It is used to detect if the policy changed.

_smtp._tls.example.com TXT "v=TLSRPTv1; rua=mailto:postmaster@example.com"

The version is again fixed. the "rua" part indicates where to send the reports. you may list multiple email addresses separated by a comma. It is also possible to specify an http(s) URI to receive the reports. The reports are small JSON files like (thanks to "S J" for sharing this report received from Google):

{"organization-name":"Google Inc.","date-range":{"start-datetime":"2019-04-12T00:00:00Z","end-datetime":"2019-04-12T23:59:59Z"},"contact-info":"smtp-tls-reporting@google.com","report-id":"2019-04-12T00:00:00Z_domain.com","policies":[{"policy":{"policy-type":"no-policy-found"},"summary":{"total-successful-session-count":1}}]}

And that should be it. Let me know how it goes or add a comment with any additional tips you have. Check Hardenize.com after you are done to make sure all of this works nicely.

[1] https://letsencrypt.org/stats/
[2] https://tools.ietf.org/html/rfc6797
[3] https://www.eff.org/deeplinks/2014/11/starttls-downgrade-attacks
[4] https://tools.ietf.org/html/rfc8561
[5] https://tools.ietf.org/html/rfc8560

---
Johannes B. Ullrich, Ph.D. , Dean of Research, SANS Technology Institute
Twitter|

(c) SANS Internet Storm Center. https://isc.sans.edu Creative Commons Attribution-Noncommercial 3.0 United States License.
Search

BreakingPoint Labs Blog: Network Flow Monitoring: The ABCs of Network Visibility

April 13, 2019, 11:46 am
$
0
0
This is another in a series of blogs on the important concepts of network managment. Today's topic…

Un informático en el lado del mal: La presencia de “Chema Alonso” en redes sociales actualizada. (Me acabé Google Plus)

April 14, 2019, 4:24 am
$
0
0
Debido a unos incidentes serios de  seguridad en Google Plus - y al poco uso en el mundo de Internet - Google decidió cerrar su servicio Google Plus el pasado 2 de Abril, como estaba previsto desde hacía mucho tiempo. Google Plus se llevo por delante un servicio que muchos amábamos, como era el famoso Google Reader, pero al igual que le sucedió a Google Wave - el anticipado a Slack o Teams -, tuvo que irse. 

Figura 1: La presencia de “Chema Alonso” en redes sociales actualizada.
(Me acabé Google Plus)
Yo gestionaba los canales de Google Plus para El lado del Mal y el mío particular, y como un campeón estuve allí hasta el último momento. Hasta que el servicio se cerró, estuve publicando todo lo que salía por El lado del Mal, y en el mío personal lo que salía de nuestro trabajo en todo el resto de los medios.

Figura 2: Mi canal de Goole Plus antes de cerrar

Los que me conocen saben que soy un poco como Sheldon, no soy capaz de empezar algo sin dejarlo acabado - ya os contaré como hago los álbumes de cromos con Mi Hacker y Mi Survivor, que es para estudiar -, así que hasta el último día estuve publicando todo por ellos. Pero ahora hay que cambiar, así que os voy a dejar por aquí mi presencia en redes sociales e Internet, por si os interesa a alguno.


Este sitio va a seguir siendo mi principal refugio. Aquí sigo escribiendo, leyendo los comentarios - aunque no comento por falta de tiempo - y expresándome sobre los temas que considero que tengo que hacerlo. Publico los artículos de amigos, compañeros y colaboradores, pero sigo gestionando yo únicamente este sitio.

Figura 3: Feed RSS de El lado del mal en FeedBurner

Para seguir el blog, lo mejor es suscribirse al Canal RSS que tengo en Feedburner desde casi el principio utilizando el cliente RSS que más te guste. Una buena alternativa al extinto Google Reader es Feedly, así que que puedes probarlo si no tienes lector que utilizar. También te puedes suscribir vía e-mail para recibir en tu bandeja de entrada los posts todos los días.

Linkedin (ChemaAlonso)

Es donde mantengo mi perfil profesional. No lo cambio mucho porque tampoco es que cambie mucho mi vida profesional a nivel macro (aunque sea muy activa a nivel micro). Por aquí comparto también lo que comparto por Telegram o Twitter. Como sabéis, Linkedin tiene un límite de 30.000 contactos que yo hace mucho que alcancé, así que no puedo añadir mucha gente nueva.

Figura 4: Linkedin de Chema Alonso

De vez en cuando tengo algún hueco entre los 30.000 contactos que tengo y añado alguno de los que tengo en lista de peticiones. Me encantaría añadir a más gente, pero la lista de peticiones que tengo pendientes de atender es de casi cuatro mil. Eso sí, puedes seguir mis publicaciones y comentar en ellas. 

No soy muy fan de que me envíen correos electrónicos por Linkedin, ya que tenemos canales oficiales para ello en las webs corporativas, así que no suelo contestar mucho por los mensajes privados cuando tienen que ver con trabajo.

Twitter (@ChemaAlonso)

Mi cuenta de Twitter la sigo utilizando, aunque no para debatir ni comentar muchas cosas. Es un canal por el que saco los trabajos que hago yo y lo que sacamos desde Telefónica, ElevenPaths, LUCA, 0xWord, AURA, Movistar Home, Talentum o Blog Think Big. Es decir, es un canal para estar atento en Twitter a la parte más profesional nuestra.

Figura 5: Cuenta de Chema Alonso en Twitter

No suelo debatir y tengo una política que os conté en el artículo de "Colaboradores pasivos de abusones en redes sociales". La verdad, no soy muy fan de Twitter, así que hablo poco de Chema Alonso en primera persona.

Instagram (ChemaAlonso)

Es a la red social donde más tiempo invierto. Publico stories y feed de fotos con cosas totalmente distintas. Más personal público que profesional. Mantengo la misma política de comentarios que la de Twitter, que ya os he dicho que describí en "Colaboradores pasivos de abusones en redes sociales". Como he dicho, no pongo demasiado de trabajo, y sí mucho más social en vida pública.




A post shared by Chema Alonso (@chemaalonso) on

No contesto a los mensajes porque me llegan demasiados y físicamente no me da tiempo a responderlos. Entended, que muchas de las cosas que me preguntáis ya las he contestado por el blog o en vídeos durante muchos años, así que si veo alguna cosa puntual nueva o interesante, lo contestaré cuando tenga algo de tiempo.


Solo como recordatorio para los nuevos navegantes del mundo del Instagram. No hackeo el WhatsApp, el Instagram, el LOL, el Facebook, o el Fortnite a nadie. Eso lo hacen los cibercriminales y no los hackers. Lo más probable es que acabe publicando tu mensajes - suerte que no me da la vida para publicar todos -.

YouTube (Chemai64)

En el canal de Youtube publico todos los vídeos de las conferencias, entrevistas, productos y PoCs organizados por temas y años. Están las conferencias que he sido capaz de recuperar desde el año 2008 o así, más las charlas de ElevenPaths Talks o LUCA Talks, demos de los posts de "El lado del mal", etcétera.

Figura 8: Última entrevista publicada en el Canal Youtube

Tiene más de 230.000 suscritos y debe tener unos mil vídeos, para que hinches y aburras de ver conferencias, entrevistas, podcasts, demos, webinars, etcétera. Y seguiré subiendo todo el material que se va generando.

Telegram (ElLadoDelMal)

Desde hace unos cuatro años tengo abierto un Canal Telegram de El Lado del Mal donde no solo salen los posts de este blog, sino que también salen los de Seguridad Apple, los del Blog de ElevenPaths, LUCA, Blog Think Big y otros medios con temas que tienen que ver con seguridad y tecnología. Intento que sea más cercano al contenido de este blog, así que no sale todo lo que generamos. Si eres usuario de Telegram, es una buena forma de saber qué hacemos.

Figura 9: Canal Telegram de El lado del Mal

Mi cuenta de Telegram no tiene un uso personal, así que no la uso para prácticamente nada. No contesto ningún mensaje por Telegram, solo tengo conectado la publicación de contenidos al canal de ElLadoDelMal y listo.


No es una página personal. Hace mucho tiempo que deje de usar Facebook como canal de comunicación personal. Es un canal en el que saco los contenidos de mis blogs. Al igual, más o menos, que hago en Telegram o Twitter. Si eres un fan de Facebook, también puedes seguir lo que comparto por allí.

Figura 10: Cuenta de Chema Alonso en Facebook 

Periódico: (No Hack, No Fun)

Si eres un amante de la navegación web que disfruta como yo leyendo cada mañana las páginas principales de los periódicos de actualidad y de deportes que me gustan, entonces No Hack, No Fun es tu sitio. Cada sábado creo el periódico semanal, cada domingo saco el e-mailing (al que te puedes suscribir desde la web de No Hack, No Fun) con las noticias que he dado de alta desde el día anterior. Y día a día actualizo la lista de noticias - que solo puedes ver si vienes a visitar la web.

Como ya os he dicho, los viernes antes de que comience la nueva versión semanal tienes la lista de todas las noticias por secciones de lo que he publicado esa semana. Para que no te falte de nada.

Correo Electrónico y Web

Si tienes mi dirección de correo electrónico - alguna de ellas - y me envías un mensaje, probablemente se pierda en la maraña de correos que recibo diariamente. La forma de comunicarse conmigo - si es para un tema profesional - es a través de las  zonas de contacto en las webs de Telefónica, ElevenPaths, LUCA o 0xWord. Ellos me filtran los mensajes, pero si hay alguno importante me lo hacen llegar siempre. Como ya dije, hay unas pequeñas recomendaciones que os dejé para escribirme.

Otros canales

Si hay otros canales que dicen que soy yo, o este blog, o usuarios en sitios que dicen que soy yo, probablemente no sea yo. No soy de participar en nada más que esto. Sí que tengo mi canal en Whakoon donde gestiono mi lista de cómics (y los que me faltan), mi Canal de SlideShare donde publico documentos y presentaciones o Spotify, pero he visto gente que se ha hecho pasar por mí en páginas de Facebook, foros de hacking, etcétera. No soy yo. Si soy yo, aviso por aquí antes.

Saludos Malignos!

Sigue Un informático en el lado del mal - Google+RSS0xWord

SANS Internet Storm Center, InfoCON: green: ISC Stormcast For Monday, April 15th 2019 https://isc.sans.edu/podcastdetail.html?id=6454, (Mon, Apr 15th)

April 14, 2019, 9:35 pm
$
0
0
(c) SANS Internet Storm Center. https://isc.sans.edu Creative Commons Attribution-Noncommercial 3.0 United States License.

Un informático en el lado del mal: Jugando al Mario Kart con los coches Tesla. ¡Mamma Mia! (Parte 1 de 2)

April 14, 2019, 10:17 pm
$
0
0
Todos hemos jugado alguna vez al fantástico juego Mario Kart de Nintendo. En él, controlamos un vehículo utilizando un mando de juegos en una carrera dentro de un circuito el cual también encontramos repartidos diferentes objetos que nos permiten obtener ventajas (como, por ejemplo, más velocidad) algunos de ellos impresos en la misma carretera.

Figura 1: Jugando al Mario Kart con los coches Tesla.
¡Mamma Mia!(Parte 1 de 2)

Bueno pues parece que ahora controlar un vehículo Tesla con un mando de juegos al más estilo Mario Kart y además añadir marcas en la carretera para engañar al piloto automático (Autopilot) ya es posible, al menos es lo que cuenta este paper titulado "Experimental Security Research of Tesla Autopilot".

Figura 2: "Experimental Security Research of Tesla Autopilot"

Vamos analizar en detalle este interesante documento, mezcla de ingeniería inversa, exploits, vulnerabilidades y Machine Learning. Recuerda, si quieres conocer algunos conceptos y técnicas relacionados con la seguridad y Machine Learning, nada mejor que nuestro libro, "Machine Learning aplicado a la Ciberseguridad: Técnicas y ejemplos en la detección de amenazas"

Figura 3: "Machine Learning aplicado a Ciberseguridad" de 0xWord

Hacking de Autos

Ya hablamos en su día de diferentes formas de hackear autos. Nuestros compañeros hablaron de cómo hackear un BMW i8 - mira que es difícil de encontrar uno de estos, y les dio por este modelo concreto - utilizando un software inyectado para tomar control del CANBus, y hoy en día hemos hablado de herramientas como CANAlyzat0r para buscar vulnerabilidades en CAN Bus.


Figura 4: Hackeando CANBus en automóviles

Centrados en Autopilot, hablamos de cómo los vehículos autónomos podían ser hackeados utilizando falsas señales de tráfico que confundieran a gusto del atacante su sistema de Artificial Vision. Ahora un equipo de investigadores de la empresa china Tencent Keen Security Lab han contado en el paper que hemos mencionado antes, varios hacks un vehículo Tesla.

El primer hack explica cómo es posible engañar a las redes neuronales de los coches Tesla utilizando pegatinas en la carretera, muy similar a la técnica de las señales falsas. El segundo hack explica cómo han conseguido infiltrarse en el piloto automático (APE) donde además han llegado a controlar el ECU (Engine Control Unit), es decir, la unidad que controla el motor, lo que se traduce en llegar a tener acceso total de forma remota a los mandos de control del vehículo.

Antes de continuar, tenemos que destacar que estos problemas (los cuales algunos son de 2017 y 2018) ya han sido parcheados y solucionados por la empresa del gran Elon Musk (ahora es cuando se ha hecho público todo el resultado de la investigación, la cual antes fue reportada a Tesla para que solucionara). Es más, el mismísimo Elon ha felicitado a los investigadores en una actitud que no todas las empresas tienen hacia aquellos que encuentran vulnerabilidades en sus productos.

Figura 5: Tesla Model S

En principio, esta investigación sólo afectaba (al menos este ha sido el único modelo donde se ha realizado la investigación) al Tesla Model S 75, con un hardware de piloto automático versión 2.5 y una versión de software 2018.6.1.

Cambiando la trayectoria del Tesla usando pegatinas en el suelo

El sistema de reconocimiento visual de Tesla con el piloto automático funciona realmente bien en casi cualquier condición (aunque no está recomendado en casos intensos de nieve, lluvia, niebla, etcétera). Existen cientos de vídeos que lo demuestran, pero al ser un sistema de visión puro, la información recibida requiere ser analizada y procesada antes de pasar a las complejas redes neuronales del Tesla.

Es decir, la cámara (o mejor dicho, las cámaras) HDR de 12bits (posiblemente una RCCB) obtiene las imágenes en RAW, lo que significa no se procesa la información durante su captura. Por lo tanto, necesita de un pre-procesado antes de llegar a la red neuronal correspondiente. Esas imágenes se copian directamente en una memoria compartida desde una función llamada tesla:TslaOctopusDetector::unit_process_per_camera la cual se encarga de procesar cada imagen ajustando algunos parámetros como son el tono, nivel de detalle, etcétera.

Todas esas imágenes ya procesadas se asignan su red neuronal correspondiente las cuales se encargarán de diversas funciones, como por ejemplo controlar el coche, analizar objetos, las líneas en la carretera, crear mapas de los alrededores, etcétera. Los investigadores se centraron las DNN (Deep Neural Networks) que se encargan del reconocimiento de las líneas de la carretera y el algoritmo que mantiene el vehículo siguiendo dichas líneas (Autosteer).

Figura 6: Esquema de las conexiones entre el APE (Tesla Autopilot)
y el resto de componentes del vehículo tal y como aparece en el paper.

Para esta función de reconocimiento de líneas y Autosteering, Tesla utiliza una sola gran red neuronal con varias salidas diferentes, en vez de usar una específica para cada acción concreta. La detección de las líneas de la carretera es una de estas acciones que utilizan una gran única red neuronal con múltiples salidas.

Una vez la imagen se ha procesado, se introduce en dicha red neuronal y una vez obtenido el output (salida), esta se envía a una función llamada detect_and_track la cual llamará a diferentes kernels CUDA para realizar diferentes funciones como comprobar los bordes de la línea para ver si están borrosos, añadir máscaras a los bordes de las líneas, ajustar las líneas a una rejilla virtual (generada a partir de la red neuronal que se encarga de mapear el entorno en un mapa virtual), añadir puntos de control en las líneas, etcétera. El siguiente cuadro resume todo el proceso de reconocimiento:

Figura 7: Ejemplo del procedimiento de reconocimiento de imagen,
en este caso de una línea en la calzada.

Antes de poder aplicar cualquier tipo de ataque basado en las imágenes recibidas, es necesario probar el rendimiento y estudiar el funcionamiento de los algoritmos en un entorno digital (antes de pasar al mundo real). Para ello utilizaron algoritmos “adversarios”, una técnica de Machine Learning cuyo objetivo principal es engañar un modelo concreto y su salida correspondiente a través de cambios y manipulaciones en la entrada de la información.

Figura 8: Paper que explica los ataques de Zeroth Order Optimization

Comenzaron con el sistema que detecta la lluvia (el cual utiliza una cámara en vez de un sensor) inyectando diferentes modelos de “ruido” y en concreto un tipo de ataque llamado “Zeroth Order Optimization” (ZOO) o también usando ataques de sustitución. Ambos algoritmos tienen que común que modifican la estimación del gradiente, dicho simplificando mucho el término, es algo parecido modificar el vector el cual ofrece la dirección que ofrece la solución óptima.

Figura 9: En este paper se explican los ataques de sustitución

Estos dos métodos tienen el problema de necesitar grandes cálculos lo que finalmente lleva a una tarea computacional demasiado compleja, casi imposible de implementar con resultados satisfactorios. Finalmente optaron por otro método de ejemplo de ataque adversario utilizando DNN con el algoritmo PSO (Particle Swarm Optimization). Este tipo de ataque se basa en generar un enjambre (swarm) de ruido e inyectarlo dentro de las imágenes obtenidas.

Utilizando esta técnica repetidamente contra las diferentes redes neuronales, es posible ir ajustando la puntuación obtenida en la salida de cada una de ellas hasta conseguir el resultado deseado. Además con la ventaja añadida de que dicha distorsión sólo puede ser detectada por una red neuronal y no por el ojo humano.
Figura 10: Ejemplo de inyección adversaria donde confunde a la IA al
Panda con una Llama sin que los cambios sean detectados por el ojo humano.

Por lo tanto, el objetivo final de la investigación es llevar este ataque en el mundo digital con resultado satisfactoria al mundo físico. En el caso de los parabrisas, lo consiguieron simplemente colocando una televisión justo en frente de la cámara que detecta la lluvia en el cristal e ir proyectando diferentes imágenes PSO (este ataque es poco factible implementarlo en el mundo físico en un escenario real).

En pocos intentos consiguieron engañar la red neuronal. En el caso de la detección de la línea, hay que usar un enfoque diferente. De hecho, realizaron dos tipos de ataques distintos que veremos en la siguiente parte.

Autor: Fran Ramírez, (@cyberhadesblog) es investigador de seguridad y miembro del equipo de Ideas Locas en CDO en Telefónica, co-autor del libro "Microhistorias: Anécdotas y Curiosidades de la historia de la informática (y los hackers)", del libro "Docker: SecDevOps" y del blog Cyberhades.

Sigue Un informático en el lado del mal - Google+RSS0xWord

Wired: Security: Microsoft Email Hack Shows the Lurking Danger of Customer Support

April 15, 2019, 2:33 pm
$
0
0
Hackers spent months with full access to Outlook, Hotmail, and MSN email accounts—and got in through Microsoft's customer support platform.

BreakingPoint Labs Blog: Key Findings of the Ixia Security Report

April 15, 2019, 2:46 pm
$
0
0
Ixia just released its third annual security study—the Ixia 2019 Security Report. This report…

BreakingPoint Labs Blog: Mirai is still alive and using multiple old exploits on home routers

April 15, 2019, 2:46 pm
$
0
0
Ixia’s Application Threat Intelligence (ATI) security researchers continue to hunt for the latest…
Search

SANS Internet Storm Center, InfoCON: green: Odd DNS Requests that are Normal, (Tue, Apr 16th)

April 15, 2019, 9:05 pm
$
0
0

If you ever heard me talk about DNS, you will know that I am a big fan of monitoring DNS queries, and I think DNS query logs are the best "band for the buck" log source to detect anomalous behavior. Everything that happens on your network, good or bad, tends to be reflected in DNS.

But there are a couple common "odd" DNS request types that are often mistaken for malicious, or unusual but are actually quite normal. Here are my favorite once:

- Anti Malware Checks:

I got an example from Sophos Anti Virus here, but other vendors use a similar technique:

0.0.3.0.0.0.0.0.0.2.0.0.0.0.1.01.00.sfi_unknown.f.01.mac.sophosxl.net
0.0.0.2.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.sfi_unknown.b.f.01.mac.sophosxl.net
3.1o19sr00s2s17s4qp3759pn9ro30n2n4n941on29s3s35qppp742380s6487np3.poqp0r741pn37393648s20n65203rn4o44387s5831o276q6s5rqsr16n809qp4.86752ss34q9sns005o.35n2s0s521p9rn7o75q0r479rpqq7o0oq6r6o20p.i.01.mac.sophosxl.net
3.1o18sr00s2s17s4qp3759pn9ro30n2n4n941on29s3s35qppp742380s6487np3.poqp0r741pn37393648s2779qp6or2108n4o66o276n931p8287709r73q098rp.86752ss34q9sns005o3pp76q83qr6344r79q7rpns9.485n1675n4750q4n.i.01.mac.sophosxl.net
0.0.3.0.0.0.0.0.0.2.0.0.0.0.1.01.00.sfi_unknown.f.01.mac.sophosxl.net
0.0.0.2.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.sfi_unknown.b.f.01.mac.sophosxl.net
3.1o19sr00s2s17s4qp3759pn9ro30n2n4n941on29s3s35qppp742380s6487np3.poqp0r741pn37393648s20n65203rn4o44387s5831o276q6s5rqsr16n809qp4.86752ss34q9sns005o.35n2s0s521p9rn7o75q0r479rpqq7o0oq6r6o20p.i.01.mac.sophosxl.net
3.1o18sr00s2s17s4qp3759pn9ro30n2n4n941on29s3s35qppp742380s6487np3.poqp0r741pn37393648s2779qp6or2108n4o66o276n931p8287709r73q098rp.86752ss34q9sns005o3pp76q83qr6344r79q7rpns9.485n1675n4750q4n.i.01.mac.sophosxl.net

At first sight, you may mistake these requests for typical DNS covert channels. But they are actually associated with Sophos Antivirus. The reason for these queries is that Anti-Malware uses DNS to check if certain files are malicious. The software will send a hash of the file to the vendor and receive back an indication if the file is malicious or not. This will also allow the vendor to compile statistics on the popularity of certain software which will then often be used to compile risk scores (sorry... feed a machine learning AI engine that will protect you from 0-day attacks... or something like this if you read the vendor ads for various products like this). In some ways, this is an exfiltration activity. Just not malicious.

- Mail Servers

We all know that clients usually try to resolve A or AAAA records. But let's take a look at the snapshot below of the records types from a quick query log sample (collected via bro in this case):

The high percentage of PTR records may appear odd. In this case, however, the network includes a busy mail server. Mail servers, for anti-spam filtering, often resolve IP addresses to match forward and reverse resolution.

- Other .arpa hostnames

Talking about PTR records. Pretty much everybody reading this, probably knows about in-addr.arpa and ipv6.arpa and how it is used for reverse resolution. But these are not the only ".arpa" records you see. One record I see more and more is ipv4only.arpa. This record is used to detect if the host is on an IPv6 only network, and DNS64 is used to map IPv4 addresses to IPv6. This record should resolve to 192.0.0.170/171. Only the A record exists. For a AAAA query, you will not get an answer unless your name servers (do to DNS64), is making one up. There are actually a few more .arpa hostnames but this is the one I usually see quite frequently.

- develooper.com

When I saw this first, it looked like a typosquatting domain to me. But the company behind this domain is an active contributor to a number of open source projects, and in my case, it was their contribution of resources to perl.org that triggered the DNS requests.

Any odd DNS requests that you ran down to only find them to be harmless?

 

 


 

---
Johannes B. Ullrich, Ph.D. , Dean of Research, SANS Technology Institute
Twitter|

(c) SANS Internet Storm Center. https://isc.sans.edu Creative Commons Attribution-Noncommercial 3.0 United States License.

SANS Internet Storm Center, InfoCON: green: ISC Stormcast For Tuesday, April 16th 2019 https://isc.sans.edu/podcastdetail.html?id=6456, (Tue, Apr 16th)

April 15, 2019, 9:40 pm
$
0
0
(c) SANS Internet Storm Center. https://isc.sans.edu Creative Commons Attribution-Noncommercial 3.0 United States License.

Un informático en el lado del mal: Jugando al Mario Kart con los coches Tesla. ¡Mamma Mia! (Parte 2 de 2)

April 15, 2019, 10:15 pm
$
0
0
Como vimos en la primera parte de este artículo, hasta el momento hemos descrito varios ataques con éxito, pero ahora hay que ver como se podía conseguir atacar a la red neuronal para manipular el sistema de visión artificial del sistema Autopilot de Tesla que detecta la línea de tráfico.

Figura 11: Jugando al Mario Kart con los coches Tesla.
¡Mamma Mia! (Parte 2 de 2)

Para ello, como hemos dicho al final del primer artículo, se utilizaron dos tipos de ataques distintos al sistema de detección de carril en el Autopilot de Tesla que vamos a ver a continuación.

Ataques a la detección de carril en Tesla Autopilor

El primero de ellos llamado Eliminate Lane Attack (Ataque de Eliminación de Carril) tiene como objetivo que el reconocimiento de carril se desactive utilizando algún tipo de marca en el mundo físico. Los ataques que se generaron en el mundo digital se basaban en la distorsión de los pixeles, algo que es complicado de realizar en el mundo físico sin tener realmente comprometido todo el sistema de control de Tesla.

La aproximación principal para lograrlo se basaba en una premisa: la mayoría de la información recogida por la cámara no es útil para el reconocimiento del carril. Es decir, el proceso de la red neuronal que detecta la línea se centra exclusivamente en el carril y una porción del área que le rodea.


Figura 12: Enseña a tu AI a jugar con OpenAI y Deep Learning

La reducción de la complejidad de la imagen es una técnica habitual en el proceso de imágenes utilizando Machine Learning, mi colega Enrique Blanco Henríquez y yo la utilizamos en su día en el blog de LUCA para enseñar a una IA a jugar a Breakout.

Figura 13: La imagen de la izquierda muestra cómo se añadieron algunos
parches en la línea izquierda de la calzada y en la parte derecha se muestra
cómo el vehículo no detectó el retro de la línea.

Así que, y ahora viene la magia, después de varios experimentos se dieron cuenta que agregando recuadros de pixeles de diferentes tamaños en ciertos puntos de dicha imagen del carril y además alterando los bordes de las líneas es posible desactivar el APE (recordemos que es el Tesla Autopilot). De todas formas, este ataque demostró que el sistema APE es bastante robusto y, además, los cambios que hay que realizar en la calzada son demasiado llamativos, por lo que tanto el conductor como el APE podrían detectarlos fácilmente.

El segundo ataque se llamó Fake Lane Attack o Ataque de la Carril Falso y éste tuvo más éxito. Esta vez el objetivo no era desactivar el piloto automático, sino llevar el vehículo hasta donde queramos, como, por ejemplo, cambiar de carril utilizando marcas simples en la calzada. En el modelo digital se dieron cuenta previamente que añadiendo pequeños pixeles uno detrás de otro separados por una cierta distancia en forma lineal, el sistema de visión los detectaba como una línea de carril (ver Figura 14).

Figura 14: Colocando marcas blancas en la calzada se aprecia en la imagen
de la derecha como el vehículo detecta una línea completa donde no existe.

Este modelo digital de ataque adversario es más sencillo de implementar en el mundo real ya que sólo necesitaron colocar pequeñas pegatinas blancas de la misma forma de distribución que en el modelo digital. De esta forma consiguieron que el vehículo siguiera la trayectoria que ellos marcaron en el suelo.

Controlando el Tesla con un mando de videojuegos

Este ataque es más un problema de seguridad de acceso y explotación de vulnerabilidades a los sistemas de los vehículos Tesla. El equipo encontró que después de conseguir acceso root a la ECU (Engine Control Unit) era posible controlar el coche con un mando de juegos Bluetooth. Pero ¿cómo lo consiguieron?

Pues como muchos otros tipos de ataques, haciendo que el navegador principal del Tesla (basado en WebKit) abriera una página maliciosa. Para entender el ataque primero tenemos que ver cómo funciona y como está interconectada la CAN (Controller Area Network) bus del sistema APE, tal y como hemos explicado que hacían otros ataques en la primera parte de este artículo.

Figura 15: Esquema del sistema CAN bus de Tesla.

El sistema APE tiene dos buses principales: CAN1, el cual interconecta los radares del vehículo y CAN0, el cual junto a LB, un dispositivo que actúa a modo de gateway o pasarela de red, el cual soporta protocolos Ethernet y CAN, actúa como sistema de seguridad redundante principalmente.

También existe un bus lógico llamado APE2LB_CAN que interconecta APE con LB, el cual sirve para interconectar APE con dos canales interesantes, PT (PowerTrain) y CH (Chasis). Este último, CH, es la clave de todo el sistema, ya que desde este bus es posible controlar la dirección del vehículo. Pero observando el esquema, es obvio que antes de acceder a él hay romper algunas barreras del mecanismo de seguridad.

Para ello se centraron en un servicio llamado cantx el cual recibe señales intermedias desde el sistema de visión artificial que después las transforma en señales de control del vehículo. En canal de recepción de estos mensajes es el bus lógico APE2LB_CAN y luego son enviados directamente a los buses antes mencionados, PT y CH, siempre a través de la unidad LB (utilizando el protocolo UDP). Aquí es donde entra DSCM o DasSteeringControlMessage, mensaje encargado de controlar el sistema de dirección del vehículo. Este es su formato:

Figura 16: Definición de la estructura DSCM.

El ángulo de giro se define con 2 bytes en angle, counter es un contador de 6 bits que se incrementa cada vez que entra un mensaje, control_type (2 bits) indica el tipo de mensaje enviado por el CAN y finalmente checksum (1 byte) que se autodefine por si mismo. Ahora que ya conocemos un poco más cómo funciona el sistema CAN bus de APE, vamos a ver cómo consiguieron el control de la dirección del vehículo.

Control de dirección de Tesla

Para lograr controlar la dirección de los autos Tesla, inyectar directamente mensajes maliciosos tipo DSCM desde el APE al LB no funciona, ya que DSCM está protegido con una marca temporal o timestamp, el contador y un sistema de redundancia CAN llamado PARTY CAN-bus. Finalmente, el método que funcionaría sería inyectar de forma dinámica código malicioso en el servicio cantx y engancharlo con una función llamada:
DasSteeringControlMessageEmitter::finalize_message()
la cual permitiría rehusar el timestamp y el valor del contador. De todas formas, la clave final se encuentra en el valor del control_type del DSCM. Si se asigna el valor 0x01 y el APE2LB_CAN también se pone a 0x01 indicará que el destino final será el bus CH.

Figura 17: Esquema completo de la implementación final del ataque.

Finalmente utilizaron un mando de juegos conectado a un teléfono móvil, el cual se encargaba a su vez de recibir la señal para luego convertirlas, utilizando el procedimiento que se ha descrito anteriormente, a señales DSCM maliciosas a través de WiFi o 3G. De esta forma es posible controlar la dirección del coche con un simple mando de consola, igual que Mario Kart ;)

¿Qué futuro nos espera respecto a la seguridad de los vehículos autónomos?

Este paper es un gran trabajo que mezcla seguridad informática y técnicas de Machine Learning utilizando DNN, no podemos pedir más. Recomendamos su lectura en profundidad para aprender cómo realizar una ingeniería inversa completa a un vehículo Tesla, tanto de su parte de control como de su cerebro artificial. Tenemos que recordar de nuevo que Tesla corrigió estas vulnerabilidades en dos parches de seguridad que sacaron en 2017 y 2018, sobre todo el que permitía el control remoto del vehículo. El resumen lo tienes en este vídeo que publicaron en Youtube.


Figura 18: Vídeo del trabajo de Tencet Security Research sobre Tesla Autopilot

El otro ataque de las pegatinas en el asfalto no queda del todo claro si fue resuelto ya que Tesla lo tacha de ataque “no realista”. Y en parte tienen razón, ya que el piloto automático se puede desconectar en cualquier momento y fundamentan que el conductor puede tomar el control del vehículo simplemente pisando el freno o agarrando el volante en cuanto detecte la situación de riesgo.

O sea, que parece que funciona, lo que no queda claro es qué pasará cuando no haya conductores humanos en frente del volante para reaccionar a tiempo y seamos simples pasajeros …


Una cosa es segura, Kevin Mitnick y Chema Alonso se lo pensarán dos veces antes de activar el Autopilot de Tesla la próxima vez que se encuentren en EEUU ;)

Autor: Fran Ramírez, (@cyberhadesblog) es investigador de seguridad y miembro del equipo de Ideas Locas en CDO en Telefónica, co-autor del libro "Microhistorias: Anécdotas y Curiosidades de la historia de la informática (y los hackers)", del libro "Docker: SecDevOps" y del blog Cyberhades.

Sigue Un informático en el lado del mal - Google+RSS0xWord

AlienVault Blogs: Security is Simple as 1, 2, 3

April 16, 2019, 6:00 am
$
0
0

Keeping an organization’s IT assets secure in this day and age is a challenge.  The sands of the information security landscape are constantly shifting, and it can be difficult for practitioners to find solid footing; to identify those initiatives that will net the greatest return on security spend.  Each day seems to bring another emerging concern in the threat landscape.  The organization itself often seems to work against us, wanting to expand our already too-broad attack surface by embracing new technologies, connecting with partners, or acquiring other businesses entirely. 

In such a climate it can be easy to allow our attention to be drawn to the expanding edge or our environment and the newest threats to be found there.  Advanced Persistent Threats (APT), supply chain risks, and cloud/container platform issues, to name a few, are more recent additions to our list of concerns.  And let’s be honest, as technologists we are drawn to the new, the novel, the esoteric – because it is interesting.  While there are real risks to be addressed here, they may not represent the greatest area of exposure for your users and information assets or the best ROI. 

Over the past four years of performing research for monthly threat briefings there are three themes that constantly arise which, if mastered, can greatly reduce the information security risk to the enterprise.  These are:

  1. Keep systems and software components up to date.  This includes regular patching as well as upgrading platforms when they are no longer supported.  Two key components of a success patching program are making sure that all devices in the environment are (1) identified and (2) under management.
  2. Enforce the principle of least privilege.  User accounts, applications, service accounts and network resource permissions must all be taken into account and kept up to date.  The use of segmentation and micro-segmentation strategies are an excellent additional layer of control to apply. 
  3. Constantly train users on security culture and safe computing practices.  User training and awareness cannot be limited to phishing emails or social engineering alone.  Topics should include physical security related issues (locking doors, desks, and cabinets), challenging strangers for credentials when appropriate, responsible data distribution practices and how to report suspected oversights.  Ultimately this must be a paradigm shift; an exercise in building an organizational culture that emphasizes security and the priority of reporting suspected indicators of incidents in a consequence-free climate.

Often, the root cause of a security incident can be traced back to failures associated with one or more of these three points rather than some fringe security exposure.  Environments are dynamic, and it is unlikely we can ever be certain that we have 100% coverage for any security practice or solution we put in place; especially over time.   As a result, when asked by customers what they should be focusing on, I always recommend they consider these practices critical, foundational elements of their security program and work to validate and improve upon the effectiveness of these capabilities on an ongoing basis.   

The truth is that such core security practices not particularly interesting and focusing on the fringe of the threat landscape is far more appealing.  The idea that we are on the front lines, in a fight against cybercrime syndicates and cabals of foreign intelligence agents, can add a certain mystique to the information security role.  As though we are a combination of Elliot Ness and James Bond ready to win the day. 

The trick is not to under-invest resources in those often-mundane components of the security program while we look to the horizon.  Perhaps a better role model for the information security function is Wall-E; the trash-compacting protagonist who spends his days cleaning up the mess and trying to put things in order despite the overwhelming scope of the problem.   While not as dashing a self-portrait, Wall-E accomplished something that James Bond never did: he introduced new concepts to people, driving awareness, which ultimately invoked a widespread and long-term cultural change for the better.  And that is a pretty good day’s work.

SANS Internet Storm Center, InfoCON: green: A few Ghidra tips for IDA users, part 2 - strings and parameters, (Wed, Apr 17th)

April 16, 2019, 5:09 pm
$
0
0

Continuing with my preliminary exploration of Ghidra. If we continue with the call to RegOpenKeyExA from last time (yes, I know this code is unreachable as we discussed last time, but let's keep going anyway).

If we look back up at the first parameter, we see 0x80000001. Off the top of my head, I don't remember which key that is (well, actually, I've been doing this long enough that I do, but let's pretend that I don't). In IDA, I'd right-click on that hex value and choose 'Use standard symbolic constant' to replace that with the constant definition from one of the Windows header files that defines those. It turns out, Ghidra lets us do this, too. In Ghidra, right click and choose 'Set Equate' and it pops up a dialog box similar to IDA's from which you can choose the proper constant to use in place of the hex value.

Just like in IDA, if you know the constants for registry keys start with 'HKEY_' (or you looked it up on MSDN, now known as, docs.microsoft.com) you could start typing that and it would narrow down the choices. In this case, it is easily visible. So, double-click on 'HKEY_CURRENT_USER' or click and choose OK and the constant is replaced. Notice that you have the option here to just do the substitution for this one instance or across the entire program. I'm going to leave this at the default, but there may be times when you want to replace the hex value with the symbolic constant everywhere (nearly every time I teach FOR610 a student will ask me if IDA has that capability and, if it does, I'm not aware of it).

Looking above that at the second parameter, I usually want to know which particular subkey is being opened. In IDA, I just hover over the label for the string and it shows me the entire string. In Ghidra, if I hover over it, it shows me part of the string, but not the whole thing. Hmm... That is a bit of a problem. If I double-click on the label, both IDA and Ghidra take me to the place in memory where the string is located, but again, Ghidra doesn't show me the entire string. In the hex column it only shows me the first 9 bytes in hex and then gives me the ellipsis, but in the string part, it still doesn't show the whole thing. It shows the first 40-something characters and then the ellipsis.

In hunting around, I was not able to find a setting to increase that, though I'm sure there must be a way somewhere. If not in a setting, then in the code itself (which is now available on github). You can see the entire string though, if you go through the Search menu (choosing 'For Strings...' option). In this case, since I could see the CurrentVersion substring, I just searched for that and found the following.

In the end, though, I realized I didn't need to go to that much effort, there was a much easier way to see the string. Just go back to the decompiler window. As I mentioned in the previous diary, one way that the decompiler makes our lives as malware analysts much easier is it saves us the effort of having to try to match up the PUSHes or MOVes to figure out which parameter is which. This is especially true when you get into 64-bit malware on Windows which uses a lot more fastcall and the MOVes into registers may not appear in the order you expect. So, when I glance over into the decompiler window, I see this.

Very nice, it has my symbolic constant, it shows the entire string. That's just about everything I think I need to know about that API call.

I think that's enough for this diary, I have at least one more to come (probably next week). Again, as I mentioned in the first 2 entries in this series, this is all just from a very brief time playing with Ghidra. I haven't had a lot of time to dig deep yet, but so far, I'm liking what I'm finding. If you have any thoughts, comments, corrections, or tips of your own, please e-mail me or use the comments below.

---------------
Jim Clausing, GIAC GSE #26
jclausing --at-- isc [dot] sans (dot) edu

(c) SANS Internet Storm Center. https://isc.sans.edu Creative Commons Attribution-Noncommercial 3.0 United States License.

SANS Internet Storm Center, InfoCON: green: ISC Stormcast For Wednesday, April 17th 2019 https://isc.sans.edu/podcastdetail.html?id=6458, (Wed, Apr 17th)

April 16, 2019, 8:20 pm
$
0
0
(c) SANS Internet Storm Center. https://isc.sans.edu Creative Commons Attribution-Noncommercial 3.0 United States License.

Un informático en el lado del mal: ¿Cuándo me convertí en una "celebritie"? Ojo, ¡tú también lo serás! #AI #ArtificialVision

April 16, 2019, 10:15 pm
$
0
0
Hoy os quiero dejar este post un tanto curioso a razón de algo que yo había contado hace años en varias entrevistas sobre la pérdida de la privacidad. Esto fue un debate cuando en la red social Facebook se empezó a meter reconocimiento facial automático de las personas que aparecen en las fotografías que se suben.  Crear un sistema de Inteligencia Artificial capaz de reconocer a la gente es algo bastante fácil cuando eres la plataforma que tiene todas las fotografías que la gente voluntariamente te ha estado subiendo, además de entrenarte durante años con el etiquetado de quién es quién.

Figura 1: ¿Cuándo me convertí en una "celebritie"? Ojo, ¡tú también lo serás!

En aquellos años, calculo que sería el año 2009 o 2010, la preocupación era sobre qué pasaría si alguien fuera capaz de procesar todas las fotografías y buscar la gente que aparecía en el fondo de las mismas. No el primer plano, sino en cualquier punto de la fotografía.

APIs de Visión Artificial para reconocer "Celebrities"

Hoy en día, cuando todo el mundo tiene un smartphone con una cámara súper potente en las manos, es todavía peor. La imagen cuando estás en la calle puede acabar en cualquier teléfono y ser subido a cualquier servicio en la red y sin que lo sepas analizadas todas las caras que salen en la foto - sabiéndolo o sin saberlo - para hacer un seguimiento de dónde ha estado cada persona en cada momento. Y esto ya existe hoy en día, pero solo para las "celebrities".
Viendo las filtraciones de los documentos que hizo Edward Snowden, no me extrañaría para nada que no se estuviera haciendo ya en la NSA, y después de ver los sistemas de vigilancia que se quieren poner en espacios públicos, esto es algo a lo que deberíamos empezar a acostumbrarnos. Y sin hablar del enriquecimiento de los metadatos que ayuden a saber dónde se tiró la foto y a qué hora.

Probando APIS de Visión Artificial

En el caso de gente que tiene una vida pública - además de una vida privada - esto es todavía más divertido, puesto que el sistema está más que bien entrenado para que una persona pueda ser reconocida sin mucho margen de error. Y esto es lo que más me ha llamado la atención.

Figura 3: José Parada, Chema Alonso (sin gorro) y Luciano Bello [Año 2008] en DefCON 16

Hoy en día los sistemas de visión artificial están más que desarrollados, y podéis probar el API de Google Cloud Vision para ver cómo reconoce las caras y los gestos. Yo he subido esta foto de mi primera conferencia en DefCON 16  (año 2008) donde en la sala de speakers nos tiramos una foto José Parada, Luciano Bello y yo (sin gorro). Como podéis ver, en esa foto, Google es capaz de reconocer los gestos y expresiones de cada uno de nosotros.

Figura 4: API de Google reconociendo caras y expresiones

Pero no tiene por qué quedarse solo en eso, como os he contado con el caso que os he contado al principio del que hablaba en el año 2009 o 2010, ya hay servicios como Azure Artificial Vision que es capaz de reconocer a "Celebrities" y "Landmarks" con solo subir una foto, y en esa misma foto dice que estoy yo, ya que me reconoce como una "celebritie".

Figura 5: Artificial Vision en Azure para reconocer celebrities y landmarks

En aquel entonces yo estaba lejos de ser una "celebritie". Era mi primera DefCON, estaba empezando a salir de España para dar conferencias, y aún me quedaba mucho camino por andar por delante en mi vida, pero claro, tirando hacia atrás es fácil para el sistema - una vez entrenado con datos de hoy - y reconocerme de mucho más joven.

Figura 6: Me reconoce de una foto del 2008 con un 99,78 % de confianza

En esta otra foto, en la que estoy con el actor Paco Prieto y con Paco Lobatón, del año 2009 o así, de nuevo el sistema es capa de reconocerme, aunque sorprende que no reconozca al bueno de Paco Lobatón - aunque es verdad que su programa a lo mejor tuvo mucho impacto solo en España -. 

Figura 7: El sistema reconoce a Paco Prieto y a Chema Alonso (con un 99,43 % de confianza)

Aún así, he seleccionado una foto de hace 10 años en la que salgo medio-regular, sin afeitar y con poca calidad la foto, y salgo como "Persona" y no es capaz de identificarme. Pero estoy seguro que solo hay que darle tiempo.

Figura 8: Chema Alonso no reconocido. ¿Poca calidad? ¿Barba?

De hecho, la primera prueba que tuve de esto fue con la foto de Chuck Norris, donde el sistema era capaz de reconocerme a mí, pero no al bueno de Chuck - os juro que no era un muñeco de cera como habéis dicho algunos -.


Pensé que era fácil, ya que tenía mi gorro de rayas azules y marrones que uso tantas veces, así que probé la foto en la que Kevin Mitnick se lo puso, y yo me puse sus gafas. A ver si el sistema se confundía con un disfraz tan sencillo como ese. Pero no, no se confundió y nos reconoció a los dos perfectamente.


El asunto es que esto va a continuar. Y la cantidad de dispositivos que van a poder hacer fotos de gran calidad desde distancias imposibles, se va a poder vigilar a todo el mundo - y saber quién es quién - de manera muy sencilla. Así que, no te preocupes, a pesar de que ahora no seas una celebritie y te quedes en "person" ya avanzará esto para que cualquier persona que tenga una foto en la red pueda ser reconocida.

Figura 11: El sistema reconoce con un 85,87 a Chema Alonso

He buscado una de las primeras fotos que hay mías del año 2007 en la red, que me hicieron para una entrevista en mi primera visita a Argentina, y me reconoce igualmente. Dale tiempo a que se haga con todo el mundo esto. ¿Debemos?

Figura 12: Proyecto Face Recognition en GitHub

Por si quieres jugar con estas cosas, tienes este proyecto de Face Recognition que tienes en GitHub escrito en Python que usaron nuestros compañeros en el último Equinox para uno de los proyectos finalistas de OSINT. Esta librería permite buscar caras contenidas en una fotografía a partir de otra imagen con una cara. Es decir, se le pueden pasar fotos públicas y buscar personas en ellas si se tiene una captura de su rostro en otra foto.

Saludos Malignos!

Sigue Un informático en el lado del mal - Google+RSS0xWord
Search

Cisco Talos: Beers with Talos Ep. #51: Sea Turtles yeeting packets

April 17, 2019, 1:44 pm
$
0
0


Beers with Talos (BWT) Podcast Ep. No. 51 is now available. Download this episode and subscribe to Beers with Talos:

If iTunes and Google Play aren't your thing, click here.

Recorded April 12, 2019 — Today, we rip through a few other things to spend most of our time discussing Sea Turtle, the latest DNS hijacking campaign discovered by Talos. Also, Joel causes the biggest blockchain outburst in some time. Special thanks for today’s podcast goes to Danny Adamitis, the main Talos researcher on the Sea Turtle campaign. Danny was going to be with us today, but experienced some technical issues that prevented that from happening. RIP Danny’s mic: 4-12-19.

The timeline:

  • 00:35 — Roundtable: Let’s play guess why Mitch(ell) was in the ER and what Nigel scrapes off Craigslist
  • 14:10 — Banking trojans: It’s Gustuff, man.
  • 16:50 — Sextorition scam update: Cash cow or grinders game?
  • 19:00 — DNS Attacks: A primer to Sea Turtle
  • 22:00 — Sea Turtle: Abusing the fundamental trust at the core of the internet
  • 53:00 — Parting shots and closing thoughts

Some other links:

==========

Featuring: Craig Williams (@Security_Craig), Joel Esler (@JoelEsler), Matt Olney (@kpyke) and Nigel Houghton (@EnglishLFC).

Hosted by Mitch Neff (@MitchNeff).

Subscribe via iTunes (and leave a review!)


Subscribe to the Threat Source newsletter


Give us your feedback and suggestions for topics: beerswithtalos@cisco.com

SANS Internet Storm Center, InfoCON: green: ISC Stormcast For Thursday, April 18th 2019 https://isc.sans.edu/podcastdetail.html?id=6460, (Thu, Apr 18th)

April 17, 2019, 8:05 pm
$
0
0
(c) SANS Internet Storm Center. https://isc.sans.edu Creative Commons Attribution-Noncommercial 3.0 United States License.

Un informático en el lado del mal: Hacking Windows 10: Escalada de privilegios con CVE-2019-0841

April 17, 2019, 10:22 pm
$
0
0
Recientemente se ha liberado una PoC(Prueba de concepto)que implementa la escalada de privilegio descrita en el expediente CVE-2019-0841. Esta escalada de privilegio permite que un usuario pueda ejecutar código arbitrario, por ejemplo, a través de DLL Hijacking y ejecutar en el nivel de integridad de SYSTEM.

Figura 1: Hacking Windows 10: Escalada de privilegios con CVE-2019-0841

La vulnerabilidad se ha conocido por el nombre de “DACL Permissions Overwrite Privilege Escalation” y, si quieres saber más, la implementación de la prueba de concepto puede estudiarse y descargarse desde el siguiente Github.

Figura 2: GitHub con la PoC para estudiar

Con la vulnerabilidad un usuario sin privilegios o privilegios ‘bajos’ puede secuestrar archivos que son propiedad de NTAuthority\SYSTEM. Esto se realiza sobrescribiendo los permisos en el archivo destino, el que se quiere secuestrar. Cuando la escalada tiene éxito se obtiene un “Control Total” de los permisos para el usuario sin privilegio.

¿Dónde radica la magia?

En esta ocasión hay que hablar de que todas las aplicaciones de los sistemas Windows disponen de un archivo settings.dat. Este archivo es el que tiene la configuración de la aplicación. En otras palabras, es un registro que se puede cargar y modificar desde el propio registro.

Figura 3: Máxima Seguridad en Windows: Secretos Técnicos [4ª Edición]

Si eres de los que te preocupa por la tener fortificado al máximo tu sistema Windows, seguro que es un viejo amigo. En el libro de "Máxima Seguridad Windows: Secretos Técnicos [4ª Edición]" de nuestro compañero Sergio de los Santos (@ssantosV) sale en varios capítulos.

Este archivo del que hablamos es muy importante, y hay que tener en cuenta que en el momento en el que arranca una aplicación en Windows, el archivo settings.dat es utilizado por NTAuthority\SYSTEM. Esto es algo interesante, sin duda. En este punto al investigador que descubrió la vulnerabilidad le surge una nueva pregunta, ¿cómo se puede hacer un abuso de este acceso privilegiado a archivos?

Figura 4: Paquetes instalados en un Windows 10

El investigador se centró en el archivo settings.dat de Microsoft Edge. Cada paquete tiene un archivo settings.dat. Una vez que arranca dicho paquete o aplicación en Windows, el sistema realizará una operación OpLock o bloqueo exclusivo, con el objetivo de evitar que otros procesos utilicen o accedan a la información de ese archivo mientras se está ejecutando la aplicación.

Figura 5: Settings.dat de Microsoft Edge

En el caso de la PoC (Prueba de Concepto), cuando se arranca Microsoft Edge, el archivo settings.dat se abre como NTAuthority\SYSTEM. Una vez la aplicación es ejecutada y el archivo es abierto, se realizan algunas verificaciones de integridad:
1. Se comprueban los permisos de los archivos
2. Si los permisos son incorrectos, se corrigen los permisos de los archivos
3. Se lee el contenido
4. Si el contenido está corrupto o dañado se borra el archivo
5. Se restablece la configuración copiando el archivo, el cual sirve de plantilla, que se encuentra en C:\Windows\System32\settings.dat.
6. Se obtiene el bloqueo exclusivo en el archivo recién copiado
7. Se continua con la ejecución de la aplicación de Windows.
En resumen, si el fichero settings.dat no es considerado válido, Windows lo elimina y copia la plantilla que está almacenada en una ubicación protegida. De esta forma se evita el abuso, a priori. Pero no estamos aquí con un post que busca ampliar nuestros conocimientos de Hacking Windows para dejarlo aquí. Y vamos a verlo.

Figura 6: Libro en 0xWord de Hacking Windows:
Ataques a sistemas y redes Microsoft

El investigador se dio cuenta que se puede utilizar este comportamiento para establecer los permisos en ‘cualquier’ archivo mediante el uso de enlaces físicos. El objetivo ahora será crear enlaces duros a archivos dónde queremos tener un “Control Total” como usuario no privilegiado o usuario regular.

Explotándolo

Se sabe que los permisos de archivos establecidos en un enlace duro darán como resultado cambios en el archivo original. A continuación, se va a mostrar un ejemplo de cómo secuestrar un archivo. Para el ejemplo, el investigador optó por utilizar el fichero HOSTS. Un usuario normal no tiene acceso de modificación a este archivo, tal y como se puede ver en la imagen.

Figura 7: Modificación no disponible para usuarios no privilegiados

El investigador Nabeel Ahmed ha escrito un exploit que automatiza el proceso de creación de un enlace físico y provocar que la vulnerabilidad se desencadene. No es más que llevar a cabo lo que se ha ido explicando en los pasos anteriores. A continuación, se muestra el paso a paso del proceso.

¿Cómo funciona el exploit?

El exploit tiene el siguiente funcionamiento:
1. Primero verificará si el archivo settings.dat existe o no. Además, si éste existe, verificará los permisos. Si se utiliza la aplicación Microsoft Edge se parará la ejecución del proceso, en el caso de que esté en ejecución. Con cualquier otra aplicación ocurriría igual. Lo interesante es asegurarse de que se utiliza una herramienta que esté por defecto en el sistema, lógicamente.
2. Se buscará el archivo settings.dat y se eliminará para crear un enlace físico al archivo específico. En este caso al archivo HOSTS. En este paso es dónde se puede hacer el vínculo con cualquier archivo, por lo que, pensemos en un DLL Hijacking de una DLL que tenga nuestro código con un Meterpreter o con lo que sea.
3. Re-arrancar la aplicación. Una vez es creado el enlace físico, se vuelve a arrancar la aplicación, en este caso Microsoft Edge. Se desencadena la vulnerabilidad. Por último, hay que verificar si el fichero destino tiene permisos de “Control Total” para el usuario sin privilegio, lo que al principio no teníamos.
En la siguiente imagen publicada por Nabeel Ahmed se puede ver el resultado final después de lanzar el proceso que implementa el exploit de manera completa y con éxito en un sistema operativo Microsot Windows 10 vulnerable.

Figura 8: Exploit ejecutado con éxito

Además, se puede disfrutar de un video en el que se muestra la ejecución de una DLL, mediante técnica de DLL Hijacking y haciendo uso de la aplicación de actualización del navegador Google Chrome. Más que interesante.


Figura 9: DACL Permissions Overwrite Privilege Escalation
(CVE-2019-0841) PoC using Google Chrome

Interesante técnica que seguramente abrirá puertas en los Ethical Hacking, por lo que habrá que ver cómo se reacciona ante esta vulnerabilidad. Los equipos de IT tendrán trabajo.

Autor:Pablo González Pérez (@pablogonzalezpe), escritor de los libros "Metasploit para Pentesters", "Hacking con Metasploit: Advanced Pentesting""Hacking Windows", "Ethical Hacking", "Got Root" y “Pentesting con Powershell”, Microsoft MVP en Seguridad y Security Researcher en el equipo de "Ideas Locas" de la unidad CDO de Telefónica.

Sigue Un informático en el lado del mal - Google+RSS0xWord

SANS Internet Storm Center, InfoCON: green: Malware Sample Delivered Through UDF Image, (Wed, Apr 17th)

April 17, 2019, 11:13 pm
$
0
0

I found an interesting phishing email which was delivered with a malicious attachment: an UDF image (.img). UDF means “Universal Disk Format” and, as said by Wikipedia[1], is an open vendor-neutral file system for computer data storage. It has supplented the well-known ISO 9660 format (used for burning CD & DVD) that was also used in previous campaign to deliver malicious files[2].

Here is a copy of the mail:

From: <redacted>
To: <redacted>
Subject: Overdue Invoice
Valued customer,
Attached is your invoice as scheduled, your credit/debit card will be charged. Your bill will be delivered along with your ordered items(s).
Please review the receipt at your earliest convenience and get back to us in case of anomalies.

Thank you for your continued patronage.

Warm regards.

The attached files was called "invoice#003.img" with the SHA256 hash: 886338ebc04e728338874b07365d4fd337998e1786893b680065358e815a6d02. At the moment, the file is flagged by 23 AV on Virustotal[3]. To read the content of the archive safely, you can use the ‘loop’ driver on a Linux system:

# mount -o loop /tmp/invoice\#003.img /mnt/malicious/
# ls -l /mnt/malicious
total 1296
-r-xr-xr-x 1 nobody nogroup 1325568 Apr 14 23:45 invoice#003.exe
# shasum -a 256 /tmp/malicious/invoice*
b3aef0e1d7a71edbc858a81e66f354be1974aafdd4449f2972e4dae1c82f2b8a  /mnt/malicious/invoice#003.exe

Here, the VT score is 35[4], it’s a classic malware written in AutoIT, nothing special. It tries to connect to kingdevil[.]ddns[.]net:4156.
Let’s have a look at the UDF image:

00008220: 2020 2020 2020 2020 2020 2020 2020 2020
00008230: 2020 2020 2020 2020 2020 2020 2020 494d                IM
00008240: 4742 5552 4e20 5632 2e35 2e38 2e30 202d  GBURN V2.5.8.0 -
00008250: 2054 4845 2055 4c54 494d 4154 4520 494d   THE ULTIMATE IM
00008260: 4147 4520 4255 524e 4552 2120 2020 2020  AGE BURNER!
00008270: 2020 2020 2020 2020 2020 2020 2020 2020
00008280: 2020 2020 2020 2020 2020 2020 2020 2020
00008290: 2020 2020 2020 2020 2020 2020 2020 2020
000082a0: 2020 2020 2020 2020 2020 2020 2020 2020
000082b0: 2020 2020 2020 2020 2020 2020 2020 2020
000082c0: 2020 2020 2020 2020 2020 2020 2020 2020
000082d0: 2020 2020 2020 2020 2020 2020 2020 2020
000082e0: 2020 2020 2020 2020 2020 2020 2020 2020
000082f0: 2020 2020 2020 2020 2020 2020 2020 2020
00008300: 2020 2020 2020 2020 2020 2020 2020 2020
00008310: 2020 2020 2020 2020 2020 2020 2020 2020
00008320: 2020 2020 2020 2020 2020 2020 2032 3031               201
00008330: 3930 3431 3530 3034 3635 3430 300c 3230  9041500465400.20
00008340: 3139 3034 3135 3030 3436 3534 3030 0c30  19041500465400.0
00008350: 3030 3030 3030 3030 3030 3030 3030 3000  000000000000000.
00008360: 3030 3030 3030 3030 3030 3030 3030 3030  0000000000000000
00008370: 0001 0049 6d67 4275 726e 2076 322e 352e  ...ImgBurn v2.5.
00008380: 382e 3000 0000 0000 0000 0000 0000 0000  8.0.............

ImgBurn is a well-known Windows tool used to create CD/DVD images[5] and guess what? A stock Windows handle this type of file without any extra tool:

So be careful with .img files! They should also be added to the list of prohibited file extensions in your mail relays or change the file association in your Windows environments to NOT open them Windowd Explorer.

[1] https://en.wikipedia.org/wiki/Universal_Disk_Format
[2] https://isc.sans.edu/forums/diary/Malicious+iso+Attachments/22636
[3] https://www.virustotal.com/#/file/886338ebc04e728338874b07365d4fd337998e1786893b680065358e815a6d02/relations
[4] https://www.virustotal.com/#/file/b3aef0e1d7a71edbc858a81e66f354be1974aafdd4449f2972e4dae1c82f2b8a/detection
[5] https://www.imgburn.com

Xavier Mertens (@xme)
Senior ISC Handler - Freelance Cyber Security Consultant
PGP Key

(c) SANS Internet Storm Center. https://isc.sans.edu Creative Commons Attribution-Noncommercial 3.0 United States License.

Wired: Security: The Mueller Report Is Much Worse For Trump Than Barr Let On

April 18, 2019, 12:06 pm
$
0
0
The Mueller report clearly shows that Donald Trump attempted to obstruct justice, regardless of what the attorney general says.
Viewing all 12054 articles
Browse latest View live
Search