Detectando intrusos en tu celular y computadora(I) parte 1/3

El día de ayer fue mi cumpleaños pero estuve gran parte del día leyendo y aprendiendo nuevos temas de seguridad y otra parte del día que ocupe para estar jugando con mi hija así que hasta hoy decidí publicar este articulo que se divide en 3 partes. Hablando del tiempo lo tengo muy limitado como dije entre pasarlo con mi pequeña hacker, escribir los próximos artículos para ustedes e investigar sobre nuevos temas que me propuse aprender este año. Así que disfruten el contenido y no los aburriré con mas información de mi vida personal.

Existen muchas formas en que pueden comprometer tu equipo si no esta correctamente configurado y protegido, esto se debe a lo fácil que es ejecutar un troyano, una conexión inversa indetectable, o un RAT en android oculto dentro de alguna aplicación legitima ya sea instalado con algún juego, aplicación de alguna empresa o negocio. Un exploit precargado en un servidor para que vulnere al visitar una URL maliciosa en equipos sin actualizar, algunas son técnicas complejas pero sigue siendo posible que te envíen un ataque dirigido a tus equipos actualizados o a tu red wifi con la intención de robar tu información o simplemente para monitorearlos. Pero dejémonos de fantasías y continuemos por lo que vinieron.

 Hoy en día estas amenazas nos obligan a conocer diferentes herramientas que nos permiten detectar conexiones salientes o amenazas en tu dispositivo celular, o computadora con diferentes sistemas operativos. Existe una variedad de herramientas que pueden usarse para este propósito. Pero iniciaremos desde lo básico.

Durante el curso de hacking ofensivo nivel 1 trabajaremos con la detección de estas amenazas en equipos celulares iOS y android. Realizaremos las practicas en los nuevos equipos que done para el laboratorio de pruebas, ademas de las maquinas virtuales que les pasaremos, resolverán retos en un iMac con OS X Sierra, una Macbook pro retina con OS X Mojave para finalizar con los ejercicios hacia Microsoft Windows 10, con la intención de conocer diferentes sistemas operativos, las herramientas de pentesting e intrusiones,  sin olvidar la detección de estas amenazas en diferentes sistemas operativos incluyendo los mas actuales.

En realidad resultaría sencillo para un pentester hacer uso de las siguientes herramientas de análisis de red, este un tema de interés y va dirigido a un publico mas junior mostrando como ejemplo algunas conexiones salientes que realiza el dispositivo o equipo de computo. En estos artículos interceptaremos las conexiones que podemos encontrar usando algunos RATs en android, payloads de conexión inversa para OSX o Backdoors en windows 10 de los que seguramente ya han leído en nuestro blog.

WINDOWS 10 CON BACKDOOR DE CONEXION INVERSA Y BYPASS AV

En esta situación tenemos un backdoor con bypass AV ejecutándose desde una maquina con windows 10, el atacante podría estar tomando control de nuestro equipo dentro de la red local o bien fuera de esta red local:

NetworkMiner es una herramienta publicada en 2007 para llevar a cabo diferentes tareas de análisis forense de red en diferentes sistemas operativos de una forma rápida, sencilla y, sobre todo, clara. Esta herramienta nos permite realizar capturas de paquetes (a modo de sniffer, similar al conocido Wireshark) con el fin de detectar fácilmente todo tipo de problemas en las telecomunicaciones, por ejemplo, colisión de paquetes, problemas de sesión, puertos abiertos que puedan suponer un riesgo para la seguridad, etc.

Uno de los principales puntos fuertes de esta herramienta es su interfaz. Esta interfaz está pensada principalmente para mostrar los datos ordenados según los diferentes hosts en lugar de estar pensada, como en alternativas como Wireshark, en los paquetes o las tramas. De esta manera se facilita considerablemente las tareas de análisis, búsqueda y comprensión de los resultados obtenidos.

Una vez instalada y lanzada la herramienta seleccionamos el adaptador de red con el que trabajaremos. En este caso seleccionamos nuestro adaptador ethernet, así que ignoramos un rato los adaptadores wireless XD ya que los usaremos para las otros ejercicios:

La IP del equipo windows 10 donde sospechamos tenemos una intrusion, tiene la dirección local: 192.168.1.33

En los hosts que nos van apareciendo mientras continua escaneando, encontraremos la IP de nuestro equipo windows (192.168.1.33) con 4 conexiones salientes (Outgoing) de las cuales nos permiten ver mas detalles , rápidamente podríamos ubicar la IP del atacante que se encuentra en el mismo segmento. En esta ocasión de una maquina virtual con Linux que escucha desde el puerto 9997 y el equipo Windows (victima) enviando la conexión TCP al puerto:

Podemos corroborar desde la maquina atacante las conexiones que tenemos activas desde linux usando koadic para crear nuestra puerta trasera y controlar a las victimas/zombies

El intruso podria estar o no en la misma red local de nuestra cosa u oficina, esto lo hemos visto de cerca en situaciones de intrusión a dependencias de gobierno o empresas particulares, es importante conozcan diferentes herramientas que nos permiten obtener a detalle esta información aunque también podemos instalar endpoints que cierran estas conexiones maliciosas, o se puede configurar el firewall para bloquearlas. En la siguiente imagen veremos la IP del atacante (192.168.1.43) y en sus conexiones entrantes (Incoming) corroboramos a la(s) victimas, o con quien se comunica y a través de:

Estas conexiones también podríamos encontrarlas desde el CMD escribiendo: ‘netstat’ para ver todas las conexiones que pasan por el equipo, aunque resulta ser muy tedioso y con poca información si lo comparamos con los resultados de la herramienta ‘NetworkMiner’

Como ya les mencione esto resulta ser fácil, ademas podemos optar por diferentes soluciones, herramientas y opciones de configuración al firewall para evitar este tipo de intrusiones a nuestros sistemas dependiendo que tan grande es nuestra red de la empresa o si es la red o equipos del hogar.

ANTIPWNY: Es una herramienta  que fue lanzada desde el 2013 y puedes encontrarla en Github, esta nos permite detectar firmas de sesiones meterpreter en memoria identificando el proceso ejecutándose en el sistema. Esto puede ser desde una URL maliciosa hasta la migración de procesos dentro de algún proceso legitimo del sistema, una opción que ofrece meterpreter.

También nos da la opción de iniciar junto con Windows y activar el Modo IPS, el cual se fija para detectar estas firmas y eliminar procesos ademas de guardar en un Log todos los eventos relacionados:

En mis pruebas para tomar control de un android usando el emulador ‘Knox’,  esta herramienta detecto la sesión meterpreter de la .apk legitima con código malicioso, claro que esto puede ser no funcional para varios pero a mi me pareció interesante como detecta rápidamente estas sesiones meterpreter en memoria, aunque para el ataque del backdoor a windows 10 desde kaodic no sirve en absoluto. Verifiquen que no sean falsos positivos.

Espero que continúen leyendo, practicando y nos vemos en los próximos curso de hacking ofensivo nivel 1

Saludos!

Alejandro Torres A.K.A Torrescrack

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *