Desafios e grupo de estudos Brutal Security

Olá leitores!

Quem participa com uma certa frequência do grupo do facebook ou do telegram da Brutal Security já deve ter visto (ou pedido) para termos algumas atividades práticas, que focamos muito em base e teoria, e acabamos não dando muita atenção a quem quer aprender "de verdade", na prática.

Então vamos ver!

Vamos realizar diversas atividades práticas, com crackmes, hackmes, labs, CTFs, e etc, e o telegram vai ser o ponto principal disso. No grupo vamos discutir as técnicas, ferramentas, objetivos e desafios. Será exatamente como um grupo de estudos, aberto a todos, voltado a discussão de tudo, principalmente os desafios.

Para incentivar mais ainda o pessoal, vamos tentar manter um Ranking com uma pontuação de acordo com os resultados e conclusões dos desafios.

Ficou interessado em participar? Acompanhe sempre o grupo do facebook e o telegram para informações dos desafios, resoluções, duvidas, dicas, etc.

Este primeiro desafio vou postar aqui porque ja notei de cara que ate mesmo a instalação e configuração básica da vm é um desafio a parte :)

O desafio que vamos tentar resolver se chama Lord of The Root, semelhanças e referencias nao são meras coincidências. Você pode obter o desafio aqui! A única informação que o criador dos desafios nos passa é que ele é muito parecido com o lab da certificação OSCP.

Se você usa Virtualbox certamente vai ter problemas, ja que a vm foi exportada do VMware. Para conseguir rodar ela de boa no virtualbox você vai precisar de uma ferramenta da própria da vmware chamada Ovftool para converter o formato. Esta ferramenta pode ser obtida no site da vmware.

O comando é bem simples, baixe e instale, vá até a pasta onde ele foi instalado e execute o seguinte comando:

./ovftool /Volumes/Externo/ISO/VM/LordOfTheRoot_1.0.1.ova /Volumes/Externo/ISO/VM/LordOfTheRoot_1.0.1.ovf

Basicamente só mudar o .ova no final para .ovf.

Após isso temos outros detalhes, o primeiro deles é remover o arquivo .mf (manifest). Se não remover o virtualbox vai acusar problemas.

Próximo passo é fazer algumas alterações no arquivo .ovf. Tentei aqui abrir com diversos editores e todos deram problema, menos o grandioso vim, então engole e aprende a usar isso! :)

Abrindo o arquivo, precisamos modificar a linha que tem a string "vmware.sata.ahci" por "AHCI", e mudar todas as ocorrências das palavras "ElementName" por "Caption". Para facilitar e agilizar vou deixar aqui o comando do vim pra resolver isso:

:%s/foo/bar/g

Onde "foo" é a palavra para buscar e "bar" é a palavra que vai substituir quando encontrar.

Agora que você tem a vm rodando, vamos ao desafio! Aguardo você no grupo e no telegram! :)

Read More

Vulnerabilidades no WhatsApp Web afetam 200 milhões de usuários

Graves falhas na versão Web do WhatsApp podem ser exploradas.

O ataque pode enganar vítimas a instalarem malwares nas máquinas, de uma forma muito sofisticada.

O pesquisador de segurança Kasif Dekel da Check Point descobriu que com esta falha, o atacante simplesmente precisa mandar um vCard com informações de um contato, contendo um código malicioso. Assim que o WhatsApp Web abre o vCard o código executa e o malware infecta a máquina.

Para propagar seu malware, o atacante só precisa de um número de celular. O serviço permite que qualquer tipo de arquivo seja anexado, sendo ele, image, video, audio, local, contatos e outros.

Em setembro de 2015 o WhatsApp anunciou que chegou ao número de 900 milhões de usuários ativos no mês, e pelo menos 200 milhões de mensagens apenas na versão web. Como o serviço sincroniza entre todas as plataformas, as mídias e arquivos também são sincronizados.

O WhatsApp já está sabendo e já corrigiu este erro. A correção foi lançada no dia 27 de Agosto de 2015 e todas as versões devem ser atualizadas. A versão corrigida é a v0.1.4481, todas a partir desta estão devidamente corrigidas.

Fonte: Net-Security

Read More

Ataques de malvertising estão cada vez mais constantes

Provavelmente você já deve ter acessado um website onde diversas propagandas aparecem no site, e muitas vezes seu antivirus ou navegador mostra uma mensagem de que a página contem algo que pode danificar seu computador. As vezes também o navegador fica lento e o processamento da máquina sobre ao acessar tal website.

Provavelmente se isso aconteceu com você talvez você tenha sido alvo de malvertising.

O conceito de malvertising é colocar malwares ou exploits em banners de propaganda, e através destes atacar os browsers quando a propaganda é interpretada pelo navegador.

Estes malwares usam em boa parte dos casos, os mesmos sistemas de propagação de anúncios que propagandas legítimas, o que dificulta a identificação. Bons antivirus já estão conseguindo identificar e barra boa parte destes casos, então a melhor solução seria obter algum destes.

Então fica a dica, mantenha sempre seus softwares atualizados e adquira uma solução de proteção. A extensão Adblock e noscript também ajudam nestes casos.

Read More

Podcast: Hacking Team Hackeada!

E ai pessoal!

Saiu esses dias o novo episódio do podcast Segurança Legal, e o tema é algo muito interessante, o assunto do podcast todo é o caso da empresa Hacking Team que foi hackeada. A polêmica empresa que vendia exploits e 0days para governos e empresas.

De todas as matérias, podcasts e artigos que eu vi sobre o assunto, sem dúvida o Segurança Legal é o que foi mais a fundo e com uma abordagem interessante.

Fica ai a dica, passem lá e escutem este e os outros podcasts do Segurança Legal!

Link: http://www.segurancalegal.com/2015/07/episodio-80-hackingteam.html

Read More

Analizando e escrevendo um exploit local

Olá leitores!

Andei meio sumido, a quantidade de posts caiu, mas não parou!

Muita correria com toda a equipe na verdade, mas sempre que sobra um tempo viemos postar aqui, desculpe por isso!

Agora sim vamos ao post.

Pelas minhas andanças pelo RSS encontrei essa série do Infosec Institute sobre analisar e escrever um exploit.

É uma série de posts bem como as que gostamos de fazer por aqui, a série em si já tem 8 partes, mas as duas últimas (7 e 8) são as que mais me chamaram a atenção que é justamente analisar uma aplicação em baixo nível e criar um exploit. 

Pretendo criar uma versão da BS deste artigo já a um bom tempo, começando de algo mais básico e mais detalhado para que todos possam entender.

Mas em quanto esse post não sai fique com a versão do Infosec Institute. (Inglês)

Analizando e escrevendo um exploit local - Parte 1

Analizando e escrevendo um exploit local - Parte 2

Read More

Hackeando quase tudo com um SDR

Cada vez mais utilizamos equipamentos e conexões através da rede sem fio, e como já sabemos, raramente se preocupam com segurança.

Já postei aqui uma vez, mas na Blackhat do ano passado tivemos mais uma palestra sobre o assunto.

Veja esta palestra sobre o uso do Software Defined Radio para atacar redes WiFi:

Read More

Vulnerabilidade crítica GHOST afeta a maioria dos sistemas Linux

Uma vulnerabilidade crítica encontrada na biblioteca GNU C (glibc), usada em praticamente qualquer distribuição Linux, o que permite a atacantes executar código malicioso em servidores e ganhar controle remotamente de máquinas Linux.

A vulnerabilidade, conhecida como "GHOST" e recebeu o código CVE-2015-0235, foi descoberta e reportada por pesquisadores da Qualys.

Tão crítica quanto Heartbleed e Shellshock

GHOST é considerada crítica pelo fato de hackers poderem facilmente explorar e ganhar acesso completo ao sistema sem a necessidade de conhecimento das credenciais.

Esta falha representa um grande risco, similar a Heartbleed, Shellshock e Poodle, descobertas ano passado.

Versões afetadas

Essa vulnerabilidade afeta as versões até a glibc-2.2, liberada em 2000. Mas grandes distribuições como Red Hat, Debian e Ubuntu já tem a algumas semanas um patch para correção.

Fonte: The Hacker News

Read More

Desvendando o Metasploit #3

Antes de ler esse post não esqueça da parte 1 e 2 aqui na página de guias!

msfconsole

Como já falamos anteriormente, o Metasploit Console, mais conhecido como msfconsole é a interface mais utilizada e conhecida por seus usuários. Vamos ver os principais comandos do msfconsole:

help: Informações de ajuda

use / back: Selecionar um módulo e sair dele, respectivamente

info / show: Obter informações do módulo

check: Testa se o alvo é vulnerável ao exploit selecionado sem executar o exploit no alvo.

exploit / run: Executar o módulo, normalmente utilizado o exploit para exploit e o run para todos os outros módulos.

connect: Similar ao telnet ou netcat.

banner: Muda o banner do Metasploit (imagem acima)

irb: interpretador ruby para testar scripts.

jobs: Módulos rodando em background.

load / unload: Carrega plugins.

resource ou flag -r: carrega instruções pré-prontas de um determinado arquivo de configuração.

set / unset: Seta valores aos parâmetros. Se estiver com um módulo selecionado seta apenas para o módulo, se não tiver nenhum módulo selecionado seta globalmente.

sessions: Interagir com sessões abertas.

search: Buscar por nome, expressão, tipo, cve, etc.

Read More

Desvendando o Metasploit #2

Olá! Vamos seguir em frente com a série. Se você não viu o primeiro post da série clique aqui!

Arquitetura e Sistema de Arquivos

A arquitetura e organização do Metasploit é um tanto complexa, o framework em si é bem grande. Você não necessariamente precisa conhecer o Metasploit a fundo para usar ele, somente para um caso de desenvolvimento, mas sempre é bom saber como as coisas funcionam.

Pode-se ver na imagem acima que os módulos são chamados pela base do sistema (MSF Base), enviados para o core para processamento (MSF Core). Junto ao core temos a chamada as ferramentas de desenvolvimento e bibliotecas. Entre essas ferramentas e bibliotecas temos por exemplo, sockets, protocolos, XOR, Base64 e muitos outros.

O MFS Base também abre para as interfaces pro usuário. São elas Console, CLI, Web e GUI.

A interface Console é a que conhecemos e usamos normalmente, linha de comando, iniciada pelo comando msfconsole. A interface CLI é a que chamamos e executamos diretamente com todos os parâmetros, a que usamos para automatizar algum script, como por exemplo, os comandos msfcli, msfpayload e msfencode.

As interfaces Web e GUI, foram oficialmente descontinuadas pela equipe do Metasploit, mas a GUI teve um sucessor independente, a ferramenta chamada Armitage. 

O sistema de arquivos do Metasploit é divido nos seguintes diretórios: lib, data, tools, modules, plugins, scripts e external.

lib: A base de códigos do Metasploit Framework

data: Arquivos editáveis

tools: utilitários

modules: a base de módulos

plugins: plugins que podem ser carregados

scripts: Meterpreter e outros scripts

external: Códigos e bibliotecas de terceiros.

Vou me focar aqui na interface mais utilizada, a console. Caso tenha interesse cheque também o Armitage. Em alguns exemplos pode ser que seja necessário o uso da interface CLI, mas normalmente usarei a console mesmo.

Read More

Série: Desvendando o Metasploit #1

E ai galera!

Estou fazendo uma série de posts sobre segurança da informação em geral, algo bem prático e de simples entendimento. Você pode acompanhar post a post aqui e no final deles irei disponibilizar um paper gigante (quase um livro) e bem estruturado com todo o conteúdo. Basicamente o conteúdo destes posts serão exatamente o mesmo conteúdo que alguns sites não muito legais por ai vem cobrando para ensinar. Vou começar com metasploit. Se você não conhece absolutamente nada sobre Segurança da Informação de uma olhada no guia que postei a algum tempo atrás. Pela busca usando a tag "indicação" você também pode encontrar diversas indicações de livros, papers, vídeos, palestras e etc para aprender mais.

E vamos a ele!

Introdução

O Metasploit é uma das soluções mais completas para teste de invasão que temos hoje em dia, indo desde o básico de levantamento de informações até exploração de vulnerabilidades em dispositivos remotos e servidores. Outro atrativo dessa solução é  o fato de ser Open Source e gratuita, até um certo ponto.

Hoje em dia, o Metasploit é mantido pela comunidade e pela Rapid7 (http://www.rapid7.com/) e conta com quatro versões: uma delas gratuita e livre, que é a que já vem pré-instalada e configurada nas mais diversas distribuições Linux para Pentest, outra gratuita mas limitada e as outras duas versões comerciais.

Versões

Metasploit Pro: Uma das versões comerciais do Metasploit. Como a própria Rapid7 coloca, é uma versão para profissionais de segurança, pentesters. Tem muita coisa ali que ajuda e agiliza o processo todo de um pentest. Desde o básico de automação de scans até suporte com módulos de engenharia social.

Metasploit Express: A outra versão comercial. Esta é para os profissionais de TI, com as varreduras um pouco mais simples e ataques mais comuns. Normalmente utilizada em auditorias internas feitas pela própria equipe de TI da empresa.

Metasploit Framework: A versão open source. Denominada pela empresa como versão para pesquisadores de segurança e desenvolvedores. Seu principal objetivo é o auxílio a criação e testes de exploits. Esta versão está sendo usada para os mais diversos fins, principalmente por Hackers, Crackers e iniciantes na área. Para voltar a ser o que foi pensado, a Rapid7 está cortando funcionalidades desta versão, para que ela volte a ser apenas para pesquisadores e desenvolvedores. Para que o resto do público não se sinta obrigado a comprar a licença (relativamente cara) das outras versões, foi criada a versão a seguir.

Metasploit Community: Sendo esta versão gratuita e com interface semelhante as comerciais, voltada para todo aquele público que não se encaixa nas outras, sendo eles pequenas empresas, estudantes e por ai vai. 

Vamos nos focar aqui na versão Framework, já que é a mais usada ainda e acessível.

Conceitos e termos básicos

Antes de seguir em frente vamos a alguns conceitos.

Exploit: Um exploit é um pedaço de código que prova um conceito de uma vulnerabilidade. É um código que gatilha uma falha de segurança.

Payload: É um código arbitrário que vai executar no alvo com o objetivo de usar a vulnerabilidade explorada pelo exploit para obter algum tipo de dado, seja um arquivo de senhas ou uma conexão direta com o alvo.

Módulo: Módulos são exploits prontos do Metasploit, você pode customizar os módulos com os payloads, nops e codificações para atingir seu objetivo. Algumas outros tipos de códigos entram na definição de módulos, veremos eles logo a frente.

Sabendo disso, vamos seguir em frente. Tudo que você pode encontrar dentro do Metasploit é testado e reescrito, isso quer dizer que, diferente de um exploit que você ache na internet, todos os módulos do Metasploit fazem realmente o que dizem fazer, nada de malicioso, como um malware ou mandar informações para um terceiro.

A organização do Metasploit é bem simples, ele é subdividido em 5 áreas, Payloads, Exploits, Encoders, Nops e Auxiliares.

Payloads como comentado acima são os códigos que vão rodar no alvo com o objetivo de obter algo. Exploits também comentados acima, são os códigos que ativam as vulnerabilidades. Encoders são módulos que basicamente codificam seu exploit e payload para evitar a detecção por um Firewall, IDS, IPS e etc. Nops são geradores de códigos nulos, por exemplo em um ataque de Buffer Overflow, é necessário ir escalando a pilha para poder executar seus códigos. Uma instrução no local errado pode fazer a aplicação atacada encerrar ou até causar problemas no sistema. Para isso que servem os Nops, preencher essa área com instruções nulas para evitar problemas. E por último mas não menos importante temos os módulos auxiliares, estes são similares aos exploits mas não necessitam de payload, e não necessariamente “invadem” o alvo. Nessa categoria que você encontra módulos de bruteforce, scans, falhas de disclosure, entre outros.

O Metasploit tem centenas de módulos de todos os tipos, mas nada impede que possa ser criado um módulo específico para um ataque específico, toda a framework funciona em cima de ruby.

Read More

Brecha deixa invasores controlarem sistema de automação residencial

Pesquisadores da empresa de segurança IOActive divulgaram nesta terça-feira um alerta sobre vulnerabilidades em sistemas de automação residencial da Belkin. As várias brechas, de acordo com a companhia, foram encontradas em dispositivos da linha WeMo, e permitem que invasores consigam controlar remotamente a iluminação e o termostato da casa, por exemplo, e até mesmo acessar a rede LAN do local.

Os produtos da linha tornam possível usar smartphones, tablets ou uma interface web para ligar, desligar, regular e mover diferentes aparelhos na residência, tudo à distância. Parece ótimo, mas esses mesmos dispositivos não são tão inteligentes quanto parecem: de acordo com a publicação da IOActive, eles simplesmente deixam expostas senhas e chaves de criptografia usadas para checar a legitimidade de updates de firmware.

Com a ajuda desse “vazamento”, invasores conseguem quebrar tranquilamente o sistema de segurança e enviar atualizações maliciosas aos produtos WeMo. Curiosamente, nem mesmo o uso de um firewall resolve o problema, já que os updates foram feitos para, basicamente, passar por cima dessas proteções.

Depois que as “novas versões” são instaladas, os dispositivos podem passar a agir sob o controle dos crackers – que, se forem simplesmente bem-humorados, serão capazes de fazer a luz funcionar como a de uma casa mal-assombrada, por exemplo. Veja um exemplo no vídeo a seguir.

As consequências, no entanto, podem ser bem piores. Como alerta a própria IOActive, há sempre a possibilidade de se causar um curto-circuito e, posteriormente, até mesmo um incêndio doméstico – e tudo remotamente. E como há, nas estimativas da companhia de segurança, cerca de 500 mil dispositivos WeMo espalhados pelo mundo, dá para imaginar o estrago que a vulnerabilidade pode provocar se for aproveitada.

Problemas na automação – As brechas de segurança nos dispositivos da linha da Belkin mostram que os sistemas de automação residencial ainda precisam de algum cuidado. Mais ainda nos holofotes graças à recente aquisição da Nest pelo Google, eles são tidos como parte essencial da “casa do futuro” – mas antes disso, questões básicas de proteção, como o cuidado com chaves de criptografia, não podem mais ser deixadas de lado.

A IOActive entregou ao CERT norte-americano as informações relacionadas às vulnerabilidades, e o próprio órgão emitiu um alerta para que usuários deixassem de lado os produtos da linha problemática, ao menos por ora. A Belkin ainda não se manifestou em relação ao caso, e também não liberou uma correção para a falha.

Aliás, curiosamente, essa é a segunda questão de segurança envolvendo a empresa em menos de uma semana. Na última sexta-feira, roteadores da Linksys (que pertece à Belkin, e não mais à Cisco) se mostraram vulneráveis a um malware "auto-replicável".

Fonte: Revista Info

Read More

Múltiplas vulnerabilidades no sistema de controle de acesso seguro da Cisco

A Cisco solicitou aos usuários do sistema de controle de acesso seguro – ACS 5.5  ou inferior – para implementar uma correção urgente, com problemas na  implementação do RMI (Remote Method Invocation).

Foram detectados três erros independentes: uma vulnerabilidade de escalada de  privilégios (CVE-2014-0649), uma vulnerabilidade de acesso não autenticado  (CVE-2014-0648), e por último uma vulnerabildiade de injeção de comando no  sistema operacional (CVE 2014-0650). Os dois primeiros, a Cisco afirma serem  decorrentes de “autenticação insuficiente e na aplicação da autorização”, enquanto  o terceiro é causado por “validação insuficiente de entrada”.

O sistema de chamada de método remoto Java, permite a comunicação entre dispositivos ACS, usando a porta TCP 2020 e 2030. Isso permite aos usuários replicarem informações e confirmarem dados em ambientes multi-servidor. Em uma nota separada, a Cisco recomenda a restrição do acesso a essas portas, para apenas servidores de confiança, e a utilização do Transit Access Control List para ignorar pacotes tentando explorar vulnerabilidades.

A atualização está disponível no link: tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140115-csacs

Fonte: Blog SegInfo

Read More

Windows 8: Acabando com a festa dos hackers

Este foi o tema do painel apresentado pelos profissionais de segurança Chris Valasek e Tarjei Mandt na Black Hat USA de Las Vegas deste ano.

Valasek e Mandt são hackers White Hat, profissionais de segurança que testam vulnerabilidade em sistemas e componentes Windows, como o kernel do Windows.

De acordo com Valasek, pesquisador de segurança sênior da Coverity, uma empresa especializada em desenvolvimento de softwares de testes e hardening, o seu trabalho está para se tornar cada vez mais difícil.

Isso porque a Microsoft mudou diversas coisas no seu novo sistema o Windows 8 que vai parar vários ataques já conhecidos. "Se você tem algum exploit de transbordo da pilha que funciona no Windows 7, provavelmente ele não vai funcionar no Windows 8", disse Valasek na sua apresentação.

Nos últimos anos, white hats desenvolveram diversas novas técnicas para comprometer a pilha e o kernel do Windows.

Um dos últimos, por exemplo, refere ao modo de como o Windows distribui dinamicamente a memória. Este é um dos alvos favoritos dos hackers, ou crackers, que tentam exploitar essas vulnerabilidades para causar um overflow de memória, que poderia causar um DoS, ou na pior das hipóteses execução de código.

Um resultado esperado era que estas vulnerabilidades do kernel e da pilha seriam o alvo maior dos malwares. Lá em 2008, por exemplo, o pesquisador de segurança e white hat Ben Hawkes identificou uma falha na pilha do Windows Vista. Hawkes criou um POC (Prova de conceito) que foi capaz de corromper a pilha do Vista e expo-la a execução de código.

Já naquele tempo, Hawkes pode notar que ataques desse tipo antes comuns agora estão ficando mais difíceis e complexos, como o teste dele por exemplo.

O exploit do Hawkes funcionava também no Windows 7, mas não no Windows 8, de acordo com Valasek, a Microsoft fechou a porta na cara do exploit do Hawkes.

E não para por ai. Valasek mostrou um slide comparando o pontencial de exploitabilidade de cada um dos sistemas, entre eles Windows 7, Vista e 8. O que pode-se notar é que no último pode se encontrar muito mais "X" vermelhos do que "√" verdes.

O que a Microsoft mudou na memória que deixou tudo mais difícil, basicamente foi o modo de distribuição em memória, agora sendo aleatório e com alguns outros detalhes mais complexos, como por exemplo, diversos métodos para os programadores encerrarem seus programas caso algo seja modificado de maneira incorreta.

Valasek ainda comenta, "A Microsoft trabalhou duro para cuidar disso e prever problemas antes de ter que reagir e corrigir falhas já expostas".

Ele também adicionou que falhas ainda existem, já com alguns exploits hipotéticos em sua cabeça e confirma que alguns deles irão funcionar.

E o kernel não foi diferente, como Tarjei Mandt comentou, "o kernel continua o mesmo, nenhuma mudança significativa na estrutura foi feita, mas tem alguma camadas de segurança a mais, algo similar a hardening".

Fonte: Redmond Magazine

Read More

Como obter lista de programas instalados de uma máquina atacada

E ai pessoal!

Sobrou um tempo essa semana então vamos a alguns tutoriais.

O tutorial de hoje é um módulo do Metasploit para obter uma lista com todos os programas instalados em uma máquina que já foi previamente atacada pelo Metasploit e já temos uma sessão aberta.

Se você não sabe como conseguir uma sessão de uma pesquisada no blog, já temos alguns posts sobre isso, atacando as mais diversas falhas.

E vamos lá!

Primeiramente, utilizei o comando sessions -l para obter a lista das sessões abertas.

Uma coisa muito importante é lembrar o número do id da sessão, neste caso 2. Precisaremos disso mais para frente.

O módulo que vamos utilizar é o post/windows/gather/enum_applications.

A única informação que precisamos é o id da sessão, como comentei anteriormente.

Com isso pronto podemos rodar o módulo e se tudo der certo obteremos uma lista com todos os programas.

E ai está!

Com isso podemos a partir dai lançar outros exploits ou buscar informações interessantes.

Eu fico por aqui! Bons estudos!

Read More

Ferramentas essenciais para pentesters

Veja uma lista feita pela Sans com algumas ferramentas necessárias para todos os pentesters.

Software

• Kali Linux e/ou Backtrack - Uma coleção incrível de ferramentas para todas as possibilidades de testes, um "tudo em um". http://www.kali.org/downloads
• Mimikatz - Ferramenta utilizada para extrair senhas em texto puro da memória. http://blog.gentilkiwi.com/mimikatz
• Metasploit - Uma base consideravelmente grande de exploit para você lançar a diversos alvos e com diversos objetivos. Metasploit.com
• Recon-ng - Um framework de reconhecimento e obtenção de informação. lanmaster53.com
• Nmap - O mais conhecido port scanner que existe. nmap.org
• Maltego - Software para obtenção de informação e manipulação de grande quantidade de dados. http://www.paterva.com
• Python - Linguagem de programação muito boa indicada para desenvolvimento de ferramentas e exploits. http://www.python.org
• The Social Engineering Toolkit - Framework para ataques de engenharia social. http://www.trustedsec.com/downloads/social-engineer-toolkit
• Anonymizer Universal - Um proxy rápido e estável. http://www.anonymizer.com
• FOCA - Extrair metadados de arquivos. http://www.informatica64.com/foca.aspx
• THC-Hydra - Ferramenta mais conhecida para bruteforce. http://www.thc.org/thc-hydra
• Ettercap - Ferramenta mais conhecida para ARP poisoning, sessio hijacking, sniffing e etc. http://ettercap.github.com/ettercap
• Cain e Abel - Mais uma ferramenta para ARP poisoning e quebra de senhas. http://www.oxid.it/cain.html
• John The Ripper - Ferramenta para quebra de todo tipo de senha. http://www.openwall.com/john
• Oclhashcat - Ferramenta para quebra de senha super rápida baseada na GPU. https://hashcat.net
• ISR-Evilgrade - Intercepta e captura atualização de softwares. https://code.google.com/p/isr-evilgrade
• Wireshark - Ferramenta para análise de tráfego de pacotes. http://www.wireshark.org
• Netcat - Ferramenta para os mais diversos usos de conexão. http://netcat.sourceforge.net
• Scapy - Ferramenta para criação de pacotes. http://www.secdev.org/projects/scapy

Fonte: Sans 

Read More

Lista completa dos scripts do Meterpreter do Metasploit

E ai galera!

Acredito que todo o pentester, hacker e aprendiz já tenha passado pelo menos alguma vez pelo Metasploit. O Meterpreter tem diversos scripts que foram escritos por diversos hackers no decorrer de sua existência e boa parte deles se não todos é de extrema importância que você conheça, pode quebrar um galho.

A idéia é que o Metasploit e o Meterpreter continuem em desenvolvimento, então pode ser que se você ver isso daqui a alguns anos vai estar incompleto.

Comandos e suas descrições

• arp_scanner.rb - Script para fazer um scan ARP.
• autoroute.rb - Sessão do Meterpreter sem ter que colocar a sessão atual em background.
• chechvm.rb - Script que detecta se o alvo é uma máquina virtual.
• credcollect.rb - Script para roubar credenciais do host e salvar em um banco.
• domain_list_gen.rb - Script para extrair lista de contas domain admin.
• dumplinks.rb - Recolhe informações de arquivos .lnk, como documentos recentes, time stamps, localização, nomes de compartilhamentos e mais.
• duplicate.rb - Usa a sessão do Meterpreter para criar uma nova em um processo diferente, dando liberdade a ações diferentes e mais arriscadas como desabilitar antivirus, iniciar keylogger e etc.
• enum_chrome.rb - Script que extrai dados do Chrome
• enum_firefox.rb - Script que extrai dados do Firefox
• enum_logged_on_users.rb - Script para enumerar usuários logados no sistemas e usuários que já logaram neste sistema.
• enum_powershell-env.rb - Enumera configurações de PowerShell e WSH
• enum_putty.rb - Enumera as conexões do Putty.
• enum_shares.rb - Script para enumerar compartilhamentos atuais e antigos montados.
• enum_vmware.rb - Enumera configurações de produtos VMware.
• event_manager.rb - Mostra informações sobre Logs de Eventos  e suas configurações.
• file_collector.rb - Script para procurar e baixar arquivos que batam com um específico padrão.
• get_application_list.rb - Script que extrai uma lista de todos os programas instalados na máquina e suas versões.
• getcontermeasure.rb - Script para detectar antivirus, firewall, configurações de segurança, com opção de remover e desinstalar essas ferramentas.
• get_env.rb - Script para extrair uma lista de variáveis de ambiente.
• getfilezillacreds.rb - Script para extrair servidores e credenciais do Filezilla.
• getgui.rb - Script para habilitar o Windows RDP.
• get_local_subnets.rb - Receber uma lista de subnets de acordo com os roteamentos.
• get_pidgen_creds.rb - Script para obter serviços configurados, seus usuários e senhas.
• gettelnet.rb - Verificar telnet instalado.
• get_valid_communitu.rb - Receber uma community string válida do SNMP.
• getvncpw.rb - Recever a senha do VNC.
• hashdump.rb - Pega os hashs de senha do SAM.
• hostedit.rb - Script para adicionar entradas no arquivo Hosts do Windows.
• keylogrecorder.rb - Script para rodar keylogger e salvar teclas.
• killav.rb - Desabilita quase todos os softwares antivirus.
• metsvc.rb - Deleta um serviço do meterpreter e inicia outro.
• migrate - Migrar o Meterpreter para outro processo.
• multicommand.rb - Script para rodar múltiplos comandos no Windows 2003, Vista, XP e 2008.
• multi_console_command.rb - Script para rodar múltiplos comandos em uma sessão do Meterpreter.
• multi_meter_inject.rb - Script que injeta um payload meterpreter reverse tcp na memória em diversos processos, se nenhum destes processos for iniciado, a sessão será iniciada pelo processo notepad.
• multiscript.rb - Script para rodar múltiplos scripts em uma sessão do Meterpreter.
• netenum.rb - Script para realizar ping sweeps no Windows 2003, 2008, XP e Vista usando comandos nativos.
• packetrecorder.rb - Script para capturar pacotes e salvar em um arquivos PCAP.
• panda2007pavsrv51.rb - Esse módulo explora uma vulnerabilidade no Panda Antivirus 2007, utilizado para elevar os privilégios do atacante.
• persistence.rb - Script para criação de um backdoor no host.
• pml_driver_config.rb - Explora uma vulnerabilidade no driver PML da HPZ12, para elevar privilégios.
• powerdump.rb - Meterpreter usa apenas PowerShell para extrair usuários e hashes de senhas das chaves de registro. Esse script necessita estar rodando como System para que funcione. Testado em Windows 2008 e 7.
• prefetchtool.rb - Script para extrair informações da pasta prefetch do Windows.
• process_memdump.rb - Script baseado no paper Neurosurgery With Meterpreter.
• remotewinenum.rb - Esse script vai enumerar hosts Windows passando como parametro um usuário e senha, usando ferramentas nativas do Windows.
• scheduleme.rb - Script para automatizar diversas tarefas durante um pentest. Funciona em Windows XP, 2003, 2008 e Vista.
• schelevator.rb - Explora uma vulnerabilidade para elevação de privilégios através do Windows Vista/7/2008 Task Scheduler 2.0.
• schtasksabuse.rb - Similar ao schelevator.rb, mas possibilitando ataques múltiplos a outras máquinas.
• scraper.rb - Obter informações do sistema.
• screenspy.rb - Este script abre uma visualização interativa da tela do alvo. Necessário Firefox instalado.
• screen_unlock.rb - Script para habilitar compartilhamento de tela. Necessita privilégios de System.
• screen_dwld.rb - Script que busca recursivamente e baixa arquivos que batam com padrão especificado.
• service_manager.rb - Script para gerenciar serviços Windows.
• service_permissions_escalate.rb - Script que varre a máquina alvo em busca de serviços mal configurados onde possa injetar um payload para quando reiniciado o serviço eleve os privilégios do atacante.
• sound_recorder.rb - Script para gravar o som através de um microfone na máquina obviamente.
• srt_webdrive_priv.rb - Explora uma vulnerabilidade para elevar seus privilégios no  South River Technologies WebDrive.
• uploadexec.rb - Script para mandar executáveis para o host.
• virtualbox_sysenter_dos.rb - Script para ataque DoS no Virtual Box.
• virusscan_bypass.rb - Script que "mata" o Mcaffe VirusScan Enterprise v8.7.0i+.
• vnc.rb - Meterpreter para obter a versão do VNC.
• webcam.rb - Script para obter imagens da webcam, obviamente.
• win32-sshclient.rb - Script para rodar o comando "plink" para cliente ssh. Suportado apenas no Windows 2000,XP e Vista.
• win32-sshserver.rb - Script para instalar e rodar o OpenSSH no alvo.
• winbf.rb - Script para verificar a politica de senhas do host.
• winenum.rb - Enumerar informações do Windows, incluindo variáveis de ambiente, interfaces de rede, roteamento, contas e etc.
• wmic.rb - Script para rodar comandos WMIC no Windows 2003, Vista, XP e 2008.

Fonte: Wonder How To

Read More

Porque devemos atualizar nossos softwares?

Venho notando quando converso com pessoas mais desapegadas com segurança da informação, e impressionantemente os resultados são unanimes, ninguém se preocupa em atualizar seus sistemas, softwares e gadgets.

Muitos técnicos e profissionais de TI tem um certo receio de atualizar seus sistemas, receio de que todo o trabalho empregado em servidores e sistemas vá por água abaixo quando os novos patchs sejam aplicados.

Pode até ser que em alguns casos as atualizações possam esculhambar com seus dados e sistemas, mas basta pensar nos riscos que você corre por não atualizar e já começa a valer a pena o upgrade.

A Microsoft por exemplo já não presta suporte a muitas versões do seu sistema, isso quer dizer, não lança mais patchs de segurança e qualquer pessoa com um conhecimento bem básico dos ataques já pode causar um baita estrago, e vocês não fazem idéia a quantidade de empresas que eu já vi com apenas um servidor Windows NT rodando na empresa, e se não estão lembrados, essa versão do sistema é vulnerável ao famoso e mulambo exploit ms08_067_netapi.

Um outro exemplo é os dispositivos móveis da Apple, onde 50% dos usuários não gostaram e não aderiram a nova versão do sistema o iOS 7. Mas veja abaixo um exemplo do risco que seus dispositivos com a versão 6 do sistema da Apple correm e seus dados também por consequência. No vídeo abaixo pesquisadores de segurança franceses descobriram um modo de utilizar força bruta para atacar a senha dos dispositivos sem que o aparelho bloqueie após 5 tentativas. Como a senha padrão é de 4 números, em alguns minutos ou na pior das hipóteses horas, podemos quebrar a senha e ter acesso aos dados.

Read More

Cibercriminosos continuam a explorar brechas conhecidas, diz Kaspersky

Em um estudo conjunto realizado pela Kaspersky Lab e pela Outpost24, brechas não corrigidas continuam a ser um popular vetor de ataques.

Cibercriminosos ainda fazem uso extensivo de vulnerabilidades conhecidas, até mesmo ataques 0-day permanecem em ascensão.

Em um estudo conjunto realizado pela Kaspersky Lab e pela Outpost24, brechas não corrigidas continuam a ser um popular vetor de ataques.

O pesquisador sênior de segurança da equipe de análise e pesquisa global  da Kaspersky, David Jacoby, disse que esta situação está levando os criminosos a hackear as pessoas que administram o sistema, em vez do próprio sistema corporativo.

"Os resultados são uma 'chacoalhão' para quem procura soluções de segurança personalizadas que cobrem 'as ameaças do futuro'", disse ele. "Isso destacou que treinar sua equipe para ser prudente é super importante".

Apesar das empresas pagarem por um serviço dedicado para cuidar de sua segurança, a pesquisa identificou que alguns sistemas corporativos permaneceram sem correção e vulneráveis por uma década.

Mesmo assim, Jacoby disse que os hotéis e empresas privadas até o momento "mostraram uma maior conscientização e segurança" que organizações governamentais.

Questão global

O diretor de segurança da Outpost24, Martin Jartelius, disse que a pesquisa conjunta destaca como simples ataques a redes corporativas podem surtir efeito, sem que seja necessário recorrer aos caros exploits 0-day.

"Quer se trate de explorar práticas de segurança mal-aplicadas, dispositivos de segurança mal configurados ou a falta treinamento de segurança das equipes, as empresas devem entender que é possível assumir o controle da maioria das partes da organização, mesmo que não sejam utilizados quaisquer novos ataques ou métodos", disse.

Jartelius acrescenta que o tempo entre quando uma vulnerabilidade é detectada e quando é corrigida é "quase o mesmo em todos os países", indicando que esta é uma tendência global.

"É, portanto, essencial mudar a abordagem de segurança de ferramentas autônomas para soluções integradas como parte dos processos de negócios", disse.

Fonte:  IDG Now

Read More

NSA gasta milhões de dólares comprando vulnerabilidades em sistemas

Bem como qualquer agência, a NSA contrata empresas para ajudar em suas funções. Mas o que foi descoberto por meio de alguns documentos é que boa parte dessas contratações vão para empresas com origem meio duvidosa, a agência está enviando dinheiro em troca de malwares usados para espionar governos de outros países.

Apenas esse ano, a NSA secretamente gastou mais de 25 milhões procurando vulnerabilidades de software de vendedores de malware privados, de acordo com relatórios.

Empresas como Microsoft já alertam o governo das falhas de seus sistemas antes mesmo de serem desenvolvidas correções, permitindo que a NSA tenha a chance de criar exploits para essas falhas, mas estão indo muito mais além, procurando pela internet pessoas que tenham falhas que nem os fabricantes saibam que exista - vulnerabilidades estas conhecidas como "zero-days".

A pergunta que fica é, de quem a NSA está comprando?

Um dos mais famosos no ramo é a Vupen, uma empresa francesa especializada em vender exploits zero-day. Em 2011, um documento disponibilizado publicamente pelo WikiLeaks mostrou que a Vupen poderia entregar códigos de exploits exclusivos descobertos pelos seus pesquisadores de segurança.

"Esta é uma abordagem segura e confiável de ajudar agências e investigadores em atacar e ganhar acesso a computadores remotamente", descreve o documento.

Tirando vantagem deste serviço, governos podem comprar o plano de assinatura anual. A assinatura vem com um número de créditos que são gastos comprando zero-days. Quanto mais sofisticado os bugs mais créditos são necessários.

Em 2012, pesquisadores da Vupen descobriram um bug no Google Chrome, o que poderia render cerca de 60 mil dólares do Google, mas optaram por por a venda o código por um valor muito maior. A empresa também anunciou que irá abrir um escritório bem próximo do centro de operações da NSA, em Fort Meade.

O WikiLeaks identificou um total de 100 empresas participando da vigilância eletrônica, mas nem todos estão envolvidos com a venda de vulnerabilidades de software.

Zero-days são particularmente efetivos e podem ser vendidos por centenas de milhares de dólares cada.

O mercado existe em uma área cinza. Além desse ponto, está a NSA com algo similar a um mercado negro, apoiando a comercialização deste tipo de coisa.

Fonte: The Washington Post

Read More

Crackers integram exploit a kits e atacam vulnerabilidade Java já corrigida

Exploit tem como alvo vulnerabilidade crítica que afeta todas as versões do Java anteriores ao Java 7 Update 25 e permite a execução remota de código.

Os cibercriminosos foram rápidos para integrar um exploit recém-lançado para uma vulnerabilidade Java corrigia em junho a uma ferramenta usada para lançar ataques em massa contra os usuários, informou um pesquisador independente de malware.

O código malicioso tem como alvo uma vulnerabilidade crítica identificada como CVE-2013-2465, que afeta todas as versões do Java anteriores ao Java 7 Update 25 e permite a execução remota de código. A falha foi corrigida pela Oracle durante a June Critical Patch Update for Java.

O exploit foi divulgado na segunda-feira (12) pela equipe de pesquisa em segurança da Packet Storm Security, que originalmente o adquiriu por meio do seu programa de recompensas de bugs como um exploit 0-day - um exploit para uma vulnerabilidade não corrigida.

A Packet Storm publicou os exploits que adquiriu 60 dias após recebê-los, com a permissão de seus autores, para que outros profissionais de segurança pudessem usá-los para realizar testes de penetração e avaliações de risco de segurança.

Dois dias depois do seu lançamento, o exploit CVE-2013-2465 já foi integrado nos chamados kits de exploração - ferramentas de ataque que infectam computadores com malware, explorando as vulnerabilidades em um software desatualizado quando os usuários visitam páginas comprometidas.

Um pesquisador independente de malware que usa o pseudônimo Kafeine identificou uma instalação ao vivo do kit de exploração Styx, anteriormente conhecido como Kein, que está usando o tal novo exploit.

Do ponto de vista de um atacante, o exploit para a CVE-2013-2465 é melhor do que o exploit para a CVE-2013-2460 - outra vulnerabilidade Java também corrigida em junho, que foi recentemente integrada a um kit de ferramentas de ataque diferente chamado Private Exploit Pack, disse Kafeine nesta quinta-feira, em um post no seu blog. 

A Oracle encerrou o suporte público para o Java 6 em abril e não vai mais lançar atualizações de segurança para ele. Apesar disso, o Java 6 ainda é amplamente utilizado, especialmente em ambientes corporativos.

Um estudo recente da empresa de segurança Bit9 mostrou que mais de 80% dos computadores corporativos possuem o Java 6 instalado. A versão Java mais amplamente implantada nesses sistemas foi a Java 6 Update 20.

A última versão disponível publicamente do Java 6 é o Java 6 Update 45, que também é afetada pelo CVE-2013-2465. A vulnerabilidade foi corrigida no Java 6 Update 51, mas esta versão está disponível somente para os usuários que estenderam os contratos de suporte com a Oracle.

O fato de que um exploit para CVE-2013-2465 estar disponível ao público e já ter sido integrado a toolkits de ataque em massa sugere que essa brecha em breve presenciará uma exploração generalizada. 

Os usuários que ainda precisam atualizar para o Java 7 Atualização 25 podem querer fazê-lo o mais breve possível.

Isso porque a CVE-2013-2465 afeta tanto o Java 6 quanto o 7, enquanto que a CVE-2013-2460 só afeta o Java 7, disse ele.

Referências:

Read More