Month: October 2016

MIMIKITTENZ UNA HERRAMIENTA DE POWERSHELL PARA OBTENER CONTRASEÑAS

Posted on

Hay algunas excelentes herramientas y técnicas disponibles para las pruebas de pentesting que intentan tomar el control total de las cuentas de las víctimas. Los investigadores de pentesting han creado una nueva herramienta y este artículo ofrece una nueva herramienta y técnicas útiles para tomar el control completo después de la explotación de Windows.

El motivo de todas las técnicas de pentesting es obtener acceso a todas las cuentas del dominio como sea posible utilizando las credenciales almacenadas en la memoria del dispositivo que has comprometido.

Mimikittenz es una herramienta PowerShell de post explotación que utiliza el ReadProcessMemory función de Windows () con el fin de extraer las contraseñas de texto sin formato a partir de diversos procesos de dispositivo comprometido.

Según expertos de pentesting de International institute of cyber security, Mimikittenz también puede extraer fácilmente a otros tipos de información de los procesos de destino utilizando patrones de regexque incluyen pero no se limitan a:

  • TRACK2 (tarjeta de crédito) los datos de los procesos comerciales / POS
  • Datos PII
  • Claves de encriptación y todas las otras cosas buenas

Esta herramienta de pentesting tiene como objetivo ejecutar en el espacio de direcciones de memoria de proceso, una vez que un proceso se mató de la memoria “debería” ser limpiado y ser inaccesible sin embargo, hay algunos casos extremos en los que esto no ocurre.

El objetivo de mimikittenz es proporcionar extracción de datos sensibles al nivel de usuario con el fin de maximizar los esfuerzos de post explotación y aumentar el valor de la información recogida por cada blanco.

Acuerdo a experiencia de expertos de pentesting, mimikittenz es capaz de extraer las siguientes credenciales de la memoria:

CORREO WEB

  • Gmail
  • Office365
  • Outlook Web

CONTABILIDAD

  • Xero
  • MYOB

ACCESO REMOTO

  • Juniper SSL-VPN
  • Citrix NetScaler
  • Remote Desktop Web Access 2012

DESARROLLOS

  • Jira
  • Github
  • Bugzilla
  • Zendesk
  • Cpanel

INGENIERÍA INVERSA

  • Malwr
  • VirusTotal
  • AnubisLabs

OTROS

  • Dropbox
  • Microsoft Onedrive
  • AWS Web Services
  • Slack
  • Twitter
  • Facebook

mimikittenz

Advertisements

¿CÓMO GENERAR AUTOMÁTICAMENTE LOS DOCUMENTOS MALICIOSOS PARA EL HACKEAR ALGUIEN?

Posted on Updated on

lucky-strike

La generación de un documento macro malicioso es algo que todos los hackers / los expertos de ethical hacking conocen muy bien. Utilizamos macros maliciosos todo el tiempo para ganar puntos de apoyo cuando otros ataques no funcionan. Los expertos de ethical hacking decidieron que era hora de que tengamos una herramienta que permitiera automatizar tanto como sea posible, nos permiten reutilizar las cargas útiles, e incluir las técnicas de evasión de anti-virus.

Luckystrike es un generador basado en PowerShell de documentos .xls maliciosos (que pronto será .doc). Todas sus cargas útiles se guardan en una base de datos para su fácil recuperación y su incorporación en un documento nuevo o existente. Según expertos de ethical hacking, Luckystrike te proporciona varios métodos de infección diseñados para conseguir tus cargas útiles para ejecutar sin activar el anti-Virus.

Luckystrike es un script de PowerShell basado en menús que utiliza una base de datos sqlite para almacenar sus cargas útiles, dependencias bloque de código, y sesiones de trabajo con el fin de generar documentos .xls maliciosos. Según los profesores de ethical hacking, los cursos de seguridad deben cubrir herramientas como estas.

Luckystrike le permite trabajar con tres tipos de payloads. Las cargas útiles que agregue se almacenan en el catalog, un archivo de base de datos sqlite que se puede utilizar en varias ocasiones, o compartirse entre compañeros de equipo. Según curso de ethical hacking, cada vez que se selecciona una carga útil para utilizar, también debe elegir el tipo de infección, o los medios por los cuales se dará cumplimiento a la carga útil. Puede infectar un documento con varias cargas útiles con diferentes tipos de infección.

lucky-strike-2

TIPOS DE INFECCIÓN

1. Tipo de carga útil: Shell Command

    1. Tipo de infección: Shell Command: Shell command corre a través de PowerShell o cmd.exe. Alta tasa de detección por antivirus.
    2. Tipo de infección: Metadata: Incorpora la carga útil en los metadatos del archivo, concretamente el campo de asunto. ¡Tasa de detección muy baja.

2. Tipo de carga útil: PowerShell Script

    1. Tipo de infección: CellEmbed: Incorpora un código base 64 codificada en las células rotas en pedazos.
    2. Tipo de infección: CellEmbedNonBase64: La inserción es el mismo que el apartado en primer punto anterior, pero no es base64. La escritura se lee directamente de la célula y se dispara a través de PowerShell. Nunca toca el disco. Recomendado por los expertos de ethical hacking!
    3. Tipo de infección: CellEmbed-Encrypted: Al elegir esta, se le pedirá el nombre de dominio de correo electrónico de tu objetivo. El código de macro a continuación, recupera la dirección de correo electrónico del usuario de Active Directory, dividir la cadena, y descodificar la carga útil antes de ejecutar. Recomendado por los expertos de ethical hacking!

3. Tipo de carga útil: Executable

    1. Tipo de infección: Certutil.
    2. Tipo de infección: Save To Disk
    3. Tipo de infección: ReflectivePE

 

JOY: HERRAMIENTA GRATUITA PARA EL ANÁLISIS FORENSE DE RED Y MONITOREO DE SEGURIDAD EN REDES

Posted on

Joy es un paquete para capturar y analizar el flujo de datos de la red y los datos IntraFlow, para el análisis forense, y monitoreo de seguridad en redes. Joy es un paquete de software basado en BSD-licensed libpcap para la extracción de características de los datos del tráfico de red en vivo o paquetes de archivos de captura, utilizando un modelo de flujo orientado similar a la de IPFIX o Netflow, y después representar estas funciones de datos en JSON. También contiene herramientas de análisis de seguridad en redes que se pueden aplicar a estos archivos de datos. Joy puede ser utilizado para explorar los datos a escala, especialmente los datos de seguridad en redes, digital forensics y las amenazas relevantes.

Se utiliza JSON con el fin de hacer el resultado fácilmente consumible por herramientas de análisis de datos. Mientras que los archivos de salida JSON son algo más detallados, ellos son razonablemente pequeños, y ellos responden bien a la compresión. Los expertos de seguridad en redes y digital forensics pueden configurarse Joy para obtener el flujo de datos dentro, es decir, los datos y la información sobre eventos que se producen dentro de un flujo de red incluyendo:

  • La secuencia de longitudes y tiempos de llegada de paquetes IP, hasta un cierto número de paquetes configurable.
  • La empirical probability distribution de los bytes dentro de la porción de datos de un flujo, y la entropía derivada de ese valor.
  • La secuencia de longitudes y tiempos de llegada de los registros TLS.
  • • Otros datos no encriptados TLS, tales como la lista de conjuntos decipher suite que se ofrecen, el ciphersuite seleccionado, la longitud del campo clientKeyExchange, y las cadenas de certificado de servidor.
  • Nombres DNS, direcciones y TTL.
  • Elementos de encabezado HTTP y los primeros ocho bytes del HTTP body.
  • El nombre del proceso asociado con la corriente, para los flujos de origen o destino final en el host en el que se está ejecutando PCAP.

Joy ha sido ejecutado correctamente y probado en Linux (Debian, Ubuntu, CentOS) y Mac OSX por Los expertos de seguridad en redes y digital forensics. El sistema ha sido construido con gcc y GNU make, pero debería funcionar con otros entornos de desarrollo también.

Joy es para el uso en la investigación de seguridad en redes, digital forensics, y para el monitoreo de las seguridad en redes (a pequeña escala) para la detección de vulnerabilidades, amenazas y otros comportamientos no autorizados o no deseados. Los investigadores, administradores, pruebas de penetración, digital forensics y los equipos de operaciones de seguridad en redes pueden poner esta información a buen uso, para la protección de las redes siendo monitoreados, y en el caso de las vulnerabilidades. Al igual que con cualquier herramienta de monitoreo de seguridad en redes, Joy potencialmente podría ser mal utilizada; no lo use en cualquier red de los cuales usted no es el propietario o el administrador.

joy-forense

https://github.com/davidmcgrew/joy

¿CÓMO HACER ANÁLISIS AUTOMATIZADO DE MALWARE CON CUCKOO?

Posted on

Cuckoo es un sistema de análisis automatizado de malware  de fuente abierta.

Los profesionales de ethical hacking, utilizan Cuckoo para ejecutar y analizar automáticamente los archivos y recoger los resultados comprensivos del análisis que describen lo que hace el malware mientras se ejecuta dentro de un sistema operativo aislado.

Según expertos de ethical hacking, puede recuperar los siguientes tipos de resultados:

  • Los rastros de las llamadas realizadas por todos los procesos generados por el malware.
  • Los archivos han sido creados, borrados y descargados por el malware durante su ejecución.
  • Los volcados de memoria de los procesos malware.
  • El rastro del tráfico de red en formato PCAP.
  • Imágenes tomadas durante la ejecución del malware.
  • La memoria completa de la papelera de reciclaje de las máquinas.

Cuckoo Sandbox comenzó como proyecto de equipo de ethical hacking de Google en 2010 dentro del Proyecto Honeynet. Cuckoo está diseñado para ser utilizado tanto como una aplicación independiente así como para integrarse en frameworks más grandes, gracias a su diseño extremadamente modular.

Se puede utilizar para analizar:

  • Ejecutables de Windows genérico
  • Los archivos DLL
  • Los documentos PDF
  • Documentos de Microsoft Office
  • URLs y archivos HTML
  • Escrituras de PHP
  • Los archivos CPL
  • (VB) scripts de Visual Basic
  • Archivos ZIP
  • JAR de Java
  • Los archivos de Python
  • Casi cualquier otra cosa

cockoo1

cockoo

Gracias a su modularidad y capacidades de scripting de gran alcance, no hay límite en lo que puedas lograr con Cuckoo.

ARQUITECTURA

CuckooSandbox consiste en un software de gestión central que se encarga de la ejecución y el análisis de las muestras.

cuckoo

Según expertos de Ethical hacking de IICS, cada análisis se lanzado en una fresca y aislada máquina virtual o física. Los principales componentes de la infraestructura de Cuckoo son Host machine (software de gestión) y un número de máquinas de clientes (máquinas virtuales o físicos para el análisis).

El Host ejecuta el componente principal de sandbox que gestiona todo el proceso de análisis, mientras que los huéspedes son los entornos aislados, donde las muestras de malware consiguen efectivamente realizarse y analizarse de forma segura por un experto de ethical hacking.

 

¿CÓMO HACER UN ANÁLISIS DE MALWARE CON MALHEUR?

Posted on

Malheur es una herramienta para el análisis automático del comportamiento del malware (comportamiento grabado del malware en un entorno de sandbox). Ha sido diseñado para apoyar el análisis periódico de un software malicioso y el desarrollo de las medidas de detección y de defensa por expertos de ethical hacking. Malheur permite la identificación de nuevas clases de malware con un comportamiento similar y la asignación de malware desconocido a las clases descubiertas y es parte del curso de Malware Reverse Engineering de iicyberecurity IICS.

ANÁLISIS DEL COMPORTAMIENTO DEL MALWARE?

Malheur se basa en el concepto de análisis dinámico: los binarios de malware son recogidos desde internet  y se ejecutan en un entorno de sandbox, donde se controla su comportamiento durante el tiempo de ejecución. La ejecución de cada uno de los resultados binarios de malware se registra en un informe de comportamiento. Según consultores de ethcial hacking,  Malheur analiza estos informes para el descubrimiento y la discriminación de las clases de malware utilizando inteligencia artificial con Malware Reverse Engineering.

Malheur se puede aplicar a la conducta registrada por varios formatos, siempre y cuando los sucesos supervisados sean separados por símbolos delimitadores, por ejemplo como en los informes generados por los populares malware sandboxes CWSandbox, Anubis, Norman SandBox y Joebox.

malheaur-malware

Extracción de prototipos. A partir de un determinado conjunto de informes, Malheur identifica un subconjunto de prototipos representativos para el grupo de datos completos. Los prototipos proporcionan una visión general del comportamiento registrado y pueden ser utilizados para guiar Malware Reverse Engineering manual.

La agrupación de comportamiento. Malheur identifica automáticamente los grupos (clusters) de informes que contienen un comportamiento similar. La agrupación permite descubrir nuevas clases de malware y proporciona las bases para la elaboración de mecanismos de detección y defensas específicas, como las firmas de los antivirus explican Kim Denver, un experto de Malware Reverse Engineering y Ethical hacking.

Clasificación del comportamiento. Sobre la base de un conjunto de informes previamente agrupados, Malheur es capaz de asignar un comportamiento desconocido para grupos conocidos de malware. La clasificación permite la identificación de nuevas variantes de malware y se puede utilizar por los profesionales de ethical hacking para filtrar el comportamiento del programa antes de la inspección manual.

El análisis incremental. Malheur se puede aplicar de forma incremental para el análisis de grandes conjuntos de datos. Mediante el procesamiento de informes en trozos, los requisitos de tiempo de ejecución y la memoria se reducen significativamente. Esto convierte la aplicación a largo plazo viable, por ejemplo, para el análisis diario de malware durante procesos de Malware Reverse Engineering.

La entrada de malheur es un dataset que contiene los informes de comportamiento del malware. El conjunto de datos se proporciona ya sea como un directorio o un archivo comprimido que contiene los informes.Malheur soporta los siguientes formatos de archivos comprimidos: tar.gz, zip, pax y cpio. Un informe es un documento de texto que describe la actividad registrada de un programa de malware, donde los eventos individuales están separados por caracteres delimitadores, como el espacio en blanco o transporte de regreso. Se espera que los eventos en un informe estén en orden secuencial. Si el comportamiento se representa usando malware instruction set (MIST) otras opciones podrán ser seleccionadas. Cualquier curso de Malware Reverse Engineering o ethical hacking debe cubrir MIST en el curso. El resultado de un análisis se escribe en un archivo, un archivo de texto que contiene las columnas correspondientes con determinados resultados del análisis. De forma predeterminada se establecen en un archive que se llama malheur.out.

La configuración y el estado interno de malheur están almacenados en el directorio maldir. Si no existe este directorio, se crea y la configuración de todo el sistema se copia. Malheur apoya diferentes acciones para el análisis de un conjunto de datos según expertos de ethical hacking. Para todas las acciones de los informes se asignan primero a un espacio de vectores de altas dimensiones, de tal manera que cada informe se representa como un vector característico.