miércoles, 28 de septiembre de 2011

¿Mirror como descarga oficial?

           
Mientras revoloteaba por las aulas con un mantenimiento de 80 equipos, no podía permitirme perder tiempo entre clic y clic para encontrar algo a mi parecer escalofriante. Llegó el momento de actualizar el conocido navegador de Firefox, ya saben que cualquier software sin actualizar, hoy en día es como dejar una puerta abierta a cualquier graciosillo con ganas de fiesta, así que me dirigí hacia la página oficial.

Cuando llevaba demasiados sistemas actualizados sin ningún descanso, mi paranoia entró en un modo de agresividad, en el que cualquier estímulo que recibían mis neuronas se manifestaba como ataque de parte de cualquier medio externo... sin más rodeos, me resulto raro que la descarga OFICIAL de Mozilla Firefox, viniese de diferentes dominios generados de forma aleatoria, entre todos los mirrors que enlazan la descarga, ya sea una actualización o simplemente la primera instalación.
Para que vean un poco más conciso de que estoy hablando, dejo una captura a continuación de varios clic sobre el botón de descarga.



La cuestión es:

¿Qué tan importantes son estos mirrors para enlazarse como oficiales?
No pude evitar echarle un ojo, para determinar que tipo de organizaciones eran las que obsequiaban a Firefox con un subdominio en el que alojar las actualizaciones. En su gran mayoría universidades.
¿Qué tienen las universidades que no tienen el resto de webs?
Gestores de contenidos como Joomla o Moodle, salas de chat, blogs, lugares de encuentro para intercambio de información...

¡todo lo que un malvado informático como yo desearía para pasar el rato!
Acceder a Firefox para modificar los enlaces de descarga de sus actualizaciones debe de ser complejo, pero a una universidad, no sé, la verdad que me suena algo más atractivo.
Por casualidad accedí a uno de los dominios citados en la primera imagen, en el que me llamó la atención unos simples Warnings.



Pertenecían al dominio de descargas, así que se me ocurrió apretarle fuerte para ver si salía algo más.
¿Por qué el subdominio no iba a estar dentro del servidor comprometido?
Un XSS reflejado junto a un error de MySQL.


Del que se puede inyectar cualquier consulta que se nos ocurra.



Como dije anteriormente, las salas de chats también resultan comprometidas, pues en esta tenemos hasta un XSS persistente.




Dando una vuelta por otro de los dominios... SQLi por todas partes.




Tenemos posibilidades de sobra para acceder a los servidores y conseguir rootearlos.
En el caso de pertenecer al mismo servidor

¿Cuanto nos llevaría dar con las carpetas de descargas?
Saludos 4n4les! ;)
Publicado por Germán Sánchez Garcés en 15:15 6 comentarios
Etiquetas: , , , ,

lunes, 19 de septiembre de 2011

Otro iframe tocapelotas

Después de un Domingo noche más que intenso, mientras me arrastraba por los suburbios del oscuro Madrid junto a la única persona que es dos veces animal, y no, no es gato ni cobra. No podía retrasarme tanto en publicar algo para mi pequeño grupo de Followers, que atrapados intento no se me escapen corriendo, por algunos temas que posiblemente bochornosos trato de describir.
Hoy vengo a contaros una pequeña anécdota que pensé que podía interesaros, pues hace no mucho tiempo algo apareció por el blog en un pequeño estudio sobre el Spam y las redes organizadas que mueven todo lo referido al phising, robo de credenciales bancarias, intrusión en servidores de terceros... y un sin fin de agentes que se llevan a cabo, para hacer algo que para otros puede resultar tan simple como enviar un mail, de ahí la paranoica de esconder sus movimientos en la red.
No sé cuantos de vosotros tendréis hostin con Arsys, es posiblemente una de las empresas más conocidas en España para alojamiento web. Dicha empresa, utiliza un Webmail con filtrados Spam de serie, a mi parecer realmente pésimos, o bueno, al menos es lo que veo.



En el panel de acceso, recientemente agregaron la posibilidad de acceder con otros estilos más limpios y claros, un poco para estar a la última en aspecto visual. Además, facilitaron la interpretación de HTML en los correos entrantes, así no nos volvemos locos entre tanto código como en la anterior versión. Este puede ser un punto a su contra en lo que ha seguridad se refiere, pues fácilmente nos pueden colar algún código o imágenes con hipervínculos que mediante ingeniería inversa, hagan creer verdades a medias.
Para la demostración entraremos en la versión de siempre, aveces no nos gusta renovarnos ¡sino díganle a mi padre que salga del MS-Dos que me trae loco!



El tema chungo viene cuando en nuestra bandeja de entrada, recibimos un correo similar al siguiente.



La nota del mensaje y el enlace del BBVA me encanta, pues aunque parezca texto puro y duro, no es más que una imagen con un eje de coordenadas en HTML que enlazan a otra web oculta, aprovechándose de un servidor vulnerado, con un subdominio creado para la ocasión, así hacer un poco más creíble el intento de estafa.
El momento en el que culminan con un phising perfecto, es cuando nuestro querido Webmail, no muestra ni tan siquiera la URL que estamos visitando, pues tenemos la web embebida dentro de un Iframe. ¡Así que ayudan involuntariamente en hacer creible el timo!



Una vez ingresas tus datos, dentro tienes opciones para elegir si quieres rellenar con tu NIF, o si te apetece directamente poner los datos de tu tarjeta, al igual que cuando haces una compra por internet, una vez rellenados te reenvían a la original y todos felices.

¿Tendrán algún tipo de recompensa Arsys de parte de los Spamers? ¡Por qué a mi me tenéis frito!
Saludos 4n4les! ;)
Publicado por Germán Sánchez Garcés en 20:58 5 comentarios
Etiquetas: ,

sábado, 10 de septiembre de 2011

¿Ataques DDos automatizados?

Debo de ser aficionado a meter los Ddos en los lugares más recónditos enelpc y fuera de él, pues de casualidad llegué de nuevo, a una sentencia vulnerable en el mundo de las aulas virtuales. Anteriormente ya publiqué algo similar en esta entrada, aunque esta vez, el fallo se encuentra en un algoritmo creado para dar el refresco de actualización, a las ventanas de Chat que reciben los mensajes dentro de la conocida plataforma Moodle.
El contador de espera, que recoge la variable “&wait=”, tiene una peculiar forma de ir aumentando su tasa de refresco, según aumenta a su vez los segundos a la espera. La URL es la siguiente:
http://Dominio.com/Moodle/message/refresh.php?id=1&name=enelpc.com&wait=1
 
A su vez el campo “&name=”, rescata el nombre de usuario de la base de datos que contiene mensajes nuevos.
Me llamó la atención ver como la tasa de refresco, se incrementaba con no demasiada lógica, pues la variable “&wait=”, mostraba la siguiente secuencia de números.
&wait=1, &wait=3, &wait=4, &wait=5, &wait=6, &wait=8, &wait=10, &wait=12, &wait=15, &wait=18, &wait=22, &wait=27, &wait=33...
¿Qué cojones está pasando? ¿No saben sumar 1 y evitan problemas?
Así que no dudé dos veces en acceder a través del Terminal Service, para leer el dichoso PHP que creaba este comportamiento.
Refresh.php me contaba lo siguiente:

**************************************************************************
            if ($wait < 300) {                     // Until the wait is five minutes 
$wait = ceil(1.2 * (float)$wait);  // Exponential growth
**************************************************************************
 


Obviamente, solo me tenía que centrar en esta línea.
********************************************************
$wait = ceil(1.2 * (float)$wait);  // Exponential growth
********************************************************

La función ceil en php, devuelve el siguiente valor entero mayor, redondeando el valor si es necesario, así que si el resultado es por ejemplo 1,2 aun siendo más lógico redondear al valor menor, se transformaría a ser un 2.

Realmente la práctica es mucho más sencilla que el trabalenguas que os acabo de explicar, así que para entender el algoritmo mejor, veamos un ejemplo:

1
1*1,2 = 1,2 ->2
2*1,2 = 2,4 ->3
3*1,2 = 3,6 ->4
4*1,2 = 4,8 ->5
5*1,2 = 6 ->6
6*1,2 = 7,2 ->8
8*1,2 = 9,6 ->10
10*1,2 = 12 -> 12
12*1,2 = 14,4 ->15
15*1,2 = 18 -> 18
18*1,2 = 21,6 -> 22
22*1,2 =26,4 -> 27
27*1,2 = 32,4 -> 33
33...
 
Hasta aquí todo perfecto, el valor se incrementa constantemente, y nunca tiene el motivo de llevar a error.
¿Pero que número es el único que multiplicado por 1,2 consiga un comportamiento anómalo?
0

0*1,2 = 0 -> 0 (Cada cero segundos repite su ejecución) Cero por cualquier número es igual a cero.
El redondeo lleva a un número entero mayor que -1 y menor que 1, del cual no se puede esperar una tasa de refresco con incremento, así que las peticiones que este conlleva al servidor, se ahogan en continuos e infinitos GET.
Llevemos a la práctica mi teoría, mientras Tamper Data hace el trabajo sucio.



En intervalos de imperceptibles milisegundos, se lleva a cabo innumerables peticiones GET que el servidor no tiene más remedio que contestar, así incrementando el tráfico hasta poder llegar a colapsarlo sin necesidad de otro software que automatice la tarea, a lo que están acostumbrados nuestros amigos Anonymous.
Con esto no solo disminuiremos la velocidad para responder peticiones del servidor, si no también sus recursos entre otras cosas, porque estamos haciendo conexiones directamente a la base de datos, para recuperar el nombre de usuario y leer las tablas.
Así que desde la parte servidor nos encontraremos con este panorama:



Seguro más de un administrador, se volvería loco al ver tantas peticiones desde su localhost, siendo estas invocadas por el archivo refresh.php, hacia el puerto 3306, o más bien el utilizado por defecto en MySQL. Todo esto incluso podría llegar a Crashear la tabla de la base de datos, como alguna vez pasó con indetectables y algún listillo que dentro de poco se verá acusado por posesión de Botnets.
Por otro lado el FIX para las versiones de Moodle, sería tan simple como agregar un “if”. Si el valor es menor a 1, que devuelva 1, de esta forma conseguiremos que el algoritmo creado por los desarrolladores del proyecto, no pudiese ser modificado a manos de terceros.



Para aquellos que quieran corregir el archivo o simplemente sean tan despiadadamente paranoicos como Germán, en este tema de la seguridad, ya saben lo que deben de hacer.
Saludos 4n4les! ;)

Publicado por Germán Sánchez Garcés en 20:19 5 comentarios
Etiquetas: , , , ,

lunes, 5 de septiembre de 2011

Espionaje, cuerpos sexys y datos robados Parte 2

##################################################################################
##################################################################################

Si la anterior entrada no sabía como empezarla, era porque estaba dándole vueltas en como culminar la siguiente. El novato, nos dio un respiro al publicar una pista “el código fuente de los estilos”, que encontramos en los logs capturados por Ardamax. Ahora solo nos quedaba encontrar al “hackabrón” que hizo públicos sin saberlos, todos esos archivos robados del servidor.
Se me ocurrió una estúpida idea de las mías... bajarme TODA la página web, a uno de mis discos duros ¡Claro! ¡No tengo permiso para entrar a ningún sitio privado! ¿Pero y si todos los datos importantes son públicos?

El principal problema, es que el hostin baneó mi IP. Supongo que no les haría tanta gracia como a mí, que un desconocido cree tantas conexiones a su servidor, pero no le dan tanta importancia a lo que otros albergan en él.
No tuve que moverme demasiado, para dar con algo que llamó mi atención.
(Recorté las fotografías... a ellas le gustan grandes pero a nosotros no)



Es irónico encontrarse a una de las personas infectadas por el keylogger, con una sesión de FTP abierta en el servidor donde se alojan los archivos robados y en otra ventana el hostin. Pero sin duda lo más gracioso, es encontrarse el servidor donde estaba colgado el ejecutable con extensión COM y la dirección de dicha persona enviándose el correo así mismo.
Bueno, supongo que son cosas que pasan, uno juega con fuego, hasta que se infecta de su propio troyano y se termina robando a uno mismo ¡miren el lado bueno! ¡la ley no castiga los auto-robos!
El tema es que dando vueltas por las imágenes, vi que era un tipo que más o menos sabía lo que se hacía, pues para no dejar rastros en muchos de sus movimientos, se le ocurrió una idea más fantástica aun que la mía, instalar Deep Freeze, pues esperemos que congelase el estado del sistema antes de instalar el sever del Keylogger, sino estamos apañados.

Hablo asegurando que esta siguiente fotografía, aun ser de un sitema diferente, era consciente del servidor robado, pues también existe una imagen, donde se visita dicho dominio desde este.




Casi asusta, pero cada uno es libre de dedicarse a lo que quiera, unos venden Ford Scorts otros mujeres Escorts...
Decidí pasar de las fotos obscenas, a los ficheros HTML en busca de más porno, aunque para suerte de esta entrada, también encontré su propia contraseña de Hotmail, donde el presunto “hackabrón” se reenvió el ejecutable infectado “hackeandose” de nuevo.


 

El decimal 64 en Assci, pasó hace mucho tiempo a ser la @, aunque el 6464, puede ser debido al parkison informático.
Si seguimos jugando, seguro encontraremos más cosas divertidas...



Pero seguro que nada importante ya ven.
PD: ¡No quiero que ahora se pongan todos como locos a borrar los ficheros de sus Ardamax! ¡No sin antes pasarme las capturas de pantalla!
Saludos 4n4les! ;)
Publicado por Germán Sánchez Garcés en 23:57 7 comentarios
Etiquetas: , , , , , , , ,

jueves, 1 de septiembre de 2011

Espionaje, cuerpos sexys y datos robados Parte 1

##################################################################################
##################################################################################


La verdad, no sé por donde coger esta entrada, tengo tanto de lo que hablar y más pensando en lo acostumbrados que están mis lectores a marearse entre los floripondios tan agitados, casi vomitivos con los que estoy familiarizado a utilizar enelpc, que bueno... en fin, bienvenidos a mi montaña rusa.

No sé si alguno de vosotros tuvo ese turbio y obsceno pensamiento, de hacerse fotos sexys, poniendo su mejor cara, ante una cámara y subirlas a una página, para que las chicas guarr... digo guapas que viven detrás de tu bloque, te firmen o puntúen, para más tarde tener una cita, y bueno ya saben... eso que hace todo el mundo, pero que todo el mundo está empeñado en esconder ¡no piensen mal! ¡no son nuestras IP!
¿Por qué por “internete” los feos también ligamos?
Pues sí, tenía la ilusión de encontrar algún bug en la famosa web de Sexyono.com ¡no me digan que no la conocen! ¡Si todos tenemos una foto subida seguro! El tema es que cuando se me terminaron las variables y las jeringuillas SQL, empecé a buscar en Google. Primero pensé en acceder a alguna cuenta que no fuese mía, (wooh) pensé demasiado... pues ya saben lo generoso que llega a ser Google cuando se empeña, ahora pensemos todos juntos mejor chicos.
¿Qué vé un usuario registrado a diferencia de uno sin registro?
¡Claro! Un panel con “Mis Coincidencias”, “Mis Mensajes”... ¿Cerrar sesión?

Pues nada, a buscar como loco con búsquedas avanzadas.




Escandalosamente, me encontré con nombres de usuario accesibles, o más bien perfiles indexados por Google, mediante una URL con un par de variables interesantes, “u=” la de usuario cifrada y “key=” que trasporta la clave de acceso.

Aunque aveces, no me gusta meterme en donde no me llaman y terminé asustado por la brutalidad de pede*a*t*s que se aprovechan de chicos menores a mi parecer, sin el más mínimo miedo.



La duda me traía loco, así que no podía faltar una pequeña investigación para intentar llegar a alguna lógica en todo esto.
¿Qué hacían dichos enlaces indexados? ¡pues de algún sitio tuvieron que salir digo yo!
Se me ocurrió buscar uno de los enlaces (“acortándolo un poco, pues ya saben que aveces el buscador es un poco (“tikismikis”)”), junto a la variable que lleva el nombre de uno de los usuarios cifrado, con lo que llegué a un subdominio que lo albergaba, como muestra la siguiente imagen.




Al acceder al subdominio, pude ver que se trataba de un hostin free, que “alguien” utiliza para alojar en este, miles de archivos como capturas de pantalla, conversaciones, claves de acceso a sitios... ¿ya saben por donde va la cosa?



Indagando entre fotos, conversaciones, páginas pornográficas, facebUks y mil guarrerías robadas, me llamó la atención saber el nombre de la aplicación utilizada por el supuesto “hackabrón” que se había montado todo este embolado. Así que me tocó buscar un patrón, para dar con alguna pista... ¡pero si solo son capturas y conversaciones! ¿Donde encuentro algo?
Algo estaba cerca, pues los estilos que le daban ese recuadro grisáceo a las fechas de las capturas de teclas, es posible que fuera “único” del supuesto “SpyWare”.
Este tal “Ricks”, estaba infectado hasta la médula...



Así que en busca del patrón, “Ctrl+U” y a inspeccionar el código fuente.



Sin dar muchas vueltas se pudo ver incluso el hostin al que pertenecía.
Copiamos el patrón y a buscar en Google de nuevo, que para mi que de algo me va a servir.

Casi me caí de la silla, pues la suerte me la brindó un pequeño novato de un foro que ya apareció enelpc, junto una larga historia de Google Hacking.
No sé si la recordarán, pero para entrar dentro de tal foro, bastaba con hacerse pasar por Google a base de User-Agent Cloaking, utilizando a GoogleBot 2.1, junto con su traductor o caché y podrán navegar sin registro.
Un pequeño iluso, que intentaba leer sus logs guardados en HTML con un notepad, el Ardamax Keylogger que él mismo configuró, descargados desde un FTP similar al de aquí, nuestro amigo “hackabrón” que hizo enlazar Sexyono robados sin saberlo... Aunque bueno, realmente la culpa es de Sexyono, ¡a quien se le ocurre utilizar esos métodos de “supercifrado” de acceso!
Así que bueno... ¡esto es tooo! ¡esto es tooo! ¡esto es tooo amigos!
Saludos 4n4les! ;)
Publicado por Germán Sánchez Garcés en 22:36 11 comentarios
Etiquetas: , , , , , , , ,
Suscribirse a: Entradas (Atom)