jueves, mayo 26, 2016

Test de penetración redes inalambricas con Drones.

“The Deck” es una distribución con funcionalidades para test de penetración y análisis forense en la plataforma Linux que se ejecuta en el BeagleBoard-xM y BEAGLEBONE (unos pequeños ordenador con la arquitectura ARM). Contiene varios modulos que permiten: ataques coordinados de hasta una milla de distancia usando múltiples dispositivos conectados a través de redes 802.15.4 (MeshDeck), la investigación forense de dispositivos USB (4Deck) y realización de test de penetración de redes WiFi y de seguridad de Drones usando un Drone(AirDeck).


“The Deck” está basada en Ubuntu y cuenta con cientos de herramientas
Pentesting del estilo de Metasploit y Aircrack-ng que han sido exportados a esta plataforma. El bajo consumo de energía de los Beagles (aproximadamente 1 W) permite que estos dispositivos que ejecutan “The Deck” puedan funcionar con batería. En pocas palabras, es un sistema completo que tiene todas las funcionalidades de una Backtrack 5R3 exportado a la plataforma ARM. Al igual que con Backtrack, “The Deck” se basa en Ubuntu.

Poder alimentar el sistema utilizando una batería permite varias posibilidades  a la hora de realizar los test de penetración como:

  • Dejar el sistema en un punto para realizar los test durante unas horas y conectarte remotamente a el para extraer los datos.
  • Dejar el sistema en un punto para realizar los test y recogerlo posteriormente para analizar los datos.
  • Montar el sistema en un Drone y realizar test de penetración a redes inalambricas y a otros Drones. Con la posibilidad de conectarse de forma remota o sin conectarse recogiendo posteriormente los datos una vez en tierra.

El autor del proyecto Philip Polstra utiliza un montaje muy curioso, BeagleBoard-xM con una pantalla táctil de ULCD7 montado en una fiambrera de Buzz Lightyear, un segundo BeagleBoard-xM sin pantalla y un BEAGLEBONE. Y los conecta entre sí con un concentrador de red con conexión USB. Utilizando también 2 adaptadores WiFi Alfa y una antena direccional para las redes WiFi.


Más información y descarga de “The Deck”:
https://sourceforge.net/projects/thedeck

Acerca de  BeagleBoard xM y BeagleBone:
http://beagleboard.org

“Hacking and Penetration Testing with Low Power Devices” por  Philip Polstra.
https://books.google.es/books?id=jieOAwAAQBAJ&lpg=PA9&dq=the%20deck%20hack%20drone&hl=es&pg=PA18#v=onepage&q=the%20deck%20hack%20drone&f=false

Técnicas hacking aplicadas a Dones:
http://www.gurudelainformatica.es/2015/09/tecnicas-hacking-aplicadas-drones.html

viernes, mayo 20, 2016

Entorno Sandbox portátil para análisis de malware.

Noriben es un script basado en Python que funciona en conjunto con Sysinternals Procmon para recopilar automáticamente, analizar e informar sobre los indicadores en tiempo de ejecución de malware. En pocas palabras, permite ejecutar el software malicioso y obtener un informe de texto simple con las actividades de la muestra de malware.


Noriben es una solución ideal para muchos casos de malware poco convencional,  que no funcionarían dentro de un entorno de pruebas estándar. Estos casos pueden ser debidos a: que se requiera argumentos de línea de
comandos, que posea detección de ejecución en maquina virtual o posea ciclos muy largos en su ejecución. Estos problemas se resuelven con Noriben ya que anula todas las comprobaciones anti-análisis. Si el malware tiene una actividad que cambia con el día, sólo hay que poner en marcha Noriben y el malware durante un largo fin de semana y procesar los resultados.

Noriben sólo requiere procmon.exe de Sysinternals. Opcionalmente Procmon permite configurar el entorno de la visualización, con el fin de filtrar el ruido de la actividad benigna del malware. Alternativamente, el filtrado dentro de Procmon puede mantenerse y en su lugar se puede colocar numerosos filtros dentro de Noriben para filtrar el ruido. Lo mas recomendable es usar un filtro moderado dentro de Procmon y el resto filtrarlo desde Noriben, lo que permite analizar rápidamente malware específico que le gusta imitar los servicios benignos del sistema.

Basta con ejecutar Noriben y esperar a que el programa de instalación ejecute el software malicioso en otra ventana. Cuando el malware ha llegado a un punto de la actividad necesaria para el análisis, se detiene Noriben pulsando Ctrl-C. Noriben se detendrá y reunirá todos los datos procesando un informe. A continuación, generara tres archivos con un sellado de tiempo: una base de datos Procmon PML, un documento de texto CSV y un archivo de texto TXT. Los archivos CSV y PML constituyen la principal fuente de actividad y  el archivo TXT el informe final. Si se encuentran demasiados falsos positivos en el informe. Sólo hay que eliminar el archivo TXT, añadir mas filtros directamente en Noriben y volver a ejecutarlo con la opción "-r <nombre de archivo>.csv" para volver a ejecutar el análisis de la CSV.

Más información y descarga de Noriben:
https://github.com/Rurik/Noriben

miércoles, mayo 11, 2016

Herramienta para test de penetración de red, para entornos Android.

cSploit es una herramienta de código abierto (GPL) para test de penetración y análisis de red para Android, que tiene como objetivo ser  un kit de herramientas profesional completo y avanzado, para que expertos en seguridad informática lleven a cabo las evaluaciones de seguridad de red desde un dispositivo móvil.


cSploit es capaz de:

  • Enumerar las máquinas locales conectadas a la red.
  • Encontrar vulnerabilidades.
  • Encontrar exploits para dichas vulnerabilidades.
  • Utilizar esos exploits para obtener acceso al objetivo.
  • Mostrar contraseñas en vulnerabilidades Wifi.
  • Instalar puertas traseras de acceso a sistemas.

Gracias al nuevo núcleo, cSploit es mas fácil de transportar. Básicamente se puede ejecutar en cualquier sistema basado en UNIX, pero por ahora sólo es compatible con Android. En un futuro el autor esta considerando trabajar en: iOS, OS X, GTK + y QT.

Entre sus características destaca:

  • Puede generar un mapa de la red local.
  • Realiza técnicas de Fingerprinting para reconocer sistemas operativos y puertos abiertos.
  • Añade sus propios anfitriones fuera de la red local.
  • Integra una herramienta de traceroute.
  • Integra un marco Metasploit RPCd, con el que es posible: Buscar anfitriones de vulnerabilidades conocidas a través del demonio de Metasploit, ajustar la configuración, la puesta en marcha y crear consolas de shell en los sistemas a atacar.
  • Forjar paquetes TCP/UDP.
  • Realiza ataques MiTM (man in the middle) incluyendo: Reemplazar por contenido propio el contenido de las páginas web sin cifrar (imágenes, texto y video), permite injectar código Javascript para páginas web sin encriptar, esnifar contraseñas (en protocolos de disección común), trabajar con archivos de captura de tráfico de red (pcap), suplantación en DNS para redirigir el tráfico a diferentes dominios, romper las conexiones existentes, redirigir el tráfico a otra dirección y esnifar las cookies no cifradas y clonarlas para capturar sesiones Web.

Android es un sistema operativo que se suele usar en equipos de reducidas dimensiones, implementándole herramientas de test de penetración aporta un gran abanico de posibilidades, sobre todo para los pentester profesionales. La gran ventaja de utilizar estas aplicaciones en dispositivos de reducidas dimensiones, sin duda, la movilidad.

Más información y descarga cSploit:
https://github.com/cSploit/android