Archivo

Archivo del autor

¿ TU SEGURIDAD AL 100%? – PARTE3 – B

septiembre 4, 2015 Deja un comentario

Hola de nuevo.

En este post mostraremos el IPS sophos, verificaremos algunas de sus firmas de seguridad y como configurarlo.

Antes de comenzar con este post, me gustaría  mencionar que las firmas de seguridad en el IPS del SOPHOS ,no tienen las mismas características de protección del UTM Fortigate, es decir son mas reducidas en aspectos especificos como Web o BD, así que en las pruebas posteriores habrá que tomar en cuenta que la respuesta del IPS SOPHOS, podría no ser tan reactiva como en el caso anterior, y de esto no hay que sorprendernos, ya que la principal función de un FIREWALL es asegurar, siguiendo el modelo OSI, el ingreso de trafico en CAPA3 , CAPA4 y en la actualidad hasta CAPA5, mas no realizar verificaciones a un nivel tan alto como CAPA7, ya que la cantidad de vulnerabilidades que se puede tener a este nivel es inmensa y desproporcionada, y como comente necesitamos de equipos mas evolucionados y/o específicos para tener una mejor linea de defensa ante un posible ataque, sumado a la labor dentro del marco de las buenas practicas a nivel de código y humanas.

Bueno comenzamos:

  1. En la sección de network protetion / intruction prevention

IPS

2. En sección Global

IPS2

Verificamos por defecto que esta protegiendo y que firmas se encuentran activas, acá tenemos 6 secciones muy importantes en la primera Global, encontramos en que lado y que redes,host o dominios se encuentran protegidas actualmente son protegidas. En la parte inferior policy podemos verificar las 2 políticas:

Drop silenty, o terminate conection, cada una cumple un papel distinto mientras la primer cuando detecta un ataque la dropea en un determinado tiempo, la segunda corta la conexión, lo dejaremos por defecto, Drop silenty

 

3. En attack patterns

IPS3

Podemos verificar las firmas, políticas por cada firma, log, duración de drop en caso se haya producción un ataque y también un extra warning.

Así mismo se encuentra divido en divisiones para protección de host, servidores, base de datos, servidores web, client software, servicios mail malware etc

IPS4

Como podemos verificar la cantidad de firmas relacionadas por ejemplo a ataques web es ínfima, así que el nombre de “UTM” una vez mas queda de lado cuando se trata de seguridad, sin embargo posee una gran variedad de protección a nivel de client (buffer overflow, malware etc)

En este punto también quiero acotar, que la publicación de las firmas de sophos detalladas no he tenido suerte en encontrarlas, lo que solo me da entender que sus firmas se basan en comportamientos.

4. Anti DOS

Bueno como la mayoría de UTM consta de una protección basada en detecciones de ataques por comportamiento DOS.

TCP flood / UDP flood / ICMP flood.

IPS5

5. Exeptions

IPS6

En esta sección podemos añadir una exepcion, en función tanto de las firmas como de las redes, servicios o destinos.

Porque añadir esta sección, existe circunstancias en que el comportamiento pro-activo del IPS puede originar problemas cuando los usuarios intentan consumir ciertos servicios, el IPS los puede detectar como comportamiento anómalo y banearlos.

6. Advanced

IPS7

En esta sección podemos amplificar las firmas pero principalmente relacionadas a virus y también podemos “tunear” el ips a ciertos servidores que deseamos que estén protegidos.

IPS8

Bueno luego de entender los criterios del ips, ya podemos poner en despliegue el mismo,

En la próxima y ultima sección, pondremos a prueba el IPS.

Este sera nuestro escenario:

esquemavitima

Alexis Torres

No se olviden las anteriores secciones:

anterior

 

 

 

 

 

Categorías:Manuales y tutoriales

¿ TU SEGURIDAD AL 100%? – PARTE3 – A

agosto 17, 2015 1 comentario

Entre apuros y temas profesionales, recién me desocupo.

Como les comente les el anterior post ¿ TU SEGURIDAD AL 100%? – PARTE2 continuaremos con el pequeño manual  básico del UTM sophos para posteriormente realizar las pruebas de rendimiento a nivel de seguridad, haciéndole focus en el parte de UTM:

Este es el esquema que trabajaremos para las primeras configuraciones:

graf1

  1. ingresamos al portal(de preferencia firefox) https://192.168.20.1:4444

1

  • Aceptamos el certificado inseguro

2

2. En el siguiente panel agregaremos nuestros datos de la empresa, includido empresa, ciudad, pais y un password:

username:admin

password: elquemasteguste

3

aceptamos las condiciones de uso

4

3. esperamos unos 40 segundos e ingramos con nuestro user y password, ojo que el user sera  “admin”

5

4. solo ponemos continuar:

6

5. habrá una licencia de activación por 30 dias, que servirá para realizar las pruebas que deseen:

7

6.  Listo, hasta cada todo bien, ahora cargaremos configuraciones mediante el wizzard, podremos configurar tanto las internfaces como el FW y el UTM(filtro web, antispam, antivirus, antispam etc)

  • interfaz lan:

8

  • interfaz wan(ponemos configurar despues, esto ya depende de uds)

9

  • Con el wizzard podemos crear una regla de salida para ciertos servicios

**** red lan(192.168.20.0/24) permit http,https,dns —> internet

  • Y también permitir realizar pruebas de conectividad hacia el utm:

10

7. En el wizzar también podremos realizar activaciones y configuraciones del IPS, filtro web, antispam (ojo por 30 dias)

  • Activación del ips

11

  • Activación del filtro web y antivirus

12

antispam

14

8) bueno ya esta casi listo para comenzar, aca aparecera un resumen de lo que hemos hecho.

15

9) Este sera nuestro primer panel, las caracteristicas del panel son como la de la mayoria de equipos UTM, apareceran licencias, versiones de sistemas operativo, consumo de CPU, tambien podemos añadirles widgets, para verficar alincion por ejemplo las reglas FW y  del UTM escritas asi como logs del sistemas y de seguridad

16

  • Como nota importante es las secciones de configuracion:

Donde estara el managment, interfaz routing, definition user etc

secciones

El el panel de control verificamos:

  • Interfaces activas:

17

  • Consumo de cpu

cpu

  • Registro de log de amenazas

AMENAZAZ

  • Así como también podemos agregar mas widgets.

widget

20

10.Bien ahora iremos en la parte izquierda a la sección de interface y routing, en esta sección podemos verificar el estado de las interfaz, con cuadros referenciales al consumo de ancho de banda, estado de la interfaz etc

21

  • Aca existen varias subsecciones:

subseccion1

11. En la subseccion  interfaces

por ejemplo podemos observar o re configurar la interface managment:

22

  • Crear una interfaz wan:

interfacewan

  • Dando en up a la interfaz creada:

23

12. También podemos crear rutas estáticas, en el menú izquierdo en la subseccion de routing static:

24

  • podemos configurar rutas como las siguientes:

25

13. Ahora para crear objetos tanto a nivel de redes como de servicios iremos a la seccion Definition & users

  • Dentro de esta sección tendremos muchas subsecciones

subseccion2

  • Creamos un network definitions

networkdef

  • También podemos crear un service definition

27

14. listo, despues de crear el service y el network definition podemos crear reglas en el FW:

En network protection / firewall

28

30

activar la regla

31

15. Y podemos verificar los logs:

32

En la próximo post (parteB) hablaremos un poco de el UTM, para posteriormente crear el siguiente esquema muy similar a hacking fortinet , donde tendremos un servidor expuesto a la nube con un software vulnerable(pentesterlab)

esquemavitima

Saludos

continuara:

Alexis Torres  @dUn_h4t

post anterior

Categorías:Hacking, Linux, Manuales y tutoriales, Programacion

¿ TU SEGURIDAD AL 100%? – PARTE2

agosto 4, 2015 4 comentarios

Bueno continuando con el anterior post PARTE 1, ahora vamos a preparar el entorno virtual para instalar nuestro UTM – SOPHOS.

Detallo los topics a tocar:

SOPHOS UTM – PARTE2: PRIMEROS PASOS

  • Preparando el ambiente
  • Instalación de UTM sophos

A)PREPARANDO AMBIENTE

1) Preparamos nuestro vmware con nuestro .iso descargado asg-9.304-9.1.iso

File/New virtual Machine

Captura

2) En la parte inferior seleccionamos el iso a usar despues de descargarlo, dependiendo el directorio donde lo hallas descargado,

Installer disc image file(iso):

Luego next

captura2

 

3) Aca sellecionamos el sistema operativo base a usar, en mi caso puse other, pueden usar Linux o algun otro distro:

 

sophos2

 

Next>

 

4) Luego le damos un nombre y ubicamos donde se guardara nuestra maquina virtual:

sophos3

 

Next>

 

5) Aca seleccionaremos el espacio virtual de disco, lo dejamos por defecto:

sophos4

 

Next>

6) Seleccionamos cuztomizar hardware,la función principal es agregar al menos 3 adaptadores lan virtual, para simular:

Wan –> Network Adapter

Lan –>  Network Adapter2

Dmz –>  Network Adapter 3

sophos5

 

Captura3

 

 

Captura4

 

Next >

Y asi creamos 3 interfaces.

 

7) Algún muy importante despues de crear las interfaces es poner las 3 interfaces en modo bridge (paso2)
sophos6

B)INSTALACION DE SOPHOS

Después de preparar el ambiente comenzaremos con la instalación de sophos UTM:

1) seleccionamos Power on this virtual machine

Captura5

2) nos aparecerá la pantalla de arranque, simplemente presionamos enter:

Captura6

3) Nos aparecerá la pantalla de “introducción”, ponemos start

sophos8

 

 

<Start>

** La maquinar virtual SOPHOS, detectara las características de HW:

sophos9

 

<OK>

4) Acá pueden seleccionar el idioma a preferencia en mi caso cuando instale por primera vez use Spanish, en las posteriores POST veran una imagen actual en version English:

 

sophos10

 

5) seleccionamos ubicación y país:

America/Peru

sophos11

 

<next>

Captura7

<next>

Captura8

<next>

6) ahora seleccionamos por cual interfaz podremos levantar la administracion via web,  escojemos eth0

 

 

Captura9

 

<Next>

7) ahora configuramos la IP DE ADMINISTRACION en mi caso sera, 192.168.20.1/24

Captura10

<Next>

 

8) seleccionamos el kernel a instalar, 64bits:

Captura11

 

<Yes>

9) podemos instalación de todas sus capacidades ya que estaran en un tiempo de prueba de 30 dias:

Captura12

 

<Yes>

10) Ahora solo aparecer un banner con los features del appliance , solo aceptamos.

11) Seleccionamos la partición por defecto a instalar,el cual borrara para realizar una instalación limpia:

Captura13

 

<yes>

13) luego comenzara a realizar su proceso de instalación y a continuación les aparecerá la ip de administración, el equipo rebooteara:

IP MGMT: https://192.168.20.1:4444

Captura14

 

 

 

<Reboot>

**en el proceso de reinicio se mostrara nuevamente el la ip de administración:

Captura15

 

 

Listo en la siguiente entrada “SOPHOS UTM – PARTE3: REGLAS BASICAS”

hablaremos del procedimiento para administracion, dasboard y jugaremos con algunas reglas.

No se olviden de revisar el Post anterior

 

SOPHOS UTM – PARTE1: CONCIENDO AL UTM

Salud0s

@dUn_h4t

 

 

Categorías:Hacking, Manuales y tutoriales

¿TU SEGURIDAD AL 100%?

agosto 1, 2015 2 comentarios

 

Saludos otra vez, bueno aprovechando el trabajo con Juan Oliva decidí realizar un conjunto de pruebas sobre dispositivos de seguridad denominados UTM(Unified Threat Management) con el fin de probar sus capacidades reales de reacción ante un eventual ataque, todo esto quizás sirva para realizar una estadística de cuan seguro estamos si depositamos nuestra confianza en este variopinto de equipos, que como di mi opinión en BYPASSING FORTINET debería ser solo nuestra primera línea de defensa.

 

ADVERTENCIAS

  • En las pruebas subsiguientes vamos a usar un ambiente virtual, con el firmware lo más actualizado posible.
  • El TARGET es vulnerable y está en una DMZ, el blanco va a ser la DMZ por obvias razones, la exposición hacia internet, para luego realizar pruebas desde el lado del cliente.
  • Las pruebas a las firmas del UTM son de concepto es decir básicas, por ahí quizás podamos tratar de usar otros mecanismos de evasión como encoders o ofuscadores.
  • No se empleara ataques de DOS porque cualquier equipo puede ser vulnerable al mismo, este es otro tema de discusión.
  • No se analizara la estructura informática de la plataforma UTM por el momento, trabajo futuro.
  • Como parte final y mas importante: este conjunto de pruebas no tienen como fin desprestigiar a alguna marca, sino concientizar a los administradores de red o expertos en seguridad de la información que no basta con comprar equipos sino que es un trabajo en conjunto y que va desde capa1 a capa7 (siguiendo modelo OSI) donde está en juego la reputación de la empresa.

 

 

SOPHOS FIREWALL

Este solo es un manual de configuración básico dirigido a pruebas de pentesting de un potente UTM – SOPHOS, no es muy conocido al menos en el mercado Peruano, me gustaría saber cómo va en el mercado internacional, porque he leído buenos comentarios al respecto.

el topic va a constar de 4 partes:

SOPHOS UTM – PARTE1: CONCIENDO AL UTM

SOPHOS UTM – PARTE2: PRIMEROS PASOS

  • Preparando el ambiente
  • Instalación de UTM sophos

SOPHOS UTM – PARTE3: REGLAS BASICAS

  • DASHBOARD
  • RUTAS
  • FIREWALL
  • UTM

SOPHOS UTM – PARTE4: PENTESTING

  • PENTESTING SOBRE FIRMAS UTM
  • PENTESTING CLIENT SITE ATTACK
  • PENTESTING SOBRE FW

 

SOPHOS UTM – PARTE1: CONOCIENDO AL UTM

Lo que dice el autor:

“La gestión unificada de las amenazas simplifica la seguridad Sophos UTM proporciona seguridad completa, desde cortafuegos de red

a antivirus para estaciones de trabajo, en un solo dispositivo por módulos.

Simplifica la seguridad informática y elimina las complicaciones de utilizar soluciones diferentes en varios puntos. La interfaz intuitiva ayuda a crear políticas rápidamente para controlar los riesgos para la seguridad, mientras que los informes claros y detallados le ofrecerán toda la información que necesita para  mejorar la protección y el rendimiento de la red.”

Aspectos destacados

  • Todas las funciones están disponibles en todos los dispositivos Cortafuegos, VPN, ATP,
  • IPS, email, filtrado web y control de aplicaciones
  • Dispositivos de hardware, virtuales, software o en la nube
  • Interfaz web intuitiva
  • Informes incorporados en todos los modelos
  • Autenticación de doble factor y contraseñas de un solo uso en muchas áreas
  • Controlador inalámbrico integrado

 

Requerimientos mínimos

  • Processor: Pentium 4 with 1.5 GHz (or compatible)
  • Memory: 1 GB RAM
  • HDD: 20 GB IDE or SCSI hard disk drive
  • CD-ROM Drive: Bootable IDE or SCSI CD-ROM drive
  • NIC: Two or more PCI Ethernet network interface cards
  • NIC (optional): One heart-beat capable PCI Ethernet network interface card. In a highavailability system, the primary and secondary system communicate with one another through so-called heart-beat requests. If you want to set up a high-availability system, both units need to be equipped with heart-beat capable network interface cards.
  • USB (optional): One USB port for communications with a UPS device
  • Switch (optional): A network device that connects (and selects between) network segments.
  • Note that this switch must have jumbo frame support enabled.

Modo de despliegue

Tiene 4 tipos de despliegue:

  • Los dispositivos de hardware
  • Los dispositivos de software
  • Los dispositivos virtuales
  • Los dispositivos basados en la nube

 

Donde lo descargo:

Descargamos  el modo software de evaluacion por 30 dias, para llevarlo a nuestro vmware:

https://secure2.sophos.com/en-us/products/unified-threat-management/free-utm-trial.aspx#start

sophos0

Esperemos la próxima entrada:

SOPHOS UTM – PARTE2: PRIMEROS PASOS

Saludos.

Alexis Torres

 

Categorías:Hacking Etiquetas:

SECUESTRANDO TU PRIVACIDAD parte1 – remastering soon

julio 8, 2015 Deja un comentario

 

Hace ya unos meses a través de un experto en informática @Miguel_Risco_C, me llegó un informe sobre un virus que afecto a su cliente en Lima, se trataba de una nueva variante de virus crypto-ransomwaring denominado cryptowall versión 3.0.

Antes de detallar de qué se trata un cryptolocker y ransomwaring y demás hierbas, entendamos que daños ocasiona.

  • Vector de infección:

El vector de infección al parecer había sido sujeto a los famosos adware y spyware a través de anuncios publicitarios vía web, dando hilo al problema se encontró esta nota:

http://www.theregister.co.uk/2014/08/11/cryptowall_malvertising_yahoo_ad_network/

Donde menciona que los malhechores usan Yahoo!’s advertising network, para esparcir el ransomware, aprovechándose de algunos fallos en las actualizaciones de IE.

Luego horas más tarde me llego otro reporte de infección en Lima, otra posible variante del virus denominado CBT-crypto, que era esparcida en forma clásica a través de archivos adjuntos vía correo electrónico.

COMENZANDO A ATERRIZAR ALGUNAS IDEAS:

¿Qué es el ransomwaring?

Este término de Ransomwaring que llego por primera vez el 2012 a través de una conferencia de Macfee como el ataque del futuro, ocasiona el secuestro total de tu dispositivo o data importante de tu dispositivo, suena estremecedor, pero es así sin más ni menos como se entiende.

  • ¿Si me infecte que aparece?
    Para dar algunos ejemplos miremos el siguiente screenshot una vez ya infectado:
  • IMAGEN1Este pop add propio del CBT – crypto es el similar que del Cryptowall 3.0 y a todos los ransomware-virus, donde si leemos un poco menciona 3 cosas importantes:
    • Tus datos personales han sido encriptados.
    • Para obtener la clave desencriptadora de tus datos tienes que pagar a través de bitcoins (común) u otros medios de pago.
    • Tienes un tiempo limitado para realizar el pago, sino el precio para la clave desencriptadora de tu data será el doble y así progresivamente.

     

    • Aparición de archivos encriptados:

    Acá vemos la aparición de archivos encriptados:

    CBT-CRYPTO:

IMAGEN2

CRYPTOWALL 3.0:

IMAGEN3

  • Archivos cifrados:

Acá podemos observar un documento en Excel totalmente cifrado:

IMAGEN4

  • ¿Cómo entenderlo mejor?

Sin muchas palabras técnicas, es como que a tu folder de tus datos le hayan puesto una caja con llave, el cual solo el dueño de la caja tiene la llave para poder abrirla.

En ese sentido, la única forma de recuperar tu data es pagando.

HISTOGRAFIA Y DETALLES TÉCNICOS:

Acá ya entro a detallar toda la parte técnica, si tienes interés de cómo solucionarlo al final del artículo.

  • Comparativa

Una gran diferencia que se tiene los virus pasados son las siguientes:

  • No roba información de la víctima, en lugar hace que sea imposible acceder a tu información.
  • Una vez infectado no hay antivirus que pueda remover el cifrado, da lo mismo.
  • Usa criptografía conocida y fácil de implementar, el problema es el tipo de criptografía que hace única al propietario.

 

  • Modos comunes de infección:

Acá tenemos cosas clásicas:

  • Spam / Social engineering
  • Direct drive-by-download
  • Drive-by-download a través de malvertising
  • Malware installation tools y botnets

Algunos ransomware-virus desde el 2013 -2015:

  • Dirty Decrypt
  • CryptoLocker
  • CryptoWall / Cryptodefense
  • Critroni / CTB Locker
  • TorrentLocker
  • Cryptographic Locker

 

Algunos elementos comunes de estos virus son por ejemplo:

  • Droppers
  • C&C, servidor comand center
  • encryptacion
  • targeted files types.

 

  • Timeline:

IMAGEN5

La primera aparición remonta al 2013 para SO Windows, habría que recalcar que la primera aparición de estos “secuestradores virtuales” es a través de SO Android.

  • Análisis:

Habría que recalcar que al ser nuevos virus las formas de análisis tradicionales, no tienen demasiada contundencia para elaborar una contramedida, como el uso de ingeniería inversa.

Las características de todos estos ransomware – virus son:

  • Usan criptográfica asimétrica (private key y public key), el cual es compartido y firmado a través de un C&C (comand center)
  • Usan un Wincrypto que es un crypto API para cifrar la data.

Un esquema de practico de cómo es que después de la infección entra a tallar la criptográfica asimétrica y el roll del C&C (comand center)

IMAGEN6

  • El agente del virus recolecta datos y los cifra con AES usando la Kaes.
  • Ya que se trata de una criptográfica asimétrica usa RSA y la llave publica del C&C para cifrar la llave Kaes
  • La data y la llave de AES viaja completamente encriptados hacia el C&C
  • Ya en el C&C tanto la data como la llave Kaes es desencriptadá usando la llave privada del C&C, esta llave es única y lo tiene el atacante.
  • El C&C genera otro par de claves para seguir encriptando la data.

Como observamos usa protocolos criptográficos ya conocidos pero muy potentes para cifrar y capturar tu data.

Acá algunos screenshoot de la comunicación cifrada con el C&C.

 

IMAGEN7

IMAGEN8

Algo más importante que anotar es el alto grado de ofuscación por capas y covert launch como la creación de procesos en suspensión que tienen estos virus haciendo complicada la labor de detección de los antivirus.

Esta grafica servirá para entender un poco más el proceso:

IMAGEN9

Si vemos en el peor de los casos puede borrar las “shadows copies” que son copias de restauración por defecto de los archivos en Windows vista para adelante (siempre y cuando esté configurado)

  • Dominios y protocolos de comunicación C&C

En el cuadro podemos observar los protocolos comunes de comunicación con el C&C y sus dominios:

IMAGEN10

Como cosa resaltante es el uso de proxie TOR y HTTPS.

  • Tecnología criptográfica

Acá podemos observar las tecnologías criptográficas y desarrollo de APIs de estos virus:

IMAGEN11

  • Costos por rescate

Los costos varían entre $100 a más de $1000 por rescate:

IMAGEN12

  • ¿Y a donde apuntan estos cifrados?

Todo tipo de documentos, imágenes, videos, audio, base de datos, password y certificados managers, software financiero, backup (.bak);

IMAGEN13

  • Si pago que obtengo:

Al realizar el pago tendrás un .txt donde te darán la clave para poder desencriptar tu data:

IMAGEN14

UNA VEZ INFECTADO ¿QUÉ HAGO?

Antes de llegar a este punto recomendaría tomar siempre en cuentas las medidas comunes para no infectarse:

  • Uso de antivirus recomendados
  • No abrir archivos adjuntos en correos electrónicos dudosos.
  • No insertar USB sin previa limpieza.
  • Cuidado a donde exploras.
  • Actualizar tu navegador y sistema operativo

SI YA ME INFECTE:

  • Consultar a un experto.
  • No usar software para recuperación de archivos comunes, ya que estos pueden empeorar la situación.
  • El tiempo de rescate es vital.

Justo en esta última recomendación me detengo y explico:

  • Tu data ya cifrada es irrecuperable, (acá hay criptologos trabajando puede demorar desde días hasta años en descubrir la clave y por las características técnicas es casi imposible).
  • Puedes usar herramientas como shadown explorer para encontrar puntos de restauración y grabado por defecto de tus archivos y como entenderás dependerá mucho del punto de tiempo en el cual se grabaron tus archivos, así que el porcentaje de recuperación es cuestión de suerte.

Como usar “el shadown explorer”, te dejo es video:

https://www.youtube.com/watch?v=ifKNf4qbAM0

¿QUE MÁS PUEDO Y DEBO HACER?

Acá un excelente artículo escrito en softonic (irónicamente uno de los máximos esparcidoras de spyware):

http://articulos.softonic.com/como-defender-tus-archivos-contra-cryptolocker-y-cryptowall

@dUn_h4t

 

Categorías:Manuales y tutoriales