Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]

Live Free or Die HackingJaime Peñalba Estébanez @Nighterman Javier Rodríguez @Javiover

Introducción 2

Criminalización del hacking● Reformas en el código penal● Herramientas y exploits “ilegales“● Si usas cifrado eres un terrorista● Problemas tras reportar un fallo● Mayor repercusión mediática● Aumento de la ciberdelincuencia● #fueunhacker

Lo estas haciendo mal...

Lo estas haciendo mal si...● Estas revelando o vendiendo secretos● Estas violando privacidad de los usuarios● Estas sacando algún beneficio económico● No sabes lo que estas haciendo

Sentido común 0 – Potato 1● Utilizas tu dirección IP● Usas la wifi de un sitio publico con cámaras● Usas el wifi de un comercio y pagas con tarjeta de crédito● Utilizas tu cuenta para entrar● No cifras tus conexiones ni tus datos

Requisitos para “curiosear”● Materia prima (Hookle)● Anonimato (tor, ashell, proxys, etc...)● Ocultarse en los sistemas (lsnake)● Poderes de supervaca

Preload Hooking

Pivotar ashell +Tostadores 9

¿Dispositivos embebidos?● Son objetivos fáciles de explotar● Instalaciones homogéneas● Muchas veces trabajan sobre RAM● Dificultad para realizar análisis forense 10

Pivotar por videos● Kernels 2.6.x● Procesadores ARM, MIPS● 64/128/256Mb RAM● Glibc 2.3.90

Pivotar por routers● Kernels 2.4.x y 2.6.x● Procesadores ARM, MIPSEL, MIPSBE● 32/48/64Mb RAM● uClibc 0.9.27● /var/ == tmpfs

Pivotar por routers

Pivotar por RSC, SSP, RACSun Fire V20z y V40z System Service Processor● Linux Kernel 2.4.18● CPU PPC 64Mhz● 64Mb RAM● Glibc 2.2.3

Pivotar por estaciones GPS● Linux RTOS (Montavista)● Kernels 2.2.x y 2.4.x● CPU PPC 64Mhz● 64Mb RAM● Glibc 2.2.3

Pivotar por estaciones GPS

Distribución de Ficheros● Almacenamiento en RAM● Upload via PJL (Printer Job Language)● Download via PJL o HTTP

Distribución de FicherosMas de 38.000 Impresoras en todo el mundo 19

Requisitos● Cross Compilers de todos los colores● Emuladores / Dispositivos para probar● Paciencia, mucha paciencia...● Poderes de super vaca 20

ashell

Ashell: Funcionamiento

Rootkitlsnake 24

User Space VS Kernel● Multiplataforma● Mayor flexibilidad (standalone, full, netonly)● Menos cambios que en el API de kernel● Mayor persistencia tras actualizar el S.O.● Uso de librerías de user space (OpenSSL) 25

User Space VS Kernel● Mayor exposición a ser descubierto● Dificultad para encontrar un punto de inyección en todos los procesos por S.O.● Hay que comunicar los procesos● Binarios estáticos● Mayor “sobrecarga” del sistema● Dolores de cabeza 26

Instalación● Linux ● /etc/ld.so.preload● Solaris ● crle -E LD_PRELOAD=/lib/secure/libsn.so 27

Funcionalidades de Sistema● Ocultar procesos● Ocultar ficheros● Ocultar conexiones● Garantizar acceso remoto● Garantizar privilegios de root (local) 28

Funcionalidades de Red● Conexiones cifradas● Autenticación X.509● Shell remota● Proxy Socks4● Port Forwarding● Conexión a través de servicios existentes (ssh, apache, mysql, etc...) 29

Opciones de despliegue● Completo (Librería)● Networking (Librería) ● Multiplataforma. ● Se instala sobre un solo servicio ● Shell, Socks4 y Port Forward● Standalone (Demonio) ● Proceso independiente ● Shell, Socks4 y Port Forward 30

Identificar al owner● GID (grupo de sistema) = XXXX● Variables de entorno. VARIABLE=PASS● Remoto: Puerto origen entre XXXX y XXXX● Remoto: Certificado 31

Ocultar procesos / ficherosstat() __xstat() access()stat64() __xstat64() chdir()lstat() __lxstat() closedir()lstat64() __lxstat64() fopen()fstat() __fxstat() fopen64()fstat64() __fxstat64() open() open64() readdir() readdir64() opendir() 32

Ocultar procesos / ficheros 33

Ocultar procesos / ficheros

Elevación de privilegios 35

Elevación de privilegios

Acceso remoto

Ocultar conexiones● Uso de System V IPC● Hook socket() y accept() ● Agregamos el inodo a shared memory● Hook close() ● Eliminamos el inodo de shared memory● Hook fopen() ● /proc/net/tcp || /proc/net/udp || /proc/net/raw 40

Ocultar conexiones 41

Autenticación X.509

Autenticación X.509● Verificaciones del certificado de rootkit Validez del certificado y firma de la CA Fingerprint SHA1 (Posibles MiTM) Extensión X.509 V3: SSL Client● Verificaciones del certificado de “admin” Validez del certificado y firma de la CA Common name (CN) correcto Extensión X.509 V3: SSL Server 43

Autenticación X.509

sclient: Cliente remoto

sclient: socks4 pivoting 46

sclient: shell remota

“LIVE FREE OR DIE HACKING” Grupo Delitos Telemáticos Unidad Central Operativa Guardia Civil RootedCon 2012

El Escenario (I) “Si conoces al enemigo y te conoces a ti mismo,no tienes por qué temer el resultado de cien batallas.” Sun tzu, El Arte de la Guerra.

El Escenario (II).• Servidores y otros elementos de red vulnerados.• “Troyanización” de infraestructuras informáticas y elementos de red.• Saltos que involucran varios países.• Resumen: Escenario complejo para la investigación.

Perfil del atacante• Amplios conocimientos en el desarrollo de rootkits/malware.• Amplios conocimientos en periféricos y arquitecturas de red.• ¿Motivación? (APT, daños, espionaje, etc).• No es un “niño” del Acunetix.

El resultado• Delito de daños en sistemas informáticos (art. 264).• Delito de descubrimiento y revelación de secretos (art 197).• Perjuicios económicos altos.• Lucro cesante.• Resumen = Pena de prisión + responsabilidad civil.

Comprendiendo el ataque• Análisis forense del binario. – Principio de Locard. – Análisis estático del binario. – Análisis dinámico del binario.• Estudio de los saltos. – Países/Zonas.• Judicialización del caso – Colaboración Interpol / Europol. – Grupos especializados internacionales (24x7). – Apoyos de ISPs y empresas especializadas. – Comisión Rogatoria Internacional / Eurojust.

Análisis del binario (estático)Nivel de debugStringsSímbolosBibliotecasSeccionesEtc.

Análisis del Binario (II).• Valorar realizar análisis dinámico. – Strace, gdb, lsof, etc.• Estudiar las conexiones entrantes/salientes – Del binario. (si es posible). – De la red. (si es posible).• Recursos por parte del denunciante/agraviado. – ¿Qué puede aportar en lo técnico?.

Conclusiones• A pesar de la complejidad del escenario, existen herramientas tanto judiciales como técnicas para el esclarecimiento del hecho.• Investigación larga, falsa sensación de impunidad por parte del atacante.• Importancia del análisis del binario y conexiones de red.• Importancia de la investigación policial clásica.

Dirección Generalde la Guardia Civil ¡GRACIAS POR VUESTRA ATENCIÓN! Grupo Delitos Telemáticos. Unidad Central Operativa Guardia Civil www.gdt.guardiacivil.es

Jaime Peñalba Estébanez @Nighterman Javier Rodríguez @JavioverEspecial agradecimiento al Grupo de Delitos Telemáticos

Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]

by RootedCON

Accessibility

Upload Details

Usage Rights

Statistics