domingo, 27 de noviembre de 2016

ImageGate - Nemucod | Malware en imagen .svg

Introducción:

Check Point, empresa experta en seguridad, ha identificado un nuevo vector de ataque que introduce malware en imágenes y gráficos: ImageGate. Además, el equipo de investigadores de Check Point ha descubierto el método por el que los cibercriminales ejecutan código malicioso dentro de imágenes usando aplicaciones de redes sociales como Facebook y LinkedIn.

En los últimos días, todas las empresas de seguridad han estado siguiendo con atención la difusión masiva del ransomware Locky vía redes sociales, especialmente en una campaña basada en Facebook. Los analistas de Check Point creen que la técnica ImageGate explica cómo ha sido posible esta campaña de ataques, punto que no había sido respondido hasta ahora.

Debes saber que:

    Scalable Vector Graphics (SVG) es un formato de imagen vectorial basado en XML para gráficos bidimensionales con soporte para interactividad y animación. La especificación SVG es un estándar abierto desarrollado por el World Wide Web Consortium (W3C) desde 1999.

Esto significa, más específicamente, que puede integrar cualquier contenido que desee (como JavaScript). Además, cualquier navegador moderno podrá abrir este archivo.

Funcionamiento del Ataque:

Durante una conversación en Facebook se puede obtener de un amigo una "imagen" como:



Es una imagen falsa, el hecho de que tenga una terminación .svg ya nos dá que pensar...
El código de la imagen es el siguiente:


El resultado de la secuencia de comandos es redirigir a una web engañosa a la víctima: "//govahoyuge.itup.pw/php/trust.php", a continuación, en subdominios al azar de acuerdo con los siguientes formatos:

hxxp://ecadutaro.yadozalamom.pw/oseboma.html
hxxp://mitobeb.yadozalamom.pw/fineboz.html
hxxp://ibaveh.yadozalamom.pw/urisur.html

Por debajo de ellos se encuentra una página falsa haciéndose pasar por YouTube, que le dice a la víctima que para ver el video necesita un "códec de vídeo" adecuado:

Y amablemente nos ofrece instalar un add-on malicioso.
https://chrome.google.com/webstore/detail/ubo/jegjfinhocnmomhpgmnbjambmgbifjbg/

Abrí la foto

    Si ha instalado en su navegador, este complemento, que no será capaz de eliminarlo directamente desde el navegador. Por desgracia, la add-on cierra la página de configuración (tratando de evitar su eliminación). Por lo tanto, la add-on se debe retirar manualmente. Este es un ejemplo para Chrome:

Ir al navegador de directorios en el sistema:

Windows:
C:\Users\ \AppData\Local\Google\Chrome\User Data\Default Windows 7, 8.1, and 10:
C:\Users\ \AppData\Local\Google\Chrome\User Data\Default

Mac OS X El Capitán:
usuarios / / Library / Application Support / Google / Chrome / Default

Linux:
/ Inicio / /.config/google-chrome/default

Luego ir a las "Extensiones" y borrar la carpeta llamada "jegjfinhocnmomhpgmnbjambmgbifjbg." Compruebe también que el directorio no es también un perfil distinto al predeterminado.

 Vídeo: 

viernes, 11 de noviembre de 2016

Crear un laboratorio para analizar malware en apps de Android/iOS

0. Prólogo 

Existen multitud de herramientas automáticas para el análisis de ficheros binarios de forma estática que se encargan de automatizar muchas de las tareas de análisis. Al igual que en otros entornos, los resultados por estas herramientas no tienen porque ser correctos al 100%, pueden haber:
- Falsos negativos: Fallos no detectados.
  + La herramienta no está preparada para ellos.
  + La herramienta puede detectarlos, pero no lo hace correctamente.
- Falsos positivos: Fallos que la herramienta marca como existentes pero que realmente no existen.

¡No podemos limitar el análisis de seguridad a la ejecución de estas herramientas. Debemos verificar que cada problema detectado existe realmente.!

1. Introducción

Mobile Security Framework (MobSF) es una aplicación todo-en-uno de código abierto para móviles (Android / iOS) capaz de realizar el análisis estático y dinámico automatizado.

Puede ser utilizado para el análisis de seguridad eficaz y rápida de Android y iOS Aplicaciones y es compatible con los binarios (APK y IPA) y el código fuente comprimido. MobSF también puede realizar la Web API Pruebas de seguridad con su Fuzzer API que puede hacer de recopilación de información, análisis de cabeceras de seguridad, identificar vulnerabilidades específicas de la API móvil como la XXE, FRSS, de traspaso de rutas, IDOR, y otras cuestiones lógicas relacionadas con la Sesión y la API de limitación de velocidad.

Mobile Security Framework realiza dos tipos de análisis:

    El analizador estático es capaz de realizar: la revisión de código automático, detección de permisos y configuraciones inseguras, detectar código inseguro SSL, derivación SSL, cifrado débil, códigos ofuscados, permisos incorrectos, secretos codificados, el uso indebido de APIs peligrosas, fugas de  información sensible y el almacenamiento de archivos inseguros.

    El analizador dinámico ejecuta la aplicación en una máquina virtual o en un dispositivo configurado y detecta los problemas en tiempo de ejecución. Se realiza un análisis más detallado en los paquetes de red capturados descifrando: el tráfico HTTPS, los informes de registros, informes de error, la información de depuración y seguimiento de la pila. Sobre los activos de aplicaciones como: archivos de configuración, las preferencias y bases de datos.

Mobile Security Framework es altamente escalable, permite agregar  reglas personalizadas con facilidad. Permite generar al final del test de penetración informes de una forma rápida y concisa.

2. Instalación

Antes de nada, recomiendo mirar el proyecto en github.
En esta entrada vamos a instalar MobSF con docker (Solo análisis estático), os dejo el link del dockerfile. Si queremos instalarlo sin docker os dejo la documentación oficial que explica paso a paso el proceso.

2.1 Requisitos

2.1.1 Instalar Docker

$ sudo apt-get update
$ sudo apt-get install apt-transport-https ca-certificates
$ sudo apt-key adv --keyserver hkp://p80.pool.sks-keyservers.net:80 --recv-keys 58118E89F3A912897C070ADBF76221572C52609D
$ echo "deb https://apt.dockerproject.org/repo ubuntu-trusty main" > sudo tee -a /etc/apt/sources.list.d/docker.list
$ sudo apt-get update
$ sudo apt-get install docker.io
$ sudo usermod -aG docker $USER #Deberás cerrar sesión para que se apliquen los cambios
$ docker --version
Docker version 1.12.1, build 23cf638

2.1.2 Descargar Imagen MobSF

$ docker pull opensecurity/mobsf

3.Uso

 Para iniciarlo simplemente usaremos el siguiente comando:
$ docker run -i -t -p 8000:8000 opensecurity/mobsf:latest

Si queremos hacer un análisis dinámico podremos ver como se configura en la documentación oficial del proyecto.
Ahora nos vamos al navegador web ponemos la IP:PUERTO y ya estaremos preparados para analizar APKS.

Podremos llevarnos la imagen de docker exportandola (docker save opensecurity/mobsf > mobsf.tar) e importandola (docker load -i mobsf.tar) en otra máquina con docker.

4. Vídeo DEMO: 

 

El análisis estático puede ofrecer información sobre las conexiones y URL a las que se conecta una aplicación, pero no se pueden extraer conclusiones definitivas hasta que no se ejecuta la misma, es necesario complementar con un análisis dinámico de la aplicación.

miércoles, 2 de noviembre de 2016

MALICE: Analiza malware con múltiples antivirus

1. Introducción

Malice de blacktop es un multi-antivirus local que pretende ser un "Virustotal de código abierto" que todo el mundo pueda usar a cualquier escala, desde un único analista de malware hasta una gran compañía.

Está escrito en Go por lo que requerirás la versión 1.5 o superior y necesitarás también Docker ya que irá levantando contenedores para el análisis según los plugins habilitados, todos controlados por un contendedor supervisor con ELK (Elasticsearch, Logstash y Kibana).

Antes de nada te recomiendo que vayas a su github, en el podrás ver documentación y algunos ejemplos, también podrás apoyar al proyecto ya que vale la pena.

2. Instalación 

En este caso vamos a instalar Malice en ElementaryOs 0.4

2.1. Instalar Docker

$ sudo apt-get update
$ sudo apt-get install apt-transport-https ca-certificates
$ sudo apt-key adv --keyserver hkp://p80.pool.sks-keyservers.net:80 --recv-keys 58118E89F3A912897C070ADBF76221572C52609D
$ echo "deb https://apt.dockerproject.org/repo ubuntu-trusty main" > sudo tee -a /etc/apt/sources.list.d/docker.list
$ sudo apt-get update
$ sudo apt-get install docker.io
$ sudo usermod -aG docker $USER #Deberás cerrar sesión para que se apliquen los cambios
$ docker --version
Docker version 1.12.1, build 23cf638

2.2. Instalar Malice

$ wget https://github.com/maliceio/malice/releases/download/v0.2.0-alpha/malice_0.2.0-alpha_linux_amd64.zip -O /tmp/malice.zip
$ sudo unzip /tmp/malice.zip -d /usr/local/bin/

Puedes obtener más información de la instalación en el github.

3. Uso

1º Descargamos un malware de prueba para analizar:
$ cd $HOME
$ mkdir malware
$ cd malware
$ wget http://www.eicar.org/download/eicar.com.txt

2º Escaneamos el archivo:
$ malice scan [Archivo]

Podremos redireccionar la salida a un archivo con:
$ malice scan [Archivo] > results.md

  *La primera vez demorará bastante ya que tendrá que actualizar todos los plugins.

(?)- Para ver la lista de plugins usaremos:
$ malice plugin list

(?)- Si queremos ver los detalles:
$ malice plugin list --all --detail

(?)- Y para actualizarlos:
$ malice plugin update --all

4. Vídeo DEMO: