18 de janeiro de 2016

Escalada de Privilégio em Windows e Linux

A segunda principal fase de um teste de invasão, na minha opinião é justamente a pós-exploração, sendo a primeira a fazer de Footprinting/Fingerprinting.

Enquanto que a maioria dos pentesters se contentam em entregar um simples screenshot com de uma tela preta com um caracter "#" ou um "NT AUTHORITY\SYSTEM", o que realmente vale para o cliente é mostrar o quanto suas informações sensíveis estão expostas. Entretanto isso pressupõe que o pentester realizou o comprometimento de uma estação ou servidor, e aprofundou-se em suas atividades.

Para conseguir chegar a esse ponto, a primeira coisa é fazer a escalada de privilégios, mas decididamente não parar por aí. E esse post vai falar justamente sobre isso: escalada de privilégios em diferentes sistems operacionais.

Existem muitas ferramentas que já executam esse procedimento para você, após ter conseguido o acesso inicial através de exploração ou simples acesso físico. Entretanto, nem sempre poderemos contar com as ferramentas prontas, então aqui já seguem cinco listas de comandos a serem usados para escalar privilégios, alterar configurações do S.O. e/ou executar procedimentos que sem os devidos privilégios seria impossível:


Além dos comandos, ainda assim podemos utilizar alguns scripts que facilitam a vida, ajudando-nos a descobrir brechas na configuração do S.O. que podem ser exploradas para a escalada de privilégios. Temos como exemplo três scripts:
- Linux Local Enumerationhttps://highon.coffee/downloads/linux-local-enum.sh
- Unix Privesc Checkhttp://pentestmonkey.net/tools/audit/unix-privesc-check
- Windows Privesc Checkhttps://github.com/pentestmonkey/windows-privesc-check

As três ferramentas acima, auxiliam e muito em situações onde precisamos encontrar alguma falha na configuração do sistema explorado, mas não temos tanto tempo para ficar fuçando, então a rapidez com que temos um retorno acaba valendo a pena utilizá-las, ainda mais quando vc tem aceso físico à máquina.

Então aproveitem essas informações e divirtam-se!

12 de dezembro de 2015

8 de dezembro de 2015

Busca automatizada por Leaks - Encontre informações que vazaram na Internet

Uma das coisas interessantes que precisamos fazer quando atuamos com segurança da informação, pesquisa de vulnerabilidades, engenharia social, OSINT (Open Source Intelligence), threat intelligence e etc, é justamente a busca por informações importantes. E como estamos na era da informação, e informação vale dinheiro, obviamente que uem tem acesso aà informação em primeiro lugar tem a dianteira em diversos assuntos.

Para isso, é necessário monitoramento contínuo e atento. Por exemplo, se você cuida da segurança do ambiente de alguns clientes e repentinamente vaza na internet dados sigilosos do mesmo, incluindo informações de contas de usuários. O que aconteceria se você só soubesse disso depois que seu cliente se deparasse com essas informações na internet e ligasse para avisá-lo? Convenhamos que não é um cenário interessante...

Portanto, nesse post vamos falar de uma ferramenta que pode nos ajudar a descobrir "information leak" antes da coisa se espalhar como rastilho de pólvora e você ter mais tempo para executar uma ação mitigadora. A ferramente é o Scumblr.



Nessa ferramenta, podemos definir de forma personalizada que tipo de informação queremos monitorar na internet periodicamente, e isso pode abranger os seguintes tipos de leak:


  • Credenciais comprometidas
  • Vulnerabilidades
  • Conversas de grupos de crackers
  • Discussões sobre ataques
  • Discussões relevantes sobre segurança em redes sociais


E para tanto, Scumblr utiliza-se de várias bases de informações disponíveis na internet que possibilitam a busca manual, mas que sem a ferramenta daria muito trabalho. Algumas dessas fontes estão descritas abaixo:


  • Google
  • YouTube
  • Facebook
  • Apple AppStore
  • Google Play Store
  • eBay
  • Twitter

E uma das features que acho interessante no Scumblr é que depois de encontrar resultados, você pode configurar que os tópicos sejam simplesmente marcados como "Reviwed", enviem alertas, ou executem ações automatizadas mais complexas.

Para quem quiser conhecer um pouco da ferramenta, acesse aqui e divirta-se!

E para finalizar, acesse a wiki para aprender a configurar e utilizar a ferramenta.

4 de dezembro de 2015

Análise diferencial de memória para análise de malwares - DAMM

DAMM – Differential Analysis of Malware in Memory

Esse é o nome da ferramenta que pode agilizar e muito o processo de análise dinâmica e comportamental de um malware em uma máquina real (usada para esse fim) ou virtual.

A ferramenta foi desenvolvida em cima do Volatility, que é outra excelente ferramenta para análise de memória física, e conta com os plugins desse último além de seus próprios plugins.

DAMM funciona basicamente comparando pedaços da memória infectada, com pedaços de memória de uma máquina não infectada (obviamente ambas as máquinas precisam ter as mesmas configurações e caracaterísticas), e assim vai listando tudo aquilo que for detectado de diferente, como: DLLs, processos sendo executados, arquivos ocultos e etc.

Abaixo podemos ver algo do help dessa ferramenta:

python damm.py -h
usage: damm.py [-h] [-d DIR] [-p PLUGIN [PLUGIN ...]] [-f FILE] [-k KDBG]
               [--db DB] [--profile PROFILE] [--debug] [--info] [--tsv]
               [--grepable] [--filter FILTER] [--filtertype FILTERTYPE]
               [--diff BASELINE] [-u FIELD [FIELD ...]] [--warnings] [-q]
DAMM v1.0 Beta
optional arguments:
  -h, --help            show this help message and exit
  -d DIR                Path to additional plugin directory
  -p PLUGIN [PLUGIN ...]
                        Plugin(s) to run. For a list of options use --info
  -f FILE               Memory image file to run plugin on
  -k KDBG               KDBG address for the images (in hex)
  --db DB               SQLite db file, for efficient input/output
  --profile PROFILE     Volatility profile for the images (e.g. WinXPSP2x86)
  --debug               Print debugging statements
  --info                Print available volatility profiles, plugins
  --tsv                 Print screen formatted output.
  --grepable            Print in grepable text format
  --filter FILTER       Filter results on name:value pair, e.g., pid:42
  --filtertype FILTERTYPE
                        Filter match type; either "exact" or "partial",
                        defaults to partial
  --diff BASELINE       Diff the imageFile|db with this db file as a baseline
  -u FIELD [FIELD ...]  Use the specified fields to determine uniqueness of
                        memobjs when diffing
  --warnings            Look for suspicious objects.
  -q                    Query the supplied db (via --db).

Algumas das detecções que a ferramenta faz, listo abaixo:
  • incorrect parent/child relationships
  • hidden processes
  • incorrect binary path
  • incorrect default priority
  • incorrect session
  • loaded/run from temp directory
  • bogus extensions
  • hidden DLLs
  • PE headers in injections
  • SIDs giving domain access
  • debug privileges


Aqui vocês podem saber mais sobre a ferramenta, ou baixá-la diretamente desse link.

Divirtam-se!