miércoles, 20 de julio de 2016

Threat Intelligence. Yara Rules webshell hashes export OTX and other

Estimados amigos de Inseguros !!!

Hoy por ser miércoles el día que es voy a escribir un pequeño artículo para apuntar una chuleta y agradecer el trabajo de la gente de Yara RUles.


En el github oficial del proyecto han publicado un fichero yara con la identificación de las webshells más conocidas y usadas por los ciber-malosos, auditores y demás perlas del panorama :-)

El archivo es lo podéis descargar aquí.

Para los que no sepáis que es Yara Rules, mejor leer este artículo de Root Against The Machine o mal informaros con mi descripción: Un motor de detección de malware, o ficheros... basados en expresiones regulares. Es decir lo que podría ser un "motor de antivirus" en el que nosotros creamos las firmas, por ejemplo, detectar ficheros ejecutables que contengan el string "banco". El ejemplo de la documentación:

rule ExampleRule
{
    strings:
        $my_text_string = "text here"
        $my_hex_string = { E2 34 A1 C8 23 FB }

    condition:
        $my_text_string or $my_hex_string
}

El ejemplo de una webshell del fichero que han publicado sería este:

rule lamashell_php {
meta:
description = "Semi-Auto-generated - file lamashell.php.txt"
author = "Neo23x0 Yara BRG + customization by Stefan -dfate- Molls"
hash = "de9abc2e38420cad729648e93dfc6687"
strings:
$s0 = "lama's'hell" fullword
$s1 = "if($_POST['king'] == \"\") {"
$s2 = "if (move_uploaded_file($_FILES['fila']['tmp_name'], $curdir.\"/\".$_FILES['f"
condition:
1 of them
}

Si pasas un proceso en un servidor que ejecute Yara con esta regla, nos mostraría el fichero en el caso de que tuviéramos esa shell instalada en el servidor. Imagino que se usará mas en Respuesta a Incidentes para detectar servidores comprometidos que para la parte defensiva que es la que me interesa a mi.
Recorrer el servidor, un webserver grande buscando este fichero cada 5 minutos puede consumirnos el sistema entero, y yo ya cuento con otro sistema de FIM (FIle Integrity Monitor) que me monitoriza "cosas". Pero me gustaría meter una regla en un sistema defensivo que me detecte la subida de estos ficheros, pongamos por ejemplo un mod_security.
Lo que pretendo es extraer simplemente el hash de la shell y volcarlo en un fichero para poder cargarlo en mis firmas. También lo voy a subir a la base de datos OTX de AlienVault por si le sirve a alguien, y por supuesto, lo voy a incorporar a mi sistema de Threat Intelligence que tenemos en Eset España.
Muy sencillo el comando, le pasamos el fichero de yara rules y le pasamos una salida, sencillo:
grep -n "hash = " /sitio/yara_shells.txt | awk -F  "=" '{print $2}' | tr -d '"' > /sitio/hashes.txt
Como he dicho, es solo un pequeño truco que quiero documentar y agradecer el trabajo desinteresado de la comunidad que escribe yara rules públicas y la gente de OTX.
Gracias por leerme.


martes, 12 de julio de 2016

OSSIM 27. Mamá, he roto OSSIM... Backups

Estimados amigos de Inseguros !!!

Vamos a escribir el vigésimo séptimo artículo de la serie dedicada a OSSIM (todos los artículos).


En esta ocasión vamos a trabajar un poco con las opciones de configuración y backups.

El producto OSSIM en la versión de software libre, no se en la de pago, suele ser algo "inestable" por no decir otra cosa con algunas situaciones. Bien sea porque nos quedamos sin disco, o por un corte de corriente, mala actualización, y demás situaciones no-friendly para el sysdamin, la base de datos se suele corromper, o se puede corromper, tampoco voy a criticar este producto GRATUITO.

Lo que si sabéis todos los que lo estáis usando, es que antes de hacer algún cambio importante o update, mejor hacer un snapshot o copia de seguridad potente.

El sistema hasta la versión 5.2.4 realizaba una copia de seguridad automática de la configuración del sistema, desde las políticas, assets, configuración de openvas, usuarios, TODO. La ubicación de las copias de seguridad se solía hacer en /var/alienvault/backup/ 

Si actualizaste a la versión 5.2.5, sin leer, como suele ser el caso :-) habrás notado que ya no se están realizando backups automáticos y el sistema nos invita amablemente a introducir una clave de seguridad para los backups, un punto más de seguridad en nuestros despliegues.

El procedimiento es tan sencillo como este.

Si alguna vez se nos va la base de datos, tenemos que tener en cuenta una cuestión. Si actualizamos el servidor OSSIM no podemos restaurar la configuración de una versión previa.

El otro día me paso eso, que me petó la BBDD, pensé que actualizando se arreglaría, y me vi en la situación de no poder restaurar la configuración por ser de una versión anterior. Todo el OSSIM de años perdido...

Me puse a pensar como loco, porque ya no fumo :-) y pensé: si en en /etc/ossim/ossim_setup.conf tengo la clave de la BBDD mysql de OSSIM y tengo los ficheros .sql, por qué no los lanzó a ver si la actualización no ha tocado mucha definición de tablas, y salgo del paso? Correcto, ejecute el dump de mysql de todos los ficheros .sql y volví a respirar.

Si vas a hacerlo uno a uno (son muchos) me parece bien, yo pensé en hacer un cat *.sql   | mysql -u adasd..... y funcionó.

Aprovecha también para introducir estos ficheros en tu sistema de backups de disco general. Si exportas la configuración a otro servidor salvarás los "muebles" en caso de que se rompa el disco y no puedas acceder localmente a la copia de seguridad...

Espero que sea estable la solución, aunque imagino que en la próxima actualización me tocará lidiar con las tablas del mysql... De momento tengo SIEM. Realmente tengo copias de seguridad de la máquina, pero quería probar estas pequeñas historias para cuando todo falla.

Espero que os sirva de ayuda, tanto lo de los backups, como la ubicación del fichero de configuración de mysql, como simplemente echar un rato simpático leyendo Inseguros :-)

Un saludo !! gracias por leerme !!!


miércoles, 29 de junio de 2016

¿Https? Enséñame tu SSL... Script SSL Labs Test

Estimados amigos de Inseguros !!!

En el capítulo de hoy vamos a hablar brevemente de una pequeña herramienta muy útil para los procesos de auditoria de seguridad web, los certificados SSL para el HTTPS.

No voy a dar una MasterClass sobre el protocolo o el cifrado, algoritmos de hash o vulnerabilidades actuales. Para eso tenéis está Internet.


Voy a presentaros un recursos que muchos conocéis, una web que audita por nosotros la calidad del certificado y su implementación, la web es SSL LAB de Qualys.

El proceso es sencillo, indicas el dominio, y te realiza todo el trabajo. Veamos un ejemplo para un centro comercial español.


A está bien, pero después del reciento hackeo sufrido por Anonymous y habiendo más niveles de calidad por encima, no lo entiendo muy bien. 

Cabe mencionar por aquí que los test que realiza el análisis en ocasiones he visto que proporcionan una denegación de servicio en el servidor, ahí lo dejo.

El script que os presento de Mohes Moha usa la capacidad de la API de Qualys para realiza cierta automatización en nuestros análisis de certificados.

Cosas buenas del script, multihilo, varios dominios en un fichero, salida csv totalmente cualificada, y que es gratis.

En mi sistema he tenido que hacer un pip install unirest para instalar este modulo de peticiones http que mi python no tenía.

El script admite de argumentos -i un fichero de input y un -o un fichero de output.


El resultado del script.

La ayuda para leer esto la tiene al autor en la web del proyecto:

Freak
Poodle_TLS 
Insecure renegotiation 
OpenSSL ccs 
Insecure DH
SSL v2 
Poodle_SSL
wrong domain 
cert expired 
self signed cert
No TLS1.2?
SSL v3
RC4
cert chain issue
CRIME
forward secrecy not supported?
weak private key?
weak signature
secure renegotiation
TLS 1.0
TLS 1.1
TLS 1.2 

Como siempre, espero que os guste, gracias por leerme !!!

PD: La herramienta detecta si metemos en el fichero de entrada 20 veces el mismo dominio, por lo que para realizar un DOS deberíamos llamar varias veces a la herramienta :-)


miércoles, 1 de junio de 2016

OSSIM 26. Análisis de boletines Microsoft en sistemas Openvas-Ossim. Credenciales !!!

Estimados amigos de Inseguros !!!

Vamos a dar otro pequeño artículo de la serie OSSIM 

En esta ocasión vamos a dar a los lectores un pequeño truco para realizar un tipo de análisis bastante útil en algunos procesos de auditoria, generalmente del tipo Compliance, o simplemente para control interno del departamento.

Como todos sabéis, mantener los sistemas operativos actualizados es un MUST en la seguridad.

En esta blog hemos hablado largo y tendido sobre ello, incluso de herramientas para comprobar las actualizaciones, como MBSA.

En esta ocasión vamos a aprovechar una de las funciones que nos ofrece OSSIM para el análisis de Vulnerabilidades mediante OpenVas.

La idea es crear un perfil de análisis, pero en vez de usar los plugins típicos, vamos a seleccionar los plugins de comprobación de actualizaciones de Microsoft, vamos a configurar un usuario y contraseña válido en el dominio, y vamos a comprobar los resultados.



Comenzamos con la configuración del Profile o perfil del escaneo.

OSSIM


OSSIM


OSSIM


OSSIM
Como se aprecia en las capturas, creamos un perfil habilitando solo la familia de plugins relativa a los boletines de seguridad de Microsoft.

Ahora iniciamos el proceso de configuración de credenciales.



OSSIM Como puedes ver, se pueden proporcionar credenciales para SSH y SMB. Si necesitas credenciales para otro tipo de análisis, como pueda ser un usuario FTP o un usuario POP3 deberías configurarlo en la parte del plugin concreto. No es el caso.

OSSIM

Una vez configurada la autenticación podemos comprobarla si elegimos un equipo.

OSSIM

Una vez configuradas las credenciales, podemos crear un nuevo trabajo de escaneo normal.

OSSIM
 Elegimos el perfil que hemos creado, y pinchamos avanzadas para proporcionarle un juego de usuario/password

OSSIM

 Una vez terminado el análisis, vamos a comprobar alguna de las "vulnerabilidades" que nos presenta el sistema.

OSSIM

OSSIM

El color púrpura, lila, violeta, o como diga mi mujer que se llama... no es decisión mia, es debido a la criticidad de la "vulnerabilidad".

Si programamos un análisis completo de la red, digamos... dos días después del ciclo de actualizaciones clásico de los servidores Windows (segundo martes de cada mes) podemos tener un buen punto de vista del estado de las actualizaciones.



En entornos empresariales se suele usar un sistema WSUS que contiene sus propios reports, pero no todo el mundo instala el complemento en el servidor, y tener otra perspectiva, digamos "aparte" del área de sistemas, y mas focalizada para el SOC o el departamento/responsable de seguridad, nunca está de mal.

Espero que os guste esta mini guía o ayuda para vuestros procesos de actualización.

Gracias por leerme !!!

Tip&Tricks: Instalar Ossim sobre Xen Server

Estimados amigos de Inseguros !!!

Si por cualquiera de las razones, has decidido instalar Ossim sobre un servidor Xen, piensalo dos veces !! :-) Aún estás a tiempo de instalarlo en un Hypervisor bueno, pero...si lo haces... recuerda marcar la máquina virtual como Template Windows 7 o tendrás problemas con la instalación de Grub. Más bien no se instalará.

Ossim en Xen Server

Al parecer es debido a un problema en la nomenclatura del disco, pero con este pequeño brico-consejo- te ahorras la búsqueda en Google. O... quizás ya has buscado en google Como instalar Ossim en Xen Server?

Gracias por leerme !!!
Related Posts Plugin for WordPress, Blogger...