(in)seguridad y ataques de mensajería instantánea en entornos corporativos - conectacon 2014
DESCRIPTION
La finalidad de esta presentación es mostrar al público como se puede utilizar los distintos protocolos y aplicaciones de mensajería instantánea para crear canales encubiertos que permitan a un atacante extraer información de una empresa, utilizarlos como mecanismo de comunicación de un C&C, como forma de distribuir malware o ataques de phishingTRANSCRIPT
(IN)SEGURIDAD Y ATAQUES DE I.M. EN ENTORNOS CORPORATIVOS
(IN)SEGURIDAD Y ATAQUES DE I.M. EN ENTORNOS CORPORATIVOS
CONECTACON 2014
QUIENES'SOMOSJaime Sánchez
- Ingeniero Informático - Telefónica España!- Executive MBA, CISSP, CISA y CISM!- Speaker en Rootedcon, Nuit du Hack, BH USA Arsenal, Defcon, NoConName, BH Sao Paulo etc.!- Twitter : @segofensiva!- http://www.seguridadofensiva.com!
!!Pablo San Emeterio
- Ingeniero Informático - Telefónica España!- Master en Seguridad Informática por la UPM, CISA y CISM!- Speaker en NoConName, Nuit du Hack, RootedCON, BH Europe, Shmoocon etc.!- Experiencia anterior con IM y WhatsApp :)!- Twitter : @psaneme
(IN)SEGURIDAD Y ATAQUES DE I.M. EN ENTORNOS CORPORATIVOS
CONECTACON 2014
(IN)SEGURIDAD Y ATAQUES DE I.M. EN ENTORNOS CORPORATIVOS
CONECTACON 2014
ANTERIORMENTE
MALICIOUS THREATS, VULNERABILITIES AND DEFENSES IN WHATSAPP AND MOBILE I.M. PLATFORMS
SHMOOCON 2014
(IN)SEGURIDAD Y ATAQUES DE I.M. EN ENTORNOS CORPORATIVOS
CONECTACON 2014
Tradicionalmente ha constituido la fase última y tal vez la menos relevante de un proceso de robo de información, aunque con la proliferación de los ataques de tipo APT también se han popularizado las soluciones técnicas que dificultan este proceso, como:!! - Detectores de anomalías!! - Sistemas de prevención de fugas de información !! - Cortafuegos inteligentes.
Proceso de extracción no autorizada de datos dentro de un sistema o de una red.
MALICIOUS THREATS, VULNERABILITIES AND DEFENSES IN WHATSAPP AND MOBILE I.M. PLATFORMS
SHMOOCON 2014
(IN)SEGURIDAD Y ATAQUES DE I.M. EN ENTORNOS CORPORATIVOS
CONECTACON 2014
“Attackers exfiltrate data by creating a mount point for a remote file share and copying the data stored by the memory-scraping component to that share,” the SecureWorks paper notes. “In the previous listing showing the data’s move to an internal server, 10.116.240.31 is the intermediate server selected by attackers, and CTU researchers believe the “ttcopscli3acs” string is the Windows domain name used on Target’s network. The “Best1_user” account appears to be associated with the Performance Assurance component of BMC Software’s Patrol product. According to BMC’s documentation, this account is normally restricted, but the attackers may have usurped control to facilitate lateral movement within the network.”
ERES'TARGET'…
MALICIOUS THREATS, VULNERABILITIES AND DEFENSES IN WHATSAPP AND MOBILE I.M. PLATFORMS
SHMOOCON 2014
(IN)SEGURIDAD Y ATAQUES DE I.M. EN ENTORNOS CORPORATIVOS
CONECTACON 2014
Prácticamente protocolo puede utilizarse como Covert Channel, aunque generalmente se utilizan algunos concretos en Capa 3-4 (Red-Transporte), como ICMP, IP con TCP/UDP, o en Capa 7 (Aplicación) los más comunes son HTTPS o DNS.
MALICIOUS THREATS, VULNERABILITIES AND DEFENSES IN WHATSAPP AND MOBILE I.M. PLATFORMS
SHMOOCON 2014
(IN)SEGURIDAD Y ATAQUES DE I.M. EN ENTORNOS CORPORATIVOS
CONECTACON 2014
- El problema llega porque los usuarios no limitan el uso de las tecnologías para los fines profesionales y porque el malware en dispositivos móviles no para de aumentar. Los casos de malware en dispositivos como Android son cada vez más frecuente y estas amenazas se pueden transferirse a través de los sistemas de mensajería instantánea.!!- Durante el periodo comprendido entre Agosto de 2013 y Julio de 2014 se registró el número más alto de ciberataques en los últimos años.
MALICIOUS THREATS, VULNERABILITIES AND DEFENSES IN WHATSAPP AND MOBILE I.M. PLATFORMS
SHMOOCON 2014
(IN)SEGURIDAD Y ATAQUES DE I.M. EN ENTORNOS CORPORATIVOS
CONECTACON 2014
- En la actualidad, con la llegada de los dispositivos móviles, los sistemas de mensajería instantánea tienen una segunda juventud, y los usuarios aprovechan sus posibilidades para el ámbito personal y profesional.!!- Los sistemas de mensajería instantánea puede suponer un problema para la seguridad, sobre todo en el ámbito del trabajo.
MALICIOUS THREATS, VULNERABILITIES AND DEFENSES IN WHATSAPP AND MOBILE I.M. PLATFORMS
SHMOOCON 2014
(IN)SEGURIDAD Y ATAQUES DE I.M. EN ENTORNOS CORPORATIVOS
CONECTACON 2014
The SnapChanneling
MALICIOUS THREATS, VULNERABILITIES AND DEFENSES IN WHATSAPP AND MOBILE I.M. PLATFORMS
SHMOOCON 2014
¿'QUÉ'ES'SNAPCHAT'?- Snapchat es una aplicación para móviles, que puedes descargar en tu iPhone o Android, para ¿chatear? con amigos a través de fotos y vídeos (con la posibilidad de usar etiquetas).!!- Vamos, como un WhatsApp (que ya sabéis que nos gusta) en el que no se puede enviar texto, sólo ficheros multimedia.!!- Una de las cosas más importantes de Snapchat es que la características de auto-destrucción de las fotos, una vez el destinatario las ha visto.
(IN)SEGURIDAD Y ATAQUES DE I.M. EN ENTORNOS CORPORATIVOS
CONECTACON 2014
MALICIOUS THREATS, VULNERABILITIES AND DEFENSES IN WHATSAPP AND MOBILE I.M. PLATFORMS
SHMOOCON 2014
EL'HISTÓRICO'DE'SNAPCHAT
(IN)SEGURIDAD Y ATAQUES DE I.M. EN ENTORNOS CORPORATIVOS
CONECTACON 2014
- Crees que es seguro enviar esas fotos embarazosas a través de Snapchat? PIÉNSALO DE NUEVO. !- SnapHack: una aplicación que permite reabrir y guardar mensajes de Snapchat, sin que el remitente sepa que se han almacenado
- Dump de 4.16 millones de usuarios y números de telefóno de usuarios de Snapchat publicados en el sitio web snapchatdb.info, después del public disclosure del funcionamiento de la API.
MALICIOUS THREATS, VULNERABILITIES AND DEFENSES IN WHATSAPP AND MOBILE I.M. PLATFORMS
SHMOOCON 2014
(IN)SEGURIDAD Y ATAQUES DE I.M. EN ENTORNOS CORPORATIVOS
CONECTACON 2014
- Vivimos épocas convulsas de filtraciones online. Si en los últimos tiempos fue el famoso celebgate o fappening el que trajo de cabeza a varias famosas del mundo del cine, el espectáculo y la televisión ahora es la aplicación Snapchat la que ha sufrido otra filtración masiva.!!!!!!!!!!- Una aplicación de terceros originó una filtración masiva que implica a unas 200.000 imágenes íntimas de numerosos usuarios de Snapchat, aunque según algunas informaciones la cifra podría seguir aumentando a lo largo de las próximas semanas.!!
MALICIOUS THREATS, VULNERABILITIES AND DEFENSES IN WHATSAPP AND MOBILE I.M. PLATFORMS
SHMOOCON 2014
(IN)SEGURIDAD Y ATAQUES DE I.M. EN ENTORNOS CORPORATIVOS
CONECTACON 2014
(IN)SEGURIDAD Y ATAQUES DE I.M. EN ENTORNOS CORPORATIVOS
CONECTACON 2014
- Para realizar envíos a través de Snapchat, necesitaremos primero obtener el request_token correspondiente:
- Los siguientes campos serán necesarios para realizar las diferentes plataformas y enviar Snaps a través de la plataforma:
Nada dura para siempre,!!excepto el token temporal de Snapchat!
MALICIOUS THREATS, VULNERABILITIES AND DEFENSES IN WHATSAPP AND MOBILE I.M. PLATFORMS
SHMOOCON 2014
(IN)SEGURIDAD Y ATAQUES DE I.M. EN ENTORNOS CORPORATIVOS
CONECTACON 2014
MALICIOUS THREATS, VULNERABILITIES AND DEFENSES IN WHATSAPP AND MOBILE I.M. PLATFORMS
SHMOOCON 2014
(IN)SEGURIDAD Y ATAQUES DE I.M. EN ENTORNOS CORPORATIVOS
CONECTACON 2014
OTROSUSOS'''}:)'
(IN)SEGURIDAD Y ATAQUES DE I.M. EN ENTORNOS CORPORATIVOS
CONECTACON 2014
(IN)SEGURIDAD Y ATAQUES DE I.M. EN ENTORNOS CORPORATIVOS
CONECTACON 2014
(IN)SEGURIDAD Y ATAQUES DE I.M. EN ENTORNOS CORPORATIVOS
CONECTACON 2014
OR
- Todos los archivos multimedia de Snapchat (vídeos y fotos) se envían:!! - Padding de PKCS#5!! - Cifrados usando AES/ECB con clave simétrica M02cnQ51Ji97vwT4 !- Si enviamos un Snap a cualquier usuario, podemos modificar el contenido de la imagen, introduciendo los datos que necesitemos, como por ejemplo contenido en ASCII:
(IN)SEGURIDAD Y ATAQUES DE I.M. EN ENTORNOS CORPORATIVOS
CONECTACON 2014
(IN)SEGURIDAD Y ATAQUES DE I.M. EN ENTORNOS CORPORATIVOS
CONECTACON 2014
(IN)SEGURIDAD Y ATAQUES DE I.M. EN ENTORNOS CORPORATIVOS
CONECTACON 2014
- Podemos enviar archivos ejecutables a través de los canales de comunicación de Snapchat.!!- En este caso probaremos a enviar un fichero ejecutable crackme.exe, previamente comprimido en formato ZIP.
(IN)SEGURIDAD Y ATAQUES DE I.M. EN ENTORNOS CORPORATIVOS
CONECTACON 2014
! También se pueden enviar ficheros ejecutables !
La señora DoubtLine …
MALICIOUS THREATS, VULNERABILITIES AND DEFENSES IN WHATSAPP AND MOBILE I.M. PLATFORMS
SHMOOCON 2014
(IN)SEGURIDAD Y ATAQUES DE I.M. EN ENTORNOS CORPORATIVOS
CONECTACON 2014
LINE tiene ya más de 400 millones de usuarios activos
Inicialmente fue una aplicación móvil desarrollada para uso interno de comunicación.!
!Tras su gran acogida y
popularidad entre los usuarios, se amplió a Windows Phone,
BlackBerry OS,1 Firefox OS, Mac OS X y Windows.!
!Esta última tiene dos versiones: una de escritorio tradicional y otra exclusiva para Windows 8 disponible en Windows Store. !
!También existe una versión para
Firefox OS
MALICIOUS THREATS, VULNERABILITIES AND DEFENSES IN WHATSAPP AND MOBILE I.M. PLATFORMS
SHMOOCON 2014
(IN)SEGURIDAD Y ATAQUES DE I.M. EN ENTORNOS CORPORATIVOS
CONECTACON 2014
ALGUNOS'DETALLES'DE'FUNCIONAMIENTO'…- Gran cantidad de servicios web diferentes, debido a la gran cantidad de apps y subsistemas que conviven…!!- La mayor parte del protocolo se genera sobre canales HTTPS, utilizando Apache Thrift para la serialización de los datos de los mensajes.!!- El procedimiento de autenticación:! loginWithIdentityCredentialForCertificate( IdentityProvider.LINE, // identityProvider "[email protected]", // identifier "password", // password in plain text true, // keepLoggedIn "127.0.0.1", // accesslocation "hostname", // systemName "") // certificate (empty on first login)
MALICIOUS THREATS, VULNERABILITIES AND DEFENSES IN WHATSAPP AND MOBILE I.M. PLATFORMS
SHMOOCON 2014
(IN)SEGURIDAD Y ATAQUES DE I.M. EN ENTORNOS CORPORATIVOS
CONECTACON 2014
- La respuesta a nuestro intento de autenticación será:!! struct LoginResult { 1: string authToken; 2: string certificate; 3: string verifier; 4: string pinCode; 5: LoginResultType type; } !- Después de una autenticación correcta, el campo de authToken contendrá el valor necesario para las siguientes peticiones, y se utilizará dentro de la cabecera X-Line-Access.!!- Dentro de la sincronización inicial del cliente, se llamarán a funciones como:! getLastOpRevision() getBlockedContactIds() getProfile() getRecommendationIds() getBlockedRecommendationIds() getAllContactIds() getContacts(contactIds) getGroupIdsJoined() getGroups(groupIds)
MALICIOUS THREATS, VULNERABILITIES AND DEFENSES IN WHATSAPP AND MOBILE I.M. PLATFORMS
SHMOOCON 2014
(IN)SEGURIDAD Y ATAQUES DE I.M. EN ENTORNOS CORPORATIVOS
CONECTACON 2014
- La comunicación se realiza por HTTPS:
MALICIOUS THREATS, VULNERABILITIES AND DEFENSES IN WHATSAPP AND MOBILE I.M. PLATFORMS
SHMOOCON 2014
(IN)SEGURIDAD Y ATAQUES DE I.M. EN ENTORNOS CORPORATIVOS
CONECTACON 2014
UPLOAD'DE'EJECUTABLE
MALICIOUS THREATS, VULNERABILITIES AND DEFENSES IN WHATSAPP AND MOBILE I.M. PLATFORMS
SHMOOCON 2014
(IN)SEGURIDAD Y ATAQUES DE I.M. EN ENTORNOS CORPORATIVOS
CONECTACON 2014
DESCARGA'DEL'EJECUTABLE
MALICIOUS THREATS, VULNERABILITIES AND DEFENSES IN WHATSAPP AND MOBILE I.M. PLATFORMS
SHMOOCON 2014
(IN)SEGURIDAD Y ATAQUES DE I.M. EN ENTORNOS CORPORATIVOS
CONECTACON 2014
UPLOAD'DE'FICHERO'COMPRIMIDO
MALICIOUS THREATS, VULNERABILITIES AND DEFENSES IN WHATSAPP AND MOBILE I.M. PLATFORMS
SHMOOCON 2014
(IN)SEGURIDAD Y ATAQUES DE I.M. EN ENTORNOS CORPORATIVOS
CONECTACON 2014
DOWNLOAD'DE'FICHERO'COMPRIMIDO
Se puede actualizar el contenido
CONECTACON 2014
Telegram Pie
MALICIOUS THREATS, VULNERABILITIES AND DEFENSES IN WHATSAPP AND MOBILE I.M. PLATFORMS
SHMOOCON 2014
(IN)SEGURIDAD Y ATAQUES DE I.M. EN ENTORNOS CORPORATIVOS
CONECTACON 2014
MALICIOUS THREATS, VULNERABILITIES AND DEFENSES IN WHATSAPP AND MOBILE I.M. PLATFORMS
SHMOOCON 2014
(IN)SEGURIDAD Y ATAQUES DE I.M. EN ENTORNOS CORPORATIVOS
CONECTACON 2014
- Telegram es una aplicación de software libre, que puede ser modificada por la comunidad, por lo que existen clientes oficiales para los sistemas operativos móviles Android, iOS y Windows Phone8.!! - También existen versiones para ordenadores, así cómo versiones para ejecutar en el navegador.
- Telegram es un servicio de mensajería por Internet, desarrollada por los hermanos Nikolai y Pavel Durov, creadores de la red social VK.!!- Aunque su financiamiento es independiente de VK, desde el 2013 el proyecto sin ánimo de lucro tiene como sede en Berlín y es operado de manera gratuita tanto su protocolo API como sus clientes.
MALICIOUS THREATS, VULNERABILITIES AND DEFENSES IN WHATSAPP AND MOBILE I.M. PLATFORMS
SHMOOCON 2014
(IN)SEGURIDAD Y ATAQUES DE I.M. EN ENTORNOS CORPORATIVOS
CONECTACON 2014
Telegram utiliza HTTP cifrando el payload
MALICIOUS THREATS, VULNERABILITIES AND DEFENSES IN WHATSAPP AND MOBILE I.M. PLATFORMS
SHMOOCON 2014
(IN)SEGURIDAD Y ATAQUES DE I.M. EN ENTORNOS CORPORATIVOS
CONECTACON 2014
Con esta version se pueden enviar: ! Fotos Videos Ficheros como mensajes de texto DOCUMENTO….. o ¡Virus!
MALICIOUS THREATS, VULNERABILITIES AND DEFENSES IN WHATSAPP AND MOBILE I.M. PLATFORMS
SHMOOCON 2014
(IN)SEGURIDAD Y ATAQUES DE I.M. EN ENTORNOS CORPORATIVOS
CONECTACON 2014
MALICIOUS THREATS, VULNERABILITIES AND DEFENSES IN WHATSAPP AND MOBILE I.M. PLATFORMS
SHMOOCON 2014
(IN)SEGURIDAD Y ATAQUES DE I.M. EN ENTORNOS CORPORATIVOS
CONECTACON 2014
Lord Of The WhatsApp
MALICIOUS THREATS, VULNERABILITIES AND DEFENSES IN WHATSAPP AND MOBILE I.M. PLATFORMS
SHMOOCON 2014
(IN)SEGURIDAD Y ATAQUES DE I.M. EN ENTORNOS CORPORATIVOS
CONECTACON 2014
MALICIOUS THREATS, VULNERABILITIES AND DEFENSES IN WHATSAPP AND MOBILE I.M. PLATFORMS
SHMOOCON 2014
Y'NUESTRO'QUERIDO'WHATSAPP'…
TEXT MSG RC4
SERVIDOR MULTIMEDIA
- En este caso podemos utilizar el almacenamiento de imágenes utiliza HTTPS (bin2jpg)
- Exfiltrar ficheros como mensajes
(IN)SEGURIDAD Y ATAQUES DE I.M. EN ENTORNOS CORPORATIVOS
CONECTACON 2014
MALICIOUS THREATS, VULNERABILITIES AND DEFENSES IN WHATSAPP AND MOBILE I.M. PLATFORMS
SHMOOCON 2014
(IN)SEGURIDAD Y ATAQUES DE I.M. EN ENTORNOS CORPORATIVOS
CONECTACON 2014
ANONIMATO
MALICIOUS THREATS, VULNERABILITIES AND DEFENSES IN WHATSAPP AND MOBILE I.M. PLATFORMS
SHMOOCON 2014
- Es posible que no queramos que identifiquen la cuenta a la que se exfiltrará la información confidencial de la empresa.!!- Podemos utilizar diferentes saltos por la red, números virtuales, proxys anónimos etc.
VIRTUAL NUMBERS
- Esto es posible de realizar con cualquier otra aplicación o protocolo, con unos sencillos scripts, por ejemplo, en Python.!!- Para el caso de WhatsApp, no es necesario, ya que con un poco de ingenio y gracias a Yowsup, tendremos la mayor parte del trabajo hecho.
(IN)SEGURIDAD Y ATAQUES DE I.M. EN ENTORNOS CORPORATIVOS
CONECTACON 2014
MALICIOUS THREATS, VULNERABILITIES AND DEFENSES IN WHATSAPP AND MOBILE I.M. PLATFORMS
SHMOOCON 2014
(IN)SEGURIDAD Y ATAQUES DE I.M. EN ENTORNOS CORPORATIVOS
CONECTACON 2014
MALICIOUS THREATS, VULNERABILITIES AND DEFENSES IN WHATSAPP AND MOBILE I.M. PLATFORMS
SHMOOCON 2014
(IN)SEGURIDAD Y ATAQUES DE I.M. EN ENTORNOS CORPORATIVOS
CONECTACON 2014
Snapchat( Line((
Telegram((
WhatsApp((
Subir&Exe/Virus& Si,&con&offset& Si& Si& No?&
Subir&Zip& Si,&con&offset& Si& Si& No?&
Ficheros&como&texto&
No& No& Si& Si&
Version&PC& No& Si/No&probada& Si& Si,&no&oficial&
Pe@ciones&web&&
Si&& Si&& Si& Sólo&ficheros&
Protocol& HTTPS& HTTPS& HTTP&& HTTPS/RC4&
Canales&de&comunicación&
Uploads&actualizables&CON&cambio&de&ID&&
Uploads&actualizables&SIN&cambio&de&ID&&
Si&(texto&/envio&de&ficheros)&
Si&(Texto)&
MALICIOUS THREATS, VULNERABILITIES AND DEFENSES IN WHATSAPP AND MOBILE I.M. PLATFORMS
SHMOOCON 2014
(IN)SEGURIDAD Y ATAQUES DE I.M. EN ENTORNOS CORPORATIVOS
CONECTACON 2014
G R A C I A S !