Hackeando ROUTERS mediante Unauthenticated DNS Change Remote - a Shodan & Exploit 0day Tale
Buenos días Vietnammmm...
Hoy vamos a hablar de un ataque llamado: Unauthenticated DNS Change y es un 0day que se encontró en varios modelos de routers como lo son:
iBall Baton iB-WRA150N
UTstarcom WA3002G4
D-Link DSL-2640U
D-Link DSL-2640B
Beetel BCM96338
y muchos mas que podrán encontrar en Internet.
ALCANCES DE LA VULNERABILIDAD
Esta vulnerabilidad como su nombre lo dice, a los delincuentes informáticos les da la facultad de crear nuevos DNS con los cuales redirigir el trafico a posibles sitios maliciosos para así poder snifear datos y también pueden modificar la configuración de DNS de los sistemas de tal forma que les permitirá realizar actividades maliciosas como:
Dirigir usuarios desconocidos a sitios malos como lo son paginas de phising, scamming de sitios conocidos y así robar logins y passwords.
Sustitución de anuncios en sitios legítimos.
Control y redireccionamiento del tráfico de red.
Instalar malware.
etc. etc. etc.
DISCLAIMER
Esta vulnerabilidad y/o los programas que se mostraran son para Educación SOLAMENTE. No lo use sin permiso. Se aplica la renuncia habitual, especialmente no soy responsable de ningún Daño causado por el uso directo o indirecto de la información y/o funcionalidad proporcionada por estos programas.
El autor o cualquier proveedor de Internet NO asume ninguna responsabilidad por el contenido o mal uso de estos programas o sus derivados.
Usando estos programas usted acepta el hecho que cualquier daño (dataloss, fallo del sistema, compromiso del sistema, etc.) causado por el uso de estos programas no es de Todor Doneev responsabilidad ni mio al explicar como se usan.
¡Usélos bajo su propio riesgo! y como investigación solamente
OK amigos una vez dicho pasemos a ver como se usan.
Para este Ejemplo de ejecución del exploit usaremos el D-LINK DSL-2640U con el cual primeramente tendremos que buscar los sitios en el mundo que tienen este modelo de router y para eso usaremos shodan con lo cual entramos a la página de shodan y buscamos los modelos que presumiblemente pueden ser atacados:
La imagen nos muestra en RUSIA 30 routers y otros mas en KAZAJASTHAN que cumplen con el primer requisito de tener la información que buscamos, cabe mencionar que todavía falta ver si son vulnerables o no !ok!.
Una vez hecho esto ahora tendremos que ver si podemos entrar o conectarnos a un router de los encontrados, lógicamente siempre usen condón electrónico (ocultar su ip):
Listo si se conecta y nos pide el nombre y password de acceso, pero ese no es el motivo de este artículo. si no el de ver como usaremos el exploit saber si es vulnerable este router, para eso lo tendremos que bajar y analizar que tipo de código es y en que lenguaje fue programado para saber si lo debemos de compilar, interpretar o ver como canijo lo ejecutaremos y usaremos.
Como podemos ver esta hecho en bash (#!/bin/bash) entonces ya sabemos como, para eso vamos y abrimos en Linux el Gedit y copiaremos ahí todo el código:
lo guardamos con un nombre que yo en este caso lo guardo con el nombre DSL.SH:
Le daremos los permisos de ejecución para que podamos usarlo con el siguiente comando:
Ya que lo tenemos así, ahora vamos a checar si los permisos fueron cambiados con el comando:
Y listo ahora si a ejecutar el pequeño exploit y veamos si funciona:
Listo ahora si quedo ready to rock, jajajajjajaa sres. usenlo con moderación ok.
Hoy en la mañana me puse a investigar todos los detalles técnicos del MALWARE PEGASUS que venden en 70 y tantos mil dolares y que es para ataques dirigidos, muy diferente al WANNACRY que fue usado para hacer ataques indiscriminados y como lo hice con el WANNACRY en mi artículo, también le hice un pequeño análisis de las partes importantes de este, donde intentaré dar algunos detalles más de cómo trabaja.
A ojo de buen cubero
Primeramente este pequeño dolor de cabeza infecta mediante un SMS enviado a la víctima del tipo SMS o Email con un link ya sea acortado o escondido detrás de un shorturl.
El ataque comienza cuando el atacante envía un URL del sitio web (a través de SMS, correo electrónico, medios sociales o cualquier otro mensaje) a un destino identificado, ósea un solo click y te dan en toda la torre, es ahí donde el software ejecuta en silencio una serie de exploits contra el dispositivo de la víctima para hacer el jailbreak remotamente y así los paquetes de software de espionaje se pueden instalar.
Fue dado aviso al mundo de que existía este malware el día 25 de Agosto del 2016 a las 12:00 am. y las versiones vulnerables son:
Apple iPad 2 0
Apple iOS 5 0
Apple iOS 4 0
Apple iOS 3
Apple iOS 9.3.4
Apple iOS 9.3.3
Apple iOS 9.3.2
Apple iOS 9.3.1
Apple iOS 9.2.1
Apple iOS 9.0.2
Apple iOS 9.0.1
Apple iOS 8.4.1
Apple iOS 7.2
Apple iOS 7.0.6
Apple iOS 7.0.5
Apple iOS 7.0.3
Apple iOS 7.0.1
Apple iOS 6.3.1
Apple iOS 6.1.6
Apple iOS 6.1.4
Apple iOS 6.1.3
Apple iOS 4.2.1
Apple iOS 4.0.2
Apple iOS 4.0.1
Apple iOS 3.2.2
Apple iOS 3.2.1
Apple iOS 9.3.5
Apple iOS 9.3
Apple iOS 9.2
Apple iOS 9.1
Apple iOS 9
Apple iOS 8.4
Apple iOS 8.3
Apple iOS 8.2
Apple iOS 8.1.3
Apple iOS 8.1.2
Apple iOS 8.1.1
Apple iOS 8.1
Apple iOS 8
Apple iOS 7.1.2
Apple iOS 7.1.1
Apple iOS 7.1
Apple iOS 7.0.4
Apple iOS 7
Apple iOS 6.1
Apple iOS 6.0.2
Apple iOS 6.0.1
Apple iOS 6
Apple iOS 5.1.1
Apple iOS 5.1
Apple iOS 5.0.1
Apple iOS 5
Apple iOS 4.3.5
Apple iOS 4.3.4
Apple iOS 4.3.3
Apple iOS 4.3.2
Apple iOS 4.3.1
Apple iOS 4.3
Apple iOS 4.2.9
Apple iOS 4.2.8
Apple iOS 4.2.7
Apple iOS 4.2.6
Apple iOS 4.2.5
Apple iOS 4.2.10
Apple iOS 4.2
Apple iOS 4.1
Apple iOS 4
Apple iOS 3.2
Apple iOS 3.1
Apple iOS 3.0
Apple iOS 2.1
Apple iOS 2.0
O mejor dicho la forma de verificar si estas infectado con el sistema
que varios paises incluyendo México compró en millones de pesos.....para
espiar celulares
POR dios sres.
Ahora hablan del NSO eXPLOIT usado por gobierno de México para espiar celulares y demas comunicaciones desde agosto 2016...y realmente me surgen varias preguntas antes de mostrarles como detectar si estamos infectados o en pocas palabras si nos estan CHECANDO TODO LO QUE HACEMOS EN LOS IPHONE, pero hare primero las preguntas.
Primera pregunta es: QUE NO ENTENDIERON LO QUE PASO CON WANNACRY, QUE POR NO ACTUALIZAR SE LOS TRABRON?. --> Esta vulnerabilidad fue publicada en
Agosto 25 2016 12:00AM --> Versiones de IOS vulnerables:
Apple Mac Os X 10.11.6
Apple Mac Os X 10.10.5
Apple iPod Touch 0
Apple Iphone 4S -
Apple iPad 2 0
Apple iOS 5 0
Apple iOS 4 0
Apple iOS 3 0
Apple iOS 9.3.4
Apple iOS 9.3.3
Apple iOS 9.3.2
Apple iOS 9.3.1
Apple iOS 9.2.1
Apple iOS 9.0.2
Apple iOS 9.0.1
Apple iOS 8.4.1
Apple iOS 7.2
Apple iOS 7.0.6
Apple iOS 7.0.5
Apple iOS 7.0.3
Apple iOS 7.0.2
Apple iOS 7.0.1
Apple iOS 6.3.1
Apple iOS 6.1.6
Apple iOS 6.1.4
Apple iOS 6.1.3
Apple iOS 4.2.1
Apple iOS 4.0.2
Apple iOS 4.0.1
Apple iOS 3.2.2
Apple iOS 3.2.1
Apple iOS 9.3.5
Apple iOS 9.3
Apple iOS 9.2
Apple iOS 9.1
Apple iOS 9
Apple iOS 8.4
Apple iOS 8.3
Apple iOS 8.2
Apple iOS 8.1.3
Apple iOS 8.1.2
Apple iOS 8.1.1
Apple iOS 8.1
Apple iOS 8
Apple iOS 7.1.2
Apple iOS 7.1.1
Apple iOS 7.1
Apple iOS 7.0.4
Apple iOS 7
Apple iOS 6.1
Apple iOS 6.0.2
Apple iOS 6.0.1
Apple iOS 6
Apple iOS 5.1.1
Apple iOS 5.1
Apple iOS 5.0.1
Apple iOS 5
Apple iOS 4.3.5
Apple iOS 4.3.4
Apple iOS 4.3.3
Apple iOS 4.3.2
Apple iOS 4.3.1
Apple iOS 4.3
Apple iOS 4.2.9
Apple iOS 4.2.8
Apple iOS 4.2.7
Apple iOS 4.2.6
Apple iOS 4.2.5
Apple iOS 4.2.10
Apple iOS 4.2
Apple iOS 4.1
Apple iOS 4
Apple iOS 3.2
Apple iOS 3.1
Apple iOS 3.0
Apple iOS 2.1
Apple iOS 2.0
VERSIONES DE SISTEMAS NO VULNERABLES:
Apple Mac Os X Security Update 2016 Apple Mac Os X Security Update 2016 Apple iOS 10.0.1 Apple iOS 10
QUE ES LO QUE OBTIENE DE TU SISTEMA
DETECCIÓN DE UPDATES
Este pequeño de lo primero que se serciora es de que no pueda el sistema hacer las autoupdates ya que si se actualiza valio gorro su ataque.
DETECCIÓN DE JAILBREAK
MENSAJES SMS/i
CALENDARIO
LIBRETA DE CONTACTOS
MAILS DE GMAIL Y SUS ATACHMENTS
VIBER (LLAMDAS Y MENSAJES)
FACEBOOK (MENSAJES Y TODO LO QUE ESCRIBES)
WHATSAPP (MENSAJES Y LLAMADAS)
TELEGRAM (MENSAJES)
SKYPE (TODO)
LINE (TODO)
KAKAO (TODO)
WECHAT (TODO)
SURESPOT (TODO)
IMO.IM (TODO)
MAIL.RU
TANGO
VK
ODNOKLASSMIKI
GEOLOCALIZACIÓN
SIM E INFORMACIÓN DEL NUMERO DE CELULAR
WIFI PASSWORD
Despues del analisis que hice podria decir que euda en modo MITM interceptando todo lo que sale y entra al cel.
COMO INYECTA O ROBA LAS CONVERSACIONES?
Bueno amigos aquí si que me defraudo un poco este virus ya que se supone que lo venden en miles de dolares y para interceptar las llamadas en tiempo real usa según mi análisis usa una biblioteca de terceros GRAUTITA que podrán encontrar aquí: https://github.com/r-plus/substrate/blob/master/cynject.cpp Ahora si me sorprende USAN UNA VERSIÓN MODIFICADA DE UN CODIGO GRATUITO Y LA VENDEN jajajajja que cosas se ven en este mundo.
Segunda pregunta: QUE ESO NO CUALQUIERA LO PODRIA HACER CON LO QUE YA EXiSTE A LA MANO CON UTILERIAS Y/O EXPLOITS 0DAYZ?
--> Si hasta en los congresos se presentan tools para espiar celulares como esas........no mammmmmm no hagan mas faramalla de lo que es.
En el X.25 Ehtical Hacking News se ha presentado todo eso y desde el año 2010.
En Guatemala se presento tambien todo eso hace unos meses y nada mas por que son ISRAELITAS ya se los compran en miles de dolares..... NO MAMENNNNNNNNNNN POR FAVOR....... 😎🤔
NOta: Disculpen la groseria , pero neta no MAMENNnn
Ahora si pasemos a los cinco pasos a seguir para revisar su iphone:
1.- Abre Lookout Personal, si todavía no tienes Lookout, puedes descargar la aplicación Lookout desde la
Apple App Store y luego crea una cuenta con su dirección de correo electrónico y una contraseña de su elección.
2:
Actualizar el sistema operativo iOS
Inmediatamente, Vaya a Configuración, toque 'General',
Luego "Actualización de software" y luego "Instalar ahora".
3.- Actualizar a la última versión de Lookout de la Apple App Store y Abrir la App Store
En su dispositivo, busque Lookout y, a continuación, toque 'Update', una vez actualizado abra la aplicación Lookout en su dispositivo.
Confirme que el panel de control Lookout muestra un
Verde "en la sección de Seguridad, indicando que
Todo está bien.
Nota: Si ves una "exclamación amarilla"
Marca "en su lugar, toque en" Seguridad ".
Usted será llevado al "Asesor del Sistema"
Pantalla de descripción. Si su dispositivo se ve afectado por el
Pegasus, verá la siguiente pantalla:
Si sale esta ventana con este mensaje, por favor actualice sus sistema con los puntos de arriba, cabe señalar que lo mejor sera respaldar sus contactos, imagenes y todo lo importante de su celular y haga la restauración de fabrica y aplique actualizaciónes y listo.
Otra vez aquí amigos, dejándoles un link donde podrán analizar las nuevas vulnerabilidades que se encontraron en FIREFOX 53.0.3 (32-bits) y 64 bits y que a continuación les damos una breve reseña.
Hoy les damos a conocer las actualizaciones que MICROSOFT acaba de sacar en cuestiones de seguridad de todos sus productos que tiene en el mercado, esto se los dejo aquí con la finalidad que primeramente se enteren que ya hay nuevas actualizaciones y en segundo lugar pero creo que es la mas importante es la de que actualicemos nuestros sistemas para evitar ataques como el que sucedió con el RANSOMWARE WANNACRY.
Entre las actualizaciones mas importantes tenemos la de OFFICE
Windows search vulnerabilities in Windows Server 2008: June 13, 2017
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
y muchas mas updates del tipo CRITICO que debemos actualizar pero yaaaaaaa....
Aquí les dejo el link del resumen de updates por si les interesa:
Bueno Ya se está haciendo costumbre ver que salen a montones las vulnerabilidades de LINUX y sus puertos, protocolos y servicios que se ejecutan en el con bugs del tipo ejecución de código, denegaciones de servicio ya sea locales o remotas, creo que el pingüino ahora si la esta viendo ya no lo duro si no lo tupido, pero lo que me da risa es que los defensores de LINUX se escudan diciendo:
Esta vulnerabilidad me la pela.
Esta vulnerabilidad se quita asiiiiiii.
Esta vulnerabilidad ni despiena a LINUX
Esta vulnerabilidad es facil de componer.
Esta vulnerabilidad no es de LIONUX es de un protocolo, puerto o servicio que corre el, no de el.
Y muchas cosas mas dicen, Pero recuerden una cosa:
ESO MISMO DICEN DE WINDOWS QUE ES SUPER VULNERABLE, PERO MUCHOS DE LOS BUGS COMO EN LINUX NO SON DE NÚCLEO, SI NO DE ALGÚN SISTEMA INSTALADO EN EL.
Tal vez sea cierto algunas afirmaciones que dicen, peroooooooo ahí estan y son vulnerabilidades que causan que el Sistema LINUX este siendo vulnerado, ya sea directamente o indirectamente ok.
DE ESO NO HAY VUELTA DE HOJA Y DECÍAN QUE NO TENIA BUGS :P
MAS BIEN COMO NADIE USABA EL SISTEMA, PUES NADIE SE PREOCUPABA POR ENCONTRARLE VULNERABILIDADES, PERO COMO DIGO ARRIBA AHI ESTAN Y LE ESTAN DANDO DURO AL PINGUININ.
Pero continuemos con la explicación de los nuevos bugs de LINUX.
OPENLDAP VULNERABILITY
Antes de empezar a hablar de esta vulnerabilidad, primero hablaremos de que es el OPENLDAP y para que se usa en LINUX.
OpenLDAP es una implementación libre y de código abierto del protocolo Lightweight Directory Access Protocol (LDAP) desarrollada por el proyecto OpenLDAP.
Está liberada bajo su propia licencia OpenLDAP Public License. LDAP es un protocolo de comunicación independiente de la plataforma.
Muchas distribuciones GNU/Linux incluyen el software OpenLDAP para el soporte LDAP.
Este software también corre en plataformas BSD, AIX, HP-UX, Mac OS X,
Solaris, Microsoft Windows (NT y derivados, incluyendo 2000, XP, Vista),
y z/OS.
OK hasta aquí lo que es y pasemos a la vulnerabilidad:
USN-3307-1: OpenLDAP vulnerability
En OpenLDAP desde la versión 2.4.44 es propenso a una doble vulnerabilidad con la cual un usuario con acceso para buscar en el directorio, puede crear una denegación de servicio mediante la petición de una búsqueda que incluye el control Paged Results con un Tamaño de página de 0.
Saludos amigos y ya aceptenlo LINUX TIENE BUGS y los que faltan por encontrarle, es un sistema operativo bueno, yo lo uso, pero no salgan con sus "#%$#%#$% de minimizar lo que esta pasando.
Mis estimados amigos hoy veremos otra técnica para poder encontrar en Internet un rango especifico de ip's de todos los dispositivos IoT que se encuentren a nuestro alcance y que tengan los passwords por default para que se den cuenta lo peligroso de los sistemas que hoy en día se ha popularizado.
Cámaras CCTV
DVDr's
Sistemas de vigilancia
Etc.
Para eso usaremos una utilería llamada " IotSeeker " con el cual tenemos la facultad de escanear una red para buscar dispositivos específicos y que tengan los passwords o las bien llamadas credenciales de acceso por default establecidas de fabrica y como sabemos eso es lo peligroso que instalan cámaras y demás dispositivos y dejan los accesos por default.
----------------------------------- Cabe señalar que la
intención de esta herramienta es ayudar a las organizaciones a explorar
sus redes para detectar estos tipos de dispositivos IoT e identificar
si se han cambiado las credenciales o si el dispositivo sigue utilizando
la configuración de fábrica. ---------------------------------
También debo señalar que el malware Mirai, sospechoso de haber sido utilizado para lanzar el
apagón masivo de Internet el 21 de octubre de 2016, se centró
principalmente en los servicios de telnet.
IoTSeeker se centra en los servicios HTTP / HTTPS, esto con el fin de poder escanear grandes rangos de IP y hacer que sea capaz de encontrar un gran número de diferentes tipos de dispositivos IoT.
Esta
herramienta fue diseñada con alto paralelismo para que pueda escanear miles de IoT's al mismo tiempo su extensibilidad nos facilitará el soporte de nuevos tipos de dispositivos sin necesidad de cambiar o escribir mucho código.
El software consta de dos bloques:
-- Uno
es el archivo de configuración del dispositivo que está en formato
JSON.
-- El escáner, codificado en perl, que hace el escaneo, la
identificación del dispositivo y el registro este controlado por el
archivo de configuración del dispositivo.
NOTA: Este software utiliza el módulo perl AnyEvent para un alto paralelismo y como resultado, sólo funciona en Linux o Mac OS.
INSTALANDO Y USANDO EL SCRIPT
Ok. ya menos bla bla bla y pasemos a instalar y configurar este bonito script.
lo primero que haremos es ver si nuestro Linux tiene instalado CPAN, para eso abrimos una shell y digitamos cpan y aparecerá esto:
Una vez hecho eso estamos listos para poder seguir con la configuración de este pequeño pero potente script.
El siguiente paso es instalar los paquetes necesarios para poder ejecutar iotseeker.pl para eso abrimos la shell de Linux y metemos el siguiente comando:
El cual nos instalar el paquete necesario para su ejecución el cual nos pedirá que estemos como root para poder instalarlo completamente:
Tardara unos cuantos segundos y estará listo para poder continuar y ahora si vamos aprobar este pequeño script y veamos si realmente hace lo que dice hacer, claro esta que ya lo descargue y lo puse en un folder:
Abrimos una shell entramos al folder donde esta guardado el script y ejecutemoslo poniendo la siguiente instrucción
recordando que aquí le puse las ip's de mi rango de red LAN y lógicamente no tengo ningún dispositivo IoT y marcara error cunado este escaneando:
Ahora seleccionemos un rango mas grande que para este ejemplo usaré el rango de ip's que tengo de salida a internet y veamos si encontramos algo con lo cual jugar jejejejejje:
esperamos esperamos y .........
LISTO TENDREMOS DISPOSITIVOS EN LA RED...... YA USTEDES SABRÁN QUE HACEN CON ELLOS jajajajjaja :p Amigos recuerden que podemos hacer una combinación de rangos de ipś como gustemos por ejemplo: 1.1.1.1-1.1.4.254
2.1.1.1-2.2.3.254
o unirlas en un solo listado como el que sigue:
1.1.1.1-1.1.4.254,2.1.1.1-2.2.3.254
Y algo que debemos de tener en cuenta también que el escaneo es lento pero exitoso y que si queremos meter o eliminar mas tipos de dispositivos para poder buscarlos, lo debemos de hacer en el archivo llamado:
Espero les guste este script, se que existen utileriás mas completas y mejores ok. solo que les quise mostrar otra que me pareció buena.
