domingo, 29 de marzo de 2020

Utilizando Open Graph protocol en la propagación de campañas de Ingeniería social en redes Sociales.




En esta entrada hablaremos de Open Graph protocol y como sus características pueden ser usadas como técnicas para la propagación de ataques de Ingeniería social a través de redes sociales, entre los más afectados se encuentran Facebook y sistemas de comunicación instantánea como WhatsApp entre otros.

Entendamos las bases


Empezaremos por conocer un poco de Open Graph protocol, es prácticamente una serie de metadatos estructurados que se pueden añadir a un archivo HTML que explica el contexto de su contenido, los convierten en objetos gráficos y toma el control de los fragmentos que se muestran cuando tus URLs se comparten en redes sociales como Facebook, Twitter, y también en sistemas de comunicación instantánea como WhatsApp.


Ingeniería Social, consiste en persuadir a una persona para influenciarla en sus acciones. En otras palabras, es la manipulación de personas influenciándolas a ejecutar determinada acción, que las lleva a ser víctimas de un delito informático.


Uno de los pioneros del la Ingeniería social es Kevin Mitnick considera que el factor que determina la seguridad del hardware y el software es el factor humano, ademas se establece 4 principios que afecta a todas las personas:

  • Todos queremos ayudar
  • Siempre, el primer movimiento hacia el otro, es de confianza
  • Evitamos decir NO
  • A todos nos gusta que nos alaben



Actualmente con todas las herramientas informáticas disponibles y la presencia de las redes sociales al alcance de cualquier persona, la posibilidad de realizar la propagación efectiva de ataques de Ingeniería social se facilita.



Manos a la obra.


Entonces como se puede utilizar Open Graph protocol, en la propagación de posibles ataques de Ingeniería social, para tener un enfoque practico definiré una posible situación real:


  • Propagación de una noticia bancaria falsa (Enfocado a redes sociales)



El atacante tiene un sitio web malicioso la cual es la imitación del portal bancario en la cual recolecta datos personales, la temática puede ser muchas como:

  • Regalar dinero a los clientes que se infecten del Covid-2019 (Noticias falsas actuales)
  • Actualización de datos bancarios (Ej. Estamos actualizando los datos por favor... ).
  • Premios sorpresas (Ej. Te ganaste un auto en un sorteo )



Entonces añadimos los siguientes metadatos a nuestra página web, la descripción completa y detallada de cada metadato se encuentra en https://ogp.me/.





Lo mencionado anteriormente, probaremos en una publicación en Facebook y en un mensaje de WhatsApp. En una publicación en Facebook se muestra lo siguiente.






En Facebook podemos ver que la vista preliminar de la web toma como referencia el metadato URL que asignamos, lo cual se puede tomar como una suplantación en la previsualización del sitio web bancario.


y no así la URL de la aplicación web real que es la siguiente.
  • http://demos.lorddemon.org/ingsocial/bank.html (sitio que contiene los metadatos)



En ataques reales se realizan el acortamiento de la url con Bit.ly o algún otro ademas de apoyar la temática mediante un texto descriptivo en la publicación.





En messenger se visualiza de la siguiente manera, en este sistema de mensajería instantánea se puede notar que también se puede llegar a suplantar la URL.





Si se envía el enlace en un mensaje por medio del sistema de mensajería instantánea WhatsApp se visualiza lo siguiente.





La implementación de Open Graph protocol en WhatsApp permite ser más descriptivo, los metadatos que se visualizan son:
  • Metadato que define la URL.


  • Metadato que define la imagen.

  • Metadato que define la descripción, que apoya a la temática que queremos brindar para que la victima entre al enlace.



Se puede resumir que si la campaña de ingeniería social se propaga por WhatsApp puede ser más efectivo que Facebook.



Recomendaciones para mitigar estos incidentes.


Se tiene que tomar en cuenta que todos podemos ser victimas de este tipo de incidentes, uno de los factores más aprovechados son las temáticas populares de actualidad. Así también los ataques enfocados a las personas que tienen información confidencial a su cargo (Banco, Gobierno, etc), normalmente tienen la temática sera más enfocada (promociones, comunicados internos, etc).

Por lo cual  se recomienda:
  • Tener sentido común 
  • Si ves un mensaje comunicarlo a un superior o al encargado de comunicación interna.
  • Si se detecta que es una intento de ataque de ingeniería social comunicar a todos los colaboradores de la empresa.
  • Si se usa un acortador de URL se recomienda usar un verificador de la URL que expanda esta, puede ser http://checkshorturl.com/.


Conclusiones


Open Graph protocol es una iniciativa interesante para enriquecer el entendimiento de una página web al momento de compartirlo en las diferentes redes sociales, aquí se demuestra que puede ser mal usada en la propagación de campañas de ingeniera social.


Referencias:

https://ogp.me/
https://www.welivesecurity.com/la-es/2014/05/21/tecnicas-ingenieria-social-evolucionaron-presta-atencion/

lunes, 2 de septiembre de 2019

Me llego un correo sospechoso, Puede ser Malware. ¡Verifiquemos !

Latinoamérica desde hace algunos años se volvió de gran interés a ojos de cibercriminales, en los últimos años están incrementando los vectores de ataques sobre todos los que son categorizados como ingeniera social.


Según El WARP (Warning Advice and Reporting Point) LACNIC es un Equipo Coordinador y Facilitador de manejo de incidentes de seguridad informática en la región de Latinoamérica y el caribe, el mes pasado julio del 2019, el tipo de incidentes que fue mayormente notificado tiene relación con ataques de ingeniera social ( Phising, Malware, Redirect, Pharming).


Porcentaje de Incidentes reportados en WARP LACNIC al mes de Julio del 2019



















Normalmente estos tipos de incidentes usan como medio de propagación los correos electrónicos en la cual se suplanta la identidad de una persona o una entidad con el fin de poder realizar algún tipo de acción que pueda ser de beneficio para el atacante.


Hace unos días mi amigo Rene Polo comento en redes sociales que recibió un correo de dudosa procedencia, a lo cual nos pusimos manos a la obra para analizarlo.



Acerca del Email:


Claramente se puede ver que el enviá el correo viene de un dominio algo dudoso, "Complaint Department <info@complaintdepartment.info" lo cual no esta acorde  al contenido del correo.


Acerca del Archivo Contenedor:

El correo tiene el fin de que te descargas un archivo que seria la "Notificación de Queja" el cual está alojado en un su subdominio de
sendgrid
.
net
, una vez descargado el archivo notamos que se trata de un archivo
.
ZIP



El siguiente paso seria desempaquetar el archivo para ver su contenido, esto lo realizamos con el comando unzip de la siguiente manera.



Podemos ver el contenido extraído del .ZIP es un archivo con el nombre de:
"135789.pdf.bat"

El cual se le puede notar que presenta 2 extensiones, pdf y bat. Esto implica que se si realiza doble clic a este archivo este ejecutara su contenido ya que se trara de un archivo batch que es un archivo de procesamiento por lotes, el pdf es solo para que el usuario se encuentre más convencido de abrir el archivo.

Viendo el contenido del archivo.


El archivo Batch lo que realiza es utilizar las funciones de Powershell para descargar un archivo  JS del dominio "hxxp://johnmedina-001-site1.ftempurl.com/crr1.js"  el cual lo almacena en "C:\Users\Public\crr1.js" y posteriormente lo ejecuta.


Acerca del Archivo JS:


Para analizar el archivo "crr1.js" lo descargamos y analizamos el archivo.


En la imagen anterior podemos ver que se trata de un archivo de texto plano, (ASCII)  de tamaño de "360 K" (bastante grande para ser texto plano) que contiene alrededor de 368312 caracteres y tiene 11 lineas.




La anterior captura es solo una parte del contenido, pero basta para demostrar que el contenido se encuentra ofuscado.





























En la anterior figura se puede ver que el archivo interactuá con el Registro de Sistema en Windows, con registros especiales como que se iniciara cuando el inicio del sistema "HKCU\SOFTWARE\Microsoft\Run\"  ademas algunas secciones están codificadas en hexadecimal, todo un gran trabajo que lo dejaremos para la siguiente entrada de Blog(o eso espero).


Conclusiones y Recomendaciones:

- El uso de email para incitar a la descarga de archivos maliciosos es muy usado se recomienda analizar factores como el "Remitente",  el contenido del cuerpo sea coherente, si contiene archivos adjuntos o enlaces a estos archivos analizar las propiedades del archivo  y si es posible contactarse con la persona que le envió el email para verificar la procedencia.

- Es recomendable usar Sistemas de Antivirus Actualizados, aunque algunas casas de antivirus no lo detecten, según virus total solo 7 de 55 antivirus lo detectan lo cual es interesante ya que su codificación no fue detectada.





Agradecimiento a Rene polo por enviarme los detalles necesarios para realizar este análisis, comentar que todo fue realizado bajo Sistema Operativo GNU/Linux Fedora. 


Muchas gracias por su tiempo de lectura.

sábado, 22 de junio de 2019

Envíame tu número - Campaña Facebook

Los ataques informáticos cada día se vuelven más sofisticados y utilizan diversas técnicas para obtener una gran cantidad de activos comprometidos, muchas veces se utilizan las redes sociales como medio para estos fines ilícitos. En esta entrada hablare sobre la red social Facebook y todas las opiniones son personales, te animo a dejar tu comentario.



Durante los últimos meses se vio una creciente cantidad de Posts en la red Facebook donde perfiles reales comparten enlaces a Posts de Paginas donde el factor común es la imagen de una mujer.

Figura 1 - Publicación en Página Comercio Local (Cochabamba -Bolivia)
Figura 2 - Publicación en Página de Interés Local (Cochabamba -Bolivia)
Figura 3 - Publicación en Página de Comercio Local (Cochabamba -Bolivia)

Las páginas ademas de tener a una mujer muy hermosa que llama la atención, también llama la atención la referencia a que se les brinde el numero de teléfono celular para poder iniciar una conversación en Whatsapp.


Analicemos el post de la figura 3, para lo cual entramos al post en si para ver algunos detalles.
Figura 4 - Descripción ampliada del post

En la figura 4 se puede notar que la imagen hasta el día de hoy se compartió 13000 veces y tiene 4300 comentarios, desde el 9 de junio hasta el 23 de junio solo tienen algo de dos semanas por lo cual la imagen es muy efectiva (Ademas tiene comentarios chistosos).

Figura 5 - Detalle de las veces que se compartió la publicación

La figura 5 nos muestra que entre las 13000 veces que se compartió la publicación existen perfiles reales que comparten en grupos de los cuales forman parte, ademas de que estos perfiles NO pertenecen a un área geográfica en particular, sino de bastantes países, en la figura 5 se puede ver que se hace referencia a Quito - Ecuador y a Aguascalientes que me hace pensar México (Saludos Mexas).


Al tratarse de una página de Facebook la que realiza la publicación y gracias a una de las características interesantes de las páginas es la Transparencia como se muestra en la figura 6.

Figura 6 - Detalle de la localidad de los administradores de las Paginas.
En la figura 6 podemos notar algunos detalles interesantes, por ejemplo que los administradores que manejan la pagina No se encuentran en Bolivia, Ecuador, México... Sino se encuentran en República Dominicana y Argentina (ok ok talvez puede ser que haya usado un proxy, tunel o cualquier otra tecnología para suplantar su localización pero en post no hablaremos sobre eso).

En muchas paginas que estuve analizando de este tipo de publicaciones, pude ver que una gran cantidad son administradas desde el caribe en especial república dominicana, me causa mucha curiosidad porque es de ese país en particular, tal vez sea que tienen los mejores CM  de Latam o que tienen a las chicas mas lindas o tal vez las leyes en delitos informáticos no sean muy severos en fin es una duda aun que tengo,


Este Caso En Particular


Este caso en particular presenta una peculiaridad que en la parte derecha del página de Facebook presenta un enlace al sitio web que normalmente seria del propietario de la página.

Figura 7 - Pagina muestra enlace a Website http://www.jennyblanco.com

La figura 7 muestra el enlace hacia el sitio http://www.jennyblanco.com el cual lo visualizamos en la imagen 

Figura 8 - Website http://www.jennyblanco.com


En la figura 8 podemos notar que el sitio requiere algunos archivos JavaScript a los cuales se le responde con un 404 osea no encontrado lo cual me parece llamativo, otro punto interesante es que la pagina web hace referencia a una página en Facebook diferente a la cual vimos en un principio te invito a ver los detalles de esta pagina en fácebook.

Conclusiones

Aquí brindare unas conclusiones desde un punto de vista personal de lo que creo que podrían buscar realizar las personas que crean este tipo de contenido:
  • Bases de Datos, se ve que muchas personas brindan sus números telefonicos de celular con la intención de poder hablar con estas chicas, lo cual me resulta muy peligroso pues se pueden estar creando bases de datos gigantes con el match numero de celular pertenece a perfil de Facebook, desde que Facebook elimino la funcionalidad de buscar por numero de celular estas nuevas bases de datos pueden brindar este nuevo servicio.
  • Nido de propagación, La creacion de grupos de Whatsapp con todos estos números brindados, una particularidad de este grupo es que las personas que dieron sus números son pocos conscientes de la seguridad de la información que esto representa, lo cual  este grupo seria un excelente lugar para propagar malware o otro tipo de campañas  con fines ilícitos(robo de datos, extorsiones, etc).
  • Sextorsión, en el caso de que esas hermosas damas de las imágenes se contacten contigo y deseen tener algún tipo de intimidad, normalmente todo esta interacción es guardada por el atacante y pasa a ser material de Extorsión.
  • Monetización , debido a la gran participación de perfiles reales en estas páginas de facebook se puede llegar a poder cobrar por publicidad de diferentes maneras.

Recomendaciones

Creo que la recomendación mas practica es evitar inter-actuar con páginas de Facebook sospechosos, empezando por no brindar información a menos que sea realmente necesario.


Recuerda no todo lo que brilla es oro.





Saludos
Lords&Demons

jueves, 2 de agosto de 2018

Ya se viene DEFCON 26

Durante mas de 20 años las vegas concentra a una gran cantidad de entusiastas en Seguridad Informática.



Este 2018 se celebra DEFCON 26 - LAS VEGAS durante las fechas del 9 al 12 de Agosto, en Caesars Palace. Este año se espera que alrededor de 22000 lo cual hace que sea uno de los eventos mas grandes de seguridad informática a nivel mundial.

El 2017 tuve la oportunidad de asistir al evento por lo cual me gustaria compartirles mi punto de vista y algunos consejos.























El evento es excelente gran parte de las personas es especialista, y se aprende mucho acerca de nuevas tecnologías y formas de intrusión, y la comunidad Latina no se queda atras en 2017 Salvador Mendoza brindo una charla muy interesante sobre MagStripe



Algo muy interesante es Visitar las Villas, son zonas especializadas en alguna area en especifica:
  • IOT village
  • Biohacking Village
  • Packet Hacking Village
  • Crypto & Privacy village
  • Wireless Village
  • Lockpicking village
  • Hardware Hacking Village
  • Social Engineer Village
  • Entre muchos otros mas informacion de las Villas en este 2018 aquí





Por otra parte también es recomendable llevar dinero extra ya que muchos vendedores de Hardware tienen un espacio para vender interesantes dispositivos, y es muy recomendables comprarlos allí ya que muchas veces es el unico lugar donde los puedes adquirir a precios bajos.




Resguarda la comunicación:
Imagínate que habrán 22000 personas que tienen interés en seguridad informática de todas partes del mundo, alguno de ellos estará interesado en tus datos , entonces cuida tus comunicaciones. En el evento existe personas muy capaces y siempre sera bueno resguardar tu información.

Para resguardarte puedes tomar medidas básicas como por ejemplo no conectarte a redes libres o publicas, por otro lado procura que tus conexiones estén seguras a través de un VPN.


Acerca de LAS VEGAS
Tal vez no todo el día pases dentro del Congreso por lo cual puedes disfrutar de los placeres que trae las Vegas, ademas no olvides que las vegas esa situado sobre un desierto entonces hace mucha calor, y siempre debes de estar hidratado, Las Vegas es relativamente Costoso pero como en todo lado hay precios bajos y altos para diferentes actividades.

Nos vemos en las Vegas  :)

#HappyHackers

sábado, 21 de octubre de 2017

Reconocimiento Óptico de Caracteres, Un ejemplo

Hace algunos días me encontré con algunos sistemas CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) bastante peculiares en Internet con algunas características interesantes como el uso pocos colores(1,2,3), con zonas determinadas, una fuente sin curvaturas, etc,etc.


Quiero compartir un pequeño análisis


Tomaremos por ejemplo los siguientes CAPTCHAS:


Figura 1: Ejemplo Numero 1

Figura 2: Ejemplo Numero 2

Figura 3: Ejemplo Numero 3

Análisis:
Cada imagen presenta 2 colores primarios, existe una degradación entre estos colores con una serie de letras y números en el centro de la imagen.

Figura 4: Colores primarios

Al ser una imagen sencilla se resolverá en 2 pasos:

Paso 1.-

Se debe colorear cada pixel que no sea una letra de color blanco, para esto usaremos los códigos RGBA seleccionando cada pixel que no cumpla con el patrón

        • R > 170  
        • G > 220
        • B < 250 

Si se cumple el pixel se pinta de Blanco y en lo contrario de Negro.


for y in xrange(alto):
        for x in xrange(ancho):
            if (pixel[x, y][0] > 170) and (pixel[x, y][1] > 220) and (pixel[x, y][2] < 250):
                pixel[x, y] = (0, 0, 0, 255)
            else:
                pixel[x, y] = (255, 255, 255, 255)


Paso 2 .-

En la parte inferior, alrededor del 75% al 100%(tomando como punto de partida la parte superior) cumplen con el patrón anteriormente mencionado, pero al ser una zona de la imagen que no presenta pixeles significativos para este análisis, se pintan todos de Blanco.


ancho = img.size[0]
alto = img.size[1]

altom = img.size[1] * 0.78

for y in xrange(int(altom),alto):
        for x in xrange(ancho):
            pixel[x, y] = (255, 255, 255, 255) 



Estas tareas realizan modificaciones en la imagen permitiéndonos obtener lo siguiente:
Figura 5: Salida de la imagen modificada.



Pytesseract


Pytesseract es una librería para python que sirve como Python wrapper para Google Tesseract, permitiendo reconocer y/o "leer" el texto incrustado en las imágenes.

Entonces usaremos el método image_to_string y limpiando la salida de cualquier cosa que no sea un numero o letra, como se muestra continuación:

print "Opcion 1: ",
    text1 = image_to_string(img)
    salida1 = re.sub('\W+','', text1 )
    print salida1


Así también se uso otra técnica de escalar la imagen  

big = im_orig.resize((ancho * porcentaje,alto * porcentaje), Image.NEAREST)

y luego analizar esta nuevamente con Pytesseract.

El script Completo se puede encontrar en mi github:


Uso: python websis-ocr.py 15.jpg
Tomando en cuenta la siguiente imagen:

Figura 6: Archivo con el nombre 15.jpg


Figura 7: Uso del Script.


Conclusiones:
Es relativa mente sencillo crear un script para romper un Captcha sin mucha complejidad(toda la tarde de un sabado), se recomienda utilizar:

Muchas gracias por su tiempo: