La finalidad de esta presentación es mostrar al público como se puede utilizar los distintos protocolos y aplicaciones de mensajería instantánea para crear canales encubiertos que permitan a un atacante extraer información de una empresa, utilizarlos como mecanismo de comunicación de un C&C, como forma de distribuir malware o ataques de phishing
2. (IN)SEGURIDAD Y ATAQUES DE I.M. EN ENTORNOS CORPORATIVOS
QUIENES'SOMOS
Jaime Sánchez
- Ingeniero Informático - Telefónica España!
- Executive MBA, CISSP, CISA y CISM!
- Speaker en Rootedcon, Nuit du Hack, BH USA
Arsenal, Defcon, NoConName, BH Sao Paulo etc.!
- Twitter: @segofensiva!
- http://www.seguridadofensiva.com!
!
!
Pablo San Emeterio
- Ingeniero Informático - Telefónica España!
- Master en Seguridad Informática por la UPM,
CISA y CISM!
- Speaker en NoConName, Nuit du Hack,
RootedCON, BH Europe, Shmoocon etc.!
- Experiencia anterior con IM y WhatsApp :)!
- Twitter: @psaneme
CONECTACON 2014
5. MALICIOUS THREATS, (IN)SEGURIDAD VULNERABILITIES Y ATAQUES AND DE DEFENSES I.M. EN ENTORNOS IN WHATSAPP CORPORATIVOS
AND MOBILE I.M. PLATFORMS
Proceso de extracción no
autorizada de datos dentro
de un sistema o de una red.
Tradicionalmente ha constituido la fase última y tal vez la menos relevante de un
proceso de robo de información, aunque con la proliferación de los ataques de
tipo APT también se han popularizado las soluciones técnicas que dificultan este
proceso, como:!
! - Detectores de anomalías!
! - Sistemas de prevención de fugas de información !
! - Cortafuegos inteligentes.
CONECTACON SHMOOCON 2014
2014
6. MALICIOUS THREATS, (IN)SEGURIDAD VULNERABILITIES Y ATAQUES AND DE DEFENSES I.M. EN ENTORNOS IN WHATSAPP CORPORATIVOS
AND MOBILE I.M. PLATFORMS
ERES'TARGET'…
“Attackers exfiltrate data by creating a mount point for a remote file share and copying the data
stored by the memory-scraping component to that share,” the SecureWorks paper notes. “In the
previous listing showing the data’s move to an internal server, 10.116.240.31 is the intermediate
server selected by attackers, and CTU researchers believe the “ttcopscli3acs” string is the
Windows domain name used on Target’s network. The “Best1_user” account appears to be
associated with the Performance Assurance component of BMC Software’s Patrol product.
According to BMC’s documentation, this account is normally restricted, but the attackers may
have usurped control to facilitate lateral movement within the network.”
CONECTACON SHMOOCON 2014
2014
7. MALICIOUS THREATS, (IN)SEGURIDAD VULNERABILITIES Y ATAQUES AND DE DEFENSES I.M. EN ENTORNOS IN WHATSAPP CORPORATIVOS
AND MOBILE I.M. PLATFORMS
Prácticamente protocolo puede utilizarse como Covert Channel, aunque
generalmente se utilizan algunos concretos en Capa 3-4 (Red-Transporte), como
ICMP, IP con TCP/UDP, o en Capa 7 (Aplicación) los más comunes son HTTPS
o DNS.
CONECTACON SHMOOCON 2014
2014
8. MALICIOUS THREATS, (IN)SEGURIDAD VULNERABILITIES Y ATAQUES AND DE DEFENSES I.M. EN ENTORNOS IN WHATSAPP CORPORATIVOS
AND MOBILE I.M. PLATFORMS
- El problema llega porque los usuarios no limitan el uso de las tecnologías
para los fines profesionales y porque el malware en dispositivos móviles no
para de aumentar. Los casos de malware en dispositivos como Android son
cada vez más frecuente y estas amenazas se pueden transferirse a través de
los sistemas de mensajería instantánea.!
!
- Durante el periodo comprendido entre Agosto de 2013 y Julio de 2014 se
registró el número más alto de ciberataques en los últimos años.
CONECTACON SHMOOCON 2014
2014
9. MALICIOUS THREATS, (IN)SEGURIDAD VULNERABILITIES Y ATAQUES AND DE DEFENSES I.M. EN ENTORNOS IN WHATSAPP CORPORATIVOS
AND MOBILE I.M. PLATFORMS
- En la actualidad, con la llegada de los dispositivos móviles, los sistemas de mensajería
instantánea tienen una segunda juventud, y los usuarios aprovechan sus posibilidades
para el ámbito personal y profesional.!
!
- Los sistemas de mensajería instantánea puede suponer un problema para la
seguridad, sobre todo en el ámbito del trabajo.
CONECTACON SHMOOCON 2014
2014
10. MALICIOUS THREATS, (IN)SEGURIDAD VULNERABILITIES Y ATAQUES AND DE DEFENSES I.M. EN ENTORNOS IN WHATSAPP CORPORATIVOS
AND MOBILE I.M. PLATFORMS
CONECTACON SHMOOCON 2014
2014
12. MALICIOUS THREATS, (IN)SEGURIDAD VULNERABILITIES Y ATAQUES AND DE DEFENSES I.M. EN ENTORNOS IN WHATSAPP CORPORATIVOS
AND MOBILE I.M. PLATFORMS
¿'QUÉ'ES'SNAPCHAT'?
- Snapchat es una aplicación para móviles,
que puedes descargar en tu iPhone o
Android, para ¿chatear? con amigos a través
de fotos y vídeos (con la posibilidad de usar
etiquetas).!
!
- Vamos, como un WhatsApp (que ya sabéis
que nos gusta) en el que no se puede enviar
texto, sólo ficheros multimedia.!
!
- Una de las cosas más importantes de
Snapchat es que la características de auto-destrucción
de las fotos, una vez el
SHMOOCON 2014
destinatario las ha visto.
CONECTACON 2014
13. MALICIOUS THREATS, (IN)SEGURIDAD VULNERABILITIES Y ATAQUES AND DE DEFENSES I.M. EN ENTORNOS IN WHATSAPP CORPORATIVOS
AND MOBILE I.M. PLATFORMS
EL'HISTÓRICO'DE'SNAPCHAT
- Crees que es seguro enviar esas fotos
embarazosas a través de Snapchat?
PIÉNSALO DE NUEVO.
!
- SnapHack: una aplicación que permite
reabrir y guardar mensajes de Snapchat,
sin que el remitente sepa que se han
almacenado
- Dump de 4.16 millones de usuarios y
números de telefóno de usuarios de
Snapchat publicados en el sitio web
snapchatdb.info, después del public
disclosure del funcionamiento de la API.
CONECTACON SHMOOCON 2014
2014
14. MALICIOUS THREATS, (IN)SEGURIDAD VULNERABILITIES Y ATAQUES AND DE DEFENSES I.M. EN ENTORNOS IN WHATSAPP CORPORATIVOS
AND MOBILE I.M. PLATFORMS
- Vivimos épocas convulsas de filtraciones online. Si en los últimos tiempos
fue el famoso celebgate o fappening el que trajo de cabeza a varias
famosas del mundo del cine, el espectáculo y la televisión ahora es la
aplicación Snapchat la que ha sufrido otra filtración masiva.!
!
!
!
!
!
!
!
CONECTACON SHMOOCON 2014
2014
!!
- Una aplicación de terceros originó una filtración masiva que implica a
unas 200.000 imágenes íntimas de numerosos usuarios de Snapchat,
aunque según algunas informaciones la cifra podría seguir aumentando a
lo largo de las próximas semanas.!
!
15. MALICIOUS THREATS, (IN)SEGURIDAD VULNERABILITIES Y ATAQUES AND DE DEFENSES I.M. EN ENTORNOS IN WHATSAPP CORPORATIVOS
AND MOBILE I.M. PLATFORMS
CONECTACON SHMOOCON 2014
2014
16. (IN)SEGURIDAD Y ATAQUES DE I.M. EN ENTORNOS CORPORATIVOS
- Para realizar envíos a través de Snapchat, necesitaremos primero obtener
el request_token correspondiente:
- Los siguientes campos serán necesarios para realizar las diferentes
plataformas y enviar Snaps a través de la plataforma:
CONECTACON 2014
Nada dura para siempre,!
!excepto el token temporal de Snapchat!
17. MALICIOUS THREATS, (IN)SEGURIDAD VULNERABILITIES Y ATAQUES AND DE DEFENSES I.M. EN ENTORNOS IN WHATSAPP CORPORATIVOS
AND MOBILE I.M. PLATFORMS
CONECTACON SHMOOCON 2014
2014
18. MALICIOUS THREATS, (IN)SEGURIDAD VULNERABILITIES Y ATAQUES AND DE DEFENSES I.M. EN ENTORNOS IN WHATSAPP CORPORATIVOS
AND MOBILE I.M. PLATFORMS
CONECTACON SHMOOCON 2014
2014
23. (IN)SEGURIDAD Y ATAQUES DE I.M. EN ENTORNOS CORPORATIVOS
- Todos los archivos multimedia de Snapchat (vídeos y fotos) se envían:!
! - Padding de PKCS#5!
! - Cifrados usando AES/ECB con clave simétrica M02cnQ51Ji97vwT4
!
- Si enviamos un Snap a cualquier usuario, podemos modificar el contenido
de la imagen, introduciendo los datos que necesitemos, como por ejemplo
contenido en ASCII:
CONECTACON 2014
25. (IN)SEGURIDAD Y ATAQUES DE I.M. EN ENTORNOS CORPORATIVOS
- Podemos enviar archivos ejecutables a través de los canales de
comunicación de Snapchat.!
!
- En este caso probaremos a enviar un fichero ejecutable crackme.exe,
previamente comprimido en formato ZIP.
CONECTACON 2014
26. (IN)SEGURIDAD Y ATAQUES DE I.M. EN ENTORNOS CORPORATIVOS
! También se pueden enviar
ficheros ejecutables !
CONECTACON 2014
28. MALICIOUS THREATS, (IN)SEGURIDAD VULNERABILITIES Y ATAQUES AND DE DEFENSES I.M. EN ENTORNOS IN WHATSAPP CORPORATIVOS
AND MOBILE I.M. PLATFORMS
LINE tiene ya más de 400 millones
de usuarios activos
Inicialmente fue una aplicación
móvil desarrollada para uso
interno de comunicación.!
!
Tras su gran acogida y
popularidad entre los usuarios, se
amplió a Windows Phone,
BlackBerry OS,1 Firefox OS, Mac
OS X y Windows.!
!
Esta última tiene dos versiones:
una de escritorio tradicional y
otra exclusiva para Windows 8
disponible en Windows Store. !
!
También existe una versión para
Firefox OS
CONECTACON SHMOOCON 2014
2014
29. MALICIOUS THREATS, (IN)SEGURIDAD VULNERABILITIES Y ATAQUES AND DE DEFENSES I.M. EN ENTORNOS IN WHATSAPP CORPORATIVOS
AND MOBILE I.M. PLATFORMS
ALGUNOS'DETALLES'DE'FUNCIONAMIENTO'…
- Gran cantidad de servicios web diferentes, debido a la gran cantidad de
apps y subsistemas que conviven…!
!
- La mayor parte del protocolo se genera sobre canales HTTPS, utilizando
Apache Thrift para la serialización de los datos de los mensajes.!
!
- El procedimiento de autenticación:!
loginWithIdentityCredentialForCertificate(
IdentityProvider.LINE, // identityProvider
"test@example.com", // identifier
"password", // password in plain text
true, // keepLoggedIn
"127.0.0.1", // accesslocation
"hostname", // systemName
"") // certificate (empty on first login)
CONECTACON SHMOOCON 2014
2014
30. MALICIOUS THREATS, (IN)SEGURIDAD VULNERABILITIES Y ATAQUES AND DE DEFENSES I.M. EN ENTORNOS IN WHATSAPP CORPORATIVOS
AND MOBILE I.M. PLATFORMS
- La respuesta a nuestro intento de autenticación será:!
! struct LoginResult {
CONECTACON SHMOOCON 2014
2014
1: string authToken;
2: string certificate;
3: string verifier;
4: string pinCode;
5: LoginResultType type;
}
!
- Después de una autenticación correcta, el campo de authToken contendrá el valor
necesario para las siguientes peticiones, y se utilizará dentro de la cabecera X-Line-
Access.!
!
- Dentro de la sincronización inicial del cliente, se llamarán a funciones como:!
getLastOpRevision() getBlockedContactIds()
getProfile() getRecommendationIds()
getBlockedRecommendationIds() getAllContactIds()
getContacts(contactIds) getGroupIdsJoined()
getGroups(groupIds)
31. MALICIOUS THREATS, (IN)SEGURIDAD VULNERABILITIES Y ATAQUES AND DE DEFENSES I.M. EN ENTORNOS IN WHATSAPP CORPORATIVOS
AND MOBILE I.M. PLATFORMS
- La comunicación se realiza por HTTPS:
CONECTACON SHMOOCON 2014
2014
32. MALICIOUS THREATS, (IN)SEGURIDAD VULNERABILITIES Y ATAQUES AND DE DEFENSES I.M. EN ENTORNOS IN WHATSAPP CORPORATIVOS
AND MOBILE I.M. PLATFORMS
UPLOAD'DE'EJECUTABLE
CONECTACON SHMOOCON 2014
2014
33. MALICIOUS THREATS, (IN)SEGURIDAD VULNERABILITIES Y ATAQUES AND DE DEFENSES I.M. EN ENTORNOS IN WHATSAPP CORPORATIVOS
AND MOBILE I.M. PLATFORMS
DESCARGA'DEL'EJECUTABLE
CONECTACON SHMOOCON 2014
2014
34. MALICIOUS THREATS, (IN)SEGURIDAD VULNERABILITIES Y ATAQUES AND DE DEFENSES I.M. EN ENTORNOS IN WHATSAPP CORPORATIVOS
AND MOBILE I.M. PLATFORMS
UPLOAD'DE'FICHERO'COMPRIMIDO
CONECTACON SHMOOCON 2014
2014
35. MALICIOUS THREATS, (IN)SEGURIDAD VULNERABILITIES Y ATAQUES AND DE DEFENSES I.M. EN ENTORNOS IN WHATSAPP CORPORATIVOS
AND MOBILE I.M. PLATFORMS
DOWNLOAD'DE'FICHERO'COMPRIMIDO
Se puede actualizar el contenido
CONECTACON SHMOOCON 2014
2014
38. MALICIOUS THREATS, (IN)SEGURIDAD VULNERABILITIES Y ATAQUES AND DE DEFENSES I.M. EN ENTORNOS IN WHATSAPP CORPORATIVOS
AND MOBILE I.M. PLATFORMS
CONECTACON SHMOOCON 2014
2014
39. MALICIOUS THREATS, (IN)SEGURIDAD VULNERABILITIES Y ATAQUES AND DE DEFENSES I.M. EN ENTORNOS IN WHATSAPP CORPORATIVOS
AND MOBILE I.M. PLATFORMS
- Telegram es un servicio de mensajería por
Internet, desarrollada por los hermanos Nikolai
y Pavel Durov, creadores de la red social VK.!
!
- Aunque su financiamiento es independiente
de VK, desde el 2013 el proyecto sin ánimo de
lucro tiene como sede en Berlín y es operado
de manera gratuita tanto su protocolo API
como sus clientes.
- Telegram es una aplicación de software libre, que puede ser modificada
por la comunidad, por lo que existen clientes oficiales para los sistemas
operativos móviles Android, iOS y Windows Phone8.!
!
- También existen versiones para ordenadores, así cómo versiones para
ejecutar en el navegador.
CONECTACON SHMOOCON 2014
2014
40. MALICIOUS THREATS, (IN)SEGURIDAD VULNERABILITIES Y ATAQUES AND DE DEFENSES I.M. EN ENTORNOS IN WHATSAPP CORPORATIVOS
AND MOBILE I.M. PLATFORMS
Telegram utiliza HTTP cifrando el payload
CONECTACON SHMOOCON 2014
2014
41. MALICIOUS THREATS, (IN)SEGURIDAD VULNERABILITIES Y ATAQUES AND DE DEFENSES I.M. EN ENTORNOS IN WHATSAPP CORPORATIVOS
AND MOBILE I.M. PLATFORMS
Con esta version se pueden enviar:
!
Fotos
Videos
Ficheros como mensajes de texto
DOCUMENTO….. o ¡Virus!
CONECTACON SHMOOCON 2014
2014
42. MALICIOUS THREATS, (IN)SEGURIDAD VULNERABILITIES Y ATAQUES AND DE DEFENSES I.M. EN ENTORNOS IN WHATSAPP CORPORATIVOS
AND MOBILE I.M. PLATFORMS
CONECTACON SHMOOCON 2014
2014
43. MALICIOUS THREATS, (IN)SEGURIDAD VULNERABILITIES Y ATAQUES AND DE DEFENSES I.M. EN ENTORNOS IN WHATSAPP CORPORATIVOS
AND MOBILE I.M. PLATFORMS
CONECTACON SHMOOCON 2014
2014
45. MALICIOUS THREATS, (IN)SEGURIDAD VULNERABILITIES Y ATAQUES AND DE DEFENSES I.M. EN ENTORNOS IN WHATSAPP CORPORATIVOS
AND MOBILE I.M. PLATFORMS
CONECTACON SHMOOCON 2014
2014
46. MALICIOUS THREATS, (IN)SEGURIDAD VULNERABILITIES Y ATAQUES AND DE DEFENSES I.M. EN ENTORNOS IN WHATSAPP CORPORATIVOS
AND MOBILE I.M. PLATFORMS
Y'NUESTRO'QUERIDO'WHATSAPP'…
- En este caso podemos utilizar el almacenamiento de
imágenes utiliza HTTPS (bin2jpg)
SHMOOCON 2014
TEXT MSG RC4
SERVIDOR MULTIMEDIA
- Exfiltrar ficheros como mensajes
CONECTACON 2014
47. MALICIOUS THREATS, (IN)SEGURIDAD VULNERABILITIES Y ATAQUES AND DE DEFENSES I.M. EN ENTORNOS IN WHATSAPP CORPORATIVOS
AND MOBILE I.M. PLATFORMS
ANONIMATO
CONECTACON SHMOOCON 2014
2014
48. MALICIOUS THREATS, (IN)SEGURIDAD VULNERABILITIES Y ATAQUES AND DE DEFENSES I.M. EN ENTORNOS IN WHATSAPP CORPORATIVOS
AND MOBILE I.M. PLATFORMS
- Es posible que no queramos que identifiquen la cuenta a la que se exfiltrará la
información confidencial de la empresa.!
!
- Podemos utilizar diferentes saltos por la red, números virtuales, proxys anónimos
etc.
VIRTUAL NUMBERS
- Esto es posible de realizar con cualquier otra aplicación o protocolo, con unos
sencillos scripts, por ejemplo, en Python.!
!
- Para el caso de WhatsApp, no es necesario, ya que con un poco de ingenio y
gracias a Yowsup, tendremos la mayor parte del trabajo hecho.
CONECTACON SHMOOCON 2014
2014
49. MALICIOUS THREATS, (IN)SEGURIDAD VULNERABILITIES Y ATAQUES AND DE DEFENSES I.M. EN ENTORNOS IN WHATSAPP CORPORATIVOS
AND MOBILE I.M. PLATFORMS
CONECTACON SHMOOCON 2014
2014
51. MALICIOUS THREATS, (IN)SEGURIDAD VULNERABILITIES Y ATAQUES AND DE DEFENSES I.M. EN ENTORNOS IN WHATSAPP CORPORATIVOS
AND MOBILE I.M. PLATFORMS
G R A C I A S !
CONECTACON SHMOOCON 2014
2014