Descargar la presentación
La descarga está en progreso. Por favor, espere
1
WhoamI Network profiling based on HTML tags injection Dr. Alfonso Muñoz Senior Cyber Security Researcher (Co)Editor Criptored, CISA, CEH… alfonso.munoz@11paths.com Twitter: @mindcrypt Ricardo Martín QA Security Analyst ricardo.martin@11paths.com Twitter: @ricardo090489
2
Equipo… Ricardo Martín Q&A Security Analyst ricardo.Martin@11paths.com Dr. Alfonso Muñoz Senior Cyber Security Researcher (Co)Editor Criptored, CISA, CEH alfonso.munoz@11paths.com Dr. Antonio Guzmán Head of the research area antonio.guzman@11paths.com
3
WhoamI El mundo real… -Ataques/Fugas de información vs contramedidas -¿Estás seguro con tu navegador web?...
4
WhoamI La idea…
5
WhoamI Investigando… -¿Cómo funcionan los navegadores web cuando buscan “recursos”? -… ¿pero qué es un “recurso”? Recurso: … ¿Recurso: ?
6
WhoamI Enumeración… -Preguntemos por “recursos específicos…” Si el recurso no está disponible el navegador responderá más tarde… -¿Qué podemos hacer…? - Vectores de ataque. HTML injection navegadores con webRTC - Footprinting/Fingerprinting (“sistemas operativos”, escaneo de red, puerto abiertos, software en la red, impresoras, DNS…) - Evasión de seguridad perimetral. “Exfiltración” - APTs – “Exploits”- SCADA - ¿En qué navegadores web funciona y con qué tags?
7
WhoamI Navegadores… -Navegadores web analizados IE (11.0.9600.17207), Chrome (35.0.1916.153 dev-m), Firefox (33.0), Safari (5.1.7(7534.57.2)), Opera (25.0) - Ejemplo en WINDOWS 8.1: FirefoxChromeIESafari/Opera Version 32.035.0.1916.153 dev-m11.0.9600.172075.1.7(7534.57.2) Event / TAG=IMG Onerror Host Activos < 21seg (>> 21 seg) (>27seg) < 21seg (>> 21 seg) (>27seg) < 7 seg (>> 7 seg) (>10seg) < 21seg (>> 21 seg) (>27seg) Timeouts (Host inexistentes) ≈ 21 seg (19 seg<X<23 seg) ≈ 21 seg (19 seg<X<23 seg) ≈ 7 seg (6seg<X<8seg) ≈ 21 seg (19 seg<X<23 seg) WebRTC xx
8
WhoamI In progress… más “SOs” -Linux (Ubuntu: FF, Chrome, Konqueror) -Android - Por el timeout podemos “identificar” qué sistema operativo ejecuta el navegador… Chrome Ubuntu vs Chrome Windows LINUX: RFC 1122 recommends at least 100 seconds for the timeout Ubuntu 14.04.1
9
WhoamI Tags útiles… -Firefox 32.0.2 (Onerror):,,,,,, -Chrome 35.0.1916.153 dev-m (Onload/Onerror):,,,,,,, -IE 11.0.9600.17207 (onload/Onerror):,,,,,,, -Safari 5.1.7 (Onerror):,,,,, TAGS analizadas: Todas
10
WhoamI Tiempos de escaneo… Red Windows -Necesidad de persistencia (MiTM…) -Tiempo máximos: -1 IP|puerto -IE: 0<tiempo<8 segOtros: 0<tiempo<23 seg (En general ≈300 ms, <2 seg) -1 IP|puertos -IE: 0<tiempo<65535*8 segOtros: 0<tiempo<65535*23 seg Ej: (10 abiertos, 65525 cerrados) ≈ 3 seg + 36horas (10 abiertos, 1014 cerrados) ≈ 3 seg + 33 minutos -Escaneo red (X.X.X.1 – X.X.X.254, 80 equipos activos) Lanzo 3 puertos por IP, 5 IP de golpe: 15 hilos -“Media” IE: ≈ 12 min 12*60 / 254*3 ≈ 0,95 seg/petición -“Media” Resto: ≈ 21 min 21*60 / 254*3 ≈ 1,65 seg/petición -Forzando por JavaScript el timeout a 2 seg se pueden reducir drásticamente tiempos (redes y puertos)…
11
WhoamI Más detalles… (escaneo rápido) * * * * * * Chrome
12
WhoamI Port Banning Limitaciones en puertos < 1024 -Algunos navegadores impiden peticiones a una serie de puertos número puerto < 1024 -Internet Explorer es “libreeeeeeeeeeeeeeeeeee” FF/Chrome: SI (80,443,445,543,1433,…) NO (21,110,115,135,139,993…) SI (69-tftp,80,115-sftp,135,139,443,445-smb,543-Kerberos,587-smtp, 1433-sqlserver…) NO (21-ftp,110-pop3,993-imaps…)
13
WhoamI Detalles… (experimental) – NMAP/wireshark -*Equipos “Windows”: es necesario lanzar contra puertos “abiertos” para saber si la IP está activa (se recibe respuesta) -Equipos Linux (Ubuntu): si IP existe el puerto responde rápido (esté abierto o no [RST]) -Dispositivos “Android/Iphone”: si IP existe el puerto responde rápido (esté abierto o no [RST]) -*Dispositivos “Windows/Phone”: es necesario lanzar contra puertos “abiertos” para saber si la IP está activa
![WhoamI Detalles… (experimental) – NMAP/wireshark -*Equipos Windows : es necesario lanzar contra puertos abiertos para saber si la IP está activa (se recibe respuesta) -Equipos Linux (Ubuntu): si IP existe el puerto responde rápido (esté abierto o no [RST]) -Dispositivos Android/Iphone : si IP existe el puerto responde rápido (esté abierto o no [RST]) -*Dispositivos Windows/Phone : es necesario lanzar contra puertos abiertos para saber si la IP está activa](http://images.slideplayer.es/12/3715297/slides/slide_13.jpg "WhoamI Detalles… (experimental) – NMAP/wireshark -*Equipos Windows : es necesario lanzar contra puertos abiertos para saber si la IP está activa (se recibe respuesta) -Equipos Linux (Ubuntu): si IP existe el puerto responde rápido (esté abierto o no [RST]) -Dispositivos Android/Iphone : si IP existe el puerto responde rápido (esté abierto o no [RST]) -*Dispositivos Windows/Phone : es necesario lanzar contra puertos abiertos para saber si la IP está activa")
14
WhoamI Lo mejor está por llegar….
15
WhoamI DEMO explotación Port banning no es útil 1. Usuario A visita página web Usuario A 2. Lanza exploit Equipo en red Vulnerable (Shellsock) 3. Metasploit - Meterpreter
16
WhoamI Trabajo actual / futuro -Profiling based on HTML injection facilita la “ex-filtración” y perfil de una red interna. ¿Ataques con persistencia? otros protocolos -El ataque no funciona si el código JavaScript está prohibido (NoScript, Port Banning depende ….) -¿Es posible enviar las diferencias temporales al servidor sin usar Javascript/AJAX? -HTML5? -CSS? -… -¿Por qué no se habla más de este tipo de ataques? -“Lugares públicos con navegador web”…
17
WhoamI Network profiling based on HTML tags injection Dr. Alfonso Muñoz Senior Cyber Security Researcher (Co)Editor Criptored, CISA, CEH… alfonso.munoz@11paths.com Twitter: @mindcrypt Ricardo Martín QA Security Analyst ricardo.martin@11paths.com Twitter: @ricardo090489 /**/ || ??
Presentaciones similares
