Cómo detectar quién juega con tu RDP

Ha sido uno de los bugs que marcarán el 2012: El bug del protocolo RDP que permite comprometer remotamente cualquier sistema Windows. Esta vulnerabilidad, para la que hay varios exploits públicos y que está siendo activamente explotada, es sin duda una de las vulnerabilidades más crítica que ha sido publicada recientemente para sistemas Windows.

Dado que a día de hoy es uno de los bugs que más interés despierta (y una vez añadido el exploit a metasploit, con más razón) viene bien monitorizar quien está 'jugando' con el.

Para ello, vamos a usar Patriot NG y su característica de monitorización de intentos de conexión a puertos.

El primer paso es detener Patriot, para ello buscamos el tray

Con el botón derecho del ratón seleccionamos 'stop'

El siguiente paso es añadir el puerto del RDP (3389) a la lista de puertos calientes, para ello nos situamos en:

C:\Archivos de programa\Patriot NG

Donde podemos localizar un fichero llamado 'destports.ini'

Una vez ahí, editamos el fichero con notepad y vemos que la estructura del fichero es bastante sencilla: [puerto]

Por tanto, añadimos el puerto al final del fichero:

Salvamos y desde el tray, volvemos a arrancar Patriot:

Con esto ya tenemos configurado Patriot para detectar intentos de conexión a ese puerto, cada vez que alguien lo intente, podremos ver el intento y bloquear la IP

Leer más...

Vídeo Tutoriales de Patriot NG

Poco tiempo ha pasado desde que lanzábamos la versión 2.0 de Patriot NG y ya van casi 1.000 downloads !

Aprovecho también para comentar que ya hay una versión del instalador para 64bits por lo que queda cubierta toda la gama Windows (XP, Vista32, Vista64, 7-32,7-64)

Una de las novedades mas destacadas de esta versión es el módulo NIDS que permite analizar el tráfico de red e interceptar amenazas 'al vuelo'.

La idea original es dar las máximas facilidades a la hora de crear reglas por parte de los usuarios (y que nos las hagáis llegar, así salimos beneficiados todos)

Por si quedó alguna duda sobre como hacerlas (ver el post del lanzamiento), Luis Delgado se ha currado un estupendo vídeo-tutorial donde explica gráficamente el proceso:

Patriot NG v2.0 - Video tutorial creación reglas from Luis Delgado on Vimeo.

Y el resultado lo podemos ver aquí:

Patriot NG v2.0 - Preventing attacks with NIDS module from SecurityByDefault on Vimeo.

Si te animas a contribuir y crear reglas puedes unirte a la lista de correo de contribuciones aquí

Leer más...

Patriot NG 2.0 is out !

Cuando retomé el desarrollo de Patriot (herramienta que nació en 2004 y hasta 2010 su última actualización era del 2005), decidí añadir el NG con idea de darle un buen lavado de cara y actualizarlo con mas funcionalidad.

Finalmente la versión 1.0 fue una actualización orientada a que funcionase en los nuevos sistemas windows y una criba de funcionalidades que ya no tenían mucho sentido (temas de dialers y cosas así). Definitivamente aplacé las grandes mejoras para una rama 2.x, momento que, finalmente ha llegado.

Lanzamos la versión 2.0 ! En esta versión lo primero que llama la atención es que se ha 'internacionalizado', pasando tanto la web como la interface al inglés, no obstante hay un manual en perfecto castellano para facilitar el uso a quien no esté demasiado ducho en Inglés.

A nivel técnico las dos grandes mejoras que trae la versión 2.0 es que, empieza a hacer cosas con la red, en concreto hemos añadido una parte 'ARPWatch' que permite monitorizar (y bloquear) nuevos equipos que se conecten a la red en la que te encuentras. ¿Utilidades? a bote pronto puede servir para identificar intrusos en redes Wifi que se hayan conectado sin autorización.

En segundo lugar, y tal vez la mejora mas interesante, es la inclusión de un módulo NIDS muy al estilo de Snort (salvando las distancias). La idea de meter un NIDS principalmente viene motivada para poder detectar amenazas de tipo 0day o aquellas para las que aun no existan parches. En concreto ya hay una firma para detectar y bloquear ataques vía metasploit del famoso exploit 'css import' así como otras mas.

El objetivo NO es tener un montón de firmas con ataques del 2008 u orientados a sistemas Unix, la idea es manejar un conjunto de reglas actualizadas (y actualizables) que sirvan como defensa ante ataques que estén en su momento mas álgido.

Gestión de reglas NIDS en Patriot-NG

Durante la instalación se crean dos ficheros de configuración del NIDS, por un lado badtraffic.ini y por otro ownrules.ini la idea es que badtraffic.ini sea un fichero que *no* se deba tocar y que se actualice vía la interface de Patriot NG.

Como se puede ver en el tray, hay una opción llamada 'Update NIDS rules' que descargará la última versión del servidor y la instalará. Por tanto, no es aconsejable tocar ese fichero a mano ya que en la próxima actualización será sobre-escrito.

El fichero orientado a que insertes tus propias reglas es ownrules.ini y ahora toca explicar como se crean esas reglas:

Como podéis ver el formato de cada regla es muy sencillo:

[Texto descriptivo]= [Patron]

Así pues a la hora de hacer una regla lo primero es pensar un nombre que la asocie y buscar un patrón en ese ataque que sirva para identificarlo. El 'patrón' para la firma puede estar escrito o en ascii o en hexadecimal, así pues algo como:

Cookie access = document.cookie

Es identico a:

Cookie access =646f63756d656e742e636f6f6b6965

Ya que  646f63756d656e742e636f6f6b6965 es la representación en hexadecimal de document.cookie.

Lo preferible es que siempre se intente escribir la regla en ascii y usar hex para representar únicamente valores binarios.

A la hora de buscar patrones se pueden añadir varias cadenas de búsqueda uniéndolas con el simbolo +

Por ejemplo, si pretendemos buscar por un lado "document.cookie" y por otro "http" podemos crear la siguiente regla:

Cookie access = document.cookie+http

Que hará match en un string como este:

http://www.dominio.com/script.php?document.cookie

Ya que en esa cadena se encuentra por un lado "http" y por otro document.cookie. El orden da igual ya que se evalúa uno a uno, es decir, aunque en la regla el primer patrón de búsqueda sea document.cookie y luego http, si en el paquete viene cambiado, seguirá haciendo match.

Configuración de alertas por intento de conexión

 

Adicionalmente a badtraffic.ini y ownrules.ini hay otro fichero de configuración llamado destports.ini, este fichero define que puertos consideramos 'sospechosos' y sobre los que queremos que se nos avise si hay un intento de conexión. El formato es muy sencillo

[139]

[445]

[80]

[21]

[1243]

[5800]

[5900]

[6776]

[31337]

Como es obvio la forma de añadir o quitar puertos es sencilla, simplemente añadir al final [1234] y ese puerto sería monitorizado. Por cada cambio en la configuración hay que hacer un stop / start desde el tray

Consideraciones sobre rendimiento

Este punto es algo peliagudo ya que como es lógico, el rendimiento / uso de CPU va a variar en función del uso de la red que se le esté dando, el proceso NIDS se ejecuta con una prioridad baja, lo que en parte puede mitigar una saturación, no obstante, está claro que si tienes un montón de conexiones abiertas, descargando ficheros grandes, y todo eso en una red ethernet, seguramente el proceso consuma una cantidad importante de recursos e incluso es posible / probable que haya una perdida de paquetes a la hora de procesar tanto tráfico.

Dos últimos apuntes, por un lado decir que si quieres colaborar haciendo / revisando reglas, ponte en contacto con nosotros y te añadiremos a la lista de contribuidores.

Finalmente, dar las gracias al equipo de gente que ha colaborado desinteresdamente con las traducciones y documentación del proyecto:

John Marie

Jorge Sanz

Igor

Leandro Murgo

Jesús Moreno

Iván Salomon

Podéis descargar Patriot-NG 2.0 desde aquí

Leer más...

Patriot NG 1.1 is Out !

Como regalo -atrasado- de Reyes ya está en la calle la nueva versión de Patriot NG (1.1).

Principalmente se han corregido fallos en diversas partes y se le ha dado un pequeño lavado de cara a la interface gráfica.

En concreto se han implementado algunas mejoras en el rendimiento y solucionado un problema en la detección y mitigación de ataques Man in the middle en Windows Vista / 7

También aprovecho para dar las gracias a las personas que contribuyeron con los logos (Flashacker, Robe y aleks)

Así es como luce la nueva versión:

Podéis descargarlo desde aquí

PD: Si alguien con facilidad para crear documentación (vídeos, PDFs, etc ...) y/o buen dominio del inglés le apetece unirse al proyecto mail to contacto@securitybydefault.com :=)

Leer más...

Pandora FMS y Patriot NG

Pandora FMS es un framework de monitorización que sirve para monitorizar y medir todo tipo de elementos. Monitoriza sistemas, aplicaciones o dispositivos. Permite saber el estado de cada elemento de un sistemas a lo largo del tiempo.

Normalmente Pandora FMS es empleado para monitorizar aspectos como CPU/Memoria/Disco/Conectividad. Uno de los puntos fuertes de Pandora es la posibilidad de añadir fácilmente nuevos elementos a monitorizar, este caso vamos a integrar los eventos de seguridad de Patriot NG dentro de Pandora.

Esto nos permitiría disponer de algo parecido a una consola central de eventos de seguridad de Patriot NG. También podríamos integrar con la misma técnica, eventos de Antivirus, y gracias a la habilidad de Pandora, podríamos tener un inventario de los paquetes instalados en los equipos y por supuesto saber quien está usando el equipo, cuando está apagado, etc... las posibilidades son infinitas.

Existe multitud de documentación sobre como montar Pandora FMS, y no pretendemos explicar paso a paso, desde cero, como hacerlo, ya que sería demasiado extenso.

Patriot NG por defecto, envía los eventos de seguridad al visor de eventos de windows (eventlog) y con un agente Pandora FMS para Windows, podemos “capturar” esos eventos y mandarlos a Pandora FMS. Una vez ahí, podemos asociar alertas, para poder, por ejemplo, enviar un email cada vez que algo ocurra en cualquiera de nuestras máquinas. También podemos hacer informes y muchas otras cosas con los datos recibidos.

Configurar Pandora es realmente sencillo, vamos a seguir los pasos siguientes:

1.Se instala un agente de Pandora FMS para Windows.

2.Se configura un modulo para capturar los eventos de windows:

module_begin

module_name PatriotNG

module_type async_string

module_logevent

module_description Events coming from Patriot NG

module_source Application

module_application Patriot-NG 1.0

module_end

3.Una vez que nos llegue un evento, tendremos ya datos para visualizar, como en este caso que tenemos dos eventos detectados por un agente:

4.Por supuesto otra buena idea es verificar que Patriot-NG está ejecutándose y que nadie nos lo ha cerrado, para ello podemos usar este módulo:

module_begin

module_name PatriotNG_Running

module_type generic_proc

module_proc stoper.exe

module_description Patriot NG is running

module_end

5.Para poder notificar automáticamente cuando nos llegue un evento. Se configura una plantilla de alerta, para que salte en cualquier recepción de evento.

Configuramos la alerta para que envíe un email personalizado, los umbrales son para que envíe un máximo de cinco mensajes por cada dos horas, para no saturar.

6.Ahora usaremos esa plantilla de alerta para que por cada evento, nos envíe un email con los datos del evento. Aquí estamos usando una acción ya configurada (Email Sancho) que envía el email a una dirección concreta.

7.Podemos crear informes personalizados de forma que nos muestre un listado de eventos de tipo “Patriot NG” en todos los sistemas, simplemente usando la vista de eventos.

Otro punto interesante es que podemos recibir cómodamente las alertas por correo electrónico:

-----

Artículo cortesía de Sancho Lerena, Director técnico de Artica ST

Leer más...

Patriot NG 1.0 para defendernos de un ataque con Metasploit

Si ayer nuestro compañero Yago presentaba la versión 1.0 de Patriot NG, ahora os enseñamos como gracias a este programa podemos detectar y mitigar un ataque mediante un exploit que, en este caso, vamos a lanzar desde Metasploit Framework.

El exploit que usaremos va a ser windows/browser/ms10_046_shortcut_icon_dllloader (el fallo de los .lnk), el cual vamos a explotar a través de Internet Explorer. Como payload usaremos windows/shell_reverse_tcp para obtener el control del equipo remoto mediante consola de comandos.

Metasploit abrirá un puerto, al que conectaremos con IE. La configuración es la siguiente:

Al conectar al puerto, IE abre una carpeta compartida donde tenemos el .lnk y un .dll. Patriot nos avisa de que ha detectado una ventana oculta del proceso cmd.exe y una nueva conexión abierta por el proceso svchost.exe. Esto significa que en un principio el ataque está funcionando, ya que si cmd.exe se está ejecutando quiere decir que el payload se ha cargado.

 

Vamos a decirle a Patriot que permita las conexiones de red, y que nos muestre la ventana oculta del proceso cmd.exe:

Ahí tenemos la consola con la que interactúa nuestro atacante, la cual estaba oculta pero Patriot ha hecho visible. Si la cerramos, la interacción con la víctima por el lado de Metasploit termina, es decir, el atacante pierde el control sobre la máquina afectada.

Este es un ejemplo sencillo con el que podemos ver como Patriot puede hacer visibles ventanas ocultas, y como nos ayuda a repeler (e incluso "desmantelar") un ataque de este tipo.

Leer más...

Patriot NG 1.0 is out !

Después de mas de 5 años sin actualizaciones reseñables ... vuelve Patriot ! tu Host-IDS favorito para entornos Windows.

Como cambios mas destacados en esta nueva versión, está la adaptación para entornos Win7 y Vista (además de mantener la compatibilidad en Win XP).

El modo en el que actúa es monitorizando partes sensibles del sistema y alertando de los cambios que se producen.

La lista de partes monitorizadas es esta:

• Claves del registro: Indicando si alguna key sensible (autorun, configuración Internet Explorer ...) es alterada

• Ficheros en los directorios 'Startup'

• Nuevos usuarios creados en el sistema

• Nuevos servicios

• Cambios en el fichero Host

• Nuevos trabajos en el 'Task Scheduler' de Windows

• Alteración de la integridad de Internet Explorer (Nuevos BHOs, cámbios en la configuración ..)

• Monitorización de la tabla ARP del sistema (prevención de ataques MITM)

• Nuevos Drivers cargados en el sistema

• Nuevos recursos compartidos NetBios

• Protección TCP/IP (Nuevos puertos abiertos, nuevas conexiones realizadas por procesos, detección de PortScans ...)

• Monitorización de directorios críticos del sistema (Nuevos ejecutables, nuevas DLLs ...)

• Creación de ventanas ocultas (cmd.exe / Internet Explorer mediante objetos OLE)

• Conexiones al sistema por NetBios a recursos compartidos

La forma en la que se configura Patriot es mediante un tray habilitado en la barra inferior:

Desde ahí se puede parar, arrancar y configurar

Como curiosidad contaré que el nombre 'Patriot' no es una alegoría patriótica (aunque sean fechas ...) está tomado prestado de ciertos misiles que se hicieron populares durante la guerra del golfo que eran capaces de interceptar al vuelo amenazas y bloquearlas.

La idea es posteriormente dedicar posts a las protecciones que implementa y como funcionan.

Podéis descargarlo desde aquí

PD: Si algún ninja del diseño gráfico se anima a hacer un logo tan chulo como el de la FoCa, prometemos gratitud infinita

Leer más...