Se acaba el año, y no queriamos que terminase sin ofreceros un nuevo video del ataque que hemos realizado Pedro Guillén y Miguel Ángel de Castro en el que se muestra el asalto, secuestro y roteo de un servidor chino que contiene un nodo de botnet desde el que se mandan constantes ataques de forma automatizada a todo el mundo.

El dia 23, tras obtener de nuestros sensores la ip procecdente de china con los ataques LFI como puede verse en la siguiente captura:

Viendo la procedencia china del ataque no pudimos resistirnos a pedir comida china y proceder a su estudio observando que la página contiene vulnerabiliddes de tipo Blind SQL Injection las cuales han sido explotadas para acabar obteniendo la clave de root del servidor.

A continuación puede verse un video completo del todo el proceso de asalto al servidor del ciberdelincuente.

http://youtu.be/POcf1K9DbZc

Sin mas solo resta despedirme deseando a todos una buena entrada de año, asi como una red mas segura y libre de cibercriminales.

Tras la recepción de un correo bastante sospechoso, se ha rastreado su procedencia y se ha analizado la infraestructura utilizada por el ciberdelincuente para proceder a su destrucción.

Junto con Pedro Guillén, hemos realizado un ataque a la infraestructura de servidores hackeados por el ciberdelincuente hasta en 4 paises diferentes (España,Israel,Republica checa y Mexico). Las vulnerabilidades encontradas en esta infraestructura se repite y se trata de fallos en Frontpage, mediante inyecciones específicas del tipo:

http://213.8x.x/_vti_bin/_vti_adm/admin.dll
method=open service:3.0.2.1105&service_name=/
5.0.2.5012


method=list documents:5.0.2.5012&service_name=&listHiddenDocs=True&li
stExplorerDocs=True&listRecurse=True&listFiles=True&listFolders=True&listLinkI
nfo=True&listIncludeParent=True&listDerivedT=True&listBorders=True&initialUrl
=

/_vti_bin/_vti_aut/author.dll
method=list documents:5.0.2.5012&service_name=&listHiddenDocs=true&lis
tExplorerDocs=true&listRecurse=false&listFiles=true&listFolders=true&listLinkInf
o=false&listIncludeParent=true&listDerived=false&listBorders=false

Pueden obtenerse una serie de listadode directorios y edición de archivos, las cuales se han usado para localizar las shells que el ciberdelincuente habia alojado previamente y tomar asi control de estos servidores.

Para la ubicación del servidor que recibe los datos del ejecutable santander.exe se ha utilizado un sniffer con el que obtuvimos la ip a la que finalmente los datos se mandaban.

En el ataque al servidor que aloja los datos se pudo obtener acceso aprovechando el mismo tipo de vulnerabilidad descrita con anterioridad y se analizo el código realizado en asp destinado a la recepción de datos y envío a una cuenta de ciorreo gmail a la que se tuvo acceso y se pudo comrobar que ya habia datos recibidos de clientes victima.

La eliminación de esos datos asi como de la infraestructura no garantiza que no vuelva a aparecer al no repararse las vulnerabilidades origen que causan el problema. Tanto es así que durante las horas que duró el proceso de ataque a la infraestructura el ciberdelincuente sustituyo el binario infector.

Acompañamos este artículo con un video explicativo del proceso. Puede verlo mas abajo. http://www.youtube.com/watch?v=Y3ZpWYbsxXM&feature=colike

Los dias , Días 14 y 15 de abril de 2011 en Almería,, Nova Ïnformática y CanalSeguro participan como ponenetes Durante las VII Jornadas SLCENT Software Libre, Cultura Emprendedora y Nuevas Tecnologías

El Taller esta compuesto de un programa dividido en 4 areas:

1- Presentación, visión general y definiciones.

En este punto se realizará la presentación del ponente, también se introducirá a los asistentes al mundo de la seguridad/inseguridad y finalmente se darán a conocer una serie de definiciones propial del área de la Seguridad Informática.

2- Ataques Web.

Se mostrará a los asistentes las principales vulneravilidades que nos podemos encontrar a nivel web. Para ello mediante técnicas de hacking ético atacaremos esos vectores en entornos reales creados para tal efeceto y se mostrarán videos de consultorías realizadas por el equipo de Canal Seguro.

3- Ataques Exploit

Demostrarán a los asistentes diversas técnicas de hacking ético relacionadas con el uso de exploits, usando tanto compilacion de expliits como el frameworks, se realizarán ataques a entornos virtuales creados para el taller.

4- Botnets.

Se darán a conocer el funcionamiento y el uso que los ciberdelincuentes dan a las principales redes de botnets, con demostraciones en entornos virtuales.

Autor: Miguel Aangel de Castro Simón