martes, 24 de enero de 2012

cafe internet, ¿tu ingresas informacion critica en estos sitios?

Bienvenidos una vez más a mi blog...

En esta ocasión el tema es algo muy de la vida diaria, en el cual la mayoría a pesar que sabe el riesgo que se tiene la negligencia supera todas las barreras.

La verdad me inspiro el hecho que cuando iba de regreso a casa el viernes en la noche, alguien en el bus le decía a su compañero  de asiento "ahora que lleguemos, va al internet de la esquina y consulta el saldo a ver si ya le pagaron"...
…esta escena me puso a pensar y dije ¡vaya aun hay gente que consulta sus cuentas bancarias desde cualquier sitio!, entonces decidí ¿por qué no gastar 30 minutos en un café-internet y generar algo de contenido?



Así que diseñe la estrategia y con la ayuda de mi amigo sebas llevamos a cabo el siguiente plan.
Con unas monedas que tenía en el bolsillo le dije a sebas que fuera a un café internet cercano,   mientras yo conectado a internet desde mi portátil en un lugar no muy alejado del mismo esperaba su inicio de sesión ya fuera en msn o en facebook, una vez inició sesión teniendo en cuenta que  ya antes había estudiado el objetivo en cuestión sabía que este no tenía un cableado estructurado sino que todo aquí era wifi…
… no siendo mas y  con el fin de hacer la cosas lo más sencillas y directas posible, así como  para evitarme configurar un re-direccionamiento de puertos o configurar una DMZ en el router, aprovechamos los privilegios del sistema en cuestión y sebas saco la contraseña de la red wifi almacenada en el equipo (sin ningún tipo de herramienta)


de inmediato me la envió por el MSN que por cierto bien infectado que estaba (mmm que mal por ellos, si tienes un negocio de estos debes velar que el cliente esté satisfecho)


Aquí vale la pena aclarar que en el caso en que no se hubiese podido sacar la contraseña de esta forma este hecho no habría sido tan difícil de obtener debido a que como pueden observar el cifrado en este caso era WEP (mas mal aun, gracias a los ISP y sus excelentes técnicos),  bueno pero en este caso este no era el objetivo final así que me conecte y una vez se tuvo acceso a la red simplemente era crear los ejecutables para un acceso remoto no tan dañino (no quería instalar nada) pero que me permitiera demostrar cómo y lo fácil que alguien con malas intensiones podría actuar para obtener la información critica de otras personas, por esto simplemente elegí usar meterpreter cuyas funcionalidades me permitían recrear el escenario en curso, así que usando msfpayload cree el ejecutable .exe


 y por si las moscas un visual basic script


los cuales los en codee usando el tan popular shikata_ga_nai con el fin de evadir el antivirus de nuestro objetivo, hecho esto como estaba dentro de la misma red del objetivo simplemente copie mis archivos magicos al directorio de publicación e inicie el servicio web

root@bt:#cp /root/meter* /var/www
root@bt:#/etc/init.d/apache start

de inmediato le envié la URL a mi compa y a través del navegador una vez desactivado el antivirus descargo el ejecutable sin problemas (el .vbs era para el caso en que el AV hubiese puesto problema)




 
en este punto lance el handler 


y le di la señal a sebas que corriera el ejecutable el cual una vez trasmitió lo necesario, abrió la tan esperada sesión de meterpreter.




En este punto solo quedaba sacar la evidencia para lo cual tome un screenshot del escritorio del equipo comprometido desde el equipo atacante 


cuyo resultado vemos a continuación (miren que la calidad de la imagen no es la misma, ya que debe ser pequeña para la trasmisión)


una vez hecho esto procedí a lanzar el key_logger 



y como necesitábamos generar información este abrió un blog de notas y digito algunas cosas,  una vez hecho esto simple mente fue hacer el volcado de lo que había capturado el key-logger




como se puede ver escribió cuenta bancaria número 112365478996.12239824,  lo cual se puede verificar con la imagen del screenshot del blog de notas




ya para terminar con este entretenido escenario, simplemente obtuve a través de la sesión de meterpreter un intérprete de comandos, con del cual obtuve información de la configuración de red del sistema


y porque no un listado de los archivos del directorio en el cual me encontraba, en el cual se pudo encontrar la hoja de vida de 4 personas, 1 en formato pdf y 3 en .doc, mostrándome una vez mas lo descuidada que es la gente con su información personal (¿como dejan en un PC publico esta información?, ya tengo el toque paranoico, lo sé), adicional a esto encontramos una que otra foto, así como nuestro ejecutable y algunas hojas de cálculo que por sus nombres parecían cronogramas de trabajo. 




En este punto con la evidencia obtenida solo fue enviar los screenshot que había tomado Sebastián y eliminarlos junto con el ejecutable, ya que la intención era netamente didáctica y debíamos dejar las cosas como las encontramos.
Como pueden ver en realidad lo que hicimos fue algo supremamente sencillo, todo lo contrario al post anterior en el cual se usaron varias herramientas y  técnicas que pueden ser no tan usables para cualquier persona. 

Ahora, si fue tan fácil esto, ¿se imaginan la cantidad de personas que hacen esto a diario? y además ¿se imaginan lo que se puede hacer con herramientas especialmente desarrolladas para espiar?...
…los dejo con la inquietud, no siendo más espero y este post haya sido de su agrado y hasta una próxima entrada.


Carlos Andrés Rodallega Obando
PD: gracias al viejo sebas por su colaboración!!!


4 comentarios:

  1. Excelente entrada. Muy agradable y muy impresionante todo lo que describiste... Me has convencido de no usar más esos café internet ni siquiera para revisar el correo...

    ResponderEliminar
    Respuestas
    1. Jajaja tampoco hay ke ponerse tan paraniocos!!!

      Eliminar
  2. Uyyyy te fajaste! :O a veces las personas no somos conciente del peligro de exponer nuestra informacion personal en lugares como estos :S!!! Jajaja ademas me hiciste reir con tus comentarios!! No es que seas paranoico es que es la realidad!!!

    ResponderEliminar
  3. Excelente información, para que las personas tomen conciencia de cuidar su información

    ResponderEliminar