Firewall de apicación para evitar técnicas “SQL injection”.

Además de auditar el código de las aplicaciones Web y realizar test de penetración, también se debería implementar un firewall de aplicación para evitar ataques con técnicas de SQL injection. En este post tratare de dos Firewalls de aplicación muy recomendables: SQLassie y GreenSQL.
GreenSQL.

Un cortafuegos diseñado para bases de datos MySQL. Su funcionamiento se basa en un proxy que evalúa los comandos SQL antes de enviarlos a la base de datos, utilizando una matriz que acumula ordenes y bloquea comandos administrativos como: DROP, CREATE … y así evitar un ataque de “SQL injection” a una base de datos MySQL.
El cortafuego GreenSQL se puede utilizar de las siguientes formas:

  • Modo simulación, se comporta como un sistema de detección de intrusos.
  • Modo IPS, se comporta como un sistema de prevención de intrusos, bloqueando los comandos peligrosos.
  • Modo de aprendizaje, utiliza un periodo de prueba para aprender los comandos que se suelen utilizar y los añade en una lista. Para después bloquear el resto de comandos que no están en la lista de aprendizaje.
  • Modo cortafuegos, bloquea los comandos desconocidos.

Este disponible bajo licencia GPL para las siguientes distribuciones: CentOS, openSUSE, Fedora, Ubuntu y Debian.

Más información y descarga de GreenSQL:
https://sourceforge.net/projects/greensql/
 
SQLassie.

Un firewall de aplicación, basado en un proxy entre servidor de base de datos y la aplicación web, analizando sentencias SQL en tiempo real, a medida que se envían desde la aplicación al servidor de base de datos. SQLassie analiza las consultas y busca acciones sospechosas, que son indicativos de los ataques de SQL injection. Estas acciones son luego analizados mediante filtrado bayesiano, para determinar la probabilidad de que una consulta contenga un ataque.

SQLassie determina que una consulta es un ataque, bloquea la ejecución de la consulta y responde a la solicitud con un mensaje apropiado. Por ejemplo, si un atacante está intentando acceder a las credenciales de usuario, SQLassie respondería con un conjunto vacío, y la aplicación se limitaría a pensar que la consulta no produjo resultados. Tanto la aplicación como el atacante no se darán cuenta del bloqueo de la sentencia por parte de SQLassie.
Según sus desarrolladores SQLassie está fuertemente inspirado por GreenSQL. GreenSQL es una excelente idea teórica, pero en algunos casos la tasa de falsos positivos es alta. Por ejemplo, cada consulta que se genera por MediaWiki, incluye un comentario incorporado que explica su intención. GreenSQL bloquea todas las consultas con los comentarios, esto hace MediaWiki inutilizable con GreenSQL.

SQLassie actualmente sólo es compatible con MySQL. La instalación es fácil, sólo se debe configurar SSQLassie para conectarse al servidor de base de datos, iniciar SQLassie, y luego configurar las aplicaciones Web para conectarse a SQLassie, en lugar de directamente al servidor de base de datos.

Más información y descarga de SQLassie:
http://www.sqlassie.org/

Shadow77

#HackNic

Suite completa de herramientas para automatizar test de penetración a sitios Web.

Penetration-Testing-Toolkit es una suite de herramientas para automatizar de test de penetración a sitios Web, utilizando técnicas de: escaneado de una red, exploración de CMS, generación de información de Payloads de Metasploit, consultas DNS,recopilación de información, búsqueda de  la información del dominio, etc.

Entre sus características destaca:

  • Interfaz Web para escáner Nmap.
  • Escanea servidores Web y detecta: archivos peligrosos, versiones no actualizadas, ssl-check, cortafuegos, verificación de puertos, ping-sweep y NetBIOS.
  • Identifica una pagina Web recogiendo datos como: correo electrónico, URL, IP4, dominio…
  • Interfaz Web para theHarvester.
  • Incluye técnicas de Google Hacking.
  • Genera Payloads de Metasploit que no pueden detectarse, para los sistemas: Windows, Linux, OS X y Android.
  • Genera Payloads para Java y webshells  utilizando Metasploit para los lenguajes: PHP, ASP y JSP
  • Crear puertas traseras para Windows, Linux y PDF.
  • Exploración de sitios: WordPress, Joomla y Drupal.
  • Detectar versiones CMS (BlindElephant Scan).
  • Posee herramientas para: consultas DNS, pruebas IP y pruebas de red.
  • Extrae los enlaces de las página web y comprueba la validez del enlace.
  • Chequea: disponibilidad del dominio, page rank, comprobación de edad del dominio y otros aspectos relacionados con el dominio.

Más información y descarga de Penetration-Testing-Toolkit:
https://sourceforge.net/projects/pentest-lab/?source=directoryue

Shadow77

#HackNic

USB Thief: nuevo troyano capaz de evitar su detección

Los troyanos con el tipo de malware más utilizado por los piratas informáticos para el robo de datos. En estos tiempos en los que todo está conectado, el malware suele funcionar siempre a través de Internet, ya que eso permite a los piratas informáticos llevar a cabo ataques remotos sin dejar rastro. Sin embargo, mientras estábamos preocupados por proteger nuestra conexión a Internet, algunos piratas informáticos han apostado por el robo de datos desde memorias USB instalando en ellas troyanos totalmente indetectables para las aplicaciones antivirus.

Este troyano ha sido detectado por la empresa de seguridad ESET y ha recibido el nombre de USB Thief debido a que su finalidad es la de robar datos desde una memoria USB maliciosa. Mientras que, en cuanto a funcionamiento, como vamos a ver a continuación, es un troyano bastante simple, cuenta con un ingenio que no se había visto hasta ahora, tanto en su forma de distribución como en la técnica utilizada para evadir los motores antivirus.

“Este malware utiliza únicamente los dispositivos USB para propagarse y no deja ningún rastro en el equipo infectado. Sus creadores también emplean mecanismos especiales para protegerlo ante la copia o reproducción, lo que hace que sea aún más difícil de detectar y analizar” dijo Tomáš Gardoň, analista de malware de ESET.

Mientras que el malware convencional utiliza prácticas tradicionales para llevar a cabo la infección (por ejemplo, falsos accesos directos o ficheros de ejecución automática), este nuevo troyano hace uso de aplicaciones portables para llevar a cabo su tarea. Cuando el usuario lleva en la memoria USB una aplicación portable, por ejemplo, Firefox o Notepad++, el troyano se configura automáticamente para que, al abrirla, este se inserte en la cadena de ejecución como un plugin o una librería, quedando así funcionando en segundo plano.

Además de la ingeniosa forma de ejecutarse, este troyano es capaz de evadir los análisis de los principales motores antivirus. Para ello hace uso de dos técnicas diferentes:

  • La primera de ellas es que los binarios están cifrados con un algoritmo AES de 128 bits.
  • La segunda de ellas es que el nombre de los archivos se genera aleatoriamente a partir de elementos criptográficos, por lo que no pueden “deducirse”.

La clave de cifrado se calcula a partir del identificador ID único de la memoria USB donde se aloja, por lo que el código de cada troyano es único, aunque eso conlleva a que este también solo podrá ser ejecutado desde esa única memoria, y no infectar otras memorias USB ni otras plataformas. De esta manera, los motores antivirus no pueden detectar el malware analizándolo ni por comportamiento ni por nombre de archivo. Además, este también queda protegido de la ingeniería inversa.

El malware está formado por 4 ejecutables y dos archivos de configuración, los cuales se ejecutan de la siguiente manera:

Primer binario -loader: Este primer loader busca engañar al usuario para que lo ejecute (haciéndose pasar por una aplicación portable). También comprueba que se está ejecutando en una memoria USB y que esta no está protegida contra escritura, ya que los datos se almacenan en ella.

Segundo binario -loader: Este segundo loader utiliza el hash generado con el primer loader para ejecutarse y cargar el primer archivo de configuración. A su vez controla que el malware no se ejecuta sobre un depurador, finalizando en caso de que el proceso padre no sea el original.

Tercer binario -loader: Este tercer loader, cargado a partir de los datos del segundo, se encarga de comprobar si hay un antivirus en el sistema. De ser así se detiene automáticamente. Si todo es correcto, este loader carga el segundo fichero de configuración y hace la llamada al troyano en sí.

Cuarto binario – Troyano: Este cuarto binario es el troyano en sí. Cuando el tercer loader hace la llamada, este inyecta la función de robo de datos en el proceso “%windir%\system32\svchost.exe -k netsvcs” y comienza ya a recopilarlos todos, guardándolos en la memoria USB desde la que se está ejecutando bajo un identificador único calculado según los datos del ordenador de la víctima.

Como podemos ver, USB Thief está especialmente enfocado a ordenadores que no están conectados a Internet, ya que se requiere acceso físico al equipo o servidor. Además, al ser totalmente portable, no deja ni una sola evidencia de que ha estado ahí, es totalmente invisible.

Mientras que este troyano se centra principalmente en el robo de datos personales, los expertos de seguridad aseguran que sería muy sencillo implementar otras finalidades, por ejemplo, habilitar una puerta trasera o la instalación de un segundo troyano mucho más agresivo y peligroso que el primero

Shadow77

#HackNic

Fuentes: http://www.welivesecurity.com/