Es lunes en la mañana, entras a las 7 de la mañana, todo está normal, te sientas en tu lugar de trabajo, sacas tu portátil y empiezas a trabajar como cualquier otro día, y aunque todo parece estar bien, hay algo que no lo está, finalmente uno a uno tus compañeros empiezan a llegar, tu pesadilla se torna real, todos acuden a ti como miembro de TI, pues no encuentran sus archivos, sus inicios de sesión aparecen como fallido, no pueden comunicarse con los servidores y el proyecto donde habían estado trabajando por más de 6 meses se ha ido. Esta vez no fue un simple ADWare, tampoco fue un infostealer, se trataba de un Ransomware… Pero ¿cómo pudo entrar? Durante el fin de semana en silencio desde el servidor de automatizaciones, un malware de origen Chino, se esparcía endpoint por endpoint, hasta comprometer toda la infraestructura. La pregunta no se responde. ¿Cómo sucedió? el antivirus se encontraba activo, el IDS funcionaba correctamente y sobre todo, nadie había iniciado sesión en el servidor de automatización. Solo había algo anormal: una hoja de vida como cualquier otra, pero contaba con un enlace que prometía ser un portafolio, no era más que un sofisticado enlace que abusaba de un “CSRF” (Falsificación de Petición en Sitios Cruzados) para ejecutar comandos en el Jenkins Interno de la compañía.

 

“Eres el eslabón más débil” -escuchas frecuentemente en las charlas de ciberseguridad-, “solo basta un clic para ser infectado”, “debes reportar todo lo que te parezca sospechoso”, pero en realidad ninguno de los correos que recibes es anormal, no tienen las “señales” que te enseñaron. Realmente tus funciones no son sospechar de todo ¿no?

Descarga de Malware

 

Iniciando con un clásico: la descarga de malware es un vector directo de ataque. Pero al ser tan directo, es predecible. Hoy en día, un antivirus decente puede identificar este comportamiento; por lo general, debes descomprimir un archivo, ejecutar un programa, aceptar la instalación sospechosa y estarás infectado. Bastante obvio, al parecer.

 

• Imagen: Recibes un aparente inofensivo correo electrónico, todo parece legítimo e incluso, si revisas las cabeceras identificarías que todo se encuentra bien, el correo proviene de tu gobierno, y utiliza correctamente el TLD de tu gobierno (gov.co), razón por la cual haces clic en el enlace que te lleva a un simple formulario, tras finalizarlo, dicen que se pondrán en contacto contigo. En cuestión de horas, ya con todas tus defensas abajo, recibes un correo agradeciendote por llenar el formulario, y que a través del siguiente enlace podrás descargar tu ansiado “comprobante.pdf.exe”…

 

Abuso de aplicaciones instaladas en el dispositivo

 

Otra técnica utilizada es el abuso de aplicaciones específicas de tu dispositivo, y si bien esta técnica, requiere que tú como víctima utilices alguna aplicación que ellos están intentando vulnerar, cuando el atacante automatiza el proceso y masifica los intentos, y tú como víctima eres solo un número más, este se convierte en un vector de entrada perfecto.

Si bien esta área puede ser gigante y la cantidad de técnicas puede variar de dispositivo en dispositivo, a modo de ejemplo ilustrativo sin entrar en profundidad tenemos las siguientes:

 

• Deep Links: En el caso de los dispositivos móviles (Las cajas espías que nos acompañan en todo instante y que posiblemente alojan toda nuestra información), a través del navegador utilizando JavaScript, es posible hacer llamados a enlaces que entran en la categoría de Deep Links, estos son enlaces en un formato especial (Por ejemplo, acode:// en lugar del esperable https://), los cuales permiten interactuar a un sitio web en tu celular con las aplicaciones que tiene instalado según los “intents” que tengan configuradas las respectivas aplicaciones,  en un principio esto no es un problema, hasta que descubres que la aplicación de juegos, edición de código, o incluso tu banco local cuentan con alguna vulnerabilidad que le otorga a un actor malicioso control sobre tu dispositivo con que tan solo entres a su sitio web y tengas la aplicación vulnerable en tu dispositivo. Si quieres profundizar en este tema, puedes consultar: https://app.hextree.io/courses/intent-threat-surface/android-deep-links
• Aplicaciones de escritorio: Los equipos de escritorio tampoco se quedan atrás y si bien no es muy común que utilicen sistemas como los “deep links” algunas aplicaciones conocidas como por ejemplo Microsoft Office tienen comunicación directa con el navegador utilizando un sistema bastante similar a los deep links, y al igual que con los deep links puede derivar en la explotación de alguna vulnerabilidad de las aplicaciones que respondan al llamado, pero a este caso se puede sumar que al ser un equipo de escritorio es altamente probable de que credenciales corporativas tales como usuarios del dominio se encuentren en dispositivo, lo que permite realizar ataques que a modo de ejemplo llamen a office y le indiquen que abra un documento de manera remota, llevando  directamente a una coerción de autenticación según la versión de office que se esté utilizando, y bueno en un principio esto puede sonar muy sofisticado pero en este caso puede bastar con contar con el siguiente código html en el sitio web malicioso:

 

• Imagen: Tras hacer una simple búsqueda en google en busca de un sitio web que te permita unir 2 pdfs, haces clic en el primer enlace sin notar que se trataba de un enlace patrocinado, el cual es un sitio malicioso, tras haber hecho clic en menos de un segundo observas que has sido redireccionado y sin una razón aparente google word se abre en ese mismo instante, aunque no notaste nada, tus contraseñas fueron efectivamente entregadas a un actor malicioso, quien en cuestión de días se encuentra utilizando sin que lo sospeches, tus accesos o en su lugar, ya los haya vendido en el basto mundo del “cybercrime market”.

 

Explotación del Navegador

 

En este caso nos encontramos con posiblemente la técnica más difícil de llevar a cabo de todas las mencionadas anteriormente, y seguido de esto, la menos probable de ser víctima: consiste básicamente en “explotar” o abusar directamente del browser mismo, y si bien esto es bastante realizable en navegadores muy antiguos, en una versión nueva de Chrome, Firefox o Safari como la que utilizaría alguien del común, puede llegar a ser extremadamente difícil. Incluso, en el caso de conseguirse en lugar de utilizarse contra un usuario del común, desde el punto de vista de un atacante, posiblemente lo más rentable sea vender el ataque a alguna compañía como OPZero ó Zerodium, compañías que posteriormente revenden los 0-day a los diferentes gobiernos y las cuales fácilmente pueden pagar por este tipo de vulnerabilidades entre 1 y 5 Millones de dólares… Si se quisiera profundizar un poco más, en el propio sitio web de Operation Zero, es posible encontrar guias de como empezar en esta area de hacking (explotacion de navegadores), que en resumidas cuentas, busca salirse de la limitada sandbox del navegador y ejecutar comandos directamente en el sistema, sin embargo puede ser bastante avanzada para un principiante.

 

Guia de “Operation Zero” sobre explotacion de Chrome: https://opzero.ru/en/press/101-chrome-exploitation-part-0-preface

 

• Imagen: Estás navegando tranquilamente por internet, cuando tras entrar a un sitio web, hacer clic en un enlace que te enviaron o incluso tras ser redireccionado desde un sitio legítimo, sin darte cuenta, con solo haber entrado a un sitio malicioso ahora cuentas con un malware corriendo en tu dispositivo el cual le da control total a un atacante remoto.

 

Abuso de otros sitios con JS

 

Finalmente dentro de las jaulas del navegador, si bien las acciones son muy limitadas, la gran cantidad de vulnerabilidades y ataques web que ocurren del lado del cliente, le permite a un sitio malicioso realizar una gran cantidad de acciones maliciosos, como por ejemplo realizar un “CSRF” abusando de “CORS” mal configurado, que ocurre cuando el propietario de un sitio web, permite que otros sitios realicen en nombre del usuario solicitudes hacia él y con las credenciales habilitadas, traduciéndose en que con tan solo visitar un sitio web malicioso, el sitio toma acciones en tu nombre cómo cambiar las contraseñas de una aplicación con login, o en su defecto hacer todo tipo de acciones que el usuario en un principio no desea realizar. Adicionalmente se encuentran los ataque de “XSS”, los cuales permiten ejecutar código Javascript en un sitio web, por lo general a través de un enlace, en este caso es común que se puedan extraer valores como las cookies que posteriormente permitirían a un atacante obtener acceso a tu cuenta del sitio vulnerable a XSS, también es posible realizar ataques mucho más sofisticados como puede ser por ejemplo el DNS Rebbing o el abuso de técnicas sofisticadas de ingeniería social con herramientas como BeEF.

 

• Imagen: Estás tranquilo utilizando tu computador, lugar donde administras todas tus inversiones en criptomonedas, cuando recibes un correo sospechoso, sabes que es sospechoso pero aun así decides hacer clic, ¿qué podría ocurrir con solo visitar un enlace?, en ese instante el sitio malicioso que hace parte de una campaña de robos dirigidos a los usuarios del exchange donde está todo tu dinero, al hacer clic el sitio malicioso aprovechó las malas configuraciones de “CORS” del exchange para transferir todo tu ethereum a  0xE9FF1Aa98FFDaa00D72DFDBc0a1d572CA451a43D, la wallet del atacante. Y sin poder hacer nada, ya tu dinero se encuentra fuera de tu control.

 

“Muad’dib”

 

Winnti, grupo APT perteneciente al PLA (People Liberation Army), financiado por el gobierno chino, ya en el pasado ha hecho todo lo aquí mencionado y mucho más, obteniendo acceso a empresas, infraestructuras críticas y objetivos militares, abusando tanto de ingeniería social, como de la explotación de CVE’s e inclusive abusando de la explotación de 0-Days, para posteriormente llevar a cabo exfiltraciones de información, robos masivos, destrucción de dispositivos físicos, secuestros de información, “wipeouts” de la información de sus enemigos, y en general todas las acciones que una guerra cibernética impulsan.

 

Dejando de lado todos los aspectos de los APT’s, puntualmente en esta lectura nos interesan sus vectores de entrada, siendo más específicos sus entradas a través de enlaces. Si bien en los aspectos de ingeniería social que incluyen la infección a través de enlaces hay muchas técnicas como vimos anteriormente. En los reportes suelen coincidir en una herramienta utilizada para el abuso de JavaScript, BeEF…

 

Y no es extraño ya que aunque BeEF suele ser muy “Mainstream” y en general a la hora de utilizarse parece inutil pues es bastante antigua y un gran porcentaje de sus módulos ya son inútiles, ya que muchos de estos fueron diseñados para versiones de navegadores que hoy en día se encuentran inutilizadas o en su defecto dependen del el uso de plugins o módulos ya completamente deprecados (como puede ser Flash Player), la realidad es que BeEf sigue siendo un arma extremadamente poderosa si es configurada y utilizada de la manera correcta, lo que por lo general requiere un gran tiempo, horas de pensamiento, adaptacion del codigo o de las configuraciones de los módulos, y sobre todo, automatizaciones que permitan conseguir todas las piezas de información necesarias para ejecutar ciertos módulos.

 

En el caso de Winnti, aunque se desconoce en detalle qué modificaciones hayan realizado sobre los módulos de BeEF o que técnicas exactas (Automatizaciones) utilicen a la hora de extraer la información necesaria para ejecutar los módulos más poderosos, se tiene claro que el acceso lo suelen obtener utilizando el módulo de BeEF “jenkins_groovy_code_exec” el cual abusa de consolas de “Jenkins” internas de sus víctimas o de las compañías de sus víctimas, estableciendo comunicaciones con “commands and controls” adquiriendo así control total de un dispositivo dentro de la red interna de las víctimas, acceso que posteriormente utilizarán para atacar todo lo que esté a su alcance.

 

“El Profeta”

 

Entendiendo como opera a “Grosso Modo” un APT que usa dichos links maliciosos, entonces ya nos podemos poner manos a la obra e imitar sus comportamientos y aunque falten detalles, en un principio no vamos a realizar exactamente lo mismo que ellos hacen, para nosotros se vuelve realizable obtener links maliciosos tan poderosos como los que ellos utilizan…

 

En este sentido podemos cuestionarnos que es necesario para poder ejecutar “jenkins_groovy_code_exec”, rápidamente llegaremos a que lo primordial es conocer la dirección IP o nombre de Dominio, en el que se encuentra alojado Jenkins. Para esto hay múltiples caminos: en primer lugar podemos utilizar técnicas como el DNS Rebinding y a partir de dicho punto, ir realizando solicitudes al puerto por defecto de Jenkins (8080 ó 50000), aunque este puerto en ocasiones puede ser modificado, analizar los puertos WEB más comunes nunca está de más. Adicionalmente escanear a todas las ips más comunes en redes internas (192.168.0.0/16, 172.16.0.0/16, 10.0.0.0/16). Para esto podemos directamente agarrar el código de herramientas, por ejemplo el “port scanner” de “Singularity” y adaptarlo a BeEF, siendo agregado como una tarea automática que se ejecutará cada vez que alguien acceda a nuestro sitio malicioso. Con efectos demostrativos, la herramienta puede ser vista y utilizada de manera local en el siguiente enlace: http://rebind.it:8080/scan-manager.html

 

Con los puertos descubiertos ya podemos incursionar mucho más allá, podríamos o continuar escaneando en el segmento que se encuentre vivo en la red de nuestra víctima o en su lugar, podemos directamente empezar a sacar los “Títulos” de las páginas que se encuentren al alcance del navegador de nuestra víctima.

 

Una vez tenemos los “Títulos” de los sitios web internos, visibles para nuestra víctima, solo nos queda filtrar por alguno de los títulos que utiliza Jenkins, y si efectivamente uno de los títulos, coincide Voila!!!!, ya contamos con todo lo necesario para lanzar el mismo módulo utilizado por Winnti, por lo que podemos añadir “jenkins_groovy_code_exec” a nuestra lista de tareas programadas de BeEF cuando se cumplan las condiciones anteriores.

 

En detalle, ¿qué es lo que procede a realizar “jenkins_groovy_code_exec”? El módulo en primer lugar, abusa de ser un recurso interno, en ocasiones, ciertas compañías o empleados, suelen dejarlo más desprotegido, más desactualizado e incluso en ocasiones sin autenticación requerida.

 

Por lo que nos quedan 2 opciones para que el ataque sea exitoso:

 

• La consola de Jenkins no cuenta con autenticación y el módulo procederá a acceder libremente a la consola y establecerá conexión con el C&C del atacante.
• La consola de Jenkins cuenta con  autenticación, pero gracias a unos “CORS” permisivos, cookies sin Samesite y que la víctima se encuentre autenticada, BeEF funcionara, estableciendo exitosamente conexión con el C&C del atacante, desde el servidor con Jenkins.

Si bien todo lo anterior puede parecer muy complejo y que requiere de muchas condiciones, esto no es así, cuando se considera que miles, cientos de miles e incluso millones de usuarios hacen clic en enlaces sin validar su procedencia, se encuentran confiados de que con solo hacer clic no pasará nada… Es en ese momento cuando las probabilidades se tornan y se ponen del lado de estos actores maliciosos.