Buscar este blog

viernes, 6 de octubre de 2017

La evolución de los keyloggers.


No solo nos tenemos que preocupar de los fallos o vulnerabilidades de software, también tenemos que controlar el hardware. Por ejemplo controlar las contraseñas de BIOS y evitar el arranque en dispositivos como CD-ROM, diskettes o memorias USB, también tenemos que controlar el uso de keyloggers hardware que se conectan entre el teclado y la placa base y almacenan todo lo que tecleamos. Estos keyloggers son muy eficientes y imposibles de detectar por software.

clip_image001

También existen keyloggers en forma de aplicaciones que trabajan en segundo plano y capturan todo lo que escribimos en el teclado, esto los convierte en una clara amenaza, existen mucha aplicaciones contra el malware que detectan keyloggers como: Ad-aware, Spybot… Existe una aplicación solo para detectar keyloggers, bastante buena, se trata de KL-detector

.
Más información y descarga de  KL-detector:
http://dewasoft.com/privacy/kldetector.htm
Una técnica mas avanzada es la descubierta por unos investigadores de Universidad de Berkley que se basa en que, cada tecla del teclado, al ser pulsado hace un ruido diferente que podría ser identificado con un 85% de acierto. Si una persona con un software de reconocimiento de sonido, grabara e identificara el sonido de todas las teclas, seria capaz de descifrar lo que se escribe en un teclado por el sonido del mismo Esto aplicado a la seguridad de PC y cajeros automáticos tiene bastante importancia, sobre todo a cajeros automáticos.
Existe una evolución del típico keylogger totalmente pasivo de cara al sistema, que es USBdriveby, un minidispositivo que se puede llevar en cualquier sitio e instalar rápidamente de forma encubierta y que permite abrir una puerta trasera, anular la configuración de DNS... en una máquina a través del puerto USB en cuestión de segundos. Esto es posible mediante la emulación de un teclado y un ratón, por parte de un microcontrolador, permitiendo escribir a ciegas comandos controlados o movimientos y pulsaciones del ratón.
clip_image002

Este proyecto se basa en explotar la confianza ciega de un sistema en los dispositivos USB y cómo gracias a un microcontrolador Teensy de 20$ enchufado en cualquier puerto USB es posible: evadir varios ajustes de seguridad en un sistema real, abrir una puerta trasera permanente, desactivar un firewall, controlar el flujo del trafico de la red… y todo esto en unos pocos segundos y de forma permanente, incluso después de retirar el dispositivo.


Cuando se conecta normalmente un ratón o un teclado en una máquina, no se requiere autorización para empezar a usarlos. Los dispositivos pueden simplemente comenzar a escribir y hacer clic. Entonces se aprovecha esta vulnerabilidad mediante el envío de pulsaciones de teclas arbitrarias destinadas en el caso del ejemplo del proyecto en un entorno OS X a: poner en marcha aplicaciones específicas (a través de Spotlight/Alfred/Quicksilver), evadir permanentemente un firewall (Little Snitch), instalar una “reverse shell” en el crontab e incluso modificar la configuración de DNS sin ningún tipo de permisos adicionales. Si bien el ejemplo del proyecto se ejecuta en un entorno OS X, es fácilmente extensible a Windows y Linux.
Más información y descarga de USBdriveby:
https://github.com/samyk/usbdriveby

La evolución de los keyloggers II.

No solo nos tenemos que preocupar de los fallos o vulnerabilidades de software, también tenemos que controlar el hardware. Por ejemplo controlar las contraseñas de BIOS y evitar el arranque en dispositivos como CD-ROM o memorias USB, también tenemos que controlar el uso de keyloggers hardware que se conectan entre el teclado y la placa base y almacenan todo lo que tecleamos. Estos keyloggers son muy eficientes y imposibles de detectar por software.

clip_image003
El concepto de keyloggers ha evolucionado con el paso de los años, de la mano de los avances en computación. Un ejemplo de esto es el proyecto Wi-Fi Ducky bajo lincencia MIT, un dispositivo BadUSB controlado por Wi-Fi para ejecutar de forma remota Ducky Scripts.

Funciona con el ESP8266, un popular chip Wi-Fi utilizado en muchos proyectos. Debido a que es barato, pequeño y tiene su propio sistema de archivos (SPIFFS), es perfecto para habilitar una conexión remota fácil y mantener las cargas útiles de Ducky Script. Aunque el ESP8266 es impresionante, no tiene USB nativo, lo que significa que no puede actuar como un teclado, aquí es donde entra el juego el Atmega32u4 que puede actuar como teclado y gracias a Seytonic ejecutar Ducky Script.


La combinación del ATmega al ESP8266 vía serial forman el  Wi-Fi Ducky. Su funcionamiento se basa en que el ESP8266 abre un punto de acceso Wi-Fi y aloja una interfaz web de lo que puede cargar y administrar sus scripts. Una vez ejecutado, enviará el script al ATmega, que luego lo ejecutará en la máquina de destino.


Con la conectividad Wi-Fi se puede cargar y ejecutar  cargas útiles de Ducky Script de forma remota. Sólo hay que conectar el dispositivo, conectarse a su red Wi-Fi y ya se tiene control total sobre la máquina de destino. También tiene una gran ventaja sobre otros BadUSBs, puede probar sus secuencias de comandos en vivo, no es necesario copiarlos en una tarjeta micro-sd o compilarlos. Puede ejecutarlos en directo a través de la interfaz web, lo que hace que su súper fácil la prueba y permite mejorar las secuencias de comandos.


También añade una gran cantidad de posibilidades para diferentes ataques. Es posible descargar ejecutables desde el chip Wi-Fi, de Internet. O ejecutar diferentes ataques y enviar los resultados de nuevo. O abrir un shell reverso en el ESP8266s Wi-Fi.


Más información y descarga de  Wi-Fi Ducky:
https://github.com/spacehuhn/wifi_ducky

FUENTE: Álvaro Paz