miércoles, 25 de enero de 2017

Despistes en empresas que valen millones

El caso que os vengo a contar hoy es un caso real con el que me ha tocado lidiar. No puedo decir el nombre de la empresa, pero me comentaron que sufrieron un ataque informático que conllevo a la fuga de documentos confidenciales de la empresa. Hoy os vengo a contar cómo el atacante o el grupo de atacantes, pudieron hacerlo. No sé si es el caso que se dio, pero parece posible según lo que me contaron y lo que vi.


Como he dicho, no sé si este fue el método que usaron, pero he optado y he pensado que este tipo de ataque podría estar entretenido para que lo cuente por el blog. Muchas cosas son inventadas, pero ataques que se podrían hacer perfectamente, así que con lo que me contaron y con lo que vi, sería muy posible que el ataque ocurriese tal y como lo estoy contando.


Empecemos por presentar a los protagonistas. Los nombres son totalmente inventados y no tienen nada que ver con el ataque a la empresa que contactó conmigo. Empecemos de izquierda a derecha de la foto que os he adjuntado anteriormente. En primer lugar está el atacante, el cual pertenece a una red distinta de la organización a la que pretendía atacar, un atacante que era cortado por el cortafuegos de la empresa. A continuación tenemos a Álvaro, un trabajador despistado que cada 2 semanas justamente, tiene un problema con su ordenador y tiene que contactar con el equipo de Informática de la empresa-tercer protagonista- para que le solucione de manera remota un problema.

Lo que ocurre en la empresa, el atacante no lo sabe, pero investigará sobre la empresa hasta dar con la información necesaria para que su ataque sea efectivo.


Pongamos, por poner un ejemplo, que el atacante conoce algunas direcciones de correo de trabajadores de la empresa tras analizar metadatos o por usar en Kali Linux, theharvester. Pongamos, además, que el atacante ha dado con la dirección de correo de Álvaro, el trabajador despistado.


Pongamos, por poner otro ejemplo, que el atacante no necesitó realizar ataque alguno, pues con program*url host [gmail/twitter/facebook/.../etc] escrito en el navegador da con la contraseña de la dirección de correo electrónico que ha encontrado antes. El atacante, en menos de 10 minutos, ya tiene acceso al correo de uno de los trabajadores de la empresa.


Una vez que el atacante tiene acceso al correo de Álvaro, el trabajador despistado, el atacante pudo ver todos sus correos, encontrándose con que cada 2 semanas, Álvaro el despistado, pedía ayuda al equipo de Informática. Llegados a este punto, el atacante ya tenía acceso pleno al correo de Álvaro el despistado y también sabía el correo de Luis, el encargado del equipo de Informática de solucionar los problemas a Álvaro. Esto de saber el correo de Luis, es un dato muy importante.

Lo siguiente que tendría que hacer el atacante, es ver si tenían los cortafuegos activados. Esto puede parecer obvio y podéis pensar que todos los trabajadores de todas las empresas lo tienen activado, pero os garantizo, que no es así.

Para saber si los equipos de una red tienen habilitados el cortafuegos, existe un truco muy viejo, pero lo primero es, pertenecer a la red, ya que como recordaréis, el atacante pertenece a otra red diferente. Posiblemente la forma más fácil de entrar a la misma red que Luis y Álvaro-primer fallo, trabajadores normales y el equipo de Informática no deben estar nunca en la misma red- sea conectándose a la red wifi de la empresa ¿la forma de hacerlo? El atacante no se tiene que romper la cabeza pensando, pues tiene el correo de Álvaro, le puede bastar con esperarse a que estén en horario lectivo y enviarle al equipo de Informática un mail desde el correo de Álvaro, pidiendo la contraseña de la wifi, ya que a "Álvaro" se le ha olvidado. Una vez que le contesten al correo con la contraseña, puede hacer captura de pantalla del correo y borrar el mismo para que Álvaro el despistado no lo vea.



En las capturas se muestran 2 máquinas virtuales, a las cuales se les ha configurado us respectivas direcciones IP, en este caso, ambas de tipo C y que están, como se ha propuesto en el esquema del ataque,  tanto Álvaro el despistado como Luis, en la misma red.



Para comprobar si ambos equipos tienen habilitado el cortafuegos, se realizará un ping al equipo con la dirección IP 200.7.10.5. Como se muestra, nos devuelve la respuesta de que no se ha podido realizar el ping, esto se debe a que  en el equipo con IP 200.7.10.5 tiene configurado el cortafuegos.


Para comprobar qué ocurriría si el cortafuegos se desactivase,  probaremos a hacerlo y posteriormente realizaremos el ping al mismo equipo con la misma IP.


Como se puede probar por la captura anterior, el ping, al tener desactivado el cortafuegos del equipo 2, es capaz de llegar al equipo 2, pero al volver se encuentra con que el cortafuegos del equipo origen, sigue activado, aún así, nosotros vemos cómo se ha realizado el ping. Esto le puede permitir al atacante saber si los equipos de la red tienen o no el cortafuegos habilitado, para que en el momento que un equipo de la red lo tenga deshabilitado, poder enviarle cualquier documento infectado. Cierto es que también debería tener desactivado el antivirus, pero lo lógico, es que cuando alguien decide desactivar el cortafuegos, también lo hará con el antivirus, pues si desactivan ambos, es porque quiere descargar algún documento o programa que el cortafuegos y/o el antivirus lo puedan anular. Así que un atacante solamente tendría que esperar a que el cortafuegos y casi seguro, el antivirus para enviar un documento infectado.



Una vez llegados a este punto, lo que sí que pudo hacer el atacante, es simular ser Luis del equipo Informático para darle "asistencia" a Álvaro. Recordemos que el atacante tenía acceso al correo de Álvaro, con lo que solamente tendría que esperar a que Álvaro le pidiese por correo asistencia, ya que siempre lo solía pedir por correo.


El método que Álvaro decidía usar para que Luis le ofreciese asistencia remota, era creando un archivo que actuase como invitación para Luis. Un archivo que, a mayores, le enviaría por correo también, un correo que tenía controlado el atacante.


Cuando se genera el archivo, a la par, se genera una contraseña que el asistente tendrá que introducir cuando el propio asistente abra el archivo.


Una vez que se abre el archivo y se introduce la contraseña, se le pregunta al que ha solicitado la asistencia remota, en este caso Álvaro, si quiere que el asistente le ofrezca la asistencia que ha solicitado.


Entra el juego de que en el mensaje, se muestra el nombre del equipo de quien ha abierto la invitación de realizar la asistencia, pero también entra en juego otra vulnerabilidad, que es la de que los usuarios, por norma general, no leen antes de pulsar un botón.


Cuando se comienza la asistencia, el asistente solamente puede mirar la pantalla del que ha solicitado la asistencia, aunque si el asistente le pide al que va a ser asistido si le permite interactuar también, al asistido le aparecerá un mensaje como el que se muestra en la captura anterior.


En este punto, el atacante ya puede hacer todo lo que quiera con el ordenador de la víctima. Y cuando digo todo, es todo; y si además se suma que, en este caso Álvaro, por fiarse de Luis, se va de la mesa porque, simplemente se fíarse, el atacante podría hacer todo lo que quiera y enviarse por correo todos los archivos confidenciales de la empresa a la que está atacando.


Por supuesto, el atacante deberá enviarse un correo a Álvaro, desde el correo de Álvaro, para no caer en el error de dejar esa pista que lo pueda delatar. Así pues, así es como el atacante pudo atacar a la empresa que me contactó para comentarme su problema, cierto es que pudo realizar otros métodos, como usar Kali Linux para entrar a su equipo aprovechando determinadas vulnerabilidades, presentes en el equipo de la víctima; pero, por impresionante que parezca, esa opción puede resultar mucho más improbable.

¿Hackeamos el Mundo?

P.D: Estos son los árboles que he ayudado a plantar.


No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...