miércoles, 27 de agosto de 2014

OPENVAS self-fingerprint. Maquillando al atacante.

Voy a retomar una serie de artículos de mi amigo 1GBDEINFORMACION en donde nos deleita con el artículo uno y dos sobre los primeros pasos con OPENVAS, en este caso bajo KALI LINUX.

Una de las primeras acciones que debes realizar con OPENVAS es camuflar un poco los scan config.
Si el destino de nuestro test es un sistema con algún tipo de medidas de seguridad como firewal, ids/ips, waf y similares, el scan no llegará a buen puerto, tan solo por los User-agents.

El primer paso que debes hacer es configurar todos tus plugins que usen conexiones http con un USER-AGENT válido, no del tipo "OPENVAS" o "ARACHNI". Esta información es la más básica para las medidas defensivas.

Algunos ejemplos.





Usando simplemente la opción del buscador, podemos identificar rapidamente todos los tags.

Otra de las cuestiones que me interesa es la detección en si misma del PortScan.

En muchas instalaciones de Snort no se activa las reglas pre-procesador de http inspección y strem5. Y un portscan no se detecta, salvo por esta regla:

[**] [1:2002911:4] ET SCAN Potential VNC Scan 5900-5920 [**]
[Classification: Attempted Information Leak] [Priority: 2]
08/27-17:41:17.601600 ********:5024 -> ******
TCP TTL:49 TOS:0x0 ID:11387 IpLen:20 DgmLen:40
******S* Seq: 0xBD99  Ack: 0x0  Win: 0x10  TcpLen: 20
[Xref => http://doc.emergingthreats.net/2002911]

En vez detectarlo con otros puertos.

Time: 08/27-17:06:14.534884
event_ref: 0
***** -> 200.81.44.206 (portscan) TCP Portsweep
Priority Count: 5
Connection Count: 0
IP Count: 6
Scanned IP Range: 173.194.113.234:212.111.97.154
Port/Proto Count: 2
Port/Proto Range: 25:80

Dicho esto, debemos clonar uno de los perfiles de puertos que trae de casa OPENVAS, ya que estos no se pueden editar. Editamos la copia, y borramos el rango de puertos que la alerta de Snort nos indica como VNC Scan.



Esta claro que si necesitas auditar estos servicios, deberás preparar otra estrategia como hacer netcat desde tor o similares.

Algunas de las opciones que podemos configurar para la evasión de sistemas de seguridad son las siguientes. Una de las cosas buenas que tiene OPENVAS es que informa de todas las posibilidades, por lo que no temas en darte una vuelta por la configuración e incluso aprender xD.




Como es lógico con estas recomendaciones no conseguirás saltar las medidas de seguridad de un sistema bien implementadas, como puedan ser Snort (IPS) + MODSECURITY (engine On) + Firewall State, pero seguro que para muchas malas implementaciones o sistemas desprovistos te puede ser útil.

Para agilizar o digamos customizar el scan config me gusta ver los logs del scan, para detectar la ejecución de plugins, los time-out y demás.
Por ejemplo, en Kali tenemos este log bajo:
/var/lib/openvas/users/om/kbs/IP.
Me encuentro con que este plugin está tardando mucho:


Si no me es muy interesante, deshabilito el plugin, que reside bajo la familia Port Scan ( En esta misma sección me gusta QUITAR el ping scan, lo que viene siendo un -Pn con nmap).
Una búsqueda por internet me informa del plugin.



Esta es una manera de ir personalizando nuestra configuración de scan, dependiendo del trabajo previo que hayamos hecho el la fase de Intelligence Gathering & Information Gathering. ( no tiene sentido atacar con plugins para Windows cuando en el trabajo previo con técnicas OSINT nos dice que es un sistema Linux).

No olvides exportar tu xml para backup con la configuración de scan que vas preparando, ya que es un trabajo costoso el llegar a crearte tus profiles preferidos.

Como siempre, espero que os sirva de ayuda y gracias por leerme !!!