(IN)SEGURIDAD Y ATAQUES DE I.M.

EN ENTORNOS CORPORATIVOS

Proceso de extraccin no
autorizada de datos dentro
de un sistema o de una red.
Tradicionalmente ha constituido la fase ltima y tal vez la menos relevante de un
proceso de robo de informacin, aunque con la proliferacin de los ataques de
tipo APT tambin se han popularizado las soluciones tcnicas que dificultan este
proceso, como:!
! - Detectores de anomalas!
! - Sistemas de prevencin de fugas de informacin !
! - Cortafuegos inteligentes.

ERES'TARGET'
Attackers exfiltrate data by creating a mount point for a remote file share and copying the data
stored by the memory-scraping component to that share, the SecureWorks paper notes. In the
previous listing showing the datas move to an internal server, 10.116.240.31 is the intermediate
server selected by attackers, and CTU researchers believe the ttcopscli3acs string is the
Windows domain name used on Targets network. The Best1_user account appears to be
associated with the Performance Assurance component of BMC Softwares Patrol product.
According to BMCs documentation, this account is normally restricted, but the attackers may
have usurped control to facilitate lateral movement within the network.

Prcticamente protocolo puede utilizarse como Covert Channel, aunque

generalmente se utilizan algunos concretos en Capa 3-4 (Red-Transporte), como
ICMP, IP con TCP/UDP, o en Capa 7 (Aplicacin) los ms comunes son HTTPS
o DNS.

- El problema llega porque los usuarios no limitan el uso de las tecnologas

para los fines profesionales y porque el malware en dispositivos mviles no
para de aumentar. Los casos de malware en dispositivos como Android son
cada vez ms frecuente y estas amenazas se pueden transferirse a travs de
los sistemas de mensajera instantnea.!
!
- Durante el periodo comprendido entre Agosto de 2013 y Julio de 2014se
registr el nmero ms alto de ciberataques en los ltimos aos.

- En la actualidad, con la llegada de los dispositivos mviles, los sistemas de mensajera

instantnea tienen una segunda juventud, y los usuarios aprovechan sus posibilidades
para el mbito personal y profesional.!

- Los sistemas de mensajera instantnea puede suponer un problema para la

seguridad, sobre todo en el mbito del trabajo.

The
SnapChanneling

'QU'ES'SNAPCHAT'?
- Snapchat es una aplicacin para mviles,
que puedes descargar en tu iPhone o
Android, para chatear? con amigos a travs
de fotos y vdeos (con la posibilidad de usar
etiquetas).!
!

- Vamos, como un WhatsApp (que ya sabis

que nos gusta) en el que no se puede enviar
texto, slo ficheros multimedia.!
!

- Una de las cosas ms importantes de

Snapchat es que la caractersticas de autodestruccin de las fotos, una vez el
destinatario las ha visto.

EL'HISTRICO'DE'SNAPCHAT
- Crees que es seguro enviar esas fotos
embarazosas a travs de Snapchat?
PINSALO DE NUEVO.
!
- SnapHack: una aplicacin que permite
reabrir y guardar mensajes de Snapchat,
sin que el remitente sepa que se han
almacenado
- Dump de 4.16 millones de usuarios y
nmeros de telefno de usuarios de
Snapchat publicados en el sitio web
snapchatdb.info, despus del public
disclosure del funcionamiento de la API.

- Vivimos pocas convulsas de filtraciones online. Si en los ltimos tiempos

fue el famoso celebgate o fappening el que trajo de cabeza a varias
famosas del mundo del cine, el espectculo y la televisin ahora es la
aplicacin Snapchat la que ha sufrido otra filtracin masiva.!
!
!
!
!
!
!
!
!
!
- Una aplicacin de terceros origin una filtracin masiva que implica a
unas 200.000 imgenes ntimas de numerosos usuarios de Snapchat,
aunque segn algunas informaciones la cifra podra seguir aumentando a
lo largo de las prximas semanas.!
!

- Para realizar envos a travs de Snapchat, necesitaremos primero obtener

el request_token correspondiente:

- Los siguientes campos sern necesarios para realizar las diferentes

plataformas y enviar Snaps a travs de la plataforma:
Nada dura para siempre,!
!excepto el token temporal de Snapchat!

OTROS
USOS'''}:)'

OR

- Todos los archivos multimedia de Snapchat (vdeos y fotos) se envan:!

! - Padding de PKCS#5!
! - Cifrados usando AES/ECB con clave simtrica M02cnQ51Ji97vwT4
!
- Si enviamos un Snap a cualquier usuario, podemos modificar el contenido
de la imagen, introduciendo los datos que necesitemos, como por ejemplo
contenido en ASCII:

- Podemos enviar archivos ejecutables a travs de los canales de

comunicacin de Snapchat.!
!
- En este caso probaremos a enviar un fichero ejecutable crackme.exe,
previamente comprimido en formato ZIP.

! Tambin se pueden enviar

ficheros ejecutables !

La seora
DoubtLine

LINE tiene ya ms de 400 millones

de usuarios activos
Inicialmente fue una aplicacin
mvil desarrollada para uso
interno de comunicacin.!

Tras su gran acogida y

popularidad entre los usuarios, se
ampli a Windows Phone,
BlackBerry OS,1 Firefox OS, Mac
OS X y Windows.!

Esta ltima tiene dos versiones:

una de escritorio tradicional y
otra exclusiva para Windows 8
disponible en Windows Store. !

Tambin existe una versin para

Firefox OS

ALGUNOS'DETALLES'DE'FUNCIONAMIENTO'
- Gran cantidad de servicios web diferentes, debido a la gran cantidad de
apps y subsistemas que conviven!
!
- La mayor parte del protocolo se genera sobre canales HTTPS, utilizando
Apache Thrift para la serializacin de los datos de los mensajes.!
!
- El procedimiento de autenticacin:!
loginWithIdentityCredentialForCertificate(
IdentityProvider.LINE, // identityProvider
"test@example.com", // identifier
"password", // password in plain text
true, // keepLoggedIn
"127.0.0.1", // accesslocation
"hostname", // systemName
"") // certificate (empty on first login)

- La respuesta a nuestro intento de autenticacin ser:!

!
struct LoginResult {
1: string authToken;
2: string certificate;
3: string verifier;
4: string pinCode;
5: LoginResultType type;
}

!
- Despus de una autenticacin correcta, el campo de authToken contendr el valor
necesario para las siguientes peticiones, y se utilizar dentro de la cabecera X-LineAccess.!

- Dentro de la sincronizacin inicial del cliente, se llamarn a funciones como:!

getLastOpRevision()
getBlockedContactIds()
getProfile()
getRecommendationIds()
getBlockedRecommendationIds()
getAllContactIds()
getContacts(contactIds)
getGroupIdsJoined()
getGroups(groupIds)

- La comunicacin se realiza por HTTPS:

UPLOAD'DE'EJECUTABLE

DESCARGA'DEL'EJECUTABLE

UPLOAD'DE'FICHERO'COMPRIMIDO

DOWNLOAD'DE'FICHERO'COMPRIMIDO

Se puede actualizar el contenido

CONECTACON 2014

Telegram Pie

MALICIOUS THREATS,
(IN)SEGURIDAD
VULNERABILITIES
Y ATAQUES
ANDDE
DEFENSES
I.M. EN ENTORNOS
IN WHATSAPP
CORPORATIVOS
AND MOBILE I.M. PLATFORMS

CONECTACON
SHMOOCON 2014
2014

MALICIOUS THREATS,
(IN)SEGURIDAD
VULNERABILITIES
Y ATAQUES
ANDDE
DEFENSES
I.M. EN ENTORNOS
IN WHATSAPP
CORPORATIVOS
AND MOBILE I.M. PLATFORMS

- Telegram es un servicio de mensajera por

Internet, desarrollada por los hermanos Nikolai
y Pavel Durov, creadores de la red social VK.!
!
- Aunque su financiamiento es independiente
de VK, desde el 2013 el proyecto sin nimo de
lucro tiene como sede en Berln y es operado
de manera gratuita tanto su protocolo API
como sus clientes.
- Telegram es una aplicacin de software libre, que puede ser modificada
por la comunidad, por lo que existen clientes oficiales para los sistemas
operativos mviles Android, iOS y Windows Phone8.!
!
- Tambin existen versiones para ordenadores, as cmo versiones para
ejecutar en el navegador.
CONECTACON
SHMOOCON 2014
2014

MALICIOUS THREATS,
(IN)SEGURIDAD
VULNERABILITIES
Y ATAQUES
ANDDE
DEFENSES
I.M. EN ENTORNOS
IN WHATSAPP
CORPORATIVOS
AND MOBILE I.M. PLATFORMS

Telegram utiliza HTTP cifrando el payload

CONECTACON
SHMOOCON 2014
2014

Con esta version se pueden enviar:

!
Fotos
Videos
Ficheros como mensajes de texto
DOCUMENTO.. o Virus!

MALICIOUS THREATS,
(IN)SEGURIDAD
VULNERABILITIES
Y ATAQUES
ANDDE
DEFENSES
I.M. EN ENTORNOS
IN WHATSAPP
CORPORATIVOS
AND MOBILE I.M. PLATFORMS

CONECTACON
SHMOOCON 2014
2014

Lord Of The
WhatsApp

MALICIOUS THREATS,
(IN)SEGURIDAD
VULNERABILITIES
Y ATAQUES
ANDDE
DEFENSES
I.M. EN ENTORNOS
IN WHATSAPP
CORPORATIVOS
AND MOBILE I.M. PLATFORMS

CONECTACON
SHMOOCON 2014
2014

Y'NUESTRO'QUERIDO'WHATSAPP'
- En este caso podemos utilizar el almacenamiento de
imgenes utiliza HTTPS (bin2jpg)

SERVIDOR MULTIMEDIA

- Exfiltrar ficheros como mensajes

TEXT MSG RC4

MALICIOUS THREATS,
(IN)SEGURIDAD
VULNERABILITIES
Y ATAQUES
ANDDE
DEFENSES
I.M. EN ENTORNOS
IN WHATSAPP
CORPORATIVOS
AND MOBILE I.M. PLATFORMS

ANONIMATO
CONECTACON
SHMOOCON 2014
2014

- Es posible que no queramos que identifiquen la cuenta a la que se exfiltrar la

informacin confidencial de la empresa.!

- Podemos utilizar diferentes saltos por la red, nmeros virtuales, proxys annimos
etc.

VIRTUAL NUMBERS

- Esto es posible de realizar con cualquier otra aplicacin o protocolo, con unos
sencillos scripts, por ejemplo, en Python.!

- Para el caso de WhatsApp, no es necesario, ya que con un poco de ingenio y

gracias a Yowsup, tendremos la mayor parte del trabajo hecho.

MALICIOUS THREATS,
(IN)SEGURIDAD
VULNERABILITIES
Y ATAQUES
ANDDE
DEFENSES
I.M. EN ENTORNOS
IN WHATSAPP
CORPORATIVOS
AND MOBILE I.M. PLATFORMS

Snapchat(

Line(
(

Telegram(
(

WhatsApp(
(

Subir&Exe/Virus& Si,&con&oset&

Si&

Si&

No?&

Subir&Zip&

Si,&con&oset&

Si&

Si&

No?&

Ficheros&como&
texto&

No&

No&

Si&

Si&

Version&PC&

No&

Si/No&probada&

Si&

Si,&no&ocial&

Pe@ciones&web&
&

Si&&

Si&&

Si&

Slo&cheros&

Protocol&

HTTPS&

HTTPS&

HTTP&&

HTTPS/RC4&

Canales&de&
comunicacin&

Uploads&
actualizables&
CON&cambio&de&
ID&
&

Uploads&
actualizables&
SIN&cambio&de&
ID&
&

Si&(texto&/envio& Si&(Texto)&
de&cheros)&