A la gente le gusta por lo general la comodidad. Cuanto menos trabajo y
menos preocupaciones mejor. Las empresas, por su parte, suelen dar a
clientes y usuarios aquello que les gusta. ¿Que hay que recordar una
contraseña y ponerla cada vez que quieras arrancar tu programa de
telefonía por Internet?... pues no te preocupes, que él lo hará por ti.
¿Que no quieres ni molestarte en iniciar sesión cada vez que accedes a
tu webmail?... pues, nada, hacemos que la sesión persista incluso cuando
tú cierres el navegador.
Contraseñas, cookies y otras credenciales acaban con frecuencia ocultas a
nuestra vista, almacenadas por las aplicaciones a saber cómo. Y en
algunas ocasiones, a base de no tener que escribirlas, llegamos a
olvidarlas. Pero no hay que preocuparse demasiado: ya se sabe que hay
herramientas que extraen las contraseñas que tenemos guardadas en
nuestros sistemas. No hay más que buscar en
Internet y...aparecerán.
Lo malo es que el malware también existe. Y hay programas que no se contentan con extraer las credenciales, tal y como
lo puede hacer uno manualmente en cualquier servidor, sino que una vez que las tienen,se las envían a sus “
amos”. ¡Y sin avisarnos siquiera!
Es por eso que dejar en manos de los usuarios las credenciales de cuentas que pueden conectarse dentro de tu sistema y
no tener un sistema de Ciberseguridad que vigile tu CPD más allá de tus dominios es una mala idea.
HC Stealer: Un ladrón de credenciales
Por poner un ejemplo, ahí tenemos a
HC Stealer. El propio nombre da una pista sobre lo que es: un
stealer, un ladrón. Un ladrón de credenciales que mira en el registro de sistemas
Microsoft Windows y los ficheros de configuración de las aplicaciones más comunes y envía a su “
amo” todo lo que encuentra.
Quizá ya haya quien que se esté frotando las manos, pensando en las
cosas malas que se puede hacer con una herramienta como ésta. Quizá,
pero no voy a ser yo quien le enseñe. Manuales y vídeo tutoriales,
algunos bastante largos, los puede
encontrar uno en
Internet por montones, pero la mayoría son para acabar en esquemas tradicionales de
Fraude Online.
Eso sí, que cada cual se ande con cuidado cuando visite ciertas páginas
o instale cosas descargadas de aquellas fuentes o maneras. Y que todo
el mundo tenga claro que no se debe hacer nunca cosas ilegales.
Su funcionamiento, para entender este artículo, lo resumiré de este
modo: El delincuente dispone de un servidor web en el que aloja un
script, normalmente escrito en
PHP,
que recibirá y gestionará la información de sus víctimas. Es habitual
ver como se recomienda utilizar servidores gratuitos para esto.
Gratuitos por las buenas, que los hay, o por las malas que son owneados,
que de eso también se encargan ellos.
A riesgo de alejarme de mi tema, vaya aquí un detalle “
técnico”: si uno echa un vistazo al
script PHP que suele controlar todo esto en
HC Stealer, notará que el
malware le manda los datos mediante parámetros
GET. O sea, que si no se usa
HTTPS, lo que es frecuente en los servidores gratuitos, todo irá en abierto y podrá ser visto por cualquiera. Alguno de estos
scripts, por supuesto, acabará indexado
Google.
Como el de la siguiente imagen, que ni estaba del todo bien terminado
ni, a la vista de lo que sale, tampoco convenientemente ofuscado:
 |
| Figura 1: Panel de control de HC Stealer indexado en caché de Google |
Lo que le saldría a un usuario autenticado es un listado de usuarios, sitios y credenciales. Si a alguien le interesa verlo “
en bonito”, que busque en
Google Images la cadena
hc stealer y tendrá para hartarse.
Teniendo ya donde ir mandando las cosas, el malandrín utilizará el módulo de creación de ejecutables de
HC Stealer
para generar un programa que le haga el trabajo de robar las
credenciales almacenadas en los equipos que infecte. Ahí podrá
configurar un montón de cosas. Entre ellas, por supuesto, la
URL
a la que mandar la información. Después utilizará su magia negra
(básicamente, engaños) para que este programa se ejecute en los
ordenadores de la gente.
Y se sentará a la espera de que vayan apareciendo contraseñas.
Listados de contraseñas en paneles de control de HC Stealer
Como todo buen programa de gestión, la consola de
HC Stealer tiene una opción para exportar los datos. El código fuente deja claro el formato:
while ($row = mysql_fetch_array($result)) {
echo "Program: ".$aplications[$row['program']]."
";
echo "Url/Host: ".$row['url']."
";
echo "Login: ".$row['login']."
";
echo "Password: ".$row['pass']."
";
echo "Computer: ".$row['computer']."
";
echo "Date: ".$row['date']."
";
echo "Ip: ".$row['ip']."
";
echo "----------------------------------------------------------
";
}
Muy bonito. Pero sabiendo, como sabemos, que ninguno de nosotros le va a
calzar malware a nadie (¿verdad?)... ¿para qué nos sirve todo esto que
llevamos visto?
¿Para qué? Bueno, todo depende. Puede que alguna vez nos encontremos con
un listado de éstos. Y nos convendrá saber de qué se trata. Pero es
que, además, una vez que conocemos un formato de datos podemos crear
dorks para localizarlos en
Internet. Sí, precisamente eso que por estos lares se denomina “
Hacking con Buscadores” a estas técnicas. De modo que si sabemos que hay por ahí cosas como:
Program: Internet Explorer
Url/Host: http://www.example.com
Login: admin
Password: 12345678
Computer: Mi_PC
Date: 01-01-2013 08:24:22
IP: 192.168.0.1
… Puestos a ser curiosos… ¿por qué no ir buscándolas? Un
dork que se podría utilizar para
encontrar en Google los ficheros con este formato sería:
"program * url/host" ¿Encontraremos algo con esta búsqueda? Pues parece que sí:
 |
| Figura 2: Datos robados con HC Stealer indexados por Google |
Un buen número de páginas, aunque
Google nos va a dar después muchas menos. En este ejemplo, y en varios más de los que seguirán, es posible que
Google muestre inicialmente sólo unos cuantos resultados y que, al final nos salga eso de:
Para mostrarte los resultados más relevantes, hemos omitido algunas entradas muy similares a las 6 que ya se muestran.
Si lo deseas, puedes repetir la búsqueda e incluir los resultados omitidos. Ya sabes. Si lo deseas…
El caso es que hay muchos resultados. Más de las que uno podría esperar
de algo que se hace normalmente para ganar dinero y que, de conocerse,
se devaluaría rápidamente. Porque una vez que se publica una contraseña
cualquiera puede utilizarla y cambiarla. Pero cada uno tiene sus
motivos.
Algunas veces las dejan en
PasteBin gente que hace todo
esto por hobby - mal hobby se buscaron, que los puede llevar a vestir
con rallas horizontales - y quieren demostrar lo grandes que son. Otras
son sólo muestras que un vendedor deja en sus anuncios para atraer a los
clientes. Otras, exportaciones que alguien hizo y guardó donde no
debía. Otras tienen detrás grupos activistas. Otras...
 |
| Figura 3: Anuncio de ventas de log de HC Stealer/iStealer |
Pero sigamos jugando con el
hacking con buscadores. Añadamos ahora condiciones al
dork anterior. Por ejemplo, para buscar credenciales de acceso a equipos pertenecientes a
intranets se puede probar cosas como las siguientes:
"program * url/host" 192.168
"program * url/host" 172.16
… etc. Y nos aparecerán datos del tipo:
 |
| Figura 4: Datos robados de una Intranet |
O direcciones
IP típicas de routers, como
192.168.0.1 y que, si el aparatito es gestionable desde “
fuera”, eso que llaman
WAN, puede dar mucho juego.
"program * url/host" 192.168.0.1
Tanto en uno como en otro caso, se debe tener en cuenta que uno de los datos que aparecen en el listado es la dirección
IP pública de la víctima. Y eso también puede dar para un rato de “
diversión”.
Si estamos interesados en accesos por
FTP, buenos sitios de los que coger cosas y también donde ponerlas, podemos preguntar por algún conocido cliente de
FTP, como por ejemplo:
"program filezilla url/host"
 |
| Figura 5: Contraseñas almacenadas en el cliente Filezilla robadas con HC Stealer |
… o, directamente, “
atacando” al protocolo
"program * url/host" ftp
 |
| Figura 6: Datos indexados en Google con cuentas de acceso a servidores FTP |
Y puesto que muchos
webmasters suben y modifican sus webs a través de
FTP,
si se consiguen estas credenciales se pueden hacer muuuuuchas cosas.
Hasta aquí la primera parte, que ya se ha hecho muy largo. En la segunda
podéis seguir leyendo parte de la historia, para ver si tomamos un poco
de conciencia de la necesidad de aplicar, como dice
Sergio de los Santos en su libro,
Máxima Seguridad en Windows.
Autor: Enrique Rando
