PDF de programación - PENTEST: RECOLECCIÓN DE INFORMACIÓN (INFORMATION GATHERING)

PENTEST: RECOLECCIÓN DE INFORMACIÓN
(INFORMATION GATHERING)



INTECO CERT





Autores: Borja Merino Febrero
José Miguel Holguín



El Instituto Nacional de Tecnologías de la Comunicación (INTECO) reconoce y agradece al CSIRT-cv de la Generalitat Valenciana
por la colaboración conjunta llevada a cabo en la realización del informe.



El presente documento cumple con las condiciones de accesibilidad del formato PDF (Portable Document Format).

Se trata de un documento estructurado y etiquetado, provisto de alternativas a todo elemento no textual, marcado de
idioma y orden de lectura adecuado.

Para ampliar información sobre la construcción de documentos PDF accesibles puede consultar la guía disponible en la
sección Accesibilidad > Formación > Manuales y Guías de la página http://www.inteco.es.





ÍNDICE



1.

2.

3.

INTRODUCCIÓN

ÁMBITO Y RESPONSABILIDADES

IMPORTANCIA DEL FINGERPRINTING

3.1.

3.2.

3.3.

3.4.

Exploits / Antivirus

Caso 1: Spear Phishing Attack

Caso 2: Social Engineering Toolkit

Caso 3: Web Server Exploitation

4.

EXTERNAL FOOTPRINTING

4.1.

Active Footprinting

4.1.1.

Dns Discovery

4.1.1.1. DIG

4.1.1.2. DNS Cache Snooping

4.1.1.3. DNS Bruting: Metasploit

4.1.1.4. Nmap List Scan (-sL)

4.1.2.

4.1.3.

4.1.4.

Banner Grabbing

Maltego

Fingerprinting Web

4.1.4.1.

Identificación del servidor web

4.1.4.2.

Identificación del CMS

5

8

9

9

15

20

22

27

27

27

28

31

34

36

36

38

48

49

50

4.1.4.3.

Identificación de vulnerabilidades y plugins de los CMS 52

4.1.4.4. Nikto (Scan Tunning / Plugins)

4.1.5.

SMTP

4.1.5.1. Bounce Back

4.1.5.2. SMTP User Enumeration

4.1.6.

Tecnología VoIP

4.2.

Pasive Footprinting

Protocolo Whois

Google Hacking

Servicios Pastebin, Pastie y Github

SNMP Discovery con Shodan

4.2.1.

4.2.2.

4.2.3.

4.2.4.



Pentest: Recolección de información (Information Gathering)

54

57

57

58

60

63

63

67

76

78

3





4.2.5.

Reconocimiento Activo

4.2.5.1. Manual Browsing: Burp Suite

4.3.

Scanning en entornos Stateful

4.3.1.

Ocultando la identidad

4.3.1.1. Escaneando equipos por medio de TOR

4.3.1.2.

Idle-Scanning con Nmap

4.3.2.

4.3.3.

4.3.4.

UDP Scanning/ Versión Detection

Detección de Web Application Firewall

Identificando reglas en el Firewall

5.

INTERNAL FOOTPRINTING

5.1.

Meterpreter

5.1.1.

5.1.2.

5.1.3.

5.1.4.

5.2.

SNMP

Pivoting con Meterpreter + Nmap

Portfwd

Scripts

Armitage

79

79

81

86

86

89

96

97

98

104

105

109

112

114

117

119

5.2.1.

Onesixtyone / snmp_brute.nse / snmpenum.pl /snmpwalk 120

5.3.

Netbios/SMB Attacks

5.3.1.

5.3.2.

Nbstat.nse

Smb-enum-users.nse

5.4.

Fingerprinting Pasivo

5.4.1.

5.4.2.

5.4.3.

5.4.4.

Satori

Yersinia

SinFP

NetworkMiner

6.

CONCLUSIONES



125

126

127

129

129

132

132

135

137

Pentest: Recolección de información (Information Gathering)

4





1.

INTRODUCCIÓN

Uno de los pilares fundamentales para cualquier organización es la información. Mantener la

información a salvo garantizando su confidencialidad, integridad y disponibilidad son los

principios básicos sobre los que se sustenta cualquier política de seguridad. Garantizar

dichos principios requiere de una arquitectura de seguridad que tenga por objetivo proteger

los activos de información mediante un conjunto de estándares, procedimientos y controles.

En este sentido, uno de los aspectos más delicados al que se enfrentan las organizaciones

es valorar y clasificar la información que gobiernan. Este proceso es necesario a la hora de

construir la arquitectura de seguridad con la que se respetarán los principios básicos de la

seguridad de la información.

Clasificar la información requiere dar un peso cualitativo a los datos para posteriormente

asignarle un nivel de confidencialidad (pública, privada, restringida, etc.). Esta clasificación

permitirá ahorrar costes a la hora de implementar contramedidas proporcionales al riesgo

que mitigan y que protejan dicha información, en la creación de políticas relacionadas con el

acceso a los datos, en la identificación de información crítica para la empresa, etc. Sin

embargo, lejos de parecer sencillo y más aún en un entorno en el que se cuenta con

multitud de dispositivos y servicios (equipos, servidores, routers, servicios web, DNS, etc.)

resulta complejo valorar el nivel de criticidad de la información y determinar cuál de esta

información es significativa y cuál no lo es.

El éxito de muchos de los ataques e intrusiones que sufren empresas y organizaciones se

debe en gran parte a la cantidad de información que directa e indirectamente un atacante es

capaz de obtener sobre sus sistemas. Esta fase, en la que un atacante intenta recopilar la

mayor cantidad de información posible de su objetivo, incluso aquella información que

conscientemente la organización sabe que es pública pero cuyas implicaciones desconoce,

se denomina reconnaissance y es, sin duda alguna, una de las más importantes en el

proceso de intrusión. Durante esta fase, el atacante, haciendo uso de diversas técnicas y

herramientas obtiene nombres de dominio, rangos de red, servicios de máquinas, sistemas

operativos, metainformación de documentos públicos, etc. con la que más adelante podrá

llevar a cabo un ataque más específico.

Una vez más, el dicho «la Información es poder» se ratifica, y esto es algo que conocen

muy bien los cibercriminales, siendo conscientes que a mayor cantidad de información

mayor probabilidad de éxito tendrá un ataque posterior. Se propone, como ejemplo, el

siguiente caso.



Pentest: Recolección de información (Information Gathering)

5





Un atacante tiene intención de comprometer los servidores de la compañía IIIVOIP, empresa

dedicada a la venta de teléfonos IP. Para ello, comienza investigando información sobre su

dominio, servidores DNS, máquinas activas, páginas web, etc. anotando las relaciones que

comparte con otras empresas y diseñando un mapa de red con los rangos IP que

comprende la compañía. Para ello emplea herramientas como jwhois, la suit Bile, nmap, dig,

etc. Más adelante, utiliza Maltego y theharvester para intentar localizar información sobre

empleados que trabajan en la organización. En un instante encuentra múltiples cuentas de

correo de algunos de sus empleados así como foros de debate en los que participan

activamente y donde se discuten las ventajas y desventajas que tienen sus productos frente

a los de la competencia. Posteriormente, utiliza la Foca para obtener metainformación de

documentos ofimáticos que se encuentran colgados en el dominio IIIVOIP.com. Tras unos

minutos es capaz de conseguir listados de usuarios, direcciones IP internas de la compañía,

sistemas operativos, rutas a recursos internos, etc.

Con toda esta información, el ciberdelincuente planifica su ataque. Por un lado, utiliza SET

(Social Engineer Toolkit) para configurar un clone-site attack mediante un Applet firmado en

Java. Posteriormente, redacta un correo electrónico destinado a uno de los empleados en el

que anima al mismo a que haga clic en una URL adjunta donde podrá consultar los detalles

de un nuevo teléfono VOIP. Además, para mayor credibilidad, falsifica el remitente del

correo usurpando el dominio de una de las empresas con las que frecuentemente colabora.



El empleado, tras leer el correo abre la URL y acepta el certificado firmado. Acto seguido, el

atacante obtiene una shell con la que más adelante podrá seguir escalando su ataque a

otros equipos internos de la compañía. Éste es solo un ejemplo de cómo un ciberdelicuente,

haciendo uso de información prácticamente pública, puede comprometer una compañía.



Además de disponer de contramedidas técnicas para contener ataques de este tipo (ej.

Firewalls, IDS/IPS, VLAN, etc), es necesario establecer políticas preventivas que dicten el

correcto uso y gestión de la información de la empresa, políticas para el borrado de

metainformación de ficheros públicos, establecer limitaciones en el uso de cuentas

corporativas, políticas de actualizaciones de software, etc. Por último, es fundamental

educar y concienciar a los empleados sobre los métodos de ingeniería social empleados hoy

en día por cibercriminales al ser uno de los recursos más utilizados para comprometer

equipos. Por ello, con objeto de concienciar a administradores y técnicos de seguridad sobre

los métodos que utilizan los ciberdelicuentes para recopilar información sobre entidades y

organizaciones, y ayudar en la protección de la información y los sistemas, INTECO-CERT

y el CSIRT-cv de la Generalitat Valenciana han colaborado para generar este informe

denominado Information Gathering.



Pentest: Recolección de información (Information Gathering)

6





El presente documento se encuentra dividido en dos partes. Por un lado, se detallarán

herramientas actualmente utilizadas para recopilar información de forma externa a la

organización. Esta fase, denominada External Fooprinting, contiene ejemplos prácticos de

herramientas como Dig, DnsEnum, DnsRecon, Maltego, Pastenum, etc. En segundo lugar,

durante la fase de Internal Footprinting se