Fue noticia en Seguridad Apple: del 30 de julio al 1 de septiembre

Entramos en el mes de septiembre y en Seguridad Apple seguimos trabajando para traeros algunas de las mejores noticias en el ámbito de la seguridad informática relacionadas con el mundo de la manzana. Este es nuestro nuevo Fue Noticia, sección en la que os traemos un breve resumen de las noticias más relevantes de las últimas dos semanas. Todo ello aderezado con el mejor contenido de otros sitios de referencia.

Comenzamos el lunes 30 presentándoos Sileo, una nueva alternativa para el jailbreak que te permitirá conservar todos los tweaks que obtuvieses con Cydia en versiones de jailbreak anteriores.

El martes 31 os hablamos de iBombShell y de cómo usar esta herramienta para crear funciones para macOS.

El miércoles 1 os invitamos a seguir la última temporada de las ElevenPaths Talks y os recordamos que si os perdisteis algún capítulo de las temporadas anteriores podréis encontrarlo en nuestro canal de YouTube.

El jueves 2 os presentamos AnyTrans For Cloud, una herramienta con la que administrar todos tus servicios en la nube simultáneamente de una manera más sencilla.

El sábado 4 indagamos un poco más en la historia de Apple, esta vez para hablaros del primer fracaso de la empresa californiana, el Apple III.

El lunes 6 os alertamos de un nuevo scam. En este caso la estafa se centra en torno al call center de Apple Care y tiene como objetivo a los consumidores de contenido pornográfico.

El miércoles 8 os presentamos JelbrekTime, un nuevo jailbreak, en este caso para watchOS 4.1, sin duda un gran paso para acercar Cydia a nuestras muñecas.

El jueves 9 os hablamos del modo protección de USB recientemente implementado por Apple y con el que se pretende erradicar el uso de herramientas como GrayKey diseñadas para crackear dispositivos iOS.

El sábado 11 echamos la vista atrás para indagar en la historia de cupertino y os contamos como levantar el ordenador y dejarlo caer era una solución que recomendaba el servicio técnico de Apple.

El lunes 13 os invitamos a seguir de cerca la segunda temporada de Code Talks for Devs, en la que se abordan temas tan interesantes como el uso de los webhooks implementados por Latch.

El martes 14 damos comienzo a una serie de artículos en las que os damos una serie de consejos para no comprometer la seguridad de vuestro Mac este verano.

El miércoles 15 finalizamos la serie: Como evitar que te roben la password en el chiringuito este verano, una interesante lista de consejos que te ayudaran a mantener tu Mac más seguro.

El jueves 16 os contamos como podéis convertir vuestras llamadas telefónicas en combates Pokemon con un interesante tweak de Pokemon Go.

El viernes 17 damos comienzo a una serie en la que os presentaremos algunos de los tweaks más interesantes para este verano.

El sábado 18 iniciamos una interesante serie de dos artículos en la que os contaremos algunas curiosidades y anécdotas interesantes acerca de la historia de Apple.

El domingo concluimos con la segunda y ultima parte de la serie: Top 10 tweaks que no puedes perderte para este verano, la serie en la que os presentamos algunos de los mejores tweaks gratuitos de este 2018.

El lunes comenzamos la elaboración de una guía de seguridad con la que ayudaros a proteger vuestros equipos durante las vacaciones y que os ayudará a comprender la terminología en ciberamenazas.


El martes 21 os presentamos el chip T2 de Apple, un chip que incorpora nuevas características de seguridad que podría significar el fin de los Hackintosh.

El miércoles 22 continuamos con la guía de seguridad para tu Secure Summer, la guía con la que os ayudamos a comprender mejor la terminología de las ciberamenazas.

El jueves 23 os avisamos de que ya está disponible el paper de iBombShell para macOS, el cual se puede encontrar en inglés y castellano.

El viernes 24 concluimos la serie Guía de seguridad para tu Secure Summer, en esta última parte abordamos los últimos términos de nuestro diccionario de amenazas y os damos algunos consejos para protegeros de ellas.

El sábado 25 finalizamos la serie Anécdotas y curiosidades de la historia de Apple, una recopilación de interesantes historias acerca de la compañía de cupertino.

El domingo, tras haber concluido con una serie en la que os enseñábamos terminología de ciberseguridad, damos comienzo a una nueva guía de seguridad para macOS.

El lunes comenzamos la semana hablándoos de la ultima entrevista realizada a Patrick Wardle, uno de los mayores expertos en seguridad de Apple.


El martes 28 continuamos con nuestra guía de seguridad para macOS, en esta entrega os hablamos del cifrado y la protección de la información.

El jueves 30 os presentamos SmallSiri, un interesante tweak que reduce el tamaño del interfaz de Siri ofreciendo a los usuarios un asistente con un aspecto más minimalista.

El viernes 31 finalizamos el mes de agosto y con él nuestra guía de seguridad para macOS. En esta última entrega os hablamos de la seguridad de red.

Finalmente, ayer sábado hablamos de System 1.0 y el primer huevo de pascua de Apple. Un interesante artículo que vino de la mano de nuestro compañero especializado en la historia de la informática.

Dentro de dos semanas volveremos con un nuevo resumen sobre la actualidad del mundo Apple. Seguro que Septiembre trae grandes novedades, no hay que olvidar que en dos semanas tenemos keynote.

Whitepaper de iBombShell disponible #macOS

Se ha liberado un paper en el que se habla de la idea, el aporte, la arquitectura, la modularización y los casos de uso de iBombShell. El paper se puede leer a continuación y está disponible en castellano y en inglés para su lectura. iBombShell proporciona acceso a un repositorio de pentesting con el que el pentester puede utilizar cualquier función orientada a la post-explotación y, en algunos casos, explotación de vulnerabilidades y aprovechamiento de debilidades. iBombShell es una shell de pentesting remota que se carga dinámicamente en memoria poniendo miles de posibilidades al alcance del pentester. En este artículo se puede comprender los modos de funcionamiento y qué es iBombShell.

Es una herramienta escrita en PowerShell que permite a un usuario disponer de un prompt o una shell con funcionalidades de post-explotación, en cualquier instante y sistema operativo. Además, también permite ejecutar funcionalidades de explotación de vulnerabilidades en algunos casos. Estas funcionalidades son cargadas dinámicamente, en función de cuando se necesiten, a través de un repositorio de Github.

iBombShell: Dynamic Remote Shell from ElevenPaths

La shell es descargada directamente a memoria proporcionando acceso a un gran número de características y funcionalidades de pentesting, las cuales serían descargadas directamente a memoria sobre el sistema, sin ser almacenado en disco. Las funcionalidades descargadas directamente a memoria lo hacen en un formato de función de PowerShell. Esta vía de ejecución es conocida como EveryWhere. Además, iBombShell proporciona una segunda forma de ejecución llamada Silently. Con esta manera de ejecución se puede lanzar una instancia de iBombShell, llamada warrior. Cuando el warrior es ejecutado sobre una máquina comprometida, éste se conectará a un C2 a través de protocolo HTTP. Desde el C2, el cual está escrito en Python, se puede controlar el warrior para poder cargar funciones a memoria dinámicamente y ofrecer la ejecución remota de funcionalidades de pentesting. Esto es ejecutado dentro del contexto de la fase de post-explotación. ¡A jugar!

ibombshell: Creando una función para macOS

El otro día hablamos en el blog de ibombshell, una herramienta escrita en Powershell que proporciona al pentester un prompt dinámico sin necesidad de instalar en memoria las herramientas que vaya a utilizar. En ese post ya mencionamos que gracias a la llegada de Powershell a macOS y Linux, la herramienta puede ser ejecutada en todas estas plataformas además de su entorno predilecto, Windows. Hoy vamos a indagar un poco más en como añadir nuevas funcionalidades que pudiéramos necesitar en ibombshell, en este caso enfocado a macOS. Powershell Core apareció en este sistema operativo en su versión 6.0 junto con ciertas funcionalidades destinadas a poder adaptar scripts a estas nuevas plataformas.

Las variables $IsWindows, $IsLinux, $IsOSX y $IsCore fueron incluidas para poder aplicar diferentes funcionalidades en scripts dependiendo del sistema operativo, junto con nuevos cmdlets adaptados a los sistemas operativos recién integrados. Uno de ellos es ‘system_profiler’, que al ejecutarlo en macOS obtenemos toda la información relativa al sistema. Este comando es muy extenso y pesado, por ello acepta argumentos para filtrar información relativa a una parte del sistema. Conociendo esto, vamos a incluir una nueva funcionalidad en ibombshell para sacar la información más general de un mac, la información del hardware y la de red.

Creando una función de ibombshell everywhere

Añadir una nueva funcionalidad en ibobmshell es un proceso relativamente sencillo, pero involucra una serie de pasos en los que es necesario tener una cuenta de GitHub y modificar determinadas URL en el proyecto. Los pasos son los siguientes: 

1.  Crear un fork del repositorio oficial de ibombshell. 
2. Cambiar la URL donde apunta la consola, y el módulo de python a nuestro nuevo fork. (Adicionalmente la función de bypassuac también apunta al repositorio principal, tendría que cambiar la url si es necesario su uso). 
3. Crear una nueva función. En este caso creamos una carpeta nueva llamada macOS (data/functions/macos) con el fin de separar lógicamente funcionalidades orientadas a este sistema operativo con el resto y dentro de ella añadimos un nuevo fichero sin extensión (data/functions/macos/sys-info) 
4. Añadir la función al fichero ‘functions.txt’ indicando el path. (macos/sys-info) 
5. Realizar un commit con los cambios y subirlo a nuestro fork.

Figura 1: Función de Powershell para macOS

Una vez completado, solo queda probar la herramienta desde nuestro equipo con macOS. Hay que recordar que nuestra consola se encuentra en una url distinta a la oficial, por lo que debemos apuntar a nuestro repositorio.

> pwsh 
> iex (new-object net.webclient).downloadstring(‘https://raw.githubusercontent.com/lucferbux/ibombshell/master/console’)

Figura 2: Función ejecutada

Creando el módulo para el modo Silently

ibombshell tiene una funcionalidad muy interesante para ejecutar remotamente código desde un módulo escrito en python. El funcionamiento de este modo está descrito en el repositorio oficial, donde se explica como funciona la conexión entre el host principal y todas las máquinas controladas remotamente, llamadas warriors.

Para añadir una nueva funcionalidad solo es necesario crear un nuevo archivo python, añadir las opciones de ejecución para indicar el warrior a seleccionar, indicar el tipo de información a obtener y la función que queramos ejecutar.

Figura 3: Módulo en el modo Silently ejecutado

Una vez creado lo ejecutamos para comprobar que funcione correctamente, para ello creamos un nuevo warrior en una consola de powershell mientras ejecutamos el nuevo módulo creado en la herramienta de ibombshell en python.

ibombshell: Tu shell de pentesting en macOS con Powershell

Hace ya un tiempo hablamos de la llegada de Powershell al mundo Mac y al mundo Linux. Una llegada más que interesante por la potencia y flexibilidad que proporciona esta línea de comandos en el mundo Windows. Lo que no teníamos tan claro es si, realmente, se le podría sacar el mismo partido que en la plataforma de Microsoft. Lo cierto es que de primeras, en Windows viene instalada por defecto, mientras que en Linux o Mac tienes que instalarla tú. Esto ya es un handicap, pero aún así puede ser más que interesante el instalarla. 

Recientemente hemos liberado una herramienta escrita, al menos gran parte, en Powershell, llamada ibombshell, cuyo objetivo es proporcionar al pentester un prompt dinámico con el que trabajar en un pentest en el que no tiene herramientas a mano o no tiene la posibilidad de utilizarlas. Con Powershell el pentester se descarga remotamente el prompt directamente a memoria y puede ejecutar funciones de pentesting. Todo en memoria.

Como se puede ver en el video, el pentester puede descargar desde el Github de ElevenPaths el prompt copiando y pegnado una línea en la PowerShell que ejecuta en su macOS. Una vez hecho esto, tiene disponible en memoria una función llamada console que al ejecutarse devuelve un prompt con funcionalidades de pentesting. La herramienta se encuentra en su versión 0.0.1b, es decir, en beta, por lo que poco a poco se va trabajando sobre ella y ofreciendo nuevas posibilidades y funcionalidades.  Cuando se selecciona una función nueva, ésta es descargada por la función console y se dispone en memoria para su ejecución. Como ejemplo en el video, se puede visualizar que se obtiene la función Invoke-PortScan del repositorio de Powersploit en Github. Esto es algo que es interesante y es la posibilidad de utilizar cualquier script que se quiera cargar.

Powershell llega a OSX 10.11

La declaración de Microsoft de liberar Powershell para que esté disponible en sistemas Linux y OS X ha sorprendido a muchos, pero el momento ha llegado. Desde el github de Powershell se puede acceder al binario que permite la instalación de Powershell en el sistema operativo de OS X. Eso sí, la versión compatible que se indica es la versión 10.11 de OS X. Además, se puede consultar los requisitos que tiene Powershell en el propio sitio web de Github de la aplicación. Hay que tener en cuenta el uso de OpenSSL, pero si lo tienes instalado no deberías tener problema.

Para llevar a cabo la instalación de Powershell en OS X, simplemente hay que descargar el fichero package que contiene los archivos necesarios. Una vez descargado el paquete de Powershell para OS X se puede abrir una terminal y ejecutar la instrucción sudo installer -pkg powershell-[versión].pkg -taget /. Con esta instrucción se llevará a cabo la instalación. Si todo ha ido bien, podemos ejecutar Powershell, desde el propio terminal.

Figura 1: Instalación de Powershell para OS X

Para ejecutar Powershell, simplemente, debemos ejecutar el comando que lleva su nombre desde una terminal de OS X. En ese instante se cargará el entorno de Powershell, así como sus módulos por defecto, que vienen definidos en el profile. Para realizar una prueba rápida de creación de funciones dentro del entorno de Powershell en OS X, ejecutamos el siguiente código:

function helloWorld{
      echo "hola OSX!"
} 

Este código habrá creado una función en el ámbito de ejecución del entorno de Powershell. Por lo que si queremos invocarla, simplemente debemos ejecutar la palabra helloWorld y veremos como la función nos muestra por pantalla el mensaje "hola OSX!".

Figura 2: Creación y ejecución de funciones en Powershell en OS X

Por último, vamos a ver los proveedores o providers que en Powershell clásico existen. Por ejemplo, el provider de funciones. Para acceder a él, simplemente hay que indicar "dir function:" o "cd function:" y se listará o accederá a dicho proveedor. 

Figura 3: Listado de funciones

En el proveedor podemos ver la función que hemos añadido a modo de prueba. Funcionalmente, al menos en lo básico, Powershell para OS X es muy similar a la Powershell para Microsoft. El objetivo está claro, comenzar a construir módulos que den la flexibilidad y potencia que Powershell tiene sobre los productos Microsoft, pero esta vez sobre productos, sistemas y aplicaciones de Linux y OS X.