Por Alejandro Martínez Colombo
- Director de GuardiaN y Alumno de la 7ª edición del Máster en Ciberseguridad del Campus Internacional de Ciberseguridad
Por Alejandro Martínez Colombo
- Director de GuardiaN y Alumno de la 7ª edición del Máster en Ciberseguridad del Campus Internacional de Ciberseguridad
En esta oportunidad vamos a hablar de un medio de propagación de gusanos que sigue siendo muy popular al día de hoy.
Este medio lo utilizamos diariamente para trabajar, estudiar, comprar, etc y es ni más ni menos que el correo electrónico.
La empresa Statista ( https://www.statista.com/), la cual ofrece servicios de recopilación, análisis y distribución de datos estadísticos sobre más de 80.000 temas, extraídos de más de 22.500 fuentes procedentes de estudios de mercado y de opinión, publicó un reporte titulado “Number of e-mail users worldwide 2017-2024” ( https://www.statista.com/statistics/255080/number-of-e-mail-users-worldwide/ ), en el cual menciona algunos datos muy interesantes:
- En el año 2020, el número de usuarios de correo electrónico en el mundo, ascendió a 3900 millones, previendo que el mismo aumente a 4480 millones de usuarios en el 2024
- En el año 2018, se enviaron y recibieron aproximadamente unos 281 mil millones de correos todos los días en el mundo y se prevé que la cifra aumente a más de 347 mil millones de correos diarios para el 2023.
Fuente: Reporte «Número de usuarios en el mundo 2017 -2024»
Estos números hacen que este medio siga siendo muy popular en la propagación de software malicioso.
Hay un detalle importante a aclarar que es el siguiente, dentro de el envío de correo electrónico tenemos que subdividir el mismo de acuerdo a la forma en la cual se hacen dichos envíos.
Hoy en día podemos enviar correo mediante:
- Un programa cliente de correo, utilizando el clásico puerto TCP/25 (El protocolo SMTP estándar, el cual es inseguro y nos vamos a centrar en él en este artículo)
- Un programa cliente de correo, utilizando el puerto TCP/465, (la encriptación SSL se inicia de manera automática antes de cualquier nivel de comunicación SMTP).
- Un programa cliente de correo, utilizando el puerto TCP/587 (Básicamente es un SMTP estándar que puede soportar encriptación SSL)
- Un servidor de correo en la empresa, utilizando cualquiera de los tres puertos mencionados anteriormente (el 25 que es el que vamos a desarrollar aquí muy utilizado al día de hoy)
- Un navegador, utilizando webmail (ej. firefox, chrome, etc accediendo a gmail, outlook, etc).
El procolo estándar y original de envío de correos (SMTP), está definido en un RFC número 821 de agosto de 1982, modificado luego por el RFC 2821 de abril del 2001
( https://tools.ietf.org/html/rfc2821 )
Básicamente (como cualquier protocolo), cuenta con una serie de comandos que nos permiten conectarnos a un servidor de correo y enviar un mensaje.
Su funcionamiento es muy sencillo y vamos a ver un ejemplo utilizando el comando “telnet”.
alejandro@alejo:~$ telnet i-guardian.biz 25
Trying 144.208.69.31…
Connected to i-guardian.biz.
Escape character is ‘^]’.
220-biz251.inmotionhosting.com ESMTP Exim 4.93 #2 Thu, 04 Mar 2021 04:35:26 -0800
220-We do not authorize the use of this system to transport unsolicited,
220 and/or bulk e-mail.
ehlo i-guardian.biz
250-biz251.inmotionhosting.com Hello i-guardian.biz [167.57.144.106]
250-SIZE 52428800
250-8BITMIME
250-PIPELINING
250-AUTH PLAIN LOGIN
250-CHUNKING
250-STARTTLS
250 HELP
mail from:[email protected]
250 OK
rcpt to:[email protected]
250 Accepted
data
354 Enter message, ending with «.» on a line by itself
Subject: Mensaje de Prueba de Correo
Aca va el mismo.
Saludos
.
250 OK id=1lHnCi-005WTU-B4
quit
221 biz251.inmotionhosting.com closing connection
Connection closed by foreign host.
Lo que está resaltado son los comandos que ejecuté desde mi terminal.
ehlo i-guardian.biz : Con este comando inicio la sesión de envío
mail from: [email protected] -> me identifico como el remitente del correo (Noten que este comando que me permitiría identificarme con cualquier dirección de correo)
rcpt to: [email protected] -> Hacia quien va dirigido el correo
data -> Aquí va la porción del mensaje
Subject -> Es el asunto. Luego va el texto y para finalizar el envío escribimos un punto “.”
Es importante aclarar que, si bien parece simple lo que detalle recién, en la realidad ocurre que antes y luego de la conexión se aplican muchos tipos de controles.
Por nombrar algunos, tenemos RBL (Real Time BlackLists – listas negras de direcciones IP), SPF (Sender Policy Framework), DKIM (Domain Keys), DMARC (Domain-based Message Authentication Reporting and Conformance), sistemas antivirus y antispam en el servidor, etc.
Igualmente, el porcentaje de correos que escapan a estos controles sigue siendo muy grande.
Imaginen además que tienen un servidor de correo dentro de su empresa. El hecho de que algún equipo pueda infectarse y comenzar a enviar correos de manera masiva genera que las direcciones IP desde donde salen los correos legítimos, empiecen a caer en listas negras y por ende sean rebotados por el destinatario.
Esto se podría solucionar denegando a nivel de firewall la salida de correos estándar (puerto 25) a todos los equipos en la red a excepción del servidor, cosa que en muchísimos casos no se hace (por desconocimiento, por incapacidad de realizarlo dado el hardware con el que se cuenta, o por el motivo que sea)
Ahora ¿Cómo podemos hacer para detectar este tipo de envíos?
Tenemos tres opciones:
- Si no tenemos posibilidad de contar con un firewall que nos permita operar en línea de comandos capturando tráfico, podemos aplicar una técnica que mencione en el artículo anterior llamada arp spoofing ( https://i-guardian.biz/2020/02/05/pescando-phishing-sin-presupuesto/ ).
Mediante esta técnica podríamos hacer pasar el tráfico de los equipos en la misma red por nuestro equipo y analizar ahí los envíos.
- Teniendo acceso a un firewall (utilizaré como ejemplo Linux)
- Mediante GuardiaN 😉
Ahora bien, la manera más simple para registrar actividad de correos en un firewall Linux hacia un puerto destino tcp/25 puede ser usando la herramienta “iptables”.
Esta herramienta permite gestionar el sistema de firewall en Linux y si bien es sumamente completa y extensa, voy a poner un ejemplo muy simple como el siguiente:
/sbin/iptables -I FORWARD -p tcp –dport 25 -j LOG
Este comando agrega al principio de la tabla “FORWARD” (es decir el tráfico de pasada que no viene destinado hacia nosotros), todo lo que sea protocolo “tcp” con puerto destino “25” la acción es registrar en un archivo de registros (log) del sistema “LOG” (normalmente /var/log/kern.log).
La salida de este comando es la siguiente:
Mar 3 16:43:37 guardian kernel: [219509.486307] IN=wlan0 OUT=eth0 MAC=b8:27:eb:20:ab:35:c8:3a:35:c4:ab:56:08:00 SRC=192.168.168.2 DST=144.208.69.31 LEN=60 TOS=0x10 PREC=0x00 TTL=62 ID=11671 DF PROTO=TCP SPT=43706 DPT=25 WINDOW=64240 RES=0x00 SYN URGP=0
Mar 3 16:43:37 guardian kernel: [219509.792827] IN=wlan0 OUT=eth0 MAC=b8:27:eb:20:ab:35:c8:3a:35:c4:ab:56:08:00 SRC=192.168.168.2 DST=144.208.69.31 LEN=52 TOS=0x10 PREC=0x00 TTL=62 ID=11672 DF PROTO=TCP SPT=43706 DPT=25 WINDOW=502 RES=0x00 ACK URGP=0
Ahora bien, veamos qué datos relevantes podemos observar aquí:
Fecha y hora
IP del equipo
Dirección física (MAC)
Mar 3 16:43:37 guardian kernel: [219509.486307] IN=wlan0 OUT=eth0 MAC=b8:27:eb:20:ab:35:c8:3a:35:c4:ab:56:08:00 SRC=192.168.168.2 DST=144.208.69.31 LEN=60 TOS=0x10 PREC=0x00 TTL=62 ID=11671 DF PROTO=TCP SPT=43706 DPT=25 WINDOW=64240 RES=0x00 SYN URGP=0
Esta es la primera manera que tenemos de registro y si bien es de utilidad (ya que cualquier actividad de envío debería ser motivo de atención y por lo menos prender una alarma), no es algo que nos brinde una información abundante ya que los datos indican poco, sabemos que hay un equipo enviando correos, pero no tenemos más información.
¿Cómo podemos mejorar un poco y tener más detalle?
Aquí vamos a utilizar otra manera que es mediante la clásica herramienta “tcpdump”.
Esta herramienta, es un analizador de paquetes creada originalmente en el año 1988 por los señores Van Jacobson, Sally Floyd, Vern Paxson y Steven McCanne ( https://www.tcpdump.org ), el cual al igual que iptables es sumamente extenso, permitiendo analizar tráfico aplicando filtros.
A los efectos de poder capturar envío de correos utilizaríamos un comando como el siguiente:
tcpdump -i eth0 -nn -s0 -A port 25
-i eth0 -> la interfaz de red sobre la cual queremos monitorear el tráfico
-nn -> no resolver direcciones y puertos a nombres (esto agiliza el despliegue de información)
-s0 -> Tamaño del paquete (por defecto son 262144 bytes, poniendo en 0 no tiene límite)
-A -> Imprimir cada paqutes en ASCII (esto facilita notablemente la lectura)
port 25 -> El puerto a monitorear
Una vez ejecutado este comando (si bien el contenido original se “limpió” un poco para el artículo ya que los datos a nivel de enlace no se muestran en ASCII y se ven los clásicos caracteres sin sentido), podemos obtener una salida como la siguiente
16:45:37.056765 IP 144.208.69.31.25 > 172.20.10.21.43712: Flags [P.], seq 1:185, ack 1, win 227, options [nop,nop,TS val 2541579420 ecr 3813295893], length 184: SMTP: 220-xxx111.server.com ESMTP Exim 4.93 #2 Wed, 03 Mar 2021 11:45:36 -0800
.}l..JG.220-xxx111.server.com ESMTP Exim 4.93 #2 Wed, 03 Mar 2021 11:45:36 -0800
220-We do not authorize the use of this system to transport unsolicited,
220 and/or bulk e-mail.
16:45:40.106169 IP 172.20.10.21.43712 > 144.208.69.31.25: Flags [P.], seq 1:22, ack 185, win 501, options [nop,nop,TS val 3813299137 ecr 2541579420], length 21: SMTP: ehlo i-guardian.biz
16:45:40.295184 IP 144.208.69.31.25 > 172.20.10.21.43712: Flags [P.], seq 185:394, ack 22, win 227, options [nop,nop,TS val 2541582658 ecr 3813299137], length 209: SMTP: 250-xxx111.server.com Hello rX-X-X-X.dialup.adsl.anteldata.net.uy [X.X.X.X]
250-SIZE 52428800
250-8BITMIME
250-PIPELINING
250-AUTH PLAIN LOGIN
250-CHUNKING
250-STARTTLS
250 HELP
16:45:44.880222 IP 172.20.10.21.43712 > 144.208.69.31.25: Flags [P.], seq 22:58, ack 394, win 501, options [nop,nop,TS val 3813303913 ecr 2541582658], length 36: SMTP: mail from:[email protected]
16:45:51.105329 IP 172.20.10.21.43712 > 144.208.69.31.25: Flags [P.], seq 58:92, ack 402, win 501, options [nop,nop,TS val 3813310138 ecr 2541587432], length 34: SMTP: rcpt to:[email protected]
16:45:51.325147 IP 144.208.69.31.25 > 172.20.10.21.43712: Flags [P.], seq 402:416, ack 92, win 227, options [nop,nop,TS val 2541593688 ecr 3813310138], length 14: SMTP: 250 Accepted
16:45:52.184942 IP 172.20.10.21.43712 > 144.208.69.31.25: Flags [P.], seq 92:98, ack 416, win 501, options [nop,nop,TS val 3813311217 ecr 2541593688], length 6: SMTP: data
16:45:52.373357 IP 144.208.69.31.25 > 172.20.10.21.43712: Flags [P.], seq 416:472, ack 98, win 227, options [nop,nop,TS val 2541594736 ecr 3813311217], length 56: SMTP: 354 Enter message, ending with «.» on a line by itself
16:45:56.765078 IP 172.20.10.21.43712 > 144.208.69.31.25: Flags [P.], seq 98:126, ack 472, win 501, options [nop,nop,TS val 3813315792 ecr 2541594736], length 28: SMTP: subject: Mensaje de prueba
.}.+.J..250 OK id=1lHXRQ-002Vy9-4a
Nótese que tenemos una diferencia importante con el ejemplo anterior, ya que ahora podemos acceder a:
- Fecha y hora
- IP del equipo
- Remitente
- Destinatario
- Asunto
- Texto
Esto nos permite ir armando un mapa y registro cada vez más completo de los correos enviados por los equipos en la red.
Lo que les propongo para poder hacer frente a este problema, además de monitorear este tipo de eventos, es la posibilidad de generar alúna acción preventiva, como puede ser bloquear el equipo y registrar dicha actividad.
Para ello, vamos a armar dos pequeños scripts en bash, utilizando lo que tenemos “a mano” en nuestro sistema operativo y sin necesidad de recurrir a herramientas de terceros.
Referido a los scripts, uno se va a encargar de monitorear y registrar la actividad en un archivo de log y el otro va a estar leyendo en tiempo real dicho archivo y cuando se presente la situación, registre y bloquee el equipo.
Estos scripts los vamos a llamar “capturo_gusanos.sh” y “detengo_gusanos.sh”
Nótese que tenemos una diferencia importante con el ejemplo anterior, ya que ahora podemos acceder a:
- Fecha y hora
- IP del equipo
- Remitente
- Destinatario
- Asunto
- Texto
Esto nos permite ir armando un mapa y registro cada vez más completo de los correos enviados por los equipos en la red.
Lo que les propongo para poder hacer frente a este problema, además de monitorear este tipo de eventos, es la posibilidad de generar alúna acción preventiva, como puede ser bloquear el equipo y registrar dicha actividad.
Para ello, vamos a armar dos pequeños scripts en bash, utilizando lo que tenemos “a mano” en nuestro sistema operativo y sin necesidad de recurrir a herramientas de terceros.
Referido a los scripts, uno se va a encargar de monitorear y registrar la actividad en un archivo de log y el otro va a estar leyendo en tiempo real dicho archivo y cuando se presente la situación, registre y bloquee el equipo.
Estos scripts los vamos a llamar “capturo_gusanos.sh” y “detengo_gusanos.sh”
capturo_gusanos.sh
Este script contiene lo siguiente:
#!/bin/bash
> gusanos.log; tcpdump -i enp3s0f1 -l -nn -s0 -A port 25 | grep –line-buffered «mail from» | grep –line-buffered «SMTP:» > gusanos.log
Analicemos el mismo
* > gusanos.log – Esta línea se encarga de “truncar” el archivo de log llamado “gusanos.log”. El objetivo es que cuando iniciamos la captura, si tenemos una captura previa, no disparemos eventos innecesarios o reiterados, con lo cual limpiamos el log y comenzamos a capturar
* tcpdump – El viejo y querido capturador de paquetes, al cual le pasamos varios parámetros
-i enp3s0f1 – es la interfaz a capturar (puede variar dependiendo del equipo)
-l – Indispensable si queremos ver la información mientras la capturamos. Ideal para utilizar en conjunto con otro script
-nn – No resolver nombre de host y puerto
-s0 – Mostrar todo el contenido del paquete capturado
-A – Imprimir cada paquete en ASCII
* grep –line-buffered “mail from” – Filtramos solamente la línea que contiene el “mail from:”
* grep –line-buffered “SMTP” – Evitamos línea duplicada
(Los greps podrían ir en una sola sentencia, pero eso se los dejo para investigar.)
* > gusanos.log – Enviamos todo al archivo gusanos.log
Este comando registra en el archivo lo siguiente:
13:56:16.912853 IP 172.20.30.111.51586 > 144.208.69.31.25: Flags [P.], seq 9:30, ack 351, win 501, options [nop,nop,TS val 2540454866 ecr 3395417400], length 21: SMTP: mail from:[email protected]
detengo_gusanos.sh
Este segundo script tiene el siguiente contenido:
#!/bin/bash
tail -f gusanos.log | awk ‘{ split($3,ip,».»); system(«iptables -A FORWARD-p tcp –dport 25 -s «ip[1]».»ip[2]».»ip[3]».»ip[4]» -j LOG»); system(«iptables -A FORWARD-p tcp –dport 25 -s «ip[1]».»ip[2]».»ip[3]».»ip[4]» -j DROP») }’
El mismo es muy simple también, lo que hace es lo siguiente:
Utiliza el comando “tail” para monitorear en tiempo real el archivo gusanos.log y cuando se da algún evento, envía su salida a la herramienta “awk” la cual parsea la dirección IP (ya que viene con el puerto origen incluído y hay que quitarlo) y luego ejecuta dos veces el comando “iptables”.
La primera vez agrega una entrada de LOG permitiendo dejar un registro en el sistema, mientras que la segunda vez bloquea el equipo.
Imaginemos que tenemos un equipo que tiene una dirección IP 192.168.20.10, los comandos que ejecuta el script serían los siguientes:
iptables -A FORWARD -p tcp –dport 25 -s 192.168.20.10 -j LOG
iptables -A FORWARD -p tcp –dport 25 -s 192.168.20.10 -j DROP
Esto lo interpretamos de la siguiente manera
iptables – La herramienta de fireall
A FORWARD – Agregar en la tabla de FORWARD (tráfico no destinado a nosotros sino que es solamente de pasaje)
p tcp – Protocolo tcp
dport 25 – Puerto destino 25 (SMTP)
-j LOG – Agregar una entrada de LOG en los logs del sistema
-j DROP – Bloquear esa IP
Ahora sí tenemos todo pronto.
Lo que nos falta es lanzar ambos scripts (recordar ejecutarlos con “sudo” si no somos root, lo cual es lo aconsejable) y luego nos sentamos a esperar que se genere actividad:
sudo bash capturo_gusanos.sh &
sudo bash detengo_gusanos.sh &
(Podemos ejecutarlos en background mediante el “&” o lanzar cada uno en una terminal independiente)
Cuando se da un intento de envío de correo, podemos ver que el archivo “gusanos.log” registra lo siguiente:
alejandro@alejo:~/Descargas/cap2$ cat gusanos.log
12:24:56.289408 IP 172.20.10.31.35646 > 144.208.69.31.25: Flags [P.], seq 22:58, ack 394, win 501, options [nop,nop,TS val 3272152958 ecr 3562498886], length 36: SMTP: mail from:[email protected]
En la salida del comando “dmesg” o el archivo “syslog” o “kern.log” (dependiendo la distro), algo similar a esto:
Mar 15 12:24:56 alejo kernel: [ 8829.864731] IN= OUT=enp3s0f1 SRC=172.20.10.31 DST=144.208.69.31 LEN=77 TOS=0x10 PREC=0x00 TTL=64 ID=62740 DF PROTO=TCP SPT=35646 DPT=25 WINDOW=501 RES=0x00 ACK PSH FIN URGP=0
Y si hacemos un “iptables -L” vamos a ver lo siguiente:
alejandro@alejo:~/Descargas/cap2$ sudo iptables -L -nv
Chain INPUT (policy ACCEPT 141 packets, 13027 bytes)
pkts bytes target prot opt in out source destination
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
45 3119 LOG tcp — * * 172.20.10.31 0.0.0.0/0 tcp dpt:25 LOG flags 0 level 4
45 3119 DROP tcp — * * 172.20.10.31 0.0.0.0/0 tcp dpt:25
Chain OUTPUT (policy ACCEPT 135 packets, 13357 bytes)
pkts bytes target prot opt in out source destination
Nótese que en la tabla FORWARD tenemos dos entradas, la primera es un LOG que simplemente registra la información.
Dado que el firewall trabaja de manera secuencial y el destino “LOG” no es terminal (es decir que no finaliza la ejecución del recorrido por las reglas), el tráfico va a continuar y se va a encontrar con la próxima regla que le indica que la acción final es “DROP”, lo cual significa descartar de manera silenciosa.
¿Cuál es el efecto que vemos desde el lado de quien está intentando enviar el correo? El siguiente:
alejandro@alejo:~$ telnet mail-server.com 25
Trying 144.208.69.31…
Connected to mail-server.com.
Escape character is ‘^]’.
220-mail-server ESMTP SMTP XXX #2 Mon, 15 Mar 2021 08:20:50 -0700
220-We do not authorize the use of this system to transport unsolicited,
220 and/or bulk e-mail.
ehlo mail.com
250-mail-server.com Hello rX-X-X-X.dialup.adsl.anteldata.net.uy [X.X.X.X]
250-SIZE 52428800
250-8BITMIME
250-PIPELINING
250-AUTH PLAIN LOGIN
250-CHUNKING
250-STARTTLS
250 HELP
mail from:[email protected]
250 OK
quit
rcpt to:[email protected]
421 mail-server.com:
SMTP command timeout – closing connection
Connection closed by foreign host.
Nótese como la conexión queda en espera y termina cerrando por timeout.
Esto indica que el cliente quedo intentando comunicar con el servidor de correo, pero al no obtener respuesta (producto del corte) la conexión se aborta luego de un tiempo.
Creo que mediante el uso de herramientas que están al alcance de todos, tenemos la posibilidad de lograr una solución simple a un problema complejo
Espero que este artículo haya sido de vuestro agrado.
Saludos!
¿Quieres obtener el mismo conocimiento que Alejandro?
Puedes encontrar este post aquí.