Terminamos el 2021... seguimos creciendo

 Estimados amigos de Inseguros !!! 

El año 2021 llega a su fin. Un año marcado otra vez por el Covid, un año para mi algo descafeinado. Ni me ha ido muy bien ni muy mal. No se si por la edad, por la vida, pero no he tenido grandes altibajos. 

Quizás mantenerme en donde estoy es suficiente, ya que tengo la suerte de tener a toda mi familia Sana conmigo. En el apartado laboral es cierto que ha ido a mejor, el año pasado por circunstancias no fue el mejor para mi. Lo que si se ha permanecido estable es mi crecimiento técnico.

Esta parte que lees, que me conoces, creo que la he seguido potenciando, más que nada porque me sale solo. Eso de que la ciberseguridad y la informática es mi pasión no es un eslogan, que a veces empleo como tal, pero realmente es algo que me sale solo.

He escrito 25 artículos este año, en un panorama en el que otras redes sociales han tomado más protagonismo. Soy defensor de lo escrito, de las webs, de los post, en castellano, y reivindicar nuestra lengua, al igual que hago con mi "regionalismo" Marciano...

Soy partidario de leer, de comprar algún que otro libro físico, pero sobre todo de devolver lo que la comunidad me da. La comunidad muchas veces es nuestro mayor enemigo, porque hay gente que no entiende que se puede multiplicar sin dividir, pero tontos hay en todos lados.

Hoy en día hay tanta información que se le resta importancia a las personas que escriben. Cuando tienes un problema y buscas en "internet", alguien se ha molestado en escribir lo que le pasó y como lo solucionó. No es gratis, sin este conocimiento no podríamos crecer, pero sin embargo el mundo web cae en picado. Las visitas de ahora no son las de hace años, no las mías que nunca han sido importantes, sino las de todo el mundo, me consta.

Ahora vivimos de un Tweet, de un post en Linkedin, pero muchas veces son "noticias" o meras frases, no está el trabajo detrás de haber estudiaro a fondo la materia.

La tendendia en la ciberseguridad es seguir los WriteUp de los Ctf´s, en donde se aprende una barbaridad sobre hacking ético y seguridad, pero ofensiva... Muchos de los que estamos aquí luchamos contra los malos, y es igual de importante o mas saber defenderse de esos fallos que aparecen en los Pentest de manera correcta.

El mundo "yotube" en esta u otras plataformas ha tomado cierta relevancia, pero me niego. Me niego a que mi trabajo se mida en base a lo simpático que soy, lo carismático, popular, guay o no. Cuando doy una charla presencial si que intento mezclar algunas habilidades para llegar al público, para hacerlo más ameno, pero con el fin de la divulgación. No para ganar visitas, seguidores, ego ni dinero, eso lo hago trabajando.

Aunque parezca mentira, me expreso mucho mejor escribiendo, y mi acento marciano se esconde un poco más :-) pero realmente creo que aparta valor el mundo texto son los enlaces, el no quedarte con el planteamiento del autor, sino trabajar los enlaces, y sobre todo, trabajar el documento.

Tu puedes ver 100 veces usar algo, que hasta que no te peleas y lo pones en práctica no lo aprendes, y ver videos para mi es un poco eso, quedarte con la "copla" por encima, y no profundizar.

Cuantos manuales has seguido en tu vida que no eran tal y como estaban escritos? pues imagina si sigues un video en un contexto dado. Luego la realidad cambia.

Aparte, no me interesan los videos del "laboratorio perfecto" "como armar tu linux para el ataque" cosas así son más para atraer público que para dar conocimiento. Que al final toda divulgación es buena... pero yo soy tradicional, viejo, boomer, y me gusta lo escrito.

Quiero acabar el año y empezar el siguiente acordándome de la gente que me hizo empezar en esto, y me animó a escribir las 4 cosas que he ido aprendiendo. Gracias a Microsoft por renovar otra vez el MVP.  Quizás este es mi mayor refugio cuando las cosas no me van bien, pensar que al menos hay gente que me valora. 

Esa gente es Microsoft, pero realmente eres tu, quien ha leido este post, quien me apoya con mis comentarios, quien participa de los debates, vosotros sois MUCHO más importantes de lo que os creeis.

Vivimos en un mundo en el que lo tenemos todo, y de vez en cuando tenemos que agradecerselo a los demás. Llama a tu abuela y dile que la quieres. Empieza a escribir un blog contando tus películas, y apoya a los creadores de contenido que consideres oportunos, pero tenemos que hacer una comunidad fuerte, compartir el conocimiento es mayor espíritu hacker que podemos tener.

Felices fiestas, y espero que este 2022 sea tan "mediocre" como este al menos.

LOG4J... la crisis del 2021? APRENDE !!!

 Estimados amigos de Inseguros !!!

Los que vivimos en el sur sabemos que los incendios se apagan en invierno, no en verano. Preparando el monte con cortafuegos, limpiando el matorral, preparando los recursos humanos, de detección... En verano con 45 grados, si no has hecho los deberes...

Este fin de semana está dando duro la vulnerabilidad del componente LOG4J. No voy a entrar en el fundamento técnico porque para eso está el buscador, pero si que me gustaría sacar varias reflexiones.

La primera es que hay sospechas de que hacía mucho tiempo que se conocía el vector de ataque... https://twitter.com/an0n_r0/status/1469643986403008515

La segunda es que como grandes Vendor de la industris emplean componente de software libre, sin interesarse en la seguridad de los mismos, y por supuesto, en el Q&A, financiación del proyecto etc. El software libre mola... pero en parte porque es gratis. SI, quiero pelea !! xD. 

Pero el propósito de este post es lo que tiene que ver con las empresas, con nuestros clientes, nuestros proveedores, con nosotros mismos...

Es VITAL aprender de nuestros errores. En ciberseguridad es muy raro, porque si suele perpretarse un incidente, estamos por decirlo fino... en problemas...

Hablo con mis colegas y tenemos problemas de inventario... saber qué tenemos en nuestros sistemas es la primera parte de la ciber. Después del inventario es el inventario de componentes, es decir, no solo saber si tengo 2000 windows 10, sino saber que tengo java noseque, o pdf nosecuantos... cualquier herramienta de ITSM gestiona esto... pero claro... en máquinas Windows... en los linux ni se instalan estas tools... ni antivirus... ni se despliegan plantillas...

Por otro lado los dichosos logs. Tenemos un SIEM, tenemos incluso un SOC de lo más caro, pero no tenemos logs. No tenemos logs porque la ingesta desmesurada de estos en el SIEM se paga a precio de oro, pero tenemos que tener visibilidad de lo que pasa. Si no lo quieres meter en un SIEM, metelo en un ELK para tareas forenses, o para casos como estos y auditar conexiones pasadas para descubrir donde tenemos el dicho Log4j, pero logs que hay que tener. El datawarehouse de la ciber no debe ser el SIEM, porque es caro, pero tenemos que tenerlo !!!

Al final seguro que en tu empresa has tenido más o menos facilidades para detectar tu exposición al riesgo, pero lo importante es APRENDER de la lección. Igual que con el Ransomware, tenemos que tener planes, en la ciberseguridad hay muchos más riesgos, y parece que nos hemos quedado con la solución del Ransomware, el parcheo de los equipos de infraestructura importantes, pero hay una importante cantidad de vectores de entrada que debemos cubrir, y aprender en fase "test" es mejor que hacerlo con el fuego calentando.

Espero que no hayas tenido muchos problemas con el componente, y si necesitas algo ya sabes !!!

Doble check cuando envias correo VBA Outlook: No enviar correos de madrugada al ex ni al jefe...

 Estimados amigos de Inseguros !!!

De todos es sabido que se acercan fechas de celebración, en la que en muchos casos se incluyen juergas con el alcohol, y se nos puede ir un poco la mano.

De todos es sabido que cuando uno va pedo, seamos claros, mejor no hacer algunas cosas: No conducir, no poner en peligro tu integridad física... cosas evidentes, y otras no tantas, como no enviar correos a tu ex-pareja recien... o mucho menos a tu jefe/compañero que tanto aprecias :-)

Más allá de nuestro problema laboral o con el alcoholismo, un amiguete me plantea el siguiente problema en su empresa que la verdad me parece curioso de comentar.

Este amiguete tiene todo tipo de seguridad en su despliegue, pero me indica que tiene MUCHOS problemas con correos que sus usarios envian, de una lista de contactos o no, pero que no era el destinatario deseadao...

Es decir, que tu estás escribiendo a jmolina... y mi correo es jmolinab... o un jgarcia@empresa1.com y tu querías enviarlo a jgarcia@empresa2.com.

La solución es humana, como el problema, si te has equivocado poco se puede hacer. En outlook tenemos opciones para delimitar si el destinatario es conocido o no, o es de la empresa o no, o si queremos hacer un delay en el envio... pero nada de esto cumple con lo que esta empresa necesita: Un doble Check que indique algo así: SEGURO QUE QUIERES ENVIAR ESTE CORREO A ESTA PERSONA... que al final estas cosas se automatizan y el usuario aprende a decir siempre que si... pero es lo que este amigo necesitaba, un doble check.

Para ello podemos hacer uso de VisualBasic y pasar una función al enviar un correo, que haga eso, muestre un MSGBOX con la advertencia, y permita dar marcha atrás o no a ese correo... sea una equivocación por el destinatario... o porque mejor reconsideras tu postura ante tu jefe xDDD 

El código base de la función lo tienes aquí. 

Espero que te sirva de ayuda !!!

Roles o dirección de la ciber... ProtAAPP version...

 Estimados amigos de Inseguros !!!

Voy a empezar este post, haciendo algo que no suelo hacer, y es hablar con propiedad :-) y por supuesto no me refiero a la intelectual :-) :-). El otro día la gente de @ProtAAPP Abrió un hilo muy interesante 
reflexionando junto a un equipo de cracks sobre la estructura de la organización de un departamento 
Ciber. 

Por la brevedad de Twitter no quise entrar al trapo, pero me apunté el tema para explicar mi visión. Pero cuando decía lo de hablar en propiedad, me refería a comentaros quienes son ProtAAPP y cuales son sus proyectos. En primer lugar, decir que es un grupo de amigos que desinteresadamente están fomentando la cultura de la ciberseguridad en las administraciones públicas, pero que se extiende a todo el ecosistema empresarial, mediante varias acciones. Dede su magnífica WIKI, su canal de Twitter, hasta todas las iniciativas divulgativas que ya ni recuerdo ( concursos incluidos xD) 

Volvamos al inicio, al asunto, cual sería la estructura del departamento. debería colgar todo del CISO? del CIO? tendría que haber una rama para una cosa y para otra...

Como siempre, me gusta empezar con algún símil. Pongamos el ejemplo del entrenador de futbol. Si en su vida fue un jugador de velocidad, de sprint, de desmarque, quizás tenga un estilo de entrenamiento diferente al que fue jugador de "tiki taka", o fue un jugador mas defensivo que ofensivo en campo medio... hay muchos estilos de gobernanza, y la impronta personal del entrenador sin duda marcara muy mucho el rumbo del equipo, o al menos el camino.

En la informática, sin entrar en la ciber, ocurre lo mismo. A diario hablo con CIO, pero que tambien los llamo "jefes de informática" o a veces " CTO"... y me doy cuenta de que según su pasado, su trayectoria, tienen más o menos interés en unos aspecto u otros. El tema de los nombres lo voy a dejar para otro momento.

Si el responsable viene del mundo consultora SAP, posiblemente esa sea la parte que mejor esté en la compañía, al igual que si viene de la "ciber" tendrá más o menos bien esto. Según su evolución profesional el departmento tiende a tener sus benevolencias/carencias en un sentido u otro.

Ahora vamos al "submundo" de la ciber. Hay que entender que estas reflexiones hay que adaptarlas al volumen de la organización. Un CISO para mi tiene que ser el lider de la parte de gestión y cumplimiento normativo. Si sabe de tecnología mejor, pero podría ser perfectamente un Abogado. Un CSO debe ser el responsable de la parte técnica de la ciberseguridad. No encuentro ningún sentido a que en una organización compleja, con personal y recursos, no estén los dos componentes en la misma línea jerárquica, y por encima el CIO.

Creo que la cuestión más importante no están tanto entre quien está debajo/encima entre el CISO y no, sino en la figura del CIO. Personalmente, conozco MUY pocos CIO buenos.

Para mi, un CIO debe ser capaz de tener en su equipo a los mejores expertos en su área, y ser la persona que se dedique a la gestión, y a participar en el comite ejecutivo, diseñando los planes de futuro, la prestación de servicios y la continuidad del departamento. Alinear las necesidades de la empresa con la tecnología, y "viceversa".

Imaginemos un mal CIO, alguien como yo :-). que vengo de la ciber, de productos Microsoft... voy a tomar las mejores decisiones a la hora de un entorno CLOUD para X propósito? quizás mis preferencias marque mis decisiones. El CIO debe ser agnóstico a la tecnología en la manera que sea posible, y debe dirigir el departamento con conocimiento.

SLA y KPI deben ser el trabajo del CIO. Definir la estrategia y luego cumplirla y medirla.

En el hilo de Twitter se bromeaba con que si, que todo esto está muy bien, pero quien actualiza el equipo xD. Tiene que haber un KPI claro definido desde el CIO, desde la dirección informática, y bien sea operaciones de seguridad, operaciones de sistemas, quien sea, según el organigrama, pero hay que cumplor el objetivo y medirlo, y creo que no tiene sentido definir si es cosas de sistemas, de seguridad... porque cada empresa es un mundo, pero si que tiene que estar en la estrategia del CIO y tiene que tener los elementos de control.

Atribuimos un departamento de operaciones y dentro ciber, sistemas, redes, o al revés, tenemos un departamento ciber y dentro tenemos operaciones, cumplimiento, monitorización...

El CISO aportará su conocimiento para implementar una guía de seguridad base en referencia a la norma, a la ley, por ejemplo al ENS, y trasladará los controles necesarios al CIO, y este debe ser garante de su cumplimiento. Pero ojo, el CSO igual !!! quizás en un compliance no aparezca un detalle técnico pero si desde Seguridad se exije, debe ser igual de válido, pero hay que medirlo !!!.

Tener un cuadro de mando de TIC es necesario al igual que en otras direcciones. Por lo general, veo esos cuadros de mando orientados a las finanzas del departamento, o asociados a alguna herramienta ITSM en la que puedo ver el SLA de un helpdesk, con suerte podré ver lo mismo de un SIEM, pero ese es el verdadero trabajo de un buen CIO, preparar ese cuadro de mando con la información útil que le permita tomar buenas decisiones.

Pongo otro ejemplo parecido al de la cuestión del CISO, desarollo. tiene que haber un jefe de desarrollo que esté por encima de Despliegue? para mi son dos entidades con suficiente peso que por supuesto, tienen que estar alineadas entre si, pero con la supervisión del CIO.

Sigo con ejemplos, un fallo de sqli de quien es reponsabilidad? de ciber que no tenía un waf? del programador que cometió el fallo? del despliegue que no lo testeo? del admin. de la base de datos que no controló las opciones del motor? de sistemas que no cofiguró bien el host?

Sin embargo el CIO debería tener el control del estado de todos estos elementos, a través de sus mandos intermedios. Delimitar la responsabilidad concreta? siempre pienso que la culpa es del jefe, siempre, el empleado puede y está para fallar, y su jefe para detectarlo y corregirlo. Todo esto entrecomillas...

Vamos al caso del SOC, quien debe ser el lider del SOC? reporta a tecnología o cumplimiento? ambas perspectivas son válidas. Depende de la misión del SOC, es más, es habitual tener un SOC técnico con "eventos de Windows" y un SOC de cumplimiento con otro tipo de métricas.

En entornos grandes grandes grandes, puede que entre el CIO y el CISO/CSO haya un "CIO de Ciberseguridad" al igual que un CIO de Desarrollo, porque ambas disciplinas son enormes, al igual que debería haber un CIO de sistemas y redes, o separado... 

Un resumen muy muy somero podría ser que ni CISO por encima del CSO, ni al revés, que lo importante es el eslabón superior.

Al final vuelvo a lo mismo de que hay muchos estilos de gobernanza y gestión, y depende muy mucho de la misión y visión de la compañía y sus líderes, pero la gestión basada en indicadores creo que es VITAL.

Review de herramienta Osint: Oblivion Data Checker

 Estimados amigos de Inseguros !!!

En el post de hoy os traigo una herramienta a tener en el radar para ver su evolución, una herramienta del mundo OSINT ( Open Sorce Intelligence) que nos ayuda en el proceso de seguimiento de leaks o filtraciones de contraseñas, usando un portal unificado y por detrás algunas api´s....

El proceso de la seguridad es tan complejo que en muchas ocasiones no reside en nuestras infraestructuras, sino que recae de la mano de proveedores, colaboradores o las Third party como se dice. 

Una filtración en nuestro proveedor de X puede afectar a la información de nuestras organización.

El proyecto Oblivion se nutre de 4 fuentes de inteligencia de momento:

Una vez realizada la instalación, debemos realizar unos pasos de configuración sencillos. Es curioso que en un mundon "online" se hayan currado el proyecto con un aplicación cliente-servidor...por lo que olvidate de SSH xD

La configuración es muy sencilla, debemos introducir las apis de los sitemas a consultar, la dirección de correo de envio o el token de Telegram para notificar y poco más.

En los módulos debemos introducir los elementos que queremos monitorizar, como contraseña, documento, dirección de correo y poco más.

Podemos comprobar en el server como va el escaneo, ya que hasta que no tengamos el reporte en nuestro sistema configurado (Drive, Telegram o Mail) no lo veremos.

Si todo ha ido bien, en mi caso configuré una salida por correo, recibirás un correo con la información de los activos que has puesto a monitorizar.

Para llevar esto a producción deberíamos acceder al data.db, una sqlite donde se almacenan los activos a monitorizar, y poder hacer de una manera más o menos masiva la inserció de los tropecioentos mil correos que queremos ver.

Espero que os sirva de ayuda en vuestros proceso de OSINT defensivo u ofensivo.

Gracias por leerme !!!

Azure Sentinel: De 0 a 100. Episodio 8: Azure Key Vault Honeypot

https://blogvisionarios.com/e-learning/articulos-ciberseguridad/azure-sentinel-episodio-8-azure-key-vault-honeypot/

Azure Sentinel: De 0 a 100. Episodio 7: Ingesta de ficheros Evtx de eventos Windows mediante logtash y repositorios de ejemplo para entrenar tu Blue Team

https://blogvisionarios.com/e-learning/articulos-ciberseguridad/azure-sentinel-ingesta-ficheros-evtx-eventos-windows-mediante-logtash/

Análisis de vulnerabilidades con Openvas: Diagnóstico inicial

https://blogvisionarios.com/e-learning/articulos-ciberseguridad/analisis-vulnerabilidades-con-openvas/

Jugando con DNS: exfiltración y detección

https://blogvisionarios.com/e-learning/articulos-ciberseguridad/jugando-con-dns-exfiltracion-deteccion/

No es Matrix, es la matriz RE@CT de respuesta a incidentes…

https://blogvisionarios.com/e-learning/articulos-ciberseguridad/no-es-matrix-es-la-matriz-react-respuesta-incidentes/

Episodio 1: Hacking Azure, Office 365, Ad connect etc.

https://blogvisionarios.com/e-learning/articulos-ciberseguridad/episodio-1-hacking-azure-office-365-ad-connect/

Simulación de adversarios: Infection Monkey

 Estimados amigos de Inseguros !!!

Hace unos años que comencé a hablar de esta herramienta de simulación de adversarios que me sorprende mucho, ya que tiene un potencial brutal, pero poca gente usa.

El concepto es muy sencillo, suelta al mono por tu red, y a ver donde llega :-)

Infection Monkey se compone de una parte servidor de control y un agente, que haciendo uso de distintas métodos, intenta "hackear" tu red de manera controlada hasta donde pueda...

El principio comienza con unos cuantos doble clicks para tener la herramienta instalada en nuestros Windows.

Entramos al navegador y introducimos el usuario y clave por defecto, que si lees esta página, y no lo adivinas, no mereces seguir :-) https://localhost:5000/landing-page

Ahora es el turno de configurar nuestra simulación. Podemos elegir a usar la ejecución de un exploit que se aproveche de una vulnerabilidad, o simular un escenario de infección en la que el atacante conoce las contraseñas de un usuario. En este caso queremos medir la capacidad que tendría un ransomware de expandirse por la red. Para este caso, le proporcionó un usuario y contraseña válido en la red.

Pero bueno, esto es porque queremos hacer este tipo de test, podemos intentar NO pasarle ninguna contraseña, para que usando el propio Mimikatz que alberga, intente sacar claves o hashes. Como digom, el propósito de esta prueba es simular que partimos de un leak de contraseñas.

También podemos indicar el ámbito de redes a los que queremos llegar, excluir y todo lo relativo al "scope".  Por último, indicamos a la herramienta sobre qué carpeta queremos hacer la prueba de infección, de cifrado, en mi caso le doy un path y guardo el setting.

Tenemos la opción de ejecutar la llamada al cliente desde el equipo que queremos comprobar, indicando la dirección del server.

Vamos al asunto. Ejecutamos al mono :-) y le decimos que no use exploits, solo SMB, que es el que realiza las conexiones mediante las credenciales.

En unos minutos, tenemos el resultado. Es importante saber que en este caso, no solo cifra, sino que pueda indicar el nivel de recursividad, es decir, se crea una copia del agente en el equipo infectado para que este infecte a otro equipo al que lo mismo no teníamos visibilidad originariamente. Es decir, que en este caso, el proceso de cifrado no ha sido ejecutado desde el servidor, sino desde el propio server.

Podría tener ejecutando el ransomware.exe en el equipo a, y cifrar el equipo b por una carpeta compartida... o ejecutar el ransomware.exe en el equipo b y seguir la cadena. Este último ha sido el caso.

Una de la cosas que me gusta es que te sumariza por ejemplo, todos los eventos que tu SOC debería haber detectado, es decir, empieza a decirte, te he hecho un portscan, he entrado en tal web, etc. Además, lo hace referenciando dos modelos, uno del tipo Zero Trust que separa el tipo de información, y otro con el famoso Mitre.

Una vez tenemos el informe de mapeo con Mitre, lo tenemos muy sencillo para empezar a preparar un plan en el que podamos implementar todas las medidas de seguridad relativas a todos los fallos explotados, para intentar proteger en distintas capas al tedioso ransomware.

Espero que os haya gustado la aproximación, y quizás otro día sigamos con más "monadas" como estas :-). Las funcionalidades de la simulación "custom" son súper interesantes, ya que podemos incluir cualquier fichero y ejecución post infección, además de las que nos proporciona la propia tool...otro día que me lío :-)

Si estás interesado en servicios de formación donde puedas ampliar tu conocimiento tanto ofensivo como defensivo, puedes consultar el Master de Ciberseguridad en Entornos Microsoft que hemos preparado en Verne para este 2021-2022.

Gracias por leerme !!!

Listado de bloqueos de LOLBins de Microsoft con WDAC

 Estimados amigos de Inseguros !!!

Mucho se ha hablado ya de los LolBins por la red, pero por si no están al tanto...

El concepto LolBins, LoLBans es la manera que tenemos de identificar ejecutables y funciones del sistema operativo diseñados para un cometido, pero que pueden ser usados para un fin un tanto..."alternativo"...

El contexto de esto es muy sencillo. Imagina que se compromete un servidor Windows, por el fallo que sea, una vez comprometido debemos realizar otras acciones, escalado, movimientos, exfiltración... lo que sea que tengamos como objetivo. Si en ese host comprometido necesitamos herramientas, tenemos la opción de descargarlas, con el riesgo de que un sistema defensivo las detecte, como un antivirus, o usar binarios del sistema... que gozan de la confianza del antivirus, ya que están diseñados para "EQUIS" cosas, pero nosotros las vamos a usar para el mal.

El más sencillo de los lolbins para entenderlo es el hh.exe. Este binario está diseñado para ejecutar las pantallas de ayuda cuando usamos esta función por cualquier parte de Windows, pero si le añadimos una url, nos hace las veces de navegador, por lo que en un entorno en el que se prohíbe Chrome o Internet Explorer, podríamos navegar y saltarnos esta medida... Sencillo el concepto...

Existe distintos proyectos que aglutinan los lolbins que van saliendo, es decir, que se descubre un uso un poco alternativo... y los jefes de Flu Project hablaron ya en su día de esto.

Vamos a comentar otro muy interesante, por ejemplo, el PresentationHost.exe . Imagina un entorno con Powershell capado, algo habitual o debiera serlo... podemos usar este LolBins que es un intérprete de aplicaciones web para aplicaciones Xaml, siguiendo este magnifico post, para invocar a Powershell desde ese proceso (Presen...) con lo que podemos evadir Applocker...

Pero como siempre, no me gusta soltar la liebre y dejar al lector con más miedo que hambre :-)

La propia Microsoft ha recopilado una serie de binarios muy concretos con un potencial muy peligroso y nos emplaza a bloquearlos mediante Device Guard For Application ( WDAC) con una plantilla a tal efecto, mucho más efectivo que Applocker... 

Esta medida es muy sencilla de implementar mediante GPO y la directiva de reglas creada.

Si quieres saber más de como crear un conjunto apropiada de políticas, puedes leer esta interesante guía.

Por supuesto que mientras decides la viabilidad de bloquear dichos ficheros, puedes empezar por auditar el acceso a estos objetos. 

Como has podido ver, seguimos con esa visión de aportar elementos ofensivos y defensivos, según el role que te toque desempeñar.

Si estás interesado en servicios de formación donde puedas ampliar tu conocimiento tanto ofensivo como defensivo, puedes consultar el Master de Ciberseguridad en Entornos Microsoft que hemos preparado en Verne para este 2021-2022.

Gracias por leerme !!!

Dfirtrack: Herramienta para seguimiento de incidentes y workflow.

Estimados amigos de Inseguros !!!

En el post de hoy os voy a mostrar una herramienta que se emplea en algunos departamentos de ciberseguridad, en SOC o centros de respuesta a incidentes que me parece interesante. Se trata del proyecto DFIRTrack. El nombre lo indica todo, es una herramienta gráfica que nos permite documentar nuestras investigaciones, registrando los procesos que realizan los operadores y la información de valor.

Como sabéis los que estáis en las trincheras, igual de importante es atajar el problema, por ejemplo de un ransomware, desde la parte técnica en un cliente, como de la parte de registrar todas las actuaciones y así poder realizar una tarea de documentación, o incluso el mismo proceso, de manera ordenada y adecuada para el cliente.

A qué hora se abrió el incidente, quien lo revisó, qué equipos se analizaron, qué artefactos, que conclusiones por cada uno, esto es igual de importante hacerlo como documentarlo. 

El proceso de instalación de la herramienta es muy sencillo y está muy bien documentado en la web del proyecto. Podemos optar por contenedores o instalaciones “nativas”. 

Si usas docker como yo en un entorno cloud, Azure , ten la premisa de escribir en el fichero .env el hostname público del equipo, del estilo : https://mimamamemima.cloudapp.azure.com/ en el campo fqdn para que puedas usar la navegación https, por lo demás, poco más que levantar un docker-compose up

Como es normal, debemos configurar un poco las opciones a nuestro gusto, los tags, las opciones, personalizar la herramienta para que podamos registrar nuestros procesos operativos en ella. Por ejemplo, hemos añadido un tag Ransomware para poder clasificar la idiosincrasia del incidente o caso.

Una de las cosas interesantes que nos ofrece el software es la capacidad para diseñar workflows, en los que podamos anidar distintas tareas para guía al operador o gestor del incidente.

Estos workflows se vinculan a tareas sobre un sistema, no sobre un caso ... por lo que sirve para eso, para tener clara las tareas a hacer en cada sistema, pero a nivel macro, no podremos por ejemplo configurar un proceso que sea enviar a comercial una petición de precio...

La herramienta funciona bien y es estable, si bien, carece de algunas opciones que a mi me gustaría como el reporting, pero tenemos acceso a una API con la que podremos extraer artifacts y llevarnoslos a nuestro the hive o misp o cualquier otro proceso de orquestación que necesitemos.

Al menos, nos puede ayudar a definir un poco mejor el proceso de una respuesta a incidentes, la categorización,etc, sea con esta herramienta o con otra.

Como has podido ver, seguimos con esa visión de aportar elementos ofensivos y defensivos, según el role que te toque desempeñar.

Si estás interesado en servicios de formación donde puedas ampliar tu conocimiento tanto ofensivo como defensivo, puedes consultar el Master de Ciberseguridad en Entornos Microsoft que hemos preparado en Verne para este 2021-2022.

Espero que os guste y lo probeis.

Gracias por leerme.

Reducción de la Fatiga de Alerta: inteligencia humana o artificial…

 Estimados amigos de Inseguros !!!

Si trabajas en un SOC o eres cliente seguramente te resultará sencillo entender el concepto de Fatiga de Alerta. Es muy descriptivo. Se produce cuando recibes al día 50 alertas con eventos sospechosos… pero que no dejan de ser un indicador de que el servicio está conectado … si un día no recibes esos correos, es porque el aplicativo o datasource se ha caído, poco valor más…

Mucho se ha escrito sobre este concepto, y sin duda, es algo que no se ha terminado de solucionar ya que hablando con clientes nos cuentan que sufren de este problema, que si bien una carencia de información les produce dudas sobre la calidad de la monitorización, un exceso produce la misma sensación.

Respecto al profesional que gestiona dichas alertas, la perspectiva es distinta. 

Pongamos por ejemplo un médico de atención primaria en época pre-Covid. Tu ibas con un dolor de cabeza, mal cuerpo, y te recetaba ibuprofeno cada 8 horas y si aparecía fiebre, paracetamol. 

Si tus síntomas se ampliaban a estornudos, tos, mucosidad, lo mismo, y algún paliativo contra los síntomas. Así paciente tras paciente… no literalmente ¡!! A ver… lo mismo hay un top 5 o top 10 diagnósticos habituales… 

Pero imagina que en ese momento vienes de un país del centro de África con posibilidad de haber contraído una enfermedad peligrosa y mortal, ¿mediante un mosquito… y tus síntomas son dolor de cabeza… mal cuerpo… crees que te van a hacer 4 análisis, 1 Tac, 23 pruebas de no se que?

El profesional sanitario sufre de una fatiga de alerta, de una monotonía, y es casi imposible que advierta de esa pequeña “alerta” de que un síntoma pueda ser algo más complejo que un proceso gripal…

Pongamos el ejemplo actual con un Covid campando por las gentes. Tu vas al médico por cualquier síntoma, y eres candidato a Covid, por qué? Fatiga de alerta. Te van a hacer 101 test especiales para ver si tu enfermedad es algo distinto? El primer día seguro que no, que te meten el palito hasta lo más hondo…

Siguiendo con el símil sanitario que tanto me gusta emplear, vamos a hablar de la inteligencia artificial, en concreto del machine learning. Vamos a poner en Google nuestros síntomas, a ver que nos recomienda la “experiencia” del buscador. Busques lo que busques, tienes un cáncer… El modelo de ML del algoritmo muchas veces no está bien planteado, o sufre desviaciones, no entiendo mucho de este tema, pero casi siempre que busco algo tengo cáncer, o tengo que comprar viagra o un rolex .

Vamos a poner un caso sencillo de fatiga de alerta, por ejemplo, un antivirus que se desactiva para actualizarse, puede que no tengamos la información de que se está actualizando y no podamos correlarlo con el “power off” por lo que no sabemos si un hecho del sistema o de un atacante. Si. ¡!!

Podríamos ver los procesos e intentar sacarlo por ahí, pero vamos a imaginar que no tenemos esa visión. 

En algunos clientes que implementamos estas alertas, nos dicen que “quitemos” la regla ya que genera muchos falsos positivos… pero si quitamos la regla… ya no podremos cazar cuando alguien pare el antivirus para campar por sus anchas…

Si cada vez que un antivirus realiza el update, podemos tener un patrón del tiempo que este tarda en actualizarse, ya que posiblemente tengamos cientos de equipos realizando esta acción. Con un entrenamiento de datos podríamos obtener una desviación, y alertar cuando se produzca un “power off” de un antivirus que lleve por ejemplo, 10 minutos apagado, cuando suele tardar 4 minutos en actualizarse… y hacer esto dinámico, que si un día hay un update grande, el sistema se “actualice” y dispare la anomalía con los valores necesarios.

En este caso quizás el machine learning nos pueda ayudar, sin duda, si nos permite seguir monitorizando cuando un antivirus se apaga, y nos permite no tener 120 falsos positivos al día, el ML nos habrá ayudado. Solucionado la vida? Despedimos a los humanos? Todo ahora es ML? NO ¡!! Con calma, con inteligencia, con sentido común…

Pero si la solución 100% efectiva no es la inteligencia artificial, deberíamos introducir algún concepto en la “inteligencia” normal de nuestros operadores. Otro concepto que no invento es el de la inteligencia situacional, o inteligencia 360… que tiene más nombre de producto.

No es lo mismo una alerta de una posible subida de una webshell a una empresa con un Wordpress, que una empresa con una fuerte presencia e-commerce, y que él mismo ha sufrido un cambio importante hace una semana. Es la misma alerta, pero el contexto informa de lo posible y lo probable. Es mucho más probable que el ataque sea en el segundo caso, que en el primero. Esto es lo que deberíamos llamar inteligencia situacional.

Al final todos los eventos, alertas, sospechas de incidentes son importantes. Si como le decimos a los clientes, lo suyo sería que nunca te enviemos un correo, pero por suerte o por desgracia, hay ocasiones en las que tenemos que decirte: “eh. ¡! Has sido tu” ¿

Pongamos el ejemplo de un usuario que se hace administrador del dominio…, a las 18:00, porque si es a las 4:00 am si le vamos a dar peso, pero imagina a las 18:00… ¿quien lo ha metido al grupo? Este usuario ha hecho login local o por vpn, o por rdp desde un equipo que no es el suyo habitual… al final hay maneras de investigar la alerta y no generar preocupación al cliente, pero muchas veces no es así, y la fatiga de alertas puede que nos lleve por el camino de la confianza, y dejemos de hacer bien nuestro trabajo.

Volviendo al principio, seguro que si eres del lado operador o del lado cliente, te suenan todas estas cosas, y tenemos claro que debemos mejorar, tanto por la parte humana, como por la parte “artificial”.

 Qué opinas?

Como has podido ver, seguimos con esa visión de aportar elementos ofensivos y defensivos, según el role que te toque desempeñar.

Si estás interesado en servicios de formación donde puedas ampliar tu conocimiento tanto ofensivo como defensivo, puedes consultar el Master de Ciberseguridad en Entornos Microsoft que hemos preparado en Verne para este 2021-2022.

Como siempre, gracias por leerme ¡!!

Ciberseguridad en Sistemas Windows: La batalla del bien contra el mal

https://blogvisionarios.com/e-learning/articulos-ciberseguridad/ciberseguridad-en-sistemas-windows/

Azure Sentinel: Servicios SOC para tu SIEM

https://blogvisionarios.com/e-learning/articulos-ciberseguridad/azure-sentinel-servicios-soc-para-tu-siem/

Azure Sentinel: De 0 a 100. Episodio 6: WatchList por ejemplo de claves de registro interesantes

https://blogvisionarios.com/e-learning/articulos-ciberseguridad/azure-sentinel-watchlist/

Azure Sentinel: De 0 a 100. Episodio 5: Detecciones RDP y fortificaciones

https://blogvisionarios.com/e-learning/articulos-ciberseguridad/azure-sentinel-detecciones-rdp-fortificaciones/

Azure Sentinel: De 0 a 100. Episodio 4 “Treath Intelligence en tus investigaciones”

https://blogvisionarios.com/e-learning/articulos-ciberseguridad/azure-sentinel-de-0-a-100-episodio-4-treath-intelligence-en-tus-investigaciones/

El Laboratorio de: @jorgewebsec

Estimados amigos de Inseguros !!!

Hace unos días publiqué un mini post con mi pequeño escenario de máquinas virtuales y laboratorios. 

Para hacer gala de esos amigos que tengo, les pedí a algunos de ellos que me pasaran su configuración de guerra, y uno de ellos ha sido mi amigo de tierra del sur George de Triana.

Os paso su "proyecto" de artículo que no tiene desperdicio, y aprovecho para agradecerle su esfuerzo, y para seguir animándote a que me envíes el tuyo.

Mi Lab a ritmo de Lola Flores

Un 8 de febrero a las 12:28, Jorge se disponía a celebrar el medio día con su primera Cruzcampo. Sin embargo, fue interrumpido por el Gran Kinomakino que le sugirió:

Desde entonces, Jorge, ha estado escribiendo día y noche este texto. Sin embargo, un ataque sofisticado por la mafia Mahouritiña Italia borró un artículo de 60 páginas, con su índice, pies debajo de las imágenes, conclusiones, resumen ejecutivo, etc. Recordad, Libre Office no tiene autoguardado por defecto.

Fuera de bromas:

Antes de empezar es importante que entendías a qué me dedico y porque tengo montado lo que veréis más adelante en el artículo. 

Sin hacer mucha <<promoció>>, a lo David Broncano autopromocionando su programa, actualmente soy el CTO del grupo Lazarus Tecnhology y quitándole peso al cargo, mi trabajo consiste en gestionar un equipo de desarrollo, forense informático y OSINT. Aunque estoy todo el día metido en el fango y por eso tantas cosas diferentes. Podemos decir que soy multidisciplinar. Eso sí, maestro de nada. Además, del resto de trabajo que hago en formación, que me encanta, es el motivo de gran parte de este cacao de infraestructura física y virtual.

Podemos decir que dispongo de 2 ordenadores con los que suelo trabajar y un Visual Code que me dejará ciego algún día:

• - Un portátil Erazer Gaming Notebook con Windows, 32 GB de RAM y con las siguientes VM
• o Virtualbox con:
• Kali Linux 2021 para las auditorias 
• Caine 7 y Caine 11 para peritajes informáticos
• Ubuntu 18.0 
• Debian 9 con Falco
• Huron para OSINT
• AndroL4b para análisis de APKs
• Metasploitable3 
•  Un portátil MSI con 16 GB de RAM y un I7 de octava generación, una SSD de 1 TB y con Ubuntu 20
• o Proxmox con:
• Windows XP
• Linux Lite que lo uso para visitar páginas que no me fio y navegar por TOR
• En su día también tenía un entorno como sandboxing pero con ANY.run he dejado de usarla
• La realidad es que lo que más uso es Visual Code y JupyterLab. Ese es mi verdadero laboratorio porque es donde desarrollo mis scripts y aplicaciones que me ayuda en los forenses e investigaciones informáticas.
• También uso mucho para mis formaciones desde hace poco GSN3, una herramienta que me ha permitido crear redes virtuales y hacer POCs muy interesantes. 
• Para facilitar la comunicación entre los portátiles tengo una NAS, pero también con el uso de la Nube lo he ido dejando. Sin embargo, en casos de forenses informáticos es de gran utilidad por ejemplo para hacer volcado de memorias por la red.

Por lo demás, no tengo un rack de 10 unidades, pero si una cajonera que he hecho con madera para mi Router, pero no puedo enseñarla. Y lo más cercano a lo maker ha sido una Raspberry pi con un sensor de movimiento que estoy haciendo para que cada vez que mi abuela abra una puerta que la lleva al patio del edificio suene Lola Flores. 

Os dejo una versión que he hecho:

Si en el kernel poder yo tuviera
Esta noche negra lo mismo que un powershell
Con un git push de luna lunera
Cortaría los hierros de tu wireguard
Si yo fuera reina de tu active directory
Del RPD y del Windows Server
recompensa yo te mandaría
Por tu libertad

Espero que os sea útil y os he dejado los enlaces en cada una de máquinas y aplicaciones por si os es interesante.

Un saludo.

Vuestro amigo y vecino de Triana. 

Azure Sentinel: De 0 a 100. Episodio 3 “Monitorización de Exchange Proxylogon”

https://blogvisionarios.com/e-learning/articulos-ciberseguridad/azure-sentinel-de-0-a-100-episodio-3-monitorizacion-de-exchange-proxylogon/

Azure Sentinel: De 0 a 100. Episodio 2

https://blogvisionarios.com/e-learning/articulos-ciberseguridad/azure-sentinel-de-0-a-100-episodio-2/

El laboratorio de: kino

 Estimados amigos de Inseguros !!!

Voy a empezar una mini serie de artículos relacionados con los laboratorios que tenemos en nuestro entorno.

El tener una buen despliegue de los recursos que necesitas es fundamental para estudiar y hacer prácticas.

En mi caso os voy a contar el setting que tengo ahora mismo, pero suele cambiar según voy petando cosas :-)

Espero que se animen los coleguis. y mostraros más laboratorios. Empiezo yo...

Mi equipo de trabajo es un MacBookPro con 16gb de ram con el sistema operativo nativo y una máquina virtual Kali linux con 8gb Ram. Con estas dos máquinas me garantizo poder operar en mis desplazamientos si surgen en algún cliente, charla, reunión, etc.

Aparte de esto tengo dos equipos clónicos, un i3/32 GB RAM/1tb SSD/1tb HD con un windows 10. Sobre el Windows 10 monto Hyper-v y ahí tengo unas cuantas máquinas. Esa máquina 10 la suelo configurar con Commando, ya sabes, la configuración de FireEye con herramientas de hacking.

El otro clónico lo tengo poco tiempo, es un i7/64/1tb ssd/ 1tb hd con un vmware esxi y otro puñadito de máquinas. 

Cuando necesito otro tipo de casuísticas, por ejemplo laboratorios que voy a usar fuera de casa, para exponer a internet, suelo usar Azure. Para desplegar máquinas en Azure suelo usar algunos scripts que me automatizan el setting, por ejemplo, aquí hablamos de como montar un entorno Active Directory con Sysmon y ELK

Con más de 100 gb de ram a mi disposición, más Azure más cositas en la empresa, tengo suficiente para virtualizar mis máquinas y películas.

Espero que te guste, si tienes dudas de mi laboratorio no dudes en preguntar !!!

Gracias por leerme !!!

Azure Sentinel De cero a cien: Episodio 1

https://blogvisionarios.com/e-learning/articulos-ciberseguridad/azure-sentinel-de-cero-a-cien-episodio-1/

Tips And Tricks: Limitar las búsquedas de objetos en Active Directory

 Estimados amigos de Inseguros !!!

Hoy vamos a ver un pequeño truco que os puede aportar valor tanto si sois del Red Team y queréis "romper" como si luchas contra esto en el Blue Team. 

En un proceso de hacking en sistemas Microsoft el principal elemento a tener en cuenta es la enumeración. No se si el más importante o no, pero al menos es el movimiento inicial una vez te "sientas" en la organización.

Hay mil maneras de enumerar activos en AD, pero el más sencillo es usar el entorno gráfico, el botoncito, y buscar por ahí...

Como se puede comprobar, podemos buscar usuarios, equipos, etc.

Hay varias configuraciones de seguridad para impedir la enumeración de activos, una de ellas es quitar la rama de Mi red de los acceso directos y así no tener la posibilidad de que aparezca el botón...

Pero los chicos malos saben que haciendo   cmd.exe /c rundll32 dsquery,OpenQueryWindow tenemos acceso a esa interface.

La mejor manera de impedir el uso de esta funcionalidad es limitar el tamaño de respuestas que podemos dar al usuario. Podemos definir un valor de 0, y de esta manera podemos evitar que un usuario "curioso" pueda estar cotilleando nuestro AD. El setting es una GPO tan sencilla como esta:

Recuerda activarlo solo para los usuarios que debas, porque por ejemplo, cuando estás haciendo permisos NTFS en un directorio... y quieres aplicarlos a un usuario o grupo... y le das a buscar... ahí también sufres la restricción, no es solo desde ese botón que comento, es sobre todas las búsquedas.

Espero que te sirva de ayuda el levantar el GUI con el comando en alguna auditoría, o si estás en la trinchera sepas un poco más de esta GPO.

Gracias por leerme.