miércoles, 8 de abril de 2020

Paso de la CoronaCon: nos vemos en las charlas !!!

Estimados amigos de Inseguros !!!

Del norte y del sur, de España y de Colombia, de Argentina y de Chile, de Madriz y de Cadiz, este artículo lo lee gente de todas las ubicaciones.

Por supuesto, de todas las clases, gente que empieza, gente que busca hackear el facebook de la novia, gente profesional, amigos, arañas, botnets etc.

Como es normal, todos tenemos discrepancias, pero hay algo que nos une, la ciberseguridad.

Unos por estilo de vida, otros por trabajo, otros como sueño, otros por desgracia... pero no lees este blog por mis opiniones políticas o por mis gustos musicales. no creo. Hay algunas visitas que añoran mi físico y mi persona... pero son pocas :-)

Dicho esto, varios amigos han organizado una movida colaborativa desinteresada de hacking, la famosa : https://c0r0n4con.com/ una reunión de ciberseguridad, de muchos niveles, incluso algunos que no son de ciber... pero eso lo opino yo, otros no, pero lo importante, es una recaudación para fondos de Cruz Roja para ayudar contra el Coronavirus Covid19.



No soy muy amigo de muchos de los que salen, en cuestiones humanitarias, tengo mis reservas de en qué tipo de proyectos contribuir, tengo mil opiniones, sobre la pizza con piña, con Windows y linuz y sobre las rubias o las morenas,  pero voy a ser sencillo y directo:

Me gusta ayudar y he contribuido con mi aportación a cruz roja.

Me gustan algunas charlas y las he agendado para verlas.

Todo lo demás, no me importa. Hay charlas a las que dedicaría sendos artículos en el blog, para bien, y otras para mal :-) Pero no importa !!!

No importa tu empresa, la mía, los logotipos, las intenciones ocultas, no me importa nada.

Estos días de semana santa voy a ir a https://c0r0n4con.com/  tu vas? qué charlas quieres ves?

Este conferencia se puede usar para los técnicos? para un comercial que quiera coger habilidades, para el padre de un menor, para un menor, para todo tipo de públicos.

Un saludo y gracias por leerme.

Y sobre todo GRACIAS a los que estáis detrás de la organización. Yo no soy "de esos" , pero reconozco el mérito.


sábado, 4 de abril de 2020

No more Kali over Windows: Kali en el subsistema linux para Windows

Estimados amigos de Inseguros !!!

Es habitual que uses tu sistema operativo favorito para realizar las tareas de hacking habituales.

El portable Java, python, perl, etc hace que cualquier aplicación diseñada en cualquier intérprete portable puede ser usado en tu Mac favorito, Windows, Linux o Amstrad CPC...


No obstante, es conocido el uso de la distribución "hacker" kali linux que seguro has podido escuchar y disfrutar.

Al final, lo importante siempre son los conceptos y los procesos. Las herramientas pueden cambiar, la manera de afrontar un problema, un objetivo, pero teniendo claro el concepto, la elección de la herramienta adquiere otros tintes como facilidad de uso, velocidad, capacidades, etc etc

Lo que sí es muy común es que los que se inician, los que prueban, o los que como yo prefiero otro sistema operativo HOST distinto a kali, usemos virtualización para montar la típica Kali linux sobre VirtualBox o similar.

Pero me pregunto varias cuestiones. Hace más de un año apareció el WSL Windows subsystem for linux, un "intérprete" del sistema operativo para portar las funciones de Windows a Linux y viceversa. Entonces, si puedes usar comandos y funciones Linux nativamente en Windows, por qué no usar Kali en WSL ? La propia distro nos dice cómo hacerlo...


Pero hasta aquí quizás nos sepa a poco. Kali es "algo" más que las aplicaciones de consola... tiene herramientas que la gente usa con GUI, el manejo de ficheros, yo que se !!! muchas veces es interesante emplear el GUI completo.

Para ello, podemos usar un servidor de ventanas compatible con Windows como VcXsrv para poder hacer eso, visualizar las pantallas del desktop en el subsistema para linux.

El resultado es que puedes tener el frontal gráfico Kali en WIndows nativamente, ahorrandote la paravirtualización necesaria con VirtualBox, o la virtualización de Hyper-V o similar...


Al final está ahorra complejidad a la virtualización y tendrás los x giga de ram de tu host disponibles en tu linux, así como las carpetas...

Las teclas del piano las tienes en los respectivos enlaces y hay mucha información al respecto, lo que si que me llama la atención es la poca adopción que tiene este "despliegue" que aunque parece más complejo, es mucho más sencillo.

Espero que te guste y lo pruebes !!!

viernes, 3 de abril de 2020

Indicadores clave de proceso en ciberseguridad y SOC

Estimados amigos de Inseguros !!!

Espero que esteis bien !! pero qué es bien? sano? alegre? con dinero? lo contrario a mal? :-)

Las mediciones suelen estar orientadas a la interpretación de los datos.

En la parte de la amenazas, en la parte un poco de SOC, me gusta emplear la típica pirámide del dato:


Podemos tener datos de que tu gesto es feliz. 
Podemos tener datos de que está la tv encendida.
Podemos tener información en la que te estas riendo.
Podemos tener conocimiento, y es que te acaban de contar un chiste.
Podemos tener sabiduría e interpretar que estas contento porque estás viendo un monólogo en la tv que te gusta.

Quizás no sea el mejor de los símiles, pero me vale.

CyberBit


Ahora vamos a llevarlo al entorno de la ciberseguridad, en concreto en el departamento SOC.

Es muy importante diferenciar los KPI´s de un SOC relacionados a medir la seguridad qué proporcionan a la organización respecto a los que miden el proceso interno y como se mejora.

Tenía esta discusión con un gran profesional de la materia que me enseña mucho, y consideraba que muchos KPI´s que le mencionaba no medían la seguridad real. Pongo el ejemplo de número de eventos. El número de eventos, que la tendencia sea al alza no significa que vayas a medir más o mejor el estado de la ciberseguridad, ya que muchos no servirán para nada más que incrementar el coste :-) pero si que puede ser un indicador interno del estado del despliegue del SOC con nuevos Data Sources. Una vez que esté estable el número de eventos se pueden consolidar servicios y pasar a otros. O la detección de un incremento brusco de eventos de por si puede ser interpretado como una anomalía... Al final, cada organización busca el valor donde y como puede.

Demisto

Tener KPI´s para medir la efectividad del proceso, o en este caso, del servicio que ofrecemos es básico para saber si realmente estamos "felices" o tenemos que hacer movimientos en uno o varios sentidos.

Lo básico de los KPI´s en cualquier iniciativa es que tienen que cumplir varios criterios:

SIMPLES: Tienen que ser sencillos de medir. No puede tener incidencia sustancial en el proceso en sí la parte de medición. Es decir, que no te cueste medir más el zapato que hacerlo...

MEDIBLE: Tienen que ser medibles, cualitativa y cualificativamente.

ACCION: Tiene que ser información que aporte valor, que ofrezca respuestas, que puedan ser usados para realizar acciones. Si no, tener datos por tener no tiene valor.

RELEVANTES: En relación con el anterior punto, si la información que proporciona no nos lleva a ningún camino, no debe ser usado. Puede que el KPI no desprenda una acción concreta, pero si ampliar el contexto de información.

TIEMPO: Debe ser un valor que se pueda agrupar o relacionar en el tiempo.

Vamos a poner unos ejemplos de KPI´s básicos que todo SOC o centro de operaciones debe tener. Cuando hablamos de SOC nos referimos a internos o externos. Muchas veces no hay un SOC definido como tal, pero hay 5 personas dedicadas a la ciberseguridad...

Número de dispositivos monitorizados. Lo normal es que todos los servers expuestos a riesgos estén monitorizados, por ejemplo, los expuestos a internet, seguidamente de los que el riesgo sea algo aún siendo interno, y como último todos los servidores.

La tendencia en este KPI´s debe ser la tendencia, si realmente vamos monitorizando cada vez más dispositivos o estamos estancados.

La métrica empleada, el dato, podría ser número de eventos y número de eventos por analista. 

Podemos medir la carga del departamento para requerir más recursos...

Cuando hablamos de dispositivos, podemos extender dicho concepto a aplicaciones.

Los falsos positivos son otra fuente de información muy útil a medir, ya que podemos identificar eventos que producen muchos falsos positivos para mejorarlos.

En los verdaderos positivos, los incidentes, medir qué Data Source y Eventos concretos son los que han participado en la detección.

En la respuesta de incidentes tenemos los típicos MTTD ( tiempo medio de detección) , MTTF (tiempo medio de fallo) , MTBF (tiempo medio entre fallos) , MTTR (tiempo medio de resolución) pero todos estos datos están muy claros explicados en muchas páginas

Aunque algunos KPI´s básicos y que todos los SOC´s creo que compartimos alguno, es un ejercicio interno que tienen que hacer las organizaciones para saber como decíamos, qué datos les aportan valor. Pongo un ejemplo tonto, si solo manejas un SIEM, medir la efectividad del mismo respecto a otro ... o si solo tienes una sede, o un cliente interno... al final todas estas casuísticas determinan qué KPI´s usar.

No pretendo sentar cátedra de que haya que usar unos u otros, simplemente fomentar el uso de estos indicadores clave de procesos para la mejora de nuestros SOC´s !!!

Un saludo y gracias por leerme !!!



lunes, 30 de marzo de 2020

Mind Manager y similares: esconde tus payloads en formato brainstorm

Estimados amigos de inseguros !!!

En el mini artículo de hoy os paso un pequeño truco o vector de ataque para meter ty payload, tu malware, tu stager, lo que quieras !!!


El concepto es muy sencillo. Conoces herramientas como Mind Manager? Son herramientas muy útiles para gestionar mini proyectos o ideas en fase de "servilleta". Yo las uso mucho para ordenar personalmente esas ideas.

Te suena verdada? muy utilizada por empleados en las empresas, sobre todo por directivos "modernillos". Como puedes ver en el ejemplo, dentro de las mil cosas que hacen , puedes añadir ficheros a las ramas. En este ejemplo añado un fichero de una imagen, en FOTO de ejemplo.


Entonces, y si escondemos nuestro fichero malicioso exe en una de esas ramas...


Seguramente nuestros directivos objetivo están acostumbrados a no hacer caso a ciertos ficheros, ciertos comportamientos del correo, pero quizás dentro de la confianza de abrir el fichero de mind manager, su "defensa" humana baje y pueda ser usada como mecanismo de ocultación de nuestro malware...

Esto no quiere decir que nuestro sistema de antivirus no detecte el fichero, hacer indetectable el fichero al antivirus del cliente es otro arte que si bien es conocido, no es el objetivo de este post.

No obstante, algunos antivirus chusqueros ni evalúan el fichero...




Espero que te sirva de ayuda para tus procesos benignos de pentest, y para reforzar esa formación a nuestros usuarios, en cualquier sitio puede estar el bichito... xDDD

Un saludo, gracias por leerme !!!

DISCLAIMER: este comportamiento por supuesto que no lo he inventado yo, es fruto del trabajo del SOC y su trabajo de análisis de amenazas... vamos... que los malos lo saben...

jueves, 26 de marzo de 2020

Usar BloodHound Ingestor en entornos hard: Presentationhost.exe

Estimados amigos de Inseguros !!!

Seguro que conoces la herramienta BloodHound para enumeración de dominios. Llevamos años disfrutando de esta pedazo de herramienta que te muestra gráficamente "los pasos" a seguir para liquidarte un Active Directory... bueno entre comillas...

Como sabes, la herramienta se basa en una parte servidora y un cliente o "ingestor" que recopila los gráficos contra Active Directory para su posterior visionado. Bien...

La teoría siempre es buena, pero la práctica a veces se complica, por ejemplo, con un antivirus de nueva generación que me detecta el uso del "ingestor" tanto por exe, como por Powershell.

Gracias al proyecto del señor https://twitter.com/jpg1nc y su proyecto, nos pone en nuestras manos la solución. Usar Presentationhost.exe un lolbins del sistema que no "pasa" por el radar de applocker, antivirus y demás.

Presentationhost.exe es un binario del sistema que ejecuta aplicaciones XAML en el contexto del navegador pero bajo el proceso presentationhost, como decíamos, "inmume" a la detección a fecha de hoy...

El autor nos indica cómo podemos "llamar" a un binario compilado en C# que es el ingestor original, pero en lenguaje .net. De esta manera se pueden evitar restricciones de Powershell.

Entonces, teniendo el método desarrollado, podemos iniciar el proceso en nuestra máquina víctima:
presentationhost.exe path/to/sharphound.xbap


La llamada a la aplicación nos abrirá un internet explorer con la llamada al ingestor.





Imagina la cantidad de llamadas que podemos hacer usando este método. Mil gracias al desarrollador !!!

Aunque me gustaría, la idea no es mía y el artículo original pertenece a este tipo. Mi intención es solo divulgativa y a efectos personales de chuleta.
Related Posts Plugin for WordPress, Blogger...