miércoles, 17 de marzo de 2021

El Laboratorio de: @jorgewebsec


Estimados amigos de Inseguros !!!

Hace unos días publiqué un mini post con mi pequeño escenario de máquinas virtuales y laboratorios. 

Para hacer gala de esos amigos que tengo, les pedí a algunos de ellos que me pasaran su configuración de guerra, y uno de ellos ha sido mi amigo de tierra del sur George de Triana.


Os paso su "proyecto" de artículo que no tiene desperdicio, y aprovecho para agradecerle su esfuerzo, y para seguir animándote a que me envíes el tuyo.

Mi Lab a ritmo de Lola Flores

Un 8 de febrero a las 12:28, Jorge se disponía a celebrar el medio día con su primera Cruzcampo. Sin embargo, fue interrumpido por el Gran Kinomakino que le sugirió:


Desde entonces, Jorge, ha estado escribiendo día y noche este texto. Sin embargo, un ataque sofisticado por la mafia Mahouritiña Italia borró un artículo de 60 páginas, con su índice, pies debajo de las imágenes, conclusiones, resumen ejecutivo, etc. Recordad, Libre Office no tiene autoguardado por defecto.

Fuera de bromas:

Antes de empezar es importante que entendías a qué me dedico y porque tengo montado lo que veréis más adelante en el artículo. 

Sin hacer mucha <<promoció>>, a lo David Broncano autopromocionando su programa, actualmente soy el CTO del grupo Lazarus Tecnhology y quitándole peso al cargo, mi trabajo consiste en gestionar un equipo de desarrollo, forense informático y OSINT. Aunque estoy todo el día metido en el fango y por eso tantas cosas diferentes. Podemos decir que soy multidisciplinar. Eso sí, maestro de nada. Además, del resto de trabajo que hago en formación, que me encanta, es el motivo de gran parte de este cacao de infraestructura física y virtual.

Podemos decir que dispongo de 2 ordenadores con los que suelo trabajar y un Visual Code que me dejará ciego algún día:

  • - Un portátil Erazer Gaming Notebook con Windows, 32 GB de RAM y con las siguientes VM
    • o Virtualbox con:
    • o Proxmox con:
      • Windows XP
      • Linux Lite que lo uso para visitar páginas que no me fio y navegar por TOR
      • En su día también tenía un entorno como sandboxing pero con ANY.run he dejado de usarla
      • La realidad es que lo que más uso es Visual Code y JupyterLab. Ese es mi verdadero laboratorio porque es donde desarrollo mis scripts y aplicaciones que me ayuda en los forenses e investigaciones informáticas.
      • También uso mucho para mis formaciones desde hace poco GSN3, una herramienta que me ha permitido crear redes virtuales y hacer POCs muy interesantes. 
      • Para facilitar la comunicación entre los portátiles tengo una NAS, pero también con el uso de la Nube lo he ido dejando. Sin embargo, en casos de forenses informáticos es de gran utilidad por ejemplo para hacer volcado de memorias por la red.


Por lo demás, no tengo un rack de 10 unidades, pero si una cajonera que he hecho con madera para mi Router, pero no puedo enseñarla. Y lo más cercano a lo maker ha sido una Raspberry pi con un sensor de movimiento que estoy haciendo para que cada vez que mi abuela abra una puerta que la lleva al patio del edificio suene Lola Flores. 

Os dejo una versión que he hecho:


Si en el kernel poder yo tuviera
Esta noche negra lo mismo que un powershell
Con un git push de luna lunera
Cortaría los hierros de tu wireguard
Si yo fuera reina de tu active directory
Del RPD y del Windows Server
recompensa yo te mandaría
Por tu libertad


Espero que os sea útil y os he dejado los enlaces en cada una de máquinas y aplicaciones por si os es interesante.

Un saludo.

Vuestro amigo y vecino de Triana. 

lunes, 8 de febrero de 2021

El laboratorio de: kino

 Estimados amigos de Inseguros !!!

Voy a empezar una mini serie de artículos relacionados con los laboratorios que tenemos en nuestro entorno.

El tener una buen despliegue de los recursos que necesitas es fundamental para estudiar y hacer prácticas.

En mi caso os voy a contar el setting que tengo ahora mismo, pero suele cambiar según voy petando cosas :-)

Espero que se animen los coleguis. y mostraros más laboratorios. Empiezo yo...

Mi equipo de trabajo es un MacBookPro con 16gb de ram con el sistema operativo nativo y una máquina virtual Kali linux con 8gb Ram. Con estas dos máquinas me garantizo poder operar en mis desplazamientos si surgen en algún cliente, charla, reunión, etc.

Aparte de esto tengo dos equipos clónicos, un i3/32 GB RAM/1tb SSD/1tb HD con un windows 10. Sobre el Windows 10 monto Hyper-v y ahí tengo unas cuantas máquinas. Esa máquina 10 la suelo configurar con Commando, ya sabes, la configuración de FireEye con herramientas de hacking.

El otro clónico lo tengo poco tiempo, es un i7/64/1tb ssd/ 1tb hd con un vmware esxi y otro puñadito de máquinas. 

Cuando necesito otro tipo de casuísticas, por ejemplo laboratorios que voy a usar fuera de casa, para exponer a internet, suelo usar Azure. Para desplegar máquinas en Azure suelo usar algunos scripts que me automatizan el setting, por ejemplo, aquí hablamos de como montar un entorno Active Directory con Sysmon y ELK

Con más de 100 gb de ram a mi disposición, más Azure más cositas en la empresa, tengo suficiente para virtualizar mis máquinas y películas.

Espero que te guste, si tienes dudas de mi laboratorio no dudes en preguntar !!!

Gracias por leerme !!!

jueves, 4 de febrero de 2021

Tips And Tricks: Limitar las búsquedas de objetos en Active Directory

 Estimados amigos de Inseguros !!!

Hoy vamos a ver un pequeño truco que os puede aportar valor tanto si sois del Red Team y queréis "romper" como si luchas contra esto en el Blue Team. 

En un proceso de hacking en sistemas Microsoft el principal elemento a tener en cuenta es la enumeración. No se si el más importante o no, pero al menos es el movimiento inicial una vez te "sientas" en la organización.

Hay mil maneras de enumerar activos en AD, pero el más sencillo es usar el entorno gráfico, el botoncito, y buscar por ahí...


Como se puede comprobar, podemos buscar usuarios, equipos, etc.

Hay varias configuraciones de seguridad para impedir la enumeración de activos, una de ellas es quitar la rama de Mi red de los acceso directos y así no tener la posibilidad de que aparezca el botón...

Pero los chicos malos saben que haciendo   cmd.exe /c rundll32 dsquery,OpenQueryWindow tenemos acceso a esa interface.

La mejor manera de impedir el uso de esta funcionalidad es limitar el tamaño de respuestas que podemos dar al usuario. Podemos definir un valor de 0, y de esta manera podemos evitar que un usuario "curioso" pueda estar cotilleando nuestro AD. El setting es una GPO tan sencilla como esta:


Recuerda activarlo solo para los usuarios que debas, porque por ejemplo, cuando estás haciendo permisos NTFS en un directorio... y quieres aplicarlos a un usuario o grupo... y le das a buscar... ahí también sufres la restricción, no es solo desde ese botón que comento, es sobre todas las búsquedas.

Espero que te sirva de ayuda el levantar el GUI con el comando en alguna auditoría, o si estás en la trinchera sepas un poco más de esta GPO.

Gracias por leerme.


miércoles, 23 de diciembre de 2020

Firma de scripts Powershell para cumplimiento elevado

 Estimados amigos de Inseguros !!!

El tema de hoy es la risa, porque no conozco empresa que lo tenga bien, y mira que doy vueltas por compañías de todo tipo...

Ejecución de scripts en Powershell. Recuerdo cuando se introdujo su uso, o mejor dicho, popularizó, con Server 2012 ejecutabas un script y no tiraba. En internet calculo que hay un millón y medio de post diciendo cómo desactivar la política de ejecución de scripts en Windows. ( 500.000 en castellano).

Hablo del famoso set-execution policy unrestricted

No voy a entrar en todos los modos que hay, ni los ámbitos de aplicación, ni como "hackear" esto. Voy a comenzar por el principio.

Por qué no dejas la configuración de ficheros firmados, e implementas la buena práctica de usar scripts firmados, o auto-firmados... pero desactivarlo la primera vez que usas PS y dejarlo así? así no my friend !!!

Los pasos son sencillos. Debemos instalar una Entidad emisora de Certificados como un role en nuestro server favorito. Siguiendo cualquier documental en video, o en Twich ( algún día opinaré sobre esto xD) o siguiente siguiente, podrás instalar por defecto una CA, que te vendrá bien para firmar tus apps internas, tu EFS, tu IPSEC o cualquier otro servicio que requiera de certificados dentro del dominio. En este caso, solo firmar tus scripts...

Con la CA instalada, el proceso es sencillo. Configuramos en la plantilla de certificados qué usuario o grupo podrá firmar scripts PowerShell.


Con esta modificación, o dejándolo por defecto para los administradores del dominio, habilitamos la plantilla para que esté disponible.


Ahora es el turno de cargar el complemento Certificados, en el almacén personal, solicitar un nuevo certificado de firma de código a la CA.


Una vez solicitado, exportamos el certificado que usaremos para cifrar.

Creamos una GPO e indicamos que este certificado es válido, de confianza. De esta manera podremos confiar en este script firmado en todo el dominio.


Después de una actualización Gpupdate, compruebo que tengo la política habilitada de solo firmados, ejecuto cualquier script chorra ( echo "hola mundo" ) y no lo ejecutará.

Firmas el script, y lo ejecutas y lo tienes...

$cert=(dir cert:currentuser\my\ -CodeSigningCert)
Set-AuthenticodeSignature ‘.\hello.ps1' $cert


Mira el contenido del script. Crees que si lo modificas la firma funcionará o tendrás que volver a firmarlo?

Sabes cómo ver las políticas de ejecución en tu dominio? Cómo cambiarlas? Cómo detectar si alguien quiere hacer un bypass? Sabes cómo hacer un bypass?



Estamos preparando el mejor curso de ciberseguridad Microsoft en castellano y tienes la posibilidad de recibir la información y descuento cuando salga. Si te interesa, apunta tu correo en el formulario y te informaré de las novedades.

Mientras tanto, y como siempre, me tienes aquí gratis para lo que necesites !!!

Gracias por leerme !!!


jueves, 17 de diciembre de 2020

Envía mail desde Powershell sin escribir a fuego la password en el fichero...

 Estimados amigos de Inseguros !!!

Creo que el título es suficientemente descriptivo como para todos los telespectadores xD pero por si acaso...

Un caso sencillo de scripts de envío de correo podría ir vinculado a un evento determinado, o por ejemplo una tarea programada que falla... los casos son muchos.


Escribir un script en Powershell para enviar correos es sencillo, pero tener una $password="12345678" es una mala práctica, porque los malos saben que lo haces/hacemos... y buscan en todo tipo de referencias buscando este tipo de comportamientos.

El procedimiento es más bien sencillo:

Volcamos en un fichero de texto la contraseña cifrada y hacemos el envío del correo ( o cualquier uso de credenciales)recuperando la clave cifrada y haciendo la magia descifrado.

El churro sería algo así:

"CacadeVaca123" | ConvertTo-SecureString -AsPlainText -Force | ConvertFrom-SecureString | Out-File "C:\EmailPassword.txt"

$Mensaje = "mimamamemima"
$User = "notificacionempresalab@gmail.com"
$File = "C:\EmailPassword.txt"

$cred=New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList $User, (Get-Content $File | ConvertTo-SecureString)

$EmailFrom = "test_empresalab@gmail.com"

$EmailTo = "kinomakino_mecome_el_pepino@hotmail.com"

$Subject ="Alerta de registro."

$Body = "Se ha modificado el registro con ID $Mensaje"

$SMTPServer = "smtp.gmail.com"

$SMTPClient = New-Object Net.Mail.SmtpClient($SmtpServer, 587)

$SMTPClient.EnableSsl = $true

$SMTPClient.Credentials = New-Object System.Net.NetworkCredential($cred.UserName, $cred.Password); 

$SMTPClient.Send($EmailFrom, $EmailTo, $Subject, $Body) 

El comando ConverTo-SecureString hace uso de DPAPI ( Data Protection API) para usando un algoritmo de cifrado ( AES 256 en versiones modernas, 3DES en antiguas) para montar un hash en base al propio hash de la clave del usuario.

Si quieres conocer en profundidad cómo funciona el proceso de cifrado a bajo nivel, este es el mejor artículo que conozco.

Si te gustan estos artículos, hemos habilitado un formulario en la web para registrar tu correo y enviarte información para posibles formaciones de Ciberseguridad. Te apuntas?

Gracias por leerme !!!