https://blogvisionarios.com/e-learning/articulos-ciberseguridad/episodio-1-hacking-azure-office-365-ad-connect/
martes, 31 de agosto de 2021
Simulación de adversarios: Infection Monkey
Estimados amigos de Inseguros !!!
Hace unos años que comencé a hablar de esta herramienta de simulación de adversarios que me sorprende mucho, ya que tiene un potencial brutal, pero poca gente usa.
El concepto es muy sencillo, suelta al mono por tu red, y a ver donde llega :-)
Infection Monkey se compone de una parte servidor de control y un agente, que haciendo uso de distintas métodos, intenta "hackear" tu red de manera controlada hasta donde pueda...
El principio comienza con unos cuantos doble clicks para tener la herramienta instalada en nuestros Windows.
Podría tener ejecutando el ransomware.exe en el equipo a, y cifrar el equipo b por una carpeta compartida... o ejecutar el ransomware.exe en el equipo b y seguir la cadena. Este último ha sido el caso.
lunes, 30 de agosto de 2021
Listado de bloqueos de LOLBins de Microsoft con WDAC
Estimados amigos de Inseguros !!!
Mucho se ha hablado ya de los LolBins por la red, pero por si no están al tanto...
El concepto LolBins, LoLBans es la manera que tenemos de identificar ejecutables y funciones del sistema operativo diseñados para un cometido, pero que pueden ser usados para un fin un tanto..."alternativo"...
El contexto de esto es muy sencillo. Imagina que se compromete un servidor Windows, por el fallo que sea, una vez comprometido debemos realizar otras acciones, escalado, movimientos, exfiltración... lo que sea que tengamos como objetivo. Si en ese host comprometido necesitamos herramientas, tenemos la opción de descargarlas, con el riesgo de que un sistema defensivo las detecte, como un antivirus, o usar binarios del sistema... que gozan de la confianza del antivirus, ya que están diseñados para "EQUIS" cosas, pero nosotros las vamos a usar para el mal.
El más sencillo de los lolbins para entenderlo es el hh.exe. Este binario está diseñado para ejecutar las pantallas de ayuda cuando usamos esta función por cualquier parte de Windows, pero si le añadimos una url, nos hace las veces de navegador, por lo que en un entorno en el que se prohíbe Chrome o Internet Explorer, podríamos navegar y saltarnos esta medida... Sencillo el concepto...
Esta medida es muy sencilla de implementar mediante GPO y la directiva de reglas creada.
viernes, 27 de agosto de 2021
Dfirtrack: Herramienta para seguimiento de incidentes y workflow.
El proceso de instalación de la herramienta es muy sencillo y está muy bien documentado en la web del proyecto. Podemos optar por contenedores o instalaciones “nativas”.
Si usas docker como yo en un entorno cloud, Azure , ten la premisa de escribir en el fichero .env el hostname público del equipo, del estilo : https://mimamamemima.cloudapp.azure.com/ en el campo fqdn para que puedas usar la navegación https, por lo demás, poco más que levantar un docker-compose up
Como es normal, debemos configurar un poco las opciones a nuestro gusto, los tags, las opciones, personalizar la herramienta para que podamos registrar nuestros procesos operativos en ella. Por ejemplo, hemos añadido un tag Ransomware para poder clasificar la idiosincrasia del incidente o caso.
Una de las cosas interesantes que nos ofrece el software es la capacidad para diseñar workflows, en los que podamos anidar distintas tareas para guía al operador o gestor del incidente.