lunes, 28 de marzo de 2022

Sysmon Event Simulator

 Estimados amigos de Inseguros !!!

Largo y tendido sobre sysmon escrito hemos he...xD

En esta ocasión vamos a mostrar una herramienta ligera que nos va a ayudar en nuestros procesos de detección. La herramienta simplemente nos pide el id del evento que generemos generar, y lo realiza, para comprobar que nuestro Sysmon, y en consecuencia nuestras reglas sobre él: Splunk, Sentinel, etc están funcionando como cabría de esperar.

Crear procesos que levanten una DNS query son sencillos, pero quizás otros no sean tan cómodos de replicar, para testear la lógica.

La herramienta se puede descargar del proyecto del autor https://twitter.com/ScarredMonk con el nombre de SysmonSymulator.

Compilamos la solución y con el exe, procedemos a actuar.

Probamos generar "ruido" con procesos como conectar una canalización por nombre ( comunicación de procesos nativa de Windows).


Y así hasta generar todo el ruido que necesitamos.

Espero que te sirva para tus procesos, y mirar el código no tiene desperdicio por si queremos cambiar al gún nombre o valor y simular un poco más con detalle alguna maldad xDDD

Gracias por leerme y gracias al autor por su trabajo.

lunes, 21 de marzo de 2022

Usar mi mac con cliente vpn como enrutador para la red local

 Estimados amigos de Inseguros!!!

Este artículo me hubiera servidor en otras muchas ocasiones, pero lo he ido solventando de una u otra manera.

La situación es la siguiente, necesito conectarme a una VPN Meraki l2tp que usa un protoco 3des que no es compatible con los nuevos kernels... y no hay manera... Pero esto se puede hacer extensible a cualquier entorno.

La situación es usar mi macbookpro como servidor de gateway. Es decir, conecto el mac con un cliente vpn a mi destino, y a los equipos de mi red les digo que usen el mac como enrutador.

El proceso es sencillo, primero prueba sin conectar el mac a la vpn, habilitando el forwarding, cual kernel linux. 

sudo sysctl -w net.inet.ip.forwarding=1

Ahora ve a tu cliente, en mi caso un linux, pero valdría cualquier dispositivo, por ejemplo una tv para usar netflix en otro pais, y pone de puerta de enlace el mac.

Con esto deberás poder navegar. Ahora conecta el mac a la vpn, y prueba, no debe irte.

La solución sigue siendo sencilla, cuando la conoces:

/private/etc/pf.conf 

nat on ppp0 from 192.168.1.0/24 to any -> (ppp0) 

pfctl -d 

sudo pfctl -F

sudo pfctl -f /etc/pf.conf -e .

sudo pfctl -s nat

Tienes que escribir la línea del enrutado JUSTO debajo del anchor-nat del fichero, no al final. Esto me ha costado muchas horas y mucho wireshark.

La verdad que en otras ocasiones me he peleado mucho con los clientes linux no soportados, problemas con ipsec, y de esta manera, easy.

Espero que te sirva algún día.



Ciberseguridad: No siempre es problema de dinero...

 Estimados amigos de Inseguros !!!

En el post de hoy no vamos a aprender sobre la tecnología X o Y, sino me vais a permitir reflexiones o divagar sobre el concepto que indica el título, que en la ciberseguridad no siempre tenemos el problema del dinero como principal factor...

Entre pitos y flautas, entre mi primer report de Nessus en bruto hasta hoy, han pasado más de una decada en el mundo de la ciberseguridad. Mi trabajo actualmente se centra en las auditorias de seguridad, pentesting, redteam, purple team y en consecuencia blue team.

Ayudo o intento ayudar a empresas de todo tipo. Desde grandes organizaciones que te piden auditar un segmento concreto, un proceso web concreto, un ámbito muy escueto, o empresas de 20 personas que perciben que la ciberseguridad es un problema y acuden a nosotros.

Empresas de facturación por encima de los 300 millones, empresas con facturación cero, start-ups, empresas con una madures informática importante, empresas con el servidor compartido por el administrativo. Todo tipo de empresas.

Por otro lado estamos nosotros, los profesionales. En muchos eventos, foros, reuniones, chascarrillos, me encuentro en que el pensamiento generalizado es el de que como falta presupuesto para la ciber...que no hay dinero...

Con esta reflexión vengo a poner sobre la mesa lo que pienso, y es que esto es FALSO, rotundamente falso.


Estoy muy orgulloso de los resultados de las auditorias que ofrecemos, porque hemos puesto mucho énfasis en aportar mucho valor al cliente, con soluciones detalladas a los problemas encontrados, e intentando abarcar el máximo ámbito posible. Me explico, no invertimos mucho tiempo en procesos de fuerza bruta, que seguramente con la dedicación previa, creación de una wordlist, consiguieramos buenos resultados. Si ante el problema de una autenticación, son contraseñas débiles/defecto/leaks... automáticamente recomendamos MFA y listo. Empleamos ese tiempo en auditar otro activo que quizás requiera de soluciones más complejas. Creo que tiene más valor aportar 10 soluciones a 10 problemas, que una solución a un problema, aunque sea muy grave su repercusión.

En esos resultados ofrecemos al cliente un pequeño plan director u hoja de ruta, donde especificamos como creemos que deben fasear las acciones, con quickwins, corto, medio y largo plazo.

Entonces, que es lo que vemos en los clientes? 

  • La auditoria la encarga el CEO. Contento con sus TIC´s pero después de un incidente, apoya la mejora de la ciberseguridad. Nos encontramos con responsables TIC poco alineados con el trabajo, por lo que no se aprovecha del todo los hallazgos. Se convierten en una "lucha" para defender las ideas del responsable TIC, sus argumentos de porque algo estaban mal, y tu, que solo planteas lo que crees que está mal, y soluciones. Porque esta


    algo mal, tampoco nos importa mucho...

  • La auditoria la encarga un "tercero" un cumplimiento normativo, etc. Similar al escenario anterior, importa más el informe ejecutivo. La foto finish vista muy de lejos. Los resultados técnicos importan poco, y si se cambia algo es porque es fácil y le apetece al CIO.

  • No tienen tiempo. Creo que este es el principal problema que nos enfrentamos con las organizaciones. Y cuanto más grandes, cuanto más complejos son los departamentos, y más gente hay...peor. Al final el día a día nos consume muchos recursos, y es normal que los departamentos TIC no tengan los suficientes empleados como para poder "jugar" a la ciberseguridad, pero es que esto es normal, y pasa en todas las disciplinas. Cuando un trabajador rinde a un 80%, por darle una valoración, no se contrata a nadie. Cuando el trabajador rinde a un 120%, y esto daría para un post muy largo, el de la productividad. sigo, cuando un trabajador rinde al 120%. quizás se plantee incorporar a alguien más. 

    Esta persona empezará rindiendo un 30% porque tiene que integrarse... y el que rendía 120% tiene que formarlo, al final, de un día para otro, tenemos dos tipos que emplean el 80%... esto es así. *en el mundo sanitario se conoce este efecto. Si aumentaran por dos el número de centros de salud, no se reduciría a la mitad los tiempos de espera porque iríamos más. Yo no voy al médico porque paso de que me den cita para 3 meses. pero si me dan para pronto, quizás hiciera más uso de los recursos... y esto haría que se alargaran los tiempos xDDD*

    Más ejemplos. Yo no suelo tener mucho tiempo para hacer deporte...pero tengo amigos con ritmos de vida mucho más frenéticos, con agendas mucho más apretadas, con muchas más horas de trabajo, pero SIEMPRE sacan tiempo para el deporte, entonces en qué lugar queda esa afirmación mía? Si no tienes tiempo para la ciber, resérvalo. Conozco empresas que hacen el jueves de la ciber. Se reunen una vez al mes, analizan cambios, ponen tareas y establecen una línea de trabajo. Y poco a poco, día trás día, se van haciendo las acciones. Porque da igual que en la agenda ponga "reunión de dirección" o "visita comercial" con "proyecto ciber" o lo que sea... es cuestión de querer.

  • No hay encargado de la ciber. Esto suele ser otro clásico, y cuanto más grande peor, porque está todo más segmentado, y cada uno tiene su role definido... esto tiene cosas buenas y malas. La ciberseguridad puede ser algo vertical, profesional, de los "máquinas", pero la ciberseguridad está en programar bien, en desplegar bien, en administrar bien los sistemas, en configurar los entornos, esto es ciberseguridad, y si no hay un coordinador que garantice los mínimos o establezca los trabajos, pero la ciberseguridad debe estar presente en nuestro "modus vivendi".

  • Desarrollo vs Sistemas. Esta "lucha" de poder es vieja, tanto como la informática mismo, pero es una de las que más problemas presenta para las organizaciones. Siempre hay un departamento que tiene más peso que otro, siempre. Mi experiencia es que suele ser desarrollo el que tiene más poder, porque suele ser quien está más cerca de negocio. Al final el gerente no tiene un rack delante de él, pero si un ERP o un CRM. Las cuentas, los números, las ventas, todo eso se sostenta en el software, que luego debajo tiene un hardware... pero lo palpable son los formularios que nos crean los desarrolladores para los usuarios. Que debajo hay un cluster de 10 nodos y un Firewall de nueva generación, queda más lejos de negocio...

    Cuantas empresas he visto que programan en el servidor... y necesitan el root de los servidores. Que configuran sus recursos a su gusto, con la intención de que las cosas funcionen, y dentro de que funcionen, que vayan rápido, pero lo demás? es secundario. Me encuentro con programadores que nos dicen que hasta la fecha, no se habían preocupado mucho por la ciberseguridad...

    Antiguamente la seguridad se vinculaba con vlans, con firewalls, con tener copias de seguridad... y eso es de sistemas... pero ya sabeis, la ciberseguridad es COSA DE TODOS.

    Entonces, viene la pelea. Fortificas el webserver, y se rompen cosas de programación...quien actualiza las librerias... el servidor de bbdd... 


  • El "máquina de la ciber". Este caso tambien es un problema para la organización. Me ha pasado con figuras de renombre incluso, que os gustaría que os dijera xD que después de muchos años "llevando" la ciber vas y lo tienen todo... por decirlo a lo murciano... hecho un descampao...hecho un solar...hecho mistos...

    Scripts en linux inseguros haciendo procesos que llevan muchos años poniendo en peligro la empresa. Y digo linux porque el windosero muchas veces es consciente de que no está todo lo bien que se debería esperar, pero este caso no es así, este es un máquina, controla BASH ( lo que le queda de 4 prácticas de la universidad) pantallas negras... incluso un firewall con un kernel 2... basado en iptables...

    Otros parecidos, gente que gestiona una empresa de 100 personas sin directorio. Con scripts que entran a noseonde, que se bajan noseque etc... porque son antiwindows !!! y lo que es es que están poniendo en riesgo su empresa por sus preferencias, y muchas veces por su incompetencia.

  • El que no tiene presupuesto. El que no puede comprar. Existe, es habitual, las empresas minimizas costes. Volviendo al tema deportivo. Al que hace deporte, crees que le vale la escusa de que yo diga que no tengo dinero para un gym? la respuesta es obvia. Puedes salir a correr, hacer rutinas en casa, mil cosas. Con la ciberseguridad pasa lo mismo. Llevo casi 10 años escribiendo en este blog, algunos post complejos, otros sencillos, comentando herramientas y procesos que en 10 minutos mejoran la ciberseguridad de las empresas. Pero hay que hacerlos. Aquí entran los casos anteriores, el que no tiene tiempo, conciencia, ganas, ego... pero si no puedes poner un EDR de 30 euros en cada endpoint, hay muchas cosas que puedes hacer, y que en esa auditoria te indicamos, para mejorar la ciberseguridad.

    Al final, como todo en la vida, hace más el que quiere que el que puede. Me encuentro otras empresas que da gusto, con su hardware de seguridad, con su software de seguridad, con sus procesos de seguridad, sus buenas prácticas. Empresas a las que sacas 100 defectos, y a los dos años vas y sacas 30, 10 nuevos y 20 que aún no están solucionados... pero no son como otras que tenían 100, y no vuelves a comprobarlo por supuesto, pero si lo hicieras, tendrían 120...
Esto no quiere decir que estás condiciones que planteo sean "moco de pavo", todo lo contrario, son tan importantes como para ser escollos reales para mejorar la ciberseguridad, y por supuesto, es mucho más fácil enumerarlas que ponerlas a funcionar...         

Reflexiona un poco sobre esto, y si no tienes tiempo, sácalo. Reserva ya una hora cada 15 días en tu agenda y mejora esto, seas el CIO, el jefe de desarrollo, sistemas, o el informático de la empresa, pero no hay escusa para intentar hacer esto bien. 

Yo por mi parte voy a ir más al gym :-)

Gracias por leerme

martes, 15 de marzo de 2022

Enumeración de SAM remota controlada anti BloodHound !!!

 Estimados amigos de Inseguros !!!

Una herramienta que constantemente se usa en los procesos de hacking, tanto ético como criminal es BloodHound. No vamos a comentar en profundidad nada de esta herramienta ya que hemos hablado largo y tendido en este blog. Incluso hemos mostrado como montar un HoneyUser para detectar el uso de BloodHound

En esta ocasión os voy a contar algo que estamos viendo en el Master de ciberseguridad en Tecnologías de Microsoft que impartimos en Verne Academy.

Por defecto, los usuarios administradores locales pueden enumerar las cuentas SAM remotas o un Directorio... en busca de miembros o sesiones... Un comportamiento usado con el ingestor de BloodHound para enumerar el AD sin usuario válido.

Podemos limitar este comportamiento con una sencilla GPO como está:


Es una GPO un poco invasiva. No sabemos si hay software que usas que emplea esta característica para vete tu a saber. Lo típico, es más fácil decir que lo implementes que hacerlo.

Pero en esta ocasión tenemos la posibilidad de establecer la política y habilitarla en modo auditoria, es decir, no va a cortar el acceso, pero nos va a generar un precioso log, que nos sirva para analizar nuestro ecosistema y estudiar la viabilidad de la medida.

El modo auditoria se activa mediante:


De esta manera, seguiremos pudiento enumerar activos, por ejemplo: Net groups "Admins. del dominio" /domain Pero nos dejará un evento.

Espero que te sirva este pequeño truco, y no le digas a nadie que lo has leido aquí, se supone que lo damos para los alumnos del master... xDD

Gracias por leerme