miércoles, 31 de agosto de 2022

Power BI como aliado para tus cuadros de mando en ciber... BloodHound.

 Estimados amigos de Inseguros !!!

Como hemos visto recientemente en algún post, BloodHound es una herramienta de recopilación de información muy interesante para tener controlado nuestro entorno.

En este post vamos a ver como conectar de manera sencilla una instancia de Neo4j, la base de datos que usa Bloodhound, con Power BI Desktop, para poder usar una consulta Cypher y mostrar una visualización bonita como cuadro de mando, en esta caso, preguntando el número de administradores en la organización.

Lo primero que hacemos es probar una consulta. Siguiendo el post original, uso esta:

MATCH (g:Group)
OPTIONAL MATCH (g)-[:AdminTo]->(c1:Computer)
OPTIONAL MATCH (g)-[:MemberOf*1..]->(:Group)-[:AdminTo]->(c2:Computer)
WITH g, COLLECT(c1) + COLLECT(c2) AS tempVar
UNWIND tempVar AS computers
RETURN g.name AS GroupName,COUNT(DISTINCT(computers)) AS AdminRightCount

ORDER BY AdminRightCount DESCPrimero lo voy a comprobar a nivel de base de datos. 


Una vez que lo tengo, me voy a descargar un conector de NEO4J de ESTA ubicación

Lo incoporo a Power Bi guardando el fichero *.mez en la ruta: 

C:\Users\kinomakino\Documents\Power BI Desktop\Custom Connectors

Cuando abro Power Bi, me salta con este simpático mensaje.

Pero vamos a hacer algo inseguro ya que estamos xD.

Ahora iniciamos el proceso normal de adquisición de datos, indicando el conector.
Para poder acceder remotamente a Neo4j si lo tiene en otro equipo, debes descomentar esta línea: dbms.default_listen_address=0.0.0.0


Una vez hemos rellanado los datos de conexión, ya tenemos la tabla de datos en Power Bi.


Como verás mi "kung fu" en esto es máximo, pero ya podemos hacer gráficos y componer nuestro dashboard con información de BloodHound, en este caso, mediante su base de datos.


Recuerda que hay muchas consultas ya hechas para usar en tu cuadro de mando, y para que te sivan de referencia a la hora de montar tus KPI´s, por ejemplo estas.

La única cuestión que queda es programar una tarea para que ingestes los datos cada 1 hora o cada 24 horas con el collector que estés usando, sea el powershell, el binario, el python etc.

Espero que os sirva de ayuda, el post original no es mio, yo solo he tratado de probarlo, de añadir algunas cosas que me han servido, y como siempre, intentar difundir un poco la concienciación, en este caso, de tener métricas y poder acceder a datos de ciberseguridad en herramientas "corp.".

Gracias por leerme !!!

martes, 30 de agosto de 2022

Reflexiones en la migración al cloud, sobre seguridad, en entornos Azure: El ROI, las licencias, etc...

 Estimados amigos de Inseguros !!!

Después de los artículos que hemos visto con los "hacks" o intentos de phishing al entorno Azure Ad, siempre recordamos en los propios post como debemos defendernos.

En la mayoría de los casos, cuando luchas contra la autenticación, las soluciones son las que son. La primera es el MFA. Hemos visto como el MFA se puede saltar, entonces debemos seguir realizando las tareas de fortificación con el compromiso o la teoría de "Defensa en profundidad". Es decir, no tenemos que poner una barrera, sino poner tantas barreras como sean posibles, porque entendemos que las medidas fueden fallar. Esto va alineado también con el concepto de Zero Trust, pero poco a poco...

El acceso condicional es un MUST en la configuración de Azure AD. 

Si hacemos referencia a la matriz de MITRE para Cloud Azure y O365, todos los ataques se basan en la identidad... Es MUY MUY DIFICIL que te hackeen tu Tenant con una sqli xD xD

https://attack.mitre.org/matrices/enterprise/cloud/azuread/

Algunos usuarios se quejan de que estas funcionalidades requieren el pago de Azure AD Premium 1 o 2. La respuesta es que si. Al final los servicios de Azure tienen distintos niveles de profundidad, de seguridad, de rendimiento. Todos entendemos que si queremos más gigas de ram en una VM tenemos que pagar más. La apuesta de Microsoft es dotar a sus servicios de esta modalidad.

Hace unos años el MFA era solo para usuarios administradores, ahora es para todos los usuarios. Poco a poco van "relajando" las licencias necesarias, conforme integran nuevas funcionalidades en las licencias superiores.

Azure AD P1 aporta una seria de ventajas, que puedes ver en sus páginas de producto, a valorar por la empresa.

Otra cuestión es la de los usuarios. Si tenemos usuarios administradores y usuarios de negocio, podemos elegir proteger primero a los administradores, ya que el impacto de un acceso a estas cuentas sería mayor que al del resto de usuarios... pero al final... que lean los correos de tus usuarios no es un riesgo bajo...

Lo que está claro es que cuando inicias el camino al cloud, debes tener muy claros los costes, los actuales, y los de la evolución.

Pongo el ejemplo de la virtualización. En los eslóganes prometían ahorro de costes. 

Cuando tenías Hardware en hierro, tenias 2 gb de ram dedicados a un server, estuviera apagado...encendido... con poca carga... recuerdas estas cosas? 

Bien, y las licencias de los hypervisores? y las licencias especiales para el software de backup? las cabinas de disco? los entornos de recovery? las licencias de antivirus para hypervisores? los complementos de orquestación, administración mejorada? 

Que si, que hemos ahorrado mucho dinero... Imagino que depende de quien te haga los números te dirá que si, pero los costes salen, florecen...

No hay que irse al Cloud, vamos a la informática doméstica. Te compras un portátil y necesitas un antivirus, comprar un paquete de ofimática o usar uno gratuito. Necesitas un ratón cómodo, un maletín. 

Si eres legal, comprarás el software que necesitas... De los $$$ del portátil tienes que contar con mas gasto... El Cloud no es distinto...

Con el cloud IGUAL. Porque cada cuestión que queramos usar, la pagamos como servicio. Con todas las ventajas que tiene...

Instalar un software de gestión de identidades, con acceso condicional, para una organización de tamaño media podría ser un proyecto GORDO, de licencias, implantació soporte, etc.

Hacerlo ahora con un golpe de Click, por unos euros al mes/usuario, es caro? barato?

Un buen amigo mio linuxero me decía: Microsoft ofrece soluciones a problemas que ellos han creado... bueno, tiene un poco de razón, un script en SSH puede ser una buena arma... pero a veces no...

Espero que hayais entendido un poco el propósito de la reflexión, y no es pro ni contra de nada, es solo que cuando tengais un proyectos sobre la mesa, y mireis el ROI y estas cosas, tengais en cuenta la evolución del servicio, el 3+1+1+1+1+1 y estas cosas.

Por último se me ocurre el ejemplo de un coche. Compra un Bmw Serie 3 pelao de motor y extra, o compra el m3 equipado. Es un x4... con esto pasa lo mismo.

Gracias por leerme !!!

lunes, 29 de agosto de 2022

De paso por Azure con nuestro Hound: Recolección de información para BloodHound

 Estimados amigos de Inseguros !!!

Hace muchos post que empezamos a dar tips para el uso de la herramienta BloodHound. No será este el post de inicio, aunque este me gusta mucho. De mi amigo el dragón...

La cuestión es que desde hace varias versiones tenemos la posibilidad de realizar búsquedas sobre objetos de Azure. Para ello, usaremos la versión más reciente de BloodHound y el "ingestor" el "recolector" de datos de Azure, AzureHound.

El proceso de instalación es tan sencillo como bajar la aplicación "Collector" al igual que hacemos con BloodHound para "on-premise".

Los procesos de recolección están muy bien recogidos en el manual, pero hacemos hincapie en el caso de que la cuenta de Azure que le proporcionemos tenga el MFA activado, vamos a tener que hacer uso de un "viejo" amigo que hemos visto aquí, el Refresh Token y el proceso de Device Auth para autenticar nuestra máquina, pasarle el token y con esto evitar tener que autenticar el MFA en la ejecución de la tool. Lo hacemos antes. 

Lo que hacemos es, generar la petición de Device Auth. Nos pide Code, se lo damos ( nos pedirá nuestro mfa) y con el token que nos devuelve, nos logueamos desde Azure Hound. Mejor explicado aquí.

La cuestión es lanzar la herramienta, recopilar la información de Azure, y en un solo "jota-son" importamos. Una campana de satisfacción suena en nuestra cabeza.


Y ya podemos hacer la magia de las consultas para ver pertenencias, permisos, etc.



La potencia de enumerar los objetos es la de usar el lenguaje de consultas Cypher para realizar eso, precisamente nuestras búsquedas, ya sea defensivas u ofensivas.

Este recurso tiene buenas búsquedas. 

Como siempre, espero que os sirve y que os guste el post, gracias por leerme !!!

viernes, 26 de agosto de 2022

Controlar los permisos para usuarios invitados en Azure Ad: Hack and defense

 Estimados amigos de Inseguros  !!!

En muchas ocasiones nos vemos en la situación de tener que dar, o que nos den, acceso a un Tenant ( organización) en Azure AD para administrar, trabajar, o cualquier otra tarea.

En esta foto os pongo una imagen de ejemplo, de un usuario invitado, que no pertence a la organización.


Como sabes, le podemos dar permisos a una aplicación mediante RBAC, por ejemplo a Azure Sentinel.

Lo que no solemos tener en cuenta es que al permanecer al Azure AD, aunque sea como invitado, recibe unos permisos un tanto inseguros por defecto, y es que existe la posibilidad de enumerar objetos, y esto no abre la puerta a una enumeración y posible exfiltración de datos.

Seguimos con el ejemplo, si entramos como invitado en nuestro Tenant, veremos como desde el Portal no podemos ver los usuarios.


Pero existe la posibilidad de realizar esta consulta mediante Powershell "a mano" o con herramientas, y si podemos ver la información, por ejemplo, si hacemos un Get-AzureADUser -All:$true podríamos ver los usuarios.

Si le decimos que nos de la información de un usuario en concerto Get-AzureADUser -ObjectId "joaquin.molina@seguridadsi.com" nos dara sus grupos.



Si listamos todos sus grupos, podemos saber su id, y si sabemos el id del grupo, podemos saber sus miembros...

La historia es que cambiar esto es tan sencillo como irnos a Azure Ad, configuración de usuarios, y externos, y cambiar el comportamiento que queremos darle. Lo normal sería que NO tuviese permisos más que en su propio objeto.


También deberías revisar la segunda opción, y es controlar quien puede agregar usuarios invitados... no debería mucha gente...

Una vez que se cambia esto, realizamos los mismos pasos y obtenemos un forbidden bien hermoso.


Una de las configuraciones más efectivas por su sencillez y repercusión.

Si por el contrario estás auditando una organización, podemos realizar un par de consultas sobre Graph para ver estos datos sin entar al portal, por ejemplo con Graph Explorer


Los valores que debemos esperar son los siguientes:
Permission levelAccess levelValue
Same as member usersGuests have the same access to Azure AD resources as member usersa0b1b346-4d3e-4e8b-98f8-753987be4970
Limited access (default)Guests can see membership of all non-hidden groups10dae51f-b6af-4016-8d66-8c2a99b929b3
Restricted access (new)Guests can't see membership of any groups2af84b1e-32c8-42b7-82bc-daa82404023b
https://docs.microsoft.com/en-us/azure/active-directory/enterprise-users/users-restrict-guest-permissions

Espero que os sirva de ayuda, y como siempre, gracias por leerme  !!!

Y si te gusta este contenido, te animo a que te registre para estar al día de nuevos post, cursos, webinars, eventos etc. 

jueves, 25 de agosto de 2022

Uso de AAInternals para ataques a O365: Device Code Auth.

 Estimados Amigos de Inseguros !!!

En el post de hoy vamos a usar una de las herramientas más usadas para auditar los sistemas O365 y Azure de la mano del @drazuread. Me refiero a AAD Internals.

La herramienta es un completo set de procesos, enumerados en su web. En esta ocasión nos vamos a centrar en una técnica de phishing basada en una funcionalidad denominada Device Code Auth.

La función nativa de Azure Ad lo que hace es que genera un token de acceso (Refresh Token) válido para dispositivos que a priori no son susceptibles de pedir autenticación cada vez que se usan. Me explico, Outlook? una televisión? un dispositivo IoT? 

El proceso es sencillo.

Abres tu aplicación, conectas con el AAD, le pide verificación, el usuario autentica y se crea el access token para el que el dispositivo pueda funcionar. Digamos que se usa una autenticación impersonada en el dispositivo.

La herramienta nos permite realizar todo el ciclo, desde el envío de correo hasta la explotación. Pero como siempre, vamos a verlo.

Los pasos para su instalación son tan sencillos como install-module AADInternals y luego un import-module AADInternals.

Ejecutamos las opción indicada.


Como puedes ver, estamos enviando a una VICTIMA un mail desde un ATACANTE.

*en mi caso he usado como atacante un hotmail, que requiere autenticación. El script por defecto o las instrucciones que nos muestra el autor son usando un servidor SMTL local, que no es mi caso. Necesito autenticación, decirle el puerto, etc...

He tenido que modificar el script original y añadir algunos parámetros así a fuego para que permita realizar el proceso con un SMTP autenticado.

Se ha notificado al autor y no se si lo cambiará en futuras releases.

El cambio ha sido este:

*

Una vez lanzado el comando, se envía el mail a la víctima. Con un formato que por supuesto podemos cambiar, es más, ya he visto plantillas por ahí :-)



Si entramos al link e introducimos el código ( paso 4 del esquema) estaremos autorizando el uso del dispositivo. Si no estamos autenticados, nos pedirá como siempre login.

Aquí es donde tenemos la detección, el login, la ubicación del login, es la del atacante. Si la víctima no suele usar esa localización, es por donde podría cantar. Es más, la única manera de parar este ataque, es usar el Acceso Condicional, para controlar desde donde se pueden conectar nuestros clientes.

También tienes que tener en cuenta que el Device Auth Code vive 15 minutos, por lo que la víctima del pishing debe caer pronto.



Y con esto tenemos el token de acceso "secuestrado".


Ahora vamos a hacer uso de él no? ya sabes que esto no significa tener las claves, sino el acceso.

Vamos a enviar un mail desde la cuenta VICTIMA.



Y deberíamos poder hacer lo mismo para que le llegue un Teams. En mi caso no he podido probarlo por mi configuración de O365 y no tengo todo el nivel de acceso que necesito para hacer unos cambios, pero el comando es así.


Como puedes ver, es una ataque muy interesante, y la herramienta es un "siguiente,siguiente,siguiente".

Los usuarios están acostumbrados ya al MFA y que les pidan "códigos" por lo que un phishing que le pide un code que va en el mail... no es muy complejo que se lo traguen :-)

Toda la autenticación y la entrada del CODE es desde el dominio legítimo de Microsoft, no hay que registrar dominios, ni hacer webs ni nada.

Aparte de la concienciación al usuario, debemos tener políticas que sean capaces de bloquear estas acciones. Por ejemplo, con acceso condicional, podríamos ver que la petición de LOGIN viene de PAISES BAJOS ( en la imagen) que es la IP del atacante.

Si usamos servicios de control de dispositivos, controlar que no se lanza desde un dispositivo conocido.

Una buena solución de proteccíon de correo que nos ayude con el phishing...

Al final, son ataques de capa de usuario que si, que tenemos maneras técnicas de solucionarlo, pero el factor humano es MUY importante.

En este caso un MFA de otro fabricante no funcionaría, ya que el cliente por un lado se autentica con su sistema, por ejemplo OKTA, para validar el code que a su vez, valida al dispositivo del atacante

Como siempre, espero que os guste, que os sirva y gracias por leerme !!!

Y debo añadír, que mi propósito es ayudar, ayudar a los departamentos IT y CIberseguridad a entrenar a su personal. Esta herramienta se puede usar para atacar, o para auditar y concienciar, formar, no es mi propósito alentar a nadie a cometer ilegalidades. 

Y aunque parezca mentira, debo decirlo.

Estas técnicas o debilidades son conocidas por los malos, y la seguridad por obscuridad de los 90 no funcionan. 


Y si te gusta este contenido, te animo a que te registre para estar al día de nuevos post, cursos, webinars, eventos etc. 

miércoles, 24 de agosto de 2022

Adopción segura al cloud: Audita tu sistema Azure de manera sencilla

 Estimados amigos de Inseguros !!!

Una de las preocupaciones que más escucho de clientes es la seguridad de Office365 y Azure. Clientes que saltaron de la mano de su partner para migrar el correo... que de repente tienen un Azure Active Directory... y que ya no es solo "el correo". 

Encima tienen alguna máquina virtual, o tienen algún SaaS, y todo el "lio" de los Tenant, Suscripciones y Grupos de Recursos :-)

Muchos tienen la sensación de que han entrado en un nuevo "mundo", y un nuevo "problema" de seguridad. Y es así :-) Añadimos una capa de gestión y responsabilidad a la operación IT, esté el "server" en on-prem o en Missouri...

Aparte de recomendarles un curso de Verne Academia de Ciberseguridad, vamos a intentar ayudarles a que se auto-auditen.

En esta ocasión traemos un Fast Track de los ingenieros de Microsoft, un Excel "vivo" donde se identifican varios aspectos relacionados con la ciberseguridad, para usarlos a mode de cheklist y poder así ampliar nuestros conocimiento del estado de la ciberseguridad de nuestro entorno cloud, o al menos, mejorar la percepción.

El Excel en concreto se descarga de aquí. Tenemos que habilitar Macros... y confiar en qué Microsoft no se va a bajar nada malo :-) pero eso sí, no useis este Excel que no sea bajado de este repo. No os fieis ni de mi mismo !!!

Le decimos que queremos revisar SECURITY y bajamos el JSON con los "controles". Esto es bueno de cara a actualizaciones del contenido.


Como puedes ver si eres curioso, este Fast Track no cubre solo las necesidades de Seguridad, sino de otras adopciones como AKS, Vmware, SAP, etc. Revisa los controles de estos proyectos si los usas porque está muy bien.

Donde realmente podemos aprovecharnos de esta herramienta, es con la opción que tiene de realizar la comprobación de los controles automáticamente... contra Graph... PERO, hay un pero, no nos sirve para la opción SECURITY, solo para LZ, AKS y Vmware... que tampoco está mal :-)

Para lanzar el script, nos vamos a una shell, por ejemplo Azure Cloud Shell y ejecutamos el script, teniendo en cuenta que es bash


Con el fichero calentito, nos vamos al excel y cargamos el json, y si tenemos "algo", no como yo, os saldrá el valor con el estado verificado.


Espero que sigan ayudando desde Microsoft con estas soluciones, y a ver si conseguimos automatizar la evaluación desde Graph de la opción Security genérica para Azure, y tendremos una pedazo de herramienta de auto diagnóstico.

Espero que os sirva de ayuda, y como siempre, gracias por leerm !!!


martes, 23 de agosto de 2022

Tips&Tricks O365: Notificar a los administradores cuando otro administrador cambie su contraseña

 Estimados amigos de Inseguros !!!

Os traigo un pequeño consejo a la hora de mejorar la seguridad de nuestras implementaciones de O365. En este caso es sencilla, como el título indica, notificar el cambio de contraseña de un miembro del grupo administradores, a todos los miembros.

Muchas veces la seguridad no se trata en bloquear un ataque, sino en conseguir discernir si una actuación es buena o mala, ya que puede ser muy bueno que un admin concienciado cambie su clave... o no... La cuestión es investigar el suceso y actuar lo más rápido posible.


Una pequeña configuración o revisión de tu sistema, que quien sabe si algún día no te salva de algo peor.

Espero que lo uses, y gracias por leerme !!!

lunes, 22 de agosto de 2022

Hacking Office 365: Usas MFA? Herramientas de ataque y consejos de remediación

 Estimados amigos de Inseguros !!!

En el post de hoy os voy a mostrar una herramienta muy sencilla que viene siendo usada por malos y buenos desde hace mucho tiempo, pero que a menudo me doy cuenta que no es todo lo conocida que debería ser, al menos por los administradores que conozco.


Se trata de Evilgnix2. Una herramienta diseñada para realizar campañas de phishing, con sus plantillas y sus cosas, pero que incorpora la facilidad de hacer de proxy o de mitm, como quieras llamarlo, de nuestras peticiones falsas, contra las reales, y así es capaz de interceptar no solo los usuarios y contraseñas, sino los token del mfa.

Con esta imagen lo entenderás mejor.

Tiene varios "modulos" preparados como Twitter, Linkedin, pero podemos realizar nuestras modificaciones para cambiarlos y adaptarlos para "pescar" nuestros proveedores favoritos.

Lo primero que hacemos es intarlar golang en nuestro linux, y a continuación git y make.

Bajamos el repositorio, entramos en el directorio y ejecutamos make para compilar el proyecto.

Podemos usar la versión dockerizada, esto ya al gusto del consumidor.

Para realizar esta prueba de concepto, vamos a usar las plantillas que vienen por defecto, en concreto en esta ocasión la de O365 para seguir con el propósito del post.

Para poder hacer el ataque tenemos que contar con un nombre de dominio que será el usado en la suplantación, y que apuntará a nuestro servidor de phishing publicado en internet.sudo ./bin/evilginx -p ./phishlets/

Hacemos un config domain nombre_dominio y config ip la_ip . Para evitar tráfico de bots le indicamos al sistema que haga una bloqueo a los visitantes que no hagan autenticación, que no entren credenciales, lo hacemos con blacklist unauth.

Creamos lo que sería la "campaña" y la activamos, con la ejecución de phishlets hostname 0365 midominio y phishlets enable o365

En este momento podemos usar un certificado instalado y ubicado en la ruta que indica, o dejar que la herramienta haga una solicitud a let´s encrypt ella solita :-) interesante. 

Te recomiendo que si has creado el dominio recientemente, dejes que es "propague" por todos los servidores DNS, porque si intentas hacer el certificado, y aún no está publicado el registro DNS, Letsencrypt te va a banear un rato si lo intentas más de 5 veces en una hora. Mejor tener paciencia y crear el DNS un rato antes.

Si quieres pedir un certificado LetsEncrypt de manera sencilla, este post es muy útil y directo.

Una vez has creado el certificado, seguimos con el proceso. Ejecutamos lures create o365, lures edit 0 redirect_url https://portal.office.com y lures get-url 0

Ya tenemos nuestra url de phishing preparada. Vamos a empezar a hacer cosas. Como vimos en una imagen anterior, todas las peticiones que hagamos se lanzarán contra el portal real. En mi primera prueba intento meter un usuario y contraseña que no existe, y me devuelve el error, bieeeen.


Ahora metemos las credenciales de uno bueno, de un usuario sin MFA, y accedemos tanto al correo, como a la contraseña en la aplicación.


Ahora pruebo con el MFA activado, y funciona a la perfección. Fíjate como la url cuando me pide el token por SMS es la de la campaña.


Y otra vez más, dentro. En esta ocasión, tenemos el token de autenticación con el MFA "aprobado".

Como puedes ver, es muy sencillo hacer un phishing a un usuario, y por mucho que tenga doble factor de autenticación,  podemos realizar nuestras maldades.

Como puedes ver, es muy importante la parte de formación al usuario, pero lo bueno es que hay otras medidas para protegernos contra estos ataques.

Se ha creado un poco de revuelo con este post, y he decidido hacer algunas modificaciones, en primer lugar, el título.

En segundo lugar, no voy a esperar a sacar más post sobre esto contando como protegernos, ya he tenido suficiente historias con esto. Pero si, por responsabilidad, se me ocurren varias maneras.

La primera manera es usar el acceso condicional, es decir, si nunca nos logueamos desde Paises Bajos, no permitir hacerlo ( en el caso de la demo uso una ip que sale de ahí). 

Tambien podemos usar Acceso condicional para impedir que dispositivos no "managed" puedan realizar esta autenticación o con Intunes.

Puedes usar Defender para proteger las apps mediante un certificado de origen en tu cliente.

Puedes pararlo si usas un MFA de terceros o usas FIDO2 en algún hardware.

La manera más sencilla, es usar Branding en tu portal de autenticación, y educar a tus usuarios a que no "todo es Azure" y que puede parecer un portal de Login, pero si no tiene el branding, no funciona...

Y si te gusta este contenido, te animo a que te registre para estar al día de nuevos post, cursos, webinars, eventos etc. 

sábado, 20 de agosto de 2022

Sysmon 14.0.FileBlockExecutable : Prohibir ejecutables...

 Estimados amigos de Inseguros !!!

En esta ocasión vamos a hablar de nuestro querido SYSMON. En concreto de la última actualización 14 que traer, entre otras cosas, una nueva función denominada FileBlockExecutable. Es un nuevo evento, 27, pero que aparte bloquea que se guarde en disco ficheros ejecutables, según nuestra directiva.

Pero lo más interesante es que no solo podemos comprobar la ubicacíon, sino cualquier parámetro de los habituales que nos da Sysmon, por ejemplo, proceso padre, hash, etc.

Es decir, que puedes identificar el proceso Powershell.exe y bloquear que no se baje ningún executable... Hay ya muchos ficheros de configuración con estas ideas, como el de Florian Roth 

Por si acaso, vamos con la instalación...

Entramos en Sysmon, lo bajamos, descomprimimos. Antes de instalarlo como servicio, debemos crear/bajar/fusilar un fichero de configuración, las reglas, en la que va la autentica inteligencia de Sysmon.

En este caso, para esta función, indicaremos qué directorio del sistema queremos proteger de la escritura de un ejecutable.

<Sysmon schemaversion="4.82">
<EventFiltering>
<RuleGroup name="" groupRelation="or">
<FileBlockExecutable onmatch="include">
<TargetFilename condition="contains all">C:\pruebas\</TargetFilename>
</FileBlockExecutable>
</RuleGroup>
</EventFiltering>
</Sysmon>

Ahora instalamos .\Sysmon.exe -accepteula -i sysmon.xml

Ahora probamos a copiar, por ejemplo, el propio sysmon.exe en la carpeta y no nos deja. No da fallo, pero no te deja. 

Si vas al visor de eventos, puedes ver el log.


La magia de esto está en que sysmon, que actua como un driver a nivel kernel, hookea la escritura en el disco y mira el Magic Number (MZ Bytes), el indicador del tipo de fichero que es. De esta manera puede saber si el fichero es un exe o un jpg.



La verdadera magia, es que un investigador, y mejor que lo haga él y no los malos, ha descubierto ya como hacer el bypass xDD xDD https://www.youtube.com/watch?v=80v9dhWiU7U

En mi caso, no se qué pasa, pero si copia el fichero con windows, o lo bajo con Powershell o Internet Explorer, no me deja copiarl/bajarlo, pero con Chrome si.

He mirado a ver si es el orden de carga de algún driver de Chrome o algo así, como vimos en el post para esconder Sysmon, pero nada. 


Sin emabargo, si específico el proceso padre <Image condition="image">chrome.exe</Image> si me lo bloquea.

Lo he consultado, a ver que me dicen...


Y si te gusta este contenido, te animo a que te registre para estar al día de nuevos post, cursos, webinars, eventos etc. 

miércoles, 17 de agosto de 2022

Extensión MITRE para Chome... la vida sencilla

 Estimados amigos de Inseguros !!!

Hace ya unos años que empezamos a hablar del framework MITRE, y no tiene mucho sentido a estas horas contaros de que va...

El propósito de este breve post es mostraros una extensión que han creado los de MITRE en colaboración con Fujitsu, que nos hará la vida más breve a la hora de buscar en el repositorio de conocimiento algún actor, técnica, campaña o similar.

La extensión se instala, y basicamente tenemos dos funcionamientos, o nos ponemos sobre un texto "mitre" y botón derecho... o entramos a la extensión y buscamos desde ella.



Sencill pero efectivo, sobre todo cuando estás redactando infomes y aún no conoces los TTP más habituales, ni llamas por telefóno a "extensiones mitre" y cosas de cuando necesitas vacaciones :-)

Espero que os sirva de ayuda.

Gracias por leerme !!!


Y si te gusta este contenido, te animo a que te registre para estar al día de nuevos post, cursos, webinars, eventos etc.