Estimados amigos de Inseguros!!!
Como es normal, la experiencia es un grado, y el continuo aprendizaje nos hace mejorar, y en esto de la ciber ni te cuento.
Cuando uno empieza con el hacking, quiere "romper" cosas... "acceder" a sistemas, pero cuando estás trabajando sabes que hay que conseguir unos objetivos, por ejemplo, en el de un pentester o hacking ético es ayudar al cliente a encontrar sus fallos y proponer mejoras. Cuando accedes a una web y obtiene una SQLi no te limitas con eso, intentas seguir los distintos pasos dentro de una cadena de ataque, como podría ser persistencia, borrado de huellas, reconocimiento interno, etc.
Por el lado defensor, lamentablemente siempre se ha hecho esfuerzo en que esto no suceda, en el que el vector de entrada no exista... y nos encontramos con que las empresas no están preparadas a un ataque, ni por carencia de vulnerabilidades, ni por carencia de medios de detección y contención.
Bueno que me salgo... En esta ocasión vamos a dar algunos consejos para ese momento de compromiso inicial en el que te haces con unas credenciales de un Azure AD. Porque has hecho phishing, porque estás auditando, porque quieres simular un ataque, por lo que sea, pero te encuentras en esa situación.
Empezamos a hacer ruido y tirar herramientas? qué queremos conseguir? paso a paso.
Conciencia situacional sería en inglés sobre lo que vamos a hablar creo...
Yo empezaría a hacerme preguntas e intentar conocer las respuestas o a intuirlas. Qué usuario tengo? quien soy? Qué roles tengo? Está activado el MFA a nivel global? A qué servicios puedo acceder. Quienes son los usuarios con roles de admin. Qué seguridad, productos o servicios tiene el tenant?
Conocer un poco de esto te ayudará a saber quien eres y donde estás.
Nos vamos a conectar con nuestro az-connect y vamos a usar la suite PowerZure para realizar un análisis inicial
