miércoles, 18 de enero de 2023

Contabilidad Ciber. El deber y el haber: Simulación de adversarios Con Caldera...

 Estimados amigos de Inseguros !!!

En el post de hoy os lanzo un pequeño recordatorio y consejo para los que estáis en el mundo ciber sobre la simulación de adversarios.

Hemos hablado aquí ya hace tiempo, y en algún post más que no tengo controlado ahora mismo. Se trata de realizar las mismas técnicas que emplean los malos, como cuando hacemos un redteaming, pero con el objetivo de comprobar la capacidad de respuesta de una organización.

Voy a explicarlo de otra manera. Tu tienes un objetivo, una IP Pública, y en un red team lo normal es que uses 10, 15, 30, 50 procesos/técnicas/herramientas para inentar conseguir, pues desde información,acceso, comprometer el equipo, cualquiera de las fases por ejemplo de MITRE...

Si de las 50 técnicas, solo 1 te funciona, sigues por ese camino. Tu objetivo es comprometer la máquina... por lo general.

En un purple team o simulación de adversarios, me preocupa qué técnica has usado para "joderme" con el fin de "parchear" o securizar la vulnerabilidad. Pero también me interesan las 49 técnicas que no hansido efectivas, porque lo que estamos midiendo es nuestra capacidad de detección.

Sigo con este concepto para explicarme mejor. Imagina que tienes una vulnerabilidad conocida en Exchange CVE 2022-41040 que permite código remóto en tu servidor de correo. Imagina que un atacante, en un ejercicio de Purple Team o simulación de adversarios, detecta que tienes un Exchange, y te tira 5 exploits para 5 CVE, para 5 fallos. Puede que no seas vulnerable a 4 de ellos, pero al 2022-41040 si. Pero se trata de saber que te han tirado 5 exploits, para que mejores tus capacidades de detección, por ejemplo en un firewall con IDS, o es un host IDS en el servidor, o un antimalware en el servidor... o lo que sea.


Porque en el purple team, para mi punto de vista, no es tanto medir tu ciberseguridad de hoy, es decir, si eres vulnerable a esos 5 exploits que te he tirado, sino que tu resiliencia, tu capacidad defensiva crezca, no para estos 5, sino para todos los que vengan en el futuro.

Digamos que un redteam o un pentesting tiene una vigencia de HOY, porque te diríamos que parcheases ese Exchange que tienes con RCE, pero un purple team te diría qué hacer para detectar ese, y otros exploits de la misma índole...

No se si me he explicado? xD

Siguiendo estos planteamientos, seguimos alineados con MITRE, y queremos conocer las técnicas que emplean los malos, no tanto las herramientas. En el pasado nos preocupábamos de la firma para un antvirus, o una firma de red para detectar una herrramienta. Hoy en día la herramienta es mucho menos importante, porque me da "igual" que estés usando un powershell, un modulo de Empire o un c2 hecho a mano... Al final yo quiero detectar comportamientos inusuales.

Siempre pongo el ejemplo de arp -a. Me da igual la herramienta que lo lance, al final, es un técnica que usan los malos para descubrimientos de objetivos en la red. Si consigo detectar un ataque que emplea esta técnica, y más técnicas, podré adivinar la herramienta, e ir escalando en la pirámide de valor para llegar a saber quien me está atacando... nos suena todo esto?

Biennnn seguimos. Por eso en el titulo escribía el debe y el haber. Como en la contabilidad de las empresas, tengo que tener siempre equilibrada la cuenta. Si tengo 100 euros en el haber, luego tengo que tener equis movimientos de debe, si me los he gastado...

Con el Purple Team igual. Si te he lanzado 17 técnicas, tengo que detectarlas, independientemente de que hayan sido fructíferas o no.

Para la simulación de adversarios yo uso CALDERA, un framework del MITRE muy simpático. Instalas un agente en el equipo que quieres probar, para hacer de C2, y empiezas a lanzar golosinas, y en el lado del defensor esperas la alerta en el siem, o el contraro de rescinsión del SOC gestionado :-)

Caldera viene de casa con unos 140 ataques, técnicas, lo que llama abilities. Si habilitamos el plugin de ATOMIC, nos importa 1400 técnicas que provienen del proyecto RED CANARY


Por ejemplo, vamos a ver una técnica que simula ser un Bypass de Amsi


Puedo copiar y pegar la ejecución de la técnica... de la maldad xD o ejecutarlo desde el servidor de Caldera mediante nuestro agente.


Ahora me voy a Sentinel, mi SIEM en Azure, y voy a ver los logs que ha dejado esto. Voy a lanzar una consulta sencilla, sabiendo el comando, buscándo un proceso que se haya abierto así, y vemos como detecto dos ejecuciones, y veo como el proceso padre es maloso.exe, el C2 que uso de Caldera.

Si realizara más pruebas con este agente, podría buscar por este campo, para saber qué ha hecho el "malo"


Aquí podemos ver varios comandos que hemos ejecutado, habitualmente empleados por los malos.

Como siempre, me gusta dejar el "poso" de los que hacemos los buenos. Aparte de detectar, podemos usar las características de Powershell 5 para bloquear contenido.  Aunque me temo que también hay varios bypass a este medida :-)

Al final, como resumen, espero que os haya gustado esta síntesis de ideas, nada nuevas, pero que creo que es importante que vayamos interiorizando, incorporando en nuestros procesos de revisión,  e igual que hacemos auditorias periódicas para revisar la salud de los sistemas, realizar estos ejercicios incrementa notoriamente las capacidades defensivas de la empresa.



Imagino que te interesa este mundo de atacar, defender, monitorizar. Simulación de adversarios, Sysmon para detectar, Sentinel, Caldera. 
Dentro de unos días comienza la tercera edición del master de ciberseguridad que imparto. Un master diseñado para trabajadores, para desarrollar tu carrera en la ciber.
Si te interesa, puedes pinchar en el curso: https://marketing.seguridadsi.com/informacin-para-el-master-ciber
También puedes suscribirte al boletín para estar al tanto de noticias de este tipo.

Gracias por leerme !!!

lunes, 9 de enero de 2023

Teletexto y tercera edad?

 Estimados amigos de Inseguros !!!

Viendo unas noticias en la TV me percato de un dato que me llama la atención. Solo Alemania y España preservan el servicio de Telexto en sus canales principales y aportan un dato, que en España lo usan de media unos 2.000.000 personas.

Seguramente si eres jóven, el teletexto te sonará de chistes, memes, de esa tecla que nadie cual es, que te "desconfigura" la televisión y luego no sabes cómo salir :-)

Pero esto me hace reflexionar sobre muchas ideas. Por ejemplo, para mi ya dilatada edad, me resulta curioso como recordar, "hace dos días", como mis mayores usaban ese sistema de una manera ágil, rápida, eficiente, y yo apenas pulsaba las teclas así con el dedo indice muy pronunciado. Como hace mi madre ahora con el móvil? igual. Mis mayores conocían esa tecnología, yo no, y a esto se le sumaba la admiración por los mayores...

Como decía, han pasado dos días, y ahora esas personas ya no manejan tan bien "mi" tecnología. Les enseñas un proceso en el movíl pero lo aprenden paso por paso. En cuando cambie una pantalla, icono, como cambie algo del proceso, son incapaces de reconducir el paso. La llamada brecha tecnológica. Siempre la ha habiado !!!

Recuerdo como hace 25 años, antes de que ningún coach,experto, influencer, mentor, growth hacking y pepinillos en vinagre existiera, y casi que ni nacido, yo ya practicaba la "digitalización". Era sencillo, tenía que convencer a mis compañeros de trabajo, a cambiar sus procesos, del papel, al pc. Ya aparte introducir mejoras, es decir, no "apuntar" lo mismo en papel, pero ahora en excel... 

Como indico, la brecha tecnológica siempre ha existido. Desde hace miles de años, hasta hace unos pocos.

El problema es que vivimos una época, la sociedad de la información, que será estudiada por su importancia como la revolución industrial, la imprenta o el uso del Cobre... pero que quizás no hemos considerado muy mucho a nuestros mayores.

No me cabe duda de que en la revolución industrial, un artesano manufacturero de cualquier disciplina, con 40 años de experiencia, adoptase las nuevas técnicas, pero seguro que se respetaba como eso, como artesano, como experto, como viejo.

Hoy en día nuestros mayores están inmersos, igual que nosotros prácticamente, en la revolución digital, y los técnicos como técnicos, ni la sociedad como sociedad, hemos sabido ubicar sus necesidades en nuestro mundo.

Piensa en lo cotidiano de tu día, en la de cosas que haces con el móvil, y piensa en esa persona sin conocimientos, o que lo mismo no ve bien !!! 

Cuantos cabreos he tomado por gestiones infructuosas con tu operador de noseque, con tu banco, con tu cita para la administración pública... y un largo etc. Pues ahora pon al abuelico.

Hay gente de 60 años, de 70, de 80, de 90 años que aún viven !! :-) hablamos de una franja de la población muy amplia, y que la sociedad está dejando de lado.

Lo estamos haciendo de muchas maneras. Laboralmente, con expertos en sus campos, de 50 años, que no encuentra trabajo. Joder !!! el otro día !! discutía con un niño de internet, con 23 años. Cero experiencia laboral. cero experiencia como padre. cero experiencia como "marido" o pareja. Un bebe, un pequeño lechón con la panza rosa, y ya me quería encasillas como boomer, porque no uso Twitch... 

Estas navidades muchas familias pusieron al abuelo a cenar antes en la cocina, para tener una velada de ocio tranquila...

Hace miles de años, el conocimiento se pasaba de mayores a menores. En una hoguera, en medio del pueblo, los antiguos contaban sus historias, y los jóvenes escuchaban y aprendían. SI, los jóvenes se revelan, sobrepasan al maestro, apren en 2 lo que a mi me costo 22, si, pero la brecha digital con la que vivimos me parece súper injusta.

Y volviendo al telexto. Me parece una manera fantástica de que los mayores sigan conectados. Quizás exista, una interface "similar" para móviles o equipos, que les pueda ayudar a estas personas a navegar por eso de Internete, pero desde luego, que la noticia me ha hecho reflexionar sobre todas estas cosas, y desde luego que me parece genial que haya 2.000.000 de usuarios de teletexto.

Un saludo amigos !!!