Run Some Where: Ransomware

 Estimados amigos de Inseguros!!!

Seguimos con los incidentes de seguridad usando el ransomware como medio de monitización. En las últimas semanas numerosas empresas de mi entorno han sufrido en mayor o menor medida algún toque de atención respecto a este vector.

Me da hasta un poco de verguenza hablaros de este asunto, cuando es algo con lo que llevamos en guerra desde hace muchos años, pero muchas organizaciones siguen sin entender el asunto.

No se trata de "parar el ransomware" mediante EDR, Firewalls, sistemas de IA, fortificaciones, etc. Ante el Ransomware tenemos que tener otra aproximación. SI tenemos que establecer medidas para EVITAR el ataque, pero poniendo como símil el COVID, la gran mayoría de ciudadanos lo ha pillado. Muchos no lo saben, y por más medidas que hemos puesto, el virus ha encontrado alguna "brecha de seguridad".

Con el ransomware ocurre lo mismo. Pensar que el Ransomware no es el vector de ataque, es el "payload", es en lo que va a desembocar un ataque, producida por distinta vulnerabilidades, por lo que su defensa es muy compleja, y tenemos que trabajar mucho en la mitigación/contención/detección.

Un ransomware te puede entrar mediante una pieza de malware distribuida por correo, en una descarga, en la visita de una web, instalando un componente, o te puede entrar por un zero day, o por una vulnerabilidad en un server sin actualizar, o en un servicio mal configurado con una contraseña débil, o mediante un ataque de phishing y robo de credenciales de acceso a distintos entornos como vpn, rdp, etc... 

El ransomware es la manera que el cibercrimen ha encontrado para todos los ataques que hemos visto durante años, insisito, protegernos es MUY COMPLEJO.

Cuando hago auditorías de ciberseguridad encuentro administradores o responsables que no entienden esto, y cuando le dices de iniciar una fase del pentest, con credenciales de red, de distintos ámbitos, es decir, un usuario plano, y un usuario no tan plano... se sorprenden...

Por supuesto que yo voy a intentar conseguir hacerme admin sin ayuda... pero es de vital importancia medir la ciberseguridad desde todos los puntos. El que más se entiende es el externo, el blackbos, no te digo nada y dime hasta donde llegas, pero tenemos que ser capaces de defendernos antes otros escenarios.

Yo te preunto a ti, amigo lector:

• Imagina un entorno en el que el malo tiene el usuario administrador del dominio.
• Imagina un entorno en el que el malo ha deshabilitado el antivirus.
• Imagina un entorno en el que el malo accede a distintos segmentos de red.

Antes este escenario, entiendo que tenemos la batalla muy muy perdida, pero no la guerra tota.

La gente no entiende, o no interioriza todo esto del Mitre, del Kill Chain, del DFIR, etc...

Los malos van a envirual un equipo, un servidor, un cliente, un navegador, como VECTOR DE INICIO, pero luego, una vez comprometida la organización, va a empezar a hacer escaladas de privilegios, movimientos laterales, comunicaciones al C&C... todo esto que sabemos.

Entonces, por qué solo le ponemos foco en que no ocurra el compromiso inicial? Deberíamos trabajar muy mucho en la parte de la detección y contención. No es lo mismo que se cifre un equipo, que las cabinas con los hypervisores y las máquinas.

Es muy importante tener esta visión global, 360, holística, siiii, estas palabras, y añado resiliencia... puedo seguir eh!!! pero al final, es lo que nos toca.

Es como los coches, tienen elementos de seguridad para que no nos estrellemos, pero tienen otros para que si nos hemos estrellado, el daño sea el menor...

Es como los militares, por un lado no queremos tener una guerra bacteoriológica en nuestro pais, o un terremoto de grado 8, pero si que hay que realizar pruebas para que cuando ocurra, estar preparados y poder actuar ante el incidente...

Esto en la informática se hace siguiendo un plan que contenga estas fases:

• Auditoria.
• Fortificación
• Monitorización/Respuesta

Y esto nunca acaba, siempre habrá nuevos sistemas que auditar, o que fortificar, o que probar la monitorización.

Espero que te sirvan de ayuda estas reflexiones.

Por otro lado, contar con una buena formación teórico-práctica es importante.

El 23 de Marzo se inicia un curso de 3 meses que imparto sobre Ciberseguridad en entornos Microsoft que te podría servir de ayuda en tu misión con la ciberseguridad en las empresas.

Si quieres estar informado, te paso un link para inscribirte en la lista y estar informado.

Gracias por leerme !!!

https://marketing.seguridadsi.com/acc07105yy

Setntlm: Escalando a Azure AD desde un sistema comprometido

 Estimados amigos de Inseguros !!!

Imagina un escenario habitual en los ejercicios de ciberseguridad, pentest, etc en los que nos hemos hecho con el dominio. No creas que hay que imaginar mucho xD.

Una de las cosas que vamos a hacer es posiblemente hacer un DCSYN, emular que somos un DC y replicar toda la base de datos para obtener los hashes de todas las cuentas.

Seguramente algunas las podremos crackear, otras no, da igual. Pero hoy por hoy nos encontramos con entornos en los que aún pudiendo hacer pass the hass en el equipo de la víctima, los usuarios ya no guardan todo en sus pc´s. Muchos usan Azure, Onedrive etc para guardar sus documentos... como debe ser.

Saltar de AD on premise a Azure a veces es muy fácil y otras veces muy complejo. Bueno seguimos.

Tenemos un hash o clave de un usuario potente, un admin. del sistema y queremos su keep pass que guarda en onedrive. Podríamos cambiar la clave del usuario en el dc, esperar media hora a que Azure Ad Connect hiciera su magia y ya tendríamos acceso a su nube, pero esto sería un poco disrruptivo, y según que ejercicio de redteam, podría no estar permitido.

Tampoco está permitido que los administradores de sistemas sepan la clave de los empleados, pero con un procedimiento como esté, podemos cambiarla, hacer "cosas" y volverla a cambiar...

Para ello nos vamos de paseo con Mimikatz, y explorar alguna de sus funciones.

Hacemos un dcsync, o cualquiera de los métodos que tenemos en nuestro arsenal, y sacamos el hash ntlm del usuario "jugoso"

Ahora tenemos la opción de cambiar la contraseña:

Y si queremos comprobarlo...

Pero no habíamos dicho que no podíamos cambiar las claves de un usuario? Podemos hacerlo por la noche, mientras no trabaja, y dejarle la contraseña como estaba:

Y aquí es donde entra la parte defensiva. Recuerdas una GPO de hace más de 20 años que dice: Vigencia Mínima de la contraseña? que no entedíamos muy bien para que estaba? ahora lo tenemos claro. si subes esta cifra, evitas que alguien pueda usar este hack.

Contraseñas recordadas, por defecto 24 en los nuevos Servers y dominios, pues lo mismo, deberíamos cambiar 24 veces la clave antes de poder volver a poner la que estaba...

Y por último, tienes eventos del tipo ;

4738(S): se cambió una cuenta de usuario.

Quizas en un SIEM debería haber alguna regla para este tipo de acciones...porque el malo va a tener que hacer varios cambios en un espacio de tiempo limitado...

Por otro lado, contar con una buena formación teórico-práctica es importante.

El 23 de Marzo se inicia un curso de 3 meses que imparto sobre Ciberseguridad en entornos Microsoft que te podría servir de ayuda en tu misión con la ciberseguridad en las empresas.

Si quieres estar informado, te paso un link para inscribirte en la lista y estar informado.

Gracias por leerme !!!

https://marketing.seguridadsi.com/acc07105yy

De Backup admin a domain admin...ya está.

 Estimados amigos de Inseguros !!!

Los que me conocen lo saben, soy un profundo defensor de conocer en profunidad aquello que manejas, en el tema laboral, los sistemas, en mi caso Microsoft.

Conocer los ataques y las defensas, las monitorización, la detección, la contención, es una pieza más del complejo puzzle que es la administración la sistemas. En grandes organizaciones esto puede ser tarea del depto. de Ciber, o más en detalle del BlueTeam, pero en la inmensa mayoría de organizaciones es cuestión del DEPTO. Informática...

En esta ocasión os traigo una pequeña referencia, pero que aporta más como reflexión que como técnica concreta, y es un exploit para elevar de Backup Admin a Domain Admin en un click.

El permiso SeBackupPrivilege es algo viejo y muy conocido en el mundo del pentester, y se usa, pero no te preocupes del pentester !!! preocúpate del ransomware que lo va a utilizar una vez entre en tu red...

Hace tiempo que Impacket nos ofrece esta posibilidad, con el simple dump de la SAM, SYSTEM y SECURITY del registro, a una ubicación...

Lo bueno de este exploit, es que no usa WINRM ni nada por el estilo, solo se conecta de manera remota a la clave del registro...

Y digo yo, si sabemos cómo funciona, podemos hacer dos cosas, por qué no prescindir, en la manera de lo posible, de este grupo y permiso? por qué no monitorizar los logins de estas cuentas? y lo que más aportaría, de verdad necesitamos acceso remoto al registro?

Computer Configuration > Policies > Windows Settings > Security Settings > System Services

Podemos cambiar su inicio a manual y listo, ya no permitimos ni a a los buenos ni a los malos trabajar con registro remoto.

Por supuesto, que añadiría una monitorización a esta rama del registro, donde se guarda la SAM... que creo que es algo importante. Vimos como hacerlo hace un tiempo aquí. 

Al final, como he empezado diciendo, no se trata tanto de este pequeño recurso, sino de que comprendamos que es importante conocer estos vectores de ataque y como gestionarlos.

Por otro lado, contar con una buena formación teórico-práctica es importante.

El 23 de Marzo se inicia un curso de 3 meses que imparto sobre Ciberseguridad en entornos Microsoft que te podría servir de ayuda en tu misión con la ciberseguridad en las empresas.

Si quieres estar informado, te paso un link para inscribirte en la lista y estar informado.

Gracias por leerme !!!

https://marketing.seguridadsi.com/acc07105yy

Nace la academia Seguridadsi. Bienvenidos !!!

 Estimados amigos de Inseguros !!!

Después de mucho tiempo, y de varios intentos marketinianos que estáis viendo por las redes sociales, creo que es hora de que hablemos :-)

En 2023 he lanzado un proyecto de formación bajo el nombre comercial que uso en mis servicios, se trata de formacion.seguridadsi.com 

Mi primer trabajo en la informática fue con 14 años haciendo videos en autodesk animator y el 286 en los campamentos de verano, como ya he contado en alguna ocasión, pero mi primer trabajo de verdad en la informática fue dando clases. En los inicios del 2000, con mucha pasta europea... como siempre vienen estas cosas, yo con 20 años dando clases de windows 2000 :-). 

Empecé realmente dando clases de SqlServer 7. No tengo fotos de ese momento, pero el otro día un amigo-alumno me envió uno de los certificados y me hizo mucha ilusión. Llevaba 3 años dándo clase y tenía 23 xD.

Siempre me ha gustado contar cosas, este blog, las charlas, las clases, y raro ha sido el año que no he cumplido este placer con alguna actividad.

Entonces, ¿por qué no montar mi propia academia?. Seguro que si alguna vez te has planteado obtener un curso, has investigado en las formaciones, o las has hecho, te has encontrado con lo que yo, después de mucho formarme como alumno también, y haciendo un profundo análisis de mercado.

• Cursos de introducción a.... Cuando yo hago un curso, es porque no se de algo. Quiero aprender, pero que no sepa no significa que quiera quedarme solo en la introducción. Además, esto suele ser síntoma de que el que lo importe, tampoco tiene mucho más que dar. Esto no es así siempre, entrecomillas.
• Cursos poco actualizados... Cursos de hace 20 años, en los que han introducido un "exploit" nuevo, pero el 70% del curso está desfasado.
• Cursos poco teóricos... Cursos donde te enseñan a hacer click click, siguiente siguiente, y configuras algo, pero no aprendes de verdad nada.
• Cursos muy teóricos... Cursos donde aprendes conceptos, pero no aprendes a implementarlos, no le ves la usabilidad. Un curso de raices cuadradas por ejempo xD
• Credibilidad del profesorado... Cursos que no sabes muy bien quien da. Otras veces, si sabes quien lo da, puedes tener referencias suyas, pero no sabes que cobra. ESTO ES MUY IMPORTANTE. Yo he rechazazo muchos cursos, impartirlos, porque me pagaban poco. Cuando pagan poco al profesor, y este lo acepta, muchas veces esto revierte en la poca dedicación del mismo en el curso.
• Contenido aplicable... A mi me encanta el sushi, pero estoy muy gordo, no debo formarme en esta disciplina, que se que no me va a llevar a ir más al gym, sino en ir más al ñam... Pues al reves. Si tu empresa o tu te pagan un curso, debes poder aplicarlo para ofrecer un "revenue" a tu empresa.
• Contenido de calidad...Poder revisar algunos contenidos de ejemplo es fundamental para poder hacerte una idea de lo que viene.

Seguro que si has hecho/mirado formaciones, tendrás muchas más opiniones. Estas son algunas. 

Y SeguridadSI pretende dar cursos que no caigan en estos problemas, por ejemplo:

• El profesor soy yo. No lo digo por lo guapo, sino porque soy un profesional en activo. No me dedico en exclusiva a la formación. Esos profesores huelen a kilómetros y no dejan de ser una versión humana de loquendo y un par de libros. La experiencia que aporto en mis contenidos creo que es un factor interesante, quizás el que más.
• Los cursos son completos. Están hechos para que entres sin saber, y salgas sabiendo mucho. No a medio.
• Actualizados a 2023 y lo más intemporales posibles. 
• Mix entre teoria y práctica.

No me siento muy bien hablando bien de yo mismo conmigo mismo, pero estoy muy orgulloso del contenido.

Para empezar, aunque tengo varios grabados ondemand, estoy empezando por la 3ª Edición del Master de Ciberseguridad en entornos Microsoft que he impartido en otras empresas, pero esta vez lo hago completo desde mi control.

Un curso completo de 3 meses, dos tardes, 3 horas cada tarde, en los que el alumno aprende mucho de ciberseguridad en general, y sobre todo orientado a redes Microsoft y Azure. Por supuesto que usamos linux para atacar, por supuesto que atacaremos el cloud, pero no es un curso de ciberseguridad ofensiva en exlusivo.

Para mi, es el curos perfecto para un profesional de los sistemas o redes, un recien titulado de ingenieria, alguien que quiera iniciarse en la ciber, pero profunidar, no quedarse en "metasploit" y Burp.

El curso tiene cosas muy buenas, posibilidades de pago, etc. Si estás interesado, contacta comigo para ver como podemos llegar a un acuerdo, porque de corazón, es un pedazo de curso, y el dinero al final se soluciona.

Si te parece, te dejo la landing de marketing para que te suscribas a las news y estés enterado de todo lo que vamos sacando. En unos días sacaremos unos descuentos y quizás te vengan bien.

Como siempre, gracias por todo, y perdona la turra xDDDD

Suscríbete