viernes, 25 de agosto de 2023

Fuerza Bruta contra O365 mediante proxy para evadir bloqueos:Trevor

 Estimados amigos de Inseguros!!!

Un de las primeras cosas que debemos mirar a la hora de auditar nuestras infraestructuras es la calidad de las contraseñas, de nuestros empleados o clientes. Realizar una campaña de fuerza bruta con algunas passwords conocidas, relacionadas con el negocio, no me parece una mala idea.

Existen distintas aplicaciones con las que podemos acometer esta misión, pero Azure implementa un mecanismo denominado Smart Lockout que va a detectar los intentos de inicio de sesión fallidos y nos va a bloquear. 

Teniendo como objetivo saltarnos esta medida, vamos a usar algo ya conocido, y es el uso de proxys para repartir las peticiones y así hacer más dificíl a los sistemas defensivos la detección.

Lo vamos a realizar con la herramienta TrevorSpray.  Lo que me gusta de este proyecto es que el autor ha publicado aparte el componente proxy, por lo que mediante proxychains, como hacemos con TOR, podemos usar los nodos para tirar cualquier comando, pero vamos a centrarnos en la fuerza bruta...

Las instrucciones son muy sencillas:

pip install git+https://github.com/blacklanternsecurity/trevorproxy
pip install git+https://github.com/blacklanternsecurity/trevorspray

 export PATH=$PATH:/home/kinomakino/.local/bin

Como con cualquier otra herramienta, le damos un vistazo a las opciones. Me gusta indicar que no haga intentos de bypass del MFA, ya que podría generar mucho ruido. En esta fase nos centramos en obtener credenciales válidas, ya veremos luego como las explotamos.

Un comando sencillo podría ser: trevorspray -u lista_de_usuarios -p 'Password' -nl 

Ahora bien, tiramos la herramienta, y lo que suele pasar es que los filtros Smart Lockout nos cazen y empiece a decirnos que las cuentas están bloqueadas


Ahora es donde metemos la magia y le indicamos que queremos "canalizar" el ataque en uno o más ssh y voila !!!

 trevorspray -u trevor-users2.txt -p 'cosas' 'cosas2' 'cosas3' 'cosas4' -nl --ssh kinomakino@40.77.175.84 kinomakino@51.1.106.102 kinomakino@20.1.198.6 kinomakino@20.4.128.167 --jitter 15 

Desde el punto de vista defensivo, podemos configurar este comportamiento solo si tenemos P1. Si no lo tenemos, funcionará el lockout, pero no podemos configurar valores personalizados.

También sería interesante monitorizar estos log, por ejemplo, desde el visor de inicios de sesión desde Entra ID 



El problema de esta información es que no es "accionable". No podemos vincularle acciones, como haríamos con un SIEM. Pero para eso también tenemos este post donde te enseño a guardar estos registros en Log Analytics y asociarle reglas de ejecución.

Todas estas cosas las puedes encontrar si te animas a realizar el cuso de Hacking y Defensa de Azure y O365

Quedan pocas plazas. Quieres que te cuente en una reunión cositas sobre el curso?  



Gracias por leerme !!!

Recuerda, hacemos los mejores cursos de ciberseguridad y ofrecemos servicios de auditoría experta en entornos Microsoft.