Proceso seguido en el diseño de un dispositivo de red para ejercicios de RedTeam, elección de la solución adoptada a nivel de software y hardware, implementación de distintas técnicas de evasión del NAC, implementación del acceso externo, problemas detectados, escenarios de uso, siguientes pasos y otros posibles casos de uso.
1. Albacete, 4, 5 y 6 de octubre de 2018 1
RedPI – A Network Implant in your
LAN
2. Whoami
Sergio Romero Redondo
(@trumanx)
Ingeniero en Informática de
Sistemas
Pentesting / Ethical Hacking desde
2010
Miembro del equipo de Hacking
Ético de Deloitte España
Albacete, 4, 5 y 6 de octubre de 2018
3. Escenario
Ejercicios de RedTeam
• Intrusión física
• Empleados descontentos
• Espionaje empresarial
Albacete, 4, 5 y 6 de octubre de 2018
Objetivos con mayor madurez en seguridad.
Entre 1K - 5K de empleados.
Múltiples sedes a nivel nacional
Ningún tipo de restricción por parte del cliente… (Casi)
Todo vale…
4. Albacete, 4, 5 y 6 de octubre de 2018 4
Objetivos
Conseguir acceso a la red interna.
Conseguir privilegios elevados en la red.
Pivotar a red interna de manera externa.
Uso de herramientas de “ataque”
No ser detectados por sistemas antivirus, IDS, etc.
Capacidades de exfiltración de información.
5. Albacete, 4, 5 y 6 de octubre de 2018 5
Challenge accepted
6. Albacete, 4, 5 y 6 de octubre de 2018 6
Necesidades - Checklist
Implant a nivel de red – Plug and Play.
Actúe cómo bridge transparente.
Permita acceso remoto.
Evasión de controles de acceso a la red.
Pueda permanecer oculto sin ser detectado.
Intrusión en alguna de las sedes para colocar el
dispositivo en la red.
7. Albacete, 4, 5 y 6 de octubre de 2018 7
Suposiciones y medidas a evadir
Siempre pensar en el peor escenario posible.
Medidas de protección de acceso a la red:
Port Security / NAC / 802.1.x
Sistemas de monitorización de hardware de red.
Proxys de Red.
Monitorización de fugas de información.
Firewalls que detecten conexiones inversas, etc.
8. Posibles controles de acceso a red
MAC Filtering/portecurity: filtrado basado en dirección
MAC
802.1.x-2001/802.1.x-2004: Autenticación del cliente
802.1.x-2010: Autenticación del cliente + cifrado capa 2
(Similar a WPA2)
Albacete, 4, 5 y 6 de octubre de 2018
10. Evasión de los controles de acceso a red
Albacete, 4, 5 y 6 de octubre de 2018
Ataque
Duckwall:
MAC Filtering
802.1.x-2001
802.1.x-2004
11. Solución propuesta
Dispositivo con 2 tarjetas de red y un dongle Lte.
MitM entre un dispositivo legítimo y la red.
Evasión de controles de acceso 802.1.x y MAC filtering.
Conexión remota mediante canal secundario y VPN.
Exfiltración de información canal secundario y VPN.
Redirigir tráfico del atacante a la red interna a través de
VPN.
Ejecutar tareas de auditoría desde el propio dispositivo.
Albacete, 4, 5 y 6 de octubre de 2018
12. Elección de Hardware + Software
RaspberryPi3 Model B+ starter kit (60 €)
Dispositivo USB2Ethernet (17 €)
Dongle E3372 Lte/4G para la comunicación remota con el
dispositivo. (50 €)
Distribución Raspbian
Albacete, 4, 5 y 6 de octubre de 2018
14. Configuración dongle Lte/4G
Tecnología highlink. No más configuración de Modem.
Deshabilitar el PIN de La SIM
Proveedor de Datos con cobertura en el área objetivo.
Cerciorarse que la tarjeta dispone de datos, hay limite,
se puede recargar, etc.
Establecer el identificador de la interfaz en base a la
dirección MAC
Albacete, 4, 5 y 6 de octubre de 2018
15. Configuración Interfaces de Red
Forzar el identificador de la interfaz en base a la dirección
MAC.
Albacete, 4, 5 y 6 de octubre de 2018
16. Configuración Interfaces de Red
Interfaz eth0 – Equipo legítimo
Interfaz eth1 – LAN
Configurar un interfaz virtual en modo bridge
transparente entre las 2 interfaces ethernet.
Captura y análisis del tráfico.
Evitar el envío de tramas desde el propio dispositivo.
Albacete, 4, 5 y 6 de octubre de 2018
17. Manteniendo la conectividad
Permitir el reenvío de tráfico 802.1.x, este tipo de tráfico
no se reenvía por defecto.
Forzar que el tráfico del bridge pueda ser gestionado por
iptables
Albacete, 4, 5 y 6 de octubre de 2018
20. Evadiendo 802.1.X
Suplantar MAC/IP de dispositivo legítimo (Necesitamos
MAC e IP del dispositivo legítimo)
Reenvío de tramas al Gateway de la red (Necesitamos la
MAC del Gateway de la red)
Poder discernir el tráfico de vuelta que va dirigida a
nuestro dispositivo o al equipo suplantado(Source
NAT)
Albacete, 4, 5 y 6 de octubre de 2018
21. Evadiendo 802.1.X – Datos para
suplantación
Elección de SRC MAC, SRC IP y DST MAC
Albacete, 4, 5 y 6 de octubre de 2018
Analizando tráfico de la red en la interfaz eth0:
Ordenadores corporativos:
Tráfico HTTP, HTTPS, LDAP, Kerberos, SMB
Otro equipamiento de red:
Tráfico SNMP, Jetdirect, Line Printer Daemon /Line Printer
Remote …
22. Suplantación en capa 2
Indicar una IP y una MAC ficticia a la interfaz bridge
Modificar la dirección MAC de origen de todos los frames
ethernet salientes del dispositivo, por la MAC del equipo
suplantado (Source NAT)
Albacete, 4, 5 y 6 de octubre de 2018
23. Suplantación en capa 3
Modificar IP de origen de todos los paquetes salientes de
la interfaz bridge por la IP del equipo legítimo.
Albacete, 4, 5 y 6 de octubre de 2018
24. Enrutando el tráfico del dispositivo
Gateway por defecto la puerta de enlace red 4G o VPN.
Redirigir tráfico a redes privadas a través del Gateway
del bridge.
Modificar la tabla ARP vinculando la dirección IP del
Gateway del bridge y la dirección MAC del Gateway
legítimo de la red
Albacete, 4, 5 y 6 de octubre de 2018
25. Ocultando el dispositivo en la red
Evitar el envío de tramas desde el dispositivo
Suplantar el equipo legítimo en capa 2 y capa 3
Albacete, 4, 5 y 6 de octubre de 2018
¡¡Bypass de 802.1.x!!
28. Lab Testing
Realizar una primera prueba en entorno de laboratorio
similar:
Albacete, 4, 5 y 6 de octubre de 2018
• Caída de interfaces
• Problemas con el dongle Lte
• Orden de inicio de interfaces,
VPN, DHCP dongle, etc.
29. Solución a los problemas
Comprobar el estado de interfaces y
servicios.
Inicio de interfaces y servicios en el
orden correcto.
Albacete, 4, 5 y 6 de octubre de 2018
Easy way à bash & crontab
31. Acceso Físico
Elaborar un Plan de acceso
• Estudio previo de las sedes
• Sedes en edificios compartidos
• Sedes de menor tamaño
• Estudio del entorno
• Accesos secundarios
• Tailgatting
Albacete, 4, 5 y 6 de octubre de 2018
33. Colocando el dispositivo en la red
Dispositivo de red
NO implementan 802.1.x o NAC
SI implementan portsecurity, filtrado de MAC, etc.
Podemos terminar en la VLAN de impresoras
Albacete, 4, 5 y 6 de octubre de 2018
Localización del dispositivo a suplantar.
Ordenadores corporativos
Mayor control de acceso a red (NAC, 802.1.x, portsecurity)
Mayor alcance en la red
35. Acceso externo
Podemos redirigir el tráfico a través de VPN.
Accedemos a ssh y ejecución de herramientas de ataque.
Albacete, 4, 5 y 6 de octubre de 2018
¿En que red me encuentro?
¿A quién estoy suplantando?
¿Posibles objetivos?
Analizar el tráfico de la interfaz bridge
36. Herramientas en el dispositivo
nmap
responder
impacket
crackmapexec
pth toolkit
empire
Powershell frameworks
Metasploit
Albacete, 4, 5 y 6 de octubre de 2018
37. Futuras versiones
Mecanismo de cifrado de disco.
Mecanismo de carga de la configuración.
Botón del pánico.
Albacete, 4, 5 y 6 de octubre de 2018
Implementar Bypass de 802.1.x-2010
Interceptar comunicaciones de otros sistemas VoIP,
Terminales inaccesibles, PoS, Dispositivos IoT