RedTeam Ops: Introducción a ejercicios de Red Team

6 de abril de 2021 Por
Esta entrada se ha elaborado conjuntamente con Arturo Navarro Quijada

En esta entrada vamos a ver algunos detalles del curso RedTeam Ops (RTO), ofrecido por zeropointsecurity.co.uk, de la mano de Daniel Rastamouse Duggand, que permite obtener la certificación de Red Team Operator tras aprobar un examen práctico de 48 horas.

A fecha de hoy, el precio de este curso, (que incluye una convocatoria del examen de certificación) varía entre los 442,75€ (399£) y los 720,16€ (649£), según la duración de los laboratorios (30-60-90 días).

Una de las ventajas es que el contenido teórico es accesible de por vida, y suele actualizarse cada poco tiempo.

En nuestro caso, elegimos esta certificación por recomendaciones de amigos y compañeros, ya que después de echar un vistazo al temario nos pareció interesante tanto desde la perspectiva del Red Team como desde Threat Hunting.

Dicho esto, entremos en materia.

[Read more…]

Kroll Artifact Parser and Extractor (KAPE) – II: Utilización con terminal

3 de marzo de 2021 Por

Después de ver la parte más introductoria de la herramienta forense KAPE, en este segundo artículo nos centraremos en su uso mediante la terminal.

Recordemos que KAPE nos permite ejecutar la herramienta por medio de dos vías, con su interfaz gráfica, que correspondería con el ejecutable gkape.exe que hemos visto en el primer artículo al acceder a la carpeta de la herramienta, o mediante la terminal, que la arrancaremos desde el ejecutable kape.exe.

Hoy veremos la ejecución vía terminal.

Procedemos a ejecutar la línea de comandos en nuestro Windows 10 como Administrador, ya que KAPE así lo requiere, y accedemos a nuestra carpeta de KAPE.

Antes de continuar vamos a ejecutar el comando .\kape.exe –sync para sincronizar y actualizar nuestros módulos y targets con los que aparecen en la web de GitHub de Eric R. Zimmerman:

[Read more…]

Compliance en la empresa: ¿coste o inversión?

1 de marzo de 2021 Por

Aunque últimamente se oye hablar mucho de Compliance y cómo integrar un programa de Compliance en el día a día de la empresa, bajo mi punto de vista queda un largo camino por andar. Por desgracia, existe a día de hoy todavía una cantidad elevada de nuestro tejido empresarial, PYMES y no tan PYMES, en las que o bien su Dirección desconoce la materia y la importancia de esta, o directamente no le presta la debida atención.

Es habitual escuchar el término Compliance para referirse a múltiples contextos, tal vez porque suena bien o porque le da más empaque a la frase. Sin embargo, ello puede derivar en confusiones de concepto sobre lo que realmente significa.

En la gran mayoría de las ocasiones, los interlocutores con los que he tenido el gusto de hablar se referían al cumplimiento en materia penal, no obstante, este término también se emplea en otros ámbitos no relacionados con el comúnmente conocido como “Corporate Compliance”, como por ejemplo el “Tax Compliance”.

[Read more…]

Kroll Artifact Parser and Extractor (KAPE) – I: Introducción

10 de febrero de 2021 Por

En este artículo y los siguientes vamos a conocer la herramienta de análisis forense KAPE. Hoy comenzaremos con una breve introducción sobre el desarrollo y funcionalidades de esta herramienta, y en sucesivas entradas entraremos más en detalle.

Resultado de imagen de forensics kape

Kroll Artifact Parser and Extractor, o KAPE, es una herramienta forense para su uso en Windows Microsoft creada por Eric R. Zimmerman, desarrollador de multitud de herramientas forenses e instructor en SANS.

Esta herramienta recopila archivos de un sistema, tanto en imágenes de disco como en sistemas locales, y nos proporciona el plus con respecto a otras herramientas de que puede ser configurada para procesar los archivos recogidos con uno o más programas. KAPE permite acelerar las  primeras fases de una investigación forense, debido a que simplifica el proceso de triaje, en los que recogemos por ejemplo file system, registry hives o EventLogs cada uno con un timestamp asociado.

[Read more…]

Sanciones de protección de datos en 2020

5 de febrero de 2021 Por

En este artículo hemos querido recopilar las principales sanciones que ha resuelto la Agencia Española de Protección de Datos (AEPD) en el año 2020 y las hemos analizado.

¿Cuánto sanciona la Agencia Española de Protección de Datos?

En el año 2020, la Agencia Española de Protección de Datos ha resuelto 391 procedimientos sancionadores, de los cuales 316 han terminado en sanción y 75 han sido archivados, recaudando casi nueve millones de euros (8.865.239€). [Read more…]

Marco Europeo de Ciberseguridad

3 de febrero de 2021 Por

En los últimos tiempos, la Unión Europea está reforzando el marco regulatorio sobre ciberseguridad para hacer frente a la creciente amenaza que nos plantean los ciberataques. Para ello está dotando a los Estados miembros de un marco común especialmente focalizado en la ciberseguridad dirigido a garantizar la ciberresiliencia de los procesos que dan soporte a diferentes servicios esenciales para la sociedad.

La Directiva NIS o Directiva (UE) 2016/1148 fue la primera ley de ciberseguridad de la Unión Europea y ofrecía un marco común para mejorar la resiliencia de las redes y los sistemas de información de la Unión frente a los riesgos de ciberseguridad. Ha demostrado ser una Directiva útil, pero que con el paso de los años también ha evidenciado sus limitaciones ante el incremento de las ciberamenazas y la cada vez mayor dependencia de las soluciones digitales.

Es por ello que, a final del año pasado, la Comisión Europea presentó la nueva estrategia de ciberseguridad de la UE basada en tres aspectos principales: [Read more…]

Ransomware ate my network (V)

22 de enero de 2021 Por
Una breve explicación de esta serie con algunas notas aclaratorias se puede leer al comienzo del primer artículo.
Entradas de la serie:
=> Primera parte
=> Segunda parte
=> Tercera parte
=> Cuarta parte
=> Quinta parte

En el artículo anterior ya habíamos terminado el análisis forense del incidente, por lo que Ángela ya tenía una visión global de todo lo que había ocurrido. Los timelines son una herramienta de análisis sensacional para poder entender lo ocurrido en un incidente, así que construimos una (con las horas en UTC, no perdamos las buenas costumbres):

  • 4/Nov: Los atacantes envían los correos con enlaces maliciosos a personal de la FFP.
  • 9/Nov – 11:37h – dolores.jolgorio abre el correo, descarga y ejecuta el .doc con la macro maliciosa.
  • 11:38h – El equipo se infecta con un agente de Meterpreter.
  • 11:41h – Los atacantes ejecutan diversos comandos para reconocer el sistema.
  • 11:46h – Los atacantes “revenden” el acceso al segundo grupo, cediendo el control con un agente de Empire.
  • 12:01 – Los atacantes elevan privilegios con un exploit de la vulnerabilidad CVE-2020-0787.
  • Entre las 12:01 y las 12:37h: Vuelcan hashes con la funcionalidad Powerdump de Empire.
  • 12:37h – Lanzan SharpHound e identifican W10-PC3 como equipo con una sesión iniciada de administrador de dominio.
  • 13:16h – Con los permisos de administrador local, copian el stager de Empire a W10-PC3 y lo ejecutan con PsExec.
  • Entre las 13:16 y las 13:30h – Obtienen el hash NTLM de la cuenta dom.adm con Mimikatz.
  • 13:51h – Montan el pivot SSH-RDP y acceden al DC con el hash NTLM de la cuenta dom.adm.
  • 13:55h – Copian el fichero temp.zip con las GPO y scripts de Powershell.
  • 13:57h – Despliegan la GPO “All in One”, que erosiona severamente la seguridad de los equipos del dominio.
  • 15:08h – Despliegan la GPO “Scheduler”, que copia el ransomware a los equipos y deja programada una tarea para su ejecución a las 17:15h.
  • 15:13h – Lanzamiento de un agente de Empire.
  • 15:30h – Saltan las alertas en GLORIA.
[Read more…]

Ransomware ate my network (IV)

21 de enero de 2021 Por
Una breve explicación de esta serie con algunas notas aclaratorias se puede leer al comienzo del primer artículo.
Entradas de la serie:
=> Primera parte
=> Segunda parte
=> Tercera parte
=> Cuarta parte
=> Quinta parte

[Nota del editor: Pinchando en muchas imágenes –aquellas cuyo detalle no se ve del todo con el tamaño de la página principal– se muestra una versión ampliada]

En el artículo anterior vimos cómo Ángela había deducido que los atacantes habían entrado en el equipo empleado para conectarse al DC desde otro equipo empleando la herramienta PsExec. Dispuesta a encontrar el PsExec, Ángela empieza convirtiendo a .csv la MFT extraída por CyLR con mftdump.exe, y buscando por actividad alrededor de la la hora en la que vio la conexión en el otro equipo (sobre las 14:16h, 13:16h en UTC que es lo que nos muestra la MFT).

No hay un objetivo claro, pero ese Prefetch de stalin.exe parece sospechoso (recordemos que los Prefetch se crean la primera vez que se ejecuta el software, con un retraso de unos pocos segundos).

[Read more…]

Ransomware ate my network (III)

19 de enero de 2021 Por
Una breve explicación de esta serie con algunas notas aclaratorias se puede leer al comienzo del primer artículo.
Entradas de la serie:
=> Primera parte
=> Segunda parte
=> Tercera parte
=> Cuarta parte
=> Quinta parte

En el artículo anterior la investigación se había quedado con el equipo con la IP 10.11.2.14 como origen de las conexiones al DC (y que tenía tanto conexiones con el C2 101.143.122.216 como el antivirus desactivado de forma previa al ataque generalizado).

Dado que estamos hablando de conexiones y que disponemos de la memoria RAM, lo primero que hace Ángela es emplear el plugin netscan de Volatility para sacar las conexiones de red (el perfil de memoria es Win10x64_17134) y confirmar las conexiones con el C2:

Netscan devuelve a su vez unos cuantos resultados adicionales:

¿Una conexión a un SSH remoto?

¿Y qué hace este equipo prestando un servicio en el puerto 443/TCP? ¿Se ha vuelto loco? Está claro que tenemos que profundizar en estas conexiones saber qué hay detrás de ellas. Ángela decide revisar los logs de Sysmon, en los que tendrían que aparecer las conexiones de red… pero parece que la FFP no aplicó correctamente la configuración de Sysmon estándar del MINAF, por lo que no se están recogiendo esos datos (grrrrrrr).

[Read more…]

Ransomware ate my network (II)

19 de enero de 2021 Por
Una breve explicación de esta serie con algunas notas aclaratorias se puede leer al comienzo del primer artículo.
Entradas de la serie:
=> Primera parte
=> Segunda parte
=> Tercera parte
=> Cuarta parte
=> Quinta parte

En el artículo anterior vimos cómo el MINAF había evitado por los pelos un ataque de ransomware, pero nos quedaban muchísimas preguntas por resolver.  En primer lugar, averiguar la identidad del grupo de ransomware que había afectado al MINAF. 

Para ello Ángela convierte la MFT del DC con mftdump.exe y realiza una búsqueda rápida de los ficheros v2.exe y v2c.exe, que parecían a priori los encargados de desplegar el ransomware. Da en el clavo porque encuentra los ficheros en la carpeta c:\temp\scheduler:

Rápidamente calcula sus hashes:

5994df288813a7d9588299c301a8de13479e3ffb630c49308335f20515ffdf57  v2c.exe

b2a304e508415d96f417ed50d26e0b987b7cbd9a77bb345ea48e803b5a7afb49  v2.exe

ffa8722a09829acd7ef8743688947f6ccb58d2ef  v2c.exe

7320b34c07206fcaf1319d6ce9bef2b29648a151  v2.exe

eddc0e293b0f0ee90bab106f073a41c9  v2c.exe

91438699bed008be9405995f0a158254  v2.exe

Lo siguiente es comprobar si son conocidos. VirusTotal le da una respuesta rápida:

[Read more…]