Los peligros de andar por las nubes: DFIR en O365 (IV)

N.d.A.: Esta serie de posts es una narración de un análisis forense de un caso práctico de respuesta ante incidentes totalmente ficticio. Una breve explicación con algunas notas aclaratorias se puede leer al comienzo del primer artículo.

Recursos: i) vídeo del taller que el autor dio en las XV Jornadas STIC del CCN-CERT, ii) slides de la presentación, iii) evidencias ya trabajadas para poder seguir el caso paso por paso, iv) evidencias en bruto para hacer investigación propia, v) CTF DFIR preparado que va desgranando el caso a medida que se responde a los diversos retos


Entradas de la serie:
=> Primera parte
=> Segunda parte
=> Tercera parte
=> Cuarta parte
=> Quinta parte

En el artículo anterior Ángela había descubierto que el borrador del documento para la felicidad mundial había sido exfiltrado a través de O365, y que los atacantes tenían privilegios de administrador global gracias a su control de la cuenta “emergencia”.

Dado que Inocencio Crédulo aparece referenciado en varias ocasiones, Ángela decide obtener un eDiscover de su usuario, y revisar los mensajes de correo. Lo que encuentra no le hace especialmente feliz, pero por lo menos resuelve una de las incógnitas presentes:

[Read more…]

Los peligros de andar por las nubes : DFIR en O365 (III)

N.d.A.: Esta serie de posts es una narración de un análisis forense de un caso práctico de respuesta ante incidentes totalmente ficticio. Una breve explicación con algunas notas aclaratorias se puede leer al comienzo del primer artículo.

Recursos: i) vídeo del taller que el autor dio en las XV Jornadas STIC del CCN-CERT, ii) slides de la presentación, iii) evidencias ya trabajadas para poder seguir el caso paso por paso, iv) evidencias en bruto para hacer investigación propia, v) CTF DFIR preparado que va desgranando el caso a medida que se responde a los diversos retos


Entradas de la serie:
=> Primera parte
=> Segunda parte
=> Tercera parte
=> Cuarta parte
=> Quinta parte

En el artículo anterior, Ángela acaba de recopilar los datos de O365 del MINAF y toda la información de eDiscover de la Directora General, así que se puede poner manos a la obra. El correo electrónico suele ser una vía de entrada de todos los males, así que lo primero que hace es cargar el buzón de correo con Kernel Outlook PST Viewer. 

Como tenemos un marco temporal sobre el que pivotar (sobre el 18 de noviembre a partir de las 19:00h UTC aproximadamente) y un sospechoso (el usuario emergencia), no cuesta mucho encontrar un correo sospechoso:

[Read more…]

Los peligros de andar por las nubes : DFIR en O365 (II)

N.d.A.: Esta serie de posts es una narración de un análisis forense de un caso práctico de respuesta ante incidentes totalmente ficticio. Una breve explicación con algunas notas aclaratorias se puede leer al comienzo del primer artículo.

Recursos: i) vídeo del taller que el autor dio en las XV Jornadas STIC del CCN-CERT, ii) slides de la presentación, iii) evidencias ya trabajadas para poder seguir el caso paso por paso, iv) evidencias en bruto para hacer investigación propia, v) CTF DFIR preparado que va desgranando el caso a medida que se responde a los diversos retos


Entradas de la serie:
=> Primera parte
=> Segunda parte
=> Tercera parte
=> Cuarta parte
=> Quinta parte

En el artículo anterior habíamos visto cómo se había producido un intento de descarga de malware en el equipo de la Directora General de Festejos del MINAF, y que el malware se había descargado desde el propio Sharepoint. Llegado este momento, es necesario obtener evidencias de O365 porque está claro que la nube está implicada en el incidente. Para ello vamos a contar con las siguientes fuentes de información:

  • UAL (Unified Access Logging): Log básico de O365, guarda todas las acciones relevantes de los usuarios y administradores.
  • Message Trace: Guarda los metadatos de los correos enviados.
  • Salida de Hawk, herramienta de detección de compromisos en entornos O365.
  • Full eDiscover:  salida completa de todos los correos, mensajes de Teams y ficheros de OneDrive y Sharepoint (afortunadamente, la nueva política de seguridad de la información permite estas adquisiciones siempre que estén debidamente justificadas).
[Read more…]

Los peligros de andar por las nubes: DFIR en O365 (I)

Nota 1: Esta serie de posts es una narración de un análisis forense de un caso práctico de respuesta ante incidentes totalmente ficticio (pero contada, esperamos, de forma didáctica y con gracia y salero). Si queréis una versión con la misma dosis técnica pero con menos narrativa, podéis consultar el vídeo del taller que el autor dio en las XV Jornadas STIC del CCN-CERT, o echar un ojo las slides de la presentación.

Nota 2: Estos posts desgranan un taller de análisis forense englobado dentro de la respuesta ante un incidente. Habrá algunas cosas que se podrían hacer de manera más eficiente y elegante, pero la idea era hacerlas de forma sencilla para que sean fáciles de entender. Y como todo taller práctico, se puede aprovechar de varias maneras: podéis descargar las evidencias ya trabajadas para poder seguir el caso paso por paso, podéis descargaros las evidencias en bruto para hacer vuestra propia investigación … o podéis jugar al CTF DFIR que hemos preparado y que os irá desgranando el caso a medida que vayáis respondiendo a los diversos retos.


Entradas de la serie:
=> Primera parte
=> Segunda parte
=> Tercera parte
=> Cuarta parte
=> Quinta parte

El año no había sido bueno para Ángela de la Guarda, CISO del MINAF (Ministerio de la Alegría y la Felicidad). Después del susto con el ataque de ransomware del año pasado (del que se libraron por los pelos), el esfuerzo de mantener los niveles de seguridad con todos los requisitos del teletrabajo unido a la falta de personal (la propia Ángela estaba haciendo de CIO en funciones, supliendo la baja del Subdirector General) había hecho que le aparecieran las primeras canas (!maldita sea, recién cumplidos los 40 y ya con tinte!). 

Todo esto sumado a las ya conocidas modas tecnológicas: el furor de este año es la Transformación Digital (que si le preguntas a 100 técnicos tendrás 102 respuestas diferentes, porque cuando lo dices en voz alta en algunos casos te aparece un comercial listo para venderte algo). En el MINAF este reto se ha trasladado en la realización de un piloto para poder trabajar en la nube con todas sus ventajas:  disponibilidad, movilidad y accesibilidad (cierto), ahorro de costes y seguridad (eso lo podríamos discutir).

La Dirección General de Festejos, unas 25 personas,  se ha migrado a O365, usando un conjunto de licencias de E3 (la licencia corporativa más barata). Este equipo ha recibido una formación sobre cómo usar la nube, y están empleando Exchange Online para el correo, Teams para la mensajería instantánea y tanto Sharepoint como OneDrive para compartir ficheros.

[Read more…]

Así que quieres dedicarte a la ciberseguridad

Esta entrada ha sido elaborada con la inestimable (y necesaria) ayuda de Maite Moreno (@mmorenog) y el equipo de ciberseguridad de S2 Grupo.


Una de las buenas cosas que la Seguridad de la Información comparte con otras disciplinas de la informática es la gran variedad de recursos formativos disponibles, tanto gratis como para presupuestos ajustados.

Sin una gran inversión económica, cualquier persona con tiempo y ganas (y un mínimo conocimiento de informática, para lo que existe a su vez otro gran número de recursos que no vamos a cubrir aquí) puede formarse prácticamente desde cero hasta niveles expertos en prácticamente cualquier ámbito de la ciberseguridad.

A continuación recogemos algunos de los recursos disponibles en Internet ya sean gratis o por un coste reducido, teniendo en cuenta que:

  • Este listado no pretende ser exhaustivo. Siéntete libre de comentar aquel contenido que creas que falte y lo añadiremos en cuanto podamos.
  • Algunas plataformas tienen un enfoque freemium, combinando contenidos y funcionalidades gratis con otras de pago.
  • Aunque los ámbitos menos técnicos de la Seguridad de la Información como GRC están menos (muy poco) representados en el listado, las páginas de formación más generalistas incluyen cursos sobre protección de datos, marcos de control, gestión de riesgos, etc.
  • La mayor parte de los cursos están en inglés, por lo que es necesario un mínimo nivel para entender instrucciones y textos. Nivel que por otro lado es imprescindible hoy en día en el ámbito de las tecnologías de la información.
  • Se dejado fuera blogs, vblogs y podcasts sobre Seguridad de la Información, pero existen infinidad de recursos extremadamente útiles. Esto incluye los miles de webinars sobre cualquier temática imaginable.
  • Tampoco se han incluido plataformas más generales como edX o Coursera, que contienen no obstante muchos cursos de universidades y entidades prestigiosas.
  • Por último, tampoco hemos recogido los cursos de los propios fabricantes de dispositivos, software o proveedores de cloud, que en algunos casos son gratuitos, y que en ocasiones proporcionan también versiones libres (con limitaciones) de sus productos. Me vienen a la cabeza AWS, Tenable o Splunk, pero hay muchos otros.
[Read more…]

Blockchain y RGPD: ¿Tecnologías que facilitan el cumplimiento en materia de protección de datos personales?

La tecnología de registros distribuidos, más conocida como Blockchain, es una tendencia que no pasa desapercibida hoy en día.

Su potencial ha llamado la atención en diversos sectores económicos y tecnológicos, abriendo las puertas a nuevas formas de intermediación y procesos transaccionales, lo que la convierte en una tecnología potencialmente interesante para el desarrollo de nuevos modelos de negocio a nivel global.

Pero esto va más allá. Blockchain es sinónimo de descentralización en torno a los registros, además de permitir la inmutabilidad de la información almacenada en la red. Esto resulta beneficioso, pero en términos de privacidad y protección de datos personales, ¿cuáles son los retos legales a los que se enfrenta?

[Read more…]

SocialPwned Release v2.0 – Nobody gets hacked

Es bien sabido que durante un Red Team o la ejecución de un ataque real, la primera fase consiste en la recolección de información (Information Gathering) de un objetivo, ya bien sea una persona individual o una organización. A mayor nivel de exposición de información, la probabilidad de trazar un vector de ataque efectivo basado en ingeniería social aumenta, es por ello que las herramientas OSINT (Open Source INTelligence) juegan un papel fundamental en esta fase.

Existen diferentes herramientas que permiten obtener correos electrónicos de una organización o persona individual, la mayoría basadas únicamente en LinkedIn o Google Dorks. También existen muchos leaks públicos donde se pueden obtener contraseñas o nombres de usuarios, pero esto requiere de bastante tiempo y de una buena depuración para conocer el espectro real que abarca la información obtenida.

Es en este punto donde entra SocialPwned, una herramienta OSINT que he desarrollado en Python y podéis encontrar en mi perfil de GitHub, y cuya finalidad principal es obtener los correos electrónicos que se encuentran publicados en redes sociales como Instagram, LinkedIn y Twitter. Además, de forma automatizada se pueden consultar bases de datos como PwnDB o Dehashed, para obtener contraseñas que se han visto relacionadas con los correos obtenidos.

Ilustración 1: SocialPwned.
[Read more…]

Novedades de OWASP Top 10 2021 (I)

OWASP, Open Web Application Security Project o Proyecto Abierto de Seguridad en Aplicaciones Web, es un proyecto que tiene como finalidad mejorar la seguridad en las aplicaciones web.

También es una comunidad abierta, dedicada a permitir que las organizaciones desarrollen, adquieran y mantengan aplicaciones en las que se pueda confiar.

El proyecto OWASP está respaldado por la Fundación OWASP, la cual nace el 1 de diciembre de 2001 y está registrada como organización sin ánimo de lucro en Estados Unidos desde el 21 de Abril de 2004.

Entre sus actividades destacan:

  • Proyectos de software de código abierto liderados por la comunidad
  • Más de 200 capítulos locales en todo el mundo
  • Decenas de miles de miembros
  • Conferencias educativas y de formación líderes en la industria

En su página nos indican cuales son los valores clave que definen al proyecto, según sus palabras, tienen un carácter:

  • Abierto: Todo en OWASP es radicalmente transparente desde nuestras finanzas hasta nuestro código
  • Innovador: Fomentamos y apoyamos la innovación y los experimentos para encontrar soluciones a los desafíos de seguridad del software.
  • Global: Se anima a cualquier persona en todo el mundo a participar en la comunidad OWASP.
  • Integridad: Nuestra comunidad es respetuosa, solidaria, veraz y neutral con respecto a los proveedores.
[Read more…]

Desinformación y ciberseguridad: De los “últimos de Filipinas” a los últimos en verificar una noticia

Dado que los españoles somos una raza muy aficionada a ignorar nuestra historia y, por tanto, nos privamos de la capacidad de interpretarla de forma objetiva y desprendida de cualquier sesgo interesado, puede que sea oportuno comenzar recordando el episodio histórico de “los últimos de Filipinas”.

En su libro “El sitio de Baler. Notas y recuerdos” (libro traducido al inglés y cuya lectura se recomienda en el Ejército de los Estados Unidos de Norteamérica) el Teniente Saturnino Martín Cerezo narra la gesta de un grupo de cincuenta soldados españoles sitiados durante 11 meses, entre el 30 de junio de 1898 y el 2 de junio de 1899, en la iglesia de San Luis de Tolosa de la localidad de Baler, en la isla filipina de Luzón; éste es uno de sus pasajes:

“El mismo día 30 (de septiembre) recibimos una carta del gobernador civil de Nueva Écija, señor Dupuy de Lome. Nos participaba en ella la pérdida de Filipinas, y el mismo comandante político-militar, que dijo conocerle, no pudo menos de manifestar que si en circunstancias normales hubiera recibido aquel mensaje pidiéndole dinero, lo hubiese dado sin titubear un sólo instante, porque la letra, que también aseguró conocer, parecía la verdadera. Siguieron a esta carta las actas de capitulación del comandante D. Juan Génova Iturbe; del capitán D. Federico Ramiro de Toledo, y de otros que no recuerdo. Luego fueron sucesivamente participándonos que se había rendido el comandante Caballos, destacado en Dagupán, y entregado 750 fusiles; que el general Augustí había capitulado en Manila porque su señora estaba prisionera de los tagalos, y otra porción de noticias por el estilo. Cerró la serie aquella, otra carta del cura de Palanán, Fr. Mariano Gil Atianza, resumiendo y confirmándolo todo, diciéndonos que se había perdido el Archipiélago; que ya no tenía razón de ser nuestra defensa y que depusiéramos inmediatamente las armas, sin temor ni recelo, porque nos tratarían con todo linaje de atenciones.

Preciso es confesar que tanto y tan diverso testimonio era más que sobrado para convencer de la realidad a cualesquiera; mas conocíamos el empeño, la cuestión de amor propio que tenían los enemigos en rendirnos, y esta idea nos mantenía en la creencia de que todo aquello era supuesto y falsificado y convenido. Por esto cuando nos participaron que tenían con ellos a varios de los que habían capitulado, les contestamos que nos los llevasen para verlos y por esto no dimos crédito ni a la evidencia de la carta del gobernador de Nueva Écija, ni a las actas ni a nada. Por otra parte, no cabía en la cabeza la ruina tan grande que nos decían; no podíamos concebir que se pudiera perder con tanta facilidad aquel dominio; no nos era posible ni aún admitir la probabilidad de una caída tan rápida y tan estruendosa como aquella”.

Supervivientes del destacamento de Baler fotografiados el 2 de septiembre de 1899, a su llegada a España (Museo del Ejército)
[Read more…]

Log4Shell: Apache Log4j 2 CVE-2021-44228

Si no has estado viviendo debajo de una piedra las últimas horas, sabrás que el viernes pasado comenzó a hacerse viral una vulnerabilidad crítica del paquete Log4j 2, una librería de log de Java utilizada masivamente.

Esta vulnerabilidad, bautizada como Log4Shell y descubierta por Chen Zhaojun (ingeniero de software de Alibaba), ha sido asignada el CVE CVE-2021-4428, con un CVSS de 10.0.

Aunque a estas alturas hay toneladas de información pública al respecto, vamos a dar algunas pinceladas sobre ella.

Los actores

Log4j 2: el plugin Lookup

Como hemos comentado, Log4j 2 es una librería de log para aplicaciones Java utilizada por los desarrolladores para loguear información de la aplicación. Utilizarla es tan sencillo como incluir algo como log.debug(“Mensaje de prueba”); en el código, lo que generará que se registre una entrada en el log. A menudo, la información que se registra está relacionada con la propia aplicación y su contexto de ejecución.

Una de las capacidades de la librería, denominada Lookups, es la posibilidad de utilizar variables al escribir en el log, que serán sustituidas por el valor correspondiente, con una sintaxis específica: ${variable}. Por ejemplo, si utilizamos ${java:runtime}, cuando la aplicación grabe en el log, registrará la version del Java runtime.

[Read more…]