La tecnología late a su alrededor, y en el poco tiempo que está alojado en esta red debe intentar comprender su funcionamiento interno. Afortunada o desafortunadamente, la mayoría de los administradores de redes y sistemas son personas de hábitos. Todo lo que tienes que hacer es escuchar lo suficiente, y la mayoría de las veces dará algunos de esos hallazgos jugosos, dicen expertos en seguridad informática.
Independientemente de cualquier discusión previa, una prueba de penetración tiene una sensación competitiva de ambas partes. Los examinadores que consultan quieren su bandera, y los administradores quieren que su estado de salud limpio demuestre que son resistentes al ciberataque; algo parecido a un juego de fútbol americano. La diferencia aquí es que en el fútbol de bandera, ambos equipos están familiarizados con las herramientas utilizadas para jugar el juego.
Huelga decir que el trabajo de un pentester es simular una amenaza legítima para determinar de manera efectiva el riesgo de su organización, pero ¿cómo puede realizarse la reparación sin al menos cierta familiaridad? Sun Tzu dijo una vez, “Si no conoces ni al enemigo ni a ti mismo, sucumbirás en cada batalla”.
Para asegurar realmente nuestras redes, cualquier administrador con obligaciones de seguridad cibernética necesitará no solo comprender lo que ellos mismos tienen, sino también ponerse en el lugar del otro lado.
La intención de este artículo es centrarse en el “por qué” y no completamente en el “cómo”. Hay innumerables videos y tutoriales para explicar cómo usar las herramientas, y mucha más información de la que se puede presentar en una publicación de blog. Además, reconozco que otros evaluadores pueden tener una opinión alternativa sobre estas herramientas y cuáles son las más útiles. Esta lista no es concluyente. Con eso dicho, entremos en la lista.
- Responder
Esta herramienta, en opinión de los expertos en seguridad informática, es la máxima prioridad de la lista. Cuando un auditor entra y habla de la “mínima funcionalidad”, esto es lo que viene inmediatamente a la mente. Si eres un pentester, es probable que Responder sea la primera herramienta que comenzarás a ejecutar tan pronto como tengas la opción de distribución de Linux conectada a la red y comiences la prueba de penetración interna. La herramienta funciona escuchando y envenenando las respuestas de los siguientes protocolos:
- Resolución de nombre de multidifusión local de enlace (LLMNR)
- Servicio de nombres NetBIOS (NBT-NS)
- Proxy automático de proxy web (WPAD)
Hay más en Responder, pero solo me enfocaré en estos tres protocolos para este artículo.
NBT-NS es un remanente del pasado; un protocolo que ha sido habilitado por Microsoft por razones heredadas / de compatibilidad para permitir que las aplicaciones que dependen de NetBIOS operen a través de redes TCP / IP. LLMNR es un protocolo diseñado de manera similar a DNS, y se basa en comunicaciones multicast y peer-to-peer para la resolución de nombres. Vino de la era de Vista, y todos sabemos que nada bueno vino de ese marco de tiempo. Probablemente ni siquiera uses ninguno de estos. Los atacantes lo saben y lo usan a su favor.
WPAD, por otro lado, tiene un propósito muy real y notable en la red. La mayoría de las redes empresariales utilizan un archivo proxy autoconfigurado (PAC) para controlar cómo los hosts se conectan a Internet, y WPAD lo hace relativamente fácil. Las máquinas se transmiten a la red en busca de un archivo WPAD y reciben el PAC que se les proporciona. Aquí es donde ocurre la intoxicación.
Los profesionales de la seguridad informática son conscientes de que la mayoría de los protocolos que dependen de cualquier forma de transmisión y multidifusión están listos para ser explotados.
- Imperio PowerShell
Antes, los pentesters generalmente dependían de la infraestructura de Command and Control (C2) donde el agente tenía que residir en disco, que naturalmente se subiría a Virus Total en el momento del lanzamiento público y se incluiría en las definiciones de antivirus de la mañana siguiente. El tiempo dedicado a evadir la detección fue un juego aparentemente interminable de gato y ratón.
Era como si el inconsciente colectivo de los pentesters en todas partes llegase a la conclusión de que la herramienta más poderosa a su disposición ya estaba presente en la mayoría de las estaciones de trabajo modernas en todo el mundo. Se tuvo que construir un marco, y el equipo Empire lo hizo.
El enfoque en los marcos pentesting y las herramientas de ataque se han desplazado indudablemente hacia PowerShell para su explotación y post-explotación.
Significa que algunos de los controles de seguridad que ha implementado pueden pasarse fácilmente por alto. Los agentes sin archivos (incluido el malware) pueden ser implementados por PowerShell y existen en la memoria sin tocar su disco duro o conectando un USB. Una reseña mencionada al final de esta publicación profundiza mucho más en este tema. La existencia en la memoria hace que el antivirus cuya función principal es escanear el disco sea significativamente menos efectiva.
Afortunadamente, los investigadores de seguridad informática afirman que la mejor solución aquí es algo a lo que ya puede tener acceso, el Applocker de Microsoft. De acuerdo, la inclusión en la lista blanca puede llevar un tiempo para que se ponga de pie correctamente y probablemente requiera la aprobación de los ejecutivos, pero es la dirección hacia la que se dirige la seguridad del punto final. Esta es una buena oportunidad para adelantarse a la curva.
Cuando se trata de mitigación; las restricciones de la política de ejecución en PowerShell son triviales para eludir.
- Hashcat con listas de palabras
Este combo aquí es un elemento básico absoluto. El descifrado de hashes y la recuperación de contraseñas es bastante sencillo en un tema de alto nivel.
Hashcat es una fuente de alimentación enfocada en GPU de un hash cracker que admite una gran variedad de formatos, generalmente utilizados en conjunto con hashes capturados por Responder. Además de Hashcat, un disco duro USB con varios gigs de listas de palabras es imprescindible. En cada pentest en el que han estado los analistas de seguridad informática, el tiempo debe asignarse de manera adecuada para maximizar los resultados y proporcionar el mayor valor al cliente.
Administradores de sistema, piense en sus políticas y configuraciones de línea de base. Por lo general, es una buena práctica alinearse con un estándar de la industria, como el infame DISA STIG, lo más cerca posible. Líneas de base como DISA STIG son compatibles con numerosos sistemas operativos y software, y contienen algunas configuraciones de clave para ayudarlo a prevenir contra el descifrado de contraseñas sin conexión y los ataques de repetición. Esto incluye hacer cumplir las políticas de contraseñas recomendadas por NIST, las mejoras de autenticación no predeterminadas y mucho más. DISA incluso hace la cortesía de proporcionarle plantillas de política de grupo preconstruidas que pueden importarse y personalizarse según las necesidades de su organización, lo que reduce gran parte del trabajo de importación de la configuración.
- Herramientas de prueba de penetración web
Es importante tener en cuenta que una herramienta de prueba de penetración web no es lo mismo que un escáner de vulnerabilidad.
Las herramientas centradas en la web tienen absolutamente capacidades de escaneo para ellos, y se enfocan en la capa de aplicación de un sitio web versus el servicio o nivel de protocolo. Por supuesto, los escáneres de vulnerabilidad (Nessus, Nexpose, Retina, etc.) tienen capacidades de escaneo de aplicaciones web, aunque he observado que es mejor mantener las dos separadas.
Muchas organizaciones hoy en día construyen aplicaciones web internas, sitios de intranet y sistemas de informes en forma de aplicaciones web. Normalmente, dado que el sitio es interno, no necesita ejecutarse a través del proceso de revisión del código de seguridad y se publica para que todo el personal lo vea y lo use.
El área de la mayoría de los sitios web deja mucho espacio para encontrar algo especialmente comprometedor. Algunos de los principales problemas son:
- Stored Cross-site Scripting (XSS).
- Inyección SQL.
- Autenticación de autenticación.
- Abuso transversal del directorio.
- Carga de archivos sin restricciones.
Si administra una organización que crea o mantiene aplicaciones web internas, piense si ese código se revisa con frecuencia o no. La reutilización de código se convierte en un problema en el que el código fuente se importa de orígenes desconocidos, y cualquier falla de seguridad o funciones potencialmente maliciosas vienen con él. Además, la metodología “Always Be Shipping” que ha superado el desarrollo de software últimamente pone todo el énfasis en obtener código funcional a pesar del hecho de que pueden existir fallas.
Familiarícese con OWASP, cuyo enfoque se centra en el desarrollo de aplicaciones seguras. Familiarícese con el ciclo de vida de desarrollo de software (SDLC) del equipo de desarrollo y vea si las pruebas de seguridad forman parte de él. OWASP tiene algunos consejos para ayudarlo a hacer recomendaciones.
Comprender las dos metodologías para probar aplicaciones, que incluyen:
- Pruebas de seguridad de aplicaciones estáticas (SAST). El código fuente de la aplicación está disponible para su análisis.
- Pruebas de seguridad de aplicaciones dinámicas (DAST). Analiza la aplicación mientras está en un estado operacional.
Además, querrá tomarse el tiempo para considerar sus aplicaciones web como separadas de los escaneos de vulnerabilidad típicos. Existen herramientas (de código abierto y cerrado), incluidas Burp Suite Pro, OWASP Zed Attack Proxy (ZAP), Acunetix o Trustwave, con una funcionalidad de escaneo que rastrea y simula ataques contra sus aplicaciones web. Escanee sus aplicaciones web al menos trimestralmente.
- Arpspoof y Wireshark
Arpspoof es una herramienta que le permite insertarse entre un objetivo y su puerta de enlace, y Wireshark le permite capturar paquetes de una interfaz para su análisis. Redirige el tráfico de un objetivo arbitrario, como la estación de trabajo de un empleado durante una prueba de penetración, y fisgonea en él.
Probablemente el primer ataque teórico presentado a los que están en ciberseguridad, el infame ataque Man-in-the-Middle (MitM) sigue siendo efectivo en las redes modernas, dijeron los investigadores de seguridad informática. Teniendo en cuenta que la mayor parte del mundo todavía se apoya en IPv4 para redes internas, y la forma en que se ha diseñado el Protocolo de resolución de direcciones (ARP), un ataque tradicional de MitM sigue siendo bastante relevante.
De acuerdo con el investigador de seguridad informática, muchos asumen falsamente que debido a que las comunicaciones ocurren dentro de sus propias redes, están a salvo de ser interceptados por un adversario y por lo tanto no tienen que tomar el control del desempeño de cifrar todas las comunicaciones en sus propias subredes. Por supuesto, su red es un tipo de enclave del salvaje oeste de Internet, y un atacante primero tendría que ingresar a su red para interponerse entre las comunicaciones.
Ahora, supongamos que una estación de trabajo se ve comprometida por un atacante en otro país que usa una RAT equipada con herramientas que permiten que se lleve a cabo una MitM. Alternativamente, considere la amenaza interna.
Los expertos en seguridad informática dijeron que las mejores tácticas de defensa son: cifrar sus comunicaciones. Nunca asuma que las comunicaciones dentro de su red son seguras solo porque hay un dispositivo de puerta de enlace que lo separa de Internet.
Mantenga sus segmentos de VLAN cuidadosamente adaptados y proteja su red de dispositivos no autenticados. Implementar un sistema de control de acceso a la red (NAC) es algo que quizás desee agregar a su hoja de ruta de seguridad en el futuro cercano, o implementar 802.1X en su red puede ser una buena idea. Apague esos puertos no utilizados y piense en los MAC pegajosos si tiene un presupuesto ajustado.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad