6 ene 2016

Bloqueando hack tools con APPLocker

Buenas a todos, hace un año y medio publicamos un interesante artículo sobre AppLocker, y su uso con el objetivo de bloquear malware a través de sus hashes. Este uso concreto obviamente iba dirigido al malware conocido, sin embargo, también puede ser utilizado para bloquear las herramientas más utilizadas por los usuarios maliciosos para escalar privilegios en un Windows, dumpear contraseñas, etc.

Cuando realizamos una auditoría de seguridad en Windows nos apoyamos en herramientas como Mimikatz, pwdump, psexec, wce.exe, nessus, cain&abel, etc. Pero no solo nosotros como auditores las utilizamos, sino también los potenciales atacantes a los que querremos frenar en un posible ataque hacia nuestras empresas ¿no?

Cómo recordatorio, indicaros que AppLocker es una funcionalidad incorporada a los sistemas operativos Windows desde Windows Server 2008 R2 y Windows 7 que permiten crear reglas para permitir o denegar la ejecución de aplicaciones basándose en las identidades de los archivos y especificar qué usuarios o grupos pueden ejecutar esas aplicaciones, por lo que es una funcionalidad ideal para bloquear las hack tools que puedan utilizar los atacantes para prosperar en una intrusión interna a lo largo de nuestra red.

Para abrir el menú de AppLocker tendremos que abrir secpol.msc:


A continuación con el botón derecho del ratón seleccionaremos la opción "Crear nueva regla":


Y pulsaremos en "Denegar":


El siguiente paso será marcar "Hash de archivo":


Y seleccionaremos una a una todas las hack tools que se suelen utilizar en una auditoría interna, para ir calculando todos sus hashes:




Si todo ha ido correctamente, ya tendremos las reglas creadas, y no volverán a ejecutarse estas herramientas en los equipos locales, servidores, etc.:


Animaros a bastionar los equipos de vuestra red, es una buena práctica y muy necesaria para evitar futuros disgustos...

Saludos!

2 comentarios:

  1. Es importante destacar que sólo determinadas ediciones de Windows lo soportan. Aunque se puedan crear reglas y definiciones en edición Professional, AppLocker solamente es compatible con la edición Enterprise.

    ResponderEliminar
  2. A parte de la más que buena puntualización de Carlos, muchos AV pueden implementar igualmente un control aplicacional que puede ayudar a conseguir lo mismo, por lo que si no tenemos versiones Enterprise, pero sí un AV con esta opción sin usar, es recomendable empezar a planteárselo o tenerlo en cuenta también.
    Gracias como siempre y un saludo.

    ResponderEliminar