25 jun. 2020

BlackHat USA 2020: Una edición diferente (y un repaso #IdeasLocas)

Por el 25 jun. 2020 con 2 comentarios
Llegó el momento en el que congresos cómo BlackHat USA se pondrán sus mejores galas y harán una nueva edición (y van 23). Hablamos de uno de los congresos más importantes del mundo y que este año, debido al COVID-19, hará su primera edición online. Será una BlackHat normal, pero con la transformación que medio mundo ha necesitado realizar para seguir con sus trabajos, con sus vidas, con sus relaciones sociales. Gracias a la tecnología la rueda no parará. 

El ambiente BlackHat es un ambiente especial en el que se respira hacking por los cuatro costados. Sin duda una experiencia enriquecedora y que vale la pena vivir. En esta nueva edición tengo la suerte y el honor de poder estar allí en el arsenal con una herramienta nueva llamada ATTPwn. Lo de ATT viene de ATT&CK, así que ya podéis imaginar por dónde van los tiros. Revisando el Arsenal de esta nueva edición podemos encontrar algunas herramientas que seguro son muy interesantes relacionadas con ATT&CK. La idea de ATTPwn es poder hacer una emulación de una amenaza apoyándose en funciones con Powershell (en principio, only Powershell) y comprobar qué medidas de protección o qué controles están funcionando ante esta emulación. Se mapean tácticas y técnicas de la matriz y se implementan, en algunas ocasiones, varias técnicas de diferente forma. Aquí está un poco la riqueza de la herramienta. Además, como se irá contando en un futuro, hay un modo colaboración dónde se podrá compartir el conocimiento en base a las funciones o implementaciones de técnicas. 


Os dejo un ejemplo de uso. Aquí tenemos una interfaz antigua y una base de conocimiento en amenazas escasa, en sus primeras versiones de desarrollo. La herramienta te permite ampliar la base de conocimiento con el tuyo, y poder compartirlo. También puede utilizarse en modo "Red Atomic" para probar ciertas técnicas de manera sencilla y controlada. 


Ahora quería hacer un repaso a todo lo que el equipo de Ideas Locas de Telefónica ha ido trabajando en los últimos 4 años y medio. Hemos tenido la suerte de poder estar en 3 BlackHat previamente, en su edición Europa. Os dejo un resumen de las herramientas que se han ido haciendo:
  • BlackHat Europe 2017. Allí estuvimos mi ex-compañero Santiago Hernández Ramos y yo con una herramienta diferente, una herramienta orientada al "researching" y a la comprensión de lo que es el bypass de UAC. UAC-A-Mola nos enseñó que era eso de la BlackHat. Os dejo el video de las jornadas CCN-Cert 2017 (un día después de estar en Londres presentando la herramienta). Paper de UAC-A-Mola en Exploit-DB.
  • BlackHat Europe 2018. Ese año estuve con mi amigo Álvaro Nuñez presentando iBombShell, nuestra Shell de Pentesting dinámica. Esta herramienta tiene dos modos de funcionamiento, uno que permite tener una Shell de Pentesting en cualquier lugar y un segundo modo para controlar agentes o Warriors en una post-explotación a través de Powershell (nuestra querida Powershell). Paper de iBombShell.
  • BlackHat Europe 2019. Ese año Fran Ramirez, un gran amigo, y yo estuvimos en Londres presentando HomePwn, una de las herramientas más completas en lo que a funcionalidades se refiere que hemos ido haciendo en el equipo de Ideas Locas. La idea de la herramienta es proporcionar funcionalidades de Pentesting a diferentes tecnologías. Paper de HomePwn

Con muchas ganas de que llegue agosto y poder disfrutar de esta nueva experiencia. Seguiremos creciendo y lo haremos unidos en equipo. Nuevas caras, misma ilusión. 

Autor: Pablo González Pérez (@pablogonzalezpe), escritor de los libros "Metasploit para Pentesters", "Hacking con Metasploit: Advanced Pentesting" "Hacking Windows", "Ethical Hacking", "Got Root",  “Pentesting con Powershell” y de "Empire: Hacking Avanzado en el Red Team", Microsoft MVP en Seguridad y Security Researcher en el equipo de "Ideas Locas" de la unidad CDCO de Telefónica.  Para consultas puedes usar el Buzón Público para contactar con Pablo González


      editar

2 comentarios:

< >