31 dic 2022

Mi año 2022, por Juan Antonio Calles (@jantonioCalles)

Muy buenas a todos. Como hizo Pablo ayer, y como llevamos haciendo ya 10 años, ahí es nada, toca dedicar unas breves líneas a repasar los últimos 12 meses de nuestras vidas; 12 meses en los que han ocurrido muchas cosas tanto en lo personal, como en lo profesional, y 12 meses que han pasado en mi caso particular, extremadamente lentos. Llego con la lengua fuera a un final de año en el que casi que por primera vez en mi vida reconozco que necesitaba tomarme un descanso. Y por todo ello precisamente he preferido cambiar el título del post de "Lo mejor del año", a un simple "Mi año". Al final, para poder entender las cosas buenas que nos suceden en el día a día necesitamos compararlas con las no tan buenas. Es la única forma de ver en perspectiva la realidad que afrontamos.

2022 ha sido un año bastante marciano. Empresarialmente, y como les habrá pasado a muchos autónomos y empresarios que tengan PYMEs, ha sido una época de sobresaltos, con una gran inestabilidad en todos los sentidos. Ese torbellino que nos ha pasado por encima y del que aún nos estamos recuperando, ha roto todo pronóstico y nos está haciendo adaptarnos en tiempo récord a unas circunstancias nuevas para todos. Faltas de suministros, problemas logísticos, precios de proveedores garantizados por solo 1 semana, clientes ajustándote tarifas para poder cumplir sus ya apretados presupuestos, reajustes mensuales del IPC, rotaciones derivadas por el reclutamiento de empresas estadounidenses o del norte de Europa con salarios locales, clientes al borde de la quiebra, proveedores que desaparecen o que son comprados y que te cambian o eliminan su catálogo de la noche a la mañana, etc. etc. Un sinfín de circunstancias que acumuladas en menos de 12 meses provocan un torbellino complejo de gestionar. Pero aquí estamos al final del año, dando más guerra que nunca, creciendo y apostando por la internacionalización, por lo que no nos podemos quejar. Otros muchos no podrán decir lo mismo por desgracia.


En las fotos de Zerolynx cada día hay más compañeros. Ahora nos estamos expandiendo por Euskadi y estamos afianzando proyectos fuera de España en zonas como USA o UK, donde seguiremos creciendo durante todo 2023 por un hecho inevitable, en España las empresas no están acostumbradas a pagar las tarifas internacionales de la consultoría IT (y muchas ni pueden permitírselo), por lo que no nos está quedando otra que vender cada vez más fuera de España para poder mantener los salarios que está demandando el sector. Toca adaptarse a la situación actual para sobrevivir en esta selva que es la ciberseguridad. Por suerte, tras 15 años en el sector uno ya se las va sabiendo todas y estamos siendo capaces de adelantarnos a las circunstancias. Esperemos poder seguir así con el mejor de los criterios y con buenas decisiones, crucemos los dedos.

En este 2022 estrenamos nueva sede, un edificio en propiedad situado en el suroeste de Madrid, y que inauguramos hace apenas 3 meses. Un lugar que, con sus 3 plantas y casi 1.000 m2, prevemos que absorba un crecimiento considerable a medio plazo. La construcción ha sido uno de esos procesos complejos que hemos vivido este año. En septiembre de 2021 únicamente teníamos un solar, y un año después estábamos colocando el cartel interior de la zona de reuniones.


Ha sido una construcción loca con la que ha estado cayendo este 2022, en la que nada llegaba a tiempo, sin stocks, con los suministros por las nubes... pero que no nos quedaba más remedio que acometer. Llevábamos desde antes de la pandemia con el proyecto entre manos, y tocaba abordarlo ya. Por suerte, dimos con gente muy profesional que nos ayudó a construir el que ya es nuestro nuevo cuartel general, y que se dejó el alma para reponerse de las mil cosas que nos han ido pasando. Da gusto cuando te cruzas con gente profesional. Por desgracia, el ser profesional en muchas ocasiones se convierte en algo anecdótico, y necesitamos destacarlo cuando no debería de ser así... 🤷‍♂.

Este año he tenido la oportunidad de volver a intercambiar momentos con otros CEOs y directivos de otras empresas del sector. Y aunque seamos competencia y estos ratos de intercambio puedan parecer impensables, nos han permitido a todos tomar el pulso al mercado y entender mejor los movimientos y la deriva que iba tomando la ciberseguridad en nuestro país. Al final, todo lo que ocurre suele tener un porqué, y los datos y las cifras no suelen engañar. Compartir esta información con gente que la vive y la comprende es de un valor incalculable para todos y algo clave para poder sobreponernos a los vaivenes del gremio. Espero que en 2023 estos momentos se sigan repitiendo.

En lo profesional (más personal), ha sido un año de continuidad, me renovaron como MVP de Microsoft por 3er año consecutivo y he seguido publicando muchos artículos en revistas del sector y en algunas revistas menos habituales, como la del Colegio de Ingenieros de Telecomunicación. También me he seguido formando en temas ya más relacionados con mi día a día, sin dejar de lado los eventos del sector donde he seguido dando conferencias o participando en mesas redondas (gajes del oficio), y recorriéndome múltiples ferias para promocionar nuestros servicios, o apoyando a los patrocinios corporativos como el de la ESL junto a Risketos y a Intel (con quienes hicimos una colaboración cruzada recientemente). 



Sí tenéis algún interés particular en ver alguna conferencia o leer algún artículo de los que he publicado este año, los tenéis enlazados en mi perfil personal de Microsoft MVP: https://mvp.microsoft.com/es-es/PublicProfile/5003773.

Y aunque no quiero entretenerme en mencionaros todos los saraos en los que he estado, sí que me gustaría dejaros el video de la mesa redonda sobre Ciberinteligencia que moderé en el evento Cibertodos de ISACA porque tuvo muy buenas críticas, y la gente que asistió nos insistió en que aprendió mucho, por lo que os la dejo más a mano por si tuvieseis un rato libre estas navidades y quisieseis aprovechar para echarle un vistazo:

Y con esto me despido de este 2022. Espero que 2023 sea un mejor año para todos, que el viento sea más favorable y que dejemos los conflictos a un lado. Si algo nos enseñó la pandemia es que la única forma de salir adelante es trabajando juntos. Así que luchemos para que así sea.

¡Feliz año 2023!

--

Si deseas recordar los resúmenes de años pasados, puedes encontrarlos a continuación:


30 dic 2022

Año 2022. My Backup. Lo mejor del año @pablogonzalezpe

Otro año que se nos va. Otro año que vuela. Otro año que el día a día hace que pase rápido, muy rápido. Dicen que cuanto más mayor eres, más rápido pasa el tiempo. Que no lo ves pasar. El tiempo es algo relativo. Es algo que para cada uno de nosotros avanza de una forma. Este año a mí se me ha pasado muy rápido. Pienso en Enero de 2022 y lo veo ayer. Han pasado 12 meses. Pronto volveremos a arrancar el contador de muchas cosas en enero de 2023. De lo que queremos hacer, de los sueños, de los propósitos, de las nuevas ideas, de los nuevos recuerdos, de las nuevas amistades, de todo lo que está por llegar. 

En el 2022 he seguido haciendo muchas cosas. Pensé que no podría seguir haciendo muchas cosas de las que he tenido la suerte de poder hacer. Supongo que mi mete no me deja parar y aunque esté tumbado en un sofá, sigo dándole vueltas a muchas cosas. Puedes parar al cuerpo, pero es mucho más difícil parar a tu mente, y la mía es muy inquieta. Antes de daros algunas pinceladas de lo que he podido hacer este año, os dejo enlaces a otros años. Siempre digo que es algo sano recordar, tener nostalgia de los momentos recorridos y de las experiencias vividas. Por ello, os dejo este recopilatorio:

Año 2021.

Año 2020

Año 2019.

Año 2018.

Año 2017

Año 2016

Año 2015

 Año 2014

Año 2013

Enero comenzó con la incorporación al proyecto MyPyblicInbox. Una nueva aventura con mucha ilusión y en la que se trabaja en algo innovador, en nuevas formas de valorar el tiempo de las personas y que, sin duda, ha ocupado parte de mis pensamientos durante el año. 

Si algo ha tenido el año 2022 es que la normalidad, tal y como la conocíamos, se ha apoderado de muchos ámbitos. Quizá no en todos y haya que seguir respetando al virus que paró la sociedad tiempo atrás, pero hemos visto que hemos podido convivir y avanzar. Lo que yo tenía claro es que el mundo puede pararse, pero tu tienes que seguir viviendo. Nadie te devolverá el tiempo que te pares. Tu vida sigue, aunque no puedas viajar, aunque no puedas salir, aunque no puedas ver, físicamente, a tus seres queridos. Teníamos que seguir viviendo, amoldándonos a las circunstancias, ser resilientes. Por suerte, 2022 nos devolvió muchas de las cosas que la pandemia nos privó. 

Volvimos a ir con confianza a celebrar "tarde-buenas" en nochebuena, volvimos a juntar a toda la familia, volvimos a acudir a eventos y conferencias con cientos y miles de personas. Volvimos a viajar de manera normal (con mascarilla), volvimos a ver que la antigua normalidad, era casi casi, de nuevo nuestra normalidad. 

En el año 2022 acabé mi tercer curso como Director Externo en la UEM del Máster de Seguridad de las TIC y camino del cuarto. Hice mi octavo curso como docente en Másteres de Seguridad (y ahora comencé con el noveno año). 

Disfruté de mi noveno año de RootedLab (desde 2013) en RootedCON impartiendo un taller nuevo sobre resolución de máquinas en escenarios que sirven para entrenar nuevos pentesters y reciclar pentesters (o personas interesadas en la seguridad ofensiva: hacking ético, red team, pentesting, auditoría...). Espero que 2023 me traiga la oportunidad de hacer el décimo año de RootedLab (es una de mis ilusiones para el nuevo año, sería como concluir un ciclo). En 2023 tendré dos Labs: Ethical Hacking a través de resolución de escenarios y Pentesting a Web3 y SmartContracts

Participé en proyectos dónde se abren puertas a personas alejadas de la tecnología para que puedan tener un futuro profesional en nuestro ámbito / sector. Este tipo de proyectos son realmente interesantes, ya que acercar la tecnología a todo el mundo y que puedan hacer inmersión y profesionalizarse para dar formación o para poder emplearse en ese nuevo mundo aporta mucho valor. 

Seguí dando clases, seguí estando en un Bootcamp, seguí haciendo lo que para mí es algo vocacional: enseñar (lo poco que pueda saber). Disfrutar haciéndolo y ver que los alumnos/as pueden crecer, se motivan y quieren más. Esto no tiene precio. Seguiré haciéndolo, mientras que vea que puedo aportar a los demás. Que lo que la gente pueda aprender de mí, tenga valor. Dirigir TFMs, impartir algunas sesiones, impartir alguna charla o conferencia. Es vocación. 

En el ámbito de conferencias, he tenido la suerte de estar en muchos sitios. Las he disfrutado. Cada una de ellas, las he disfrutado como si fuera la última. Nunca se sabe qué puede ocurrir y por ello, hay que subir al escenario como si fuera la última vez. 

Estuve en La Nave disfrutando de la h-c0n junto a mi amigo Luis enseñando 'on-the-fly'. Estuve en Osintomatico de la mano de Jezer. Estuve en Palacio de Congresos de Valencia impartiendo una charla sobre seguridad en SmartContracts en el evento de CTO Summit. Estuve en las Jornadas STIC del CCN-Cert dando un taller de intro sobre pentesting a SmartContracts e impartiendo una charla con mi amigo Fran Ramírez sobre el proyecto Open Source OMLASP. Por sexto año consecutivo el equipo de IdeasLocas estuvo en una BlackHat. En esta ocasión BlackHat Europe (Londres). OMLASP fue presentado en el Arsenal. Estuvimos en NoHat en Bérgamo (Italia) en el modo híbrido (el gran Fran y yo). Allí estamos en su Hall of Fame.  


Tuve la oportunidad de impartir por tercer año en una DragonJARCON (2018, 2020 y 2022) y poder compartir y pasar el rato con mis amigos de Colombia. La temática fue la Web3 y es que se abre un mundo muy interesante para los profesionales de la ciberseguridad. Hay olas que hay que coger y si te gusta la Web3, tienes mucho futuro por delante en el ámbito de la ciberseguridad. 

Estuve en Segovia un día a las 9.30 para estar en TizonaConf (Burgos) a las 13.15. Esto me hizo recordar el frenesí de vida que llevábamos pre-pandemia. El tener que estar en dos ubicaciones españolas diferentes el misma día. El ajetreo, el tener que llegar, el compartir, el conocer, el disfrutar... el sentirte vivo. 

Estuve en SecAdmin, de nuevo, no quise faltar. A los amigos hay que cuidarlos. A la gente que emplea su tiempo y que te lo cede para que tu puedas aportarles algo, también. Respeto por el tiempo de cada una de las personas que van a un congreso a verte o a que les enseñes algo. 

Estuve en un CiberSecurity Day de OpenExpo. Estuve en un evento sobre Metaverso :O. Estuve... estuve en muchos sitios. Y sí... volví a Navaja Negra. Como una segunda casa. Un evento al que tengo mucho cariño, como a muchos otros, pero que tiene ese "no sé qué, que qué se yo". 

Sobre todo, viví... y de eso se trata. De seguir viviendo. Hay muchas cosas que me dejo por el camino en este 2022, pero no quiero aburriros. Disfruté de este año. Lo viví. Sé que puedo vivirlo aún más, pero disfruté. Conseguí muchos objetivos y sonreí. Cuando uno revisa todo lo que ha ido haciendo, tienes que acabar sonriendo. Estar contento y orgulloso por cada pasito. Me pidieron montar un canal de Twitch, un Youtube dónde seguir contando cosas... ¿Será? No lo sé, si es, será en 2023... Quizá no llegue a ocurrir, aunque hay que evolucionar, eso está claro.

¿El 2023? Lo que tengo claro es que trae muchas cosas... muchas... Y espero tener un espacio el año que viene donde poder contarlo. Para que quede para mí. Mente inquieta. Año 2023... allá vamos!

23 dic 2022

Aprovecha la oportunidad para formar en ciberseguridad a tu empresa de forma gratuita en País Vasco


El 93% de los ciberataques que se producen a día de hoy están basados en ingeniería social, es decir, afectan o tienen por canal de entrada el factor humano. Es fundamental que las personas que están en su puesto de trabajo sean capaces de entender el concepto del riesgo. Ya no es suficiente con saber utilizar determinadas herramientas, redes sociales etc.. desde el punto de vista funcional, debemos de ser conscientes de los riesgos en los que incurrimos como contraprestación a disfrutar de las ventajas de la digitalización y de la conectividad.  

Nuestro tejido empresarial está constituido en un muy alto porcentaje de pymes que, con carácter general y en este momento, no han valorado la ciberseguridad como un elemento diferencial, de competitividad. No cabe ninguna duda de que las personas somos la clave. Las organizaciones, públicas o privadas, están formadas por personas.  

Es fundamental dedicar recursos a la formación del personal en materia de ciberseguridad para ayudarles a permanecer en alerta en todo momento y poder identificar posibles amenazas para conocer cómo enfrentarse a ellas. Y esta formación debe de ser totalmente transversal a todos los departamentos de las empresas, comenzando en la alta dirección. 

En esta línea, el Basque Cybersecurity Centre, la organización designada por Gobierno Vasco para promover la ciberseguridad en Euskadi, ha puesto en marcha una estrategia consistente en ofrecer jornadas de sensibilización a entidades públicas, centros de formación, empresas, asociaciones/clusters y ciudadanía en general para elevar el nivel de madurez de la sociedad en esta área estratégica como es la ciberseguridad. Estas sesiones, actualmente, y desde los últimos 3 años, las llevamos a cabo desde Osane Consulting, la firma de Grupo Zerolynx especializada en seguridad global, como adjudicataria del servicio.

En estas sesiones se abordan temáticas como: 

  • ¿Estás conectado? Necesitas ciberseguridad.
  • Normativa y Servicios de Ciberseguridad.
  • Ciberseguridad en el Puesto de Trabajo.
  • Ciberseguridad para Perfiles de Dirección.
  • Ciberseguridad para Desarrolladores.
  • Ciberseguridad en la Industria.
  • Ciberseguridad en el Teletrabajo.
  • Anticipándose a una Crisis de Ciberseguridad – Buenas Prácticas en la Gestión de una Crisis.  

Estas jornadas pueden ser solicitadas por empresas, asociaciones, centros de formación, etc. ubicadas en País Vasco y de forma GRATUITA, motivo por el que quería aprovechar el altavoz de Flu Project para darle visibilidad, y que llegue a las organizaciones que más lo necesitan. Es una oportunidad interesante para que una parte importante de la sociedad, altamente golpeada por la ciberdelincuencia, pueda formarse sin coste.

Para solicitar estas sesiones únicamente deben escribir un email a: sensibilizacion@bcsc.eus.

Adicionalmente, durante el próximo 2023 se van a realizar webinars con las siguientes temáticas:

  • Plan director de seguridad. 
  • Pautas a la hora de contratar proveedores (certificaciones, estándares, NDA, SLA, MOU, etc.). 
  • Plan de contingencia y continuidad de negocio. 
  • Plan de respuesta a incidentes de ciberseguridad. 
  • Plan de gestión de ciberseguridad industrial (SGCI).
  • Auditorías de ciberseguridad. 
  • Mecanismos para evitar la suplantación en el correo electrónico: SPF, DKIM y DMARC.
  • Copias de seguridad 
  • Mecanismos de autenticación: Single Sign On, 2FA, etc. 
  • Ciberseguridad en la cadena de suministro. 
  • Cómo elaborar una política de Seguridad de la Información. 
  • Buenas prácticas en la gestión de crisis de ciberseguridad. 
  • Ataques con especial impacto (Estafa del CEO, Ransomware, etc).
  • Herramientas y procedimientos de comunicaciones seguras.
  • La Nube como elemento de seguridad.

Como veis, todo son temáticas de iniciación que a los lectores de Flu Project habituales puede que no os aporten, pero que estoy seguro que a amigos o conocidos podrán serles de mucha utilidad, por lo que no dudéis en hacérselo llegar para que puedan aprovechar la oportunidad.

¡Saludos!

16 sept 2022

No cON Name 2022: Noviembre espera


Juan Antonio y yo siempre hemos tenido un gran cariño por este evento. En el año 2011 (un poco de historia, sniff sniff) acudíamos allí para presentar una charla. No fue una charla cualquiera, ya que digamos que era la primera vez que estábamos en un congreso de seguridad siendo ponentes. Y allí estábamos en Barcelona, hace 11 años, con cara de niños (algo la podemos mantener) y con ganas de darlo todo. 

En años posteriores, tuvimos talleres formativos en No cON Name, hacking, forense, pasamos algunos años impartiendo talleres... Es un congreso que llevamos con nosotros por todo lo que nos aportó en aquella época. Hoy, gracias a la organización de No cON Name, podemos comentaros lo siguiente:

  • La cuenta de @fluproject (Twitter) dispone de descuentos para el "Reduced Pass". 
  • Si quieres conseguir un código descuento, escribe a @fluproject en Twitter por DM y te lo daremos. 

Y a los que tengáis la oportunidad de participar en el evento, bien sea como público o como ponentes, disfrutad mucho de esta CON, que es legendaria y longeva, y que esperamos que todos podamos seguir  disfrutando por muchos años más.

12 sept 2022

Forensic Analysis of Windows Ransomware Attacks by Team Viewer with DeepBlueCLI



Hello everyone! In the last months I have the feeling that I just keep talking about cases and oddities related to the forensic analysis that we execute https://www.zerolynx.com/at Zerolynx, but unfortunately cyberattacks do not stop increasing, so we have to be prepared and updated regarding the modus operandi of cybercrime.

For about three or four years now we have had many practically identical cases related to ransomware. Victims and environments vary, ransomwares used vary, and attacker kits vary, but at its core, the attack chain is usually maintained, and the most common input vector we're seeing is still Team Viewer. Sometimes criminals manage to delete the logs, in other cases they stay halfway, in others, they do not even try, but in one way or another we always end up finding evidence that proves that Team Viewer has been the most possible way of entry. Therefore, today I wanted to dedicate this post to show you how to easily identify such behaviour in an attacked device, and what would be some of the first evidence that we could collect.

To illustrate the attack drill, I've prepared 2 Windows 11 test environments on VirtualBox, and installed Team Viewer on both. Default Settings. I give internet access to the machines and... let's go!



Now, and assuming that the attacker has obtained the ID and login credential (this topic can be addressed in another post), I authenticate:



And at this point I've done some “evil” things from the attacking machine, simulating the behaviour of a criminal.

At this stage, our forensics would begin, and we will assume that we have followed the correct procedure, adhering to the proper chain of custody, cloning the disk bit by bit (for example, with dd), and that we have processed it with some forensic tool like Autopsy. In the archive of Flu Project, you will find multiple posts where I talk about it at length :). And by the way, you have Forensic articles since 2011. In fact, the other day, while looking for a command, I came across with a compilation of 43 posts I made in 2013. But you have 50 more articles with newer techniques, tools and procedures.

Returning to our subject today, for this case I will use a SANS tool, DeepBlueCLI, which Pablo showed me a long time ago, and of which he already told you about in El Lado del Mal.

It is very easy to use: first you extract the Windows event logs, and then you introduce them as a parameter:
  • .\DeepBlue.ps1 .\Forensics\eventsExtracted\security.evtx
You can do it on the logs of your Windows system without introducing any parameters:


As you can see, DeepBlue shows us that someone has recently created a user named "attacker” and has given this user administrator permissions. We take this data and go to the Windows event viewer to look for a "4720" event. And....here we are! we will easily find that someone has created the aforementioned user:



If we review the above events, we should find at some point the logon, event "4624":



As you can see, authentication occurs at 19:28 P.M. Now, if we refer to the Team Viewer event log, we will see that there was indeed a session that began at that time (the time is not well synchronized and you will see a gap of 2 hours), and that ended 3 minutes later:




In this type of attacks, it is common to find ID 4672 (special privileges assigned to the new login). Here is the detail of the Microsoft FAQ:

You may also find some traces related to the blockinb by the antivirus. You can see this with 7031 or 7000, that is, with the IDs that indicate that a service has been blocked and it has been prevented from starting:

We come up with this situation very frequently and clients always rise their eyebrows and go like: BUT I DID HAVE ANTIVIRUS! ARE YOUR KIDDING?! Well, sweetheart, if the attacker managed to become an administrator... your antivirus can't stop it. So there is nothing much that can be done than to avoid using users with privileged permissions.

And finally, and to conclude with the post, you may also find it useful to look for 11707 identifier which reflects that an application has been installed on the attacked machine. In all likelihood, a port scan or similar will have been executed. You can find it by the end of the table presented on the following Microsoft page:

Kino's blog may also be useful for this type of cases, since from time to time he dedicates post to topics related to the audit of Windows events. For example, this one where he explains how to monitor changes in the log may be useful. It is likely probable that the attacker uses a kit executed from powershell, and has to modify something in the log, such as execution directives.


This article provides you with some basic concepts to quickly investigate an incident of this kind. There are better attackers who delete logs and make things more difficult for us, and others who are blinded by success and leave more traces than they would like, but one way or another we always end up getting the information we need to prove the attack. Identifying the attacker is another story... IP addresses from China is what we're finding more recently, but I'm sure this doesn't come as a surprise to you :).

See you on the next post!



Análisis forense de ataques ransomware en Windows por Team Viewer con DeepBlueCLI

Buenas a todos, en los últimos meses no hago más que hablaros de casos y de curiosidades relacionadas con los análisis forenses que vivimos desde Zerolynx, pero por desgracia los ciberataques no dejan de incrementarse, por lo que nos toca estar preparados y actualizados en lo referente al modus operandi de la ciberdelincuencia.

Desde hace unos tres o cuatro años nos llegan muchos casos prácticamente idénticos relacionados con el ransomware. Varían las víctimas y los entornos, varían los ransomwares utilizados, y varían los kits de los atacantes, pero en esencia, la cadena de ataque suele mantenerse, y el vector de entrada más común que estamos viendo sigue siendo Team Viewer. En ocasiones el delincuente logra borrar los logs, en otras se queda a medias, en otras, ni lo intenta, pero de una manera o de otra siempre acabamos localizando un artefacto que nos evidencia que Team Viewer ha sido la más que posible vía de entrada. Por ello, hoy he querido dedicar este post para enseñaros como podríamos identificar un comportamiento de este tipo en un equipo atacado de forma sencilla, y cuales serían algunas de las primeras trazas que podríamos recolectar.

Para ilustrar el simulacro de ataque he montado 2 entornos de prueba Windows 11 sobre VirtualBox, y he instalado Team Viewer en ambos. Instalación por defecto. He dado conectividad a internet a las máquinas y a funcionar:


A continuación, y asumiendo que el atacante ha obtenido el ID y la credencial de acceso (esto da para otro post), me he autenticado:


Y en este punto he realizado algunas cosas "malas" desde la máquina atacante, simulando el comportamiento de un delincuente.

En esta fase comenzaría nuestro forense, y vamos a asumir que hemos seguido el procedimiento correcto, levantando la debida cadena de custodia, clonando el disco bit a bit (por ejemplo, con dd), y que lo hemos procesado con alguna herramienta forense tipo Autopsy. En el historial de Flu Project os aburriréis de posts donde hablo de ello largo y tendido :). Y, por cierto, tenéis artículos de Forense desde 2011, de hecho, el otro día me encontré mientras buscaba un comando con un recopilatorio de 43 posts que hice en 2013. Pero tenéis otros 50 artículos más con técnicas, herramientas y procedimientos más actuales.

Volviendo al hilo, para este caso utilizaré una herramienta de SANS, DeepBlueCLI, que me enseñó Pablo hace tiempo, y de la que ya os habló en El Lado del Mal.

Su uso es muy sencillo, en primer lugar extraeríais los logs de eventos de Windows, y a continuación, se los pasaríais como un parámetro:
  • .\DeepBlue.ps1 .\Forense\eventosExtraidos\security.evtx
A modo de práctica, podéis hacerlo sobre los propios logs de vuestro sistema Windows sin pasarle ningún parámetro:


Como veis, DeepBlue nos muestra que alguien ha creado recientemente un usuario llamado "atacante", y le ha dado permisos de administración. Por lo que con este dato vamos a irnos al visor de eventos de Windows a buscar un evento "4720". Y premio, fácilmente encontraremos que alguien ha creado el citado usuario:


Si revisamos los eventos anteriores, deberíamos encontrar en algún punto la autenticación a la máquina, evento "4624":


Como vemos, la autenticación se produce a las 19:28 P.M. Ahora, si nos vamos al log de eventos de Team Viewer, veremos que efectivamente hubo una sesión que comenzó a esa hora (la hora no está bien sincronizada y veréis un gap de 2 horas), y que finalizó 3 minutos después:


En este tipo de ataques será habitual encontraros con el ID 4672 (privilegios especiales asignados al nuevo inicio de sesión), os dejo con el detalle de la FAQ de Microsoft:

También es posible que os encontréis con algunas trazas relativas a la parada del antivirus de la máquina, esto lo podréis ver con el 7031 o el 7000, es decir, con los IDs que indican que se ha parado y no ha podido arrancar un servicio:

Esto nos lo encontramos muchísimo y siempre tras ello llega la misma pregunta del cliente. ¡PERO SI TENÍA ANTIVIRUS! ¡VAYA MIERDA! Bueno hijo, por mucho antivirus que tengas, si el atacante logró llegar a ser administrador... lo puede parar. Así que poco se puede hacer más que evitar el uso de usuarios con permisos privilegiados.

Y, finalmente, y por concluir con el post, también puede resultaros útil buscar el identificador 11707, que refleja que se ha instalado una aplicación en la máquina atacada. Con toda probabilidad, se habrá montado algún escáner de puertos o similar. Podréis verlo hacia el final de la tabla presentada en la siguiente página de Microsoft:

El blog de Kino puede seros de utilidad también para este tipo de casos, dado que de vez en cuando dedica algún post a temas relativos a la auditoría de eventos de Windows. Por ejemplo, este donde explica como monitorizar los cambios en el registro puede veniros bien. Es muy posible que el atacante use algún kit que lance desde powershell, y tenga que tocar algo en el registro, como las directivas de ejecución.

Con lo que os he contado en este artículo tenéis unas nociones básicas para investigar rápidamente un incidente de este tipo. Hay atacantes mejores que borran logs y nos ponen las cosas más difíciles, y otros que se ciegan por el éxito y dejan más huellas de las que les gustaría, pero por H o por B siempre acabamos obteniendo la información que necesitamos para acreditar el ataque. Ya lo de identificar al atacante es otro cantar... Últimamente lo que más nos encontramos son direcciones IPs de China, pero no creo que os sorprenda :).

¡Hasta el próximo post!

Autor: Juan Antonio Calles

Microsoft MVP de Azure

My Public Inbox



10 jun 2022

OpenExpo Europe 2022: 30 de junio en formato presencial

 


A finales de mes llega una nueva edición de OpenExpo 2022 y será la novena. Una nueva oportunidad de volver a vernos y disfrutar de las novedades tecnológicas, de grandes speakers y de un genial ambiente en un congreso muy interesante para el mes de junio. Tendrá lugar el jueves 30 de junio de 2022 en La Nave Madrid (Calle Cifuentes, 5, 28021 Madrid) y será presencial de 9:00 a 22:00. OpenExpo es uno de los eventos más importantes a nivel empresarial líder en Innovación, Transformación Digital y Open Source.

En el congreso se tratarán temas como Machine Learning, Blockchain, Ciberseguridad, Web 3.0, entre otros, y se podrán disfrutar de grandes speakers. Para mayor detalle de la agenda se puede entrar aquí: agenda.

La novena edición de OpenExpo 2022 tendrá lugar el jueves 30 de junio de 2022 en La Nave Madrid (Calle Cifuentes, 5, 28021 Madrid) y será presencial de 9:00 a 22:00. OpenExpo es uno de los eventos más importantes a nivel empresarial líder en Innovación, Transformación Digital y Open Source. Temas como Machine Learning, Blockchain, Ciberseguridad, Web 3.0, etc, son sólo algunos de los temas que se tratarán en esta nueva edición.

Esta edición está orientada a las innovaciones tecnológicas siendo OpenExpo Europe el medio para informar a la comunidad internacional sobre las numerosas contribuciones del Open Source y el Software Libre dentro de las actuales y futuras revoluciones digitales. 

Los visitantes podrán colaborar, compartir información y aprender sobre una amplia variedad de temas y conocer cómo el Open Source fomenta la innovación y la agilidad en la empresa para impulsar su transformación global y sus procesos tecnológicos. 

Pero, ¿Qué es OpenExpo Europe? Solo hay que indicar que asisten más de 3.500 representantes nacionales e internacionales de las principales empresas e instituciones, desarrolladores, expertos, proveedores y usuarios de todos los niveles como ejecutivos C-level (CEOs, CMOs, CIOs, CTOs, CDOs, CFOs) y tomadores de decisiones de las principales empresas y organizaciones de diferentes industrias como; Telecom, Educación, Formación, Banca, Turismo, Ecommerce y Logística, Industrias y Servicios en búsqueda de las últimas soluciones y tendencias, aplicaciones y casos de éxito, metodologías, herramientas, conocimientos y servicios en Tecnologías Abiertas ,Blockchain, Machine Learning, IoT, IA, Big Data, Cloud, Smart Cities, Ciberseguridad, Fintech, etc. 

Puedes registrarte aquí y no te olvides de echar un vistazo a MyPublicInbox, la plataforma que te permite contactar con personas relevantes que está revolucionando la redes.

12 may 2022

Análisis forense digital de correos electrónicos en Microsoft Office 365


Ayer publicamos en el blog de Zerolynx un artículo dedicado al Análisis Forense Digital de correos electrónicos en Microsoft Office 365. Si queréis acceder a su contenido, no dudéis en visitarlo en el siguiente enlace:

https://blog.zerolynx.com/2022/05/analisis-forense-digital-de-correos-office-365.html


Mientras tanto, os dejo por aquí la introducción:

Con el avance de la nube y la automatización de los procesos en las empresas, Microsoft Office 365 se se está extendiendo de forma imparable, sustituyendo a las clásicas instalaciones de Exchange que requerían de un mayor mantenimiento y control. Sin embargo, la nube trae cambios, y toca adaptarse a un sinfín de nuevas configuraciones, nuevas vías para hacer las cosas a las que ya estábamos habituados y nuevos modos de licenciamiento.

Desde el punto de vista forense, los peritos teníamos diferentes opciones para presentar un dictamen pericial que diese fe de la existencia de determinados correos electrónicos dentro de un buzón. Entre otras opciones destacadas, y atendiendo al principio de siempre “clonar” el mayor contenedor, podíamos acceder a Exchange para exportar el buzón de correo del usuario, podíamos clonar el propio servidor de correo, o incluso, el disco duro del PC del propio usuario del que luego extraer el PST. Sin embargo, todo esto está cambiando. Los servidores ahora están en un proveedor externo, Microsoft (como ya pasaba si teníamos contratado un hosting en modo SaaS), y los usuarios se están habituando a utilizar Office 365 desde su navegador. Y, en estas circunstancias, ¿cómo clonaríamos un buzón de correo electrónico manteniendo todas las garantías de integridad forense? De eso os hablaremos en este artículo.



28 feb 2022

RootedLab: Practical Pentesting - Entrenamiento práctico a través de escenarios

Ha llegado la RootedCON. Uno de los eventos más importantes de Europa ha llegado en una nueva edición. Y ya son unas cuantas. Volveremos a vernos en Madrid un año más, como solíamos hacer antes de que la pandemia cambiara nuestro día a día y nuestra forma de ver la vida. Para mi es un año especial, es un año en el que he querido renovar muchas cosas en el lab. He querido darle más importancia a la necesidad de disponer de escenarios prácticos dónde la enseñanza sea guiada por ellos. Nada nuevo, pero si para este tipo de Lab de un día en el que cada minuto cuenta y hay que sacar el máximo jugo de ello. 

Ahora viene el momento publicidad. El Lab que se estrena el próximo 9 de marzo (y que durará 8 horas de entrenamiento y pentesting puro) consta de diversos escenarios para ir explicando de forma muy práctica la metodología y las diferentes fases que un pentester puede llevar a cabo. Así como el uso de herramientas cotidianas o técnicas que pueden ser de sumo interés. No todo serán escenarios, habrá instantes en el que juguemos con máquinas virtuales y podamos aprender mucho en 8 horas. 

En este enlace dispones de la información sobre todo lo relacionado con el Lab y con las posibilidades que este proporciona a los alumnos. Los objetivos marcados son:

- Aprender metodología para hacer un pentesting práctico y resolver problemas 

- Enfrentarse a entornos reales 

- Resolver escenarios a través de un entrenamiento práctico


¿Cómo funciona el lab?

Parte I. Se enseñan diferentes técnicas de enumeración de máquinas y redes. En esta primera parte del lab, se resuelven escenarios de enumeración y se muestra el uso de técnicas y herramientas sobre ellos.

Parte II. Identificación de vulnerabilidades y explotación de éstas. El alumno recorrerá diferentes escenarios viendo cómo se detectan vulnerabilidades y cómo éstas se pueden explotar (con diferentes herramientas y con técnicas manuales). Esta parte cubre un amplio abanico que puede ir desde la generación de un exploit propio hasta el uso de herramientas automáticas. Todo ello sobre un escenario.

Parte III. Post-explotación. En esta parte se tratarán técnicas de escalada de privilegios, pivoting, técnicas de movimiento lateral, extracción de credenciales, etcétera. Todo a través del uso de escenarios reales (a los que un pentester se puede enfrentar en su día a día).


Agenda

- MakeLab: Escenarios de entrenamiento preparados
- Metodología de Pentesting
- Mochila del pentester
    ¿Qué debo tener a mano en un Red Team?
    ¿Qué debo tener a mano en un pentest?
    Distros & Tools

- Fase 1: Enumeración y reconocimiento
- Escenario: Enumeración
   Técnicas de enumeración
   Herramientas
   Información relevante
   Existencia de vectores de ataque
   Escenario propuesto


Fase 2: Identificación de vulnerabilidades y explotación
- Escenario: Identificación y explotación
  Técnicas para identificar vulnerabilidades
  Técnicas de explotación vulnerabilidades
  Overflow
  Bind. Reverse
  Herramientas
  Escenario propuesto


Fase 3: Post-Explotación
- Escenario: Post-Explotación
Recopilación de información
Escalada de privilegios
Pivoting
Herramientas
Escenario propuesto

- Resolución escenario final

En semana y media estamos ahí. Con muchas ganas de estrenar este Lab y ver la aceptación que tiene. Últimas plazas. ¡A por un gran día de entrenamiento y hacking!

28 ene 2022

[MyPublicInbox] Kronos y Kairós: El tiempo, los momentos de pausa y el tiempo que inviertes en consultar

Vivimos en una sociedad hiperconectada, una sociedad que nos lleva al ritmo del tiempo (Kronos) que nos marca el paso siguiente que debemos dar para no perderle. A esto nos ha llevado años de evolución a vivir angustiados porque el tiempo se nos escapa, se pierde, no se aprovecha. Los griegos hablaban de Kronos y Kairós como elementos temporales bien diferenciados en la vida, sabiendo lo que es el transcurrir o el paso del tiempo y los momentos de aprovechamiento, de distanciamiento con nuestro estrés para abrir un momento de calidad, pero que también es temporal.

Para los griegos eran elementos que se encontraban en la temporalidad, pero que debíamos saber gestionar y a cada cual en su momento. Hoy en día, estando pasando una pandemia, estando inmersos en una sociedad dónde el ‘tic-tac’ es constante es importante saber gestionar los momentos de calidad, los momentos de aprovechamiento de lo que queremos, de lo que necesitamos. Momentos que nos permiten disfrutar del ratito que necesitamos con un compañero, el ratito de aprendizaje que quiero dedicar, el ratito para reír que necesito con un amigo, el ratito que quiero echar simplemente para perderlo.

Kronos es el tiempo del día a día, el transcurrir de las cosas, de las situaciones, de los trabajos, de la vida, personal y profesional. Es el que nos agota diariamente, el que nos estresa, el que nos comprime, el que hace que no tengas el hueco en la agenda. Kairós es el que seleccionamos, el que nos permite darnos el respiro, mirar al tiempo con calidad, hacer lo que necesitamos en un momento. Ese momento Kairós es el que debemos maximizar, aprovechar y sacar el mejor rendimiento. Es el tiempo dedicado a lo que necesites, a lo que tu mente y cuerpo requiera. El momento Kairós puede ser aplicado en cualquier lugar, en cualquier instante que tu lo necesites.

La recepción de mensajes diarios vía email puede conllevar la responsabilidad o necesidad de responderlos creando cierta ansiedad. Construir tiempo y espacio para llevar a cabo dicha tarea puede ser, en algunos casos, misión imposible. Llevo tiempo usando MyPublicInbox para la gestión de consultas y respuestas valorando el tiempo tanto del que envía su email como el mío para la respuesta. Realmente, podemos ver la misma operativa, es decir, te pueden enviar un email o varios al día o puedes recibirlos a través de MyPublicInbox, pero realmente la operativa cambia cuando la necesidad del que envía el email es realmente una necesidad. Me explico:

  • Cuando uno está aprendiendo tiene dos formas de resolver las dudas. Primero buscando información sobre cómo puede resolver ciertas situaciones. El tiempo invertido en ese aprendizaje es tiempo de calidad, ya que, aunque le pueda parecer que no, es tiempo invertido en un aprendizaje personal, un reto que uno acaba resolviendo. La segunda opción es preguntar rápidamente al profesor. 
  • Es cierto que el profesor está ahí para ayudarte. En mi opinión hay que disponer de un equilibrio entre el tiempo que invierto en resolver el problema y el tiempo que invierto en que me den la respuesta. 
  • Si me dan la respuesta sin yo invertir nada de tiempo, puedo caer en la comodidad y acabar por no aprender el porqué. Esto último será lo que hará que interiorice el conocimiento en mi interior, no el que un profesor me dé la respuesta inmediatamente. 
  • Esto a veces es complejo de ver, ya que tendemos a solicitar una respuesta a un problema a la primera persona que tenemos al lado (el profesor). 
  • Al igual que no es lo mismo pegarme con un ejercicio o verlo resolver a otro. No es lo mismo. Cuando me sitúe frente al problema, el ejercicio o lo que sea y lo intente resolver, tendré que chocarme con ciertas piedras antes de llegar al final. Si veo a otra persona resolverlo puedo aprender el camino, pero no veré el fondo o todos los sub-caminos que podían existir en el camino básico. O incluso, no seré capaz de recrear el camino, porque hay partes que no entendí.

Si esto lo llevamos al plano anterior, lo que quiero decir es que no es lo mismo recibir correos electrónicos con consultas de todo tipo, cuando no ha habido un trabajo previo a conseguir un filtro dónde el que envía el mensaje ha utilizado su tiempo para entender lo que necesita, lo que quiere y explicar los problemas que tiene (habiendo echado tiempo a intentar solucionarlo). Cuando alguien hace ese ejercicio previo, la consulta que llega tiene mucho más valor.

De cara al receptor de las consultas ocurre algo similar. El tiempo que va a dedicar él a la respuesta es un tiempo que invierte, simplemente, porque el quiere. Es un tiempo que quita de otras situaciones, familiares, amigos, etcétera. ¿Entonces es por la pasta? No. En muchas ocasiones ese tiempo que se invierte en responder a consultas, e-mails, etcéteras, es simplemente donado. Sobre el concepto de donar el tiempo hablaremos en otra ocasión. Para esta entrada ya hemos tenido suficiente. Simplemente os dejo una pequeña reflexión a título personal sobre el tiempo, el estrés, la calidad y los tipos de consulta.