Frustrando al Actor Malicioso - Parte I
- 12 minsFrustrando al Actor Malicioso
Payload Delivery and Execution desde una perspectiva Blue Team
Introduccion
Los atacantes y los equipos de RedTeam no descansan, los equipos de BlueTeam/PurpleTeam o en su defecto, los equipos de Seguridad deben optar por estar a la par a sus adversarios.
Es necesario aplicar la paradoja de la Reina Roja en nuestro dia a dia, hay que evolucionar constantemente para evolucionar. Esta entrada del blog quizas suene como un tema de Cyber Deception, pero no, nos limitaremos a aplicar soluciones preventivas en casos comunes donde un adversario puede atacarnos y sacar provecho de un ambiente desprotegido, a sinceridad, serian varias entradas que ire sacando a medida que tenga un chance.
— Bueno, en mi país —dijo Alicia aún jadeando—, si corres tan rápido durante tanto tiempo, sueles llegar a otro sitio…
— ¡Un país bastante lento! —replicó la Reina—.
Delivery payload o como no realizar la debida deligencia puede ser un estrago para tu ambiente.
Una vez que se hayan completado las actividades de reconocimiento, el adversario intentará entregar y ejecutar un payload, los metodos tipicos de intrusion usados hoy dia se encuentran :
•Email con attachments malicioso o web pages(watering holes) a traves de (spear) phising. Ver + How the biggest cyber heist in history was foiled | NordVPN
•Abusando de una falla en el perimetro externo (a nivel aplicativo o infraestructura). Ver Eternal Blue
•Insertando memoria usb(autorun o de forma automática con Rubber Ducky) infectadas(para esto, se necesita interaccion con el target) . Ver I Had My Mom Break into a Prison. Then, We Had Pie. - YouTube
•Comprometer third party en el supply chain y abusar de la confianza. Ver Warnings (& Lessons) of the 2013 Target Data Breach
Con base en diferentes publicaciones de los últimos años, podemos echar un vistazo a las siguientes estadísticas interesantes que son relevantes para nosotros:
-
82% de los data breach, son cometidos por el factor Humano, en el cual se incluye Social Attacks 2022 Data Breach Investigations Report | Verizon
-
66% Alrededor de dos tercios de las infracciones involucraron phishing, credenciales robadas y/o ransomware 2022 Data Breach Investigations Report | Verizon
-
Es probable que casi el 20% de todos los empleados hagan clic en enlaces de correo electrónico de phishing. Gone Phishing Tournament Report 2020 | Terranova Security
-
Un Informe de amenazas reciente de ESET encontró que, en el tercer trimestre de 2020, los tipos más comunes de archivos maliciosos adjuntos a los correos electrónicos de phishing fueron los siguientes: Windows executables (74%) , Script files (11%), Office documents (5%) ESET Threat Report 2020
Estas estadísticas están en línea con lo que estamos viendo en la industria: El phishing es efectivo y fácil de hacer, lo que lo convierte en el arma preferida para la entrega de los Payload.
Metodos convencionales para prevenir el Payload Delivery
Dados los métodos de delivery enumerados anteriormente, los siguientes son controles clave que pueden ayudar a evitarlos:
-
Fortalecer la infraestructura de correo electrónico para bloquear los archivos adjuntos maliciosos entrantes o los correos electrónicos de phishing.
-
Reforzar la infraestructura web fortaleciendo los navegadores y configurando servidores proxy y DNS de forma segura.
-
Implemente políticas sólidas de seguridad de medios extraíbles.
-
Inviertir en la concientización sobre la seguridad del usuario final para educar a las personas sobre las estrategias típicas de los actores maliciosos.
-
Implementar una segmentación de red adecuada (tanto redes internas como de socios/terceros/accionistas).
-
Garantizar que se implementen los controles físicos adecuados para proteger la infraestructura corporativa.
Este trabajo no es de un solo departamento, es toda una directiva de proteccion integral en el que debe haber una sinergia entre diferentes gerencias (Seguridad de Sistemas, Seguridad de la Informacion, Seguridad fisica, etc). La seguridad no es cosa de un solo departamento y mucho menos de una sola persona(aun que si es sabido que la responsabilidad final recae en el CISO, ya que dicha posicion no es solo “una posicion” si no, mas bien un role en la organizacion).
La importancia de la educacion del usuario final
Hay una razón por la que el usuario final suele llamarse el eslabón más débil de la seguridad . Incluso utilizando los mecanismos de defensa tecnológicos más avanzados, nuestra su organización aún puede ser violada por el error de un solo usuario.
El peligro no solo radica en los usuarios como receptores de correos electrónicos maliciosos, sino también en los usuarios como fuente de malas prácticas de seguridad.
A menudo, las aplicaciones se utilizan a través de cuentas compartidas por varios usuarios. Para mantener las cosas “fáciles”, estas cuentas tienen contraseñas débiles que todos pueden recordar.
Finalmente, los usuarios también representan una amenaza física. La tendencia BYOD actual introduce varios dispositivos móviles en las instalaciones de la organización.
En resumidas cuentas, podemos decir que :
-
La concienciación de los usuarios es un elemento clave para proteger nuestra empresa. El actor malicioso intentará obtener acceso a nuestro entorno abusando del enlace más débil, que normalmente son los usuarios finales.
-
Se debe educar a los usuarios para que comprendan cómo son los ataques y el papel que desempeñan en la prevención/detección de los mismos. Esto es importante para el personal, desde secretarias/asistentes hasta administradores de TI y ejecutivos de nivel alto.
-
La concientización sobre la seguridad del usuario final no es algo único; debe ser un proceso interactivo en el que los empleados reciban continuamente capacitación y educación personalizadas sobre ataques y sus consecuencias.
Paletas de colores para ejercicios de Phishing.
Hoy dia, poco ha cambiado entre las soluciones a la hora de implementar controles, tenemos herramientas Opensource y comerciales, estas ultimas a veces rodeadas de un Halo de misterio debido a la no entrega de un trial, pero no entraremos en detalles.
Del lado OpenSource tenemos uno bastante famoso que es Gophish, el cual provee un GUI administrativo version Web, donde las campanas son facilmentes creadas, ejecutadas y administradas. https://getgophish.com/
Si bien este ultimo nos obliga a registrar un dominio, aqui juega un poco la inteligencia del atacante y la inocencia del usuario final, podemos aplicar typosquatting, es decir, un usuario final seria capaz de diferenciar entre lo siguiente ?
-
banco.do
-
bancoo.do [un error de tipeo que puede aprovechar un atacante]
-
bаnco.do (?) acaso este ultimo es el 1ro?
Si le echamos un vistazo , la “a” capital es similar a la “а” cyrilica, esto, sin embargo via correo no se distingue la diferencia, por suerte en nuestros navegadores son capaces de resolver estos nombres a lo que recae el formato “Punny Code”, para el ultimo ejemplo, en nuestro navegador seria :
Seamos honesto, si el phishing es tan exitoso, no es por que el usuario se fije tanto en la URL, si no, en lo identifico del site donde se suplanta para robar las credenciales(aqui me estoy limitando a un tipo de Phishing eh)
Una de las cosas que mas complica (que no es tan dificil) es los templates en Gophish, aqui podemos encontrar una buena referencia https://docs.getgophish.com/user-guide/template-reference
Por otro lado, que tengamos que registrar un dominio o tener un espacio propio (server), no quiere decir que la campana debe salir cara, todo lo contrario, puede ser relativamente barata. + Info : Offensive Security Cheatsheet
Por el contrario, si a tu organizacion le sobra el dinero, y quieres asistencia del todopoderoso Kevin Mitnick
(esto es una broma folks) , podemos adquirir un software robusto llamado KnowBe4
(https://www.knowbe4.com/) , esta empresa es dedicada al Social Engineering, se basa en campanas sostificadas
de Phishing.
No te convence la pagina de KnowBe4 y todo lo que promete? aqui te dejo una foto de Mitnick, el gran hacker, con esto ha subido mi hacking level a Omni en HackTheBox.
Consideraciones sobre Removable Media y otros menesteres.
Entre las mitigaciones para los dispositivos externos, podemos aplicar politicas en nuestro DC, pero tambien existen soluciones como Network Access Control (NAC apartir de ahora)
El NAC viene al rescate de algo logico y de sentido comun, la seguridad fisica no es del todo adecuada para redes empresariales, aqui entra en funcion el NAC, es una solucion para implementar seguridad en la capa de Red (Modelo OSI por si no nos entendemos eh).
Con NAC, solo dispositivos autorizado pueden usar la red corporativa (esto no suena como ZeroTrust?…es un chiste…es un chiste). El administrador AKAK Lord of Network o Network Guy, necesita autorizar dispositivos.
Importante rescatar que para implementar NAC, el equipo necesita soportar NAC, podemos hablar de interoperabilidad pero aqui recaen temas como el IEEE 802.1X, pero no es el objetivo de esta entrada, inviten a su Network Guy favorito a un cafe y disfruten la charla.
Volviendo al punto anterior, uno de los problemas de NAC es que no todo lo soportan entre los que destacan :
-
Network connected printers
-
IP Camera
-
VOIP phone
Lo que podemos hacer es poner estos ultimos (por Dios, es lo que el sentido comun nos dicta), en una VLAN separada y que no requiera authentication(siempre existe la authentication por MAC) , esta de mas decir que la VLAN debe estar segregada de la red corporativa.
Nota: Authentication por MAC no es lo mejor, solo basta tener conocimiento de Spoofing MAC 101.
Sin duda alguna NAC es una excelente opcion para esas empresas que tienen Bring Your Own Device (BYOD, que casi suena como aquella cancion de System Of a Down, que la B no es una D…. ), en este caso seria mas un MDM (Mobile Device Management) , para controlar aquellos dispositivos no reconocidos y darle acceso al ambiente.
El MDM es anti usuarios tontos, se puede forzar la authentication del dispositivo (asi como la complejidad del password), la presencia de aplicaciones que un usuario no debe de tener o hasta si hay un rooteo del dispositivo(no queremos este tipo de dispotivio en nuestra red).
Bypass al NAC: Ganandose la confianza del NAC o como ser el amigo de un amigo te puede ayudar.
Anteriormente habia mencionado que no todo los dispositivos soportan NAC, y estos necesitan excepciones para operar en la red. Los actores maliciosos pueden explotar estas excepciones para obtener conectividad.
Por otra parte hay algunas herramientas creadas por magos RedTeamers con buenas malas intenciones como son PwnPlug o Fenrir, que abusan de admitir el modo de transparencia en el que abusan de la conectividad existente disponible para dispositivos autenticados/conocidos que han realizado primero la autenticación 802.IX PWNplug - onsite Pen(-)tests, Reverse Shells, and Network Access Control - blog - because-security
Digamos que el escenario ideal seria :
Fenrir : 192.168.1.32
Workstation: 192.168.1.25
La ejecucion procederia en el siguiente orden :
-
Un dispositivo autorizado realiza una autenticacion 802.1X
-
El dispositivo autorizado envia trafico HTTP a 192.168.20.30 (digamos que un web server interno) , Fenrir agrega una entrada (192.168.1.25:7698 —> 192.168.20.30:80)
-
Fenrir se spoofea la MAC e IP del dispositivo autorizado y envia trafico HTTP hacia 192.168.20.31 (otro internal web server) , Fenrir agrega la entrada (192.168.1.26:8964 —-> 192.168.20.31:443)
El truco aqui recae en los record guardados, esto le permite a FENRIR entender que trafico esta retornando y reenviarlo al host autorizado.
Resumen NAC y MDM(un poco de 802.IX)
Honestamente espero que no hayan leido todo lo anterior en cuanto a networking hablamos pero si lo hicieron, vamos a resumir un poco
IEEE 802.IX es un estándar de control de acceso a la red basado en puertos que puede ayudarnos a proteger nuestra red de dispositivos no deseados; diferentes proveedores ofrecen diferentes soluciones, así que utilice la que se adapte a su entorno.
Las nuevas tecnologías incluyen MACsec y 802.IX-2010, que brindan mayor seguridad al implementar el cifrado de Capa 2 (Layer 2, que en gringo language suena mejor). https://standards.ieee.org/ieee/802.1X/4384/
NAC/MDM se usan para mejorar la postura de seguridad en los dispositivos corporativos (en orden de reforzar las politicas), sin embargo, no todo los dispositivos soportan NAC o MDM, asi que algunas excepciones puedan que existan y necesitan ser manejadas, pues las mismas pueden ser byppaseadas.