Hola Amig@s,
Hoy deseo compartirles el proceso de intrusion, tomando como vector de ataque client side attack (ataque del lado del cliente) y definiendo como estrategia de ataque la información almacenada en una estación de trabajo de computo de un usuario.
Por medio de la cual una vez se compromete el equipo de trabajo de un usuario, se procede a la extracción de información almacenada por default en el equipo, o malas practicas en el aseguramiento de las estaciones de los usuarios.
Si no se realiza los respectivos protocolo de aseguramiento técnico y aplicación de políticas a nivel de LocalHost, tales como eliminar las claves que almacenan password protect o credenciales con cifrado débil de algunas aplicaciones, que son almacenadas por el sistema windows.
A esto se suman las malas practicas de los procesos de soporte que realizan los usuarios administradores que prestan su servicio de soporte autenticándose en los equipos de los usuarios con credenciales de Master Administrator o System, de forma negligente o con el desconocimiento que estos están quedando grabados en la estación de trabajo del usuario y una persona con conocimiento o investigación suficiente lograra recuperarlos dando acceso a los servidores de la Organización logrando el OWNED o santo grial esperado por el delincuente informático alcanzando sus objetivos de fuga de información o alcanzar el objetivo por lo que le han pagado.
Es así, como una vez se logra acceso a la estación de trabajo por fallas técnicas, de procesos o personas, un atacante procede a determinar el rol, perfil e importancia de la estación de trabajo del usuario, su información y contenido en relación de importancia como activo tecnológico en la Organización.
IDENTIFICACION DEL EQUIPO COMPROMETIDO |
EL ATACANTE GENERA UN PUNTO DE RESTAURACION PARA DEVOLVERLO UNA VEZ CUMPLA SU COMETIDO |
El atacante deshabilita las medidas de contención e instala hacktools en el equipo comprometido con la finalidad de extraer información y ampliar su espectro de ataque.
|
|
Crea un usuario fake "backup" y asigna rol de Administrador del Dominio. |
Explorando Administre su Servidor. |
Explorando El plugin el Directorio Activo. |
Encuentra información de Script SQL que le permiten ampliar su espectro y cobertura de ataque. |
Que tanto crees que un delincuente informático estructurado y con conocimiento puede hacer con el control de una estación de trabajo operativa en tu Red.???
Como lo viste.
Lo has tenido en cuenta en tu esquema de defensa en profundidad??
Good Luck!
Byte
Dino