Search for in Google by Dino

Google Custom Search

miércoles, 22 de julio de 2015

Client Side Attack - Registry Windows


Hola Amig@s,



Hoy deseo compartirles el proceso de intrusion, tomando como vector de ataque client side attack (ataque del lado del cliente) y definiendo como estrategia de ataque la información almacenada en una estación de trabajo de computo de un usuario.

Por medio de la cual una vez se compromete el equipo de trabajo de un usuario, se procede a la extracción de información almacenada por default en el equipo, o malas practicas en el aseguramiento de las estaciones de los usuarios.


Si no se realiza los respectivos protocolo de aseguramiento técnico y aplicación de políticas a nivel de LocalHost, tales como eliminar las claves que almacenan password  protect o credenciales con cifrado débil de algunas aplicaciones, que son almacenadas por el sistema windows. 

A esto se suman las malas practicas de los procesos de soporte que realizan los usuarios administradores que prestan su servicio de soporte autenticándose en los equipos de los usuarios con credenciales de Master Administrator o System, de forma negligente o con el desconocimiento que estos están quedando grabados en la estación de trabajo del usuario y una persona con conocimiento o investigación suficiente lograra recuperarlos dando acceso a los servidores de la Organización logrando el OWNED o santo grial esperado por el delincuente informático alcanzando sus objetivos de fuga de información o alcanzar el objetivo por lo que le han pagado.


Es así, como una vez se logra acceso a la estación de trabajo por fallas técnicas, de procesos o personas, un atacante procede a determinar el rol, perfil e importancia de la estación de trabajo del usuario, su información y contenido en relación de importancia como activo tecnológico en la Organización.


 Es así, como inicia sus técnicas de intrusion:

IDENTIFICACION DEL EQUIPO COMPROMETIDO
EL ATACANTE GENERA UN PUNTO DE RESTAURACION PARA DEVOLVERLO UNA VEZ CUMPLA SU COMETIDO

El atacante deshabilita las medidas de contención e  instala hacktools en el equipo comprometido con la finalidad de extraer información y ampliar su espectro de ataque.

Datos Rol en IE y System de Servidor Windows


Datos Rol Domain Master Forest Windows
Con la información lograda de credenciales de autenticación, ingresa a los activos tecnológicos que ha determinado como su objetivo militar, es así como ingresa por conexión a escritorio remoto desde su maquina atacante al Servidor Windows, una vez se ha determinado que este se encuentra en tiempo ocioso.

Crea un usuario fake "backup" y asigna rol de Administrador del Dominio.

Explorando recursos compartidos en la Red.

Explorando Administre su Servidor.

Explorando El plugin el Directorio Activo.


Realiza exploración en el sistema en busca de información valiosa para la Organización.

Encuentra información de Script SQL que le permiten ampliar su espectro y cobertura de ataque.

Que tanto crees que un delincuente informático estructurado y con conocimiento puede hacer con el control de una estación de trabajo operativa en tu Red.???



Como lo viste.



Lo has tenido en cuenta en tu esquema de defensa en profundidad??




Good Luck!

Byte


Dino

Publicado por http://hackinganddefense.blogspot.com/ 0 comentarios en 9:11 p.m.

lunes, 13 de julio de 2015

The World Wide What?

Publicado por http://hackinganddefense.blogspot.com/ 0 comentarios en 10:11 p.m.

jueves, 9 de julio de 2015

Píldora formativa 27: ¿Qué es mejor, la criptografía simétrica o la asim...

Publicado por http://hackinganddefense.blogspot.com/ 0 comentarios en 12:47 a.m.

Suscribirse a: Entradas (Atom)