viernes, 24 de abril de 2020
miércoles, 15 de abril de 2020
martes, 5 de abril de 2016
martes, 29 de marzo de 2016
OSINT y hacking con buscadores. Ciberdebate en Palabra de hacker
OSINT y hacking con buscadores. Ciberdebate en Palabra de hacker: Si la información es poder, en Palabra de hacker profundizamos con expertos en seguridad para averiguar cómo se consigue con OSINT y hacking con buscadores.
miércoles, 22 de julio de 2015
Client Side Attack - Registry Windows
Hola Amig@s,
Hoy deseo compartirles el proceso de intrusion, tomando como vector de ataque client side attack (ataque del lado del cliente) y definiendo como estrategia de ataque la información almacenada en una estación de trabajo de computo de un usuario.
Por medio de la cual una vez se compromete el equipo de trabajo de un usuario, se procede a la extracción de información almacenada por default en el equipo, o malas practicas en el aseguramiento de las estaciones de los usuarios.
Si no se realiza los respectivos protocolo de aseguramiento técnico y aplicación de políticas a nivel de LocalHost, tales como eliminar las claves que almacenan password protect o credenciales con cifrado débil de algunas aplicaciones, que son almacenadas por el sistema windows.
A esto se suman las malas practicas de los procesos de soporte que realizan los usuarios administradores que prestan su servicio de soporte autenticándose en los equipos de los usuarios con credenciales de Master Administrator o System, de forma negligente o con el desconocimiento que estos están quedando grabados en la estación de trabajo del usuario y una persona con conocimiento o investigación suficiente lograra recuperarlos dando acceso a los servidores de la Organización logrando el OWNED o santo grial esperado por el delincuente informático alcanzando sus objetivos de fuga de información o alcanzar el objetivo por lo que le han pagado.
Es así, como una vez se logra acceso a la estación de trabajo por fallas técnicas, de procesos o personas, un atacante procede a determinar el rol, perfil e importancia de la estación de trabajo del usuario, su información y contenido en relación de importancia como activo tecnológico en la Organización.
 |
| IDENTIFICACION DEL EQUIPO COMPROMETIDO |
 |
| EL ATACANTE GENERA UN PUNTO DE RESTAURACION PARA DEVOLVERLO UNA VEZ CUMPLA SU COMETIDO |
El atacante deshabilita las medidas de contención e instala hacktools en el equipo comprometido con la finalidad de extraer información y ampliar su espectro de ataque.
 | |
|
 | |
|
 |
| Crea un usuario fake "backup" y asigna rol de Administrador del Dominio. |
 |
| Explorando recursos compartidos en la Red. |
 |
| Explorando Administre su Servidor. |
 |
| Explorando El plugin el Directorio Activo. |
 |
| Encuentra información de Script SQL que le permiten ampliar su espectro y cobertura de ataque. |
Que tanto crees que un delincuente informático estructurado y con conocimiento puede hacer con el control de una estación de trabajo operativa en tu Red.???
Como lo viste.
Lo has tenido en cuenta en tu esquema de defensa en profundidad??
Good Luck!
Byte
Dino
lunes, 13 de julio de 2015
jueves, 9 de julio de 2015
sábado, 27 de junio de 2015
sábado, 20 de junio de 2015
El BATCH que Asesino los Severs AIX IBM
Hola Amigos,
Con un poco mas de tiempo el día de hoy y como relax de mis ajetreos.
Me anime a retomar el Blog, nuevamente con mis vicisitudes y uno de mis Tales From de Crypt.
Para ello les traigo la historia de como a partir de un script .BAT como punto de partida y vector de ataque, este se convierte en el Script asesino de un conjunto de Server IBM AIX que hacían parte de los objetivos de la auditoria de seguridad.
Entre los objetivos se establecía:
“Encontrar fallos de seguridad en aplicaciones cliente/servidor programadas y en despliegue con cualquier tecnología y lenguaje de programación.”
El proceso se inicia comprometiendo una estación de trabajo y se procede a inhabilitar sus sistemas de contención, permitiendo así instalar hacktools.
 |
| Estación de Trabajo Cliente Comprometida |
Se realiza exploración del ambiente y análisis de los aplicativos existentes, para entender su arquitectura y funcionamiento. Determinando que existen malas practicas de implementación en el despliegue del software.
Cuando se inicia uno de sus aplicativos principales, hace uso de un script batch con la mala practica de quemar credenciales de autenticación en recursos compartidos de un usuario básico limitado que permite activar y mantener los servicios de impresión con los servidores Unix AIX IBM.
 | |
|
 | |
|
REGEDITXXX
[HKEY_LOCAL_MACHINE\SOFTWARE\ORACLE\XXXXX]
"XXXXXXXX_DATE_FORMAT"="DD-MM-YYYY"
"XXXXXXXX_DATE_FORMAT"="DD-MM-YYYY HH24:MI:SS"
"LANG" = "LATIN AMERICAN SPANISH_AMERICA.WE8ISO8859P1"
"XXXXXXX_LANGUAGE" = "LATIN AMERICAN SPANISH"
"XXXXXXX__TERRITORY" = "AMERICA"
"SATDLLPATH"="Z:\\xxxxx\\Client\\xxxxxxxxxxx\\Dlls\\"
"HOME_FORMS6I"="XXXXX"
Haciendo uso de los archivos script y sus credenciales de autenticación se procede a hacer login en el servidor AIX IBM, y explorar revisando archivos del sistema, de errores, de configuración, de logs, históricos, etc.
 |
| Ingresando al Servidor Linux AIX IBM |
 |
| Visualizando archivo de LOG |
 |
| Visualizando ID y archivo PASSWD |
 |
| Proceso de Cracking de Password por Diccionario |
 |
| Visualizando archivo historico .BASH_HISTORY |
 |
| Visualizacion archivo del perfil .PROFILE |
Posteriormente realizamos un análisis de la programación de tareas, para determinar información de operación critica del servidor y la aplicación:
/xxxxxxxxxxxx/users/xxxxxxx> cat crontab
# Min Hour day_of_Month month weekday command
# 30 10 * * 1-5 /oracle9/exports/xxxxxxxxxxxxxx.sh
# 00 22 * * * /xxxxx/exports/xxxxxxxxxx.sh
45 * * * * sh /xxxxxxxx/users/xxxxxxx/xxxxxxx/dataware/scripts/xxxxxxxxxxx.sh
30 23 * * * sh /xxxx/users/xxxxx/xxxxxxx/dataware/scripts/xxxxxxxxxxx.sh\
# 30 01 * * 1,2,3,4,5 /xxxxxxx/exports/xxxxxx.sh
De esta forma encontramos credenciales de un usuario AAAAAAA con su password AAAAAA, con rol y privilegios en el sistema mayor que el usuario XXXXXX con el que accedimos inicialmente, con relaciones de confianza y uso de las mismas credenciales en todos los servidores.
 |
| Se encuentra script con credenciales de nuevo usuario con un rol mayor y privilegios |
Haciendo uso de estas nuevas credenciales de autenticación y de la relación de confianza entre los servidores, se procede a ingresar en cinco (5) servidores AIX IBM.
 |
| Ingreso a diversos Servidores AIX IBM |
Indudablemente se llego mucho mas lejos, aprovechándome de otras fallas de seguridad en la Administración de estos Servidores, pero dejare esta parte de la historia para un nuevo articulo a partir de esta historia de terror.
Como puedes observar las malas practicas en las diversas capas de seguridad pueden causarnos un gran dolor de cabeza, puesto que por esta vez, la mala implementación para el despliegue del aplicativo por funcionalidad se obvio la seguridad, generando un alto riesgo en la materialización del riesgo y un gran impacto en la Organización.
Si te gusto solo:
Dino.
miércoles, 17 de junio de 2015
sábado, 13 de junio de 2015
miércoles, 10 de junio de 2015
jueves, 4 de junio de 2015
lunes, 1 de junio de 2015
Suscribirse a:
Entradas (Atom)
