01/12/2015
El reto de la seguridad:
Adelántate al hacker
2
Agenda
11:00 – 12:25 Conceptos de Seguridad TI
Hackers y Amenazas
Impacto sobre nuestro negocio / actividad
Estudio de un incidente de seguridad
12:35 – 14:00 Taller práctico
Técnicas de evasion antivirus
Escalando privilegios
Comprometiendo dispositivos móviles
3
La dura realidad
Estamos en más riesgo que nunca
91%
78%
71%
Incremento en ataquesdirigidos en 2013
De los kits de explotaciónusan vulnerabilidades quetienen menos de dos años
De las brechas de seguridadse da en el puesto de trabajodel usuario
Los atacantes estánbien financiados y son más sofisticados
Ejecutar ataques Zero-Day es más sencillo y habitual
Los ataques dirigidos solose pueden resolver desdeel puesto de trabajo
$$
4
Entendiendo las amenazas
Exploit
Fichero de datos malformados que son
procesados por una aplicación legítima.
Explotan las vulnerabilidades de una
aplicación legítima que permite ejecutar
código al atacante.
‘Tricks’ the legitimate application into
running the attacker’s code
Payloads (código ejecutable) pequeños
Ejecutable Malicioso
Son ejecutables (programas)
No se basan en vulnerabilidades de
aplicación.
Ejecutan su código propio para tomar
control de la máquina
Payloads (código ejecutable) grandes
Exploit vs. Ejecutable Malicioso – ¿Cuál es la diferencia?
5
Ciclo de ataque típico de un
ciberataque
La prevención de un Ataque en su etapa más temprana es crítico
Palnificacióndel ataque
Gather
Intelligence
Infecciónsilenciosa
Leverage
Exploit
El malwarese comunica con
el atacante
Control
Channel
Ejecución del Código malicioso
Execute
Malware
Robo de datosSabotaje
Destrucción
Steal Data
Controles Preventivos Controles Reactivos
6
Amenazas APT: las seis etapas de
un ataque dirigido
http://trends.inycom.es/ciberseguridad-piensa-como-un-hacker-parte-1/
7
Red Team / Blue Team
Metodología: Assume Breach.
Metodología que da por perdida la primera parte de la batalla, consiste
en detectar gaps en las siguientes técnicas y procedimientos (TTP):
• Detección de ataques y penetraciones
• Respuesta a los ataques y vulneraciones de seguridad
• Recuperación de la fuga, modificación o compromiso de información
• Prevención de futuros ataques
8
Red Team
Es un equipo que se centra en “romper” la infraestructura del cliente, su
plataforma y aplicaciones.
Son el “adversario (hackers éticos) que ejecutan ataques dirigidos y
persistentes”
Objetivos medibles mediante:
• Tiempo medio para comprometer – Mean Time to Compromise (MTTC)
• Tiempo medio para escalar privilegios – Mean Time to Privilege
Escalation (MTTP)
9
Blue Team
Es un equipo que se centra en “responder” a los ataques recibidos,
investigar los incidentes y aplicar las contramedidas necesarias para que
no se vuelva a repetir.
Suelen formar parte del equipo de operaciones.
Objetivos medibles mediante:
• Tiempo medio de detección – Mean Time to Detect (MTTD)
• Tiempo medio de recuperación – Mean Time to Recovery (MTTR)
10
Así están las cosas
11
Red Top 1/4. Credenciales
Lo mismo de siempre 30 años después:
Ejemplos:
• Contraseñas en el Group Policy Preferences
• Contraseñas en los comentarios de un usuario del AD
• Default / blank passwords
• Contraseñas débiles (Marzo2015, Passw0rd+2015)
• Fichero Excel con todas las contraseñas
• …
• Pwnage en 5 minutos: nmap –p 1433 –script ms-sql-empty-password
12
Blue Top 1/4. Credenciales
Soluciones complejas
• Soluciones de terceros para robustecer “passfilt.dll”
• Sistema de salto monitorizados
• Soluciones MFA o doble factor, OTP
• “Usuarios cebo” para ejecutar alertas en caso de compromiso
• Monitorización de logins fallidos
• Gestión de identidades
• Políticas de contraseñas, captchas, bloqueos, etc…
13
Red Top 2/4. Vulnerabilidades
Exploits conocidos o por conocer:
Ejemplos:
• Shellshock, heartbleed, …
• Los XP que quedan por ahí
• Java / Flash / Reader
• Software de backup
• Webs con RCE, LFI, etc.
• Pwnage en 5 minutos: exploit-db, metasploit, nmap
14
Blue Top 2/4. Vulnerabilidades
• Arquitectura de red: segmentación, reglas en firewall internos
• Uso de IPS
• Soluciones de despliegue automático de parches
• Windows. SCCM / WSUS
• Linux: Satellite/SpaceWalk/Landscape
• Chef/Puppet/Salt, etc…
• EMET. Enhaced Mitigation Experience Toolkit
• GRSecurity
• Controles en navegación.
• Escaneos de vulnerabilidades y revisiones de cumplimiento
15
Red Top 3/4. Ataques de red
• Ataques Man In The Middle en todas sus variantes
16
Blue Top 3/4. Ataques de red
• Aplicación de Network Access Control NAC
• Dynamic ARP Inspection
• DHCP Snooping
• Protocolos cifrados
• Desactivar Multicast Name Resolution / WPAD
• IDS Wireless
• Segmentación de red
• Firewall / IPS
17
Red Top 4/4. Privilegios
• De usuario sin privilegios a local admin y más…
• Servicios con permisos incorrectos
• Usuarios de aplicación privilegiados
• Usuarios de dominio con privilegios de local admin
• Etc…
18
Blue Top 4/4. Privilegios
• Eliminar el acceso a cmd y powershell
• Modificación de registro Sysinternals y proteger clave
• Activar UAC / Firewall de Windows
• Permisos en las tareas programadas
• Uso de listas blancas de binarios o Golden Images, AppLocker…
• Eliminar acceso a USB/CD
• Educar al usuario, bloqueo de equipo cuando no esté delante.
• Cifrar el contenido del disco duro, BitLocker, etc.
19
Historia de un ataque
http://la9deanon.tumblr.com/post/134259570354/gigantes-tecnológicos-con-
pies-de-barro/
http://la9deanon.tumblr.com/post/132361712954/liberando-a-libertad-digital-
y-haciendo-lulz-con
GRACIAS POR SU
ATENCIÓN
30/11/2015 20