Posts on Adrián Lois

Análisis y detección de Hoaxshell: ¿una shell indetectable?

Wed, 31 Aug 2022 08:08:00 +0000

Hoaxshell proporciona de forma client-side una shell inversa que por el momento Microsoft Defender y posiblemente otros motores de AVs no están detectando ya que se basa únicamente en el tráfico http y https, según nos comenta su desarrollador. Aunque más adelante veremos como esto puede ser detectado a nivel de eventos de Windows y no por eventos producidos en la red.

Hoaxshell: obteniendo una shell remota Link to heading

Nos descargamos el repositorio e instalamos el requirements.txt de python.

Port Knocking: mejorar la seguridad en conexiones SSH

Wed, 10 Aug 2022 18:54:00 +0000

Port knocking o golpeteo de puertos es un método que proporciona seguridad frente a ataques de servicios de red, consiste en realizar una serie de peticiones de conexión con una secuencia ordenada de puertos para poder habilitar una regla previamente configurada en la máquina remota que nos permita abrir una comunicación única entre cliente/servidor y establecer finalmente una conexión abierta SSH hacia el servidor remoto.

El uso de esta implementación puede ser catalogado como seguridad por oscuridad.

2FA: segundo factor de autenticación en conexiones SSH

Wed, 22 Jun 2022 11:53:00 +0000

Implementar un segundo factor de autenticación 2FA en servicios SSH sin duda es una muy buena opción de seguridad no solo para servidores expuestos a internet sino para aquellos usuarios que pueden elevarse a un contexto privilegiado de sudo y servidores críticos en una red interna corporativa.

Con este mecanismo de autenticación en dos pasos se estaría reduciendo en gran medida la superficie de ataque de los vectores de entrada a estos sistemas por parte de un posible atacante.

KrbRelayUp PrivEsc: escalada de privilegios en AD y mitigación

Wed, 11 May 2022 21:40:00 +0000

KrbRelayUp es una herramienta que nos permite en una post-explotación la escalada de privilegios locales en máquinas unidas a un dominio Active Directory y persistencia para realizar este privesc en cualquier máquina del dominio a través de movimientos laterales hasta llegar a la máquina objetivo, de ahí su criticidad y riesgo alto.

No se trata de una vulnerabilidad en sí con un CVE asignado, sino del aprovechamiento de un fallo de configuración por defecto de Windows por parte de los controladores de dominio.

Microsoft LAPS: evitar movimientos laterales en Active Directory

Tue, 11 Jan 2022 13:09:00 +0000

Microsoft LAPS (Local Administrator Password Solution) se trata de una herramienta de Microsoft que pone solución a la gestión de contraseñas administrador local de los equipos unidos a un dominio.

Entendiendo el riesgo de seguridad y escenarios comunes en las organizaciones Link to heading

En la mayoría de compañías es una práctica común establecer la misma contraseña para la cuenta del administrador local en todos los equipos que forman parte de un dominio, principio de localidad entre máquinas, ya puedan ser clientes o servidores (exceptuando los Domain Controller que por defecto carecen de una cuenta de administrador local).

Apache Log4j: vulnerabilidades de Log4Shell

Thu, 23 Dec 2021 23:08:00 +0000

No suelo realizar publicaciones de este tipo pero considero este caso como una excepción.

“Log4j” o “Log4Shell” se han convertido en trending topic no solo en las comunidades de Ciberseguridad sino también en los entornos tecnológicos en general.

Si hablásemos de un “Top Vulnerabilidades 2021” está claro que se lo llevarían las asociadas a Apache Log4j, el revuelo de esto no está tanto por el número de vulnerabilidades publicadas y su gravedad, sino por el impacto de afectación que está teniendo en una enorme cantidad de productos y servicios. El mayor problema es identificar las aplicaciones que lo usan, en muchos casos las empresas carecen de un inventario actualizado de las aplicaciones que utilizan. El inventario es fundamental en materia seguridad.

Detectar, alertar y bloquear fuerza bruta a RDP

Tue, 16 Nov 2021 21:10:00 +0000

Antes de nada comentar que es una muy mala práctica y está totalmente desaconsejado publicar hacia internet servicios de escritorio remoto. RDP es de los servicios más comprometidos por atacantes externos, con más intentos de ataques y que facilitan un vector de entrada directo a la red de una empresa si el acceso se configura de esta forma.

En el caso de tener que publicar RDP a internet -sin una VPN o una conexión intermedia hacia un equipo bastión- aunque sea de una manera temporal, hay que hacerlo de la forma “más segura” posible.

Seth: Ataques MITM a conexiones RDP y mitigación

Sat, 15 May 2021 17:30:00 +0000

Seth es una herramienta desarrollada en python y bash que nos permite realizar un ataque MITM man in the middle en conexiones RDP aprovechándose una configuración insegura como es el NO habilitar la autenticación a nivel de red NLA para conexiones de escritorio remoto.

Como requerimiento previo para usar Seth es necesario tener instalado arpspoof por lo que será necesario instalar el paquete dsniff.

apt install dsniff -y

Clonar el repositorio de Seth.

Firmar scripts PowerShell [Parte 2 de 2]: hardening con CA ADCS y despliegue por GPO

Thu, 25 Mar 2021 19:02:00 +0000

Firmar scripts PowerShell Link to heading

Continuando con el artículo sobre cómo firmar scripts PowerShell estableciendo una política de ejecución AllSigned.

En este post comentaré cómo hacer uso de las plantillas de certificados para el propósito de “Firma de código” emitidas por una Entidad de certificación CA implementada en un entorno de dominio haciendo uso del servicio ADCS (Active Directory Certificate Services), desplegando el certificado vía GPO y finalmente realizar una comprobación de integridad del script PowerShell firmado.

Wynis: auditoría de seguridad para Windows y Active Directory

Thu, 18 Feb 2021 18:04:00 +0000

Wynis es un script de auditoría desarrollado por el usuario Sneakysecdoggo que realiza una evaluación de controles de indicadores del CIS (Center for Internet Security) siguiendo los benchmarks del CIS Best Practices Windows 10 y Windows Server 2016. Los puntos de referencia del CIS son reconocidos internacionalmente como estándares de seguridad para la defensa de sistemas y datos de IT contra ciberataques.

Se trata de una herramienta de script similar a Lynis, usada en sistemas basados en Linux.

Firmar scripts PowerShell [Parte 1 de 2]: hardening de ExecutionPolicy

Tue, 09 Feb 2021 16:49:00 +0000

Firmar scripts PowerShell Link to heading

Por motivos de seguridad Windows PowerShell establece unas políticas de ejecución de scripts. Con el fin de evitar posibles ejecuciones de scripts no deseadas. Para poder ejecutar scripts en PowerShell sin problemas, se tendrá que cambiar la política de ejecución (ExecutionPolicy). Por defecto no están definidas y vienen deshabilitadas (Restricted) para todos los scopes.

Instalar RSAT en Windows 10 cuando WSUS bloquea la descarga

Sat, 07 Nov 2020 10:49:00 +0000

A partir de las últimas versiones de Windows 10 las RSAT (Remote Server Administration Tools) ya no se descargan e instalan como un paquete de actualizaciones de Microsoft. Sino que se incorporan como características avanzadas independientes que podemos descargar/instalar directamente desde el nuevo panel de configuración del sistema.

En el caso de que estemos trabajando en una máquina Windows 10 bajo un entorno de actualizaciones controladas por WSUS (Windows Server Update Services) es muy probable que el propio servidor WSUS esté bloqueando la descarga de las características RSAT.

Instalar actualizaciones .msu en Windows con expand y DISM

Wed, 23 Sep 2020 18:43:00 +0000

Cuando nos descargamos parches directamente de Microsoft Update Catalog normalmente el formato estándar suele ser una extensión .msu (Microsoft Update Standalone Installer) del paquete de actualización con su KB identificativo.

Para instalar un paquete de actualización de forma independiente sin hacerlo a través de las Windows Update de Microsoft Windows, es tan sencillo como ejecutar con doble clic el fichero msu de instalación y esperar a que finalice el proceso. Aunque no siempre ocurre así y resulta costoso realizar la instalación.

Restringir el inicio de sesión RDP a Administradores y usuarios específicos (hardening)

Thu, 03 Sep 2020 16:02:00 +0000

Por defecto para poder usar los Servicios de escritorio remoto RDP Remote Desktop Protocol necesitamos un usuario, ya sea local en la máquina remota o de dominio, que tenga permisos para poder conectarse. Para ello dicho usuario debe ser miembro del grupo Administradores locales o bien del grupo Usuarios de escritorio remoto.

Agregar o quitar usuarios o grupos a través de las Propiedades del sistema (sysdm.cpl) sería lo mismo que hacerlo a través del propio grupo local “Usuarios de escritorio remoto” que podemos encontrar en la consola lusrmgr.msc.

Shellter y Veil-Evasion: evasión de antivirus ocultando shellcodes

Thu, 16 Jul 2020 13:50:00 +0000

Hay diversas técnicas para establecer una sesión hacia una máquina remota. Una de ellas es la generación de un fichero binario que sea ejecutado por la víctima, este binario tendrá un payload configurado que nos proporcionará una shell remota estableciendo una conexión directa o inversa hacia el equipo de la víctima, consiguiendo así una sesión en el mismo contexto de integridad del usuario que ejecutó el binario.

Se trata de un tipo de ataque client-side donde será el usuario final quien interactúe ejecutando el fichero malicioso. La forma de envío de estos ejecutables hacia la máquina remota sin tener una sesión previa puede ser de muchas formas: En el caso de tener acceso físico a la organización distribuir unidades externas usb con el binario esperando que alguien lo ejecute o envío de emails en el que se adjunte el fichero o un hipervínculo que redirige a una web externa donde se descargará (esto suele ser muy habitual).

Netcat: conexiones directas e inversas, shells y banner grabbing

Mon, 06 Jul 2020 09:31:00 +0000

Netcat es una herramienta de red que permite a través de intérprete de comandos abrir puertos TCP/UDP en un HOST, asociar una shell a un puerto en concreto y forzar conexiones UDP/TCP.

Para ver ejemplos tendremos una máquina Kali (10.0.0.10) con netcat ya instalado y una máquina Windows (10.0.0.19) donde podemos descargar y usar los binarios de netcat para Windows.

Un ejemplo de uso sencillo donde podemos enviarnos información de texto de una máquina a otra como si de un chat se tratara.

Pivoting entre proxys encadenados con Proxychains

Mon, 29 Jun 2020 15:48:00 +0000

Proxychains es una herramienta que actúa como un servidor proxy soportando conexiones TCP en protocolos HTTP, HTTPS, SOCKS4 y SOCKS5. Su principal característica es el encadenamiento de servidores proxy configurados y como redirige estas peticiones de uno a otro.

En una fase de reconocimiento y enumeración hacia un sitio web, dependiendo el caso, intentamos mantener un cierto grado de anonimato ocultando nuestra dirección IP pública. Para ello usamos servidores Proxy o VPN siendo estas más fiables, prácticas y con un mayor nivel de garantía.

Hydra, Medusa y Ncrack: password cracking por fuerza bruta y password spraying

Tue, 23 Jun 2020 16:22:00 +0000

THC-Hydra, Medusa y Ncrack son herramientas para realizar ataques de fuerza bruta a servicios activos cliente/servidor como: ssh, ftp, rdp, smb, mysql, telnet, http, imap, vnc, etc.

Para mostrar el uso de estas herramientas usaré el siguiente escenario de ejemplos. Escaneando con nmap los equipos remotos y puertos empleados para cada tipo de servicio.

nmap -p 21 10.0.0.16      # Windows 7 servicio FTP
nmap -p 3389 10.0.0.16    # Windows 7 servicio RDP
nmap -p 445 10.0.0.16     # Windows 7 servicio SMB/CIFS
nmap -p 22 10.0.0.40      # Linux servicio SSH

Password cracking en hashes Linux (John The Ripper y Hashcat)

Thu, 11 Jun 2020 18:56:00 +0000

En otro artículo comentaré el proceso y técnicas para realizar Passwords cracking de hashes NTLM ntds.dit de Active Directory en sistemas Windows.

En esta ocasión para poder llevar a cabo un ataque por fuerza bruta, diccionario o Rainbow tables a los hashes de contraseñas de sistemas Linux. Es necesario obtener un acceso root para copiar o volcar el contenido de los ficheros /etc/passwd y /etc/shadow.

Si tenemos acceso físico a la máquina o un entorno de hipervisor donde podemos elevarnos a root abriendo una terminal usando Grub, explotar una vulnerabilidad que nos permita conseguir acceso con root o en una fase de post-explotación crear un usuario y hacerlo miembro del grupo sudo o colocarlo en /etc/sudoers.

FakeLogonScreen: phishing de credenciales locales o Active Directory con bloqueo de pantalla falso

Thu, 11 Jun 2020 09:10:00 +0000

FakeLogonScreen es una utilidad desarrollada por @bitsadmin que simula un bloqueo de pantalla de inicio de sesión de Windows 10 falso que se ejecute en el lado del usuario y tiene como finalidad obtener su contraseña de acceso. La contraseña ingresada se valida con Active Directory o la máquina local para asegurarse de que sea correcta.

El usuario y las contraseñas introducidas se envían a la consola (FakeLogonScreen.exe) o se almacenan en un archivo en disco (FakeLogonScreenToFile.exe). Si el usuario configura un fondo personalizado, muestra ese fondo en lugar del predeterminado.

Riesgo del periodo de gracia de sudo en Linux: hardening contra cambio de contraseña root

Wed, 03 Jun 2020 18:34:00 +0000

El uso del comando sudo permite a otros usuarios ejecutar acciones o programas con los privilegios de un usuario root. Es una buena práctica utilizar un usuario regular y en el momento de realizar alguna acción que requiera de elevación anteponer el comando sudo.

Nos pedirá las credenciales del usuario actual, si el usuario tiene capacidad de manejarse en un contexto de super-usuario, es decir pertenece al grupo sudo o está agregado en el fichero /etc/sudoers (o a través de visudo), de este modo el usuario podrá utilizar sudo y ejecutar las tareas necesarias como si de root se tratase. Sería algo similar al uso de UAC en Windows.

Herramientas para enumeración pasiva de subdominios (OSINT)

Thu, 21 May 2020 19:24:00 +0000

En un proceso de pentesting de auditoría de caja negra (black box) en un principio no tenemos ningún conocimiento de la infraestructura de servidores y comunicaciones de la organización que vamos a auditar. Nos encontramos en una fase de recopilación de información y escaneo de los activos de la compañía públicos en Internet.

Lo habitual es usar footprinting con recursos web, técnicas de recopilación y análisis OSINT (Open Source Intelligence) intentando obtener la mayor cantidad de información posible y que nos pueda ser de utilidad para avanzar a una fase de enumeración de los sistemas “vivos”.

Bypass UAC: DLL injection en taskmgr.exe + fileless eventvwr.exe (PoC)

Thu, 14 May 2020 16:27:00 +0000

En un artículo anterior hablé de un bypass fileless en el binario sdclt.exe, también comenté la posibilidad de realizar este método al binario eventvwr.exe. En esta ocasión mostraré como realizar un bypass de UAC usando un DLL Injection aprovechando un método tipo fileless.

Bypass UAC tipo DLL Hijacking Link to heading

Existen varios tipos de técnicas DLL Hijacking (sideloading, proxying, phantom), la finalidad es conseguir una escalada de privilegios o persistencia en un sistema. Consiste en hacer un “secuestro” de una DLL por la suplantación de otra DLL que ejecute un código arbitrario que le interese a un atacante.

Fingerprinting con PowerShell + exfiltración a FTP (Vídeo PoC)

Fri, 08 May 2020 09:51:00 +0000

En un pentesting interno a sistemas, después de la fase de enumeración y poder comprometer una máquina Windows, es fundamental intentar recopilar la máxima información posible sobre dicha máquina, lo que se conoce como la fase de fingerprinting dentro de una post-explotación.

El uso de Powershell nos ayuda principalmente en las fases de post-explotación y fingerprinting para la recolección de información del sistema, usuarios y grupos locales, parches instalados, procesos en ejecución, servicios activos, etc.

Bypass UAC Fileless usando AppPaths sdclt.exe

Thu, 30 Apr 2020 13:54:00 +0000

La idea de los bypass de UAC (User Account Control) tipo fileless es detectar binarios de Windows firmados por Microsoft y que tienen el atributo autoElevate a true de su manifest. Con una política por defecto de UAC en Windows, estos binarios se ejecutan en un contexto de integridad alto, interactuando con el registro no encuentran las claves en la rama HKCU.

Cuando en la consulta se obtiene un resultado NAME NOT FOUND y esta se hace antes de que se ejecute el propio binario, se podría escribir en esa rama HKCU en la que si tendremos permisos haciendo referencia a la invocación de otro binario como por ejemplo un cmd.exe. Esto provocará que este cmd.exe se ejecute antes y de forma privilegiada logrando así el bypass del UAC.

Política de contraseñas en Linux: login.defs y pam_pwquality

Sun, 19 Apr 2020 17:23:00 +0000

Antes de entrar en materia y comentar donde se definen las directivas de contraseñas en entornos Linux, es necesario conocer los campos que estructuran al fichero donde almacenan cifradas las contraseñas de usuarios locales /etc/shadow.

Este fichero nos muestra el estado actual de cómo se están aplicando estas directivas a los usuarios y que nos resulta útil en procesos de auditoría interna para conocer esta información.

Estructura del fichero /etc/shadow Link to heading

sshuttle: Múltiples túneles SSH y VPN (Proxy transparente)

Thu, 02 Apr 2020 07:30:00 +0000

sshuttle. Se trata de un cliente SSH desarrollado en python que actúa como un proxy transparente funcionando como una VPN. No se trata de una VPN como definición, sshuttle crea de forma automática distintas reglas usando pfctl (pf - Packet Filter) o en su defecto iptables para un múltiple reenvío de puertos a través de una conexión tunelizada vía SSH.

Ya comenté las diferencias entre los distintos tipos de túneles SSH. Esta aplicación nos abstrae de los detalles de realizar manualmente cada reenvío -port forwarding- a cada IP/Puerto hacia la red remota a la que queremos acceder.

Post-explotación: movimiento lateral con Pass-the-Hash (PtH)

Thu, 19 Mar 2020 11:25:00 +0000

En las fases de explotación de un pentest interno y dando continuidad al artículo de Explotación local: Escalada de privilegios de 0 a SYSTEM con Metasploit. Hoy quiero comentar diversas técnicas que se pueden emplear para realizar movimiento lateral o también conocido como Pass the hash (PtH).

¿Qué es un movimiento lateral usando técnicas Pass the hash? Link to heading

Movimiento lateral (pivoting) usando Pass the hash es una de las técnicas empleadas para pivotar de una máquina a otra. Una vez que se ha comprometido una máquina, hemos escalado privilegios y conseguimos realizar un volcado de hashes. Podemos utilizar estos hashes para autenticarse en otra máquina que tenga las mismas credenciales que la máquina origen.

Explotación local: escalada de privilegios de 0 a SYSTEM con Metasploit

Thu, 12 Mar 2020 19:47:00 +0000

A diferencia de la explotación directa o intrusión directa y client-side donde el objetivo es la ejecución de código en una máquina remota con la finalidad de comprometer su seguridad y conseguir una conexión hacia dicha máquina.

En el contexto de Metasploit la explotación local tiene como objetivo el movimiento vertical que será la elevación o escalada de privilegios en una sesión previamente establecida en una máquina remota o directamente tenemos acceso físico a la máquina.

Hardening Linux: ACLs en directorios y ficheros (setfacl y getfacl)

Wed, 12 Feb 2020 18:31:00 +0000

Las ACL en Linux son, como en cualquier otro sistema operativo, listas de control de acceso (Access Control List) que nos permiten especificar a qué usuarios, grupos o procesos del sistema se les otorga unos permisos específicos a los objetos, como pueden ser directorios o ficheros del sistema.

Por defecto en los sistemas de ficheros ext* las ACL ya se encuentran habilitadas. Existen dos comandos para su gestión:

getfacl: Muestra información de los permisos de ficheros y carpetas.
setfacl: Establece o modifica las ACL de dichos ficheros y carpetas.

Para conocer el detalle de los argumentos disponibles tanto en getfacl como setfacl podemos consultar su ayuda con man.

Active Directory: auditar cambios en cuentas de usuario (ID de eventos)

Sun, 09 Feb 2020 10:19:00 +0000

Para poder auditar la creación y cambios de cuentas de usuarios de Active Directory debemos establecer esta política a nivel de dominio en la plantilla Default Domain Controllers Policy situada en Objetos de directiva de grupo.

La editamos y configuramos:

Configuración del equipo > Directivas > Configuración de Windows > Configuración de seguridad > Directivas locales > Directiva de auditoría

Habilitamos “Auditar la administración de cuentas” en intentos Correcto y Error.

Auditar inicios de sesión erróneos (ID 4625) y notificar vía email

Sat, 18 Jan 2020 09:30:00 +0000

Una forma de auditar los errores de accesos de inicio de sesión o login a un sistema Windows ya sean accesos físicos, en remoto mediante RDP, recursos compartidos CIFS o llamadas a procedimientos remotos RPC como pueden ser el acceso a consolas msc de equipos remotos. Se considerarán inicios de sesión en una máquina Windows.

Este artículo se centrará en la auditoría de todos los accesos erróneos de login a un sistema pero en especial irá enfocado a los intentos de inicios de sesión RDP desde equipos remotos y la notificación de este evento vía un mensaje de correo electrónico de forma automática.

Pivoting con Metasploit: route, portfwd y portproxy

Tue, 07 Jan 2020 17:21:00 +0000

En las primeras fases de escaneo de un pentesting debemos intentar recopilar la mayor cantidad de información posible sobre las redes internas disponibles en la empresa.

Muchas organizaciones dividen sus departamentos en segmentos de red o redes locales virtuales (VLANs), donde se alojan determinadas máquinas, en muchos casos los equipos que forman parte de una red tienen configuradas varias interfaces ya sean físicas o lógicas hacia estas otras redes.

En este tipo de circunstancias podemos aprovecharnos de esto para pivotar entre equipos de distintas redes y poder encontrar uno o varios equipos ya sean clientes o servidores con posibles vulnerabilidades explotables.

Password cracking de hashes NTLM (ntds.dit) en Active Directory

Sat, 16 Nov 2019 08:00:00 +0000

Antes de empezar con la parte práctica de password cracking en sistemas Windows, es recomendable un breve resumen sobre las diferencias entre los tipos de hashes de contraseñas (LM, NTHash o NTLM, NTLMv1, NTLMv2) que almacena Windows en su base de datos local SAM (Security Account Manager) o NTDS.DIT (NT Directory Services) si se trata de controladores de dominio de Active Directory.

Existen dos medios de los cuales se puede realizar la extracción de hashes:

Backups locales a Amazon S3 con AWSCLI (PowerShell y Bash)

Sat, 28 Sep 2019 10:35:00 +0000

Hace tiempo que vengo usando este método de realizar mis backups personales, aunque siendo correctos, por definición no se trata realmente del concepto de “Backups” sino de un sistema de sincronización.

Si usando el mismo método almacenara copias durante un periodo de tiempo determinado con una autoeliminación de los backups más viejos, es decir una política de retención donde haya la posibilidad de disponer de puntos de restauración dentro de las fechas establecidas en la política de retención, así como la posibilidad de almacenar un histórico de copias en frío en fechas más viejas.

WMI Explorer: restricción con filtros WMI en GPO y querys en SCCM

Wed, 04 Sep 2019 05:15:00 +0000

Los filtros WMI (Instrumental de administración de Windows) en las Políticas de grupo (GPO) permiten aplicar políticas de manera más flexible a los clientes mediante el uso de diferentes reglas. Un filtro WMI es un conjunto de consultas WMI (se usa el lenguaje de consulta WMI/WQL) que se puede usar para apuntar a las máquinas a las que se debe aplicar una política de grupo específica.

Por ejemplo, usando el filtro WMI GPO, puede aplicar una política vinculada a una OU solo a las máquinas que ejecutan Windows 10 (una política con dicho filtro WMI no se aplicará a las computadoras con otras versiones de Windows).

Compartir recursos con Samba sin auth entre Linux y Windows

Mon, 26 Aug 2019 19:30:00 +0000

Para poder compartir recursos Samba desde Linux a Windows sin usar ningún login usuario/password de modo que sea un acceso invitado, debemos configurar una serie de directivas en el fichero de configuración de Samba.

Configuración insegura
chmod 777 + usershare allow guests = yes + security = SHARE expone el recurso a cualquiera con acceso de red, sin autenticación ni control de acceso. Úsalo únicamente en una red de laboratorio aislada o LAN cerrada de máquinas de confianza; nunca en una red con clientes desconocidos o accesible desde Internet.

Renovar SSL: comprobar coincidencia certificado/clave/CSR (OpenSSL)

Thu, 01 Aug 2019 07:27:00 +0000

Al renovar los certificados de un servidor web podemos encontrarnos con errores en el momento de sustitución de los ficheros de certificados.

Apache + configuración SSLCipher strong


# SSLCiphers strong encryption
SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1
SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256
SSLHonorCipherOrder on
SSLCompression off
SSLSessionTickets off

# SSL certs config
SSLEngine on
SSLCertificateFile /etc/apache2/ssl/web/public.crt
SSLCertificateKeyFile /etc/apache2/ssl/web/private.key
SSLCertificateChainFile /etc/apache2/ssl/web/intermediate.crt

Nginx + configuración SSLCipher strong

ssl on;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

# Fix 'The Logjam Attack'.
ssl_ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
ssl_dhparam /etc/ssl/dh2048_param.pem;

#SSL certs config
ssl_certificate /etc/nginx/ssl/web/intermediate.crt;
ssl_certificate_key /etc/nginx/ssl/web/private.key;

CA Bundle Link to heading

Si disponemos de un fichero CA Bundle no es otra cosa que un certificado intermediate y raíz de la CA en un solo archivo, uno detrás del otro, debes combinarlos en uno solo para tener un CA_bundle completo. Los certificados raíz no son necesarios cuando se instala el certificado, para la instalación es suficiente activar en el servidor el correspondiente certificado intermediate.

nping: Aplicando Reverse ARP de forma práctica (RARP)

Mon, 29 Jul 2019 13:47:00 +0000

Este es un pequeño tip de cómo se puede realizar de forma práctica un RARP (Reverse Address Resolution Protocol). Conociendo una dirección MAC y un rango de red específico, realizar peticiones ICMP (ping) de forma automática a un pool de direcciones de red para posteriormente consultar las tablas ARP y descubrir la dirección IP asignada.

Del software nmap podemos hacer uso del script nping para poder escanear un rango de red determinado de forma automática y listar la tabla ARP local redireccionando la salida a un filtro por la dirección o direcciones MAC que queremos descubrir su IP.

fail2ban: control de ataques de fuerza bruta en servicios Linux

Wed, 17 Jul 2019 17:22:00 +0000

fail2ban es una aplicación IDPS (Intrusion Detection and Prevention Systems) que supervisa las conexiones externas de direcciones IPs a servicios internos, se puede parametrizar para bloquear los intentos de accesos externos por fuerza bruta. En base al cumplimiento de las directivas definidas y asociadas a determinados servicios.

fail2ban detecta conexiones que puedan ser anómalas y bloquea la IP pública que intenta acceder a dichos servicios por lo que sería un sistema activo (analiza, detecta y actúa al momento), lo hace añadiendo reglas iptables rechazando las conexiones procedentes de esa dirección IP pública.

Migración FRS → DFSR en controladores de dominio Windows Server (dfsmig)

Wed, 17 Apr 2019 19:30:00 +0000

En el caso que tengamos un controlador de dominio Windows Server 2008 R2 con replicación FRS (File Replication Service) y se necesite migrar a unos nuevos controladores de dominio Windows Server 2019 que haga uso del sistema de replicación DFS (Distributed File System) habría que realizar una migración de los controladores viejos a un sistema de replicación DFS.

Elevar el nivel funcional Link to heading

Primero será necesario elevar el nivel funcional del dominio en los controladores de dominio viejos. El nivel funcional determina las características de los Servicios de dominio de Active Directory (AD DS) que están habilitadas en un dominio o bosque. El nivel funcional del bosque limita al nivel funcional del dominio y solo afecta a los servicios de AD de los controladores de dominio, en el caso de tener un servicio DHCP, IIS, WSUS, etc. no se verían afectados.

Fallos de replicación FRS/DFSR en Active Directory: forzar sincronización (Burflags)

Fri, 12 Apr 2019 17:08:00 +0000

Replicación FRS y DFSR Link to heading

FRS (File Replication Service) servicio para distribuir archivos compartidos y objetos de directiva de grupo entre controladores de dominio a través del recurso C:\Windows\SYSVOL. Windows Server 2003 R2 y Windows Server 2008 son compatibles con DFS (Distributed File System) y el servicio de replicación de archivos.
DFSR (Distributed File System Replication) disponible por defecto a partir de Windows Server 2008 R2, reemplaza al sistema FRS para la replicación del recurso SYSVOL en los servicios de dominio de Active Directory. DFS replica los objetos de configuración almacenados de Active Directory.

Gestión de backups CIFS a servidor FTP remoto con rsync

Tue, 12 Mar 2019 21:00:00 +0000

Una forma de realizar backups de ficheros o directorios independientes entre un sistema Windows y servidor FTP remoto y los ficheros a realizar el backup están en un recurso compartido CIFS (SMB) de Windows, si disponemos de un sistema Linux podremos montar en dos directorios el recurso compartido Windows y el servidor FTP remoto. A posteriori realizar la copia sincronizada con rsync entre el directorio montado con CIFS y el directorio remoto FTP donde se almacenará la copia.

vSphere Web Client: opciones deshabilitadas en la VM

Wed, 27 Feb 2019 20:30:00 +0000

Este troubleshooting está recogido en la base de conocimiento.

https://kb.vmware.com/s/article/2048748

El no poder ver las opciones habilitadas para poder editar la configuración entre otras de la VM pueden ser debido a varias causas, las más habituales puede ser por la configuración de permisos o por tareas ejecutándose en segundo plano.

Figura 1: Opciones deshabilitadas en la máquina virtual en vSphere web client.

NETSH portproxy: Port forwarding local en Windows

Sun, 24 Feb 2019 17:00:00 +0000

Un método para crear túneles haciendo un reenvío de puertos usando un sistema Windows es el uso de la utilidad de comandos NETSH. Para hacer uso de este comando es necesario tener privilegios administrativos sobre la máquina.

Netsh tiene una propiedad llamada portproxy la cual actúa como un proxy en las redes y aplicaciones IPv4 e IPv6.

Mostraré un ejemplo que podría ser típico, se trata de un reenvío de puertos local con el fin de establecer una conexión de Escritorio Remoto (RDP) entre dos máquinas Windows.

Plink SSH: auto-aceptar hostkey al crear túnel local port forwarding

Sat, 16 Feb 2019 20:30:00 +0000

Hostkey o fingerprint SSH

Cuando nos conectamos a través de un cliente SSH como PuTTY, por primera vez en una conexión se nos mostrará una alerta de seguridad indicando que el host key no está cacheado en el registro, no es más que la huella digital o fingerprint de la máquina remota a la que nos conectamos usado como método de confianza para garantizar la autenticidad de la máquina remota.

Esta host key al no estar registrada o cacheada por la máquina cliente que establece la conexión por primera vez, nos alerta de que no hay garantía de que el servidor remoto sea quien creemos que es.

Resetear password SSO Administrator@vsphere.local en vCenter (VCSA)

Mon, 11 Feb 2019 20:30:00 +0000

Para resetear la password SSO del usuario “Administrator@vsphere.local” de vCenter. Accedemos a la gestión del VCSA (vCenter Server Appliance) por el puerto 5480 con el usuario root y password.

https://IP-vCenter_o_hostname:5480

Una vez en el appliance de vCenter, en la sección de Acceso marcamos:

Habilitar inicio de sesión en SSH.
Habilitar el shell Bash.

Figura 1: Habilitar el acceso SSH y Shell Bash para VCSA.

Túnel SSH Port Forwarding: Local, Remote y Dynamic [Explicado]

Wed, 30 Jan 2019 20:30:00 +0000

¿Qué es SSH? Link to heading

SSH (Secure Shell) es un protocolo de comunicaciones seguras entre dos sistemas usando una arquitectura cliente/servidor que permite a los usuarios conectarse a un host remotamente para su posterior administración.

A diferencia de otros protocolos de comunicación remota como FTP o Telnet (Telecommunication Network), SSH cifra la sesión de conexión y la comunicación ofreciendo también una infraestructura de autenticación PKI (Public Key Infrastructure) para la conexión con el host remoto.

Cifrar passwords con PowerShell

Fri, 18 Jan 2019 19:30:00 +0000

Con PowerShell podemos generar o almacenar contraseñas simétricas, secretos (tipo API Key o Access Token) o simplemente cadenas de texto y guardarlas cifradas de forma segura en ficheros de scripts Powershell.

En un caso práctico este método lo llevo utilizando ya un tiempo para almacenar las contraseñas necesarias que se usan en scripts automatizados para realizar en este caso copias de seguridad.

https://github.com/adrianlois/Automatizar-Backups-FTP-PowerShell

Crear passwords cifradas con PowerShell para usar desde el mismo usuario Link to heading

Cuando establecemos una password en Powershell y la volcamos en un fichero, el fichero que contiene la password cifrada solo se podría usar desde el mismo usuario que la estableció.

WMIC en equipos remotos: Windows Management Instrumentation

Tue, 15 Jan 2019 20:00:00 +0000

Si nos surgen problemas para la ejecución de sentencias WMIC en máquinas o nodos remotos, mostraré los errores más comunes y como solucionarlos.

Un error puede ser que no estén habilitadas las llamadas a procedimientos remotos (RPC).

Error:
Descripción = El servidor RPC no está disponible.

Figura 1: Error - “El servidor RPC no está disponible” (wmic).

Otro error común podría ser la falta de permisos para ejecutar WMIC en nodos remotos.

Transferir roles FSMO en Windows Server y purgar servicios de Active Directory

Thu, 27 Dec 2018 22:30:00 +0000

Los roles de maestros de operaciones FSMO (Flexible Single Master Operations) es una característica de Active Directory. Se trata de un conjunto de tareas de un controlador de dominio usadas principalmente para la replicación entre controladores de dominio.

Existen 5 roles FSMO en un Active Directory:

Schema Master (Maestro de Esquema). Uno por Bosque.
Domain Naming Master (Maestro de Nomenclatura de Dominios). Uno por Bosque.
RID Master - Relative Identifier Master (Maestro Identificador Relativo). Uno por Dominio.

Docker Cheat Sheet: comandos y guía de referencia

Tue, 11 Dec 2018 20:00:00 +0000

Llevo una temporada trabajando con el sistema de contenedores de Docker, poco a poco fui recopilando los comandos de Docker que iba utilizando a través de su web oficial.

Creé un repositorio para irlo actualizando paulatinamente con la referencia de estos comandos de Docker.

https://github.com/adrianlois/Comandos-Docker-Cheat-Sheet

En la medida de lo posible iré actualizando esta entrada con el nuevo contenido que vaya incorporando al repositorio de Github.

Instalación Docker en Ubuntu 18.04 Link to heading

Instalación Docker Link to heading

Actualizar los repositorios existentes.

Docker Swarm en AWS con Auto Scaling Groups y Elastic Load Balancing

Thu, 06 Dec 2018 14:45:00 +0000

Implementación de Docker Swarm en Amazon Web Services usando Auto Scaling Groups y Elastic Load Balancing Link to heading

En esta entrada quiero hacer referencia al proyecto de fin de curso del ciclo superior de Administración de Sistemas Informáticos y Redes que presenté en Noviembre de 2018.

Saludos!

Montar FTP/FTPS remoto en Linux con CurlFtpFS y SSHFS

Fri, 16 Nov 2018 21:22:00 +0000

Para montar una carpeta de un directorio FTP o FTPS remoto en un sistema Linux y acceder a ella de forma local como un volumen más del sistema. Se puede usar CurlFtpFS o SSHFS.

CurlFtpFS Link to heading

CurlFtpFS lo usaremos si no disponemos de conexión SSH hacia el servidor FTP remoto (la transferencia de datos es más lenta).

Instalamos curlftpfs.

sudo apt install curlftpfs

Creamos el directorio en el que montaremos el FTP/FTPS.

Credenciales almacenadas en caché de RDP: riesgos y mitigación

Sat, 03 Nov 2018 18:23:00 +0000

En el artículo anterior había comentado sobre la Gestión y recuperación de credenciales almacenadas en recursos y servicios de Windows. En relación a esto quiero abordar el caso concreto del almacenamiento de credenciales en caché para el servicio de RDP, su comportamiento por defecto, riesgos de seguridad que esto supone y cómo mitigarlos correctamente.

Windows permite de forma predeterminada que el cliente de Escritorio Remoto (RDP) recuerde las credenciales introducidas en sesiones previamente establecidas.

Gestión y recuperación de credenciales almacenadas en Windows

Fri, 12 Oct 2018 10:57:00 +0000

Siguiente artículo relacionado:

Credenciales almacenadas en caché en RDP: Comportamiento por defecto, riesgos de seguridad y mitigación

Existen varias formas de poder visualizar las credenciales dominio\usuario y password de los recursos de red almacenados, servicios de RDP entre otro tipo de credenciales almacenadas de Windows.

Para que este almacenamiento sea posible debemos tener habilitado y en ejecución (por defecto ya suele estarlo) el servicio de “Administrador de credenciales” (VaultSvc) que proporciona el almacenamiento seguro y recuperación de credenciales de usuarios.

Seguridad Wi-Fi: fuerza bruta al sistema WPA (Wi-Fi Protected Access)

Wed, 15 Aug 2018 08:00:00 +0000

Actualmente ya hay suficiente información sobre este tipo de técnicas de ataque para comprometer la seguridad de redes WPA.

Recientemente he tenido que realizar una auditoría a redes Wi-Fi y revisando entradas del blog aún no había comentado nada sobre esto por lo que a modo de guía comentaré el procedimiento habitual en un conocido y funcional ataque de deautenticación (Wi-Fi deauth attack) donde habrá que desconectar a un cliente previamente conectado a la red que vamos a realizar el ataque, capturar el WPA handshake y finalmente aplicar fuerza bruta al fichero de captura de tráfico .cap obtenido.

Túnel SSH con PuTTY para RDP (local port forwarding)

Wed, 01 Aug 2018 19:57:00 +0000

Un túnel SSH se utiliza principalmente para tunelizar tráfico sobre internet o sobre una red local de una manera segura. Podemos encapsular un tipo de protocolo sobre una conexión establecida SSH (Secure SHell).

Supongamos que nos queremos conectar a un servidor interno de una red local a través de Internet, pero el firewall de la compañía restringe las conexiones origen dirigidas a determinados puertos, entre ellos el 3389 (puerto por defecto usado para RDP), sin embargo si permite conexiones al puerto 22 (puerto por defecto para SSH).

Licencias RDP entre Windows Server 2016 y Windows Mobile (RDM, Windows CE, RDP 5.x/6.x)

Thu, 19 Jul 2018 19:30:00 +0000

Actualmente RDP (Remote Desktop Protocol) está en versión 10.x y versiones más actualizadas que incluyen importantes mejoras de seguridad. Mejoras como una mayor longitud de clave generada por el servidor de licencias RDS 4096 bits con un algoritmo de seguridad SHA256 soportando SSL/TLS y NLA (Network Level Authentication).

Versiones iguales o inferiores a RDP 6.x no soportan las características anteriores. El límite de longitud para las claves es de 2048 bits con algoritmo de seguridad SHA1 (Secure Hash Algorithm 1).

Ver passwords Wi-Fi almacenadas en Windows (netsh wlan)

Wed, 11 Jul 2018 19:30:00 +0000

Cada vez que desde nuestro equipo Windows nos conectamos a una red inalámbrica WiFi y recordamos la password de identificación de la red, esta se almacena en el sistema.

Con el uso de la utilidad de comandos netsh (en la sección de wlan) podemos visualizar las redes que tenemos almacenadas y también la password de acceso que en su momento le indicáramos para autenticarnos en dicha red.

Visualizar los nombres de las redes almacenadas por Windows en el equipo.

Servidores y modo de licencias CAL de Servicios de Escritorio Remoto (RDS)

Mon, 09 Jul 2018 19:00:00 +0000

Este ejemplo sería aplicable para un entorno en la que disponemos de varios Windows Server. Uno de ellos será el que tendrá el rol instalado de Administrador de licencias de Servicios de Escritorio remoto (RDS - Remote Desktop Services) en el que instalaremos licencias CAL (Client Access Licenses) ya sean por usuario o por dispositivo.

En este caso habrá 5 licencias CAL por usuario para RDS.

Exportar certificados no-exportables a PFX (PKCS #12) con Jailbreak y Mimikatz

Wed, 04 Jul 2018 19:30:00 +0000

En el momento de importar un certificado digital, ya sea para el usuario actual (certmgmt.msc) como para el equipo (certlm.msc), tenemos la opción de establecer dicho certificado como exportable. Esto nos permite exportar el certificado (clave pública) con la clave privada en un mismo fichero en formato pfx.

Más información sobre algunos tipos de formatos de certificados.

Figura 1: Checkbox “Marcar clave como exportable” al importar un certificado digital.

Crear un punto de acceso Wi-Fi (WAP) desde Ethernet (IEEE 802.3)

Mon, 25 Jun 2018 18:24:00 +0000

En esta entrada se detalla el procedimiento de creación para una zona Wifi a través del adaptador de red cableada de Windows, compartiendo la conexión de este al adaptador inalámbrico que hará de WAP (Wireless Access Point) y puente de conexión.

Será necesario disponer de dos tarjetas de red, una conectada a través de una conexión cableada Ethernet 802.3 y otra tarjeta inalámbrica ya sea mediante un zócalo interno PCI o conectada por un USB.

Volcado de hashes NTLM y contraseñas en plano con Mimikatz

Fri, 08 Jun 2018 19:30:00 +0000

Mimikatz es una herramienta archiconocida de cracking que nos permitirá la obtención de contraseñas de usuarios de un sistema. Nos volcará (dumping) las contraseñas en texto plano y los hashes de la SAM (Security Account Manager).

Hay mucha información al respecto sobre esta tool y como sacarle un buen partido. Más info: https://adsecurity.org/?page_id=1821

De todos modos, no había hablado de ella hasta ahora. Recientemente tuve que hacer uso de ella para conocer la password de unos usuarios locales creados en un sistema. Comprobé que aún seguía funcionando para Windows 10 como lo hacía para Windows 7 ya que el desarrollador fue actualizando esta herramienta.

Nmap dhcp-discover: descubrir servidores DHCP en una red

Mon, 07 May 2018 20:30:00 +0000

El protocolo de red DHCP (Dynamic Host Configuration Protocol) permite la asignación de configuración IP, como mínimo la dirección IP y máscara de red, en una arquitectura cliente/servidor. Si un equipo cliente tiene una configuración en su interface de red en modo automático, el cliente solicita una configuración IP de red si existe un servidor DHCP en la misma red este ofrece asignando una configuración de direccionamiento IP en el cliente que realizó la solicitud.

Log del firewall de Windows en tiempo real (pfirewall.log)

Sun, 11 Mar 2018 19:49:00 +0000

Para poder ver el log del firewall de Windows en tiempo real primero tendremos que habilitar la creación y almacenamiento del log.

Windows le asigna el nombre por defecto pfirewall.log ubicado en %systemroot%\System32\LogFiles\Firewall\pfirewall.log.

Para configurar el log del firewall (firewall.cpl) nos vamos a las propiedades avanzadas de WFAS (Windows Firewall Advanced Security), eligiremos el perfil en el que se registrará el log y lo personalizamos, especificando un path en el que se almacenará el registro de log o simplemente dejaremos el que Windows establece por defecto. Opcionalmente podemos registrar los paquetes descartados y/o los paquetes correctos.

Descifrar tráfico SSL/TLS en Wireshark con la clave privada

Wed, 13 Sep 2017 10:00:00 +0000

Para poder descifrar tráfico SSL/TLS necesitamos la clave privada sin passphrase del certificado digital del servidor. No se trata de ningún “hack mágico” con el que podremos descifrar el tráfico SSL/TLS.

Si necesitamos analizar el tráfico de un servidor al que tenemos un acceso legítimo, este es un método que nos permitirá poder ver en texto plano todo el tráfico cifrado que pasa por el servidor con el fin de detectar posibles anomalías en una red local.

OpenSSL: convertir certificados digitales (PFX, CSR, PEM, CRT, CER) y clave privada

Sat, 09 Sep 2017 18:29:00 +0000

En Windows Server cuando se genera un certificado autofirmado por el propio servidor este se puede exportar por defecto en formato .pfx. Los certificados en formato .pfx contienen tanto la clave pública como la privada.

Tipos de formatos más frecuentes de certificados Link to heading

.CSR (Certificate Signing Request): Sería el archivo generado normalmente por el servidor que usará el certificado SSL. El CSR contiene información relativa a la organización.
.KEY: Es el archivo de clave privada para cifrar las solicitudes.
.DER (Distinguish Encoding Rules): Suelen tener la extensión CRT o CER. Es un tipo de codificación de certificados X.509, NO un tipo de certificado. Es un formato binario o raw.
.CRT .CERT .CER .PEM (Privacy Enhanced Mail): Ambos son usados indistintamente. .pem contiene el certificado y la clave, mientras que un fichero .crt solo contiene el certificado. Generalmente codificado en Base64, encerrado entre “—BEGIN CERTIFICATE—” y “—END CERTIFICATE—”.
.CRL (Certificate Revocation List): Fichero que contiene una lista de revocación de certificados.
.P7B .P7C: Estructura PKCS#7 SignedData sin datos, solo certificado(s) o CRL(s)
.PKCS12 (PKCS #12) .P12 .PFX: Se usa en servidores Windows. Contiene todos los archivos en un único archivo, tanto la clave pública como la clave privada asociada, generada por el servidor en el momento en el que se generó el CSR.

Si necesitamos extraer la clave privada podemos usar OpenSSL el cual utilizará uno de los estándares de criptografía PKCS (Public-Key Cryptography Standards) concretamente PKCS#12 (formatos .PFX) que define un formato de fichero usado comúnmente para almacenar claves privadas con su certificado de clave pública protegido mediante clave simétrica (es decir, una passphrase o contraseña).

Administrar permisos de un servicio de Windows sobre un objeto

Sun, 06 Aug 2017 08:00:00 +0000

Definimos objeto a un fichero, carpeta, unidad, etc. Todo aquello en lo que se puedan administrar permisos NTFS en el caso de Windows.

Con los permisos NTFS de Windows podemos gestionar las DACL (Discretionary Access Control List) son listas de control de acceso discrecional en las que se pueden controlar quien es el propietario de un objeto y especifica quién tiene permiso y quién no para acceder a dicho objeto.

Sabemos que se pueden conceder DACL a usuarios locales del sistema, de un dominio, equipos o grupos de usuarios sobre uno o varios objetos (ficheros, carpetas o unidades).

Cómo protegerse de ataques ARP Spoofing

Thu, 03 Aug 2017 08:00:00 +0000

Siguiendo el tema de las entradas en las que comenté los ataques MITM en la tabla ARP.

El éxito de esta técnica de ataque radica en que dentro de una misma red local es posible la suplantación de la dirección MAC de la puerta de enlace, por la dirección MAC del atacante en la tabla ARP del equipo atacado. De modo que todo el tráfico que se genere desde en el equipo atacado será interceptado por el equipo atacante y este a su vez lo redireccionará a la dirección de la puerta de enlace legítima de la red local, de esta manera el equipo atacado no será consciente de que su tráfico de red se esté monitoreando, a menos que este consulte su tabla ARP (arp -a).

Fuerza bruta en ficheros .kdbx de KeePassX

Sat, 29 Jul 2017 11:42:00 +0000

KeePassX es una aplicación para la gestión de contraseñas. Es una derivación de KeePass Password Safe pero en su versión GNU GPL. Creando un nuevo almacén (fichero base de datos), al que vincularemos con una contraseña maestra, podemos guardar usuarios y contraseñas asociadas a determinados servicios, estos “almacenes” se guardan en un fichero .kdbx en el caso de KeePassX y ficheros .kdb en el caso de KeePass. De este modo con acordarnos de una única contraseña tendremos acceso a las demás.

Automatizar backups FTPS con WinSCP, Batch, PowerShell y 7zip

Tue, 18 Jul 2017 08:00:00 +0000

Hace tiempo que quería comentar el tema de como hago mis copias de seguridad de la información personal. Intentaré explicar de forma detallada y clara todo el proceso.

Repositorios Github:

Se pueden realizar copias de seguridad de una manera u otra. Ya sea copiando directamente la información a algún medio extraíble, subiéndola a algún servicio de almacenamiento cloud, copias redundantes en ambos medios, etc. A su vez, cuantas más medidas de seguridad se tomen para cada una de estas técnicas, más segura estará la información, pero también más “pasos” habrá que desencadenar para llegar a ella.

Ataques MITM: ARP Poisoning y DNS Spoof con arpspoof (Parte 2/2)

Tue, 11 Jul 2017 07:00:00 +0000

Esta vez comentaré prácticamente lo mismo pero realizando el ataque desde una terminal de forma manual, sin una GUI. Desde una distribución Kali Linux usando arpspoof y el plugin DNS_Spoof de Ettercap, también desde la terminal.

El equipo atacante (KaliLinux) tendrá que “hacer de router” por lo que se tendrá que habilitar ip_forward para enrutar todo el tráfico que llegue a él. De modo que deje salir a la puerta de enlace original todo el tráfico de la víctima. Si esto no se hiciese la víctima se daría cuenta de que algo extraño sucede ya que se quedaría sin conexión a Internet.

Ataques MITM: ARP Poisoning y DNS Spoof con Ettercap (Parte 1/2)

Sun, 09 Jul 2017 18:56:00 +0000

Existen múltiples utilidades para realizar técnicas de ataques Man In The Middle (MITM). Es un tema que está más que documentado en Internet. En una anterior entrada ya comenté en qué consisten y como realizar estos ataques desde Cain & Abel en entornos Windows.

Permitir ejecuciones remotas con cualquier usuario en C$ (LocalAccountTokenFilterPolicy)

Sat, 25 Jun 2016 11:33:00 +0000

En Windows existen ciertos recursos compartidos establecidos por defecto con intenciones administrativas. Entre ellos está el conocido C$ (C dolar, el símbolo “$” indica que se trata de un recurso que el sistema mantiene “oculto”), que seguramente muchos usaríamos para poder conectarnos al equipo remoto de una red de forma subyacente al usuario de ese equipo, básicamente tener acceso a su disco del sistema C: (letra de unidad asignada por defecto en sistemas Windows).

Restablecer password de root y bypass login Linux: shell con GRUB y cómo evitarlo

Tue, 10 May 2016 10:49:00 +0000

Me he dado cuenta de que no tenía ninguna publicación al respecto sobre esto. Se trata de un viejo trick ya conocido por la comunidad, hace un tiempo ya publicara algo similar, pero en esta ocasión lo comento en más detalle y el cómo protegerse de este tipo de técnica de bypass login en sistemas Linux.

Si tenemos acceso físico a la máquina o al hipervisor de una máquina virtual Linux, para poder restablecer la password de root, dejarla en blanco o cualquier otra acción privilegiada como acceder a los volúmenes del sistema para realizar un volcado o copia de los ficheros /etc/passwd y /etc/shadow con el fin de realizar un cracking de contraseñas por fuerza bruta a sus hashes, es aprovechar un pequeño hack -si se puede llamar así- usando el gestor de arranque múltiple GNU Grub (multiboot boot loader).

Shadow Explorer: recuperar información de instantáneas (VSS)

Sun, 13 Mar 2016 23:36:00 +0000

Shadow Explorer es una herramienta gratuita en la cual podemos recuperar información a través de instantáneas creadas en el tiempo gracias a la habilitación de protección del sistema de Windows.

Nos permitirá seleccionar determinadas fechas (en las que se establecieron las instantáneas) recuperar información de ficheros/directorios en puntos del sistema. Simplemente seleccionamos la unidad, la fecha y buscamos el directorio a examinar para recuperar dichos datos y con el botón derecho los restauraremos en su ubicación original donde habían sido borrados.

Steghide: esteganografía ocultando información en imágenes y audio

Mon, 08 Feb 2016 09:56:00 +0000

Steghide es una herramienta para esteganografía la cual nos permitirá ocultar determinada información dentro de otra.

Es compatible con sistemas Windows y Linux. Por lo que la descargaremos y simplemente a través de la respectiva consola la ejecutaremos. Cuenta con un manual detallado para cada uno de sus modificadores.

Para incrustar información dentro de otra, de un texto a una imagen por ejemplo.

steghide embed -cf {PATH_IMAGEN} -ef {PATH_fichTexto}

Nos pedirá una contraseña para proteger el fichero raíz.

Hot Potato: Elevación de privilegios en Windows

Tue, 19 Jan 2016 02:22:00 +0000

El equipo de Foxglovesecurity.com hace pocos días ha publicado en su blog un exploit el cual desde un usuario de nivel bajo puede elevar sus privilegios dentro de un sistema hasta el nivel más alto. Haciendo uso de una pequeña herramienta de comandos que estos denominaron como “Hot Potato”.

Esto es posible debido a unos fallos de diseño de Windows que no están bien gestionados en el que se realizan tres ataques en uno. NBNS Spoofing (NetBios sobre TCP/IP o NetBios Name Service), WPAD (Web Proxy Autodiscovery Protocol) y HTTP > SMB NTLM Relay (autenticación NTLM de HTTP a SMB). Siendo posible que un usuario sin privilegios consiga una escalada de privilegios y obtenga el nivel de acceso “NT AUTHORITY\SYSTEM”.

DeepSound: esteganografía en ficheros de audio

Fri, 15 Jan 2016 10:00:00 +0000

La práctica o técnica de ocultación de información de mensajes u objetos dentro de otros se conoce como Esteganografía. En este caso orientado al mundo de la tecnología de la información, existen diversos tipos de esteganografía, aunque fundamentalmente en este blog hablaré en la mayoría de los casos de esteganografía por técnicas de software.

Para aquellos que hayan visto la serie Mr. Robot, el protagonista Elliot hace uso de una herramienta para ocultar información de ficheros de imagen en ficheros de audios que posteriormente graba en CD, esta aplicación solo funciona bajo sistemas Windows, por lo que en la escena de la serie que vemos esto Elliot arranca una máquina virtual de Windows bajo su Linux.

Configurar DDNS con No-IP para acceso remoto (Windows/Linux)

Wed, 04 Nov 2015 12:18:00 +0000

Hoy en día existe gran información en internet sobre cómo crear un DDNS (Dynamic Domain Name System), pero simplemente como apunte personal y con motivo de entradas posteriores que iré publicando, escribiré esta entrada para tenerla como referencia.

En una red convencional disponemos de un rango de IPs internas (LAN) los cuales hacen NAT para salir a otras redes externas hacia Internet, NAT traduce las peticiones de todas las direcciones IPs internas en una única dirección IP externa/pública la cual es proporcionada por nuestro ISP.

Privacidad expuesta por medio del feed de Picasaweb

Sun, 06 Sep 2015 22:28:00 +0000

Este simple y pequeño tip nos permite ver fotos de perfiles públicos en picasaweb.google.com un servicio que Google suele ofrecer sincronización con la cuenta de Google global del usuario.

Servicios que usemos de Google y en el cual compartamos de algún modo imágenes a través de ellos podrán ser publicadas de forma pública en picasaweb: La galería de imágenes del teléfono, Blogger, Hangouts, etc.

Simplemente si accedemos a un feed aleatorio como por ejemplo puede ser este.

Eliminar la caché de equipos en conexiones RDP

Wed, 26 Aug 2015 10:00:00 +0000

Si hemos realizado conexiones por Terminal Services (escritorio remoto) veremos que estas guardan o quedan cacheadas en el panel de conexión por escritorio remoto.

La caché guarda temporalmente los datos recientemente procesados de modo que la siguiente vez que nos queramos conectar a otro equipo lo tengamos más cómodo a la hora de introducir los datos necesarios.

Iniciar aplicaciones antes de la carga de perfiles de usuario

Sun, 23 Aug 2015 22:33:00 +0000

Si queremos iniciar una determinada aplicación en background antes de la carga de cualquier perfil de usuario, de modo que ya esté disponible cuando encendamos el equipo y nos aparezca la pantalla de bienvenida de Windows sin necesidad de iniciar sesión en la máquina local.

Vector clásico de persistencia
Modificar HKLM\...\Winlogon\Userinit es una técnica documentada de persistencia (MITRE ATT&CK T1547.004). Cualquier alteración será marcada por EDR/AV maduros y queda en logs forenses. Si lo usas como administrador legítimo, documenta el binario añadido y notifica al equipo de seguridad para evitar incidentes.

¿Cómo se procesan las GPO en un dominio? (Directivas de grupo)

Fri, 14 Aug 2015 07:42:00 +0000

Competencia entre contenedores.

Una GPO, como ya hemos visto anteriormente, puede ser contenida por equipos locales, sitios, dominios y unidades organizativas (en adelante OU).

Como un usuario, por ejemplo, estará en un equipo local que a su vez se ubicará en un sitio, pertenecerá a un dominio y será miembro de una OU se ve claramente que se puede dar el caso de que en el equipo local se aplique una GPO, en el sitio otra, otra para el dominio y otra para la OU (e incluso para la OU hija, de tercer nivel, etc.).

Registro de Windows desde CLI: estructura y jerarquía (regedit)

Tue, 07 Jul 2015 23:42:00 +0000

Dejo una estupenda guía muy detallada y extensa de “© Fernando Reyes López” es ya de 2005, pero al tratarse de una guía que habla sobre el registro de Windows y su interacción en consola no varía prácticamente nada en su uso hasta la fecha actual.

Debido a que no es una guía mía y es muy extensa mejor dejo el enlace directo a la propia web del autor:

http://freyes.svetlian.com/registro/registro.htm

Guía detallada de la estructura jerárquica del registro de Windows (regedit).

Ver fotos de perfiles privados de Facebook

Sun, 22 Feb 2015 10:00:00 +0000

Esta entrada ya la había publicado hace tiempo pero por ciertos motivos tuve que eliminarla, hoy por otros motivos y petición de ciertos usuarios decidí reabrirla.

Realmente con este método no se visualizan las fotos o publicaciones de perfiles privados de Facebook, sino que es una forma de ver las fotos etiquetadas, que le gustaron, comentarios en fotos, etc. de dichos perfiles privados.

Esto tampoco se puede considerar un fallo de seguridad de Facebook, pero sí a mi modo de ver una invasión de la privacidad de los usuarios que forman parte de esta red social.

PeStudio: analizar ejecutables .exe y .dll en busca de malware

Tue, 30 Dec 2014 11:04:00 +0000

PeStudio es un software gratuito si se destina a uso personal, el que nos permitirá ver y/o analizar ficheros .exe y librerías dinámicas .dll, entre otros ficheros.

En estos análisis nos muestra diversos aspectos de un fichero en los cuales podemos investigar para saber qué acciones realiza dicho fichero cuando lo ejecutamos, de este modo, podremos saber si se trata de un malware y en ese caso mirar qué acciones podría llevar a cabo.

WER (Windows Error Reporting): logs de crashes y bloqueos

Fri, 26 Dec 2014 12:27:00 +0000

En ocasiones ocurren inesperados crashes en aplicaciones o procesos del sistema que provocan a su vez comportamientos anómalos (cuelgues/congelados) en software de terceros.

Errores habituales del tipo: “explorer.exe dejó de responder”, “iexplorer.exe dejó de funcionar”, “ocurrió un error inesperado con outlook.exe, dejó de funcionar”, etc.

Para este tipo de casos y poder generar un log en el que podamos analizar por qué dicha aplicación se quedó bloqueada, es necesario habilitar el servicio Windows Error Reporting (WER) en los servicios de Windows, por defecto suele estar habilitado.

PNPUTIL: instalar controladores en el DriverStore de Windows

Thu, 11 Dec 2014 13:01:00 +0000

Pnputil.exe es una pequeña herramienta que se usa mediante una command prompt de manera sencilla.

Esta utilidad nos permite principalmente; agregar y/o eliminar drivers o controladores que están preinstalados en la base de datos de nuestro MS Windows.

Lo cual esto nos puede resultar útil si necesitamos instalar equipos en producción en un entorno corporativo en el que se disponen de múltiples modelos de impresoras. Podemos preestablecer en una imagen o maqueta del sistema estos drivers ya instalados como si se trataran de forma nativa en Windows. Y de este modo ahorrarnos el buscar/copiar el driver de dichas impresoras en el equipo en cuestión.

USBDeview y GhostBuster: información de dispositivos USB en Windows

Tue, 02 Sep 2014 12:25:00 +0000

USBDeview es una pequeña aplicación de nirsoft.net que nos muestra información muy detallada de los dispositivos USB conectados actuales o que en un pasado estuvieron conectados en un equipo.

Figura 1: Analizando dispositivos USB USBDeview.

Este tipo de información nos puede ser útil para análisis forenses mostrándonos información de dispositivos conectados en un pasado.

Aprovecho para comentar que la rama del registro de Windows donde podremos ver el ID y demás información de cada dispositivo USB conectado.

Cambiar IP remotamente de forma subyacente con PsExec

Wed, 19 Mar 2014 11:30:00 +0000

Ya hablé del conjunto de herramientas que componen el paquete PsTools desarrolladas por Mark Russinovich (Sysinternals), las cuales nos permiten entre otras cosas realizar administraciones a equipos remotos de una red.

En esta ocasión haré uso de una de estas herramientas. PsExec la cual nos permite ejecutar procesos de un equipo remoto. Por ejemplo; realizar comandos en una shell remota, estos comandos NO se verán remotamente, es decir, que se hace transparente al usuario final y/o remoto.

Analizar la carpeta Prefetch de Windows (ficheros .pf)

Sun, 09 Feb 2014 10:00:00 +0000

La carpeta Prefetch de Windows ubicada en el path C:\Windows\Prefetch, según Microsoft Windows, define esta carpeta de la siguiente manera.

“Cada vez que se enciende el equipo, Windows realiza un seguimiento de la forma en que se inicia el equipo y los programas que se abren habitualmente. Windows guarda esta información en una serie de pequeños archivos (de extensión .pf) en la carpeta Prefetch. La próxima vez que encienda el equipo, Windows recurrirá a estos archivos para acelerar el proceso de inicio.”

Descifrar msgstore.db.crypt de WhatsApp

Mon, 25 Nov 2013 13:45:00 +0000

En sus comienzos, Whatsapp guardaba los ficheros de bases de datos donde se almacenaban las conversaciones que tenemos con el resto de nuestros contactos, en formato SQLite sin cifrar. Es decir, que simplemente con cargarlo en SQLite se podría ver las conversaciones, teléfonos y demás, en texto plano. De modo que en caso de pérdida o robo del terminal nos podrían ver las conversaciones de forma muy sencilla.

Hace ya casi año y medio que Whatsapp debido a la inseguridad en estos ficheros y por protección de privacidad para los usuarios; Whatsapp lanzó una actualización en la que corrige este “descuido” encriptando dichos ficheros, dificultando así la simple visualización en plaintext de las conversaciones realizadas.

Crear servicios en Windows con sc (Service Controller)

Mon, 26 Aug 2013 07:43:00 +0000

Esta vez comentaré al igual que una de las últimas entradas en las que decía cómo crear servicios de Windows con Process Hacker, pero esta vez mostraré como hacerlo con una propia herramienta de Windows, la cual es mediante el uso del comando sc.exe (Service Controller) a través de la consola de comandos.

La estructura del comando sería del siguiente modo:

sc create [nombreDeServicio] [binpath=nombreDeRutaDeBinario]
[type={own|share|kernel|filesys|rec|adapt|interact type={own|share}}]
[start={boot|system|auto|demand|disabled}] [displayname=nombreDescriptivo]

Ahora explicaré cada uno de los parámetros utilizados.

Crear servicios de Windows con Process Hacker (sin sc.exe)

Fri, 16 Aug 2013 11:31:00 +0000

Probando algunos y nuevos task managers, de nuevo me reencontré con Process Hacker del que ya había hablado, volviendo a investigarlo un poco más a fondo he visto que se pueden crear servicios para Windows de algún proceso o fichero ejecutable e incluso añadirle parámetros después del path.

Una vez descarguemos e instalemos Process Hacker de forma gratuita. Lo ejecutamos y nos vamos a la opción de la barra de herramientas: Tools > Create service…

Reconstruir sistemas de ficheros FAT/FAT32/NTFS con TestDisk (rebuild & recovery)

Sun, 07 Jul 2013 14:14:00 +0000

Hace tiempo quería escribir esta entrada con respuesta a muchos comentarios que tuve en este otro artículo: Reparar tarjetas de memoria SD dañadas. Muchos decían que en sus PCs no reconocían las tarjetas de memoria, esto podría ser causa de que al corromperse dichas tarjetas pierden su sistema de ficheros ya sea FAT/FAT32 o NTFS.

Por eso a muchos usuarios cuando conectaban las tarjetas a su equipo Windows decía algo como: “La unidad no tiene formato, ¿desea formatearla ahora?”. Esto es lo que debemos evitar, nunca formateemos algo que queremos recuperar. Ya que lo que estaríamos haciendo sería sobrescribir los datos ya almacenados por espacios lógicos con valor “0” en el espacio de almacenamiento del dispositivo en cuestión, ya sean tarjetas de memoria, pendrives USB, HDDs externos, etc.

Restablecer la contraseña de la BIOS con CmosPwd

Sat, 15 Jun 2013 15:29:00 +0000

Hay diferentes formas de poder resetear o borrar la password de la BIOS, es decir que para lograr esto tendremos que reiniciar los valores por defecto de la BIOS, como puede ser retirar un pequeño “Jumper” que está situado al lado de la CMOS y que suele ya venir marcada por la placa como algo parecido a lo que se puede ver en la imagen “CMOS PSWD”. Y a continuación encender el equipo con este retirado y al entrar en la BIOS no nos pedirá ninguna contraseña.

Hardening en Windows: habilitar/deshabilitar recursos compartidos administrativos (C$, ADMIN$)

Mon, 10 Sep 2012 22:38:00 +0000

Windows crea una serie de recursos compartidos por defecto que están “ocultos”, pero que en realidad pueden ser accesibles de una forma muy sencilla mediante una ruta UNC tipo \nombreDeEquipo o dirección IP\nombreRecursoCompartido$. Por ejemplo para acceder al disco local del equipo remoto \\192.168.1.12\c$. Si en el equipo hay definido un usuario con password nos solicitará estas credenciales para poder acceder.

En entornos corporativos bajo un dominio Active Directory es habitual que el personal de TI use estos recursos compartidos administrativos para una gestión y administración de las máquinas. En equipos personales (que no estén unidos a un dominio) recomiendo deshabilitar los recursos compartidos administrativos si no son necesarios.

Tipos de firewall: stateless, stateful, SPI, AIC, DPI, NIDS, IDS/IPS, proxy

Sat, 09 Jun 2012 22:00:00 +0000

En el blog de Oscar Gerometta me encontré un estupendo artículo donde habla de los tipos de firewalls y en qué se basan los firewalls con y sin estado, SPI, AIC, DPI, IDS/IPS/IDPS y Proxy.

Después algunos apuntes a mayores que anoté y adaptarlo un poco comparto el artículo como apunte personal y para quien le pueda resultar de utilidad.

¿Qué es un firewall? Link to heading

Un firewall es un sistema que fuerza la implementación de políticas de control de acceso entre 2 o más dominios de seguridad.

Capturar tráfico remoto en Wireshark con rpcapd

Fri, 01 Jun 2012 12:33:00 +0000

Si estamos en una red local y queremos capturar y analizar todo el tráfico de datos que vaya dirigido a otro equipo de nuestra red, lo podremos hacer de manera remota. Con la utilidad de rpcapd.exe que está incorporado en las librerías de WinPcap y que nos permitirá capturar tráfico remoto que vayan dirigidos a otros hosts de la red.

Lo primero que hay que hacer es instalar WinPcap en el equipo remoto. Desgraciadamente no existe una forma “silenciosa” para instalar esto de forma subyacente al usuario final. Desde la web oficial los desarrolladores comentan que no habrá opción para esta tarea por problemas de compatibilidades de software. Por lo que tendremos que instalarlo manualmente en el equipo remoto con la GUI de instalación de WinPcap.

Ataques MITM: ARP Spoofing/Poisoning sobre IPv4 (Parte 2/2)

Sat, 26 May 2012 01:36:00 +0000

¿Cómo prevenir o evitar ataques MITM - ARP Spoofing/Poisoning? Link to heading

Una de las maneras para prevenir el ARP Spoofing de manera manual, es el uso de tablas de caché ARP de forma estática, de forma que no existe caché dinámica, cada entrada de la tabla mapea una dirección MAC con su correspondiente dirección IP.

Ataques MITM: ARP Spoofing/Poisoning sobre IPv4 (Parte 1/2)

Sun, 13 May 2012 22:34:00 +0000

En qué consiste un ataque MITM ARP “Man in the middle”? Link to heading

Los tipos de ataque “Man in the middle” (MITM) o también conocidos como “Hombre en el medio”, consisten en realizar una técnica de ataque pasivo, denominada: ARP Spoofing, ARP Poisoning o ARP Poison Routing (APR), y se lleva a cabo en redes LAN (Local Area Network) y WLAN (Wireless Local Area Network).

DNS Cache Snooping con nslookup: qué webs visita una organización

Sun, 29 Apr 2012 21:49:00 +0000

nslookup (Name System Lookup) podemos saber qué organizaciones tienen configurado un name server (ns) y qué páginas web visitan sus usuarios consultando de forma no recursiva la caché DNS del servidor de nombres.

Cuando un usuario desde su máquina quiere resolver un nombre de dominio mediante una petición DNS, éste pregunta al servidor DNS que tiene configurado. Si este tiene activada la caché, la busca y devuelve la consulta a la máquina del usuario, si el servidor no la tiene disponible en su caché DNS, que por defecto la almacena con un TTL (Time to live o Tiempo de vida) de unos 3.600 segundos (1 hora) aunque este tiempo es configurable en la administración del servidor DNS.

Escanear conexiones TCP/UDP de procesos del sistema

Sat, 25 Feb 2012 08:30:00 +0000

Para poder evitar ataques que consisten en el uso de puertos TCP o UDP para obtener información confidencial o simplemente para controlar la PC a través de algún malware de monitorización (como puede ser un troyano).

CloseTheDoor es una herramienta gratuita y OpenSource que nos muestra todos los puertos TCP y UDP abiertos del sistema, así como los procesos y aplicaciones que están conectados a ellos.

Mecanismos de transición IPv6

Sat, 10 Sep 2011 17:57:00 +0000

Cuando abrimos un símbolo de sistema o command prompt (cmd.exe) de Windows y ejecutamos el comando “IPCONFIG” seguido del subcomando /all = “IPCONFIG /all” y pulsamos Enter. Vemos que se nos muestran más adaptadores de red (lógicos) que los físicos que estén conectados en nuestro equipo.

Figura 1: Mecanismos de transición IPv6.

Diversos mecanismos de transición IPv6 Link to heading

Dual Stack Link to heading

Dual Stack: Es necesario que los host de una red operen bajo este mecanismo para desplegar y llevar a cabo la transición de direcciones a IPv6.

Restablecer la password de cualquier cuenta local de Windows (Sticky Keys)

Fri, 01 Jul 2011 16:14:00 +0000

Con esto se podrá recuperar la contraseña de los usuarios registrados en un equipo local sin necesidad obviamente de entrar en el sistema, de manera que no se tenga que introducir la clave anterior para restablecer una nueva passw, de modo que genera una nueva contraseña para el usuario en la que seleccionemos, incluido administradores locales. Así también como el poder manipular otras configuraciones adicionales.

Permisos NTFS y ACLs en usuarios y grupos de Windows

Sun, 24 Apr 2011 15:57:00 +0000

Modificar permisos a usuarios y a grupos sobre objetos, privilegios a cuentas de usuarios y administradores en Windows.

Tenía pensado dividir este artículo en varias partes, ya que es extenso, pero para no tener comentarios en unas entradas y otras sobre el mismo tema, he decidido incluir todo lo relacionado en el mismo post. Aparte, a la hora de buscar en buscadores y en el blog se reflejará toda la información en un mismo artículo.

GhostBuster: analizar y eliminar dispositivos USB en Windows

Thu, 27 Jan 2011 18:10:00 +0000

GhostBuster es una herramienta que detecta y elimina dispositivos conectados en un pasado y también los actuales.

Figura 1: Analizando dispositivos USB conectados en un pasado con GhostBuster.

Aquellos dispositivos que se conectaron y se autoinstalaron en Windows. Ya sean actuales o en un pasado. Esta herramienta resulta útil en análisis forenses y ver la marca, nombre, identificadores, drivers, etc. que han estado conectados en un computador.

Herramientas de esteganografía

Sun, 05 Dec 2010 19:00:00 +0000

Aunque la esteganografía es un arte antiguo, en el mundo digital se le ha dado un nuevo sentido, llevando la idea a nuevos formatos y desarrollando técnicas bastante avanzadas. Aún así, si pensamos en seguridad, la esteganografía por sí sola se queda pequeña, por lo que la mayoría de los programas actuales cifran los datos antes de incrustarlos. Actualmente deberíamos pensar en la esteganografía como una técnica complementaria a la criptografía.

La cantidad de formatos en los que se pueden esconder datos es inmensa, y las técnicas para hacerlo en cada uno de ellos también son variadas. Vamos a ver una pequeña recopilación de formatos que pueden ser contenedores de información oculta, y algunos programas que hacen esto posible.

Descifrar ficheros comprimidos: RAR, ZIP, ACE y ARJ

Mon, 08 Nov 2010 19:10:00 +0000

Advanced Archive Password Recovery desarrollada por elcomsoft es una herramienta que nos permitirá descifrar por medio de fuerza bruta (brute-force attack) archivos que están protegidos con una contraseña. Solo admite formatos tipo .rar, .zip, .ace o .arj. Puede usar su propio diccionario o se podrá especificar uno para realizar el ataque de fuerza bruta.

Figura 1: Advanced Archive Password Recovery - Fuerza bruta en fichero .zip.

Firesheep: hijacking de sesiones de usuario

Fri, 05 Nov 2010 19:05:00 +0000

Firesheep es una herramienta que podría ser utilizada para robar identidades según las propias palabras de su autor Codebutler. La herramienta, que fue presentada en la última Toorcon 12 en San Diego, permite capturar tráfico de una gran cantidad de sitios web que envían los datos sin cifrar.

Una vez instalada la extensión en Firefox (Mac OS y Windows, ya que por el momento no dispone de una versión para SO Linux), Firesheep permite el robo de credenciales de los siguientes sitios, en los que podemos ver en la captura, que nos deja Segu-Info:

Eliminar la password de la BIOS

Mon, 13 Sep 2010 18:05:00 +0000

Si queremos acceder a un equipo y dicho equipo tiene una contraseña en la BIOS, no vamos a poder entrar a ella y su configuración.

Para ello podemos utilizar determinados métodos, para borrar dicha password de la BIOS:

Una de las tantas utilidades de las que dispone Hiren’s BOOT CD. (Actualizo este post a fecha de Enero de 2016 con la nueva versión de Hiren’s BOOTCD). Esto es ideal para cuando podemos bootear un LiveCD a través del “Menú BOOT” y que este no nos solicite credenciales para poder hacer bootstrap a dispositivos externos.

Dentro de las opciones “BIOS/CMOS Tools” tendremos un conjunto de herramientas, entre ellas: BIOS Cracker y Kill CMOS.

Cambiar la fecha y hora de archivos o carpetas (timestomping)

Fri, 06 Aug 2010 19:00:00 +0000

Bulk File Changer de Nirsoft podremos modificar la metadata de fechas de los archivos o carpetas. Podremos restaurar la fecha y hora original.

Figura 1: Bulk File Changer - cambiar fecha y hora de archivos o carpetas.

Restamper otra utilidad que nos va permitir cambiar la fecha y hora de cualquier archivo o carpeta. Podremos restaurar la fecha y hora original.

Tipos de Malware y clasificación de Virus Informáticos

Wed, 21 Apr 2010 21:11:00 +0000

Este artículo tiene la intención de comprender en aspectos básicos las asociaciones de los diversos términos para las amenazas relacionadas con el Malware o Badware. Y de ese modo conseguir una mayor comprensión sobre el tema.

Esta info fue recopilada de diversos espacios webs y adaptada en este artículo con el fin de tener así una recopilación en una misma entrada.

Tipos de Malware/Badware Link to heading

Troyanos: No es propiamente un virus como tal, ya que no se replica ni tampoco intenta infectar a otros archivos, sino que es un programa malicioso, como veremos a continuación. Existen multitud de malwares Troyanos y métodos de “troyanización”. La tarea que realizan esta clase de aplicaciones es la de introducirse en la computadora víctima mediante el engaño. Para ello, los desarrolladores de los mismos introducen en una aplicación aparentemente inofensiva un segundo programa, es decir el troyano propiamente dicho, el cual instalará en nuestra PC el código necesario para cumplir con las tareas especificadas por su creador. Las acciones que pueden ser desarrolladas por estos troyanos incluyen la apertura de puertos de nuestra computadora, para permitir que cualquier intruso controle nuestros movimientos de forma remota. Así como también recolectar y enviar cualquier dato sensible que podamos tener a resguardo en nuestro equipamiento informático. Asimismo pueden contener bombas lógicas, las cuales ejecutarán su código malicioso al cumplirse cualquier condición que haya establecido su programador. Un aspecto muy importante a tener en cuenta es la peligrosidad de estos programas. De forma similar a los virus, estos tienen la capacidad de destruir de manera permanente cualquier archivo, además de inutilizar por completo la información guardada en el disco rígido.

Posts on Adrián Lois

Análisis y detección de Hoaxshell: ¿una shell indetectable?

Hoaxshell: obteniendo una shell remota Link to heading

Port Knocking: mejorar la seguridad en conexiones SSH

2FA: segundo factor de autenticación en conexiones SSH

KrbRelayUp PrivEsc: escalada de privilegios en AD y mitigación

Microsoft LAPS: evitar movimientos laterales en Active Directory

Entendiendo el riesgo de seguridad y escenarios comunes en las organizaciones Link to heading

Apache Log4j: vulnerabilidades de Log4Shell

Detectar, alertar y bloquear fuerza bruta a RDP

Seth: Ataques MITM a conexiones RDP y mitigación

Firmar scripts PowerShell [Parte 2 de 2]: hardening con CA ADCS y despliegue por GPO

Firmar scripts PowerShell Link to heading

Wynis: auditoría de seguridad para Windows y Active Directory

Firmar scripts PowerShell [Parte 1 de 2]: hardening de ExecutionPolicy

Firmar scripts PowerShell Link to heading

Instalar RSAT en Windows 10 cuando WSUS bloquea la descarga

Instalar actualizaciones .msu en Windows con expand y DISM

Restringir el inicio de sesión RDP a Administradores y usuarios específicos (hardening)

Shellter y Veil-Evasion: evasión de antivirus ocultando shellcodes

Netcat: conexiones directas e inversas, shells y banner grabbing

Pivoting entre proxys encadenados con Proxychains

Hydra, Medusa y Ncrack: password cracking por fuerza bruta y password spraying

Password cracking en hashes Linux (John The Ripper y Hashcat)

FakeLogonScreen: phishing de credenciales locales o Active Directory con bloqueo de pantalla falso

Riesgo del periodo de gracia de sudo en Linux: hardening contra cambio de contraseña root

Herramientas para enumeración pasiva de subdominios (OSINT)

Bypass UAC: DLL injection en taskmgr.exe + fileless eventvwr.exe (PoC)

Bypass UAC tipo DLL Hijacking Link to heading

Fingerprinting con PowerShell + exfiltración a FTP (Vídeo PoC)

Bypass UAC Fileless usando AppPaths sdclt.exe

Política de contraseñas en Linux: login.defs y pam_pwquality

Estructura del fichero /etc/shadow Link to heading

sshuttle: Múltiples túneles SSH y VPN (Proxy transparente)

Post-explotación: movimiento lateral con Pass-the-Hash (PtH)

¿Qué es un movimiento lateral usando técnicas Pass the hash? Link to heading

Explotación local: escalada de privilegios de 0 a SYSTEM con Metasploit

Hardening Linux: ACLs en directorios y ficheros (setfacl y getfacl)

Active Directory: auditar cambios en cuentas de usuario (ID de eventos)

Auditar inicios de sesión erróneos (ID 4625) y notificar vía email

Pivoting con Metasploit: route, portfwd y portproxy

Password cracking de hashes NTLM (ntds.dit) en Active Directory

Backups locales a Amazon S3 con AWSCLI (PowerShell y Bash)

WMI Explorer: restricción con filtros WMI en GPO y querys en SCCM

Compartir recursos con Samba sin auth entre Linux y Windows

Renovar SSL: comprobar coincidencia certificado/clave/CSR (OpenSSL)

CA Bundle Link to heading

nping: Aplicando Reverse ARP de forma práctica (RARP)

fail2ban: control de ataques de fuerza bruta en servicios Linux

Migración FRS → DFSR en controladores de dominio Windows Server (dfsmig)

Elevar el nivel funcional Link to heading

Fallos de replicación FRS/DFSR en Active Directory: forzar sincronización (Burflags)

Replicación FRS y DFSR Link to heading

Gestión de backups CIFS a servidor FTP remoto con rsync

vSphere Web Client: opciones deshabilitadas en la VM

NETSH portproxy: Port forwarding local en Windows

Plink SSH: auto-aceptar hostkey al crear túnel local port forwarding

Resetear password SSO Administrator@vsphere.local en vCenter (VCSA)

Túnel SSH Port Forwarding: Local, Remote y Dynamic [Explicado]

¿Qué es SSH? Link to heading

Cifrar passwords con PowerShell

Crear passwords cifradas con PowerShell para usar desde el mismo usuario Link to heading

WMIC en equipos remotos: Windows Management Instrumentation

Transferir roles FSMO en Windows Server y purgar servicios de Active Directory

Docker Cheat Sheet: comandos y guía de referencia

Instalación Docker en Ubuntu 18.04 Link to heading

Instalación Docker Link to heading

Docker Swarm en AWS con Auto Scaling Groups y Elastic Load Balancing

Implementación de Docker Swarm en Amazon Web Services usando Auto Scaling Groups y Elastic Load Balancing Link to heading

Repositorio Github Link to heading

Documentación del proyecto Link to heading

Presentación Slides Link to heading

Video demo de la prueba de concepto (PoC) Link to heading

Montar FTP/FTPS remoto en Linux con CurlFtpFS y SSHFS

CurlFtpFS Link to heading

Credenciales almacenadas en caché de RDP: riesgos y mitigación

Gestión y recuperación de credenciales almacenadas en Windows

Seguridad Wi-Fi: fuerza bruta al sistema WPA (Wi-Fi Protected Access)

Túnel SSH con PuTTY para RDP (local port forwarding)

Licencias RDP entre Windows Server 2016 y Windows Mobile (RDM, Windows CE, RDP 5.x/6.x)