Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Ingenia en #XIIIJORNADASCCNCERT: El mito de la tecnología

51 views

Published on

Ponencia de Jesús Damián Angosto, Auditor de seguridad y análisis forense, y Raúl Morales, Pentester, expertos de Ciberseguridad en Ingenia.
Se presentan casos prácticos y análisis de vulnerabilidades reales que denotan la importancia de blindar los sistemas de seguridad/tecnología en las organizaciones.
Ingenia acudió como patrocinador estratégico a estas "XIII Jornadas STIC CCN-CERT: Comunidad y confianza, bases de nuestra Ciberseguridad", organizada por CCN-CERT el pasado 11-12 de diciembre en Kinépolis (Ciudad de la Imagen), Madrid.

Published in: Technology
  • Be the first to comment

Ingenia en #XIIIJORNADASCCNCERT: El mito de la tecnología

  1. 1. El mito de la tecnología
  2. 2. Jesús Damian Angosto Iglesias Auditor de seguridad y análisis forense en Ingenia jdangosto@ingenia.es
  3. 3. Raúl Morales Ramírez rmorales@ingenia.es Pentester en Ingenia
  4. 4. Marcos de referencia y buenas prácticas • ENS + guías STIC • ISO 27000 • NIST 800-53 • LPIC (en caso de infraestructuras críticas) CONTROLES ISO 27002 DOMINIOS DE CONTROL SGSI Fuente: AENORFuente: CCN-Cert
  5. 5. ¿Dónde se encuentra el equilibrio? Negocio Operación Funcionalidad Seguridad
  6. 6. Medidas de protección IDS WAF Firewall Antivirus EMM
  7. 7. Ataques
  8. 8. Estadísticas QUÉ MEDIDAS HABÍA EN LOS SITIOS QUE HEMOS AUDITADO PROTECCIÓN PERIMETRAL 100% ANTIVIRUSPROTECCIÓN ENDPOINT 80% ANTIVIRUS POLÍTICA DE ACTUALIZACIONES 70% ANTIVIRUSPOLÍTICA DE ACCESOS 70% ANTIVIRUSPOLÍTICA DE CONTRASEÑAS 80% ANTIVIRUSOTRAS 60%
  9. 9. Estadísticas PROTECCIÓN PERIMETRAL 100% ANTIVIRUSPROTECCIÓN ENDPOINT 80% ANTIVIRUS POLÍTICA DE ACTUALIZACIONES 70% ANTIVIRUSPOLÍTICA DE ACCESOS 70% ANTIVIRUSPOLÍTICA DE CONTRASEÑAS 80% ANTIVIRUSOTRAS 60% QUÉ MEDIDAS HABÍA EN LOS SITIOS QUE HEMOS AUDITADO
  10. 10. ESCENARIO CASO PRÁCTICO 1. Redes inalámbricas configuradas (invitados y corporativa) 2. Cortafuegos en el perímetro 3. Antivirus en los endpoint 4. Sistemas actualizados 5. Dos controladores de dominio con relación de confianza
  11. 11. Situación: estamos conectados a la red WIFI de invitados, y detectamos que podemos acceder a la red corporativa Primera Fase: lograr información del sitio CASO PRÁCTICO
  12. 12. ¿Cuáles son los servidores del dominio?
  13. 13. ¿Cuáles son los servidores del dominio?
  14. 14. Situación: Estamos dentro, y sabemos cuáles son los controladores del dominio Segunda Fase: Lograr un usuario válido en el dominio CASO PRÁCTICO
  15. 15. Obtención de usuario válido en el dominio Diccionario de usuarios
  16. 16. Obtención de usuario válido en el dominio Preguntamos a kerberos… y kerberos responde. Tenemos tres candidatos!!!
  17. 17. Situación: Tengo tres usuarios válidos en el dominio Tercera Fase: Lograr credenciales CASO PRÁCTICO
  18. 18. Obtención de credenciales de usuarios en el dominio Diccionario de claves
  19. 19. Prueba de fuerza bruta. Podemos hacerlo!!! No hay configuración de bloqueos por reintento… y logramos una contraseña válida Obtención de credenciales de usuarios en el dominio
  20. 20. Situación: Tengo un usuario válido y su contraseña… pero no tiene privilegios Cuarta Fase: Escalada de privilegios CASO PRÁCTICO
  21. 21. Obtención de credenciales privilegiados en el dominio Con un usuario válido consultamos por el resto de usuarios del Dominio. Nos llaman la atención los usuarios “mantenimiento” y “admingenia”… a por el primero!!!
  22. 22. Obtención de credenciales privilegiados en el dominio Diccionario de claves
  23. 23. De nuevo prueba de fuerza bruta… y logramos una contraseña válida Obtención de credenciales privilegiados en el dominio
  24. 24. Este usuario permite acceso por escritorio remoto… tiene privilegios, es administrador LOCAL de cualquier máquina, pero no es administrador del Dominio Obtención de credenciales privilegiados en el dominio
  25. 25. Situación: Tengo un usuario válido privilegiado y acceso a una máquina en el Dominio Quinta Fase: A por el administrador del Dominio CASO PRÁCTICO
  26. 26. Obtención de credenciales administradoras en el dominio Desde la máquina en el dominio, accedemos a nuestro equipo que está en la red de invitados, para usar un “bichito” que hemos preparado
  27. 27. Obtención de credenciales administradoras en el dominio Lanzamos nuestro “bichito” pero nos lo cazan 
  28. 28. Obtención de credenciales administradoras en el dominio Pero si lo lanzamos desde la unidad X (en realidad accedemos al nuestro equipo)…. El antivirus no se entera y puedo lanzarlo 
  29. 29. Obtención de credenciales administradoras en el dominio El bichito nos permite utilizar herramientas de hacking en diferido. Y se ejecuta “mimikatz” que entre otras cosas, permite obtener contraseñas almacenadas en la máquina cuando fue dada de alta en el dominio
  30. 30. Obtención de credenciales administradoras en el dominio Se obtiene la contraseña en claro de el usuario admingenia
  31. 31. Obtención de credenciales administradoras en el dominio Y podemos acceder a un controlador del dominio como administrador… BINGO!!!! Este sí que es administrador del dominio
  32. 32. Situación: Tengo el administrador del dominio Última Fase: Hasta dónde puedo llegar? CASO PRÁCTICO
  33. 33. Salto de dominio Cuando intentamos hacer “login” en el segundo controlador, los usuarios no son válidos, pero se puede acceder por “rpc” y podemos listar los usuarios. Nos vuelve a llamar la atención “admmantenimiento”
  34. 34. Salto de dominio Probamos las contraseñas logradas en la primera fase del ataque y ¡¡coincide con la de admingenia!!. Se han reutilizado contraseñas y logramos acceso
  35. 35. Crear persistencia Aprovechando los permisos que tenemos, dejamos una puerta abierta…
  36. 36. Situación: Tengo acceso remoto con administrador del Dominio Acceso total con persistencia CASO PRÁCTICO FIN
  37. 37. Conclusiones Incumplimiento Estafa Sancionatorios Reputación RIESGOSMala segregación de redes ENS - mp.com.4 | (ISO/IEC 27002 – 13.1.3) Consola desatendidas ENS – op.exp.6 | ISO/IEC 27002 – 12.4.1 Política de contraseñas ENS – op.acc.5 & 6 | ISO/IEC 27002 – 9.4.3)
  38. 38. Conclusiones Sistemas actualizados Antivirus al día Protección Perimetral (Firewall) Llevaron a cabo un hacking para mejorar su sistema 
  39. 39. Conclusiones • La tecnología sin una correcta configuración y gestión, no protege por sí sola • El cumplimiento de los marcos normativos exigen que se tomen medidas para la correcta configuración del sistema • El análisis de vulnerabilidades como mecanismo de auditoría técnica no revela malas configuraciones
  40. 40. Conclusiones La Potencia Tecnología sin Control no sirve de Nada
  41. 41. ¡Gracias! El mito de la tecnología

×