El documento resume la experiencia de Jose Antonio Gonzales como especialista en seguridad. Tiene experiencia como analista de seguridad y pentester, desarrollando escenarios de prueba de concepto. También tiene experiencia implementando servicios de red y telecomunicaciones. Su agenda incluye una introducción al sistema de detección de intrusos Snort y demostraciones de detección de ataques de backdoor y SQLi usando herramientas como Katana, Empire, Burp Suite y SQLMap.
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
1.
2. JOSE ANTONIO GONZALES JURADO
Egresado en Redes y Comunicaciones de Datos
Instituto: Grupo IDAT.
Especialidad: Se desempeñacomo Security Analyst y Pentester.
Experimentado desarrollador de escenarios de seguridad para
pruebas de concepto. Implementador de servicios de Networking y
Telecomunicaciones.
Tiene experiencia en el Mercado de la Tecnologías de Seguridad,
Gestión y Análisis Múltiples amenazas que afectan al orden Mundial.
Experiencia en Multi-Plataformas de Seguridad ya sean SIEM /
Firewall / Balanceadores / Anti-Virus / Wireless / Layer 2 & Layer 3 /
IDS-IPS y etc.
3. Agenda
• Introducción al Sistema de Detección de Intrusos SNORT.
• Arquitectura de un IDS.
• Escenarios de Monitoreo de Seguridad.
• Pruebas de Conceptos.
• Detección de Ataques por Backdoor > (Katana-Framework & Empire
Bypass AV)
• Detección de Ataques por SQLi > (Burp Suite & SQLiPy Scan &
SQLMapper)
4. ¿Que es Snort ?
• Snort es un sistemade prevención de intrusiones ( IPS ) de red
de código abierto capaz de realizar análisis de tráfico en tiempo
real y registro de paquetes en redes IP . Puede realizar análisis de
protocolo, búsqueda de contenido y comparación, y puede usarse
para detectar una variedad de ataques y sondas,
como desbordamientosde búfer , escaneos de puertos ocultos,
ataques CGI, sondas SMB, intentos de huellas dactilares del
sistema operativo y más.
5. Snort se puede configurar de tres maneras:
oModo Sniffer: observará los paquetes de red y los presentará en la
consola.
o Modo de registrador de paquetes: registrará los paquetes en el disco.
o Modo de detección de intrusos: el programa monitoreará el tráfico de
la red y lo analizará contra un conjunto de reglas definido por el
usuario.
6. Estructura de un Sistema de Detección de
Intrusos
Un sistema IDS consiste en una serie de componentes discretos que se
comunican mediante el paso de mensajes. A grandes rasgos se pueden
identificar cuatro
componentes básicos:
o Generador de eventos (E-boxes)
o Motor de análisis (A-boxes)
o Unidades de almacenaje (D-boxes)
o Unidades de respuesta (R-boxes)
7. Diagrama de la arquitectura CIDF
Respuesta
Almacenamiento
Eventos
Análisis
8. Análisis Actual de la Empresas
o Las herramientas de seguridad con las que
cuentan no son suficientes debido a la
amplitud de la red y diversidad de
servicios.
o Cuando se produce un incidente de
seguridad, no se cuenta con información
suficiente para determinar cómo, cuándo, de
dónde y quién provocó dicho incidente.
o No se posee información clasificada de los
eventos detectados por los IDS´s.
o No existe un método formal utilizado para
detectar las vulnerabilidades que tienen los
equipos.
10. IDS Basado en Red
Monitorea los paquetes
que circulan por nuestra
red en busca de
elementos que denoten
un ataque contra alguno
de los sistemas ubicados
en ella; el IDS puede situarse en cualquiera de los hosts o en un elemento
que analice todo el trafico (como un HUB o un enrutador). Esté donde
esté, monitorizará diversas máquinas y no una sola: esta es la principal
diferencia con los sistemas de detección de intrusos basados en host.
11. IDS Basado en Máquina
Realizan su función
protegiendo un único
sistema; de una forma
similar a como actúa un
escudo antivirus
residente en el sistema
.
operativo, el IDS es un proceso que trabaja en background (o que
despierta periódicamente) buscando patrones que puedan denotar un
intento de intrusión o mala utilización y alertando o tomando las medidas
oportunas en caso de que uno de estos intentos sea detectado.
29. Ajustar el Código a mi Empire.
Si quieres probarlo necesitarás modificar este código para incluir tus
variables,cambiar clave (key),servidor (server),destino (target) y cookie.
Para obtener esta información desde Empire ejecuta el comando de
launcher (**powershelllauncher **), usa **base64 -d** para decodificar
el script y verificar los valores.
Para compilar, puede usar csc.exe y hacer referencia a
System.Management.Automation.dll.
Ejemplo:guarde su código en PSEmpireStage1.csy use el símbolodel
sistemadel desarrollador.
30. PRUEBAS DE CONCEPTOS USANDO
KATANA-FRAMEWORK & EMPIRE
• Enlace Video 1: https://www.youtube.com/watch?v=N_ORzQtrJ14
• Enlace video 2: https://www.youtube.com/watch?v=Rb-oXxYo9jE
32. Introducción a Burp Suite
Burp Suite es una herramienta
utilizada principalmente para las
auditorías de seguridad en
aplicaciones web, que permite
combinar pruebas tanto automáticas
como manuales y que dispone de un
gran número de funcionalidades.
Creada por la empresa PortSwigger,
dispone de una versión gratuita (Burp
Free) y una versión de pago (Burp
Professional).
33. Principales Funcionalidades
Target: permite fijar un objetivo y construir un SiteMap a partir de él.
Proxy: un proxy entre navegador e Internet, que permite interceptar
las peticiones e inspeccionar el tráfico.
Spider: una araña que inspecciona las páginas web y recursos de la
aplicación de manera automatizada.
Scanner: Escaner avanzado para aplicaciones web, que permite
detectar diferentes tipos de vulnerabilidadestanto de forma pasiva
como activa.
Intruder: permite realizar automatizar procesos: fuzzing de la
aplicación, ataques de fuerza bruta o diccionario, ataques SQLi, XSS,
enumeración de usuarios y directorios, etc.
34. Principales Funcionalidades
Repeater:permite manipular las peticiones interceptadas,
modificando parámetrosy cabeceras de las peticiones para
despuésreplicarlas nuevamente.
Secuencer: permite analizar la aleatoriedad de los tokens de sesión.
Muy útil para obtener cookiesy tokens CSRF por fuerza bruta.
Decoder: utilizado para codificar y decodificar parámetros, URLs,
hashes, etc.
Comparer: compara los datos de peticiones y respuestas.
Extender: para customización de plugins y realización de ataques
personalizados.
35. Tienda de BApp
• Tienda de BApp:
La tienda BApp contiene extensionesde Burp que han sido escritas
por los usuarios de Burp Suite para ampliar las capacidades de
Burp.
Puede instalar BApps directamente dentro de Burp, a través de la
función BApp Store en la herramienta Burp Extender. También
puede descargarlos desde aquí, para instalarlos sin conexión en
Burp.
Para nuestra demostración utilizaremos 2 Extensiones Principales
para los ataques de Injection de SQLi y Fuerza Bruta.
36. Extensiones Principales
• CO2: Esta extensión contiene varios módulos para mejorar las
capacidades de Burp.
• SQLiPy SQLMaper Integration: Esta extensión integra Burp Suite con
SQLMap.
Advertencia: tenga cuidado al escanear sitios que no sean de
confianza. El componente SQLMapper ha tenido fallas de inyección de
comandos en el pasado.
37.
38. Ahora debemos de confirmar que la escucha del
Proxy Burp esta activa y funcionando
39. Ingresamos a la aplicación Web bWAPP y escogemos el
bug llamado “SQL Injection (Login Form / User).
40. Para este prueba utilizaremos la condicional
(login/Password)…
…Pero antes de darle click en “Login”,
vamos a activar la intercepción de
nuestro Servidor Proxy, dándole click
en “Intercept is on”.
41. Después le damos click en la opción “Forward”, para que
comience a capturar la sesión desde la aplicación Web
bWAPP.
42. De igual forma, enviamos la sesión interceptada
a las extensiones de SQLiPy Scan & SQLMapper
43. Al enviar la sesión interceptada, automáticamente nos enviará
a las opciones de la extensión de SQLiPy, generán-donos de
manera automática el proceso de Injection SQLi.
48. Documentacion Snort /IDS/IPS
o Enlace de Referencia Snort:
https://www.snort.org/
oArchivos de reglas SNORT para enumerar los valores definidos de "classtype“:
https://github.com/imifos/python-workspace/blob/master/snort/list_classtypes.py
oAnotomía de una regla Snort:
https://snort-org-
site.s3.amazonaws.com/production/document_files/files/000/000/116/original/Sn
ort_rule_infographic.pdf?X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-
Credential=AKIAIXACIED2SPMSC7GA%2F20181206%2Fus-east-
1%2Fs3%2Faws4_request&X-Amz-Date=20181206T213109Z&X-Amz-
Expires=172800&X-Amz-SignedHeaders=host&X-Amz-
Signature=1f4515732607404cbf981f13db5629f544ab851e1eb74cc6b621ceb90d71
39ac
49. Documentacion Snort /IDS/IPS
oReglas de Detección de Ataques por Brute-Force & Cracking Passwords:
alert tcp $EXTERNAL_NET any -> $HOME_NET 3306
(msg:"Authentication Alerts Attack by Brute-Force"; flags:S;
threshold:type threshold, track by_src, count 5, seconds 120;
flowbits:set,mysql.brute.attempt; classtype:attempt-dos; sid:2001219;
rev:8;)
alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"Detect Brute-
Force MYSQL Attack"; flags:S; threshold:type threshold, track by_src,
count 5, seconds 120; flowbits:set,mysql.brute.attempt; classtype:misc-
attack; sid:2001220; rev:8;)
50. Documentacion Snort /IDS/IPS
oRegla de Detección de Ataques por Backdoor:
alert tcp $EXTERNAL_NET any -> $HOME_NET any
(msg:"BACKDOOR Katana-Framework Connection
Established"; classtype:misc-activity; sid:115; rev:9;)
51. Documentación Burp Suite (Plugins /
SQLiPy & SQLMapper
oEnlace de Referencia de Extensiones Bapp Store:
https://portswigger.net/bappstore
oEnlace de Referencia del Plugin SQLiPy:
https://github.com/codewatchorg/sqlipy
oEnlace de Referencia del Plugin Active ++ Scan:
https://github.com/portswigger/active-scan-plus-plus
52. Documentación de Herramientas de
Penetración
oEnlace de Referencia de Katana-Framework:
https://github.com/PowerScript/KatanaFramework
https://powerscript.github.io/KatanaFramework/
oEnlace de Referencia de Empire:
https://github.com/EmpireProject/Empire/releases