SlideShare a Scribd company logo

Red Team Technical Approach

E
Eduardo Arriols Nuñez

Presentación realizada en el congreso MoscowCON (Moscu) sobre aspectos técnicos de la realización de ejercicios de Red Team

Internet
1 of 46
Technical Approach to Red Team Operations MoscowC0N earriols@redteaming.es
Índice 1) Introducción 2) Definición de los ejercicios 3) Pautas para la correcta ejecucción 4) Ejemplos reales
Introducción
Necesidad actual Eduardo Arriols Nuñez (earriols@redteaming.es) ¿Podemos decir por lo tanto que estamos protegidos? Las comprobaciones de seguridad actuales no son realistas Las empresas desconocen el nivel real de detección de sus equipos Los ataques dirigidos no siguen normas ni reglas
Definición de los ejercicios
Definición Los ejercicios de Red Team son pruebas altamente especializado de intrusión, que mediante la combinación de vectores de ataque simula una intrusión real en la organización y permite a la empresa identificar su nivel de seguridad global, así como el nivel de prevención y protección frente a amenazas dirigidas. El equipo debe estar formado por un grupo multidisciplinar de expertos en los diferentes ámbitos de actuación (seguridad digital, física y humana). SEGURIDAD DIGITAL SEGURIDAD HUMANA SEGURIDAD FÍSICA INTELIGENCIA OFENSIVA
Objetivo Mediante la replicación de las técnicas, tácticas y procedimientos (TTPs) de intrusión que podrían ser utilizadas por un atacante real, se comprueba el impacto real de negocio que provocaría un ataque dirigido a través del compromiso de los principales activos de la organización. Este tipo de ejercicios permite identificar el nivel de protección de la organización frente a ataques dirigidos, y aumentar posteriormente las capacidades técnicas del equipo de defensa o Blue Team. Eduardo Arriols Nuñez (earriols@redteaming.es)
Vectores de ataque Dependiendo de los ámbitos de actuación permitidos en el ejercicio pueden ser utilizadas cualquier tipo de técnica o combinación de ellas que permitan materializar una intrusión y posteriormente acceso a los activos críticos de la organización. Algunos ejemplos de acciones comunes son: Intrusión Física Intrusión Digital Ingeniería Social Análisis perimetral de seguridad física Identificación de accesos alternativos Evasión de control RFID / NFC Evasión de control biométrico Evaluación de sistemas embebidos Análisis Wireless Control remoto de CCTV Análisis de Smart-Buildings Anonimización de las comunicaciones Análisis de sistemas perimetrales Análisis de servidores públicos Intrusión y control de dominios internos Control a sistemas Industriales Control de sistemas Mainframe Desarrollo de exploits propios Desarrollo de campañas de Phishing Envío de Phishing dirigido Envío de malware personalizado Despliegue de dispositivos USB Cebo Acciones de Vishing personalizado Suplantación de identidad Escenario personal de Ingeniería Social Análisis de leaks y datos filtradosDesarrollo de malware a medida Análisis físico de entornos industriales Creación de escenarios a medidaObtención de información crítica
Distinción entre servicios Alcance: Activos muy limitados Ámbitos: Acotado a un escenario Detalles: Conocidos por la organización Tiempo: Ajustado a días Vectores: Limitado a identificación de vulnerabilidades conocidas Alcance: Específicos con cierta amplitud Ámbitos: Acotado a un escenario Detalles: Conocidos por la organización Tiempo: Semanas Vectores: Identificación y explotación de vulnerabilidades conocidas o no Alcance: Completo Ámbitos: Cualquier ámbito y uniones Detalles: Desconocidos por la organización Tiempo: Meses Vectores: Multidimensionales y flexibles (Simulación de amenazas dirigidas)
Metodología COMPROMISO INICIAL ACCESO INTERNO RECONOCIMIENTO INTERNO & MOVIMIENTO LATERAL ELEVACION DE PRIVILEGIOS & PERSISTENCIA FINALIZACIÓN DEL EJERCICIO RECONOCIMIENTO EXTERNO DEFINICIÓN Y PLANIFICACIÓN Atendiendo a la necesidad de llevar a cabo una intrusión realista, se siguen en todo momento las mismas acciones que son realizadas por un atacante durante una intrusión o ataque dirigido (APT). En dicha metodología destaca el modelado de amenazas realizado al inicio. Simulación real
Equipo de trabajo Manager Red Team Coordinadores de Equipo Expertos Red Team Coordinadores de Soporte Especialistas RED TEAM La comunicación entre los equipos es directa
Equipos involucrados Eduardo Arriols Nuñez (earriols@redteaming.es) Red Team PurpleTeam Blue Team White Team Defensor Empresa Atacante Amplificar
Beneficios para la organización Nivel de seguridad global1 Entrenamiento del Blue Team 2 Vectores de ataque reales3 Mejora continua 4 Preparación y defensa frente a ataques dirigidos y amenazas reales
Pautas para la correcta ejecucción
1) Definición y planificación 2) Reconocimiento externo y compromiso inicial 3) Intrusión interna Ejercicio Red Team
1) Definición y planificación 2) Reconocimiento externo y compromiso inicial 3) Intrusión interna Ejercicio Red Team
Definición y planificación Dentro de las acciones acotadas en este apartado encontraríamos las siguientes: - Investigación preliminar: Reconocimiento previo al inicio del ejercicio que permita identificar la tipología de empresa, ubicaciones, infraestructura de red publica, etcétera. - Identificación de activos críticos: Con la información anterior es necesario identificar aquellos activos considerados como el ‘core’ de negocio para la organización. Matriz CARVER y otros. - Planificación del ejercicio: Planificación de las acciones permitidas y en base a las probabilidades de éxito. También deberá estimarse los perfiles y el numero de integrantes del equipo. Eduardo Arriols Nuñez (earriols@redteaming.es) - Preparación de la infraestructura: Desarrollo y despliegue de la infraestructura necesaria para la ejecución del ejercicio. Algunos ejemplos comunes: Servidores de ataque, túneles, gestión de VPSs, … En este aspecto se incluye también la parte física y humana.
Evitar la identificación del equipo Otro aspecto fundamente para la correcta ejecución del ejercicio es evitar la identificación del equipo como origen de las pruebas. Para ello habrá que tener especial cuidado en la realización de pruebas activas en el ámbito digital, físico y humano. A nivel de perímetro es recomendable utilizar las siguientes tecnologías dentro del ámbito digital:
Uso de software indetectable Otro de los puntos ha destacar para materializar una intrusión real es tener la capacidad dentro del equipo de poder desarrollar software a medida y hacer indetectables ciertos softwares como Mimikatz. Es importante destacar que deben utilizarse escaners o plataformas que mantengan anónimas las muestras generadas para cada ejercicio. Eduardo Arriols Nuñez (earriols@redteaming.es) https://scan.majyx.net/ También es importante evitar el uso de software de 3º partes que no haya sido comprobado anteriormente, por si este pudiera contener algún tipo de código malicioso. Un ejemplo claro podría ser el uso de webshells.
1) Definición y planificación 2) Reconocimiento externo y compromiso inicial 3) Intrusión interna Ejercicio Red Team
Reconocimiento externo y compromiso inicial Dentro de las acciones principales acotadas en este apartado encontraríamos las siguientes: - Análisis inicial: Reconocimiento exhaustivo sobre los activos acotados dentro del alcance. - Vectores de acceso digital: Cualquier vector que permita acceso a la infraestructura digital. - Vectores de acceso físico: Cualquier vector que permita acceso a la infraestructura física. - Vectores de acceso humano: Cualquier vector que haga uso de ingeniería social. - Compromiso inicial: Identificación del vector de acceso que permitiera materializar la intrusión. Eduardo Arriols Nuñez (earriols@redteaming.es) Vector de acceso Vector de ataque
Análisis inicial El análisis inicial consiste en comenzar las pruebas siguiendo la planificación establecida anteriormente. Este análisis involucrará a los diferentes integrantes del equipo, que se distribuirán las tareas de forma paralela hasta que uno de ellos tenga éxito e identifique un vector de acceso que permita continuar con la intrusión interna. Dependiendo del tipo de organización (Bancaria, Industrial, etcétera) habrá diferentes pruebas con mayor probabilidad de éxito. Es común en los ejercicios dedicar un par de semanas a realizar de forma correcta este análisis inicial que nos permita identificar todos los activos de la organización sobre los que se podrán realizar las pruebas. Eduardo Arriols Nuñez (earriols@redteaming.es)
Vector de acceso digital Cuando hablamos de vector de acceso digital nos referimos a aquellas pruebas que pueden ser realizadas sobre activos digitales con el objetivo de identificar un vector de acceso a la organización con el que materializar la intrusión. De entre las acciones que podemos encontrarnos, las mas comunes son: - Perímetro: Nuestro objetivo será identificar un sistema vulnerable expuesto a Internet que posteriormente podamos utilizar para pivotar a la red interna. No se buscaran vulnerabilidades que no cumplan este objetivo. - Redes Wi-Fi: Nuestro objetivo será lograr acceso interno a la organización utilizando para ello vectores de ataque sobre las redes y clientes Wi-Fi de la organización. En este punto destacaran principalmente los ataques a clientes. Eduardo Arriols Nuñez (earriols@redteaming.es)
Vector de acceso digital – Perímetro Principales pautas para lograr el acceso digital a través del perímetro Normalmente las organizaciones tienden a proteger fuertemente sus sistemas a nivel de perímetro, pero únicamente aquellos que consideran mas importantes o críticos para el negocio. Por ello, es común encontrar aplicaciones antiguas, olvidadas y sin ningún valor para la organización que pueden servirnos como vector de acceso para pivotar a la parte interna. En este punto vamos a destacar tres aspectos realmente importantes - Inventariado de activos dentro del alcance: Esto es posible a través de la búsqueda en sistema autónomos (AS), rangos de red, buscadores como Shodan, histórico de escaneos, dominios y subdominios, etcétera. - Búsqueda de sistemas antiguos: Hay que centrarse en los mas antiguos primero. - Uso de software como reGeorg para pivotar: ReGeorg es una excelente herramienta desarrollada en PHP, JSP, ASP y ASP.NET que nos permite tunelizar nuestro trafico a través de llamadas al sistema. De esta forma, teniendo la capacidad de subir un fichero al sistema podemos utilizarlo para pivotar a través de el a la red a la que este conectada.
Vector de acceso digital – Wi-Fi Principales pautas para lograr el acceso digital a través de las redes Wi-Fi Otra posibilidad para comprobar el ámbito digital sería revisar las redes inalámbricas de la organización objetivo. Al igual que con las pruebas de perímetro, no se verifican todas las posibilidades, sino aquellas que realmente puedan permitir acceso a la red interna de la organización. Algunas de las pruebas principales que podemos realizar son las siguientes: - Ataques a redes tradicionales (WEP, WPA y WPA2 con clave precompartida) - Ataques a clientes en redes WPA2 Enterprise (FreeRadius & Hostapd-wpe) - Ataques a clientes mediante ingeniería social (Suplantación de redes, portales cautivos, …) - Otros ataques mas avanzados y combinados contra clientes como MouseJacking con ingeniería social Eduardo Arriols Nuñez (earriols@redteaming.es)
Vector de acceso físico Cuando hablamos de vector de acceso físico nos referimos a aquellas pruebas que pueden ser realizadas sobre activos físicos con el objetivo de identificar un vector de acceso a la organización con el que materializar la intrusión. Realmente podemos acotar las pruebas al acceso físico a las instalaciones, aunque podemos hacer una diferenciación respecto del método a través del cual se mantendrá el acceso a la organización en: - Despliegue de implante físico: Tras lograr acceso físico a las instalaciones se despliegue un dispositivo como una Raspberry Pi o similar oculta y conectada por un lado a la red interna de la organización y por otro, mediante una conexiones 3G o Wi-Fi al equipo Red Team. De esta forma es posible tener un dispositivo conectado a la red que evita todos los sistemas de seguridad a nivel de perímetro. - Acceso a equipo interno e implantación de backdoor: Otra posibilidad una vez se ha logrado el acceso físico es acceder a un equipo interno mediante un Live USB o CD como Kon-Boot, con el cual poder acceder al equipo como administrador local. De esta forma se buscara implantar persistencia en el sistema para que se conecte de forma inversa al equipo Red Team. Eduardo Arriols Nuñez (earriols@redteaming.es)
Vector de acceso físico Principales pautas para lograr el acceso físico a las instalaciones Otro aspecto fundamente para la correcta ejecución del ejercicio es evitar la identificación del equipo. Para ello habrá que tener especial cuidado en la realización de pruebas activas en el ámbito digital, físico y humano. - Reconocimiento Online: Se buscará realizar un reconocimiento previo de las instalaciones para identificar la mayor cantidad de información posible sin interactuar con el activo, como medidas de seguridad, posibles vías de entrada, etcétera. Eduardo Arriols Nuñez (earriols@redteaming.es) - Reconocimiento Onsite: Se realizará un reconocimiento activo y directo contra las instalaciones de la entidad objetivo. Para ello se puede hacer uso de micro-cámaras, cámaras réflex, drones de reconocimiento, etcétera. Principalmente se deberá de identificar todos los accesos, sus medidas de seguridad, las medidas de seguridad internas, alarmas instaladas, etcétera.
Vector de acceso físico Principales pautas para lograr el acceso físico a las instalaciones - Evasión del control de acceso mediante clonado de tarjetas de acceso (RFID / NFC): El uso de tarjetas contactless para el control de acceso es algo realmente habitual a día de hoy en las organización. En muchas ocasiones estas tarjetas no están correctamente aseguradas y con simples escenarios de ingeniería social puede ser posible obtener la copia de la tarjeta de un empleado. - Evasión del control de acceso mediante el uso de ingeniería social: Otra posibilidad que tiene relación con el ámbito humano es utilizar escenarios de ingeniería social especialmente diseñados para lograr la intrusión física en la organización. Esto puede hacer uso de suplantaciones de identidad, técnicas como tailgating, etcétera. - Evasión de medidas de seguridad físicas: En aquellos casos donde la intrusión tenga un enfoque mas puro respecto de la intrusión física será necesario utilizar técnicas para la evasión de medidas de seguridad como detectores de movimiento, alarmas, etcétera. Esto son únicamente algunos ejemplos ya que dependiendo del escenario que este siendo realizado puede haber una diferentes variaciones a ejecutar. Eduardo Arriols Nuñez (earriols@redteaming.es)
Vector de acceso humano Cuando hablamos de vector de acceso digital nos referimos a aquellas pruebas que pueden ser realizadas sobre activos humanos (empleados) con el objetivo de identificar un vector de acceso a la organización con el que materializar la intrusión. De entre las acciones que podemos encontrarnos, las mas comunes son: - Phishing: Envío de correos suplantando la identidad del emisor. - Vishing: Llamadas de teléfono suplantando la identidad del llamador. - USB Cebo: Despliegue de dispositivos USB maliciosos por las inmediaciones del objetivo. - Personal: Desarrollo de escenarios de ingeniería social de manera personal. Es importante destacar que en los ejercicios de Red Team, las pruebas de ingeniería social no suelen ser indiscriminadas sobre todos los empleados, sino sobre un pequeño conjunto de ellos para evitar levantar sospechas. Eduardo Arriols Nuñez (earriols@redteaming.es)
Vector de acceso humano – Phishing Cuando realizamos pruebas de Phishing podemos tener diferentes enfoques en base al objetivo que tenga el envío de correos en el ejercicio. Por hacer un breve resumen y teniendo en cuenta los mas destacados nos encontramos: - Obtención de información: Sobre la compañía, empleado, equipos internos, etcétera. - Cambio de credenciales: Crear un escenario donde se fuerce al empleado a modificar sus credenciales. - Redirección a pagina falsa: Realizar una suplantación de una web con el objetivo de capturar credenciales, distribuir malware y/o comprometer equipos internos. - Enlace para la descarga de malware: Redireccionar al usuario para que se descargue y ejecute un malware. - Malware adjunto en el correo: Adjuntar malware al correo enviado con un pretexto creíble. Eduardo Arriols Nuñez (earriols@redteaming.es)
Vector de acceso humano – Phishing Ya que las pruebas son realizadas dentro de un ejercicio de Red Team es importante tener en consideración ciertos aspectos como: - Importancia de crear escenarios lo mas realistas posibles. - Importancia de desarrollar pretextos creíbles y satisfactorios. - Comprar y utilizar dominios lo mas similares posibles a los originales. Esto requiere comúnmente de un estudio previo, así como de las aplicaciones con mas probabilidad de éxito. - Al igual que en todas las demás pruebas, los datos del equipo proporcionados en proveedores deberían de ser falsos. - Cuando sea necesario lanzar una campaña sobre muchos usuarios es importante utilizar plataforma como goPhish o similares. Eduardo Arriols Nuñez (earriols@redteaming.es)
Vector de acceso humano – Vishing Las pruebas de llamadas telefónicas pueden ser realmente efectivas si se desarrollan bajo un escenario y pretexto creíble, y se juntan con otras pruebas ejecutadas en el ejercicio. Dentro de las posibilidades que nos podemos encontrar en cuanto al objetivo de las pruebas nos encontramos principalmente las siguientes: - Obtención de información: Buscaremos obtener información sobre el sistema del empleado, la red interna, su configuración, antivirus, credenciales, etcétera. - Cambio de credenciales: Buscaremos forzar al usuario a modificar sus credenciales para permitirnos acceso por otras vías como VPN corporativa, redes Wi-Fi, etcétera. Eduardo Arriols Nuñez (earriols@redteaming.es)
Vector de acceso humano – Vishing A la hora de realizar acciones de Vishing es importante tener en cuenta una serie de pautas: - Es una aproximación muy efectiva y directa, que permite de forma rápida obtener información sensible o ayudar en la ejecución de otras actividades como la intrusión física. - Para realizar correctamente los escenarios es muy importante tener definido la información a extraer o las acciones que debe realizar el objetivo. - Desarrollar una hoja de ruta para la conversación nos permitirá focalizarnos en los objetivos que hayan sido planteados. En este caos es importante contemplar todas las situaciones posibles y estar preparado para cualquier cosa. - Suplantar números de teléfonos conocidos por la persona objetivo nos permite obtener un mayor nivel de confianza con la persona objetivo. Eduardo Arriols Nuñez (earriols@redteaming.es)
Vector de acceso humano – USB Cebo Otro vector de ataque inicial que puede ser ejecutado son los escenarios de USB Cebo, donde se buscara comprometer el equipo de aquellas personas que ‘piquen’ en este cebo. Para una correcta ejecución de las pruebas es recomendable tener en cuenta los siguientes aspectos: - Importancia de utilizar dispositivos USB diferentes para evitar que se identifique el ataque. - No desplegar una gran cantidad de dispositivos. - Desplegar los dispositivos en diferentes zonas, evitar dejar todos muy próximos. - Uso de malware o mutaciones diferentes a ser posible en cada dispositivo. - Montar escenarios de ingeniería social para dar un mayor nivel de realismo. Si es posible esto es algo que incrementa enormemente las posibilidades de éxito, aunque hay que realizar un correcto escenario de ingeniería social. Eduardo Arriols Nuñez (earriols@redteaming.es)
Vector de acceso humano – USB Cebo Aunque suele ser mas atípico, utilizar la ingeniería social de manera personal es un vector con un alto grado de éxito aunque arriesgado ya que únicamente puede ser ejecutado una vez. En este caso se suele requerir que la persona que vaya a realizar las pruebas tenga un perfil apto para las mismas, y cuente con una serie de escenarios y pretextos ampliamente trabajados. El objetivo de realizar este tipo de pruebas suele ser acceder físicamente a las instalaciones para poder acceder a la red interna de la organización para desplegar un dispositivo o acceder a algún equipo interno. En este caso debemos tener una serie de aspectos en cuenta: - Destacar la importancia de planificar en detalle las pruebas. - Conocer exactamente cuales van a ser los objetivos con los que se va a interactuar, y tener un plan B, C y D por si fuera necesario interactuar con otras personas de la organización. Eduardo Arriols Nuñez (earriols@redteaming.es)
Compromiso inicial Una vez hemos logrado, a través de cualquiera de los anteriores vectores de ataque acceder a un sistema interno, es necesario realizar al menos las siguientes acciones antes de pasar a realizar la intrusión interna sobre la organización. - Análisis del sistema accedido - Identificación de información sensible en el sistema - Verificar las posibles acciones de pivoting hacia la red interna - Elevación de privilegios local en el equipo - Persistencia en el sistema - Verificar la posibilidad de continuar las pruebas de intrusión desde la persistencia Eduardo Arriols Nuñez (earriols@redteaming.es)
1) Definición y planificación 2) Reconocimiento externo y compromiso inicial 3) Intrusión interna Ejercicio Red Team
Aspectos importantes a tener en cuenta Una vez contamos con un acceso a la red interna es hora de comenzar la intrusión digital interna sobre la organización en la mayoría de ocasiones, aunque esto puede variar dependiendo de la naturaleza de la intrusión que este siendo realizada. En el caso común será crucial que tengamos en cuenta ciertos aspectos, entre los que podemos destacar: - Evitar la identificación del equipo como origen de las pruebas durante todo el ejercicio. - Cifrado de la información tanto en las comunicaciones como en el almacenamiento. - Bitácora de acciones donde se centralice todas las acciones realizadas por los integrantes. - Coordinación con el White Team, aunque únicamente con información proporcionada por el RT. - No precipitarse en la ejecución de acciones, hay tiempo de sobra. - Estar al día de nuevas vulnerabilidades que puedan ser aprovechadas en el ejercicio. Eduardo Arriols Nuñez (earriols@redteaming.es)
Pautas generales durante la intrusión Este punto podría tratar libros y libros ya que cada organización es completamente diferente a nivel interno. Aun así, existen una serie de pautas o comprobaciones que deben ser realizadas para ayudar a realizar la intrusión de forma correcta: - Análisis de la red accedida: Analizar la red que haya sido accedida para identificar sistemas y hacernos una idea del nivel de visibilidad interna que podemos tener. - Análisis de la red interna: Posteriormente comenzar con la enumeración interna de forma dirigida y acotada a determinados puertos que pudieran ser interesantes (8080, 445, …) - Análisis del dominio interno: Tras lograr acceso al Directorio Activo, analizarlo para comprender la organización interna. - Análisis de recursos compartidos: Por norma general, dentro de los recursos compartidos existe una gran cantidad de información sensible tanto de empleados, clientes como infraestructura. Eduardo Arriols Nuñez (earriols@redteaming.es)
Pautas generales durante la intrusión - Acceso a equipos de administradores: Los administradores almacenan gran cantidad de información en sus equipos, por lo que acceder a ellos nos puede facilitar la intrusión interna. - Obtención de credenciales: Mediante enumeración de usuarios y fuerza bruta, internas mediante Mimikatz o similar, etcétera. - Reutilización de credenciales: Verificar la reutilización de credenciales en servicios internos y externos, cuentas de administrador, etcétera. - Explotación de vulnerabilidades (Mas típicas): En muchas ocasiones es posible realizar una intrusión interna haciendo uso de vulnerabilidades comunes como por ejemplo: - Incorrecta segmentación de red - Credenciales por defecto - Vulnerabilidades antiguas Eduardo Arriols Nuñez (earriols@redteaming.es)
Implantación de persistencia real Al igual que las demás acciones descritas hasta el momento, la persistencia debe seguir una aproximación real a como se realizaría en un ataque dirigido. Este punto es importante ya que si se despliega de forma correcta la persistencia es prácticamente imposible que se pierda el acceso. Para implantar persistencia se deben de seguir las siguientes pautas: - Utilizar sistemas alojados en redes diferentes - Utilizar proxies de salida diferentes (si los hubiera) - Utilizar credenciales de empleado diferentes - Conectar la persistencia a sistemas VPS diferentes - Variar los métodos de persistencia - Implantar persistencia en red DMZ e interna Eduardo Arriols Nuñez (earriols@redteaming.es)
Acceso a principales activos Sin duda este es el punto mas genérico, ya que cada organización tiene sus activos y las formas de acceder a los mismos pueden variar. Si es importante destacar que los activos críticos de negocio para una organización como los sistemas Mainframe o cajeros para una entidad bancaria suelen estar robustamente bastionados y con amplias medidas de seguridad, por lo que se recomienda no ir a la liguera y realizar acciones lo menos llamativas posibles. Una ultima recomendación, investigar y armaros de paciencia, que en muchos casos es necesaria!!
Ejemplos reales
Intrusión mediante perímetro Red Team Innotec System Web Web Web WorkstationsServidores Windows Controlador de dominio Dominio DominioNAS UnixP-SynchMainframe BBDD Servidor Cajeros Seg. Física Puestos Oficina WebWebBBDD Correo Servidores Internos VPS VPS VPS Se han omitido pasos para hacer mas fácil la comprensión
Intrusión mediante Wi-Fi Cisco ISEWi-Fi DOM. IntSistemas int. PRO PRE DOM. Serv DOM. GestProxy Internet Red Team VPS Aux VPS Salida Tomcat Aplicación Cajeros Servidores Otros Otros Otros DDBB Aplicación Oficinas Se han omitido pasos para hacer mas fácil la comprensión
¿PREGUNTAS?

Recommended

Building an InfoSec RedTeam
Building an InfoSec RedTeamBuilding an InfoSec RedTeam
Building an InfoSec RedTeamDan Vasile
 
Penetration testing reporting and methodology
Penetration testing reporting and methodologyPenetration testing reporting and methodology
Penetration testing reporting and methodologyRashad Aliyev
 
Ethical Hacking n VAPT presentation by Suvrat jain
Ethical Hacking n VAPT presentation by Suvrat jainEthical Hacking n VAPT presentation by Suvrat jain
Ethical Hacking n VAPT presentation by Suvrat jainSuvrat Jain
 
WTF is Penetration Testing v.2
WTF is Penetration Testing v.2WTF is Penetration Testing v.2
WTF is Penetration Testing v.2Scott Sutherland
 
Security Testing for Test Professionals
Security Testing for Test ProfessionalsSecurity Testing for Test Professionals
Security Testing for Test ProfessionalsTechWell
 
Red team Engagement
Red team EngagementRed team Engagement
Red team EngagementIndranil Banerjee
 
OWASP Top 10 Project
OWASP Top 10 ProjectOWASP Top 10 Project
OWASP Top 10 ProjectMuhammad Shehata
 
Red Team Apocalypse
Red Team ApocalypseRed Team Apocalypse
Red Team ApocalypseBeau Bullock
 

Recommended

Building an InfoSec RedTeam
Building an InfoSec RedTeamBuilding an InfoSec RedTeam
Building an InfoSec RedTeamDan Vasile
 
Penetration testing reporting and methodology
Penetration testing reporting and methodologyPenetration testing reporting and methodology
Penetration testing reporting and methodologyRashad Aliyev
 
Ethical Hacking n VAPT presentation by Suvrat jain
Ethical Hacking n VAPT presentation by Suvrat jainEthical Hacking n VAPT presentation by Suvrat jain
Ethical Hacking n VAPT presentation by Suvrat jainSuvrat Jain
 
WTF is Penetration Testing v.2
WTF is Penetration Testing v.2WTF is Penetration Testing v.2
WTF is Penetration Testing v.2Scott Sutherland
 
Security Testing for Test Professionals
Security Testing for Test ProfessionalsSecurity Testing for Test Professionals
Security Testing for Test ProfessionalsTechWell
 
Red team Engagement
Red team EngagementRed team Engagement
Red team EngagementIndranil Banerjee
 
OWASP Top 10 Project
OWASP Top 10 ProjectOWASP Top 10 Project
OWASP Top 10 ProjectMuhammad Shehata
 
Red Team Apocalypse
Red Team ApocalypseRed Team Apocalypse
Red Team ApocalypseBeau Bullock
 
Vulnerability and Assessment Penetration Testing
Vulnerability and Assessment Penetration TestingVulnerability and Assessment Penetration Testing
Vulnerability and Assessment Penetration TestingYvonne Marambanyika
 
Bug Bounty 101
Bug Bounty 101Bug Bounty 101
Bug Bounty 101Shahee Mirza
 
Introduction to Security Testing
Introduction to Security TestingIntroduction to Security Testing
Introduction to Security TestingvodQA
 
Introduction to red team operations
Introduction to red team operationsIntroduction to red team operations
Introduction to red team operationsSunny Neo
 
Web application security & Testing
Web application security & TestingWeb application security & Testing
Web application security & TestingDeepu S Nath
 
Security testing
Security testingSecurity testing
Security testingKhizra Sammad
 
Security Testing
Security TestingSecurity Testing
Security TestingQualitest
 
Vulnerability assessment and penetration testing
Vulnerability assessment and penetration testingVulnerability assessment and penetration testing
Vulnerability assessment and penetration testingAbu Sadat Mohammed Yasin
 
Purple Teaming the Cyber Kill Chain: Practical Exercises for Everyone Sector...
Purple Teaming the Cyber Kill Chain: Practical Exercises for Everyone Sector...Purple Teaming the Cyber Kill Chain: Practical Exercises for Everyone Sector...
Purple Teaming the Cyber Kill Chain: Practical Exercises for Everyone Sector...Chris Gates
 
What is Penetration Testing?
What is Penetration Testing?What is Penetration Testing?
What is Penetration Testing?btpsec
 
Cyber Purple Teaming: Uniting Blue and Red Teams - B Sides San Antonio - Albe...
Cyber Purple Teaming: Uniting Blue and Red Teams - B Sides San Antonio - Albe...Cyber Purple Teaming: Uniting Blue and Red Teams - B Sides San Antonio - Albe...
Cyber Purple Teaming: Uniting Blue and Red Teams - B Sides San Antonio - Albe...Denim Group
 
Mobile Application Penetration Testing
Mobile Application Penetration TestingMobile Application Penetration Testing
Mobile Application Penetration TestingBGA Cyber Security
 
Penetration Testing Basics
Penetration Testing BasicsPenetration Testing Basics
Penetration Testing BasicsRick Wanner
 
Vulnerabilities in modern web applications
Vulnerabilities in modern web applicationsVulnerabilities in modern web applications
Vulnerabilities in modern web applicationsNiyas Nazar
 
Security testing
Security testingSecurity testing
Security testingbaskar p
 
What is security testing and why it is so important?
What is security testing and why it is so important?What is security testing and why it is so important?
What is security testing and why it is so important?ONE BCG
 
Security testing
Security testingSecurity testing
Security testingRihab Chebbah
 
Secure Coding principles by example: Build Security In from the start - Carlo...
Secure Coding principles by example: Build Security In from the start - Carlo...Secure Coding principles by example: Build Security In from the start - Carlo...
Secure Coding principles by example: Build Security In from the start - Carlo...Codemotion
 
Introduction to penetration testing
Introduction to penetration testingIntroduction to penetration testing
Introduction to penetration testingNezar Alazzabi
 
Secure Code Review 101
Secure Code Review 101Secure Code Review 101
Secure Code Review 101Narudom Roongsiriwong, CISSP
 
Introducción a los ejercicios de Red Team
Introducción a los ejercicios de Red TeamIntroducción a los ejercicios de Red Team
Introducción a los ejercicios de Red TeamEduardo Arriols Nuñez
 
2012temariohackingv9
2012temariohackingv92012temariohackingv9
2012temariohackingv9Universidad Kino A.C.
 

More Related Content

What's hot

Vulnerability and Assessment Penetration Testing
Vulnerability and Assessment Penetration TestingVulnerability and Assessment Penetration Testing
Vulnerability and Assessment Penetration TestingYvonne Marambanyika
 
Introduction to Security Testing
Introduction to Security TestingIntroduction to Security Testing
Introduction to Security TestingvodQA
 
Introduction to red team operations
Introduction to red team operationsIntroduction to red team operations
Introduction to red team operationsSunny Neo
 
Web application security & Testing
Web application security & TestingWeb application security & Testing
Web application security & TestingDeepu S Nath
 
Security Testing
Security TestingSecurity Testing
Security TestingQualitest
 
Vulnerability assessment and penetration testing
Vulnerability assessment and penetration testingVulnerability assessment and penetration testing
Vulnerability assessment and penetration testingAbu Sadat Mohammed Yasin
 
Purple Teaming the Cyber Kill Chain: Practical Exercises for Everyone Sector...
Purple Teaming the Cyber Kill Chain: Practical Exercises for Everyone Sector...Purple Teaming the Cyber Kill Chain: Practical Exercises for Everyone Sector...
Purple Teaming the Cyber Kill Chain: Practical Exercises for Everyone Sector...Chris Gates
 
What is Penetration Testing?
What is Penetration Testing?What is Penetration Testing?
What is Penetration Testing?btpsec
 
Cyber Purple Teaming: Uniting Blue and Red Teams - B Sides San Antonio - Albe...
Cyber Purple Teaming: Uniting Blue and Red Teams - B Sides San Antonio - Albe...Cyber Purple Teaming: Uniting Blue and Red Teams - B Sides San Antonio - Albe...
Cyber Purple Teaming: Uniting Blue and Red Teams - B Sides San Antonio - Albe...Denim Group
 
Mobile Application Penetration Testing
Mobile Application Penetration TestingMobile Application Penetration Testing
Mobile Application Penetration TestingBGA Cyber Security
 
Penetration Testing Basics
Penetration Testing BasicsPenetration Testing Basics
Penetration Testing BasicsRick Wanner
 
Vulnerabilities in modern web applications
Vulnerabilities in modern web applicationsVulnerabilities in modern web applications
Vulnerabilities in modern web applicationsNiyas Nazar
 
Security testing
Security testingSecurity testing
Security testingbaskar p
 
What is security testing and why it is so important?
What is security testing and why it is so important?What is security testing and why it is so important?
What is security testing and why it is so important?ONE BCG
 
Secure Coding principles by example: Build Security In from the start - Carlo...
Secure Coding principles by example: Build Security In from the start - Carlo...Secure Coding principles by example: Build Security In from the start - Carlo...
Secure Coding principles by example: Build Security In from the start - Carlo...Codemotion
 
Introduction to penetration testing
Introduction to penetration testingIntroduction to penetration testing
Introduction to penetration testingNezar Alazzabi
 

What's hot (20)

Vulnerability and Assessment Penetration Testing
Vulnerability and Assessment Penetration TestingVulnerability and Assessment Penetration Testing
Vulnerability and Assessment Penetration Testing
 
Bug Bounty 101
Bug Bounty 101Bug Bounty 101
Bug Bounty 101
 
Introduction to Security Testing
Introduction to Security TestingIntroduction to Security Testing
Introduction to Security Testing
 
Introduction to red team operations
Introduction to red team operationsIntroduction to red team operations
Introduction to red team operations
 
Web application security & Testing
Web application security & TestingWeb application security & Testing
Web application security & Testing
 
Security testing
Security testingSecurity testing
Security testing
 
Security Testing
Security TestingSecurity Testing
Security Testing
 
Vulnerability assessment and penetration testing
Vulnerability assessment and penetration testingVulnerability assessment and penetration testing
Vulnerability assessment and penetration testing
 
Purple Teaming the Cyber Kill Chain: Practical Exercises for Everyone Sector...
Purple Teaming the Cyber Kill Chain: Practical Exercises for Everyone Sector...Purple Teaming the Cyber Kill Chain: Practical Exercises for Everyone Sector...
Purple Teaming the Cyber Kill Chain: Practical Exercises for Everyone Sector...
 
What is Penetration Testing?
What is Penetration Testing?What is Penetration Testing?
What is Penetration Testing?
 
Cyber Purple Teaming: Uniting Blue and Red Teams - B Sides San Antonio - Albe...
Cyber Purple Teaming: Uniting Blue and Red Teams - B Sides San Antonio - Albe...Cyber Purple Teaming: Uniting Blue and Red Teams - B Sides San Antonio - Albe...
Cyber Purple Teaming: Uniting Blue and Red Teams - B Sides San Antonio - Albe...
 
Mobile Application Penetration Testing
Mobile Application Penetration TestingMobile Application Penetration Testing
Mobile Application Penetration Testing
 
Penetration Testing Basics
Penetration Testing BasicsPenetration Testing Basics
Penetration Testing Basics
 
Vulnerabilities in modern web applications
Vulnerabilities in modern web applicationsVulnerabilities in modern web applications
Vulnerabilities in modern web applications
 
Security testing
Security testingSecurity testing
Security testing
 
What is security testing and why it is so important?
What is security testing and why it is so important?What is security testing and why it is so important?
What is security testing and why it is so important?
 
Security testing
Security testingSecurity testing
Security testing
 
Secure Coding principles by example: Build Security In from the start - Carlo...
Secure Coding principles by example: Build Security In from the start - Carlo...Secure Coding principles by example: Build Security In from the start - Carlo...
Secure Coding principles by example: Build Security In from the start - Carlo...
 
Introduction to penetration testing
Introduction to penetration testingIntroduction to penetration testing
Introduction to penetration testing
 
Secure Code Review 101
Secure Code Review 101Secure Code Review 101
Secure Code Review 101
 

Similar to Red Team Technical Approach

Introducción a los ejercicios de Red Team
Introducción a los ejercicios de Red TeamIntroducción a los ejercicios de Red Team
Introducción a los ejercicios de Red TeamEduardo Arriols Nuñez
 
Tests de intrusión. Análisis de seguridad en GNU/Linux
Tests de intrusión. Análisis de seguridad en GNU/LinuxTests de intrusión. Análisis de seguridad en GNU/Linux
Tests de intrusión. Análisis de seguridad en GNU/Linuxseguridadelinux
 
Ciberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma TechnologiesCiberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma TechnologiesSantiago Toribio Ayuga
 
Red Team: Un nuevo enfoque para auditar controles de Ciberseguridad
Red Team: Un nuevo enfoque para auditar controles de CiberseguridadRed Team: Un nuevo enfoque para auditar controles de Ciberseguridad
Red Team: Un nuevo enfoque para auditar controles de CiberseguridadEduardo Arriols Nuñez
 
Tipos de Pentest
Tipos de PentestTipos de Pentest
Tipos de PentestRafael Seg
 
Metodologia para detectar vulnerabilidades de los activos
Metodologia para detectar vulnerabilidades de los activosMetodologia para detectar vulnerabilidades de los activos
Metodologia para detectar vulnerabilidades de los activosAlexander Velasque Rimac
 
Unidad 4 tipocos de seguridad
Unidad 4 tipocos de seguridadUnidad 4 tipocos de seguridad
Unidad 4 tipocos de seguridadAniiitha01
 
Tema 4. Detección de Intrusos
Tema 4. Detección de IntrusosTema 4. Detección de Intrusos
Tema 4. Detección de IntrusosFrancisco Medina
 
Ethical hacking
Ethical hackingEthical hacking
Ethical hackingNoe Solis
 
Defensa de Red - Seguridad Informática
Defensa de Red - Seguridad InformáticaDefensa de Red - Seguridad Informática
Defensa de Red - Seguridad InformáticaCarlosJesusKooLabrin
 
42 seguridad y autenticación
42 seguridad y autenticación42 seguridad y autenticación
42 seguridad y autenticaciónAprende Viendo
 
Antivirus apts, una nueva amenaza
Antivirus apts, una nueva amenazaAntivirus apts, una nueva amenaza
Antivirus apts, una nueva amenazapacifico2209
 
CASO 2 DE SEGURIDAD INFORMATICA.docx
CASO 2 DE SEGURIDAD INFORMATICA.docxCASO 2 DE SEGURIDAD INFORMATICA.docx
CASO 2 DE SEGURIDAD INFORMATICA.docxArakiSg
 

Similar to Red Team Technical Approach (20)

Introducción a los ejercicios de Red Team
Introducción a los ejercicios de Red TeamIntroducción a los ejercicios de Red Team
Introducción a los ejercicios de Red Team
 
2012temariohackingv9
2012temariohackingv92012temariohackingv9
2012temariohackingv9
 
Tests de intrusión. Análisis de seguridad en GNU/Linux
Tests de intrusión. Análisis de seguridad en GNU/LinuxTests de intrusión. Análisis de seguridad en GNU/Linux
Tests de intrusión. Análisis de seguridad en GNU/Linux
 
Ciberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma TechnologiesCiberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma Technologies
 
Red Team: Un nuevo enfoque para auditar controles de Ciberseguridad
Red Team: Un nuevo enfoque para auditar controles de CiberseguridadRed Team: Un nuevo enfoque para auditar controles de Ciberseguridad
Red Team: Un nuevo enfoque para auditar controles de Ciberseguridad
 
Tipos de Pentest
Tipos de PentestTipos de Pentest
Tipos de Pentest
 
Ethical Hacking
Ethical HackingEthical Hacking
Ethical Hacking
 
Metodologia para detectar vulnerabilidades de los activos
Metodologia para detectar vulnerabilidades de los activosMetodologia para detectar vulnerabilidades de los activos
Metodologia para detectar vulnerabilidades de los activos
 
Hacking ético
Hacking éticoHacking ético
Hacking ético
 
S4 cdsi1-2
S4 cdsi1-2S4 cdsi1-2
S4 cdsi1-2
 
Unidad 4 tipocos de seguridad
Unidad 4 tipocos de seguridadUnidad 4 tipocos de seguridad
Unidad 4 tipocos de seguridad
 
HackWeb
HackWebHackWeb
HackWeb
 
Tema 4. Detección de Intrusos
Tema 4. Detección de IntrusosTema 4. Detección de Intrusos
Tema 4. Detección de Intrusos
 
Iniciación al Ethical Hacking
Iniciación al Ethical HackingIniciación al Ethical Hacking
Iniciación al Ethical Hacking
 
Seguridad clase-2
Seguridad clase-2Seguridad clase-2
Seguridad clase-2
 
Ethical hacking
Ethical hackingEthical hacking
Ethical hacking
 
Defensa de Red - Seguridad Informática
Defensa de Red - Seguridad InformáticaDefensa de Red - Seguridad Informática
Defensa de Red - Seguridad Informática
 
42 seguridad y autenticación
42 seguridad y autenticación42 seguridad y autenticación
42 seguridad y autenticación
 
Antivirus apts, una nueva amenaza
Antivirus apts, una nueva amenazaAntivirus apts, una nueva amenaza
Antivirus apts, una nueva amenaza
 
CASO 2 DE SEGURIDAD INFORMATICA.docx
CASO 2 DE SEGURIDAD INFORMATICA.docxCASO 2 DE SEGURIDAD INFORMATICA.docx
CASO 2 DE SEGURIDAD INFORMATICA.docx
 

More from Eduardo Arriols Nuñez

Red Team: Auditando los procesos de detección y respuesta a incidentes
Red Team: Auditando los procesos de detección y respuesta a incidentesRed Team: Auditando los procesos de detección y respuesta a incidentes
Red Team: Auditando los procesos de detección y respuesta a incidentesEduardo Arriols Nuñez
 
Cyber Threats on the Industrial Environment
Cyber Threats on the Industrial EnvironmentCyber Threats on the Industrial Environment
Cyber Threats on the Industrial EnvironmentEduardo Arriols Nuñez
 
Vulnerando Entornos Critios: Smart-Cities, Smart-Buildings y Grandes Corporac...
Vulnerando Entornos Critios: Smart-Cities, Smart-Buildings y Grandes Corporac...Vulnerando Entornos Critios: Smart-Cities, Smart-Buildings y Grandes Corporac...
Vulnerando Entornos Critios: Smart-Cities, Smart-Buildings y Grandes Corporac...Eduardo Arriols Nuñez
 
¿Alguna vez has pensado que te gustaría ser "hacker"?
¿Alguna vez has pensado que te gustaría ser "hacker"?¿Alguna vez has pensado que te gustaría ser "hacker"?
¿Alguna vez has pensado que te gustaría ser "hacker"?Eduardo Arriols Nuñez
 
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?Eduardo Arriols Nuñez
 
Red Team: Next Generation Penetration Testing
Red Team: Next Generation Penetration TestingRed Team: Next Generation Penetration Testing
Red Team: Next Generation Penetration TestingEduardo Arriols Nuñez
 
Physical Penetration Testing (RootedCON 2015)
Physical Penetration Testing (RootedCON 2015)Physical Penetration Testing (RootedCON 2015)
Physical Penetration Testing (RootedCON 2015)Eduardo Arriols Nuñez
 
Red Team: Un cambio necesario para la visión holística de la ciberseguridad
Red Team: Un cambio necesario para la visión holística de la ciberseguridadRed Team: Un cambio necesario para la visión holística de la ciberseguridad
Red Team: Un cambio necesario para la visión holística de la ciberseguridadEduardo Arriols Nuñez
 
Los sistemas informáticos de tu empresa al descubierto
Los sistemas informáticos de tu empresa al descubiertoLos sistemas informáticos de tu empresa al descubierto
Los sistemas informáticos de tu empresa al descubiertoEduardo Arriols Nuñez
 
Hacking ético en aplicaciones web [SQL Injection]
Hacking ético en aplicaciones web [SQL Injection]Hacking ético en aplicaciones web [SQL Injection]
Hacking ético en aplicaciones web [SQL Injection]Eduardo Arriols Nuñez
 

More from Eduardo Arriols Nuñez (14)

Red Team: Auditando los procesos de detección y respuesta a incidentes
Red Team: Auditando los procesos de detección y respuesta a incidentesRed Team: Auditando los procesos de detección y respuesta a incidentes
Red Team: Auditando los procesos de detección y respuesta a incidentes
 
Cyber Threats on the Industrial Environment
Cyber Threats on the Industrial EnvironmentCyber Threats on the Industrial Environment
Cyber Threats on the Industrial Environment
 
Vulnerando Entornos Critios: Smart-Cities, Smart-Buildings y Grandes Corporac...
Vulnerando Entornos Critios: Smart-Cities, Smart-Buildings y Grandes Corporac...Vulnerando Entornos Critios: Smart-Cities, Smart-Buildings y Grandes Corporac...
Vulnerando Entornos Critios: Smart-Cities, Smart-Buildings y Grandes Corporac...
 
Como Pedro por su Smart-Building
Como Pedro por su Smart-BuildingComo Pedro por su Smart-Building
Como Pedro por su Smart-Building
 
Hacking Ético Web
Hacking Ético WebHacking Ético Web
Hacking Ético Web
 
¿Como es el trabajo de un Hacker?
¿Como es el trabajo de un Hacker?¿Como es el trabajo de un Hacker?
¿Como es el trabajo de un Hacker?
 
¿Alguna vez has pensado que te gustaría ser "hacker"?
¿Alguna vez has pensado que te gustaría ser "hacker"?¿Alguna vez has pensado que te gustaría ser "hacker"?
¿Alguna vez has pensado que te gustaría ser "hacker"?
 
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?
 
Red Team: Next Generation Penetration Testing
Red Team: Next Generation Penetration TestingRed Team: Next Generation Penetration Testing
Red Team: Next Generation Penetration Testing
 
Physical Penetration Testing (RootedCON 2015)
Physical Penetration Testing (RootedCON 2015)Physical Penetration Testing (RootedCON 2015)
Physical Penetration Testing (RootedCON 2015)
 
Red Team: Un cambio necesario para la visión holística de la ciberseguridad
Red Team: Un cambio necesario para la visión holística de la ciberseguridadRed Team: Un cambio necesario para la visión holística de la ciberseguridad
Red Team: Un cambio necesario para la visión holística de la ciberseguridad
 
Los sistemas informáticos de tu empresa al descubierto
Los sistemas informáticos de tu empresa al descubiertoLos sistemas informáticos de tu empresa al descubierto
Los sistemas informáticos de tu empresa al descubierto
 
Hacking ético [Pentest]
Hacking ético [Pentest]Hacking ético [Pentest]
Hacking ético [Pentest]
 
Hacking ético en aplicaciones web [SQL Injection]
Hacking ético en aplicaciones web [SQL Injection]Hacking ético en aplicaciones web [SQL Injection]
Hacking ético en aplicaciones web [SQL Injection]
 

Recently uploaded

Producto académico 03 - Habilidades Comunicativas.pptx
Producto académico 03 - Habilidades Comunicativas.pptxProducto académico 03 - Habilidades Comunicativas.pptx
Producto académico 03 - Habilidades Comunicativas.pptx46828205
 
GRUPO 10 SOFTWARE DE EL CAMPO DE LA SAULD
GRUPO 10 SOFTWARE DE EL CAMPO DE LA SAULDGRUPO 10 SOFTWARE DE EL CAMPO DE LA SAULD
GRUPO 10 SOFTWARE DE EL CAMPO DE LA SAULDLeslie Villar
 
GRUPO 5 Software en el campo de la salud.pptx
GRUPO 5 Software en el campo de la salud.pptxGRUPO 5 Software en el campo de la salud.pptx
GRUPO 5 Software en el campo de la salud.pptxNicolas Villarroel
 
actividad.06_crea_un_recurso_multimedia_M01_S03_M01.ppsx
actividad.06_crea_un_recurso_multimedia_M01_S03_M01.ppsxactividad.06_crea_un_recurso_multimedia_M01_S03_M01.ppsx
actividad.06_crea_un_recurso_multimedia_M01_S03_M01.ppsx241532171
 
PRIMARIA 1. RESUELVE PROBLEMAS DE FORMA MOVIMIENTO Y LOCALIZACIÓN 2 (2).pptx
PRIMARIA 1. RESUELVE PROBLEMAS DE FORMA MOVIMIENTO Y LOCALIZACIÓN 2 (2).pptxPRIMARIA 1. RESUELVE PROBLEMAS DE FORMA MOVIMIENTO Y LOCALIZACIÓN 2 (2).pptx
PRIMARIA 1. RESUELVE PROBLEMAS DE FORMA MOVIMIENTO Y LOCALIZACIÓN 2 (2).pptxRodriguezLucero
 
Tema 1 - Fundamentos de gestión contable.pptx
Tema 1 - Fundamentos de gestión contable.pptxTema 1 - Fundamentos de gestión contable.pptx
Tema 1 - Fundamentos de gestión contable.pptxchinojosa17
 
Buscadores, SEM SEO: el desafío de ser visto en la web
Buscadores, SEM SEO: el desafío de ser visto en la webBuscadores, SEM SEO: el desafío de ser visto en la web
Buscadores, SEM SEO: el desafío de ser visto en la webDecaunlz
 
COMPETENCIAS CIUDADANASadadadadadadada .pdf
COMPETENCIAS CIUDADANASadadadadadadada .pdfCOMPETENCIAS CIUDADANASadadadadadadada .pdf
COMPETENCIAS CIUDADANASadadadadadadada .pdfOscarBlas6
 
Fisica General.pdf ESCUELA D QUIMICA E INGENIERIA
Fisica General.pdf ESCUELA D QUIMICA E INGENIERIAFisica General.pdf ESCUELA D QUIMICA E INGENIERIA
Fisica General.pdf ESCUELA D QUIMICA E INGENIERIAcoloncopias5
 
CamposGarcia_MariaMagdalena_M1S3AI6.pptx
CamposGarcia_MariaMagdalena_M1S3AI6.pptxCamposGarcia_MariaMagdalena_M1S3AI6.pptx
CamposGarcia_MariaMagdalena_M1S3AI6.pptx241518192
 
El uso de las tic en la vida continúa , ambiente positivo y negativo.
El uso de las tic en la vida continúa , ambiente positivo y negativo.El uso de las tic en la vida continúa , ambiente positivo y negativo.
El uso de las tic en la vida continúa , ambiente positivo y negativo.ayalayenifer617
 
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENA
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENAINSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENA
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENAdanielaerazok
 
2º SOY LECTOR PART 2- MD EDUCATIVO (6).pdf
2º SOY LECTOR PART 2- MD EDUCATIVO (6).pdf2º SOY LECTOR PART 2- MD EDUCATIVO (6).pdf
2º SOY LECTOR PART 2- MD EDUCATIVO (6).pdfFernandaHernandez312615
 
FLUIDEZ-Teatro-Leido-4to-Grado-El-leon-y-el-raton- (1).pdf
FLUIDEZ-Teatro-Leido-4to-Grado-El-leon-y-el-raton- (1).pdfFLUIDEZ-Teatro-Leido-4to-Grado-El-leon-y-el-raton- (1).pdf
FLUIDEZ-Teatro-Leido-4to-Grado-El-leon-y-el-raton- (1).pdfYuriFuentesMartinez2
 
libro de Ciencias Sociales_6to grado.pdf
libro de Ciencias Sociales_6to grado.pdflibro de Ciencias Sociales_6to grado.pdf
libro de Ciencias Sociales_6to grado.pdfFAUSTODANILOCRUZCAST
 
Institucion educativa la esperanza sede la magdalena
Institucion educativa la esperanza sede la magdalenaInstitucion educativa la esperanza sede la magdalena
Institucion educativa la esperanza sede la magdalenadanielaerazok
 
rodriguez_DelAngel_MariaGPE_M1S3AL6.pptx
rodriguez_DelAngel_MariaGPE_M1S3AL6.pptxrodriguez_DelAngel_MariaGPE_M1S3AL6.pptx
rodriguez_DelAngel_MariaGPE_M1S3AL6.pptxssuser61dda7
 
institucion educativa la esperanza sede magdalena
institucion educativa la esperanza sede magdalenainstitucion educativa la esperanza sede magdalena
institucion educativa la esperanza sede magdalenajuniorcuellargomez
 
3Mayo2023 Taller construcción de Prototipos.pptx
3Mayo2023 Taller construcción de Prototipos.pptx3Mayo2023 Taller construcción de Prototipos.pptx
3Mayo2023 Taller construcción de Prototipos.pptxadso2024sena
 

Recently uploaded (19)

Producto académico 03 - Habilidades Comunicativas.pptx
Producto académico 03 - Habilidades Comunicativas.pptxProducto académico 03 - Habilidades Comunicativas.pptx
Producto académico 03 - Habilidades Comunicativas.pptx
 
GRUPO 10 SOFTWARE DE EL CAMPO DE LA SAULD
GRUPO 10 SOFTWARE DE EL CAMPO DE LA SAULDGRUPO 10 SOFTWARE DE EL CAMPO DE LA SAULD
GRUPO 10 SOFTWARE DE EL CAMPO DE LA SAULD
 
GRUPO 5 Software en el campo de la salud.pptx
GRUPO 5 Software en el campo de la salud.pptxGRUPO 5 Software en el campo de la salud.pptx
GRUPO 5 Software en el campo de la salud.pptx
 
actividad.06_crea_un_recurso_multimedia_M01_S03_M01.ppsx
actividad.06_crea_un_recurso_multimedia_M01_S03_M01.ppsxactividad.06_crea_un_recurso_multimedia_M01_S03_M01.ppsx
actividad.06_crea_un_recurso_multimedia_M01_S03_M01.ppsx
 
PRIMARIA 1. RESUELVE PROBLEMAS DE FORMA MOVIMIENTO Y LOCALIZACIÓN 2 (2).pptx
PRIMARIA 1. RESUELVE PROBLEMAS DE FORMA MOVIMIENTO Y LOCALIZACIÓN 2 (2).pptxPRIMARIA 1. RESUELVE PROBLEMAS DE FORMA MOVIMIENTO Y LOCALIZACIÓN 2 (2).pptx
PRIMARIA 1. RESUELVE PROBLEMAS DE FORMA MOVIMIENTO Y LOCALIZACIÓN 2 (2).pptx
 
Tema 1 - Fundamentos de gestión contable.pptx
Tema 1 - Fundamentos de gestión contable.pptxTema 1 - Fundamentos de gestión contable.pptx
Tema 1 - Fundamentos de gestión contable.pptx
 
Buscadores, SEM SEO: el desafío de ser visto en la web
Buscadores, SEM SEO: el desafío de ser visto en la webBuscadores, SEM SEO: el desafío de ser visto en la web
Buscadores, SEM SEO: el desafío de ser visto en la web
 
COMPETENCIAS CIUDADANASadadadadadadada .pdf
COMPETENCIAS CIUDADANASadadadadadadada .pdfCOMPETENCIAS CIUDADANASadadadadadadada .pdf
COMPETENCIAS CIUDADANASadadadadadadada .pdf
 
Fisica General.pdf ESCUELA D QUIMICA E INGENIERIA
Fisica General.pdf ESCUELA D QUIMICA E INGENIERIAFisica General.pdf ESCUELA D QUIMICA E INGENIERIA
Fisica General.pdf ESCUELA D QUIMICA E INGENIERIA
 
CamposGarcia_MariaMagdalena_M1S3AI6.pptx
CamposGarcia_MariaMagdalena_M1S3AI6.pptxCamposGarcia_MariaMagdalena_M1S3AI6.pptx
CamposGarcia_MariaMagdalena_M1S3AI6.pptx
 
El uso de las tic en la vida continúa , ambiente positivo y negativo.
El uso de las tic en la vida continúa , ambiente positivo y negativo.El uso de las tic en la vida continúa , ambiente positivo y negativo.
El uso de las tic en la vida continúa , ambiente positivo y negativo.
 
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENA
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENAINSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENA
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENA
 
2º SOY LECTOR PART 2- MD EDUCATIVO (6).pdf
2º SOY LECTOR PART 2- MD EDUCATIVO (6).pdf2º SOY LECTOR PART 2- MD EDUCATIVO (6).pdf
2º SOY LECTOR PART 2- MD EDUCATIVO (6).pdf
 
FLUIDEZ-Teatro-Leido-4to-Grado-El-leon-y-el-raton- (1).pdf
FLUIDEZ-Teatro-Leido-4to-Grado-El-leon-y-el-raton- (1).pdfFLUIDEZ-Teatro-Leido-4to-Grado-El-leon-y-el-raton- (1).pdf
FLUIDEZ-Teatro-Leido-4to-Grado-El-leon-y-el-raton- (1).pdf
 
libro de Ciencias Sociales_6to grado.pdf
libro de Ciencias Sociales_6to grado.pdflibro de Ciencias Sociales_6to grado.pdf
libro de Ciencias Sociales_6to grado.pdf
 
Institucion educativa la esperanza sede la magdalena
Institucion educativa la esperanza sede la magdalenaInstitucion educativa la esperanza sede la magdalena
Institucion educativa la esperanza sede la magdalena
 
rodriguez_DelAngel_MariaGPE_M1S3AL6.pptx
rodriguez_DelAngel_MariaGPE_M1S3AL6.pptxrodriguez_DelAngel_MariaGPE_M1S3AL6.pptx
rodriguez_DelAngel_MariaGPE_M1S3AL6.pptx
 
institucion educativa la esperanza sede magdalena
institucion educativa la esperanza sede magdalenainstitucion educativa la esperanza sede magdalena
institucion educativa la esperanza sede magdalena
 
3Mayo2023 Taller construcción de Prototipos.pptx
3Mayo2023 Taller construcción de Prototipos.pptx3Mayo2023 Taller construcción de Prototipos.pptx
3Mayo2023 Taller construcción de Prototipos.pptx
 

Red Team Technical Approach

  • 1. Technical Approach to Red Team Operations MoscowC0N earriols@redteaming.es
  • 2. Índice 1) Introducción 2) Definición de los ejercicios 3) Pautas para la correcta ejecucción 4) Ejemplos reales
  • 4. Necesidad actual Eduardo Arriols Nuñez (earriols@redteaming.es) ¿Podemos decir por lo tanto que estamos protegidos? Las comprobaciones de seguridad actuales no son realistas Las empresas desconocen el nivel real de detección de sus equipos Los ataques dirigidos no siguen normas ni reglas
  • 5. Definición de los ejercicios
  • 6. Definición Los ejercicios de Red Team son pruebas altamente especializado de intrusión, que mediante la combinación de vectores de ataque simula una intrusión real en la organización y permite a la empresa identificar su nivel de seguridad global, así como el nivel de prevención y protección frente a amenazas dirigidas. El equipo debe estar formado por un grupo multidisciplinar de expertos en los diferentes ámbitos de actuación (seguridad digital, física y humana). SEGURIDAD DIGITAL SEGURIDAD HUMANA SEGURIDAD FÍSICA INTELIGENCIA OFENSIVA
  • 7. Objetivo Mediante la replicación de las técnicas, tácticas y procedimientos (TTPs) de intrusión que podrían ser utilizadas por un atacante real, se comprueba el impacto real de negocio que provocaría un ataque dirigido a través del compromiso de los principales activos de la organización. Este tipo de ejercicios permite identificar el nivel de protección de la organización frente a ataques dirigidos, y aumentar posteriormente las capacidades técnicas del equipo de defensa o Blue Team. Eduardo Arriols Nuñez (earriols@redteaming.es)
  • 8. Vectores de ataque Dependiendo de los ámbitos de actuación permitidos en el ejercicio pueden ser utilizadas cualquier tipo de técnica o combinación de ellas que permitan materializar una intrusión y posteriormente acceso a los activos críticos de la organización. Algunos ejemplos de acciones comunes son: Intrusión Física Intrusión Digital Ingeniería Social Análisis perimetral de seguridad física Identificación de accesos alternativos Evasión de control RFID / NFC Evasión de control biométrico Evaluación de sistemas embebidos Análisis Wireless Control remoto de CCTV Análisis de Smart-Buildings Anonimización de las comunicaciones Análisis de sistemas perimetrales Análisis de servidores públicos Intrusión y control de dominios internos Control a sistemas Industriales Control de sistemas Mainframe Desarrollo de exploits propios Desarrollo de campañas de Phishing Envío de Phishing dirigido Envío de malware personalizado Despliegue de dispositivos USB Cebo Acciones de Vishing personalizado Suplantación de identidad Escenario personal de Ingeniería Social Análisis de leaks y datos filtradosDesarrollo de malware a medida Análisis físico de entornos industriales Creación de escenarios a medidaObtención de información crítica
  • 9. Distinción entre servicios Alcance: Activos muy limitados Ámbitos: Acotado a un escenario Detalles: Conocidos por la organización Tiempo: Ajustado a días Vectores: Limitado a identificación de vulnerabilidades conocidas Alcance: Específicos con cierta amplitud Ámbitos: Acotado a un escenario Detalles: Conocidos por la organización Tiempo: Semanas Vectores: Identificación y explotación de vulnerabilidades conocidas o no Alcance: Completo Ámbitos: Cualquier ámbito y uniones Detalles: Desconocidos por la organización Tiempo: Meses Vectores: Multidimensionales y flexibles (Simulación de amenazas dirigidas)
  • 10. Metodología COMPROMISO INICIAL ACCESO INTERNO RECONOCIMIENTO INTERNO & MOVIMIENTO LATERAL ELEVACION DE PRIVILEGIOS & PERSISTENCIA FINALIZACIÓN DEL EJERCICIO RECONOCIMIENTO EXTERNO DEFINICIÓN Y PLANIFICACIÓN Atendiendo a la necesidad de llevar a cabo una intrusión realista, se siguen en todo momento las mismas acciones que son realizadas por un atacante durante una intrusión o ataque dirigido (APT). En dicha metodología destaca el modelado de amenazas realizado al inicio. Simulación real
  • 11. Equipo de trabajo Manager Red Team Coordinadores de Equipo Expertos Red Team Coordinadores de Soporte Especialistas RED TEAM La comunicación entre los equipos es directa
  • 12. Equipos involucrados Eduardo Arriols Nuñez (earriols@redteaming.es) Red Team PurpleTeam Blue Team White Team Defensor Empresa Atacante Amplificar
  • 13. Beneficios para la organización Nivel de seguridad global1 Entrenamiento del Blue Team 2 Vectores de ataque reales3 Mejora continua 4 Preparación y defensa frente a ataques dirigidos y amenazas reales
  • 14. Pautas para la correcta ejecucción
  • 15. 1) Definición y planificación 2) Reconocimiento externo y compromiso inicial 3) Intrusión interna Ejercicio Red Team
  • 16. 1) Definición y planificación 2) Reconocimiento externo y compromiso inicial 3) Intrusión interna Ejercicio Red Team
  • 17. Definición y planificación Dentro de las acciones acotadas en este apartado encontraríamos las siguientes: - Investigación preliminar: Reconocimiento previo al inicio del ejercicio que permita identificar la tipología de empresa, ubicaciones, infraestructura de red publica, etcétera. - Identificación de activos críticos: Con la información anterior es necesario identificar aquellos activos considerados como el ‘core’ de negocio para la organización. Matriz CARVER y otros. - Planificación del ejercicio: Planificación de las acciones permitidas y en base a las probabilidades de éxito. También deberá estimarse los perfiles y el numero de integrantes del equipo. Eduardo Arriols Nuñez (earriols@redteaming.es) - Preparación de la infraestructura: Desarrollo y despliegue de la infraestructura necesaria para la ejecución del ejercicio. Algunos ejemplos comunes: Servidores de ataque, túneles, gestión de VPSs, … En este aspecto se incluye también la parte física y humana.
  • 18. Evitar la identificación del equipo Otro aspecto fundamente para la correcta ejecución del ejercicio es evitar la identificación del equipo como origen de las pruebas. Para ello habrá que tener especial cuidado en la realización de pruebas activas en el ámbito digital, físico y humano. A nivel de perímetro es recomendable utilizar las siguientes tecnologías dentro del ámbito digital:
  • 19. Uso de software indetectable Otro de los puntos ha destacar para materializar una intrusión real es tener la capacidad dentro del equipo de poder desarrollar software a medida y hacer indetectables ciertos softwares como Mimikatz. Es importante destacar que deben utilizarse escaners o plataformas que mantengan anónimas las muestras generadas para cada ejercicio. Eduardo Arriols Nuñez (earriols@redteaming.es) https://scan.majyx.net/ También es importante evitar el uso de software de 3º partes que no haya sido comprobado anteriormente, por si este pudiera contener algún tipo de código malicioso. Un ejemplo claro podría ser el uso de webshells.
  • 20. 1) Definición y planificación 2) Reconocimiento externo y compromiso inicial 3) Intrusión interna Ejercicio Red Team
  • 21. Reconocimiento externo y compromiso inicial Dentro de las acciones principales acotadas en este apartado encontraríamos las siguientes: - Análisis inicial: Reconocimiento exhaustivo sobre los activos acotados dentro del alcance. - Vectores de acceso digital: Cualquier vector que permita acceso a la infraestructura digital. - Vectores de acceso físico: Cualquier vector que permita acceso a la infraestructura física. - Vectores de acceso humano: Cualquier vector que haga uso de ingeniería social. - Compromiso inicial: Identificación del vector de acceso que permitiera materializar la intrusión. Eduardo Arriols Nuñez (earriols@redteaming.es) Vector de acceso Vector de ataque
  • 22. Análisis inicial El análisis inicial consiste en comenzar las pruebas siguiendo la planificación establecida anteriormente. Este análisis involucrará a los diferentes integrantes del equipo, que se distribuirán las tareas de forma paralela hasta que uno de ellos tenga éxito e identifique un vector de acceso que permita continuar con la intrusión interna. Dependiendo del tipo de organización (Bancaria, Industrial, etcétera) habrá diferentes pruebas con mayor probabilidad de éxito. Es común en los ejercicios dedicar un par de semanas a realizar de forma correcta este análisis inicial que nos permita identificar todos los activos de la organización sobre los que se podrán realizar las pruebas. Eduardo Arriols Nuñez (earriols@redteaming.es)
  • 23. Vector de acceso digital Cuando hablamos de vector de acceso digital nos referimos a aquellas pruebas que pueden ser realizadas sobre activos digitales con el objetivo de identificar un vector de acceso a la organización con el que materializar la intrusión. De entre las acciones que podemos encontrarnos, las mas comunes son: - Perímetro: Nuestro objetivo será identificar un sistema vulnerable expuesto a Internet que posteriormente podamos utilizar para pivotar a la red interna. No se buscaran vulnerabilidades que no cumplan este objetivo. - Redes Wi-Fi: Nuestro objetivo será lograr acceso interno a la organización utilizando para ello vectores de ataque sobre las redes y clientes Wi-Fi de la organización. En este punto destacaran principalmente los ataques a clientes. Eduardo Arriols Nuñez (earriols@redteaming.es)
  • 24. Vector de acceso digital – Perímetro Principales pautas para lograr el acceso digital a través del perímetro Normalmente las organizaciones tienden a proteger fuertemente sus sistemas a nivel de perímetro, pero únicamente aquellos que consideran mas importantes o críticos para el negocio. Por ello, es común encontrar aplicaciones antiguas, olvidadas y sin ningún valor para la organización que pueden servirnos como vector de acceso para pivotar a la parte interna. En este punto vamos a destacar tres aspectos realmente importantes - Inventariado de activos dentro del alcance: Esto es posible a través de la búsqueda en sistema autónomos (AS), rangos de red, buscadores como Shodan, histórico de escaneos, dominios y subdominios, etcétera. - Búsqueda de sistemas antiguos: Hay que centrarse en los mas antiguos primero. - Uso de software como reGeorg para pivotar: ReGeorg es una excelente herramienta desarrollada en PHP, JSP, ASP y ASP.NET que nos permite tunelizar nuestro trafico a través de llamadas al sistema. De esta forma, teniendo la capacidad de subir un fichero al sistema podemos utilizarlo para pivotar a través de el a la red a la que este conectada.
  • 25. Vector de acceso digital – Wi-Fi Principales pautas para lograr el acceso digital a través de las redes Wi-Fi Otra posibilidad para comprobar el ámbito digital sería revisar las redes inalámbricas de la organización objetivo. Al igual que con las pruebas de perímetro, no se verifican todas las posibilidades, sino aquellas que realmente puedan permitir acceso a la red interna de la organización. Algunas de las pruebas principales que podemos realizar son las siguientes: - Ataques a redes tradicionales (WEP, WPA y WPA2 con clave precompartida) - Ataques a clientes en redes WPA2 Enterprise (FreeRadius & Hostapd-wpe) - Ataques a clientes mediante ingeniería social (Suplantación de redes, portales cautivos, …) - Otros ataques mas avanzados y combinados contra clientes como MouseJacking con ingeniería social Eduardo Arriols Nuñez (earriols@redteaming.es)
  • 26. Vector de acceso físico Cuando hablamos de vector de acceso físico nos referimos a aquellas pruebas que pueden ser realizadas sobre activos físicos con el objetivo de identificar un vector de acceso a la organización con el que materializar la intrusión. Realmente podemos acotar las pruebas al acceso físico a las instalaciones, aunque podemos hacer una diferenciación respecto del método a través del cual se mantendrá el acceso a la organización en: - Despliegue de implante físico: Tras lograr acceso físico a las instalaciones se despliegue un dispositivo como una Raspberry Pi o similar oculta y conectada por un lado a la red interna de la organización y por otro, mediante una conexiones 3G o Wi-Fi al equipo Red Team. De esta forma es posible tener un dispositivo conectado a la red que evita todos los sistemas de seguridad a nivel de perímetro. - Acceso a equipo interno e implantación de backdoor: Otra posibilidad una vez se ha logrado el acceso físico es acceder a un equipo interno mediante un Live USB o CD como Kon-Boot, con el cual poder acceder al equipo como administrador local. De esta forma se buscara implantar persistencia en el sistema para que se conecte de forma inversa al equipo Red Team. Eduardo Arriols Nuñez (earriols@redteaming.es)
  • 27. Vector de acceso físico Principales pautas para lograr el acceso físico a las instalaciones Otro aspecto fundamente para la correcta ejecución del ejercicio es evitar la identificación del equipo. Para ello habrá que tener especial cuidado en la realización de pruebas activas en el ámbito digital, físico y humano. - Reconocimiento Online: Se buscará realizar un reconocimiento previo de las instalaciones para identificar la mayor cantidad de información posible sin interactuar con el activo, como medidas de seguridad, posibles vías de entrada, etcétera. Eduardo Arriols Nuñez (earriols@redteaming.es) - Reconocimiento Onsite: Se realizará un reconocimiento activo y directo contra las instalaciones de la entidad objetivo. Para ello se puede hacer uso de micro-cámaras, cámaras réflex, drones de reconocimiento, etcétera. Principalmente se deberá de identificar todos los accesos, sus medidas de seguridad, las medidas de seguridad internas, alarmas instaladas, etcétera.
  • 28. Vector de acceso físico Principales pautas para lograr el acceso físico a las instalaciones - Evasión del control de acceso mediante clonado de tarjetas de acceso (RFID / NFC): El uso de tarjetas contactless para el control de acceso es algo realmente habitual a día de hoy en las organización. En muchas ocasiones estas tarjetas no están correctamente aseguradas y con simples escenarios de ingeniería social puede ser posible obtener la copia de la tarjeta de un empleado. - Evasión del control de acceso mediante el uso de ingeniería social: Otra posibilidad que tiene relación con el ámbito humano es utilizar escenarios de ingeniería social especialmente diseñados para lograr la intrusión física en la organización. Esto puede hacer uso de suplantaciones de identidad, técnicas como tailgating, etcétera. - Evasión de medidas de seguridad físicas: En aquellos casos donde la intrusión tenga un enfoque mas puro respecto de la intrusión física será necesario utilizar técnicas para la evasión de medidas de seguridad como detectores de movimiento, alarmas, etcétera. Esto son únicamente algunos ejemplos ya que dependiendo del escenario que este siendo realizado puede haber una diferentes variaciones a ejecutar. Eduardo Arriols Nuñez (earriols@redteaming.es)
  • 29. Vector de acceso humano Cuando hablamos de vector de acceso digital nos referimos a aquellas pruebas que pueden ser realizadas sobre activos humanos (empleados) con el objetivo de identificar un vector de acceso a la organización con el que materializar la intrusión. De entre las acciones que podemos encontrarnos, las mas comunes son: - Phishing: Envío de correos suplantando la identidad del emisor. - Vishing: Llamadas de teléfono suplantando la identidad del llamador. - USB Cebo: Despliegue de dispositivos USB maliciosos por las inmediaciones del objetivo. - Personal: Desarrollo de escenarios de ingeniería social de manera personal. Es importante destacar que en los ejercicios de Red Team, las pruebas de ingeniería social no suelen ser indiscriminadas sobre todos los empleados, sino sobre un pequeño conjunto de ellos para evitar levantar sospechas. Eduardo Arriols Nuñez (earriols@redteaming.es)
  • 30. Vector de acceso humano – Phishing Cuando realizamos pruebas de Phishing podemos tener diferentes enfoques en base al objetivo que tenga el envío de correos en el ejercicio. Por hacer un breve resumen y teniendo en cuenta los mas destacados nos encontramos: - Obtención de información: Sobre la compañía, empleado, equipos internos, etcétera. - Cambio de credenciales: Crear un escenario donde se fuerce al empleado a modificar sus credenciales. - Redirección a pagina falsa: Realizar una suplantación de una web con el objetivo de capturar credenciales, distribuir malware y/o comprometer equipos internos. - Enlace para la descarga de malware: Redireccionar al usuario para que se descargue y ejecute un malware. - Malware adjunto en el correo: Adjuntar malware al correo enviado con un pretexto creíble. Eduardo Arriols Nuñez (earriols@redteaming.es)
  • 31. Vector de acceso humano – Phishing Ya que las pruebas son realizadas dentro de un ejercicio de Red Team es importante tener en consideración ciertos aspectos como: - Importancia de crear escenarios lo mas realistas posibles. - Importancia de desarrollar pretextos creíbles y satisfactorios. - Comprar y utilizar dominios lo mas similares posibles a los originales. Esto requiere comúnmente de un estudio previo, así como de las aplicaciones con mas probabilidad de éxito. - Al igual que en todas las demás pruebas, los datos del equipo proporcionados en proveedores deberían de ser falsos. - Cuando sea necesario lanzar una campaña sobre muchos usuarios es importante utilizar plataforma como goPhish o similares. Eduardo Arriols Nuñez (earriols@redteaming.es)
  • 32. Vector de acceso humano – Vishing Las pruebas de llamadas telefónicas pueden ser realmente efectivas si se desarrollan bajo un escenario y pretexto creíble, y se juntan con otras pruebas ejecutadas en el ejercicio. Dentro de las posibilidades que nos podemos encontrar en cuanto al objetivo de las pruebas nos encontramos principalmente las siguientes: - Obtención de información: Buscaremos obtener información sobre el sistema del empleado, la red interna, su configuración, antivirus, credenciales, etcétera. - Cambio de credenciales: Buscaremos forzar al usuario a modificar sus credenciales para permitirnos acceso por otras vías como VPN corporativa, redes Wi-Fi, etcétera. Eduardo Arriols Nuñez (earriols@redteaming.es)
  • 33. Vector de acceso humano – Vishing A la hora de realizar acciones de Vishing es importante tener en cuenta una serie de pautas: - Es una aproximación muy efectiva y directa, que permite de forma rápida obtener información sensible o ayudar en la ejecución de otras actividades como la intrusión física. - Para realizar correctamente los escenarios es muy importante tener definido la información a extraer o las acciones que debe realizar el objetivo. - Desarrollar una hoja de ruta para la conversación nos permitirá focalizarnos en los objetivos que hayan sido planteados. En este caos es importante contemplar todas las situaciones posibles y estar preparado para cualquier cosa. - Suplantar números de teléfonos conocidos por la persona objetivo nos permite obtener un mayor nivel de confianza con la persona objetivo. Eduardo Arriols Nuñez (earriols@redteaming.es)
  • 34. Vector de acceso humano – USB Cebo Otro vector de ataque inicial que puede ser ejecutado son los escenarios de USB Cebo, donde se buscara comprometer el equipo de aquellas personas que ‘piquen’ en este cebo. Para una correcta ejecución de las pruebas es recomendable tener en cuenta los siguientes aspectos: - Importancia de utilizar dispositivos USB diferentes para evitar que se identifique el ataque. - No desplegar una gran cantidad de dispositivos. - Desplegar los dispositivos en diferentes zonas, evitar dejar todos muy próximos. - Uso de malware o mutaciones diferentes a ser posible en cada dispositivo. - Montar escenarios de ingeniería social para dar un mayor nivel de realismo. Si es posible esto es algo que incrementa enormemente las posibilidades de éxito, aunque hay que realizar un correcto escenario de ingeniería social. Eduardo Arriols Nuñez (earriols@redteaming.es)
  • 35. Vector de acceso humano – USB Cebo Aunque suele ser mas atípico, utilizar la ingeniería social de manera personal es un vector con un alto grado de éxito aunque arriesgado ya que únicamente puede ser ejecutado una vez. En este caso se suele requerir que la persona que vaya a realizar las pruebas tenga un perfil apto para las mismas, y cuente con una serie de escenarios y pretextos ampliamente trabajados. El objetivo de realizar este tipo de pruebas suele ser acceder físicamente a las instalaciones para poder acceder a la red interna de la organización para desplegar un dispositivo o acceder a algún equipo interno. En este caso debemos tener una serie de aspectos en cuenta: - Destacar la importancia de planificar en detalle las pruebas. - Conocer exactamente cuales van a ser los objetivos con los que se va a interactuar, y tener un plan B, C y D por si fuera necesario interactuar con otras personas de la organización. Eduardo Arriols Nuñez (earriols@redteaming.es)
  • 36. Compromiso inicial Una vez hemos logrado, a través de cualquiera de los anteriores vectores de ataque acceder a un sistema interno, es necesario realizar al menos las siguientes acciones antes de pasar a realizar la intrusión interna sobre la organización. - Análisis del sistema accedido - Identificación de información sensible en el sistema - Verificar las posibles acciones de pivoting hacia la red interna - Elevación de privilegios local en el equipo - Persistencia en el sistema - Verificar la posibilidad de continuar las pruebas de intrusión desde la persistencia Eduardo Arriols Nuñez (earriols@redteaming.es)
  • 37. 1) Definición y planificación 2) Reconocimiento externo y compromiso inicial 3) Intrusión interna Ejercicio Red Team
  • 38. Aspectos importantes a tener en cuenta Una vez contamos con un acceso a la red interna es hora de comenzar la intrusión digital interna sobre la organización en la mayoría de ocasiones, aunque esto puede variar dependiendo de la naturaleza de la intrusión que este siendo realizada. En el caso común será crucial que tengamos en cuenta ciertos aspectos, entre los que podemos destacar: - Evitar la identificación del equipo como origen de las pruebas durante todo el ejercicio. - Cifrado de la información tanto en las comunicaciones como en el almacenamiento. - Bitácora de acciones donde se centralice todas las acciones realizadas por los integrantes. - Coordinación con el White Team, aunque únicamente con información proporcionada por el RT. - No precipitarse en la ejecución de acciones, hay tiempo de sobra. - Estar al día de nuevas vulnerabilidades que puedan ser aprovechadas en el ejercicio. Eduardo Arriols Nuñez (earriols@redteaming.es)
  • 39. Pautas generales durante la intrusión Este punto podría tratar libros y libros ya que cada organización es completamente diferente a nivel interno. Aun así, existen una serie de pautas o comprobaciones que deben ser realizadas para ayudar a realizar la intrusión de forma correcta: - Análisis de la red accedida: Analizar la red que haya sido accedida para identificar sistemas y hacernos una idea del nivel de visibilidad interna que podemos tener. - Análisis de la red interna: Posteriormente comenzar con la enumeración interna de forma dirigida y acotada a determinados puertos que pudieran ser interesantes (8080, 445, …) - Análisis del dominio interno: Tras lograr acceso al Directorio Activo, analizarlo para comprender la organización interna. - Análisis de recursos compartidos: Por norma general, dentro de los recursos compartidos existe una gran cantidad de información sensible tanto de empleados, clientes como infraestructura. Eduardo Arriols Nuñez (earriols@redteaming.es)
  • 40. Pautas generales durante la intrusión - Acceso a equipos de administradores: Los administradores almacenan gran cantidad de información en sus equipos, por lo que acceder a ellos nos puede facilitar la intrusión interna. - Obtención de credenciales: Mediante enumeración de usuarios y fuerza bruta, internas mediante Mimikatz o similar, etcétera. - Reutilización de credenciales: Verificar la reutilización de credenciales en servicios internos y externos, cuentas de administrador, etcétera. - Explotación de vulnerabilidades (Mas típicas): En muchas ocasiones es posible realizar una intrusión interna haciendo uso de vulnerabilidades comunes como por ejemplo: - Incorrecta segmentación de red - Credenciales por defecto - Vulnerabilidades antiguas Eduardo Arriols Nuñez (earriols@redteaming.es)
  • 41. Implantación de persistencia real Al igual que las demás acciones descritas hasta el momento, la persistencia debe seguir una aproximación real a como se realizaría en un ataque dirigido. Este punto es importante ya que si se despliega de forma correcta la persistencia es prácticamente imposible que se pierda el acceso. Para implantar persistencia se deben de seguir las siguientes pautas: - Utilizar sistemas alojados en redes diferentes - Utilizar proxies de salida diferentes (si los hubiera) - Utilizar credenciales de empleado diferentes - Conectar la persistencia a sistemas VPS diferentes - Variar los métodos de persistencia - Implantar persistencia en red DMZ e interna Eduardo Arriols Nuñez (earriols@redteaming.es)
  • 42. Acceso a principales activos Sin duda este es el punto mas genérico, ya que cada organización tiene sus activos y las formas de acceder a los mismos pueden variar. Si es importante destacar que los activos críticos de negocio para una organización como los sistemas Mainframe o cajeros para una entidad bancaria suelen estar robustamente bastionados y con amplias medidas de seguridad, por lo que se recomienda no ir a la liguera y realizar acciones lo menos llamativas posibles. Una ultima recomendación, investigar y armaros de paciencia, que en muchos casos es necesaria!!
  • 44. Intrusión mediante perímetro Red Team Innotec System Web Web Web WorkstationsServidores Windows Controlador de dominio Dominio DominioNAS UnixP-SynchMainframe BBDD Servidor Cajeros Seg. Física Puestos Oficina WebWebBBDD Correo Servidores Internos VPS VPS VPS Se han omitido pasos para hacer mas fácil la comprensión
  • 45. Intrusión mediante Wi-Fi Cisco ISEWi-Fi DOM. IntSistemas int. PRO PRE DOM. Serv DOM. GestProxy Internet Red Team VPS Aux VPS Salida Tomcat Aplicación Cajeros Servidores Otros Otros Otros DDBB Aplicación Oficinas Se han omitido pasos para hacer mas fácil la comprensión