juan garrido @tr1ana - criptored · utilización de active directory gpo logon/logoff ......
TRANSCRIPT
Fast & Furious Incident ResponseJuan Garrido
@tr1ana
Agenda
¿Qué es un incidente?
Incidentes en la actualidad
Preparar una empresa para IR
Qué hacer cuando ha habido un ataque
Herramientas existentes
Conclusiones
3
4
¿Qué es un incidente?
Incidente
• Violación de las políticas de seguridad de una empresa
• Ejemplos:
• Denegación de servicio
• Ejecución de malware a través de attachment
• Fuga de información
• Etc..
80.000 incidentes
Compromisos reales
•2.000
Se conoce el motivo
•70%
Phishing como elemento principal
•23%
Attachment
•11%
Brechas de seguridad. Año 2015
Public30%
IT/Information20%
Bank50%
TOP 3
¿Realmente nos espían?
Capacidad de respuesta
¿Lecciones aprendidas?
• Depende siempre desde el prisma del que se mire
• Si no hay SDL/SIL/TM, no habrá lección aprendida
• El Ego ayuda a “trasladar la culpa”, no a asumirla
• El software/hardware de seguridad no es la solución – Es parte de -
Preparar empresa para IR
• Formar equipo de IR
– Manager, técnicos, herramientas, procedimientos, etc..
• Preparar un plan de acción
– Misión
– Estrategia
– Formularios
– Interlocutores internos
– Comunicaciones
– Métricas
– Training
– Etc..
¿Qué hacer ante una intrusión?
• Keep calm
– Intentar categorizar y establecer pautas.
– Tener claro quienes son los interlocutores
• Artifacts
– Determinar origen de la intrusión
– Extraer artifacts de equipos afectados
– Análisis de los artifacts
– Documentar incidente
– Priorizar acciones
– Notificaciones
– Recuperar el control
– Lecciones aprendidas
Variables inamovibles en un IR• Entorno hostil
• Múltiples consultas en N servidores y/o clientes
• ¿Arquitectura homogénea?
• ¿Arquitectura heterogénea?
• ¿Sistemas gobernados?• Visibilidad
• Segmentación de Red
• DMZ
Top fallos
• Tiempo
• ¿Cuándo nos enteramos del ataque?
• Datos
• Cantidad no significa calidad
• Herramientas
• ¿homologadas?¿Normalizadas?, Etc..
• Documentación
• ¿Con qué cuenta levanta qué servicio?
• Personal
• ¿Formación? ¿Visibilidad dentro de la empresa?
Consultoría
• Fallos de consultoría
• Todo pasa por la instalación de una herramienta
• Múltiples agentes por sistema
• Baja interoperabilidad
• Mantenimiento• Posibles soluciones
• Adaptar los sistemas a las nuevas ventajas del OS
• Sin agente
Herramientas IR
Aplicaciones
• Utilizan comandos del sistema
• Utilizan API del sistema
• En ocasiones desestabilizan el entorno
Utilización de Active Directory
GPO Logon/Logoff
• Requiere reinicio
• Lentitud en inicio de sesión
Herramienta IR• Debe ser estable
• Debe estar probada por el equipo/auditor
• La información debe ser útil
• La información debe ser tratable
• Debe eliminar:
• Incompatibilidades con OS
• Ser considerada como herramienta de Hacking
Herramientas corporativasVendor/Tool C/P Agent Portable Low
level
Reporting Licence
Mandiant IR No Yes No Yes Yes 44000 $
(<1000)
Google GRR Yes Yes No Yes Yes Free
RTIR(*) Yes No No No Yes Free
Thor No No Yes Yes Yes Per device
Mandiant
IOC
No No Yes Yes Yes Free
Crowd
Response
No No Yes No No Free
Helix IR No No Yes No No Per device
Fireamp Yes Yes No Yes Yes 30000$
(*) Only ticketing
C/P Cross Platform
Autenticación en Windows
• Implementa una rica variedad de tecnologías de autenticación:
• Contraseña
• Tokens
• Certificado
• Biometría
• Proveedores externos
• Etc..
Protocolos de autenticación• Definen normas y reglas
• El proceso de autenticación permite
• Autorizar usuarios, grupos y servicios
• Acceso a recursos bajo canales seguros
• Re-diseño a partir de Windows Vista
• Basado en API
• Escalable
Protocolos de autenticación• Los protocolos de autenticación por defecto son:
• NTLM
• Kerberos
• Digest
• Schannel
• Añadidos en Windows 7/8/8.1
• tspkg
• pku2u
• livessp
Modelo de seguridad
• Componentes encargados de:
• Inicio de sesión correcto: Auth + Authorization
• Inicio de sesión incorrecto: Access Denied
• Autoridad de seguridad local (LSA)
• Subsistema que permite el inicio de sesión
• Define y aplica las políticas de seguridad local
• Inicios de sesión, derechos de usuario, etc..
• Traducción de nombre SID
User: BonitaPassword hash:
C9DF4E…
Logon inicial
PC Bonita
User: Bonita
Password:
a1b2c3
Sesión Bonita
User: SuePassword hash:
C9DF4E…
Servidor externo
1
2
3
Sesión Bonita4
1. Bonita mete usuario y password en el PC
2. PC genera la sesión de bonita
3. Bonita accede a servidor externo
4. Si todo coincide, servidor externo genera la sesión
321
Qué no hay que utilizar
Windows
• El ecosistema Microsoft es una gran API
• WMI
• Jscript
• VBScript
• Powershell
• .NET
• Perl
• Etc…
WMI
• Instrumental de administración de Windows
• Provee una API para consultas de bajo/alto nivel
• Integrado con la mayoría de lenguajes
• Consultas similares a SQL
• Información basada en Clave:Valor
• Soporta autenticación
321
Acceso a clases WMI
Eventos de Windows
• Registran información de todo lo que pasa en el sistema
• Servicios
• Auditoría
• Autenticación
• Etc..
• Soporte suscripción de eventos en W2K8
• Acceso a través de múltiples canales
Tipos de Logon
Logon Type
2 Interactive
10 Remote Interactive
4 Batch
5 Service
7 Unlock
8 Network ClearText
9 NewCredentials
11 Cached Logon
Eventos de logon en 2003
ID Description
528 A user successfully logged on to a computer.
529 Logon failure. A logon attempt was made with an unknown user name or a known user name with a bad password.
530 Logon failure. A logon attempt was made outside the allowed time.
531 Logon failure. A logon attempt was made using a disabled account.
532 Logon failure. A logon attempt was made using an expired account.
533 Logon failure. A logon attempt was made by a user who is not allowed to log on at the specified computer.
534 Logon failure. The user attempted to log on with a password type that is not allowed.
Eventos de logon en 2003
ID Description
535 Logon failure. The password for the specified account has expired.
536 Logon failure. The Net Logon service is not active.
539 Logon failure. The account was locked out at the time the logon attempt was made.
540 A user successfully logged on to a network.
551 A user initiated the logoff process.
552A user successfully logged on to a computer with explicit credentials while already logged on as a different
user.
682 A user has reconnected to a disconnected terminal server session.
683
A user disconnected a terminal server session but did not log off.
Note: This event is generated when a user is connected to a terminal server session over the network. It
appears on the terminal server.
Eventos de cuenta en 2008
ID Description
4624 An account was successfully logged on.
4625 An account failed to log on.
4648 A logon was attempted using explicit credentials.
4675 SIDs were filtered.
Eventos de cuenta en 2008
ID Description
4649 A replay attack was detected.
4778 A session was reconnected to a Window Station.
4779 A session was disconnected from a Window Station.
4800 The workstation was locked.
4801 The workstation was unlocked.
4802 The screen saver was invoked.
4803 The screen saver was dismissed.
5378 The requested credentials delegation was disallowed by policy.
5632 A request was made to authenticate to a wireless network.
5633 A request was made to authenticate to a wired network.
Automatización
• Logparser
• Permite realizar consultas de forma sencilla
• Sintaxis parecida a SQL
• Permite inicio local o remoto
• Posibilidad de invocar a través de objeto COM
321
Análisis de Log
WinRM
• Servicio de administración remota
• Opera bajo HTTP-HTTPS
• Soporte IPV4/IPV6
• Puerto 5985 (HTTP) – 5986 (HTTPS)
• Cliente por defecto en Windows 7/8/2K8/2K12
Linux
• OS Query (Facebook)
• http://osquery.io/
• Similar a WMI de Microsoft
• Instrumental de administración
• Lenguaje tipo SQL
• Sin agente
Thank you! Questions?
UK Offices
Manchester – Head office
London
Leatherhead
Milton Keynes
Cheltenham
Edinburgh
North American Offices
San Francisco
New York
Seattle
Chicago
Austin
Atlanta
Sunnyvale
Australian Offices
Sydney
European Offices
Amsterdam – Netherlands
Copenhagen – Denmark
Madrid - Spain
Munich – Germany
Zurich – Switzerland