Hacking y explotación de permisos de Active Directory

PowerView es una herramienta de PowerShell para obtener información situacional de la red en dominios de Windows para profesionales de hacking ético y servicios de auditoría de seguridad informática. Contiene un conjunto de comandos PowerShell para varios "net *" comandos de windows, los cuales utilizan ganchos de PowerShell AD y las funciones de API de Win32 para llevar a cabo la útil funcionalidad de dominio de Windows explica expertos de servicios de seguridad informática.

Según los profesionales de hacking ético e investigadores de servicios de auditoría de seguridad informática PowerView implementa varios metafunciones útiles, incluyendo algunas funciones por cazar usuarios que se identifican donde los usuarios específicos se registran en la red. También puede comprobar cuál de las máquinas en el dominio tiene acceso de administrador local. Además existen varias funciones para la enumeración y el abuso de confianzas de dominio. Podemos ver descripciones de las funciones para el uso apropiado y las opciones disponibles en la herramienta.

Para ejecutar en una máquina, iniciar PowerShell con " by-pass -exec powershell " y luego cargar el módulo PowerView con: PS > Import-Module.\powerview.psm1 o carga el script PowerView por sí mismo: PS> Import-Module.\powerview.ps1

Para el resultado detallado de la funcionalidad, pase la bandera -Debug a la mayoría de las funciones. Para funciones que enumeran varias máquinas, pase la bandera -Verbose para obtener un estado de avance que cada host se enumera. La mayoría de las funciones de "meta" acepta un conjunto de hosts acuerdo con profesor de hacking ético y auditoría de seguridad informática.

Cómo utilizar PowerView para explotar Active directory

AdminSDHolder es un objeto de Active Directory especial situado en el "CN = AdminSDHolder, CN = System, DC = domain, DC = com". El propósito de este objeto es proteger ciertas cuentas privilegiadas de modificaciones accidentales. Cada 60 minutos, un proceso especial denominado SDProp recurrentemente enumera la pertenencia de un conjunto de grupos protegidos, comprueba las listas de control de acceso para todas las cuentas descubiertas, y clona las ACL del objeto AdminSDHolder a cualquier objeto protegido con ACL diferente acuerdo con profesor de hacking ético.

Cualquier cuenta o grupo que es (o era) parte de un grupo protegido tiene su característica  AdminCount a 1, incluso si el objeto se mueve fuera de ese grupo protegido. Con PowerView, usted puede fácilmente enumerar todos los usuarios y grupos con AdminCount = 1 con Get-User-AdminCount y Get-NetGroup - AdminCount, respectivamente. Esto le permite encontrar rápidamente todas las cuentas de alto valor, incluso si ha mudado fuera de un grupo protegido. Invoke UserHunter también acepta una bandera - AdminCount, permitiéndole cazar fácilmente a todos los usuarios valorados alto en el dominio.

Si modifica los permisos AdminSDHolder, esa plantilla de permiso será empujada a todas las cuentas protegidas automáticamente por SDProp explica experto de servicios de seguridad informática. Así que usted puede añadir un usuario sin privilegios (incluso sin la pertenencia al grupo) a la ACL de AdminSDHolder y tienen un mecanismo de puerta trasera que permite modificar la pertenencia a grupos como dominio y administradores de la red.

Los accesos de Active Directory es un área relativamente inexplorada de desde una perspectiva ofensiva. Los defensores deben comenzar auditoría y monitoreo de los derechos de los objetos de dominio privilegiado específico, sobre todo la raíz del dominio y AdminSDHolder. Esto se puede hacer de forma manual o  a través de PowerView Get-ObjectACL  o tomar ayuda de expertos de servicios de seguridad informática.

Read More

EL DF, FOCO DE CIBERATAQUES

La capital y el Edomex reúnen 53% de estos delitos. Quienes los cometen apuntan principalmente a operaciones comerciales.

Una persona decide comprar algo por internet. Días después, se da cuenta de que la tarjeta de crédito con la que pagó fue usada sin su consentimiento para otras operaciones. En resumen: se ha convertido en víctima de un ataque cibernético.

El Instituto Internacional de Seguridad Cibernética (IICybersecurity) define los ciberataques como aquellas acciones que buscan desestabilizar los dispositivos o sistemas conectados a la red. La diferencia con el ciberterrorismo es que este último se enfoca en atacar los sistemas vinculados con la infraestructura y los servicios críticos para una nación: comunicaciones, defensa nacional, energía eléctrica, suministro de agua, transporte, etcétera.

David Thomas, gerente del organismo en México, señala que en lo que va del año en el país se han registrado más de 11 millones de ataques cibernéticos. De ellos, 53% se concentra en el Distrito Federal y el Estado de México.

Para el experto, algunas razones por las que ambas entidades encabezan la lista son que en las dos hay más de 120 mil empresas que manejan datos personales y confidenciales, lo que las hace un blanco atractivo para los hackers, y que en la capital están asentadas tanto oficinas del gobierno local como sedes de los poderes federales.

Otros motivos, según explica Thomas, son que en la Ciudad de México hay más dispositivos móviles y equipos conectados a internet que en otras localidades del país, y que cada año más de 13 millones de turistas llegan a territorio capitalino.

“Los viajeros usan, en gran medida, tarjetas de crédito, y éstas resultan un blanco ideal para los hackers, quienes emplean ataques de malware POS [en puntos de venta] para robar datos bancarios”, dice.

Seguridad rezagada

Según el Índice mundial de ciberseguridad y perfiles de ciberbienestar, publicado en abril de 2015 por la Unión Internacional de Telecomunicaciones (ITU, por sus siglas en inglés), México está rezagado en seguridad cibernética, lo que representa una amenaza para el resguardo de la información en comparación con otros países.

Los datos de 2014 colocaron a México en el lugar 18 de 29 en el listado de la ITU, que evaluó un total de 100 países, muchos de los cuales empataron en las mismas posiciones. Lo anterior significa que México está debajo de naciones de América Latina como Costa Rica, Ecuador, Brasil y Uruguay.

Por otra parte, de acuerdo con el IICybersecurity, México es el segundo país con mayor número de ataques cibernéticos en la región, sólo después de Brasil.

En 2015, los ataques cibernéticos a nivel nacional crecieron 63% respecto de 2014, detalla Thomas. El ataque denegación de usuario (DDoS), el malware POS, la publicidad con malware, el fraude electrónico comercial, el robo de identidades y la extorsión con ransomware han sido las formas más usuales de ataques cibernéticos.

Juan Carlos Montesinos, director de la Unidad de Ciberdelincuencia de la SSPDF, explica que la policía capitalina da orientación a los ciudadanos afectados y que quien investiga estos delitos es la Policía Federal.

Víctimas de los hackers

Los principales segmentos afectados por ciberataques en la Ciudad de México durante este año han sido las empresas privadas, las instituciones de gobierno y las organizaciones académicas, de acuerdo con el IICybersecurity.

Del total de ataques registrados este año, 45% estuvo dirigido a empresas privadas (bancos y hoteles, por ejemplo) y 35% a distintas dependencias de gobierno. El resto corresponde a la academia y a particulares.

Algunos expertos, sin embargo, sostienen que la mayoría de las transacciones que se realizan en línea es segura.

Las principales barreras para combatir los ataques cibernéticos, señala Thomas, “son falta de soluciones de seguridad informática, la carencia de una legislación adecuada y la falta de conciencia entre la población general sobre seguridad cibernética”. Para evitar ataques cibernéticos, las agencias de gobierno y empresas privadas deben trabajar en conjunto para llevar a una mejor colaboración y comunicación.

A pesar de lo anterior, comparada con otras naciones, la cifra de ataques cibernéticos en México aún es muy baja. EU recibe la mayor cantidad de ciberataques en el mundo, con un millón de incidentes diarios y la ciudad más bombardeada del planeta: Florida.

Para Thomas, en México es importante promover la cultura de la prevención y la denuncia ciudadana. Además, “el gobierno debe trabajar para desarrollar capacidades técnicas e investigativas integradas avanzadas, con una legislación estricta en el ámbito de seguridad cibernética, para utilizar plenamente tales capacidades”.

Ideas para legislar en la materia

Durante la actual Legislatura del Congreso, que inició el 1 de septiembre, legisladores han presentado dos iniciativas en este tema. Una de ellas fue la planteada por la diputada María Eugenia Ocampo Bedolla, del Partido Nueva Alianza. Dicho proyecto busca modificar el Código Penal Federal y aún está pendiente de análisis. La otra iniciativa fue la impulsada por el senador priista Omar Fayad, quien la retiró de comisiones tras la polémica que generó. Los opositores de la propuesta la tacharon como un intento por censurar contenidos en la red.

 Fuente: http://www.maspormas.com/2015/11/12/el-df-foco-de-ciberataques/

Read More