ATAQUES EN RED, INTRUSIONES, MALWARE Y APTs

Te lo contamos como nos lo hemos encontrado. Duro, sin ayuda y con muchas ganas de solucionarlo.

CIBERGUERRA, CIBERATAQUES, CIBERDEFENSA...

Todas las anécdotas, medidas de contención y un montón de soluciones.

ACOSO, FRAUDE, ROBO, PORNOGRAFIA INFANTIL, FUGA DE DATOS

Casos prácticos de detección y prevención

Información

Todas las noticias del mundo de la Seguridad IT y Hacking

martes, 26 de abril de 2016

PROTEIN - Protegiendo nuestra información contra el RANSOMWARE... y GRATIS!



PROTEIN - PROTEct your INformation







¿Qué es PROTEIN?


PROTEIN es un script en Powershell desarrollado por Amador Pérez Trujillo (aka @c0p3rnic0).
Amador Pérez actualmente es el CEO de New Vision SoftLan, empresa focalizada en proporcionar soluciones de seguridad protegiendo el activo más valioso y sensible de una empresa: su información.

PROTEIN utiliza las capacidades de monitorización que proporciona .NET para controlar el uso que se hace de la información almacenada en un repositorio (carpetas). A partir de la captura de los eventos producidos en el repositorio, evalúa si los ficheros creados son confiables. En el caso contrario actúa alertando al administrador de sistemas, bloqueando la cuenta de usuario del dominio y deshabilitando la tarjeta de red de la máquina infectada para detener su propagación.



¿Cómo funciona?



PROTEIN se basa en una función combinada de tres elementos para detectar posibles ataques de ransomware:

  • Blacklist: Listado de extensiones conocidas de ransomware 
  • Whitelist: Listado de extensiones permitidas en nuestro repositorio 
  • Honeypot: carpeta utilizada para atrapar nuevos ransomware 

Mediante la Blacklist, PROTEIN constantemente monitoriza la creación de nuevos ficheros y los compara a los almacenados en esa lista. Actualmente están registradas como extensiones de ransomware las siguientes:

.ecc,.ezz,.exx,.zzz,.xyz,.aaa,.abc,.ccc,.vvv,.xxx,ttt,.micro,.encrypted,.locked,.crypto,_crypt,.crinf,.r5a,.XRNT,.XTBL,.crypt,.R16M01D05,.pzdc,.good,.LOL!,.OMG!,.RDM,.RRK,.encryptedRSA,.crjoker,.EnCiPhErEd,.LeChiffre,.keybtc@inbox_com,.0x0,.bleep,.1999,.vault,.HA3,.toxcrypt,.magic,.SUPERCRYPT,.CTBL,.CTB2,.locky,.mp3,.hydracryp

El fichero que contiene la lista de extensiones en texto plano es ransomware_list.config, un fichero en texto plano que puede ser modificado como el usuario desee:




Tan pronto PROTEIN detecta la creación de un fichero con una extensión de este tipo, se realizan tres acciones :

  1. Alerta por correo electrónico al administrador de sistema. 
  2. Bloquea el usuario del directorio activo que está siendo utilizado por el ransomware para cifrar la información. 
  3. Deshabilita la tarjeta de red del ordenador del usuario infectado para evitar la propagación del ransomware incluso reiniciando el sistema así como cortando cualquier conexión con Internet bloqueando la descarga de claves para cada fichero infectado con la automática desactivación del ataque. 
  4. Alerta al usuario de que ha sido infectado por un ransomware mediante un mensaje emergente.

Por otro lado PROTEIN se nutre de un listado de extensiones permitidas en el sistema como elemento predictivo de nuevos ransomware no detectados (nuevos y no registrados por nadie hasta la fecha) o no actualizados en la lista Blacklist de extensiones de ransomware. Este listado se encuentra almacenado en el archivo "white_list.config". Actualmente este fichero contiene 725 extensiones permitidas, estando cubierta un amplio rango de las extensiones reconocidas por el sistema operativo y programas comúnmente utilizados. En el caso de querer añadir una nueva extensión permitida, tan sólo hace falta agregarla a este fichero que está en texto plano.




Para esta detección PROTEIN trabaja de dos formas diferentes. 

  • Por un lado analizando una carpeta "Señuelo" (honeypot) y actuando en caso de modificación de su contenido. Esa carpeta señuelo es creada automáticamente cuando se instala (se ejecuta ./protein.ps1 --install) y se indica el repositorio a analizar. El nombre que se le da a la carpeta "señuelo" es "_AntiRansomware", conteniendo tres archivos tipo .docx que son los monitorizados comprobando que en todo momento existen. En el caso de no existir  alguno de esos archivos (un ransomware está empezando ha actuar) automáticamente actua según el procedimiento anteriormente explicado, es decir: 
    • Alerta por correo electrónico al administrador de sistema 
    • Bloquea el usuario del directorio activo que está siendo utilizado por el ransomware para cifrar la información 
    • Deshabilita la tarjeta de red del ordenador del usuario infectado para evitar la propagación del ransomware incluso reiniciando el sistema así como cortando cualquier conexión con Internet bloqueando la descarga de claves mediante conexiones TOR con la automática desactivación del ataque 
  • Por el otro analizando la lista de extensiones conocidas. En este caso, PROTEIN por defecto está configurado para tan sólo registrar que se ha creado un nuevo fichero de extensión desconocida y no actuar ante él (lo registra en un fichero de log), pudiéndose cambiar la forma de actuar simplemente copiando el procedimiento de envío de alertas y bloqueo de usuario y tarjeta de red para esta acción, puesto que el código está publicado para su modificación.


Paralelmente PROTEIN almacena un registro alertando de la infección para su consulta posterior. Como ejemplo podemos ver como interceptó la infección de un ransomware en un repositorio denominado "REPOSITORIO FICTICIO", mostrando el registro creado en el log:





Podemos observar como detecta el fichero como un ransomware e informa que se ha bloqueado, deshabilitado el usuario que está utilizando el ransomware para cifrar la información y por último informa que ha deshabilitado su tarjeta de red.

PROTEIN utiliza la Clase io.filesystemwatcher de ,NET. Esta Clase escucha las notificaciones de cambio del sistema de archivos y genera eventos cuando cambia un directorio o un archivo de un directorio. 



Aprovechando esta funcionalidad, capturamos estos eventos y cuando se cree un archivo lo analizamos para ver si es un ransomware o no.




Os dejo tres vídeos que muestran el funcionamiento de PROTEIN:


Ransomware creado para fines "no malvados" :





Actuación PROTEIN lado cliente bloqueando una infección:





Actuación PROTEIN lado servidor, deshabilitando usuario y alertando:




Desde este enlace podéis descargar la herramienta tanto compilado en .exe como en .ps1:
https://github.com/c0p3rnic0/PROTEIN


Quiero dar las gracias al gran @kinomakino uno de los pocos MVP (Most Valuable Professional) de Microsoft, por su publicación y sus palabras amén de invitaros a que consultéis su blog si os preocupa la seguridad de la información y los sistemas “informáticos”
http://kinomakino.blogspot.com.es/2016/04/protein-protect-your-information-otra.html

jueves, 25 de febrero de 2016

NUEVO RANSOMWARE LOCKY. Ataque por red de recursos no compartidos...

NUEVO RANSOMWARE LOCKY





Se ha descubierto un nuevo ransomware llamado Locky que cifra los datos utilizando cifrado AES exigiendo 5 bitcoins para descifrar los archivos. Hasta aquí nada novedoso...

La criticidad de Locky radica en la cantidad de extensiones de archivos que es capaz de cifrar, pero más importante aún es que es capaz de cifrar datos en unidades de red sin asignar (sin mapear). Si bien la enumeración de carpetas accesibles en la red aún no estando mapeadas es algo trivial, la novedad es que los randsomware no utilizaban esta característica (salvo el reciente DMA Locker aparecido hace un par de semanas). Parece que este nuevo método ha llegado para quedarse con nosotros... 

Al igual que CryptoWall, Locky también cambiar completamente los nombres de los archivos cifrados para que sea aún más difícil su restauración.

DESTRIPANDO EL RANSOMWARE: 

Locky a través de facturas falsas

Locky actualmente está siendo distribuido a través de correo electrónico que contiene un archivo adjunto de Word con macros maliciosos. El mensaje de correo electrónico contendrá un objeto similar a Atención: Factura J-98223146 y un mensaje del tipo "(Documento de Microsoft Word) Por favor, vea la factura adjunta y remitir el pago según los términos que figuran en la parte inferior de la factura". Mostramos un ejemplo de uno de estos mensajes de correo electrónico:






El fichero adjunto a este correo electrónico es un documento de Word malicioso que contiene un nombre similar a invoice_J-17105013.doc. Cuando se abre el documento, el texto mostrado es ilegible con un mensaje que dice que para visualizar correctamente el fichero debemos habilitar las macros... Ya esto debería hacer sospechar al usuario, pero ya sabemos la capacidad que tienen los usuarios de sorprendernos ;)



Una vez que una víctima permite que se habiliten las macros, se descarga un archivo ejecutable desde un servidor remoto.



El archivo descargado por la macro se almacena en la carpeta% Temp% y se autoejecuta empezando el cifrado de los achivos de su equipo.


Locky encripta sus datos y cambia por completo los nombres de archivo


Cuando Locky se ejecuta, crea y asigna un único número hexadecimal 16 de la víctima del tipo F67091F1D24A922B. Locky revisará entonces todas las unidades locales y recursos compartidos de red sin asignar para el cifrado. Este cifrado es AES y los archivos afectados tienen la extensiones siguientes:

.mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .asc, .lay6, .lay, .ms11 (Security copy), .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .DOT, .max, .xml, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt, .key, wallet.dat 



Por otra parte, Locky se saltará cualquier archivo de las siguiente rutas y/o cadenas de los nombres de carpetas:

tmp, winnt, Application Data, AppData, Program Files (x86), Program Files, temp, thumbs.db, $Recycle.Bin, System Volume Information, Boot, Windows 


Cuando Locky cifra un archivo, automáticamente cambia el nombre siguiendo la estructura [id_exclusivo].locky . Por ejemplo, supongamos que encripta un archivo llamado test.jpg; lo renombraría a algo así como F67091F1D24A922B1A7FC27E19A9D9BC.locky (vean el número único hexadecimal mostrado anteriormente...). 


Es importante hacer hincapié en que Locky cifrará archivos en recursos compartidos de red, incluso cuando no se asignan a una unidad local (mapeado). Como dijimos anteriormente, esto se va a convertir en algo común en los ataques de este tipo; es por ello que hago de nuevo hincapié el hecho de que todos los administradores de sistemas deberían aplicarse sí o sí la regla de mínimo privilegio como un "must" de sus políticas de seguridad.


Como parte del proceso de cifrado, Locky, también borrará todas las instantáneas de volumen en la máquina de manera que no se pueden utilizar para restaurar los archivos (las llamadas shadows copy). Locky hace mediante la ejecución del siguiente comando:

vssadmin.exe Delete Shadows /All /Quiet 


En el escritorio de Windows y en cada carpeta en la que se ha cifrado un archivo, Locky creará una nota de rescate llamado _Locky_recover_instructions.txt. Es un detalle su delicadeza al avisarnos del suceso así como enlaces para poder descifrarlo previo pago :(



Además Locky te cambia el fondo de pantalla de Windows estableciendo como predeterminado el fondo: 
UserpProfile%% \ Desktop \ _Locky_recover_instructions.bmp, donde se muestran las mismas instrucciones que las notas de texto de rescate (otro detalle del amigo Locky...)



Por último, pero no menos importante, Locky almacenará diversa información en el registro de la máquina afectada en las siguientes claves: 

HKCU \ Software \ Locky \ id - El identificador único asignado a la víctima. 
HKCU \ Software \ Locky \ pubkey - La clave pública RSA. 
HKCU \ Software \ Locky \ paytext - El texto que se almacena en las notas de rescate. 
HKCU \ Software \ Locky \ completada - Si el ransomware terminó cifrar el equipo 


El Locky Decrypter página

Dentro de las notas de rescate Locky se encuentran los enlaces a una página en Tor llamada Locky Decrypter. Esta página se encuentra en la dirección 6dtxgqam4crv6rr6.onion y contiene la cantidad de bitcoins que tenemos que enviar como pago, así como instrucciones claras de cómo comprar los bitcoins (por si no lo sabes, él te enseña...), y la dirección bitcoin que debemos utilizar para enviar el pago. Una vez que la víctima realiza el pago a la dirección de bitcoins asignada, la página (teóricamente) te proporcionará un descifrador para los archivos afectados.






Resumen de cara a una posible defensa:

Ficheros relacionados con Locky:

%UserpProfile%\Desktop\_Locky_recover_instructions.bmp %UserpProfile%\Desktop\_Locky_recover_instructions.txt %Temp%\[random].exe 

Registros afectados por Locky

HKCU\Software\Locky 
HKCU\Software\Locky\id 
HKCU\Software\Locky\pubkey 
HKCU\Software\Locky\paytext 
HKCU\Software\Locky\completed 1 
HKCU\Control Panel\Desktop\Wallpaper "%UserProfile%\Desktop\_Locky_recover_instructions.bmp" 

A fecha de hoy no se conoce ninguna forma de descifrar los archivos afectados por Locky...

lunes, 28 de diciembre de 2015

ROMPIENDO KEEPASS PASSWORD SAFE

ROMPIENDO KEEPASS PASSWORD SAFE


Si eres de los usuarios que utilizan KeePass como gestor de contraseñas, entonces deberías ponerte a temblar. Denandz acaba de publicar una herramienta en GitHub que puede romper KeePass Password Safe...
La herramienta en cuestión se llama KeeFarce (graciosillo el nombre eh!!!).
Como sabemos, Keepass proporciona "process memory protection" cifrando las contraseñas y datos sensibles almacenadas en memoria. Genial para proteger el ataque de aplicaciones maliciosas que usan el sistema de violado en memoria para el acceso. Pero he aquí lo novedoso; KeeFarce no utiliza este medio sino inyección de DLL. La librería de enlace dinámico inyectada llama a un método de exportación de Keepass para copiar el contenido de una base de datos abierta y exportarla a CSV. El archivo resultante contiene los nombres de usuarios, contraseñas, notas y URL, todo en texto plano!

¿Cómo funciona?

Keefarce como ya comenté utiliza la inyección DLL para ejecutar código en el proceso de Keepass, generando una instancia .Net y ejecutando su payload (KeeFarceDLL.dll).
Para poder ejecutar este software, los atacantes deben, o bien tener acceso a la máquina destino o bien "engañar" a los usuarios para que le de acceso a las mismas (ingeniería social). 

KeeFarce está para arquitecturas de 32 y 64 bits, debiéndose seleccionar la que se adapte al sistema a atacar.

Para poder ejecutar satisfactoriamente el ataque, los siguiente ficheros deben estar en la misma carpeta:

  • BootstrapDLL.dll
  • KeeFarce.exe
  • KeeFarceDLL.dll
  • Microsofot.Diagnostic.Runtime.dll
Ahora sólo falta ejecutar KeeFarce.exe!


Compatibilidad

KeeFarce ha sido probado en:
  • KeePass 2.28, 2.29 y 2.30 (hasta la fecha de publicación de esta entrada es la última versión publicada) - y se ha ejecutado en Windows 8.1 - 32 y 64 bits

Podría funcionar perfectamente en máquinas más antiguas (por ejemplo un Windows 7 con el último Service Pack actualizado).

Ahora os toca a vosotros reventar sistemas... Siempre con fines educativos...

martes, 28 de julio de 2015

GRAVÍSIMA VULNERABILIDAD : EL 95% DE LOS SMARTPHONES ANDROID POTENCIALMENTE AMENAZADOS



Un fallo de seguridad presente en el código fuente de Android permitiría tomar el control de un dispositivo con este sistema mediante un simple MMS. 950 millones de terminales están potencialmente amenazados.
Hace unas semanas se hablaba de cómo era posible bloquear un iPhone mediante una cadena de caracteres enviados por iMessage. Un hecho preocupante pero sin grandes problemas relativos a la seguridad.
Ahora le toca a Android padecer un problema similar que podría acarrear consecuencias mucho peores. Los investigadores de la empresa de seguridad Zimperium han descubierto un fallo de seguridad crítico en el código fuente del sistema operativo móvil de Google que podría ser explotado con la ayuda de un sólo mensaje MMS.

EL 95% DE LOS SMARTPHONES ANDROID POTENCIALMENTE AMENAZADOS POR UN MMS

Este fallo, bautizado como Stagefright, ha sido localizado en el framework de una librería multimedia en C++ expuesta a una corrupción de memoria.
Explotarlo no es nada complicado ya que los hackers malintencionados sólo tienen que enviar un MMS capaz de inyectar el código malicioso y ejecutar el código a distancia.
El problema viene por la forma de procesar los mensajes de texto entrantes en Android. El software de reproducción multimedia utilizado por Android procesa los archivos como las imágenes o el vídeo enviados al dispositivo antes de que el usuario acceda a ellos. Los hackers pueden ocultar el malware en ellos para darles acceso al teléfono para copiar, borrar datos, utilizar la cámara, acceder al micrófono o el GPS y seguir cada movimiento del usuario.
El equipo de investigación indica que el mensaje podría borrarse incluso antes que el usuario lo consulte. Potencialmente, el 95% de los dispositivos Android serían vulnerables, desde la versión 2.2 hasta la 5.1, es decir, unos 950 millones de smartphones y tabletas.

VULNERABILIDAD CORREGIDA, PERO NO PARCHEADA POR TODOS

La buena noticia es que, a penas descubierto el fallo de seguridad, los de Mountain View han presentado un parche proporcionado por los expertos de Zimperium en el código de Android Open Source Project.
La mala noticia, es que el proceso de actualización de 950 millones de dispositivos puede tomar un tiempo colosal según la buena voluntad de los fabricantes. Y aún peor, los dispositivos de más de 18 meses pueden no recibir nunca el correctivo.

Modus operandi

La actuación del malware es extraordinariamente rápida, ya que el usuario no tiene que descargar ninguna aplicación o archivo, sino que ocurre con sólo recibir un mensaje multimedia. Es más, actúa incluso antes que aparezca la notificación de mensaje recibido. Es decir, un cibercriminal puede acceder a tu móvil y tomar control sobre él con tan solo conocer tu número de teléfono...
Pero hay algo incluso más grave que la propia vulnerabilidad. Hay aplicaciones de mensajería que hacen más sencillo verse afectados. Por ejemplo, Hangouts (el Whatsapp de Google) le "abre la puerta" al malware al procesar de forma instantánea el vídeo. Recordamos que Hangsouts está instalado y operativo por defecto en la gran mayoría de teléfonos Android, sin que el consumidor tenga conocimiento de ello...
Fases del ataque:
  1. Se recibe un mensaje multimedia a través de Hangouts. En este momento, el atacante puede haber ejecutado ya un código arbitrario.
  2. La notificación del mensaje muestra una previsualización, lo que desencadena el código vulnerable.
  3. Tras desbloquear la pantalla no se aprecia ningún efecto aparente.
  4. Al ver el mensaje interactivo es cuando el código vulnerable se desencadena de nuevo, al igual que si tocamos o rotamos la pantalla...
  5. Una vez explotado la vulnerabilidad, el atacante tiene total control del dispositivo pudiendo robar información confidencial almacenada (fotos, vídeos, documentos), acceder a la cámara, micrófono, correos electrónicos...

Creo importante recalcar que el medio de propagación no es exclusivo por Hangsouts, como se ha venido publicando. Hemos comprobado que cualquier archivo multimedia que nos avise mediante la barra de notificaciones, como lo hacen Whatsapp o Telegram, también infectaría a nuestros terminales.
Por otro lado, hablamos de móviles, pero... y los tablets???? Estamos en idéntica situación pues la vulnerabilidad afecta al framework de Android, a su mismísimo corazón...
La única solución es comprobar el fabricante de tu terminal móvil ha sacado una actualización que corrija esta vulnerabilidad, cosa que se prevee que sólo ocurra con el 50% de los terminales afectados. ¿La razón? Esta vulnerabilidad afecta desde la versión 2.2 de Android (es decir desde el año 2010) . En caso negativo, sólo toca cruzar los dedos...


martes, 14 de julio de 2015

Tú decides: ¿Escuchas a tu infraestructura o apagas fuegos constantemente?


Entender lo que realmente ocurre en una red corporativa es algo muy complejo. 

Todos los sistemas, dispositivos de red, aquitecturas Windows / Linux / OSX, servidores y workstations, routers, switches, firewalls, servidores proxy, VPN, IDS/IPS, Servidores Wifi, Servidores de certificados, Controladores de Dominio, DNS... y otros recursos de la red generan miles de registros por segundo. Y estos registros contienen información de todas las actividades del sistema, dispositivos y usuarios que tuvieron lugar dentro de estas redes infraestructuras. Los archivos de registro son importantes herramientas forenses para investigar una postura de seguridad organizaciones.
El análisis de estos archivos de registro proporcionan gran cantidad de información sobre las actividades realizadas, como el éxito o fracaso de inicio de sesión, acceso a objetos, visitas a un sitio web; actividades a nivel de dispositivo del sistema, si un fichero fue abierto, leído, borrado, modificado, sesiones de usuario abiertas a horas sospechosas, gestión de cuentas, el ancho de banda consumido tanto LAN como WAN, actividades de seguridad de red, así como identificación de las firmas de virus cara a detección de un ataque y/o detección anomalías en la red, son algunos ejemplos de la información que los logs nos puede, y de hecho, nos da.

Todos los dispositivos están constantemente hablando contigo; lástima que tú no les escuches. Probablemente un alto, altísimo porcentaje de tiempo empleado en labores correctivas, lo que denominamos "a fuego", esas que tienes que atender sí o sí al instante porque el recurso está parado, podría haberse evitado o paliado su efecto si lo hubiésemos sabido con antelación, pudiendo incorporar medidas correctivas cuando el problema era un problema y no una urgencia.
Eso es lo que nos proporciona un SIEM. O más técnicamente hablando un Security Information and Event Management. Un recopilador de Eventos. 
Vamos a analizarlo más en profundidad.


La soluciones SIEM son una combinación de productos denominados SIM (Security Information Management) y SEM (Security Event Manager). La tecnología SIEM proporciona un análisis en tiempo real de todas las alertas de seguridad generadas por el hardware y software de red. Las soluciones SIEM pueden venir como software, appliance o administración de servicios, y adicionalmente son utilizados para parsear datos de seguridad y generar reportes con fines de cumplimiento.
Las siglas SEM, SIM y SIEM se han utilizado, mejor dicho, malutilizado indistintamente, habiendo sustanciales diferencias tanto en el significado como en las capacidades del producto. Vamos a intentar aclararlo:

QUIÉN ES QUIÉN:
El segmento de gestión de la seguridad que se ocupa del monitoreo en tiempo real, la correlación de eventos, notificaciones y vistas de la consola es lo que se conoce como Gestión de Eventos de Seguridad (SEM).
El almacenamiento a largo plazo, análisis y la comunicación de los datos de registro es a lo que se conoce como (SIM).
Por otro lado, el término Información de Seguridad y Gestión de Eventos (SIEM), término definido por Mark Nicolett y Amrit Williams, de Gartner, en 2005, describe las capacidades de los productos para la recopilación, análisis y presentación de información tanto de la red como los dispositivos de seguridad, aplicaciones de gestión de identidades y accesos, gestión de vulnerabilidades y los instrumentos de políticas de cumplimiento, Sistemas Operativos, Bases de Datos y registro de aplicaciones.

Un punto clave es monitorear y ayudar a controlar los privilegios de usuario y de servicio, servicios del Directorio Activo, así como otros cambios de configuración del sistema y respuesta ante incidentes.
Otro punto clave es controlar lo que ocurre en sistemas heterogéneos (Windows, Linux...). Es decir dispositivos cuyos log sean comunicados por vías "extra-windows" (palabra inventada por mí....). Por ejemplo SYSLOGS o aquellos logs propietarios que no se basan en ningún standard (se me ocurre varios clientes a los que les implementamos un SIEM que incluso controlaba logs de autómatas industriales totalmente privados, consiguiendo una visibilidad absoluta de lo que ocurría en toda su infraestructura y por ende en su negocio).

CAPACIDADES MÍNIMAS A CUBRIR POR UN SIEM:
  • Heterogéneidad. Posibilidad de agregar datos, logs, desde múltiples fuentes, incluyendo dispositivos de red, elementos de seguridad, servidores (multiplataforma), bases de datos, aplicaciones, proporcionando además la capacidad de consolidar los datos monitorizados para ayudar a evitar la pérdida de activos (información o sistemas) cruciales.
  • Correlación. Capacidad de buscar atributos comunes y relacionar eventos, integrando diversas fuentes con el fin de convertir datos aparentemente dispersos, de infinidad de logs diferentes,  en información única y valiosa de forma automatizada para ser analizada.
  • Alerta. El análisis de eventos correlacionados producen alertas de riesgos no asumibles, notificando a los destinatarios (responsables de seguridad de IT, administradores de sistemas...) inmediatamente el suceso.
  • Dashboards. Un panel de control donde aparezca toda la información de "un vistazo" que ayude a identificar actividades "sospechosas".
  • Cumplimiento. Posibilidad de automatización de los datos recopilados para la elaboración de informes que se adapten a los procesos exigentes de seguridad, gobernabilidad de IT y auditoría.
  • Retención. Debe poseer mecanismo de almacenamiento de datos (logs) a largo plazo para facilitar la correlación de datos con el tiempo. Este largo plazo de tiempo es crítico, y a menudo el gran sacrificado en estas implantaciones, pues en el caso de suceso (investigación forense) éste es consecuencia de otras acciones ocurridas en el pasado.

Ya hemos visto las ventajas de un SIEM. 
EMPEZAMOS A VER Y OIR LO QUE OCURRE EN NUESTRA INFRAESTRUCTURA, SISTEMAS Y APLICACIONES DE FORMA AUTOMATIZADA, EMPLEANDO NUESTRO TIEMPO EN LO VERDADERAMENTE IMPORTANTE: ¡ACTUAR!

Aunque estas capacidades son las mínimas, y basados en más de 15 años de experiencia implantando soluciones SIEM en corporaciones pequeñas, medianas y grandes, más o menos preparadas (o por lo menos con conocimiento de las ventajas de la poseer sistemas de correlación de eventos), nuestros sistemas SIEM van mucho más allá, proporcionando una visión absoluta de lo que ocurre en nuestra infraestructura y controlando a tiempo real elementos críticos para la misma (caída de servicios, cargas de cpu por proceso, consumo de memoria y un largo etc... Y tan largo, que por defecto vienen parametrizado más de 24.000 elementos de control, listos para hacer clic y empezar a usarlos...).

En New Vision SofTLan no nos limitamos a implantar producto ya sea de la clase y área a cubrir que sea. Entendemos la seguridad como madurez. Y si el cliente carece de ésta le aconsejamos, guiamos y ayudamos a alcanzarla durante el periodo de tiempo que sea necesario. 


¿Implantar un Siem es sencilo? Bueno podría llegar a serlo si hay un marco propicio para ello, pero... ¿Sacarle partido a la implantación de un SIEM es sencillo? Absolutamente no si:

  1. Tú no sabes lo que buscas controlar.
  2. Si no tienes una consultora que te indique cuales son los elementos que deberías controlar.  
  3. Si tú o la consultora no tiene una amplia experiencia en la implantación de este tipo de soluciones.



Déjenme contarles una anécdota, triste anécdota, con un cliente ocurrido hace años ya. Unos consultores de Península (porque claro siempre lo de fuera es sinónimo de calidad.... hay señor mío!!!) le vendieron a este cliente la idea de correlar eventos como medida de ahorro de costos en personal de IT, pues se eliminaba la tarea de ir saltando de un elemento a otro (servidores, firewall, switches, ....) e ir descargando los logs para después, UNO A UNO, ir analizándolo en búsqueda de problemas o evidencias de los mismos. Bueno hasta ahí totalmente de acuerdo. Es una consecuencia de la implantación de un SIEM.

Vienen estos consultores y le implantan una solución, siempre recordaré que era una solución bajo Linux, OpenSourse (ojo que no tengo nada contra lo OPEN, al contrario... pero si estoy en contra de que ésto sea lo que venda tu alma al diablo o al consultor de turno que él y sólo él sabe lo que hizo...).

Pues bien, esta solución estaba recogiendo TODOS los eventos de 50 servidores Windows, otros tantos Linux, todos los traps de switches y routers a discresión sin lógica ni clasificación ni filtrado alguno... Vamos que llegó el consultor, instaló el software, cobró su dinerito, se marchó y dejó un pedazo cuello de botella que ahí no había quién trabajara. Tuvimos que realizar a una labor de consultoría con una solución ya implantada (mal implantada) y sobre un entorno productivo (no un laboratorio) para ver los flujos de información, optimización de los mismos, aumentando el rendimiento de los recursos sin perdida de alertas a tiempo real ni repercusión negativa en el día a día del personal de esta empresa. Y se hizo sin problemas. ¿Por qué? Porque hicimos lo que siempre hacemos. Empezar la casa por los cimientos y no por el tejado.


A continuación les resumiré algunas de las características que hacen único nuestro SIEM:

A parte de lo ya descrito también le ayudamos a: 

  • Recoger información de todos los dispositivos y tipos de registro soportados con un alto nivel de granularidad y profundidad. 
  • Obtener una vista detallada de lo que está ocurriendo a través de varios entornos gracias a la variedad de tipos de registro soportados. 
  • Rastrear y generar informes sobre la actividad en servidores SQL y Oracle tales como alteración de tablas de BD, intentos de acceso a datos sin los privilegios necesarios, etc. 
  • Proporciona fuentes de datos fiables para la investigación forense. Es capaz de analizar sucesos de seguridad en tiempo real. De esta forma usted puede detectar incidencias de seguridad y analizarlas en detalle para descubrir quién es el responsable. 
  • Monitorizar la salud de los sistemas vigilando proactivamente sus servidores y dispositivos de red de misión crítica. Puede monitorizar cortafuegos, enrutadores y los sucesos generados por Microsoft ISA Server, SharePoint, Exchange Server, SQL Server e IIS, y prevenir la ocurrencia de desastres de red. Por ejemplo, puede vigilar colas de correo, retransmisores SMTP, disponibilidad MAPI, bloques averiados del disco duro, espacio en disco y más. Puede monitorizar caídas de servicios, procesos de cualquier máquina, avisando a tiempo real del mismo a los encargados del departamento. Consumos de CPU y Memoria excesivos, actuaciones "sospechosas" de usuarios, login a deshoras... 
  • Cumplimiento regulador pues supone una ayuda para cumplir los requerimientos de retención y revisión de registros de las regulaciones y leyes incluyendo: Basel II, PCI Data Security Standard, Sarbanes-Oxley Act, Gramm-Leach-Billey Act, HIPAA, FISMA, USA Patriot Act, Turnbull Guidance 1999, UK Data Protection Act, EU DPD. 
  • Investigación forense. Los registros de sucesos son un punto de referencia cuando algo va mal, proporcionando un historial de sucesos que a menudo es necesario cuando necesita llevar a cabo investigaciones forenses. Proporciona una oportuna investigación forense interna de los registros de sucesos. 
  • Control granular más profundo de sucesos. Le ayuda a monitorizar una mayor familia de sistema y dispositivos mediante el registro y análisis centralizado de varios tipos de registro incluyendo sucesos Windows, Syslog, W3C y Capturas SNMP que son generadas por recursos de red. Los administradores puede recoger información de equipos Windows y de dispositivos de terceros con un mayor nivel de granularidad y además procesa la información del nivel extendido de etiquetas y basa la decisión sobre qué hacer en el acto, sin mayor gestión de información. Análisis de registros de sucesos incluyendo capturas SNMP, registros de sucesos Windows, registros de auditoría SQL Server y Oracle, registros W3C y Syslog. Como administrador de red usted ha experimentado los crípticos y voluminosos registros que hacen abrumador el proceso de análisis. Nuestra solución SIEM, es una solución de procesamiento de registros que proporciona control y administración en toda la red de registros de sucesos Windows, registros W3C, registros de auditoría SQL Server y Oracle y eventos Syslog generados por sus recursos de red. Soporta el Protocolo Simple de Administración de Red (SNMP), el idioma hablado por los dispositivos de bajo nivel como enrutadores, sensores, cortafuegos, etc. Mediante SNMP los usuarios pueden ahora monitorizar una completa familia de dispositivos hardware en sus infraestructuras con la habilidad de generar informes sobre el estado operativo de cada dispositivo. 
Otras características: 


  • Registro de sucesos centralizado 
  • Monitorización y alertas en tiempo real 24x7 x 365 días 
  • Motor de análisis de alto rendimiento 
  • Recogida de la información de sucesos distribuidos sobre WAN en una base de datos central y/o archivado automático de todos los registros de sucesos en archivos 
  • Gestión de registros de sucesos basada en reglas 
  • Mecanismo de actualización automática 
  • Potente consola 
  • Filtrado avanzado de sucesos que incluye creación de reglas y filtros con un clic 
  • Perfiles de análisis de registros de sucesos 
  • Reporta la información clave de seguridad que está registrando su red 
  • Rastreo de la actividad de los usuarios en SharePoint 
  • Ayuda en el cumplimiento de PCI DSS y otras regulaciones 
  • Soporte de nuevos dispositivos 
  • Auditoría de SQL Server 
  • Soporte para la auditoría de servidor Oracle para Oracle 9i, 10g, 11g 
  • Traducción’ de los crípticos sucesos Windows (explicación de que significa cada ID de suceso) 
  • Multifuncionalidad para cumplir diferentes requerimientos empresariales 
  • Eliminación del ’ruido’ o sucesos triviales que suponen un alto porcentaje de todos los sucesos de seguridad 
  • Programación de informes y distribución automática por correo 
  • Los sucesos se pueden exportar en archivos HTML personalizables así como automatización de generación de informes y envío por mail cada x tiempo
  • Soporte de entornos virtuales. 



Sería para nosostros un placer poder ampliarle las funcionalidades del SIEM y hacerle una demostración de su potencialidad y como se podría implantar en su corpoación.



Si desea más información adjuntamos contacto.




viernes, 26 de junio de 2015

Controla quién puede unirse a tu dominio

Hay acciones que los auditores damos como hechas por ser el abc de la seguridad. Una de ellas es tan simple como "quién puede añadir máquinas a mi dominio". Lógico ¿no?. Por defecto Windows Server deja que cualquier usuario pueda añadir máquinas a un dominio hasta un máximo de 10, el único requisito es que sea Usuario Autentificado.

Poniendo barreras al entorno.

Vamos a cambiar esta política. Existen dos formas de hacerlo; la primera, sobre la directiva de controlador de dominio y la segunda cambiando un atributo del dominio. 
La primera, simplemente añadimos el Grupo de usuarios permitidos para este menester en la definición de esta directiva: 




La segunda opción es cambiando el atributo ms-DS-MachineAccountQuota, que define el número máximo de máquinas que puede añadir un usuario autenticado. Lo ponemos a 0 y un problema menos.



Por último, les dejo como sacar el valor definido de máquinas por usuario permitidas en Powershell.
Get-ADDomain | select -ExpandProperty DistinguishedName | Get-ADObject -Properties 'ms-DS-MachineAccountQuota' | select -ExpandProperty ms-DS-MachineAccountQuota




Promocionando controladores de dominio en ambientes hostiles con IFM

En más de una ocasión me he encontrado con clientes que poseen comunicaciones entre sedes bastante malas, en "estado bajo mínimos". El más mínimo improvisto hace que se sature el ancho de banda disponible y que los recursos se vean afectado (lentitud en el rendimiento de aplicaciones remotas, logeo de usuarios con esperas interminables...). Evidentemente la pregunta inicial es: ¿Y no puedes aumentar el ancho de banda que une ambas sedes? Si la respuesta es lógica, es decir, "no ya lo tanteé y es imposible..." es cuando hay que plantearse el procedimiento de promoción a un nuevo controlador de domino.

La razón de este tipo de implantación es muy sencilla; nos sirve para reducir considerablemente el tráfico de replicación que genera el añadir un nuevo controlador del dominio. Si lanzamos la instalación del DC (Controlador de Dominio) con el IFM (Instalación desde Medios), el nuevo DC solo necesitará replicar los cambios sucedidos desde su IFM hasta el día de la instalación.

En resumen : ésto es aconsejable realizarlo en instalaciones en sedes remotas, cuya conexión no tenga un gran ancho de banda.

¿Como genero el IFM?

Para empezar necesitamos un DC ejecutando en nuestro caso Windows Server 2012. A tener en cuenta que solo puede usarse el IFM entre DCs con el mismo sistema operativo, no podemos crear el IFM desde un Windows Server 2012 y restaurarlo en un Windows Server 2008.

Para generar nuestro IFM usamos la utilidad NTDSUTIL, vamos a generar un IFM Create Full.

Entramos en la línea comandos y ejecutamos: Create SYSVOL Full <ruta local>


Si no nos da error, deberíamos ver la exportación en la ruta especificada



Ahora copiamos esa carpeta en el servidor a promocionar en un pendrive, CD... que enviaremos a la sede remota.

Procedemos a promocionar el servidor remoto de la forma tradicional:






En este punto esta el "quid" de la cuestión; especificamos la ruta del IFM (desde ese pendrive, CD, o de una ruta local previo copy/paste de información) para evitar el temido tráfico de red y siguiente, siguiente y Listo! DC promocionado sin impacto en la red.