Security Art Work

Que las defensas se prueban con ataques es algo ya plenamente asumido por muchas organizaciones. Hace ya muchos años que los ejercicios de Red Team se han convertido en un elemento fundamental para evaluar y mejorar la seguridad de las infraestructuras TI más avanzadas. En ellos, uno o varios hackers simulan el comportamiento de un atacante y ponen a prueba durante un tiempo determinado tanto la seguridad de un conjunto de activos o usuarios como las capacidades defensivas del centro de operaciones de seguridad (SOC) de la organización, cuyos miembros no deben saber que el ejercicio se está llevando a cabo.

Los resultados obtenidos se reflejan en un informe que contiene una o varias narrativas de ataque e información sobre las debilidades identificadas. Este informe es utilizado luego por la organización para mejorar la seguridad, minimizando el impacto de futuros ataques reales.

Los ejercicios de Red Team son un excelente recurso, no solamente para mejorar las defensas de la organización, sino también para que el personal del SOC se enfrente a una situación de ataque realista de la que poder aprender, con la ventaja añadida de que luego puede sentarse tranquilamente con los atacantes a comentar la jugada.

En los últimos años hemos presenciado la publicación de un gran número de C2s en distintos lenguajes: Covenant en .NET, Merlin y Sliver en Go o Mythic en Python son algunos ejemplos. Todos ellos se suman a las herramientas más clásicas y establecidas en años anteriores (Cobalt, Empire, …) creando un gran ecosistema donde en ocasiones se hace complicado elegir entre todos ellos.

Entre toda esta marabunta de C2 se publica en github en septiembre de 2022 Havoc, un C2 escrito en múltiples lenguajes (C++, Golang, C y ASM) que ha conseguido desde entonces gran notoriedad en el mundo de la ciberseguridad ofensiva gracias a su modularidad y su eficacia, y se ha convertido en uno de los go-to dentro de los C2 gratuitos.

En este post vamos a ver su proceso de instalación, así como su funcionamiento y sus capacidades.

Instalación

La instalación de Havoc es simple y la podemos encontrar en la documentación de la herramienta, para ello lo primero que vamos a hacer es clonar el repositorio:

En el dinámico y siempre cambiante panorama de la ciberseguridad, las Amenazas Persistentes Avanzadas (APTs, por sus siglas en inglés) se destacan como uno de los desafíos más relevantes. Estas amenazas, caracterizadas por su sofisticación y su capacidad para evadir las defensas tradicionales, pueden infiltrarse en las redes corporativas y gubernamentales, manteniéndose indetectables durante largos periodos. La detección efectiva de APTs es, por tanto, una prioridad crítica para proteger la integridad y la confidencialidad de la información.

Las APTs se caracterizan por su alta sofisticación y persistencia en los sistemas objetivo. Los atacantes, a menudo respaldados por recursos significativos, implementan tácticas complejas para obtener acceso no autorizado a los sistemas y extraer datos sensibles o causar daños prolongados. Estas tácticas incluyen el uso de malware personalizado, explotación de vulnerabilidades desconocidas (zero-day), y técnicas avanzadas de ingeniería social. En el plano defensivo, la matriz MITRE ATT&CK proporciona un marco integral que detalla los distintos métodos y técnicas que los atacantes utilizan en cada fase del ciclo de vida de un ciberataque, permitiendo una mejor comprensión y defensa contra estas amenazas avanzadas.

En este contexto, la inteligencia artificial (IA) emerge como una herramienta prometedora para fortalecer las capacidades de detección de APTs. La IA, con su capacidad para analizar vastas cantidades de datos y detectar patrones anómalos, ofrece una solución avanzada frente a las técnicas tradicionales de ciberseguridad. A diferencia de los métodos convencionales, que a menudo dependen de firmas predefinidas y reglas estáticas, la IA puede adaptarse y aprender de nuevas amenazas en tiempo real.

Si no vives debajo de una piedra y haces uso de las redes sociales, seguro has sido testigo o protagonista de esas publicaciones en tu cafetería de confianza, cerca de casa, en el trabajo, de viaje, o en esas fiestas épicas inolvidables al estilo Proyecto X. Nos encanta compartir esos momentos, ¿verdad?

A menudo, ni siquiera nos damos cuenta de la montaña de información que entregamos al mundo cada vez que publicamos algo en nuestras redes sociales. Nos exponemos ante Internet sin pensar en las posibles consecuencias. Es como aventurarse en la jungla digital sin un mapa, sin saber qué depredadores acechan.

Pero, ¿sabes qué es lo más loco? Que con cada publicación estamos arrojando pistas sobre nuestra ubicación, nuestra rutina diaria, nuestras actividades, nuestra familia, nuestros amigos, entre otras muchas cosas. Es como si estuviéramos dejando migas de pan digitales para que cualquiera las siga, revelando nuestra vida a un público invisible y potencialmente peligroso.

Y no se trata solo de la información que sabemos que compartimos, sino también de aquella que compartimos sin siquiera ser conscientes de ello, porque claro, no nos olvidemos de los metadatos. Cuando, por ejemplo, sacamos una foto con nuestro móvil, esa imagen puede contener una gran cantidad de información que, a simple vista, podríamos pasar por alto. Desde la ubicación exacta donde se tomó la foto, hasta la marca, modelo y versión del software del dispositivo utilizado, e incluso detalles sobre la configuración de la cámara. Pequeños detalles que, a primera vista, parecen inofensivos pero que, al contrario de lo que podamos pensar, revelan mucha información, que nos hacen vulnerables a posibles ataques por aquellos que saben buscarla.

En el ámbito de la seguridad informática, nos encontramos con retos cada vez más complejos que prueban nuestras habilidades de defensa digital. Recientemente, hemos sido testigos de un ataque sin precedentes realizado por el ramsomware Black Basta.

Más de 500 organizaciones en todo el mundo, desde pequeñas empresas hasta grandes corporaciones, han sido afectadas por Black Basta, que ha demostrado ser una amenaza significativa. El alcance del ataque ha generado inquietud y ha cuestionado la solidez de nuestra infraestructura digital.

Su capacidad para eludir las defensas tradicionales y el cifrado de datos críticos hace que Black Basta sea particularmente preocupante en comparación con otros ramsomware.

La información clasificada es un componente vital de la seguridad nacional e internacional en el mundo contemporáneo. Este tipo de información, meticulosamente protegida por gobiernos y organizaciones, abarca una amplia gama de contenido sensible que, de caer en manos equivocadas, podría representar una amenaza significativa para la seguridad, la estabilidad y los intereses estratégicos de una nación.

La naturaleza de la Información Clasificada

La información clasificada puede incluir datos sobre operaciones militares, estrategias de inteligencia, tecnologías avanzadas, fuentes de inteligencia, así como también información diplomática y política delicada.

La clasificación de esta información se realiza según la gravedad del daño que su divulgación podría ocasionar, y se divide en diferentes niveles de clasificación, como “Difusión Limitada”, “Confidencial”, “Reservado” y “Secreto”, y sus equivalentes internacionales.

Cuando hablamos del espacio, de comienzo suele sonar a ficción. Sin embargo, no estamos tan lejos como podemos pensar. Una nueva vertiente de pruebas de seguridad que esta floreciendo hoy en día es la tan conocida Pentest contra Satélites. Hoy en día, una sola persona puede diseñar, construir y lanzar un satélite respetando muy pocas normas y protocolos de seguridad.

Como ya sabemos, el error humano es bastante bien conocido en nuestro ámbito, lo que unido con la democratización del espacio que ha abierto una nueva frontera a empresas y entusiastas a la exploración y la innovación en el campo espacial, produce el nacimiento de un nuevo conjunto de vulnerabilidades específicas, que requieren de profesionales cualificados y especializados para su identificación.

¿Qué es el Pentesting Satelital?

En pocas palabras, es lo que comúnmente muchos ya conocemos como “pentest” pero extrapolado a los satélites. Por tanto, es un proceso de comprobación de la seguridad de los sistemas de comunicación por satélite, donde simulamos ataques contras los mismos, identificando potenciales vulnerabilidades y deficiencias que puedan ser explotadas para posteriormente reportarlas al cliente con sus respectivas medidas correctoras, permitiéndole mitigar los riesgos identificados.

En el panorama actual de la ciberseguridad, la complejidad de las soluciones implementadas para la protección contra amenazas crecientes aumenta constantemente. Debido a esto, tanto los actores maliciosos, que tratan de comprometer a organizaciones y sistemas para su propio beneficio, como los operadores Red Team, cuya misión es identificar y reportar vulnerabilidades para su posterior corrección, se ven impulsados a identificar y explotar nuevas deficiencias en los sistemas, adaptando sus métodos y desarrollando nuevas TTPs que les permitan evadir las defensas existentes.

Las herramientas desarrolladas tanto por los operadores como por los atacantes hostiles están diseñadas para la evasión de soluciones de seguridad como los EDR. Esto se debe a que mantener la operación fuera del radar del Blue Team es de vital importancia. Ser detectado supondría la obtención de IOC por parte del equipo de defensa, el cual aprovecharía para desmantelar toda una operación, bloqueando direcciones IP y dominios, creando YARAs para los artefactos o implementando las últimas actualizaciones en todas sus soluciones de seguridad.

Estas acciones, además de incrementar el nivel de alerta del Blue Team, supondrían el fin o el reinicio de un ataque u operación, ya que el vector de entrada podría ser mitigado o directamente bloqueado y sería necesario volver a montar la infraestructura casi por completo. Es por ello por lo que mantener el OPSEC de una operación es de vital importancia, evitando generar alertas que puedan notificar a los defensores y de esta manera cumplir el objetivo sin llegar a ser detectado.

El mundo de la ciberseguridad cada vez se vuelve más complejo y desafiante. Con cada nueva amenaza, desde capacidades dañinas como malware o 0 days, hasta los cambios en las infraestructuras, habiendo pasado de entornos on-premise a híbridos o full-cloud, surge la urgente necesidad de esquemas y metodologías que ayuden a enfrentar estas adversidades. No solo buscamos minimizar el impacto de cualquier amenaza, sino también de alcanzar un nivel de detección y neutralización con el que nos sintamos confiados, aunque a menudo esto puede dar una sensación de falsa seguridad.

Hoy día encontramos diversos esquemas que nos ayudan a entender y contextualizar el modus operandi de los actores hostiles. Desde el ampliamente reconocido MITRE hasta el Malware Behavior Catalogue (MBC), pasando por Microsoft Attack Kill Chain y Lockheed Cyber Kill Chain, estas herramientas nos ofrecen una guía para comprender y enfrentar las tácticas, técnicas y procedimientos (TTPs) utilizados por los adversarios. Dentro de este panorama MITRE ATT&CK el esquema más reconocido. Su matriz desglosa las distintas técnicas, tácticas y procedimientos (TTPs) utilizados por los actores hostiles.

A la hora de realizar un ataque a una red interna, todos pensamos en que la salida de los datos podría ser por medio de esa misma red. Por ejemplo, si un posible atacante llega a infectar un dispositivo con la intención de sustraer información, requeriría de una salida por la propia red para enviar dicha información a un servidor externo.

La pregunta que nos podríamos plantear es: ¿existe una segunda vía por la que se podría enviar la información sustraída? A lo cual la respuesta es un sí, pero con matices. Planteemos el siguiente escenario: un atacante logra conectar un dispositivo que se comunica por radiofrecuencia a un ordenador de la red interna. ¿Qué podría implicar?

Existe un prototipo, de creación española, el RPK2 que responde a esta pregunta. Este USB se hace pasar por una impresora al ordenador que se conecta. Posteriormente, comenzará a comunicarse con un receptor que manipulará el atacante. Dado que el dispositivo receptor se comunica por radiofrecuencia, debería localizarse a unos pocos metros del USB malicioso, para poder mantener una comunicación continuada.