Atacando el protocolo MQTT

24 de febrero de 2022 Por

El siguiente artículo muestra un método de crackeo de las credenciales de autenticación del protocolo MQTT. Para ello se va a montar un escenario virtual haciendo uso del bróker Mosquitto. Además, también se va a utilizar el cliente Mosquitto y la herramienta Ncrack para extraer las credenciales.

No se pretende explicar el funcionamiento del protocolo en cuestión, por lo que se recomienda la lectura de uno de los artículos anteriores del blog (https://www.securityartwork.es/2019/02/01/el-protocolo-mqtt-impacto-en-espana/) donde se detallan las características del protocolo.

MQTT ofrece la posibilidad de añadir autenticación a las comunicaciones, no obstante, a pesar de aplicar esta capa de seguridad, las comunicaciones van sin cifrar por defecto como se mostrará a continuación. Un atacante que consiga interceptar el tráfico de la red podría visualizar las credenciales en claro:

[Read more…]

Desmenuzando la aproximación al marco de gobernanza de la ciberseguridad del CCN

18 de febrero de 2022 Por

En un proceso continuado a lo largo de los últimos lustros, los términos de gobernanza y de buen gobierno han venido adquiriendo un creciente protagonismo en todo tipo de organizaciones que, o bien han buscado mejorar su nivel de madurez o, en otros casos, se han visto sometidas a los requisitos de nuevos marcos sectoriales de control.

La preocupación por los problemas de “gobierno corporativo” en todo tipo de organizaciones apareció por primera vez en el “Informe Cadbury” (Reino Unido, 1992); este informe recogía un “código de buen gobierno” al que debían adherirse las corporaciones que cotizaban en la bolsa de Londres.

Posteriormente, en 1999 y 2004, la Organización para la Cooperación y Desarrollo Económico, OCDE, publicaría las primeras ediciones de sus “Principios de Gobernanza Corporativa”.

En 2004 los investigadores del Instituto de Tecnología de Massachusetts, MIT, Peter Weill y Jeanne Ross propondrían seis activos clave que deberían ser objeto de prácticas de gobierno en cualquier organización:

  • Los activos financieros,
  • los activos físicos,
  • los recursos humanos,
  • el esquema de relaciones de la organización,
  • la propiedad intelectual, y
  • la información y las Tecnologías de la Información.

Cronología de los marcos de referencia en gobernanza corporativa
[Read more…]

Glosario de la DarkWeb

16 de febrero de 2022 Por
Fuente: Argone National Laboratory

Esta entrada ha sido elaborada conjuntamente con Nikolas Sarriegi.

Existe mucha confusión entre los términos DeepWeb, DarkWeb, DarkNet y ClearNet, por lo que antes de comenzar conviene asentar estos conceptos.

El término más sencillo de explicar es el de ClearNet o Surface Web, el cual es el Internet comúnmente conocido por todos. Aquel al que se puede acceder gracias a su indexación en buscadores como Google, Bing o muchos otros.

No obstante, el 90% del contenido de la red no es accesible a todo el mundo: pasarelas de pago, carpetas privadas de Drive o DropBox, cuentas en redes sociales, correos electrónicos, etc. Todo este contenido que no está indexado en buscadores recibe el nombre de DeepWeb y no es contenido ilegal ni prohibido en su mayoría. 

Dentro de la DeepWeb hay un pequeño porcentaje del contenido que sí que se encuentra oculto intencionadamente del resto de la red gracias a un enmascaramiento de las direcciones IP. Todo este contenido recibe el nombre de DarkWeb y se encuentra distribuido en DarkNets, que son distintas redes accesibles mediante programas específicos (TOR, I2P, FreeNet, etc.).

La DarkWeb, de forma similar que en la ClearNet, funciona con un lenguaje propio entendible por los usuarios de esta. Debido a que la naturaleza de la mayoría de las actividades que se realizan aquí, son ilegales, muchas veces es necesario conocer esta jerga para poder indagar, de una manera más profunda, si se está realizando una investigación.

[Read more…]

MQTT: riesgos y amenazas en entornos sanitarios

11 de febrero de 2022 Por

Esta entrada ha sido elaborada conjuntamente con Alex Alhambra Delgado.

Desde 2020, se han tenido que realizar muchos cambios en la forma en la que teníamos de interactuar entre nosotros, así como con los sistemas informáticos. A raíz de la pandemia, todas las empresas tuvieron que ponerse manos a la obra para mejorar sus infraestructuras de red, para así proporcionar mayor rendimiento, velocidad y disponibilidad, dada la gran cantidad de trabajo que, de repente, debía realizarse a distancia.

De esta misma manera, las empresas tuvieron que buscar una forma de monitorizar todos sus procesos de forma remota, para así disminuir los desplazamientos y la exposición al virus que esto pudiera provocar. Con esta situación, todo tipo de industrias aprovecharon las bondades del IoT (Internet of Things), la cual proporcionaba una nueva forma de controlar los procesos de una empresa de una forma remota.

Ilustración 1. IoT e IIoT
[Read more…]

“Spam Nation”, un retrato del cibercrimen de 2014

8 de febrero de 2022 Por

Para quienes están interesados en la ciberseguridad, el periodista Brian Krebs es una referencia más o menos habitual. Krebs, que cubría casos de cibercrimen para el Washington Post, dejó su puesto en la redacción y montó su propio blog desde el que seguir indagando qué es lo que hay detrás de algunos de los casos más sonados o de los delitos más habituales.

En su primer (y hasta ahora el único) libro, “Spam Nation“, Krebs nos cuenta las llamadas “Guerras Farmacéuticas” entre los líderes de dos “familias” criminales, que entre 2007 y 2013 competían por el mercado de envíos de spam y venta de medicamentos falsificados.

Los dos spammers, Pavel Vrublevsky y Dimitry Nechvolod, escalaron en su rivalidad filtrando información el uno sobre el otro, sobornando a las autoridades, compitiendo en precios y, finalmente, hasta ordenando la agresión y eliminación física de sus rivales. Todo en ello en una “guerra” de seis años que terminó con la derrota de ambos.

[Read more…]

Los peligros de andar por las nubes: DFIR en O365 (V)

4 de febrero de 2022 Por

N.d.A.: Esta serie de posts es una narración de un análisis forense de un caso práctico de respuesta ante incidentes totalmente ficticio. Una breve explicación con algunas notas aclaratorias se puede leer al comienzo del primer artículo.

Recursos: i) vídeo del taller que el autor dio en las XV Jornadas STIC del CCN-CERT, ii) slides de la presentación, iii) evidencias ya trabajadas para poder seguir el caso paso por paso, iv) evidencias en bruto para hacer investigación propia, v) CTF DFIR preparado que va desgranando el caso a medida que se responde a los diversos retos

Entradas de la serie:
=> Primera parte
=> Segunda parte
=> Tercera parte
=> Cuarta parte
=> Quinta parte

En el artículo anterior Ángela había terminado de desgranar todas las acciones de los atacantes, por lo que ya sabía lo que había sucedido realmente y tenía una explicación completa del incidente:

  1. Los atacantes envían un phishing a Pepe Contento, que cae en el mismo e introduce las credenciales.
  2. Leen el correo de Pepe Contento, y no encuentran nada de interés
  3. Crean una app maliciosa en su tenant de Azure y la configuran para que solicite entre otros acceso al correo.
  4. Entran con la cuenta de O365 de Pepe Contento a Teams, y convencen a Inocencio Crédulo para que de permisos a esa aplicación, dando a los atacantes acceso a su correo.
  5. Leen el correo de Inocencio Crédulo y encuentran las credenciales de la cuenta de emergencia.
  6. Inician sesión con la cuenta de emergencia, y despliegan todas las acciones de evasión (usuario administrador global, regla de correo) y de espionaje (permisos sobre los buzones de correo y sitios de Sharepoint).
  7. Desde la cuenta de emergencia, intentan engañar (sin éxito) a la Directora General para que instale un Grunt de Covenant.
  8. La Directora General comparte el documento con uno de sus adjuntos, que poco después lo comparte con el otro adjunto vía O365.
  9. Los atacantes exfiltran el documento del O365 de Pepe Contento, y lo filtran al “Happy Gossipy”.

Sabiendo todo lo que han hecho los atacantes, Ángela puede pasar a la fase de contención y erradicación (que en este caso ocurre de forma simultánea, y según el “método Pelayo”, se realiza con contundencia):

[Read more…]

Los peligros de andar por las nubes: DFIR en O365 (IV)

3 de febrero de 2022 Por

N.d.A.: Esta serie de posts es una narración de un análisis forense de un caso práctico de respuesta ante incidentes totalmente ficticio. Una breve explicación con algunas notas aclaratorias se puede leer al comienzo del primer artículo.

Recursos: i) vídeo del taller que el autor dio en las XV Jornadas STIC del CCN-CERT, ii) slides de la presentación, iii) evidencias ya trabajadas para poder seguir el caso paso por paso, iv) evidencias en bruto para hacer investigación propia, v) CTF DFIR preparado que va desgranando el caso a medida que se responde a los diversos retos

Entradas de la serie:
=> Primera parte
=> Segunda parte
=> Tercera parte
=> Cuarta parte
=> Quinta parte

En el artículo anterior Ángela había descubierto que el borrador del documento para la felicidad mundial había sido exfiltrado a través de O365, y que los atacantes tenían privilegios de administrador global gracias a su control de la cuenta “emergencia”.

Dado que Inocencio Crédulo aparece referenciado en varias ocasiones, Ángela decide obtener un eDiscover de su usuario, y revisar los mensajes de correo. Lo que encuentra no le hace especialmente feliz, pero por lo menos resuelve una de las incógnitas presentes:

[Read more…]

Los peligros de andar por las nubes : DFIR en O365 (III)

2 de febrero de 2022 Por

N.d.A.: Esta serie de posts es una narración de un análisis forense de un caso práctico de respuesta ante incidentes totalmente ficticio. Una breve explicación con algunas notas aclaratorias se puede leer al comienzo del primer artículo.

Recursos: i) vídeo del taller que el autor dio en las XV Jornadas STIC del CCN-CERT, ii) slides de la presentación, iii) evidencias ya trabajadas para poder seguir el caso paso por paso, iv) evidencias en bruto para hacer investigación propia, v) CTF DFIR preparado que va desgranando el caso a medida que se responde a los diversos retos

Entradas de la serie:
=> Primera parte
=> Segunda parte
=> Tercera parte
=> Cuarta parte
=> Quinta parte

En el artículo anterior, Ángela acaba de recopilar los datos de O365 del MINAF y toda la información de eDiscover de la Directora General, así que se puede poner manos a la obra. El correo electrónico suele ser una vía de entrada de todos los males, así que lo primero que hace es cargar el buzón de correo con Kernel Outlook PST Viewer. 

Como tenemos un marco temporal sobre el que pivotar (sobre el 18 de noviembre a partir de las 19:00h UTC aproximadamente) y un sospechoso (el usuario emergencia), no cuesta mucho encontrar un correo sospechoso:

[Read more…]

Los peligros de andar por las nubes : DFIR en O365 (II)

1 de febrero de 2022 Por

N.d.A.: Esta serie de posts es una narración de un análisis forense de un caso práctico de respuesta ante incidentes totalmente ficticio. Una breve explicación con algunas notas aclaratorias se puede leer al comienzo del primer artículo.

Recursos: i) vídeo del taller que el autor dio en las XV Jornadas STIC del CCN-CERT, ii) slides de la presentación, iii) evidencias ya trabajadas para poder seguir el caso paso por paso, iv) evidencias en bruto para hacer investigación propia, v) CTF DFIR preparado que va desgranando el caso a medida que se responde a los diversos retos

Entradas de la serie:
=> Primera parte
=> Segunda parte
=> Tercera parte
=> Cuarta parte
=> Quinta parte

En el artículo anterior habíamos visto cómo se había producido un intento de descarga de malware en el equipo de la Directora General de Festejos del MINAF, y que el malware se había descargado desde el propio Sharepoint. Llegado este momento, es necesario obtener evidencias de O365 porque está claro que la nube está implicada en el incidente. Para ello vamos a contar con las siguientes fuentes de información:

  • UAL (Unified Access Logging): Log básico de O365, guarda todas las acciones relevantes de los usuarios y administradores.
  • Message Trace: Guarda los metadatos de los correos enviados.
  • Salida de Hawk, herramienta de detección de compromisos en entornos O365.
  • Full eDiscover:  salida completa de todos los correos, mensajes de Teams y ficheros de OneDrive y Sharepoint (afortunadamente, la nueva política de seguridad de la información permite estas adquisiciones siempre que estén debidamente justificadas).
[Read more…]

Los peligros de andar por las nubes: DFIR en O365 (I)

31 de enero de 2022 Por

Nota 1: Esta serie de posts es una narración de un análisis forense de un caso práctico de respuesta ante incidentes totalmente ficticio (pero contada, esperamos, de forma didáctica y con gracia y salero). Si queréis una versión con la misma dosis técnica pero con menos narrativa, podéis consultar el vídeo del taller que el autor dio en las XV Jornadas STIC del CCN-CERT, o echar un ojo las slides de la presentación.

Nota 2: Estos posts desgranan un taller de análisis forense englobado dentro de la respuesta ante un incidente. Habrá algunas cosas que se podrían hacer de manera más eficiente y elegante, pero la idea era hacerlas de forma sencilla para que sean fáciles de entender. Y como todo taller práctico, se puede aprovechar de varias maneras: podéis descargar las evidencias ya trabajadas para poder seguir el caso paso por paso, podéis descargaros las evidencias en bruto para hacer vuestra propia investigación … o podéis jugar al CTF DFIR que hemos preparado y que os irá desgranando el caso a medida que vayáis respondiendo a los diversos retos.

Entradas de la serie:
=> Primera parte
=> Segunda parte
=> Tercera parte
=> Cuarta parte
=> Quinta parte

El año no había sido bueno para Ángela de la Guarda, CISO del MINAF (Ministerio de la Alegría y la Felicidad). Después del susto con el ataque de ransomware del año pasado (del que se libraron por los pelos), el esfuerzo de mantener los niveles de seguridad con todos los requisitos del teletrabajo unido a la falta de personal (la propia Ángela estaba haciendo de CIO en funciones, supliendo la baja del Subdirector General) había hecho que le aparecieran las primeras canas (!maldita sea, recién cumplidos los 40 y ya con tinte!). 

Todo esto sumado a las ya conocidas modas tecnológicas: el furor de este año es la Transformación Digital (que si le preguntas a 100 técnicos tendrás 102 respuestas diferentes, porque cuando lo dices en voz alta en algunos casos te aparece un comercial listo para venderte algo). En el MINAF este reto se ha trasladado en la realización de un piloto para poder trabajar en la nube con todas sus ventajas:  disponibilidad, movilidad y accesibilidad (cierto), ahorro de costes y seguridad (eso lo podríamos discutir).

La Dirección General de Festejos, unas 25 personas,  se ha migrado a O365, usando un conjunto de licencias de E3 (la licencia corporativa más barata). Este equipo ha recibido una formación sobre cómo usar la nube, y están empleando Exchange Online para el correo, Teams para la mensajería instantánea y tanto Sharepoint como OneDrive para compartir ficheros.

[Read more…]