Estado de salud como métrica del riesgo de los activos TI
Matemática sencilla para montones de vulnerabilidades complicadas. Cómo medir el riesgo de los activos TI de forma ágil para emprender acciones rápidas
Fugas de datos, el 2021 arranca con mal pie
La filtración de la información de 13 millones de clientes de Phone House ha vuelto a poner el foco sobre un fenómeno en auge. Las fugas de datos en lo que va de año han afectado también a firmas como Facebook o Fedex
Hardware hacking – Chip-off para principiantes
Introducción al hardware hacking Antes de empezar manos a la obra con hardware hacking vamos a hacer una pequeña introducción sobre las memorias flash, un elemento que vamos a encontrar en casi cualquier placa objeto de análisis. Las memorias flash son memorias principalmente de lectura (read-mostly memory), creada como una variación de las memorias EEPROM tradicionales. Son utilizadas como memoria ROM en las BIOS de los computadores y en diversos productos electrónicos, incluidos los pendrives USB. Uno de sus usos más habituales es contener el firmware que será ejecutado por el microcontrolador en muchos productos electrónicos, por lo que su volcado en un archivo binario será útil para el estudio de su funcionamiento. Existen varias técnicas de hardware hacking para ...
De exploit N-day a Kerberos EoP en entornos Linux
Introducción En una de sus operaciones, el Red Team logra la ejecución de comandos en una página web perimetral, como usuario no privilegiado. En este artículo describe el análisis y explotación de una vulnerabilidad (CVE-2018-1685) que permite la lectura arbitraria de ficheros, pero de la que no se conocen detalles públicos. Finalmente, se expondrá un método para convertir este tipo de vulnerabilidades (lectura de ficheros) en el compromiso total del sistema (ejecución de comandos), en caso de máquinas Linux integradas en Directorio Activo mediante Kerberos. Vulnerabilidad de elevación de privilegios (EOP) La máquina comprometida, se trata de un servidor Red Hat actualizado, por lo que se descarta la elevación de privilegios mediante un exploit de kernel. Tras las típicas comprobaciones ...
Dificultando el Hunting, una historia de evasión en un entorno restringido
Es habitual e importante para el desarrollo de un servicio de Red Team obtener información sobre las tecnologías y restricciones del entorno en donde se van a ejecutar nuestras TTPs. Esta información, en ocasiones, implica cambios sustanciales en nuestro modus operandi. Generalmente, uno de estos cambios es dejar de lado herramientas ofensivas conocidas/públicas y desarrollar implantes propios ad-hoc al entorno a atacar al menos en las etapas iniciales de infección en donde las posibilidades de detección son elevadas. El siguiente caso que nos gustaría compartir es un ejemplo claro de este tipo de ejercicios. En determinado cliente se obtiene información sobre la tecnología EDR (Endpoint Detection & Response) implantada y sobre las restricciones de tráfico de red saliente, en donde, únicamente ...
Atacantes aprovechan RCE en MobileIron para ejecutar Kaiten
En septiembre de este año el investigador de seguridad Orange Tsai publicaba diversas vulnerabilidades y P0Cs relacionadas con el MobileIron’s mobile device management (MDM) solution. Desde el Blue Team de Tarlogic se ha identificado el uso del CVE-2020-15505, por parte de determinado grupo de atacantes, para descargar y ejecutar Kaiten Kaiten/Tsunami Por medio del JNDI injection relacionado con dicho CVE, los atacantes están descargando el archiconocido Kaiten, también conocido como Tusnami. Esta familia de malware ha sido utilizada por múltiples actores desde hace más de 15 años (sus inicios se remontan a 2002) principalmente como herramienta ofensiva para generar ataques DoS y, actualmente, para el minado de criptomonedas. Existen decenas de variantes asociadas a este código malicioso; posiblemente a raíz ...
CDS. Corporate Digital Surveillance. Protección adelantada del negocio
Una solución de Corporate Digital Suveillance complementa los centros de operaciones de seguridad que son imprescindibles en la ciberseguridad avanzada Está asumido por todos los profesionales que no es posible alcanzar un estado permanente de “ciberseguridad total”, en el que se garantiza un 0% de problemas e incidentes de manera continua en el tiempo. Por ello, el esfuerzo debe ir dirigido a diseñar esquemas de seguridad digital lo más eficientes posible, que minimicen el porcentaje de problemas e incidentes en una organización y que apenas dejen a los actores hostiles ventanas temporales de oportunidad para la materialización de dichos problemas e incidentes. Los sistemas defensivos de vigilancia digital constante, montados en base a los servicios que se prestan desde un ...
Teletrabajo e Insider Threats. Nuevas oportunidades para un viejo conocido
La pandemia ha obligado a empresas y organizaciones a poner en funcionamiento de manera acelerada unos regímenes laborales nuevos
El plan de obtención de información. Un elemento clave en el ciclo de inteligencia
Una de las fases clave del ciclo de inteligencia es la de obtención de información. En ella se recopilan datos e informaciones con los se trabajará en el resto de las fases del ciclo de inteligencia hasta llegar a la difusión del entregable al decisor La recolección de datos e informaciones contrastados y fiables procede de fuentes muy diversas y cada una de ellas hace su aportación a la fase de obtención de información: OSINT (fuentes abiertas), WEBINT (fuentes digitales especializadas o restringidas), IMINT (fuentes que aportan imágenes de interés), HUMINT (fuentes clásicas humanas de obtención directa de información) y VIRTUAL HUMINT (en su modalidad digital), SOCMINT (fuentes procedentes de Redes Sociales) y otras. Uno de los problemas al que ...
Exposición de directivos a amenazas. El valor de la CiberInteligencia
Me llamo Juan y soy CSO de una compañía española de infraestructuras con fuerte presencia internacional. Jaime es mi amigo desde hace tiempo y responsable de nuestra unidad territorial de negocio que tiene la oficina de cabecera en Sao Paulo. Me llama francamente angustiado porque le acaban de contactar y él se imagina que serán, casi seguro, personas contratadas por la competencia. En la llamada le dicen que “quieren hablar de negocios” y cuando ya se estaban despidiendo de él le dan recuerdos también para una amiga brasileña con la que Jaime me cuenta que se lleva viendo un tiempo. De su amiga le dijeron además que “sale muy bonita en las fotos” y en lo referido a los negocios, ...