Hola a todos,
Este es el post final sobre la Metodología de Pentesting hacia un Directorio Activo donde daré algunos resultados que se han obtenido tras el seguimiento del proyecto y una pequeña conclusión sobre el mismo.
Resultados
El resultado de este proyecto hace referencia a la gestión integra de un AD desde su despliegue, evaluación y ejecución de vulnerabilidades, así como posibles mitigaciones ofrecidas para protegerse de estas vulnerabilidades. Este es el resultado del proceso de trabajo ofrecido, que se podría dividir en varias actividades de las cuales cabe destacar la planificación y configuración del sistema AD y el desarrollo de la metodología de ataque mediante diferentes técnicas.
Por un lado, de manera general se ha presentado de manera superficial el conocimiento obtenido sobre los diferentes aspectos de la ciberseguridad, así como de un AD, la virtualización y estado actual del pentesting, mostrando los conocimientos obtenidos por las asignaturas cursadas durante el grado, buscando más información y detallando diferentes alternativas a la hora de obtener un buen resultado final.
Se ha dado una visión sobre todos los aspectos indispensables que rodean a un AD, así como los protocolos que utiliza y los diferentes riesgos a los que está expuesto, tomando como referencia trabajos y artículos que explicaban solo una parte del resultado obtenido y evitando entrar en diferentes temáticas como el despliegue o la defensa del AD.
Se ofrece, en un archivo comprimido, la plataforma utilizada como entorno de pruebas compuesta por los diferentes equipos y administrada por un AD, que ha sido vulnerada mediante las herramientas y explotaciones de protocolos abiertos al atacante, con el fin de que puedan ser replicados para futuros estudios. Este entorno se trata de un espacio controlado, en el cual se ha facilitado la inclusión de ciertos vectores de ataque para que las pruebas fueran exitosas. Sin embargo, este trabajo y su resultado puede servir a cualquier pentester a desplegar un entorno de AD, ejecutar y conocer las vulnerabilidades y metodologías de ataque a un AD y como poder defenderse de estas vulnerabilidades.
Por otro lado, debido a la naturaleza del trabajo, no se han podido entrar en detalle de ciertos aspectos que se encuentran íntimamente relacionados con conceptos esenciales de la seguridad, como, por ejemplo, elementos hardware que permiten establecer una barrera frente a los ataques mostrados o implantar más vectores de ataque a través de diferentes servicios de terceros. Sin embargo, ha permitido establecer un mecanismo de trabajo eficaz y eficiente, pensado para que un pentester pueda seguir una metodología de trabajo optima a la hora de intentar vulnerar un AD, ya sea mediante las herramientas explicadas o a través de distintos servicios.
Por último, los resultados de este proyecto apuntan hacia el desarrollo más complejo de la plataforma incluyendo más usuarios, grupos, equipos, complicando las contraseñas y aumentado el nivel de los ataques, con el fin de preparar al pentester hacía el éxito en la explotación de sus víctimas ya que, aunque los sistemas de defensa de los equipos mejoren el pentester debe conocer los vectores de ataque que debe realizar siempre en un AD y gracias a la metodología presentada podrá lograrlo.
Conclusiones y posibles trabajos futuros
Uno de los principales motivos por el cual se atacan las diferentes organizaciones que poseen servicios como AD, es que no poseen grandes conocimientos, ni infraestructura en materia de seguridad, esto permite a cualquier atacante secuestrar el servicio y solicitar dinero por ello, con esto me refiero a que la mayoría de pymes dentro del mercado Español no está concienciados en materia de ciberseguridad lo que permite a cualquier atacante, con unos conocimientos básicos, como los que se han mostrado en la memoria, vulnerar los sistemas de una organización. Actualmente la ciberdelincuencia se basa en un modelo de negocio en el que los delincuentes se hacen con el control total de los sistemas de una organización y solicitan dinero para “liberar” esos recursos; la gran mayoría de estos ataques se basan en los conocidos ransomwares, este tipo de malware se suele ejecutar por interacción con el usuario, al no tener medidas de protección adecuadas como buenos antivirus o firewalls que impidan la propagación del malware, esto permite al atacante hacerse con el control total de la red.
Por otro lado, en referencia a los conocimientos de ciberseguridad, muchos de los administradores de sistemas que gestionan los entornos empresariales no se han formado específicamente en el área de ciberseguridad, por lo que los conocimientos adquiridos al respecto son muy generales. Esto propicia que tras los despliegues de los diferentes entornos no se apliquen las medidas de seguridad oportunas para evitar los ataques de ciberdelincuentes. Existe un pensamiento erróneo generalizado, en el que se cree que nunca se será objetivo de un ciberdelincuente, cuando realmente este tipo de personas trabajan para una organización que solo busca el lucro propio, sin importar que la objetivo sea grande o pequeño.
También mi gustaría comentar que, aunque actualmente la concienciación de los usuarios sobre la ciberseguridad es bastante “pobre” se están haciendo grandes esfuerzos por parte de diferentes agencias como: INCIBE o Hack By Security en proporcionar cursos orientados a los empleados en materia de seguridad, lo que permitirá a un usuario pensárselo dos veces antes de interactuar con un malware.
Como se ha podido observar muchas veces no hace falta que el atacante disponga de scripts avanzados o herramientas mejoradas, simplemente con fallos en la configuración o defensas establecidas incorrectamente es posible perpetrar el ataque, permitiendo conseguir privilegios elevados dentro de una red, aunque esto, no se considera algo sencillo.
En este proyecto se ha presentado una metodología eficaz a la hora de evaluar el sistema de seguridad establecido en un AD, analizando las vulnerabilidades más habituales y explotándolas de manera detallada, permitiendo que un pentester conozca de manera precisa el siguiente paso en su labor.
Este trabajo ha presentado varios retos, desde el fallo continuo en las plataformas hasta la comprensión real de los protocolos utilizados con el fin de vulnerarlos, sin embargo, el principal reto con el que se ha encontrado este trabajo, bajo este objetivo principal, es con el seguimiento preciso del actual procedimiento de pentesting, ya que esta metodología se lleva practicando mucho tiempo y es la habitual en entornos de pentesting; si se evita el uso de este, se estará modificando un estándar válido en materia de seguridad, por lo que se ha intentado evitar su modificación de manera abusiva con el fin de detallar al máximo este proceso de trabajo y que pueda servir para realizar test de penetración bajo otros servicios.
Se han dado a conocer los conceptos básicos del pentesting y la ciberseguridad; también ha sido posible instalar una solución de virtualización y configurarla adecuadamente; se han llevado a estudio las herramientas y técnicas para el pentesting de AD; así como las herramientas y técnicas de elevación de privilegios en AD. Por otro lado, se ha dado a conocer la definición de persistencia en diferentes entornos, se han estudiado y ejecutado las herramientas de post-explotación en sistemas informáticos y por último se han estudiado las técnicas de defensa contra diferentes vectores de ataque. El único objetivo que no se ha podido cumplir es el de la presentación de herramientas para el despliegue de plataformas a vulnerar, ya que por problemas en las herramientas no ha sido posible utilizarla.
Como la plataforma principal de diseño, Detection-Lab, no ha podido ser desplegada, esto implicaba un desarrollo más superficial sobre la configuración y despliegue del AD, ya que las VM ya venían desplegadas y configuradas, sin embargo, esto ha permitido gestionar y elaborar una plataforma más detallada, con las configuraciones y procesos que se han querido desarrollar, estos cambios realizados en el despliegue de la plataforma de AD vulnerable se han debido realizar así para cumplimentar el éxito de este.
Referente a los fallos encontrados en la primera plataforma, tras el intento para resolver los problemas ocasionados por las actualizaciones automáticas de los equipos, que impedían su correcta configuración, se ha probado a introducir releases antiguas sin el resultado esperado y se han abierto varias incidencias en el repositorio que gestiona la herramienta, para que sea conocedora de estos fallos.
Como conclusión, se obtiene un resultado satisfactorio de la metodología a utilizar cuando se intenta vulnerar un AD. Los resultados son los adecuados, pero no los esperados ya que, tras el fallo de la primera opción de despliegue, el desarrollo del trabajo y la parte principal expuesta por el despliegue ha sido necesario modificarla variando los resultados previstos.
Para finalizar, algunas de las líneas de exploración tras los resultados del trabajo podrían ser la posibilidad de atacar el AD con el Windows Defender activo mediante herramientas como Invoke-SharpLoader, para desencriptar una muestra en memoria o salsa tools, que sirve para evitar las últimas técnicas de detección (AMSI). Por otro lado, se podrían buscar resultados más ambiciosos con una configuración más avanzada sobre la plataforma, incluyendo nuevo usuarios o equipos de seguridad.
Esto sería todo espero que os haya gustado esta serie de post y nos veamos en los siguientes.
Saludos.