La defensa del patrimonio tecnológico
frente a los ciberataques
10 y 11 de diciembre de 2014
Homeland
© 2014 Centro Criptológico Nacional
C/Argentona 20, 28023 MADRID
www.ccn-cert.cni.es
VIII JORNADAS STIC CCN-CERT
El enemigo puede estar en casa
VIII JORNADAS STIC CCN-CERT
VIII JORNADAS STIC CCN-CERT
Intro
•Directorio Activo en la
actualidad
•Ciclo de vida de una
intrusión
•Arquitectura del
Access
servicio
•Tipos de ataques
Remediation
•Lecciones
aprendidas
•Conclusiones
VIII JORNADAS STIC CCN-CERT
Introducción
• Directorio Activo en la actualidad:
• Servicio de gestión y almacenamiento de
datos
• Centraliza el control de los recursos de red
• Centraliza y descentraliza la administración
de recursos
• Almacena objetos de manera segura en
una estructura lógica
• Optimiza el tráfico de red
VIII JORNADAS STIC CCN-CERT
VIII JORNADAS STIC CCN-CERT
VIII JORNADAS STIC CCN-CERT
Introducción
•Directorio Activo en la actualidad:
•Un alto porcentaje de proyectos exige la
integración en AD
•Su seguridad disminuye con el tiempo
•Software de terceros, mala
configuración, etc..
•Uno de los servicios menos auditados
•Blanco perfecto para ataques de todo
tipo
VIII JORNADAS STIC CCN-CERT
Introducción
“… I wouldn’t say the vendor had AD
credentials but that the internal
The virus erased data on three-quarters of
administrators would use their AD
login to access the system from
Aramco’s corporate PCs — documents,
inside. This would mean the sever
spreadsheets, e-mails, files — replacing all of it
with an image of a burning American flag.
had access to the rest of the
corporate network ...”
9
Introducción
VIII JORNADAS STIC CCN-CERT
¿Qué ocurre realmente?
Power:
Controladores
de dominio
Data:
Servidores
Aplicaciones
Access:
Usuarios
Equipos
VIII JORNADAS STIC CCN-CERT
1. Objetivos en masa
2. Usuarios con altos privilegios son
el principal objetivo
3. Buscan credenciales “de lo que
sea”
4. Búsqueda de credenciales
cacheadas, cuentas de acceso a
dominio, correo electrónico, etc..
5. Si logran acceder al DC principal,
la empresa está perdida
VIII JORNADAS STIC CCN-CERT
3 2 1
Primer vistazo
VIII JORNADAS STIC CCN-CERT
VIII JORNADAS STIC CCN-CERT
DNS Record Types
• SOA = Start of Authority
• NS = Name Server
• A = Address (Host)
• CNAME = Canonical Name (Alias)
• MX = Mail Exchanger
• SRV = Service Locator
• TXT = Text Data
VIII JORNADAS STIC CCN-CERT
Descubrimiento de servicios
•Registros de servicio SRV
•Publicación de servicio a través de DNS
•_servicio._protocolo.hostname
•Obligatorio a partir de W2K
•Ej LDAP
•_ldap._tcp.CCNCERT.local
•_ldap._tcp.CCNCERT.com
VIII JORNADAS STIC CCN-CERT
3 2 1
Búsquedas DNS
VIII JORNADAS STIC CCN-CERT
Configuraciones por defecto
• Permite a un usuario sin privilegios
• Acceder al árbol de objetos (Read Only)
• Consulta de atributos de casi cualquier objeto
• Usuario
• Equipo
• Servicio
• Impresora
• Unidad Organizativa
• Sitios
• Etc, etc..
VIII JORNADAS STIC CCN-CERT
Uso indebido de características
• Preferencias de grupo
• Característica de Windows
Server 2008
• Permite configurar a golpe
de clic
• Credenciales cifradas con
AES
Uso indebido de características
VIII JORNADAS STIC CCN-CERT
• AdminSDHolder
• Encargado de proteger
cuentas críticas
• Previene contra
cambios
• Domain Admins tienen
control total
• Puede requerirlo un
proyecto de terceros
• Cambio de
contraseñas
• Gestión de AD
• Etc…
VIII JORNADAS STIC CCN-CERT
3 2 1
Características
VIII JORNADAS STIC CCN-CERT
Configuraciones por defecto
• El ecosistema Microsoft es una gran API
• WMI
• Jscript
• VBScript
• Powershell
• .NET
• Perl
• Etc…
VIII JORNADAS STIC CCN-CERT
3 2 1
Automatización
VIII JORNADAS STIC CCN-CERT
Conclusiones
•Audita tu infraestructura
•Versiones modernas de AD son muy
seguras
•Necesidad de bastionado
•Security Configuration Wizard
•Políticas de grupo
•Cumplimiento del mínimo privilegio
•Restricción de OU
•Restricción de consulta de atributos
VIII JORNADAS STIC CCN-CERT
Conclusiones
Planificación de Directorio Activo
Cuentas
Sitios
Auditoría
Unidades
organizativas
Despliegue de
software
Ubicación física
de servidores
Políticas de
grupo
Plan de
implantación del
Directorio Activo.
http://windowstips.wordpress.com
VIII JORNADAS STIC CCN-CERT
http://www.innotecsystem.com
VIII JORNADAS STIC CCN-CERT
E-Mails
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
Websites
www.ccn.cni.es
www.ccn-cert.cni.es
www.oc.ccn.cni.es
Síguenos en Linked in
Comentarios de: Homeland (0)
No hay comentarios