PDF de programación - Homeland

La defensa del patrimonio tecnológico
frente a los ciberataques

10 y 11 de diciembre de 2014

Homeland

© 2014 Centro Criptológico Nacional

C/Argentona 20, 28023 MADRID

www.ccn-cert.cni.es

VIII JORNADAS STIC CCN-CERT


El enemigo puede estar en casa

VIII JORNADAS STIC CCN-CERT

VIII JORNADAS STIC CCN-CERT

Intro

•Directorio Activo en la

actualidad

•Ciclo de vida de una

intrusión

•Arquitectura del

Access

servicio

•Tipos de ataques

Remediation

•Lecciones

aprendidas

•Conclusiones

VIII JORNADAS STIC CCN-CERT

Introducción

• Directorio Activo en la actualidad:

• Servicio de gestión y almacenamiento de
datos
• Centraliza el control de los recursos de red
• Centraliza y descentraliza la administración
de recursos
• Almacena objetos de manera segura en
una estructura lógica
• Optimiza el tráfico de red



VIII JORNADAS STIC CCN-CERT

VIII JORNADAS STIC CCN-CERT

VIII JORNADAS STIC CCN-CERT

Introducción

•Directorio Activo en la actualidad:

•Un alto porcentaje de proyectos exige la
integración en AD
•Su seguridad disminuye con el tiempo

•Software de terceros, mala
configuración, etc..

•Uno de los servicios menos auditados
•Blanco perfecto para ataques de todo
tipo


VIII JORNADAS STIC CCN-CERT

Introducción



“… I wouldn’t say the vendor had AD

credentials but that the internal

The virus erased data on three-quarters of

administrators would use their AD
login to access the system from
Aramco’s corporate PCs — documents,
inside. This would mean the sever

spreadsheets, e-mails, files — replacing all of it

with an image of a burning American flag.

had access to the rest of the

corporate network ...”

9

Introducción

VIII JORNADAS STIC CCN-CERT

¿Qué ocurre realmente?

Power:
Controladores
de dominio

Data:
Servidores
Aplicaciones

Access:
Usuarios
Equipos

VIII JORNADAS STIC CCN-CERT

1. Objetivos en masa

2. Usuarios con altos privilegios son

el principal objetivo

3. Buscan credenciales “de lo que

sea”

4. Búsqueda de credenciales

cacheadas, cuentas de acceso a
dominio, correo electrónico, etc..

5. Si logran acceder al DC principal,

la empresa está perdida

VIII JORNADAS STIC CCN-CERT

3 2 1

Primer vistazo

VIII JORNADAS STIC CCN-CERT

VIII JORNADAS STIC CCN-CERT

DNS Record Types

• SOA = Start of Authority

• NS = Name Server

• A = Address (Host)

• CNAME = Canonical Name (Alias)

• MX = Mail Exchanger

• SRV = Service Locator

• TXT = Text Data


VIII JORNADAS STIC CCN-CERT

Descubrimiento de servicios

•Registros de servicio SRV

•Publicación de servicio a través de DNS

•_servicio._protocolo.hostname

•Obligatorio a partir de W2K

•Ej LDAP

•_ldap._tcp.CCNCERT.local

•_ldap._tcp.CCNCERT.com



VIII JORNADAS STIC CCN-CERT

3 2 1

Búsquedas DNS

VIII JORNADAS STIC CCN-CERT

Configuraciones por defecto

• Permite a un usuario sin privilegios

• Acceder al árbol de objetos (Read Only)

• Consulta de atributos de casi cualquier objeto

• Usuario
• Equipo
• Servicio
• Impresora
• Unidad Organizativa
• Sitios
• Etc, etc..

VIII JORNADAS STIC CCN-CERT

Uso indebido de características



• Preferencias de grupo
• Característica de Windows

Server 2008

• Permite configurar a golpe

de clic

• Credenciales cifradas con

AES



Uso indebido de características

VIII JORNADAS STIC CCN-CERT

• AdminSDHolder

• Encargado de proteger

cuentas críticas
• Previene contra

cambios

• Domain Admins tienen

control total

• Puede requerirlo un
proyecto de terceros

• Cambio de

contraseñas

• Gestión de AD
• Etc…



VIII JORNADAS STIC CCN-CERT

3 2 1

Características

VIII JORNADAS STIC CCN-CERT

Configuraciones por defecto

• El ecosistema Microsoft es una gran API

• WMI
• Jscript
• VBScript
• Powershell
• .NET
• Perl
• Etc…

VIII JORNADAS STIC CCN-CERT

3 2 1

Automatización

VIII JORNADAS STIC CCN-CERT

Conclusiones

•Audita tu infraestructura

•Versiones modernas de AD son muy
seguras

•Necesidad de bastionado

•Security Configuration Wizard
•Políticas de grupo
•Cumplimiento del mínimo privilegio

•Restricción de OU
•Restricción de consulta de atributos



VIII JORNADAS STIC CCN-CERT

Conclusiones

Planificación de Directorio Activo

Cuentas

Sitios

Auditoría

Unidades

organizativas

Despliegue de

software

Ubicación física
de servidores

Políticas de

grupo

Plan de

implantación del
Directorio Activo.



http://windowstips.wordpress.com

VIII JORNADAS STIC CCN-CERT

http://www.innotecsystem.com

VIII JORNADAS STIC CCN-CERT

E-Mails

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

Websites

www.ccn.cni.es

www.ccn-cert.cni.es

www.oc.ccn.cni.es



Síguenos en Linked in