Herramienta para implementar y detectar el uso de honeytokens en Active Directory.

DCEPT (Domain Controller Atticing Password Tripwire) es un tripwire basado en honeytokens para Active Directory de Microsoft. Los Honeytokens son piezas de información intencionadamente esparcidas en el sistema para que puedan ser descubiertas por un intruso. En el caso de DCEPT, los honeytokens son credenciales que solo serían conocidas por alguien que las extraiga de la memoria. Un intento de inicio de sesión usando estas credenciales falsas significaría que alguien estaba dentro de la red y está intentando la escalada de privilegios al administrador del dominio.

Esta prueba de concepto se publica como código abierto para beneficiar a los administradores de sistemas de Windows. El objetivo de este proyecto es proporcionar una herramienta de implementación gratuita y sencilla, así como educar a los administradores sobre la naturaleza de estos ataques.

DCEPT está formado por tres componentes:

  • El primero es un agente escrito en C # que almacena honeytokens en memoria en los puntos finales. Los tokens en sí mismos, son credenciales no válidas y no representan ningún riesgo de compromiso de la seguridad del sistema. Los Honeytokens se solicitan a intervalos regulares y están asociados de manera única con una estación de trabajo para una ventana de tiempo particular; Por lo tanto, proporcionar una línea de tiempo forense. En el caso de que se use un honeytoken en una estación de trabajo diferente en una fecha posterior, su punto de origen aún se conoce, lo que podría limitar el alcance de una investigación.
  • El segundo es un componente de servidor que genera y emite honeytokens para solicitar a los puntos finales. Los tokens generados se almacenan en una base de datos junto con la marca de tiempo y el punto final que lo solicitaron.
  • Un tercer componente actúa como un monitor que escucha pasivamente los intentos de inicio de sesión. Para capturar los paquetes necesarios, la interfaz DCEPT debe estar en la misma red que el controlador de dominio.

Se proporciona una compilación de contenedor de Docker para los componentes del servidor, lo que hace que la implementación sea un proceso simple. Antes de poder utilizar DCEPT, debe tener Docker instalado en su sistema. Consulte el sitio web de Docker para las instrucciones de instalación.

Configuración.

El archivo de configuración se llama “dcept.cfg” y debe modificarse antes de ejecutar el contenedor Docker. Actualmente solo se admiten notificaciones a través de rsyslog. Configure syslog_host para que apunte al servidor de syslog de su SIEM.

Arquitectura multiservidor.

DCEPT se puede ejecutar en una configuración independiente o de varios servidores. De forma predeterminada, DCEPT se ejecuta como un nodo maestro donde es responsable de generar credenciales y detectar las solicitudes de autenticación. El tráfico de múltiples DC puede ser monitoreado por una sola instancia de DCEPT usando conexiones de red. Alternativamente, DCEPT puede ejecutarse como un nodo esclavo configurando la opción “master_node” para que apunte a un nodo maestro. En esta configuración, los nodos esclavos rastrean y luego transmiten los datos relevantes al nodo maestro donde se comparan con la base de datos de credenciales.

Construyendo la imagen de Docker.

root@host:~#cd server
root@host:~#./docker_build.sh

Ejecutando la imagen de Docker como un contenedor.

Ejecute el contenedor Docker interactivamente con el siguiente comando:

root@host:~# cd server
root@host:~#./launcher.sh

Ejecute el contenedor en segundo plano con el siguiente comando:

root@host:~# cd server
root@host:~# ./daemon.sh

Construyendo el agente.

El agente se proporciona solo como código fuente de C #, diseñado para ser auditado y compilado por el administrador de la red antes de implementarlo en los puntos finales. Si está compilando en un sistema de Windows, Microsoft proporciona Visual Studio Express de forma gratuita que se puede descargar aquí.

Configurando el agente.

La configuración del agente está codificada y debe modificarse antes de la compilación. Hacia la parte superior del código, encontrará dos constantes, URL y PARAM . La URL debe apuntar al servidor de generación DCEPT. La URL también puede contener cualquier número de directorios / subdirectorios arbitrarios. Esto es simplemente cosmético y está destinado a intrigar a un pirata informático en caso de que encuentren la URL. La constante PARAM es cómo el agente pasa el nombre de host del punto final al servidor de Generación. El nombre del parámetro también se puede cambiar con fines estéticos, pero asegúrese de que se refleje en el archivo de configuración del servidor de generación.

IMPORTANTE: el uso de nombres como “honeytoken” o cualquier otra cosa que pueda sugerir que está utilizando DCEPT a un pirata informático es contradictorio y altamente desalentador.

// Edita esto para que apunte a la URL de tu servidor Honeytoken
static string URL=”http://not-a-dcept-server-wink.domain.lan/backup/auth/nonsense”;
static string PARAM=”machine”;

Compilando en Ubuntu.

Si prefieres compilar desde un sistema Ubuntu, puedes usar mono. Si aún no lo tiene instalado, puede ejecutar el siguiente comando para instalar los paquetes de desarrollo mono y el compilador de C #.

root@host:~# apt-get install monodevelop mono-mcs

Una vez que instale mono, cambie su directorio de trabajo y luego ejecute lo siguiente para compilar el código fuente.

root@host:~# mcs ht-agent.cs -r: System.Data.dll -r: System.Web.Extensions.dll -r: System.Web.Services

Despliegue del agente.

La forma en que se despliega el agente variará de una organización a otra y depende totalmente de quien lo despliegue. El despliegue de una manera que deje las credenciales de administrador de dominio válidas en caché en los puntos finales (por ejemplo, psexec) es altamente desaconsejable.

Pruebas.

Ejecute el siguiente comando para obtener un shell interactivo dentro del contenedor.

root@host:~# docker exec -it dcept /bin/bash

tcpreplay se instala dentro del contenedor de la ventana acoplable junto con un pcap de muestra para fines de prueba. Mientras se ejecuta DCEPT, ejecute lo siguiente desde dentro del contenedor:

root@host:~# tcpreplay -i <interfaz> /opt/dcept/example.pcap

Más información y descarga de DCEPT:
https://github.com/secureworks/dcept

¿Tu Wi-Fi es seguro? Así puedes comprobarlo y evitar que hackeen tu router

El router forma parte de todo el conjunto necesario para conectarnos a la red. Sin duda es una pieza clave y por ello es vital mantener un buen funcionamiento. Algo que preocupa a los usuarios es la posibilidad de que intrusos accedan al Wi-Fi. Aunque con el paso del tiempo esto ha mejorado respecto al nivel de seguridad, también es cierto que existen métodos de ataque que pueden tener éxito. Eso sí, todo dependerá del nivel de seguridad que tenga nuestro router. Por ello en este artículo queremos hacer un recopilatorio de aspectos que debemos tener presentes para saber si nuestro Wi-Fi es seguro.

Aspectos a tener en cuenta para comprobar la seguridad del Wi-Fi

Comprobar que tenemos el cifrado adecuado y una buena clave

Una de las mejores formas de comprobar que nuestro router es seguro es asegurarnos de que el cifrado que tenemos es el adecuado. Como sabemos, en la actualidad, a la espera de la llegada definitiva del WPA3, WPA2 es el mejor cifrado que podemos utilizar. No es infalible, como sabemos, pero sí es el que ofrece mayores garantías.

Podemos acceder al router e ir al apartado de seguridad. Puede variar según el modelo, pero lo normal es que esté dentro de la sección Wi-Fi. Allí nos permitirá elegir qué cifrado poner y comprobaremos si tenemos el adecuado.

Ver el cifrado del router para saber si el Wi-Fi es seguro

Por otra parte, es importante comprobar que nuestra clave sea segura. No basta con introducir cualquier contraseña. Hay que tener en cuenta diferentes parámetros, como es la longitud, el hecho de ser totalmente aleatoria y por supuesto que contenga letras (mayúsculas y minúsculas), números y otros caracteres. En un artículo anterior vimos cómo saber si una contraseña es segura.

Asegurarnos de que hemos cambiado los valores de fábrica

Muchos usuarios pasan por alto esto. Mantienen el router tal cual viene de fábrica y esto es un problema para la seguridad. Un ejemplo es el nombre de la red Wi-Fi. Si mantenemos la que viene al comprar un router o cuando la compañía de telefonía lo proporciona, en general estaremos indicando qué modelo es y cuál es nuestro proveedor.

Estos datos podrían ayudar a posibles intrusos a entrar en nuestra red. Por ello algo que hay que tener presente para comprobar si nuestro Wi-Fi es seguro es asegurarnos de que hemos cambiado esto.

Además del nombre también es muy importante cambiar las credenciales de acceso al propio router. Hemos visto la importancia de tener una contraseña fuerte para el Wi-Fi, pero muchos no cambian la que viene predeterminada para acceder al dispositivo. Es la clave que ponemos cuando accedemos a través de 192.168.1.1, que en general es la puerta predeterminada de acceso al dispositivo.

Si no cambiamos este valor podríamos poner en riesgo la seguridad del equipo. Por ello es otro de los aspectos a tener en cuenta para saber si nuestra red es segura.

Ver que no haya intrusos conectados

Otra opción para comprobar la seguridad de nuestro router es ver que nadie haya entrado. En cuanto notemos algo raro ya podemos confirmar que existe alguna brecha. Por suerte nuestro router nos informa de qué dispositivos hay conectados, cuándo se han conectado, etc. Una manera de saber si hay algo raro.

Ver equipos conectados al Wi-Fi

Existen aplicaciones para saber quién se conecta al router. Pero también podemos obtener información directamente desde el router. Para ello podemos ir a la tabla DHCP, protocolo a través del cual pasan los usuarios conectados al dispositivo. Aquí aparecerá información como el nombre del equipo o la dirección MAC. Es otra manera de comprobar que nuestro Wi-Fi está asegurado y que no hay intrusos.

¿Está actualizado nuestro router?

Sin duda mantener nuestros sistemas y equipos actualizados es vital. Es así como podemos evitar problemas que afecten a la privacidad y a la seguridad. El router también puede tener vulnerabilidades que son resueltas mediante parches y actualizaciones.

Así funciona Windows Sandbox, nueva función de seguridad para Windows 10

Windows Sandbox

 

Windows Sandbox es una nueva característica de seguridad que Microsoft incluirá en la próxima actualización de su sistema operativo, Windows 10 May 2019 Update, permitiendo crear un entorno de escritorio temporal mediante una máquina virtual aislada del sistema principal.

¿Cuántas veces has descargado un archivo ejecutable de algún lugar sospechoso y has tenido miedo de ejecutarlo? ¿O navegar por algún sitio web no seguro? Ese es el objetivo de Windows Sandbox, ofrecer un entorno seguro para probar cualquier aplicación .exe o .msi (las más peligrosas a ser ejecutables) o visitar un sitio web sospechoso, sin riesgos.

Microsoft califica Windows Sandbox como «función inteligente», lo que significa que cada vez que se habilita simplemente crea una nueva instalación liviana de Windows (aproximadamente de 100 MB) creando un kernel separado y aislado del PC que lo hospeda. Además, está diseñado para ser «desechable», por lo que una vez que hayamos terminado de ejecutar las aplicaciones y cerremos esta herramienta se eliminará todo el entorno generado.

La función estará disponible en Windows 10 May 2019 Update o versiones superiores, en ediciones Pro, Enterprise o Education. (No estará soportado en la versión Home). Sus requisitos mínimos de hardware son los habituales para configurar una máquina virtual básica. Un procesador con arquitectura de 64 bits y dos núcleos, al menos 4 GB de RAM y 1 GB de espacio libre en disco duro o SSD.

Cómo activar Windows Sandbox

Una vez cumplidos los requisitos de máquina, debes asegurarte que tienes activadas en la BIOS/UEFI las capacidades de virtualización del procesador. A partir de ahí el proceso es simple:

  • Accede al panel de control del sistema > Programas y características > Activar o desactivar características de Windows.
  • Alternativamente, puedes acceder directamente escribiendo «Activar o desactivar características de Windows» en el buscador del sistema.

Windows Sandbox

  • Activa el Windows Sandbox (Espacio aislado de Windows).

Windows Sandbox

  • Reinicia el equipo.

Una vez habilitado, encontrarás Windows Sandbox como una aplicación en el menú de Inicio y también puedes anclarlo a la barra de tareas para acceso rápido. Lo verás exactamente como un escritorio realTiene un menú Inicio, la aplicación Configuración, y también puede interactuar con el software como lo harías normalmente. 

Windows Sandbox

Puedes abrir el navegador Edge, descargar cualquier software y probarlo dentro de Windows Sandbox. O puedes copiar un archivo ejecutable, pegarlo en la ventana de Windows Sandbox y usarlo para cualquier propósito. Como otra aplicación, Windows Sandbox también tiene opciones para minimizar, maximizar y cerrar la ventana. Una vez que cierras la sesión, cualquier cambio de descarta y el contenido se elimina.

A diferencia de las máquinas virtuales, Windows Sandbox utiliza la instalación de Windows 10 como base, sin necesidad de descargar imágenes virtuales. Útil para probar cualquier aplicación o visitar sitios web sospechosos sin riesgos. Se incluirá en la versión estable Windows 10 May 2019 Update y ya puede probarse en las versiones de prueba. Más información

Google retira las Titan Security Key Bluetooth por fallos de seguridad

Titan Security Keys Bluetooth

Google está retirando la versión Bluetooth de sus llaves de seguridad Titan Security Keys al detectarse un fallo de seguridad en el estándar Bluetooth Low Energy (BLE).

Google ha iniciado un programa de reemplazo por el que sustituirá gratuitamente este tipo de unidades Titan Bluetooth que tienen una «T1» o «T2» en la parte posterior. La vulnerabilidad no afecta al resto de modelos, ni tampoco al propósito principal de las claves de seguridad, que es proteger contra la suplantación de identidad por parte de un atacante remoto.

Aunque no es sencilla de explotar, porque un atacante tendría que encadenar una serie de eventos coordinados, es de la suficiente gravedad como para reemplazarlas, especialmente si tenemos en cuenta que se trata de un dispositivo preparado precisamente para aumentar la seguridad.

«Debido a una mala configuración en los protocolos de emparejamiento de Bluetooth con las Titan Security Key, es posible que un atacante que se encontrar físicamente cerca de un usuario, en el momento en que use su clave de seguridad (a aproximadamente 30 pies) se pueda comunicar con la llave de seguridad o con el dispositivo con el que la clave está emparejada»explican desde Google.

Para determinar si tu dispositivo está afectado, revisa la parte posterior de la clave. Si tienes un «T1» o «T2» en la parte posterior la llave está afectada y es elegible para el reemplazo gratuito.

Contraseñas: 2 métodos para tener la más segura y recordarla

Todos sabemos lo complicado que es recordar las contraseñas de los diferentes accesos a nuestras cuentas en línea. Pero cada vez más se impone que pongamos los cinco sentidos para generarlas.

Según ese listado, donde se muestran las 25 claves usadas más comunes, inseguras y fáciles de robar, nos encontramos con que la primera en el rango es la palabra “contraseña” seguido de “123456” y “12345678”.

2 actuaciones para crear y recordar contraseñas únicas y seguras

Uno de los métodos para crear contraseñas fácilmente, recordarlas siempre y que ante un posible ataque, estos indeseables renuncien a tomarse las molestias de conseguirla por el tiempo que pasarían intentando descifrarla.

  • Una buena contraseña se compone como mínimo de 9 caracteres, mezclando Mayúsculas, minúsculas, números y símbolos.
  • Intenta utilizar una contraseña diferente en cada cuenta importante.
  • No utilices tu nombre, tu cumpleaños, ni palabras comunes

claves trucos para generar contraseñas seguras

Nuestro truco para que sea fácil de hacer y recordar la contraseña:

  1. Piensa en un refrán, canción, estribillo…
  2. Elege si utilizas vocales o consonantes
  3. Selecciona una mayúscula
  4. Piensa en un número de 6 cifras que sea fácil de recordar y le añádele uno más.
  5. Elige 2 símbolos y la posición que más te guste (al principio, al final, juntos…)

Te ponemos un ejemplo:

1.-  “A quien madruga, Dios le ayuda”
2.-  Seleccionamos las vocales de la primera parte: aieaua
3.-  Elegimos una mayúscula, en este caso la antepenúltima: a
4.-  Nuestro número es el 140581 y le añadimos un 0: aieaUa1405810
5.-  Elegimos 2 símbolos ! y %: aieaUa1405810!%

¿Chula no? Así queda nuestra clave:  aieaUa1405810!%

Ya en el año 2008, el experto en seguridad Bruce Schneier recomendó un sencillo método para conseguir una contraseña segura y que se pueda recordar: crear una clave a partir de una frase. Él sigue recomendando este método.

Otra opción que también es muy fácil, es la de recordar un evento que solo tenga importancia para ti

Conoci a mi chica el 17 de agosto del 2015

1.- Aquí vamos a elegir consonantes
Cncmchl17dgstd2015
2.- Acuérdate de añadir los dos símbolos. Y como en este caso no estamos muy seguros de que haya sido ese dia 🙂 pondremos interrogantes al principio y al final

¿Te gusta? Fácil y rápido. Así quedaría: ¿Cncmchl17dgstd2015?

Utilizar un gestor de contraseñas

La segunda opción es utilizar un gestor de contraseñas que te generarán contraseñas aleatorias que se almacenan cifradas. Por tu parte, solo tendrás que memorizar la contraseña maestra, el gestor hará el resto.

Este tipo de aplicaciones suelen estar disponibles para todos los sistemas y son muy fáciles de usar e integrar. Algunos de los que existen en el mercado serían LastPass,  Kaspersky Password Manager o 1Password, aunque puedes encontrar otros igual de serios a poco que investigues.

Ahora ponte manos a la obra y cambia ya tus contraseñas. No seas perezoso y cambia al menos las más importantes.

Hazte cargo de tu seguridad ¡Ponles obstáculos a los ciberdelincuentes!

 

Actualiza WinRAR cuanto antes: empiezan a distribuir un peligroso ransomware con el exploit de la vulnerabilidad ACE de hace 19 años

Resultado de imagen de winrar vulnerability

Hace unas semanas vimos una vulnerabilidad de 19 años que afecta a WinRAR.  Como sabemos, se trata de un popular compresor de archivos. Esto hace que hayan sido millones los usuarios que cuentan con esta versión vulnerable. Los ciberdelincuentes no han tardado en explotar este fallo de seguridad. Hoy nos hacemos eco de un nuevo ransomware denominado .JNEC. Los atacantes utilizan la vulnerabilidad ACE que afecta a WinRAR.

.JNEC, el nuevo ransomware que se aprovecha de la vulnerabilidad de WinRAR

Nuestros compañeros de ADSLZone hablaban recientemente de las consecuencias para la seguridad de no actualizar WinRAR. Problemas como este nuevo ransomware .JNEC pueden poner en riesgo la seguridad de los usuarios.

Como hemos mencionado, son millones de usuarios en todo el mundo los que utilizan WinRAR como compresor de archivos. Esto hace que sea impensable que todos ellos hayan actualizado a la nueva versión para corregir la vulnerabilidad. Es por ello que los ciberdelincuentes aprovechan este fallo aún sin corregir en muchos casos para desplegar amenazas.El funcionamiento de este tipo de amenazas puede poner en riesgo los archivos de los usuarios. Como sabemos, un ransomware cifra todos los documentos y posteriormente pide un rescate económico para que la víctima pueda recuperarlos. Es un problema bastante serio si no se toman las precauciones necesarias y perdemos importantes datos.

Cuando el atacante logra infectar el equipo de la víctima, comienza el cifrado de archivos. Todo el sistema se bloquea y el usuario no puede acceder a la información. Muestra las notas del rescate con toda la información.

Hay que mencionar que el método utilizado en este ransomware que se aprovecha de la vulnreabilidad UNACEV2.DLL de WinRAR no utiliza una forma habitual para descifrar una vez la víctima paga. En esta ocasión envía una nota con una dirección de Gmail única para cada víctima. Esa dirección es totalmente aleatoria y aún no está creada. La víctima tiene que registrarse haciendo uso de esa dirección y es ahí donde recibirá la clave.

Según los investigadores de seguridad, al tiempo de escribir este artículo no es posible descifrar este ransomware. El archivo corrupto se llama vk_4221345.rary el rescate que pide el atacante es de 0,05 bitcoins, que equivale hoy en día a unos 175 euros.

Cómo evitar ser víctima de este ransomware

Como hemos dicho, el ransomware .JNEC se aprovecha de una vulnerabilidad conocida en WinRAR. Solamente afecta a aquellos usuarios que no hayan actualizado el programa para corregir este problema de seguridad. Por tanto, desde RedesZone urgimos a los usuarios a actualizar WinRAR lo antes posible. Esto es algo que hay que aplicar siempre a cualquier sistema operativo o programa que tengamos. Es importante contar siempre con las últimas versiones para evitar problemas de este tipo.

Por último, es muy aconsejable contar con programas y herramientas de seguridad para hacer frente a las múltiples variedades de malware que pueden llegar.

3 de cada 4 vulnerabilidades tardan más de un año en corregirse; los peligros del software desactualizado!! ACTUALIZA EL SOFTWARE.

Resultado de imagen de actualiza software

Son muchas las vulnerabilidades que pueden afectar a nuestros dispositivos. Por suerte en la mayoría de casos podemos tener parches disponibles para resolverlas. Sin embargo los usuarios no siempre corrigen estos problemas rápidamente. Es más, el 75% de las vulnerabilidades totales no se corrigen hasta un año después. Esto es un problema, ya que compromete seriamente la seguridad de los dispositivos y pueden derivar en otras amenazas.

Muchas vulnerabilidades tardan en corregirse más de un año

Así lo demuestra un informe realizado por Kenna Security. Afirman que son muchos los usuarios y organizaciones que no actualizan a su debido tiempo los dispositivos. En ocasiones surgen vulnerabilidades que son corregidas mediante parches, pero estas actualizaciones no se llevan a cabo rápidamente.

Tuvieron en cuenta cómo actúan las propias organizaciones para corregir vulnerabilidades. Según el informe, aquellas organizaciones más pequeñas tardan menos tiempo en corregir los problemas. Mientras más grande sea, la agilidad es menor.

También aseguran que hay una variedad de factores que afectan a que este tiempo sea menor o mayor. Cosas como la gravedad de la vulnerabilidad, la dificultad para explotarla, pueden determinar que una organización o usuario particular actualice antes o después el problema.

Como podemos imaginar, esta tardanza en aplicar los parches de seguridad es un problema importante. Mientras más tiempo pase, más probabilidades hay de que posibles ciberdelincuentes lleguen a explotar esos fallos. Nuestros dispositivos están en peligro.importancia de tener siempre los sistemas actualizados

Este tema es importante por varios motivos. Por una parte, tener nuestrossistemas actualizados permite contar con las últimas funciones para tener mejoras en cuanto a rendimiento. Podemos experimentar mayor velocidad al utilizar ciertos programas, por ejemplo, así como utilidades que puedan venir con las versiones más recientes.

Pero también es vital por todo lo que hemos comentado de la seguridad. Tener sistemas obsoletos puede abrir la puerta a la entrada de malware y otras amenazas. Esto es algo que debemos aplicar tanto al propio sistema operativo como a los diferentes programas y software que tengamos. Siempre es conveniente contar con las últimas versiones.

A veces pueden surgir vulnerabilidades o fallos que son resueltos mediante parches de seguridad. Si esa vulnerabilidad es conocida y es posible explotarla, nuestros sistemas pueden estar en riesgo. Es por ello que desde RedesZone siempre recomendamos actualizar los equipos a la mayor brevedad posible.

Hay que tener en cuenta que siempre debemos de actualizar desde sitios oficiales. Hemos visto casos en los que los usuarios pueden toparse con páginas falsas que simulan ofrecer actualizaciones y en realidad es malware lo que descargamos.

Todos los dispositivos son importantes

Muchos usuarios actualizan los equipos principales, como puede ser el móvil y ordenador, pero dejan de lado otros dispositivos. Hay que tener presente que todos son importantes y todos pueden tener vulnerabilidades.

De hecho, muchas de las vulnerabilidades llegan a través de lo que conocemos como el Internet de las Cosas. Los usuarios no suelen actualizar este tipo de dispositivos y pueden generar en problemas de seguridad para toda la red.

Nuestro consejo, una vez más, es mantener todos los dispositivos siempre actualizados a la última versión.