© “Curso Hacking Ético y Defensa en Profundidad” Modalidad E-learning Entrenamiento para preparar y presentar la certificación

© www.dsteamseguridad.com

“Curso Hacking Ético y Defensa en Profundidad”Modalidad E-learning

Entrenamiento para preparar y presentar la certificación Certified Offensive and Defensive Security Professional

Docente: JUAN DAVID [email protected] @dsteamseguridad

mailto:[email protected]


Certified Offensive and Defensive Security Professional - Entrenamiento E-learning -

4- EXPLOTACIÓN


Explotación de Vulnerabilidades “Definición“

Escalar Privilegios Explotación de Vulnerabilidades Denegación de Servicios Mantener el Acceso

Definición: Es el «Ataque Puro y Real» , además la cuarta fase de la auditoria técnica el tipo Hacking Ético y/o PenTesting, y una de las mas complejas, ya que el evaluador o intruso informático, debe de buscar aprovecharse de alguna de las vulnerabilidades identificadas en fases anteriores, para lograr el ingreso (Intrusión) en el sistema objetivo.

“Si yo Tuviera 8 horas para cortar un Árbol, pasaría, las 6 primeras Horas Afilando el Hacha”-Abraham Lincoln



Explotación de Vulnerabilidades “Características“

Esta etapa de la auditoría de seguridad, o del ataque, se caracteriza por: Es una etapa que puede tomar poco tiempo, en relación a las anteriores

etapas. Hay un proceso de ataque puro contra el sistema victima, o el que se ha

definido con sistema auditado. Hay un alto riesgo de que el sistema victima pierda niveles de Integridad,

Disponibilidad y Confidencialidad. El éxito de la explotación dependerá de forma representativa de los

recolectado y ejecutado en las anteriores etapas o fases de la auditoria o ataque.

Un proceso de explotación, puede causar una denegación de servicios. Es una de las fases mas emocionantes.



Explotación de Vulnerabilidades “Importancia de esta fase“

La explotación dentro de la auditoria técnica del tipo Hacking Ético:

Esta etapa de la auditoría de seguridad, o del ataque, se considera altamente importante , ya que es aquí donde el auditor de seguridad le demuestra al cliente que las vulnerabilidades identificadas y reportadas en las fases anteriores de la auditoria de seguridad, pueden afectar de forma representativa la Integridad, Confidencialidad y Disponibilidad de los sistemas de información empresariales. Ya que cuando se ejecuta un proceso de explotación, el cliente entenderá que las vulnerabilidades no solo se reportan en un informe técnico, también se intentan explotar, logrando así un ataque real, pero controlado en el sistema del cliente.



Explotación de Vulnerabilidades “Beneficios“

Comprendiendo la explotación desde el punto de vista de un auditor de seguridad, y no desde la óptica de un atacante, son muchos los beneficios que una empresa que contrate un proceso de auditoría del tipo Pentesting, puede obtener con la fase de explotación. Algunos de estos son:

No quedan dudas respecto a las vulnerabilidades reportadas, ya que estas dejan de ser supuestos y registros en informes, para convertirse en un riesgo y amenaza real.

Poner a prueba la eficacia de lo actuales sistemas de control y protección.

Registrar un estado real de la seguridad de la información en una empresa u organización, la cual no se soporta en supuestos, sino en evidencias y hallazgos reales.



Explotación de Vulnerabilidades “Riesgos“

El proceso de explotación puede tener algunos riesgos, los cuales deben de ser estimados y analizados por parte del equipo de auditores de seguridad.

Caídas de servicios Caídas del sistema Denegación de servicios Perdidas de confidencialidad en datos Perdidas de disponibilidad Exposición de información confidencial Impactos en la estabilidad del sistema evaluado

Anotación de interés: Teniendo presente que los anteriores riesgos hacen parte de la evaluación de seguridad, estos deben de registrarse de forma clara en las reglas definidas entre el cliente y el auditor antes de realizar las pruebas de seguridad.



Explotación de Vulnerabilidades “Acciones“

Acciones a las que puede llevar un procesos de explotación: Un proceso de explotación puede llevar al auditor o atacante informático a tres caminos diferentes:


Ejecución de código arbitrario Denegación de Servicios Conexión a un servicio de red


Explotación de Vulnerabilidades “Actualidad de la Explotación”

Identificación de zonas seguridad de los seres humanos (Miedo a lo desconocido, a lo que no controla)

Migración de nuevas Tecnologías ( IIS 7.0, Windows 2008,2012 , SQL 2010/2012)

Implementación de Firewall Potentes, IDS, IPS perimetrales.

Se fortalece el perímetro, se debilita las zonas Internas

La actualidad de la Explotación de Vulnerabilidades: Los procesos de explotación de vulnerabilidades en nuestros días, tienen mas éxito desde la óptica Interna, que desde la Externa. Lo anterior por la siguientes razones



Explotación de Vulnerabilidades “Actualidad de la Explotación”

La actualidad de la Explotación de Vulnerabilidades:



Explotación de Vulnerabilidades “Que se puede explotar”

Qué se puede explotar o atacar? De forma similar al análisis de vulnerabilidades, se puede realizar explotación a Servidores, estaciones de trabajo, Switches, Routers, Sitios web, servicios de red, una base de datos, entre otros.



Explotación de Vulnerabilidades “Qué es un Exploit”

Definición de Exploit: Un Exploit es un mecanismo o técnica que se aprovecha de una debilidad o una brecha de seguridad. También es entendido como un código, método o vía, que permite a un atacante informático o a un auditor de seguridad, explotar una vulnerabilidad conocida, para poder comprometer la seguridad de un sistema informático, y tomar posesión y control de este.




Ejemplo código Exploit (A nivel de Software):



Explotación de Vulnerabilidades “Componentes de un Exploit”

PAYLOAD CÓDIGO (Exploit)

Componentes base de un Exploit y/o proceso de explotación: Un Exploit esta dividido en dos partes:




Definición de Payload: Un código Payload, es la porción de código en el exploit que tiene como objetivo ejecutar una acción concreta y maliciosa en el sistema victima. En la mayoría de los casos el código Payload se usa para realizar una conexión entre el atacante y la victima. Algunos ejemplos de un Payload, seria la conexión a la victima por medio de una Shell de comandos como cmd.exe por ejemplo, o conectarse a la victima usando el protocolo VNC. Un Payload también puede verse representado como una serie de acciones o comandos que se ejecutan en el sistema victima, y que causan una denegación de servicios.




Ejemplo código de Payload:



Explotación de Vulnerabilidades “Exploit 0-Zero Day”

Un Exploit o ataque de día cero, es un código de explotación que tiene una característica muy particular, y es que puede explotar vulnerabilidades que aun no han sido reportadas, corregidas, ni han liberado parches por parte de los fabricantes del software o producto vulnerable. Un exploit de este tipo es considerado altamente peligroso, y genera un impacto representativo como posible amenaza tecnológica.


Mas Información en:http://es.wikipedia.org/wiki/Ataque_de_d%C3%ADa_cero

http://es.wikipedia.org/wiki/Ataque_de_d%C3%ADa_cero




Explotación de Vulnerabilidades “Ataque al Sistema”

Exploit Local: Es ejecutado de forma local, y uno de sus principales objetivos, es escalar privilegios.

Exploit Remoto: Es ejecutado desde un equipo atacante, hacia el equipo victima, muy comúnmente ejecutado vía Internet. De forma remota el atacante se posiciona del equipo objetivo y posiblemente de los equipos que tenga visibilidad desde este.

Clases de Exploit: En lo que respecta a la ejecución de Código deforma arbitraria, se tienen dos modalidades de Exploit




Lado de Impacto de un Exploit: Según el lado donde tenga impacto un Exploit, este puede ser:

En lo que respecta al lugar donde el impacto del ataque , se puedentener dos modalidades:Server Side: Es el tipo de explotación mas utilizado, y consiste en aprovecharse de una debilidad de una aplicación servicio, es accesible de forma directa y no requiere de la intervención de un tercero.

Cliente Side: Tiene como objetivo explotar la vulnerabilidad en el lado del cliente, aprovechándose de las debilidades de uno de los eslabones mas débil en la cadena de la seguridad de la información, como lo es “El usuario Final”




Factor de impacto humano en una Explotación: La explotación de vulnerabilidades, no necesariamente esta ligada a la programación y ejecución de códigos del tipo “Exploit”,

Claves débilesIngeniería Social

Configuraciones y Claves por defecto




BIND SHELL- : Es una Shell que funciona de forma directa entre un equipo local y otro remoto , ya que no hay en el equipo remoto un Router o Dispositivo que haga NAT.




REVERSE SHELL- : Es utilizado cuando se tiene en medio algún dispositivo de Enrutamiento que esta haciendo NAT, por lo que se hace necesario que sea el cliente, quien llame o abra la conexión con el servidor.




Herramientas utilizadas durante la fase de Explotación: Algunas de las herramientas importantes en esta fase son las siguientes



Explotación de Vulnerabilidades “Métodos de Explotación”

Formas de realizar un procesos de explotación:


Explotación Manual(Línea de comandos Kung-Fu)

Explotación Automatizada(Frameworks de Explotación, Compilar

códigos, Herramientas de apoyo

Combinando Fuerzas



Formas de realizar un procesos de explotación: Existen diversas formas de realizar un proceso de explotación. Para este curso de seguridad vamos a trabajar con 3 formas.

Explotación Manual (Línea de comandos Kung-FU) Explotación Automatizada Explotación Combinada





Explotación Manual: Este tipo de explotación se caracteriza porque no se usan códigos maliciosos ni marcos de trabajo con exploits (Frameworks de Explotación). Por el contrario este tipo de explotación depende en gran porcentaje de los CONOCIMIENTOS EN INFRAESTRUCTURA Y EN LOS SERVICIOS DE RED vulnerables que han sido identificados de forma previa por el evaluador de seguridad en el proceso de Análisis de Vulnerabilidades. Es una forma de explotación, que no es muy sensible a los sistemas de control y monitoreo, PERO REQUIERE DE EXCELENTES CONOCIMIENTOS EN INFRAESTRUCTURA, REDES Y SERVIDORES.



Línea de Comandos Kung-Fu para Auditores de seguridad



Línea de Comandos Kung-Fu para Auditores de seguridad

Es una técnica de ataque y/o auditoria, la cual consiste en realizar una serie de pruebas de seguridad contra un sistema informático, pero sin utilizar códigos que puedan ser clasificados como maliciosos. Realizar pruebas de seguridad usando la línea de comandos Kung-fu, tiene muchas bondades y características, entre las cuales se encuentran:

Evita la detección del auditor por parte de los sistemas de control Esta muy ligado a los conocimientos de infraestructura Debe de ser una de las pruebas pertenecientes a la lista de chequeo del

auditor de seguridad. Todo su poder radica en los conocimientos de infraestructura y sistemas

operativos que tenga el auditor de seguridad. En determinados escenarios es ideal apoyarse de herramientas.




EJEMPLOS Y PRUEBAS DE CONCEPTO

Explotación de Vulnerabilidades.


Ejemplo de Explotación manual 1: Para la forma de explotación manual usaremos el siguiente ejemplo, el cual esta soportado en una de las vulnerabilidades identificadas en la practica de laboratorios de análisis de vulnerabilidades. Los datos para el siguiente ejemplo son:

Victima: Linux Ubuntu «Metasploitable»Servicio: VNCPuerto: TCP 5900Vulnerabilidad Identificada:


Explotación de Vulnerabilidades


Ejemplo de Explotación manual 1: ¿Como explotar la vulnerabilidad?Para explotar la vulnerabilidad, solo se necesita un cliente VNC, el cual puede descargarse para Windows, o se puede usar el que viene en Linux Backtrack.




Ejemplo de Explotación manual 1: Explotando desde VNC instalado en Windows.




Ejemplo de Explotación manual 1: Explotando desde VNC instalado en Kali Linux .




Ejemplo de Explotación manual 2: Para el segundo ejemplo de explotación manual usaremos el siguiente ejemplo, el cual esta soportado en una de las vulnerabilidades identificadas en la practica de laboratorios de análisis de vulnerabilidades. Los datos para el siguiente ejemplo son:

Victima: Microsoft Windows ServerServicio: MSSQL ServerPuerto: TCP 1433Vulnerabilidad Identificada:




Ejemplo de Explotación manual 2: ¿Como explotar la vulnerabilidad?Para explotar esta vulnerabilidad se puede hacer uso de un cliente SQL Server.




Ejemplo de Explotación manual 3: Para el segundo ejemplo de explotación manual usaremos el siguiente ejemplo, el cual esta soportado en una de las vulnerabilidades identificadas en la practica de laboratorios de análisis de vulnerabilidades. Los datos para el siguiente ejemplo son:

Victima: Microsoft Windows ServerServicio: Filezilla FTP ServerPuerto: TCP 21Vulnerabilidad Identificada:




Ejemplo de Explotación manual 3: ¿Como explotar la vulnerabilidad?Para explotar esta vulnerabilidad se puede hacer uso de un analizador de protocolos (Sniffer).





Explotación de Vulnerabilidades de forma manual

Explotando dispositivos de red: Analizando y explotando Firewalls y STORAGE

Red LAN192.168.153.0/24 Red WAN

Modem-DSLFirewall

PerimetralWindows ServerSTORAGE/NAS

Switche de redAuditor/Atacante

©www.dsteamseguridad.com

Colocamos puerta trasera servicio VPN SERVER (PPTP) Se logro modificar una regla wan, NAT(fw) Se logro borrar log Se logro cambiar ruta estática con aliado negocio

?????????????????????????????????




Explotación de Vulnerabilidades. «Explotando Dispositivos de red»


Que mas se puede hacer!!Un poco de Imaginación.




Formas de realizar un proceso de explotación:

Explotación Automatizada: Este tipo de explotación se caracteriza porque se usan códigos maliciosos que ya han sido programados y publicados, además es muy común en esta forma de explotación el uso de entornos de de trabajo con exploits (Frameworks de Explotación). Es una forma de explotación en ocasiones mas efectiva, fácil de ejecutar, pero es hace mas ruido y es altamente detectada pro los sistemas de monitoreo y control.





Explotación de Vulnerabilidades.


Ejemplo de Explotación Automatizada 1: Para el ejemplo de explotación automatizada usaremos el siguiente ejemplo, el cual esta soportado en una de las vulnerabilidades identificadas en la practica de laboratorios de análisis de vulnerabilidades. Los datos para el siguiente ejemplo son:

Victima: Microsoft Windows ServerServicio: MSSQL ServerPuerto: TCP 1433Vulnerabilidad Identificada:




Ejemplo de Explotación Automatizada 1: ¿Como explotar la vulnerabilidad?Para explotar esta vulnerabilidad se hace uso de un entorno de explotación que soporte explotación de forma automatizadas. Metasploit es una buena opción. (Es solo a modo de ejemplo, y que Metasploit se estudiara de forma completa en capítulos posteriores).




Ejemplo de Explotación Automatizada 2: Para el segundo ejemplo de explotación automatizada usaremos el siguiente ejemplo, el cual esta soportado en una de las vulnerabilidades identificadas en las practica de laboratorios de análisis de vulnerabilidades. Los datos para el siguiente ejemplo son:

Victima: Linux Ubuntu «metasploitable»Servicio: IRC ServerPuerto: TCP 6667Vulnerabilidad Identificada:




Ejemplo de Explotación Automatizada 2: ¿Como explotar la vulnerabilidad?Para explotar esta vulnerabilidad se hace uso de un entorno de explotación que soporte explotación de forma automatizadas. Metasploit es una buena opción. (Es solo a modo de ejemplo, y que Metasploit se estudiara de forma completa en capítulos posteriores).






Explotación Combinada: Este tipo de explotación se caracteriza porque se usan códigos maliciosos, entornos automatizados de trabajos con exploit y la experiencia de la explotación manual del evaluador de seguridad, haciendo de esta una forma efectiva de explotación, la cual usa las bondades de la forma manual y automática.



Explotación de Vulnerabilidades “Recomendaciones“

Algunas de las recomendaciones que se deben de tener en esta etapa de la auditoría de seguridad, o del ataque, son:

Si se ha logrado ejecutar código arbitrario, y se tiene una consola en el sistema victima, identificar con que privilegios se ha ingresado al sistema victima.

Identificar en donde se encuentra el auditor o atacante, como por ejemplo en que ruta.

Identificar direccionamiento IP interno y tarjetas de red del equipo victima.

Identificar algún tipo de herramientas que le permitan posteriormente el proceso de post-explotación, tales como: WGET, FTP, TFTP,TELNET, SSH, entre otras.

Tener claridad en las vulnerabilidades identificadas antes de lanzar un código de explotación.




Sitios web donde se encuentran de forma pública códigos de Explotación:

http://1337day.com/

http://packetstormsecurity.org/files/tags/exploit/

http://www.exploit-db.com/

http://www.securityfocus.com/


http://1337day.com/

http://1337day.com/









Conceptos complementarios.

Post- ExplotaciónNetcatBackdoors




Post- Explotación: Definición

La fase de la Post- Explotación es la fase consecuente al proceso de Explotación y se define como el proceso mediante el cual se llevan a la practica una serie de actividades en el equipo/host o red que se esta auditando, o que esta siendo atacado, con el propósito de realizar acciones complementarias en el equipo o red al cual se ha logrado el acceso por medio de la explotación de una vulnerabilidad.

El procesos de Post Explotación es la ultima de las fases técnicas dentro de un proceso de auditoría técnica de seguridad del tipo PenTesting.

Post- ExplotaciónExplotaciónAnálisis de

VulnerabilidadesScanningRecolección de Información


Explotación de Vulnerabilidades “Practica Entrenamiento”

Ir al gimnasio mental y fortalecer conocimientos en redes!!!!


TFTPXP_CMDSHELL

Bind-ShellReverse-Shell

Servicios de red

NetcatBackdoors

CMD- Windows Shell

Documents

© “Curso Hacking Ético y Defensa en Profundidad” Modalidad E-learning Entrenamiento para preparar y presentar la certificación