Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
Lo que los Equipos Rojos pueden enseñarnos
Joao Correia
27 de marzo de 2023 - Evangelista técnico
"Ningún plan sobrevive al contacto con el enemigo" es uno de los tópicos de los conflictos. Resulta un tanto (in)sorprendente la exactitud con la que describe la postura de ciberseguridad de la mayoría de las organizaciones. Los planes mejor trazados pueden venirse abajo en el momento en que un adversario intente algo que no habíamos previsto, y esto no se hará evidente hasta que ocurra.
Es muy fácil descartar preocupaciones como "pueden robarle la información", "perderá todos sus datos críticos", "puede ser responsable de la pérdida de información confidencial de sus clientes" hasta que se ve afectado por un suceso de este tipo y, cuando eso ocurre, su organización está demasiado ocupada recogiendo los pedazos como para reconocer adecuadamente el problema que lo causó en primer lugar.
Una forma de aprender (a veces dolorosamente) sobre los riesgos potenciales e identificar los problemas en una infraestructura impecable hasta ese momento es contratar a un Equipo Rojo y hacer que realice una operación ofensiva contra usted. El inconveniente es que, cuando se llevan a cabo estas operaciones, los resultados suelen ser tan desalentadores que la mayoría de las organizaciones activan cláusulas NDA y mantienen los resultados confidenciales, lo que dificulta que los demás aprendan de esta experiencia.
CISA, la agencia estadounidense encargada de aplicar medidas y políticas de ciberseguridad, ofrece a las organizaciones, tanto públicas como privadas, la posibilidad de que una parte de confianza realice operaciones de Red Team en su infraestructura. Muy recientemente, la agencia publicó un informe de uno de estos ejercicios, y la descripción de los métodos, técnicas y procedimientos empleados debería hacer que todo CISO y líder de TI se plantee si su propia infraestructura saldría mejor parada que la organización anónima del informe.
La configuración
El año pasado, a petición de una organización de infraestructuras críticas que abarcaba múltiples ubicaciones geográficas, CISA llevó a cabo un ejercicio de Evaluación de Equipo Rojo para probar las defensas e identificar los riesgos de la infraestructura de TI de esta organización. Se consideró que esta organización, cuyo nombre no se menciona en el informe, tenía una "postura cibernética madura".
El objetivo del ejercicio era acceder a la infraestructura de red de la organización e intentar obtener acceso a información y sistemas críticos.
Spoiler alert, tuvo éxito espectacularmente.
La entrada inicial
En una hazaña de seguridad impresionante, no se descubrió que el espacio de direcciones IP públicas de esta organización, que abarca más de tres millones de direcciones, contuviera ningún servicio o puerto vulnerable explotable. Esto habla del nivel de seguridad que la organización poseía antes de este compromiso, y es sin duda un punto de orgullo para el equipo de seguridad que trabaja allí. Es toda una hazaña.
En vista de ello, el Equipo Rojo (RT) del CISA tuvo que emplear diferentes tácticas para obtener la primera entrada. Si la red no es vulnerable, quizá lo sea el elemento humano. Y así, utilizando información disponible públicamente de sitios de redes sociales (OSINT), el RT obtuvo información detallada sobre el personal que trabajaba en la organización, concretamente en el equipo informático. Al identificar el esquema de nomenclatura del correo electrónico a partir de unas pocas direcciones de correo electrónico visibles públicamente, la RT ya no necesitó encontrar correos electrónicos de todo el personal clave, sólo sus nombres, y pudo crear las direcciones de correo electrónico de otros individuos que no estaban haciendo pública esa información. Armado con este conocimiento, el RT se dedicó a actividades de phishing dirigidas a individuos específicos, con contenido específicamente adaptado a ellos (utilizando su información de afición, por ejemplo). Dos individuos respondieron y fueron captados hasta que accedieron a una videollamada en línea con miembros del Equipo Rojo. Para entrar en estas videollamadas, se engañaba a los individuos clave para que accedieran a un sitio web controlado por RT para descargar el software de conexión de vídeo, que incluía una "función" de control remoto. Esto dio al RT acceso inmediato a dos estaciones de trabajo diferentes dentro de la red, pertenecientes a dos administradores de TI.
Ser propietario de la red
Con el proverbial pie en la puertael RT pasó a cartografiar la red. Identificaron la existencia de otras estaciones de trabajo y controladores de dominio (era un entorno basado en Windows), y consultaron el Directorio Activo para todos los usuarios y cuentas presentes en el entorno. Esto permitió nuevos ataques de phishing que condujeron al acceso a un servidor mal configurado, desde el que comprometieron el controlador de dominio. Este movimiento lateral fue facilitado por una técnica específica del Directorio Activo llamada "Ataque Golden Ticket", en la que se utilizaba un tipo especial de token de autorización para crear otros accesos de autorización y suplantación. Aunque no voy a entrar en los detalles concretos de este ataque, ya que es bastante enrevesado y algo largo de explicar, se basa en el hecho de que había servicios ejecutándose con más privilegios de los que deberían, y era posible conceder más privilegios a partir de los existentes.
Ampliaron este mecanismo de concesión de privilegios para obtener acceso privilegiado a un Controlador de Dominio. Ser "propietario" de un Controlador de Dominio (DC) otorga un control efectivo sobre todos los demás sistemas de ese dominio -estaciones de trabajo, otros servidores- que comparten el mecanismo de autenticación.
Ser dueño del mundo
Si no sabes mucho sobre el Directorio Activo de Windows, el aspecto clave a tener en cuenta es que los DCs siempre necesitan ver y comunicarse con todos los demás DCs, o puede desincronizarse realmente rápido. Así que, incluso en sitios geográficamente separados con un acceso a la red muy restringido entre ellos, los cortafuegos permitían conexiones entre DCs en diferentes sitios - y uno de ellos ya estaba bajo el control efectivo del RT. Abusando de esto, saltaron a otros DCs y fueron capaces de mapear e identificar sistemas en otros sitios dentro de la organización, incluyendo una estación de trabajo utilizada por un administrador, donde obtuvieron acceso a un gestor de contraseñas que contenía credenciales para múltiples sistemas privilegiados, y otro donde encontraron un "diagrama de red detallando los límites de red" entre sitios, información de "infraestructura de nube", incluyendo rangos IP de confianza - y el RT compró una dirección IP en ese rango de confianza, lo que le permitió acceder a otros sistemas a los que aún no había obtenido acceso. Y estos hechos ni siquiera arañan la superficie de lo que contiene el informe como movimiento adicional.
La RT se adueñó por completo de la red y obtuvo acceso a múltiples servicios empresariales. De hecho, era el dueño del mundo informático de la organización. Y hasta ese momento, no se había emitido ni una sola alerta, por lo que seguían sin ser detectados, lo que confirma una tendencia de la industriaen la que la mayoría de las brechas pasan desapercibidas durante meses. De hecho, contrariamente a los relatos ficticios de las operaciones de hacking, una brecha como esta no sucede con sólo un par de clics de ratón y comandos tecleados en una habitación oscura.
La operación del Equipo Rojo se desarrolló a lo largo de varios meses (antes de empezar se acordó un plazo de intervención predefinido), lo que le permitió realizar sus actividades en silencio, sin activar alarmas ni umbrales de vigilancia. Hay un mantra que dice "cuanto más callado, más se oye", y encaja como un guante.
Hasta que quisieron.
Después de todo esto, el Equipo Rojo quería poner a prueba la respuesta de la organización a los incidentes de seguridad, por lo que se dedicaron deliberadamente a actividades que deberían disparar las alertas de monitorización - como crear nuevos usuarios, exfiltrar datos a servidores externos, atacar servidores externos desde dentro de la red, elevar privilegios, desplegar un falso ataque ransomware a estaciones de trabajo (!) y muchas otras, y la respuesta fue inexistente o mínima en el mejor de los casos.
Recomendaciones
El informe ofrece recomendaciones claras y prácticas que pueden extenderse más allá de la organización destinataria:
- Establecer una línea de base: identificar qué es actividad normal en la red y los servicios, y configurar la supervisión para alertar en caso de que se salga de estos parámetros.
- Llevar a cabo evaluaciones periódicas para comprobar el software y el hardware, así como los procedimientos y la formación de los usuarios y el personal.
- Aplicar MFA resistente al phishing siempre que sea posible.
Para la organización objetivo, además de estas recomendaciones, CISA también sugirió reducir los permisos en los sistemas que no los requieren, tener un plan en marcha para rotar las contraseñas de las cuentas de servicio (la cuenta Kerberos utilizada en el Ataque Golden Ticket todavía tenía la misma contraseña desde que se desplegó, hace 10 años), endurecer los sistemas después del despliegue inicial, ya que la configuración por defecto era muy laxa en algunos aspectos de seguridad, mejorar la supervisión y la respuesta, así como otras muchas consideraciones.
La forma en que su organización aborde las recomendaciones será a menudo más reveladora de su postura general de seguridad que el hecho de que hubiera problemas para empezar: puede aceptarlas y mejorar, o rebatirlas y seguir siendo inseguro. Aprender de ellas es un buen indicador del nivel de madurez del enfoque de seguridad y del equipo responsable del mismo.
Observaciones finales
El informe es increíblemente detallado. Aunque existen muchos otros informes que son útiles como instrumentos de aprendizaje, el nivel de detalle de éste es superlativo. En su forma actual, es una valiosa herramienta de aprendizaje para cualquier equipo, desde el de operaciones hasta el de seguridad, pasando por los equipos internos azul y rojo. También es una llamada de atención y una comprobación de la realidad para cualquier organización que confíe (demasiado) en su postura de seguridad, pero que no haya tenido ningún suceso real que demuestre (o desmienta) esta noción.
Además, el elemento humano sigue siendo el eslabón más débil. Las mejores herramientas de seguridad del mundo son derrotadas por el usuario (¡o incluso por el administrador del sistema!) que hace clic en un enlace de correo electrónico o descarga y ejecuta software de terceros.
Si tiene problemas para conseguir que su junta directiva se comprometa (broma de papá) con las inversiones necesarias en TI, y en ciberseguridad en particular, debería utilizar este informe para reforzar su punto de vista - podría ser su organización.
Y, la principal conclusión es esta - era sólo un ejercicio. Imagine hasta dónde llegaría un adversario debidamente motivado, incluso más allá de lo conseguido por el RT en este ejercicio, si decidiera atacar su organización. Los riesgos de seguridad no son sólo "accesorios de marketing" - son preocupaciones reales y presentes que usted descarta a su y de su organizaciónorganización.
