Escenarios Purple Team - Parte 2

Aquí tienes un enfoque completo desde ambas perspectivas, atacante y defensor, para escenarios de nivel experto. Detallaré cada paso, incluiré herramientas que se podrían usar, y terminaré con reflexiones tanto del atacante como del defensor.

Escenario 1: Compromiso de una Infraestructura Multinube

Perspectiva del Atacante

Objetivo del Atacante:

Acceder a datos sensibles almacenados en infraestructuras multinube (AWS, Azure) aprovechando credenciales mal protegidas y configuraciones incorrectas.

Pasos del Atacante

  1. Reconocimiento Inicial (Footprinting):

    • Cómo:
      • Identificar qué servicios en la nube utiliza la organización mediante:
        • Escaneo de subdominios con herramientas como Amass o Sublist3r.
        • Análisis de registros DNS con DNSDumpster.
        • Búsqueda de información pública en GitHub, foros o redes sociales.
    • Por qué:
      Esto permite descubrir endpoints públicos como consolas de administración en la nube o API expuestas.
  2. Enumeración de Credenciales:

    • Cómo:
      • Buscar credenciales expuestas en repositorios públicos usando GitLeaks o TruffleHog.
      • Lanzar ataques de phishing dirigidos (spear phishing) para obtener credenciales directamente de empleados.
    • Herramientas:
      • Evilginx2: Para capturar tokens de autenticación en tiempo real.
    • Por qué:
      Credenciales válidas son clave para el acceso inicial.
  3. Acceso Inicial:

    • Cómo:
      • Usar las credenciales para acceder al entorno de AWS o Azure.
      • Si MFA está habilitado, intentar técnicas de bypass como interceptar códigos SMS o redirigir al usuario a un portal falso (man-in-the-middle).
    • Herramientas:
      • AWS CLI: Para interactuar con servicios AWS.
      • Azure PowerShell: Para explorar el entorno Azure.
    • Por qué:
      El acceso inicial permite explorar configuraciones internas.
  4. Movimiento Lateral:

    • Cómo:
      • Enumerar roles y permisos usando comandos como aws iam list-roles o az role assignment list.
      • Usar permisos excesivos para acceder a otros servicios en la nube, como bases de datos o almacenamiento (S3 buckets, Blob storage).
    • Herramientas:
      • Pacu: Framework para identificar configuraciones incorrectas en AWS.
    • Por qué:
      Aprovechar roles mal configurados facilita la escalada de privilegios.
  5. Exfiltración de Datos:

    • Cómo:
      • Copiar datos sensibles a un servidor externo utilizando Rclone o transferencias directas desde S3.
    • Por qué:
      Los datos exfiltrados pueden venderse o usarse para extorsión.

Reflexiones del Atacante:

  1. ¿Qué funcionó bien?

    • El descubrimiento de credenciales en repositorios públicos fue rápido y efectivo.
    • Los roles IAM mal configurados facilitaron el movimiento lateral.
  2. ¿Qué podría mejorar?

    • Usar técnicas más avanzadas para evadir sistemas de monitoreo en la nube (por ejemplo, CloudTrail en AWS).
    • Automatizar el análisis de configuraciones usando scripts personalizados en lugar de depender completamente de herramientas.
  3. ¿Qué haría diferente en futuros ataques?

    • Implementar técnicas de encubrimiento para evitar dejar rastros en logs, como usar tokens temporales en lugar de credenciales directamente.

Perspectiva del Defensor

Objetivo del Defensor:

Detectar y mitigar el acceso no autorizado a las infraestructuras multinube, minimizando la superficie de ataque.

Pasos del Defensor

  1. Fortalecimiento Inicial (Harden):

    • Cómo:
      • Configurar MFA obligatorio para todos los accesos.
      • Implementar políticas de contraseñas únicas y herramientas de gestión como LastPass o 1Password.
      • Auditar repositorios públicos y privados para identificar credenciales expuestas con herramientas como GitGuardian.
    • Por qué:
      Eliminar accesos iniciales fáciles.
  2. Segmentación de Roles y Permisos (IAM):

    • Cómo:
      • Revisar los roles de IAM en AWS y Azure para garantizar el principio de mínimo privilegio.
      • Deshabilitar roles no utilizados o excesivos.
    • Herramientas:
      • AWS Access Analyzer: Para revisar políticas mal configuradas.
      • Azure Privileged Identity Management: Para limitar accesos privilegiados.
    • Por qué:
      Los roles mal configurados son el vector más común para movimiento lateral.
  3. Detección y Monitoreo (SIEM):

    • Cómo:
      • Implementar un sistema de monitoreo como Splunk o Microsoft Sentinel para correlacionar eventos sospechosos.
      • Configurar alertas para:
        • Uso de credenciales fuera de horarios laborales.
        • Acceso a roles de IAM no comunes.
        • Creación de instancias no autorizadas.
    • Por qué:
      Detectar movimientos y accesos anómalos en tiempo real.
  4. Respuesta a Incidentes:

    • Cómo:
      • Aislar credenciales comprometidas deshabilitándolas y revocando tokens activos.
      • Revisar logs de AWS CloudTrail y Azure Monitor para identificar qué acciones realizó el atacante.
    • Herramientas:
      • Forense: Usar ELK Stack o AWS Detective para análisis detallado.
    • Por qué:
      Minimizar daños y bloquear persistencia.

Reflexiones del Defensor:

  1. ¿Qué funcionó bien?

    • El monitoreo en tiempo real detectó accesos anómalos antes de que se exfiltraran datos.
    • Las políticas de MFA bloquearon el acceso inicial a varias cuentas.
  2. ¿Qué podría mejorar?

    • Automatizar la revocación de credenciales comprometidas.
    • Incrementar la capacitación en seguridad para los desarrolladores, reduciendo la exposición de credenciales.
  3. ¿Qué haría diferente?

    • Implementar segmentación aún más estricta entre roles y servicios.
    • Analizar de forma proactiva patrones de uso para identificar configuraciones mal usadas antes de un ataque.

Profundizaremos en las herramientas clave que un atacante y un defensor podrían usar en un escenario de compromiso de infraestructura multinube. Explicaré cómo funcionan, cómo se usan, y sus ventajas y limitaciones.

Herramientas desde la Perspectiva del Atacante

1. Amass

  • Descripción:
    Una herramienta para el reconocimiento y la enumeración de subdominios.

  • Uso: amass enum -d empresa.com

    Esto genera una lista de subdominios asociados con el dominio principal de la empresa.

  • Por qué es útil:
    Ayuda a descubrir endpoints públicos de la organización, como consolas de administración en la nube o API expuestas.

  • Ventajas:

    • Automatiza la recopilación de subdominios de múltiples fuentes (DNS, certificados SSL, búsquedas pasivas).
    • Produce resultados detallados con información sobre el historial del dominio.
  • Limitaciones:

    • No puede detectar subdominios protegidos por DNS privados o configuraciones estrictas.

2. Evilginx2

  • Descripción:
    Una herramienta para realizar ataques de phishing avanzados con captura de tokens de autenticación (MFA bypass).

  • Uso:

    • Configurar un proxy inverso que actúe como intermediario entre el usuario objetivo y el sitio legítimo.
    • Interceptar y registrar los tokens de autenticación generados por el servicio original.
  • Por qué es útil:
    Permite comprometer cuentas protegidas por MFA, obteniendo tokens válidos para acceso inmediato.

  • Ventajas:

    • Capacidad de capturar credenciales y tokens sin necesidad de romper protocolos de MFA.
    • Fácil de configurar y personalizar para ataques específicos.
  • Limitaciones:

    • Depende de que el usuario acceda al enlace malicioso, lo que requiere un phishing bien diseñado.
    • Detectable por servicios avanzados de seguridad web como Cloudflare.

3. Pacu

  • Descripción:
    Un framework diseñado para pruebas de seguridad en AWS, que permite detectar configuraciones incorrectas y explotarlas.

  • Uso:

    • Enumerar roles, permisos y políticas: pacu run iam__enum_roles
    • Explotar permisos mal configurados para escalar privilegios.
  • Por qué es útil:
    Automatiza la identificación de configuraciones erróneas en entornos AWS, facilitando la escalada de privilegios y el movimiento lateral.

  • Ventajas:

    • Altamente modular, con plugins específicos para diferentes servicios de AWS.
    • Compatible con múltiples entornos de pruebas.
  • Limitaciones:

    • Solo funciona en entornos AWS (no es útil para Azure o GCP).
    • Requiere conocimientos avanzados de AWS para interpretar los resultados.

4. Rclone

  • Descripción:
    Una herramienta de sincronización y transferencia de archivos para múltiples servicios en la nube (S3, Google Drive, Azure Blob).

  • Uso:

    • Copiar datos desde un bucket S3 comprometido: rclone copy s3:bucket-datos-comprometidos /destino-local
  • Por qué es útil:
    Simplifica la extracción masiva de datos desde servicios en la nube, especialmente cuando se accede con roles privilegiados.

  • Ventajas:

    • Compatible con una amplia variedad de servicios de almacenamiento en la nube.
    • Fácil de configurar y ejecutar desde cualquier terminal.
  • Limitaciones:

    • Puede dejar rastros en logs del servicio (si no se oculta bien el uso).

Herramientas desde la Perspectiva del Defensor

1. AWS Access Analyzer

  • Descripción:
    Una herramienta de Amazon para identificar configuraciones públicas o compartidas inapropiadamente en recursos como S3 buckets, roles de IAM, o claves KMS.

  • Uso:

    • Inicia un análisis con: aws accessanalyzer start-resource-scan --analyzer-name analyzer-name 
  • Por qué es útil:
    Identifica configuraciones que podrían exponer datos sensibles a accesos externos.

  • Ventajas:

    • Integrado directamente en AWS, sin necesidad de herramientas adicionales.
    • Produce alertas específicas y acciones recomendadas.
  • Limitaciones:

    • Funciona solo dentro del ecosistema de AWS.

2. Microsoft Sentinel

  • Descripción:
    Una solución SIEM (Security Information and Event Management) en la nube que detecta y responde a amenazas en tiempo real.

  • Uso:

    • Configurar reglas de detección para actividades sospechosas:
      • Acceso desde IPs inusuales.
      • Creación de roles inesperados en Azure.
  • Por qué es útil:
    Centraliza el monitoreo y correlación de eventos en entornos Azure, con opciones de automatización.

  • Ventajas:

    • Fácil integración con otros servicios de Microsoft.
    • Altamente personalizable con KQL (Kusto Query Language).
  • Limitaciones:

    • Puede generar falsos positivos si no se ajustan las reglas adecuadamente.

3. GitGuardian

  • Descripción:
    Herramienta de monitoreo para detectar credenciales expuestas en repositorios públicos y privados.

  • Uso:

    • Escaneo de repositorios Git en busca de secretos: gitguardian scan .
  • Por qué es útil:
    Detecta rápidamente credenciales mal gestionadas antes de que los atacantes las encuentren.

  • Ventajas:

    • Compatible con repositorios públicos y privados.
    • Alertas en tiempo real sobre exposiciones nuevas.
  • Limitaciones:

    • Puede generar demasiadas alertas si el repositorio tiene múltiples configuraciones de prueba.

4. Splunk (o Herramientas SIEM Similares)

  • Descripción:
    Solución para recopilar, indexar y analizar logs en tiempo real, ideal para detectar actividad sospechosa en infraestructuras multinube.

  • Uso:

    • Configurar alertas para:
      • Uso inusual de credenciales de IAM.
      • Transferencias masivas de datos desde S3.
  • Por qué es útil:
    Proporciona visibilidad completa de las actividades en la infraestructura multinube.

  • Ventajas:

    • Capacidad de integrar múltiples fuentes de datos.
    • Dashboards personalizables para análisis detallado.
  • Limitaciones:

    • Requiere una configuración inicial compleja y puede ser costoso en entornos grandes.

Reflexiones Finales

Desde la Perspectiva del Atacante:

  1. ¿Qué herramienta fue más efectiva?
    Herramientas como Pacu o Evilginx2 son muy útiles cuando las configuraciones de seguridad son débiles, pero requieren un conocimiento profundo para maximizar su potencial.

  2. ¿Qué podría mejorarse?
    Automatizar más el proceso para identificar configuraciones erróneas, especialmente en entornos multinube.

Desde la Perspectiva del Defensor:

  1. ¿Qué herramienta aportó mayor visibilidad?
    Herramientas SIEM como Microsoft Sentinel o Splunk fueron esenciales para correlacionar eventos y detectar patrones sospechosos.

  2. ¿Qué ajustes son necesarios?

    • Personalizar alertas para evitar falsos positivos.
    • Integrar herramientas de monitoreo continuo como GitGuardian para prevenir credenciales expuestas.
Purple Mystara - Cristina Martínez Girol
Todos los derechos reservados 2025
Creado con Webnode Cookies
¡Crea tu página web gratis! Esta página web fue creada con Webnode. Crea tu propia web gratis hoy mismo! Comenzar
Utilizamos cookies para permitir un correcto funcionamiento y seguro en nuestra página web, y para ofrecer la mejor experiencia posible al usuario.

Configuración avanzada

Puedes personalizar tus preferencias de cookies aquí. Habilita o deshabilita las siguientes categorías y guarda tu selección.