Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

¿Cómo afrontar una auditoría interna?

No description
by

pablo gonzalez

on 23 April 2014

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of ¿Cómo afrontar una auditoría interna?

End
Start
Punto de partida
¿Dónde estoy?

¿Qué veo a mi alrededor?

¿Qué puedo hacer desde mi posición?

Diseño y análisis de la topología de red
Análisis seguridad VLAN
Seguridad de los puntos de acceso
Sniffing de red/Análisis de tráfico de red

Objetivo: Conocer el entorno y mis limitaciones


El primer dato de interés
Seguramente el paso más complejo...

¿Algún spoofing?
Explotación de vulnerabilidades & Hashdump
Escuchar la red / el medio (compórtate como un hub!)
Cookies
Credenciales / Servicios no seguros
Ingeniería social --> ¿Por qué no?
Downgrades protocolos, ¿En serio?
Incluso, pruebas anteriores...

Objetivo: Conseguir el primer paso para salir de mi equipo...
¿Qué es una credencial?
Forma de verificar qué un usuario es quién dice ser ó... ¿no?

Usuario + Contraseña

¿Cómo se almacena? hash!

El mundo Microsoft
LM
NTLM/NTLMv2
SAM & NTDS.dit
PtH (Pass the Hash)
Si tengo una credencial (plano, hash...) puedo hacer PtH

Principio de localidad

Requisitos:
Tener un hash
Tools: WCE, psexec, metasploit...
¿Diferencias entre un usuario local y de dominio?
Ejemplo:
B5412A15BD9FA4D5
AAD3B435B51404EE
:
F18AD91B1E51E8DD4F7BC10F3D3A3B0E
¡Paren las rotatorias!
Los hashes están bien, pero ¿Y en plano? WTF!?


Recordad que las vulnerabilidades, si existen podrían ser explotadas siempre...

En todo equipo que se tenga acceso, ya sea movimiento horizontal o vertical, hay que repetir el proceso (Descubrimiento, Análisis y Explotación) DAE!


Proceso lsass.exe (Mimikatz & WCE) <-> Servidores UpTime > X days

X -> infinitum
¿Cómo afrontar una auditoría interna?
Pablo González
¿Cuál es mi rol?
¿Qué objetivo tengo?
Tipos de auditoría
Tipos:

Caja negra
Caja blanca
Caja gris

¿Que nos importa?
Su caracterización




Desplazamientos
Horizontal < - > Vertical
Pivoting
Con esta técnica puedo ir moviéndome por la organización

Máquina A -> Máquina B
Máquina A Nc Máquina C
Máquina B -> Máquina C

Máquina A -> Máquina B -> Máquina C (Transitividad)

Objetivo: Paseo por la organización!

-> : Conectividad
Nc : No conectividad
¿He conseguido el Domain Controller?
Cerca del fin...

Informe técnico e Informe ejecutivo...

¿Y si existen otros sistemas operativos en el contexto?
Procedimiento similar. Incluso en Windows se pueden buscar elementos que proporcionen acceso a los sistemas *NIX.
Si no es así... Insert Coin!
¿Conseguí lo que quería?
Vamos con las PoC...
PoC 1: Obtener el primer dato de interés
PoC 2: Movimiento horizontal - vertical
PoC 3: Pivoting
Full transcript