Esta semana nuestra empresa llevó a cabo un ejercicio de red team blue team y he aprendido mucho y he tenido muchos problemas, tanto así que estoy reconsiderando todas mis decisiones de vida. Nuestra empresa se sometió a una prueba de penetración y no creo que mi jefe esté muy contento con los resultados. Podría ser que esté pensando demasiado, pero me gustaría saber qué piensan ustedes. Obviamente no sé exactamente lo que hizo el red teamer, ya que mantienen cierto nivel de secretismo sobre su enfoque cuando llevan a cabo las pruebas de penetración, pero tuvimos un integrante dedicado del equipo azul de la compañía de pruebas de penetración que nos ayudó a rastrear exactamente lo que estaba haciendo el equipo rojo. Así que empecemos. Estos son los eventos que ocurrieron la semana pasada:
Índice
Ejercicio de Prueba de Penetración
La prueba de penetración comenzó y llegó una alerta por una inyección de código en un proceso muy común. Por suerte, fui yo el desafortunado que recibió la alerta. Sabía desde el principio de la semana que íbamos a tener esta prueba de penetración, pero esta alerta era de baja gravedad y la recibimos todo el tiempo, así que la traté como cualquier otra alerta y seguí mi proceso habitual de investigación. Verifiqué el proceso en cuestión y todos los hash asociados. Revisé los registros de red y DNS circundantes. Hubo dos conexiones benignas en la red y nada en las consultas DNS que levantara sospechas. Pensé que iba bien, ya que había resuelto las últimas alertas bastante rápido, así que cerré la alerta diciendo algo como «procesos sospechosos y proceso distribuido de Microsoft benigno según el hash». Empecé a emocionarme por lo eficiente que estaba siendo. Estaba resolviendo las alertas en un promedio de 30 minutos, aunque sé que algunos de ustedes considerarán que es lento en los comentarios. Mi última alerta de CrowdStrike de dos horas recibió algunos comentarios negativos, y no están equivocados. Pero bueno, estaba a punto de ir a almorzar cuando mi jefe me llamó. Casi me caigo de espaldas, como seguramente todos ustedes hacen cuando reciben una llamada inesperada de su jefe en medio del día. Amablemente, me dijo que creía que debería echarle un vistazo a esa alerta que cerré. No le cuentes a nadie que te lo dije, ¿eh? Ups, volví atrás y reabrí el ticket de la alerta y ¡oh sorpresa! Había un proceso que se había inyectado en este proceso distribuido de Microsoft. Era un script de Python que se ejecutó unos minutos antes, lo que significa que el proceso que se marcó no era el problema, sino la basura adicional que se le agregó y que también se ejecutó, o al menos intentó ejecutarse junto con este proceso no malicioso. Ahora, ¿por qué pasé por alto esta señal tan evidente? Lo pienso todas las noches. Si tuviera que buscar una excusa para mí misma, diría que se debe a una falta de comprensión grave del panorama general del entorno. Todavía estoy aprendiendo acerca de todas las herramientas y cómo se me presentan cuando las uso, así que si veo que este proceso está conectado con ese otro proceso, probablemente me daría cuenta de que algo no está bien. Pero la forma en que se mostraba era confusa. Si los «hubiera» y «peros» fueran caramelos y nueces, tendríamos una Feliz Navidad. En resumen, no me han despedido todavía. Cerré una alerta relacionada con el red teaming y luego tuve que reabrirla y seguir el proceso de escalada según la política de nuestra empresa. Presioné ese botón rojo brillante que crea un canal de Zoom y convoca a todos, incluido el CISO. Esto inició una investigación de aproximadamente seis horas ese día y todos los días siguientes durante toda la semana. Ignoramos todas las alertas de baja gravedad para que todos pudieran obtener experiencia y tal vez aprender algo nuevo.
Investigación y Aprendizaje
¿Qué hicimos durante las seis horas en las que tuvimos una reunión en la que participaron todos? Buscamos información sin parar. Revisamos el escenario, la herramienta EDR y nuestra otra herramienta EDR. Documentamos los hallazgos a medida que llegaban, por lo que teníamos una línea de tiempo que indicaba cómo el atacante llegaba a su objetivo. El objetivo del ejercicio no era necesariamente detener los ataques, sino seguirlos y saber exactamente dónde estaría el «hacker» en una situación de amenaza real. Seguimos las IPS, los nombres de host, las IDs de sesión secuestradas, los nombres de usuario, las inyecciones de DLL maliciosas. Consultamos los procesos específicos que el red team utilizó para inyectar código malicioso en los procesos benignos. Durante estas reuniones, el miembro del equipo azul nos explicó cómo encontrar a un hacker en nuestro entorno y cómo detectar movimientos laterales y descubrir exactamente cómo lograron explotar nuestras vulnerabilidades y entrar. Al final del día, la empresa realizó una presentación de 30 minutos para discutir los hallazgos, las vulnerabilidades encontradas y las recomendaciones para solucionar los problemas. Algunos de ellos dijeron que ciertas vulnerabilidades eran fáciles de explotar y que permitían escalar privilegios a administrador, pero que tenían una solución sencilla. Pude ver que mi jefe no estaba muy contento, ya que era una vulnerabilidad de alto riesgo y el red teamer mencionó que era fácil de solucionar. Pero lo que salvó la situación fue la segmentación de la red. Si no estás familiarizado con el concepto, básicamente implica dividir las redes en subredes completamente distintas, de modo que una subred no pueda comunicarse con otra y también hay seguridad de puertos detrás de esto. Si intentas acceder a otra «red», se bloqueará. Aunque el red team logró escalar sus privilegios, no pudieron acceder a una red principal ni a otra red donde podrían usar esos privilegios de administrador para hacer algo realmente peligroso. Mi profesor de Cisco en la universidad estaría muy orgulloso de la empresa.
Conclusiones
Nunca he estado tan abrumado en mi vida laboral. No te sorprendas si publico un video diciendo que me despidieron, porque es así como me siento cuando las cosas se complican. O incluso un video que diga «renuncié a mi trabajo en ciberseguridad» porque tengo grandes planes para mi proyecto personal que he estado descuidando por mis videos de YouTube. Si quieres saber más sobre esta experiencia increíble, siempre estoy dispuesto a responder preguntas en los comentarios. Por favor, deja un «me gusta» para que mi canal crezca más rápido que los de mis amigos, que me están alcanzando y quiero mantener mi último rastro de autoestima. Muchas gracias por ver, ¡estén atentos a mi próximo video sobre el peor día real en la vida de un analista de seguridad! ¡Nos vemos en el próximo video!
Tabla de Resumen
Evento | Descripción |
---|---|
Prueba de Penetración | Ejercicio de red team blue team en el que se realizaron pruebas de penetración en la empresa y se descubrieron vulnerabilidades. |
Alerta de Inyección de Proceso | Se recibió una alerta por una inyección de código en un proceso común. La alerta fue cerrada y luego reabierta debido al descubrimiento de un script de Python malicioso. |
Investigación y Aprendizaje | Se llevó a cabo una extensa investigación para seguir el rastro del atacante y aprender de sus métodos. Se realizaron consultas y se documentaron los hallazgos. |
Presentación de Hallazgos | La empresa realizó una presentación de 30 minutos para discutir los hallazgos de la prueba de penetración, las vulnerabilidades descubiertas y las recomendaciones de solución. |
Red Segmentation | La segmentación de red se mencionó como una medida de seguridad efectiva para evitar que un atacante escale sus privilegios y cause daño en otras redes. |
Preguntas Frecuentes
1. ¿Qué es una prueba de penetración?
Una prueba de penetración es un ejercicio en el que expertos en ciberseguridad intentan identificar y explotar vulnerabilidades en un sistema o red para evaluar su nivel de seguridad.
2. ¿En qué consiste el trabajo del equipo azul y el equipo rojo?
El equipo azul es responsable de defender y proteger el sistema o red, mientras que el equipo rojo simula un ataque para encontrar vulnerabilidades y debilidades.
3. ¿Qué es la segmentación de red?
La segmentación de red es una estrategia de seguridad en la que se dividen las redes en diferentes subredes para limitar la comunicación y reducir el riesgo de movimientos laterales en caso de un ataque.
4. ¿Qué acciones se tomaron para remediar las vulnerabilidades encontradas?
Se realizaron recomendaciones específicas en la presentación de hallazgos para solucionar las vulnerabilidades descubiertas. Esto puede incluir parches de seguridad, cambios en la configuración de red y otras medidas de mitigación.
Espero que esta experiencia haya sido interesante para ustedes. Recuerden que están invitados a leer más artículos relacionados en nuestro blog todoforti.net. ¡Hasta la próxima!
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!