Ahora que entendemos cémo funciona internamente la seguridad de cuentas de Windo estamos listos para usar herramientas todo-en-uno que abstraigan estos conceptos y nos facilitenla labor de enumerar. Veamos algunos ejemplos. Dumpusers La herramienta dumpusers funciona en linea de comandos y su uso es muy sencillo, tal y como podemas observar en la siguiente captura de pantalla (Figura 74). Ses os oh Figura 74 - Enumerando con dumpusers Este programa fue desarrollado y es actualmente mantenido por Arne Vidstrom, junto con otras herramientas muy ttiles, en su sitio web NTSecurit} Si observamos el reporte obtenido veremos que dumpusers ha obtenido facilmente la lista de cuentas de usuario del servidor victima, lamentablemente no muestra junto con el nombre el RID correspondiente; pero, dado que iniciamos la enumeracion desde 500 podemos deducir que la ‘cuenta Pepito es en efecto el Administrador built-in,Los pardmetros requeridos son: -target nombre de host o direccién IP de la victima -type opciones posibles son: de si se trata de un controlador de dominio 0 node si se trata de una estacién de trabajo o un servidor miembro. -start identificador relativo (RID) inicial. Ej: 500 -stop identificador relativo (RJD) final hasta donde queremos enumerar. Ej: 2000 -mode opciones posibles: verbose si deseamos que muestre resultados en pantalla tan pronto como los encuentre, 0 quiet si preferimos que muestre toda la informacién encontrada al final GetAcct Este software desarrollado por la empresa Security Friday. posee una interfaz grafica may amigable y tiene como yentaja que el reporte que presenta en pantalla si lista el RID, ademas de que enumera no s6lo usuarios sino también grupos y el informe puede ser exportado en formato delimitado por comas (.csv). Figura 75 - Reporte generado por Geidcet” La Figura 75 expone un reporte ejemplo generado a partir del aplicativo GetAcct, DumpSec y Hyena Estas dos aplicaciones provistas por la empresa Somarsoff*, oftecen opciones interesantes como: listar usuarios, grupos, servicios, sesiones, ete. (ver Ilustraciones 76 a 79), Pese a ello, no todos los reportes son posibles de obtener con una sesién nula, por lo que pueden resultar mas litiles durante la fase de hacking, cuando se hubieren obtenido credenciales de un usuario valido.{somm Bee 76 - Listado de usuarios con Hyena Figura 77 Listado de servicios con Hyena { }ors (Local, AUninistrators have conplete and unrestricted access te jated. auministrators oF the domain) the enterprise) up can modFy group po senena) pepite sein Cnpaters Bonain vests ‘erst Domain Users: ‘Zoninistrator Benito Sopranr 2 enterprise pepite Group Policy Creator Owners pepite senna: hdmins pepite Account. Operators enintserator= ‘Domain Admins: Enterprise Admins pepite ackop Operators, Distributed COM Users Domain Guests Figura 79 - Enumeracién de grupos con DumpSec Por supuesto existen muchos otros comandos y herramientas de enumeracién todo-en-uno disponibles, pero hemos cubierto las esenciales. Laboratorios de enumeracién Enumeracién de Windows desde el CLI En el laboratorio actual usted aplicar los conocimientos adquiridos en el capitulo de Enumeracién para adquirir informacién detallada sobre equipos Windows, haciendo uso deherramientas de enumeracién Netbios. Nota: Para la ejecucién del laboratorio usaremos Windows XP como estacién hacker. Es necesario que existan estaciones Windows adicionales en fa red y de forma preferente un equipo Windows Server para que el laboratorio sea productivo. Refiérase al Apéndice A acerca de las consejos para realizar con éxito las laboratorios. + Abra una ventana de comandos en su estacién de trabajo Windows y ejecute el comando: net view /DOMAIN Qué dominios yy gripe de trahajs encemtr’? ;Cuiles son bis TPs asoriadas? Anote sis hallazgas en su hiticara, Abra una sesién nula hacia los servidores abjetivos. ;Qué comando debe ejecutat? Escanee en detalle los servidores con ayuda del comando nbtstat: nnbistat -A IP_ServerX Posteriormente efectiie un eseaneo del protocolo Netbios sobre los servidores objetivo con ayuda del comando nbisean nibiscan -F1P_ServerX Ejecute adicionalmente algunos comandos de enumeracién de usuarios. {Fue factible obtener informacién de los usuarios de] sistema? dumpusers -target [P_ServerX -type de -start $00 -stop 1100 -mode verbose Compruebe la utilidad del comando user2sid para obtener el SID del sistema operativo, Utilice como “carnada” el nombre de tun usuario conocido como Administrador, Administrator, Invitado, Guest, ete user2sid \\ IP_ServerX Administrator + Una vez obtenido el SID del sistema, use e] comando sid2user para enumerar los usuarios y grupos del sistema, {Cua es la sintaxis del comando? Desafio: haga un seript en DOS que ejecute el comando sid2user dentro de un kuzo (loop). n de Windows con DumpSec En esta ocasién usaremos una herramienta grafica de enumeracién un tanto afieja, pero no por eso menos titil, DumpSec, bajo Windows XP para enumerar otros sistemas Windows de muestra red. ‘Nota: Para la ejecucién del laboratorio usaremos Windows XP como estacién hacker y Windows 2003 y 2008 Server como objetivos. Refiérase al Apéndice A acerca de los consejos para realizar con éxito los lahoratorios. BYERS Veritique que el aplicative DumpSec se encuentre instalado y ejectitely Sekecione el servidor objetivo: monii Re port -~ Select Computer (\IP_ServerX) tal y como se expons on la Figura 80. Luego pruebe con los diferentes reportes disponibles bajo lt opciin Re port. Hay diferencias en los reportes cuando el objetivo es Windows 2003 Vs Windows 2008 Server?Medidas preventivas Dado que son miltiples los protocolos susceptibles de enumeracién cabria preguntarnos {euiles de ellos son realmente necesarios en muestra red? La medida de prevencién obvia es deshabilitar aquellos protocolos inseguros que no son requeridos en nuestra red. Con todo, esto no siempre es factible, sobre todo si existen aplicaciones heredadas (legacy) en la organizacién que dependen de protocolos inseguros para operar y para las que no hay una migracién programada en el corto plazo. Algunas medidas paliativas: © Configuar regs de fitrado en los frewals de borde para imped tn publicacién en Intemet de prtocolos susceptibles de cemumeracién que io eumplan una funcién pica (por empl Netios). © Implementar un plan para subir de version los sistemas operatives y aplicaciones de forma periddica en funcidn del costofbenefici, En empresas en donde el ndmero de estaciones es extens, se potra consierar un proyecto para reemplazar bos desKlops por clientes lvianos haciendo uso de virualiaiein, usuinente Is costos de feeneiamienlo son menores en ammbentes vituaes De forma similar en ambientes con numerosos servdores, un proceso de consoidacin podria no sblo brindar ahorts en consumo de energia eKetrca, sino ademis en costos de mantenimiento de hurdwareiSoftware y facta b adninistracion de a seguridad informatica. © Sie tiene una red predominantemente Woidows, se pueden implementar poltcas de Directors Activo para imped el estubleciniento de sesiones nulas y deshubitar el gon via red del usuario Administrador builtin. Con todo, se debe tener cidade con los programas heredados (legacy) que podria hacer uso de nul sessions, Recursos titiles © Libro: Network Defense: Security Policy and Threats 39. © Livro: Network Defense: Securing and Troubleshooting Network 01 © Libro: Linux Seeurity Cookbook4! © Libro: Microsoft Windows Security Essentials42. © Urb-TN Micrmsof Security Bulletins,Capitulo 5 - Explotaci6n o hacking Finalmente hemos arribado al capitulo que todos esperabamos: Ia fase de hacking 0 también conocida como explotacién. Cuando Ilego a este capitulo en los talleres presenciales que dicto, mis alumnos quisicran saltarse toda la teoria y pasar directo a los laboratorios, pero es preciso que cubramos unos pocos conceptos mis y los combinemos con las practicas, Asi que no perdamos més tiempo filosofando al respecto y vayamos directo al grano . Mecanismos de hacking En esta fase - segim la preferencia y experiencia del consultor - se pueden ejecutar exploits de forma manual y/o automatica, a esto se le llama hacking manual o hacking automitico, respectivamente. Cada mecanismo tiene sus ventajas y desventajas, mismas que ilustramos en la Tabla 8. Comiinmente en un hacking ético profesional el consultor combina ambos mecanismos a discrecién, dependiendo de sus hallazgos. En este sentido son muchas las herramientas de software que pueden asistir al auditor en la ejecucién de un hacking automitico o pseudo-manual, pero iniciaremos por revisar los frameworks de explotacién. Tabla 8 - Mecanismos de Hacking ‘Con este mecanismo el hacking se ejecuta | - El hacker hace uso de un software de explotacin, usualmente haciendo uso de comandos, | _usualmente desarrollado por un tercero, que puede ‘conexiones a puertos, envio de paquetes de datos | 0 no tener algtin nivel de parametrizaciin y personalizados y/o programando cédigo de bajo | bisicamente escoge uno 0 varios tipos de exploits, ive o scripts. India el objetivo luego envia a ejecutaros sin mayor intervencion hacker Wene mayor control sobre To que desea | La forma de ejecudén dal exploit depende de Ta cexplotary cémo ejectar ef exploit Implementacién realizada por el desorrllador. ‘Se requiere conocer a profundidad Ta sute de] el hacker s6lo necesita conocer como usar Ta ‘protocols TCP/IP; manejar la linea de comandos y | __herramienta de explotacién. Sin embargo, si se trata entender cémo manejaninternamentela seguridad | __ de un hacking ético profesional, el consultor deberia e los sistemas operativos como Windows, Unix, | tener ademds séldas bases de networking, sistemas ‘Mac 05. entre otros; saber programar en lenguajes | _operativos y seguridad informatica como C Assembler Java, shell scripts, CG's, ete: ¥ comprender el funcionamiento del software que se pretende explotar. hacker puede usar_un proceamiento Ge |G hacker esta imitado ususimente a utizar explotacion descublertoy publicado por un tercero | solamente los exploits incuidos con la herramienta © hacer uso de un exploit desarrollado por é| de explotacionutlzada Frameworks de explotacién Los frameworks de explotacién, a diferencia de las aplicaciones que realizan tareas especificas, son programas que incluyen un conjunto de herramientas que permiten al consultor - dentro de un mismo ambiente - efectuar tareas de reconocimiento, escaneo, analisis de vulnerabilidades y por supuesto hacking. El hecho de contar con todo esto dentro de una sola interfaz facilita el trabajo al auditor, ademis de proveer un buen punto de inicio para el consultor principiante. No obstante, los frameworks que proveen una amigable interfaz grifica y que ademas offecen opciones de reporteria, son en su gran mayoria productos comerciales, es decir que tienen un costo asociado ysusceptible de renovaci6n anual para mantener la base de conocimientos actualizada. Entre los frameworks de explotacién comerciales podemos destacar: © Metasploit Professional, desarolad poc k empresa Rapid 7, © Core Impact Pro, de a organiacin Core Security © Immunity Canvas, wn prosueto de Immunity See El costo de la versién profesional de Metasploit — al momento de escribir estas lineas — es de USD$14,000 anuales. /mmunity Canvas tiene un costo menor (USD$995 la licencia del aplicativo y USD$495 trimestrales por las actualizaciones), mientras que Core Impact cuesta bastante mis (alrededor de USD$40,000). En algin momento de mi carrera como auditora de seguridad informatica trabajé con difere Impact vale lo que cuesta. La interfaz es absolutamente intuitiva y guia al consultor de la mano por cada fase del hacking, ademis de que contiene una base de plug-ins en constante desarrollo y muy completa y que el sistema de reportes es sumamenie flexible. Empero, su alto precio inicial y de actualizacin lo pone en desventaja frente a productos similares como Metasploit Professional. Immunity Canvas es el mas accesible de las tres versiones comerciales analizadas, y aunque la base de plug-ins también es extensa ¢ /mmnunity Sec se preocupa por mantenerla actualizada, su principal desventaja es la falta de un componente esencial en una herramienta profesional: la generacién de reportes. Es por estos motivos que me inclino a recomendar Metasploit Professional, ya que su interfaz es facil de usar, se integra con el analizador de vulnerabilidades Nexpose, admite importar hosts y vulnerabilidades desde herramientas externas como NMAP. Qualys, Core Impact, Retina, entre otros, integra campaiias de ingenicria social, auditoria de aplicaciones web; y lo mas importante: permite la generacién de reportes profesionales en distintos formatos, faciles de importar en una herramienta para gestién de evidencias. ‘A pesar de todas las muravillas antes mencionadas, salvo que nuestro apellido sea Trump 0 uno similar, seria muy duro para un consultor novel invertir estas sumas de dinero en un fi source, entre los cuales se destaca sin lugar a dudas el Metasploit Framework. Metasploit Framework Esta herramienta de explotacién surgié como un subproyecto del Metwsploit Project, un proyecto de seguridad de informacién fundado en el 2003 con el objetivo de prover informacién acerca de vulnerabilidades de seguridad informética y ayudar en la ejecucién de pruebas de intrusién, Pero en el 2009 fue adquirido por la empresa Rapid 7, la cual ha seguido auspiciando el proyecto y ademas ha desarrollado dos versiones comerciales, Express y Professional. Arquitectura del MSF Enseguida realizaremos una breve revision de la arquitectura de Metasploit, si el lector desea profindizar en el tema le aconsejo revisar el material del curso Metusploit Unleashed (Offensive Security, 2013) 0 acudir al sitio oficial mantenido por la empresa Rapid 7 en http: //www.metas ony, El Metasploit Framework (MSF) esta desarrollado en el Lenguaje de programacion Ruby y esta compuesto por librerias, médulos, interfaces y un sistema de archivos propio. Las librerias se encargan de gestionar la funcionalidad basica de Metasploit, interactuar con los diferentes protocolos soporiados y proveer las fimciones (API’s) que serin a su vezutilizadas por las distintas interfaces disponibles. Las interfaces para la version Framework son: msfeli, msfeonsok y Armitage. Las versiones Community, Express y Professional proveen ademas una interfaz Web. Armitage es na interfaz grafica que fue desarrollada como un proyecto colaborativo con Metasploit con el fin de facilitar las tareas de descubrimiento de hosts y servicios, mapeo de vulnerabilidades y ejecucin de exploits El sistema de archivos del MSF esta organizado por directorios conforme a la fimcionalidad provista (data, lib, modules, plugins, scripts, tools) y 1a ruta de instalacién bajo Limex se encuentra usualmente en jopi/metasplot © en /ustisharelmetasphit-framework (ver Figura 81). root@kal: usr/share/metasploit-tramework ee meer potion perens Figura 8! - Directorio del MSF en Kali Linux Los médulos del MSF son de seis tipos: Auxiliares (auxiliary) - Codlifeadores (encoders) + De explotaciin (exphite) Generadores de no-operaeitn (nops) w Cargas (payloads) De post-explotacién (post) Los médulos auxiliares proveen fimcionalidades para ejecutar tareas sobre un host remoto como por ejemplo: iniciar una sesidn (login), escanear puertos, etc. Los codificadores, como su nombre indica, se encargan de codificar/decodificar las cargas (payloads) que se ejecutan como parte de un exploit. Un exploit es un procedimiento que permite tomar ventaja de una vulnerabilidad y “explotarla”. Los exploits a diferencia de los médulos auxiliares hacen uso de cargas (payloads), los cuales consisten en cddigo que se ejecuta remotamente. El concepto de generadores de no-operacion es bastante complejo para explicarlo aqui, pero simplificandolo bastante podriamos decir que son usados dentro del MSF para garantizar la correcta ejecucién de una carga (payload) o proveer estabilidad a la misma. Si desean mayorinformacion sobre nops este es un buen articulo: hittp://en.wikipedia.org/wiki/NOP slide (Wikipedia, 2013). Las cargas 0 payloads son programas que se ¢jecutan remotamente en un host victima luego de que un exploit es exitoso. Finalmente los médulos post son usados para ganar mayor acceso, mantenerlo, subir u obtener informacién en un host victima, luego de que este ha sido comprometido, Metasploit provee cientos de médulos para post-explotacién y nos da ademas la posibilidad de escribir nuestros propios médulos post. La arquitectura de Metasploit se desplicga en la Figura 82. INTERFACES Figura 82 Arquitectura de Metasploit Iniciando el MSF En esta seccién trabajaremos con Metasploit Framework bajo Kali Linux, pero es posible obtener un instalador para sistemas Windows desde el sitio web de Rapid 7. (Rapid 7, 2013)". El MSF viene ya preinstalado en Kali Linux, pot lo que slo sera necesario instalarlo si previamente ha sido borrado del sistema. Esto se puede hacer de forma sencilla abriendo una ventana de terminal con privilegios administrativos (usuario roct) y ejecutando este comando: +# apt-get install metasphit Luego de comprobar que tenemos instalado el MSF deberemos iniciarlo. En Kali la instancia de Postgres se levanta, y la estructura de tablas se crea, 1a primera vez que iniciamos a Metasploit como un servicio. De ahi en adelante podremos detener el servicio y volverlo a levantar, y al hacerlo la instancia de Postgres asociada se detendrd 0 iniciara de forma correspondiente. Para efectuar esto Kali provee scripts que pueden ser llamados desde Ia interfaz grifica como se manifiesta en la Figura 83 (menti Kali Linux > System Services > Metasploit -> community | pro start):