Oscar Rebollo García - Mar, 09/08/2022 - 11:00
Ciberdelincuente.
La ciberseguridad es uno de los pilares fundamentales de cualquier organización y es vital reducir la superficie de ataque para así evitar poner en riesgo la privacidad, seguridad e integridad de la información.
Uno de los malware con más auge es el desarrollado con PowerShell aumentando en más de un 689% en el primer trimestre del año 2020 e incrementándose otro 220% más durante el segundo trimestre, con una acumulación total del 2102%. (Fuente McAfee Labs).
El lenguaje Powershell viene integrado desde Windows XP permitiendo a los administradores de sistema automatizar tareas tanto en los equipos como en los servidores. Con PowerShell se puede realizar multitud de tareas como asignar permisos a los usuarios, deshabilitar servicios, abrir puertos, escalar privilegios, insertar tareas programadas, obtener el hash de las contraseñas…
Al ser PowerShell una herramienta nativa, los atacantes pueden cargar malware directamente en la memoria y no dejar rastro en el disco duro consiguiendo así burlar los antivirus. Se puede pensar que con la configuración por defecto presente en la gran mayoría de los equipos es suficiente para evitar los ataques con PowerShell, nada más lejos de la realidad ya que es sumamente fácil evadir las medidas de seguridad predeterminadas proporcionando a los ciberdelincuentes una manera fácil de acceder a nuestro sistema.
¿Cómo podemos protegernos?
Para entender las diferentes técnicas de acceso, un buen punto de partida es recurrir a las herramientas, técnicas y métodos que usan los atacantes para descubrir las debilidades del sistema (pruebas de penetración o Pentesting). Con la ayuda de diversos módulos prediseñados (PowerShell Empire, PowerSploit, Nishang, etc.) podemos realizar estas tareas fácilmente como: burlar antivirus, escalar de privilegios a un usuario, acceso a otras máquinas, búsqueda de credenciales, establecer conexiones, abrir puertos, inyectar un script en un Word, inyectar código en una dll, crear tareas persistentes, evadir políticas de ejecución…
Una vez entendido las diversas técnicas y métodos de acceso, es necesario establecer medidas de seguridad que mitiguen esas brechas (Hardening). Una buena forma de realizarlo es usando los resultados obtenidos en la fase del Pentester para solucionar esas brechas de seguridad.
La gran mayoría de los ataques se pueden evitar implementando diversas implementaciones sencillas como: cierre de puertos abiertos, el uso de lenguaje restringido (CLM), uso de AppLocker/SRP, creación de certificados, JEA/JIT, uso de cifrado, modo estricto, uso de scripts para verificar código, etc.
Llegados a este punto, sabemos cómo acceden los ciberdelincuentes y también cómo podemos defendernos.
La mayoría de estas técnicas necesitan unos conocimientos informáticos avanzados, por lo que como parte de mi Trabajo de Fin de Grado (TFG) y para que resultara viable para el mayor número de usuarios posible, he creado una aplicación con un menú intuitivo que recopila diferentes técnicas de ataque y las técnicas de defensa a implementar en cada caso.
Este ha sido el tema que he desarrollado con excelentes resultados en mi TFG, mención en Criptología y Seguridad de la Información titulado “Ciberseguridad Total con PowerShell (Pentesting+Hardening+Scripts)” defendido en la Facultad de Ciencias y Tecnología de la Universidad Isabel I.
Editor: Universidad Isabel I
ISSN 2792-1794
Burgos, España
Añadir nuevo comentario