26 de septiembre de 2017

MuyComputerPRO

Auditoría de infraestructuras críticas con VOYEUR

Auditoría de infraestructuras críticas con VOYEUR

Auditoría de infraestructuras críticas con VOYEUR
septiembre 21
17:02 2014

blackhat

Juan Garrido, consultor especializado en análisis forense y test de intrusión de Innotec – Entelgy.

Los servicios de directorio activo constituyen el motor a través del cual una empresa gestiona los servicios que puede ofertar a sus clientes, ya sean externos o internos. Control de gestión, cumplimiento de SLA, control de usuarios, gestión de sistemas de impresión o integración de servicios son algunas de las características que hacen que una infraestructura gobernada por este servicio resulte atrayente para administradores y gestores IT. Por el contrario, y debido a la cantidad de información que se puede almacenar en un directorio activo, estos servicios resultan de especial interés en escenarios de ataque de tipo persistente, donde la información recogida durante una intrusión es esencial para la preparación de estos ataques.

El marco de presentación de esta charla ha sido en el congreso mundial de seguridad BlackHat 2014, al que asistí el mes pasado. En él tuve la oportunidad de presentar Voyeur, una herramienta desarrollada por Innotec (empresa de Entelgy especializada en seguridad informática). El propósito principal de la herramienta es generar un rápido informe de seguridad del servicio de directorio activo de una organización. Para ello, la herramienta se vale de una serie de consultas para extraer la información. En una segunda fase, la herramienta procesará y analizará estos datos. En su última fase de ejecución, presentará estos datos al auditor en un formato de alto nivel.

Con Voyeur se exprime al máximo las posibilidades informativas de auditoría de una organización, de una manera más ágil, ya que sólo muestra información técnica al auditor. Además, también provee de reportes de alto nivel que pueden ser presentados en un corto espacio de tiempo a capas superiores (CEO, CTO, etc..) Los reportes generados son un punto de partida perfecto para analistas forenses, equipos de respuesta ante incidentes, o auditores de seguridad que quieran conocer de manera rápida y ágil qué tipo de amenazas se encuentran presentes en este tipo de servicios.

Esta herramienta responde a una necesidad real tanto de las empresas como de los analistas. En el congreso los asistentes mostraron su preocupación por los temas de seguridad que afectan al directorio activo, así como de las pocas herramientas consolidadas que existen en el mercado. Como muchas otras ideas, Voyeur nació a través de un caso de respuesta ante incidentes. Hubo que mirar en una infraestructura replicada en múltiples países, la creación de una serie de objetos, y como en todo caso de respuesta ante incidentes el tiempo así como el debido reporte a los responsables de la investigación era crucial para dar respuesta a éstas y otras preguntas que surgieron en aquel caso.

A día de hoy es una herramienta estable, estructurada y modular que permite, entre otras cosas, realizar peticiones a todo tipo de objetos en una infraestructura. La herramienta está íntegramente desarrollada en PowerShell y .NET, no requiriendo ningún tipo de dependencia para ser utilizada.

El modelo de minería de datos que utiliza genera con facilidad información valiosa y de calidad, funcionando en escenarios de pronóstico, riesgo y probabilidad, recomendaciones, búsqueda de secuencias y agrupación por relación o afinidades.

En el congreso también expliqué que, históricamente, herramientas unitarias que extraen parte de esta información sólo funcionan en servicios de un idioma predeterminado, como inglés o castellano (dos de los idiomas más instalados). Debido a esta problemática, nuestra herramienta funciona en servicios de Directorio Activo instalados en cualquier tipo de idioma. Voyeur es una herramienta libre que permite hacer las modificaciones pertinentes al gusto del analista y no requiere permiso del administrador de dominio. Basta con tener cuenta de usuario y contraseña para utilizarla.

About Author

Elisabeth Rojas

Elisabeth Rojas

Articulos relacionados

Suscríbete gratis a MCPRO

La mejor información sobre tecnología para profesionales IT en su correo electrónico cada semana. Recibe gratis nuestra newsletter con actualidad, especiales, la opinión de los mejores expertos y mucho más.

¡Suscripción completada con éxito!