Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Copias de seguridad con la regla 3-2-1 como estrategia general de gestión de datos. La regla 3-2-1 recomienda que haya al menos tres
copias de los datos importantes en dos tipos diferentes de medios y al menos una de esas copias desde estar off-site, offline, aislada de
conexión a internet o de red.
Vectores de entrada
Aumento de los privilegios mediante el uso de exploits disponibles fácilmente, como EternalBlue, para ampliar los derechos de
acceso. Esto permite a los ciberatacantes instalar programas como herramientas de administración en remoto (RATs, por sus siglas en
inglés), y visualizar, cambiar o borrar datos, crear nuevas cuentas con todos los derechos de usuario, y desactivar el software de
seguridad.
- Movimientos laterales y búsqueda a través de la red de servidores de archivos y copias de seguridad mientras están bajo el radar,
con el fin de lograr el mayor impacto posible del ataque de ransomware. En menos de una hora, los ciberatacantes pueden crear un
script para copiar y ejecutar el ransomware en los servidores y endpoints de una red. Para acelerar el ataque, el ransomware es capaz
de priorizar su ataque sobre unidades compartidas donde incluso puede empezar por los documentos de menor tamaño y lanzar
múltiples hilos en paralelo.
- Ataques remotos. Los servidores de archivos, en sí mismos, no suelen ser el objeto de ataques de ransomware, sino que reciben el
ataque a través de usuarios comprometidos que cifran sus ficheros. Sin embargo, en algunos de estos asaltos, el ataque se ejecuta
generalmente en uno o más endpoints comprometidos, aprovechándose de una cuenta de usuario con privilegios para atacar
documentos de forma remota, en ocasiones a través de protocolo de escritorio remoto (RDP, por sus siglas en inglés) o dirigiéndose a
soluciones de gestión y monitorización remotas (RMM), que suelen utilizar los MSP (proveedores de servicios gestionados) para
gestionar la infraestructura de TI de sus clientes y/o los sistemas de usuario final.
La mayoría de las campañas de ransomware empiezan por un mensaje de correo electrónico de phishing. Con el paso del tiempo, han
ganado en sofisticación, y ahora muchas están específica y meticulosamente diseñadas en el idioma local de las víctimas a las que van
dirigidas.
Una empresa del Reino Unido pagó dos veces rescate millonario por negligencia
Una empresa del Reino Unido tropezó dos veces con el mismo de secuestro de datos conocido como ransomware, y por el que pagó al
menos un rescate de 6.5 millones de libras en bitcoins, aproximadamente $9 millones de dólares. ¿Su error? Pagar el rescate y no molestarse
en revisar cómo ocurrió, por lo que fue víctima de los mismos ciberdelincuentes menos de dos semanas después de pagar el rescate
millonario.
Los detalles del caso fueron publicados por el Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC, por sus siglas en inglés),
que con la difusión del suceso busca crear conciencia entre las empresas sobre la importancia de fortalecer sus medidas de ciberseguridad.
https://www.ncsc.gov.uk/blog-post/rise-of-ransomware
“Sabemos de una organización que pagó un rescate de alrededor de 6.5 millones de libras esterlinas para recuperar sus archivos, pero que
no hizo ningún esfuerzo por identificar la raíz del ataque y proteger su red”, señaló el NCSC.
“Menos de dos semanas después, los mismos ciberdelincuentes volvieron a atacar a la empresa con el mismo mecanismo de antes, al
implementar su ransomware y dejar en la víctima la sensación de que la única solución era volver a pagar el rescate”,
Una extensión de nombre de archivo es un conjunto de caracteres que se agregan al final de un nombre de archivo para determinar qué
programa debería abrirlo.
1.
Para abrir Opciones de carpeta, haga clic en el botón Inicio, en Panel de control, en Apariencia y personalización y, por último,
en Opciones de carpeta.
2.
Haga clic en la ficha Ver y, a continuación, en Configuración avanzada, realice una de las acciones siguientes:
1 de 10 4/8/2021 12:28
Blog elhacker.NET: Medidas prevención para evitar que ... https://blog.elhacker.net/2021/03/medidas-prevencion-pa...
Para mostrar las extensiones de nombre de archivo, desactive la casilla Ocultar las extensiones de archivo para tipos de
archivo conocidos y, a continuación, haga clic en Aceptar.
Antes: .pdf
Ahora mostrará: .pdf.exe
Ejemplos:
Antes: los fichero son mostrados con un icono falso, Windows no nos muestra la verdadera extensión del documento
Ahora: después ya podemos ver que aunque el icono es de un PDF, mp3, Excel o ZIP, en realidad es un fichero con extensión EXE.
Recuerda deshabilitar potencialmente inseguros como RDP, uno de los vectores de ataque favoritos con credenciales por defecto o fáciles de
adivinar. Habilita RDP Gateway, usa una VPN, habilita NLA y 2FA. Network Level Authentication (NLA), Autenticación de nivel de red
(NLA) se refiere al uso de CredSSP para autenticar al usuario antes del inicio de la conexión RDP. Esto permite que el servidor dedique
recursos solo a usuarios autenticados.
Estadísticas muestras que RDP es el vector de ataque más dominante, y se utilizó en el 63,5% de las campañas de ransomware dirigidas
divulgadas en el primer trimestre de 2019.
BlueKeep (CVE-2019-0708) es una vulnerabilidad RCE en el servidor RDP de Microsoft, que afecta a las máquinas Windows desde
Windows 2000 a Windows 7 y Windows Server 2008 R2. Se encontró y se corrigió en mayo de 2019. Esta vulnerabilidad es un uso
después de la ausencia que estaba presente en el controlador del kernel de Windows que maneja las conexiones RDP: termdd.sys.
DejaBlue (CVE-2019-1181 & CVE-2019-1182) es otra vulnerabilidad RCE en el servidor RDP de Microsoft (de ahí el nombre)
descubierta en 2019. Esta vez, la vulnerabilidad afectó a todas las versiones de Windows (7-10) hasta el parche. . DejaBlue es una
vulnerabilidad de desbordamiento de enteros que estaba presente en una DLL central del servidor RDP: RDPCoreTS.dll / RDPBase.dll
(según la versión de Windows).
2 de 10 4/8/2021 12:28
Blog elhacker.NET: Medidas prevención para evitar que ... https://blog.elhacker.net/2021/03/medidas-prevencion-pa...
Valores
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services
Hoy en día hay switchs configurables de muy buena calidad a un precio muy contenido, no es como hace unos años que para
conseguir uno de esos switchs había que hacer una inversión muy importante. Cierto es, que en esta configuración de VLAN, cada
departamento deberá tener su propio enrutador (aunque sea virtual) y que el administrador de red tendrá que crear reglas en el FW para
interconectar los servicios que si se tengan que “ver”, pero a nivel de red no es lo mismo tener todos los puertos TCP/UDP de todas las
máquinas visibles entre sí. En este punto concreto y en el artículo en general no estoy hablando de contener el 100% de los ataques, eso
siento decirlo, pero es imposible. El objetivo es reducir lo máximo posible la probabilidad de ataque y en caso de que se produzca reducir el
impacto. Si soy albañil y estoy en un quinto piso arreglando una cornisa, voy a intentar por todos los medios no caerme, pero si me caigo,
tengo que tratar que las consecuencias de mi caída sean las mínimas, por ejemplo, poniendo una red. Ya os imaginareis que el resultado no
va a ser el mismo si me caigo con red o sin red (de tela, no de datos jeje). En el mundo ciber ocurre exactamente lo mismo, sé que me van
atacar y existe la posibilidad que alguien lo logre, si eso ocurre tengo que estar preparado para que las consecuencias del ataque sean las
mínimas posibles.
a implementación de VLAN no solo nos va a ayudar en el caso de un ransomware, por ejemplo, si una máquina/PC/lo que sea, es
comprometida, el atacante lo va a tener muy complicado para poder pivotar/acceder a otros departamentos de la empresa. Los últimos
ataques a empresas o administraciones públicas lo demuestran, no disponían de redes suficientemente segmentadas, por lo tanto, cuando el
ciber delincuente accedía a uno de sus equipos, del modo que fuese, ya tenía acceso completo a todos los recursos de red y eso ya os
podéis imaginar que es lo peor que nos puede ocurrir en lo que a ciberseguridad respecta.
Entiendo que lo de crear VLAN da trabajo y a corto plazo solo hace que todo sea un poco más complicado en cuanto a lo que administración
de redes se refiere, pero a la larga os garantizo que solo tiene ventajas.
Si tenéis una página web pública o correo electrónico corporativo, por favor, que sus servidores no estén en la misma red que el resto de
ordenadores de la compañía.
3 de 10 4/8/2021 12:28
Blog elhacker.NET: Medidas prevención para evitar que ... https://blog.elhacker.net/2021/03/medidas-prevencion-pa...
Windows Defender (antivirus gratuito por defecto en Windows 10) permite monitorizar los cambios que cualquier aplicación intente
realizar en tus carpetas protegidas.
Haz scroll hasta encontrar la opción Controla el acceso a la carpeta y marca la casilla Activado. Esto mostrará una ventana de confirmación
para que des permiso a Windows Defender a cambiar la configuración. Dile que sí y listo.
Protege tus archivos, carpetas y áreas de memoria del dispositivo para impedir cambios no autorizados de aplicaciones
malintencionadas
A partir de ahora, si una app intenta cambiar tus archivos protegidos, la app se pondrá en una lista negra y Windows te informará. Por
defecto, las carpetas protegidas son: Documentos, Imágenes, Vídeos, Música, Escritorio y Favoritos. También puedes añadir más.
https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-atp/enable-controlled-folders
https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-atp/controlled-folders
Raccine es parecido a una vacuna, porque detecta cambios y llamadas al ejecutable vssadmin.exe (y wmic.exe), ya que los ransomware
suelen eliminar los Shadow Volume Copies para que no sea posible recuperar versiones anteriores de los ficheros. Es decir eliminan las
copias de seguridad de los ficheros creadas por Windows.
Ejemplo de código que suelen utilizar ransomware:
4 de 10 4/8/2021 12:28
Blog elhacker.NET: Medidas prevención para evitar que ... https://blog.elhacker.net/2021/03/medidas-prevencion-pa...
Muchas familias de ransomware intentan mediante vssadmin borrar todas las shadow copies del sistema, ya sabéis, las instantáneas que va
tomando Windows para poder volver a un punto de restauración en caso necesario. Es decir, intentan que la víctima no pueda tirar de ningún
backup.
Funcionamiento
Se intercepta la llamada a vssadmin.exe (y wmic.exe) y se pasa a raccine.exe como debugger (vssadmin.exe delete shadows se
convierte en raccine.exe vssadmin.exe delete shadows)
Combinaciones maliciosas:
Windows Script Host (WSH) se usa para interpretar y ejecutar JScript (archivos .JS) y VBScript (archivos .VBS y .VBE) que pueden
ser potencialmente peligrosos.
.hta
.jse
.js
.vbs
.vbe
.wsf
.wsh
Numerosas campañas de spam están usando varias familias ransomware a través de archivos adjuntos .zip. Y los archivos .zip contienen
Normalmente, un JScript (.js / .JSE) Un archivo que, si se hace clic, se ejecutará a través de Windows Script Host.
Crear un nuevo valor DWORD denominado "Enabled" y establezca los datos de valor a "0".
5 de 10 4/8/2021 12:28
Blog elhacker.NET: Medidas prevención para evitar que ... https://blog.elhacker.net/2021/03/medidas-prevencion-pa...
Acceso Windows Script Host deshabilitado en este equipo. Póngase en contacto con el administrador para obtener más
detalles.
Estos fichero tienen una macro, pequeño programa que puede realizar diferentes acciones de forma automática, si activamos la ejecución de
esa macro haciendo clic en «Habilitar contenido» se activa un ransomware que cifrará los ficheros del equipo afectado.
Una macro está compuesta por una serie de comandos que puede usar para automatizar una tarea repetitiva, y se puede ejecutar cuando
haya que realizar la tarea. Este artículo contiene información acerca de los riesgos relacionados con el trabajo con macros, y le permitirá
aprender a habilitar o deshabilitar macros en el Centro de confianza.
Si no desea infectarse con un virus de macro, mantenga presionada la tecla MAYÚS cuando abra un archivo que podría estar infectado con
un virus de macro. Si presiona MAYÚS evitará que se ejecuten las macros automáticas; si hay algún virus de macro presente, no se cargará.
6 de 10 4/8/2021 12:28
Blog elhacker.NET: Medidas prevención para evitar que ... https://blog.elhacker.net/2021/03/medidas-prevencion-pa...
El script de PowerShell ya es más complicado de mitigar: por defecto, la política de ejecución de scripts de PowerShell
es "RemoteSigned" para servidores, "Restricted" para no servidores y "Unrestricted" para aquellos sistemas operativos que dependan de
Active Directory pero no sean Windows, pero al haber definido "scopes" para la ejecución de scripts es posible cambiar las políticas de forma
escalonada y obtener permisos suficientes para descargar el software malicioso remotamente sin necesidad de escalar privilegios.
Mitigarlo sería subir las restricciones de todas las máquinas que tengas en dominio a, por ejemplo, "AllSigned". La buena noticia es que no
hay que hacerlo a mano, que se puede hacer mediante política de grupo.
gpedit.msc
Navega hasta
Configuración del equipo --> Plantillas administrativas --> Componentes de Windows --> Windows PowerShell
Elige la opción
O bien si eliges Activar la ejecución de scripts --> "Deshabilitada " --> Si deshabilita esta configuración de directiva, no se permitirá la
ejecución de ningún script
La alternativa es restringir completamente el acceso a PowerShell, aunque pierdes la capacidad de automatizar procesos en máquinas del
dominio.
Para habilitar esta configuración de directiva, ejecute gpedit.msc y navegue a la siguiente configuración:
7 de 10 4/8/2021 12:28
Blog elhacker.NET: Medidas prevención para evitar que ... https://blog.elhacker.net/2021/03/medidas-prevencion-pa...
C:\Windows\System32\WindowsPowerShell\v1.0.
Windows ofrece una solución de forma nativa. Se llama LAPS (Local Administrator Password Solution) y si
tu solución es manual, deberías migrar a LAPS.
¿Qué es LAPS?
Los passwords de las cuentas locales de administrador gestionadas por LAPS son únicos (no se repiten)
El password el muy robusto y LAPS los va cambiando regularmente (Si quieres diariamente)
LAPS almacena estos passwords como secretos, de forma segura en AD DS y están replicados en todos los controladores de
dominio.
Se puede (y se debe) configurar permisos de control de acceso a LAPS.
Los passwords que LAPS recupera se transmiten de forma segura al cliente (están encriptados)
Es decir, más o menos lo que vienes haciendo de forma manual, pero automatizado. ¿Y qué requisitos pide?
8 de 10 4/8/2021 12:28
Blog elhacker.NET: Medidas prevención para evitar que ... https://blog.elhacker.net/2021/03/medidas-prevencion-pa...
Deshabilitar SMB v1
Mediante comando PowerShell:
HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
Registry entry: SMB1
REG_DWORD = “0” (Disabled)
Clientes:
HKLM\SYSTEM\CurrentControlSet\services\mrxsmb10
Registry entry: Start
REG_DWORD = “4” (Disabled)
HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkstation
Registry entry: DependOnService
REG_MULTI_SZ: “Bowser”,“MRxSmb20”,“NSI”
Disable-PSRemoting -Force
netsh advfirewall firewall set rule group=”Windows Remote Management” new enable=no
Deshabilitar WDigest
Puede realizar esta prueba antes de configurar los equipos para que solo usen NTLMv2. Para configurar el equipo para que solo use
NTLMv2, establezca LMCompatibilityLevel en 5 bajo la HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa clave del
controlador de dominio.
LmCompatibilityLevel
HKLM\SYSTEM\CurrentControlSet\Control\Lsa
Deshabilitar SMBv1
Microsoft recomienda deshabilitar SMBv1 para evitar malware
Script PowerShell
Desactivar:
Habilitar
9 de 10 4/8/2021 12:28
Blog elhacker.NET: Medidas prevención para evitar que ... https://blog.elhacker.net/2021/03/medidas-prevencion-pa...
1 comentarios :
RFigueres dijo...
Aquí mas info de cómo desactivar el SMBv1 según sistema operativo utilizado: https://www.sysadmit.com/2017/05/windows-
deshabilitar-smb-10.html
PUBLICAR UN COMENTARIO
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.
10 de 10 4/8/2021 12:28