1 48 Table of Contents 50 108

Segurilatam 004

artículo técnico Ciberseguridad 49 claves privadas protegidas por el sistema operativo. Si este último las puede leer y utilizar, ¿por qué yo no? Mimikatz es la respuesta a estas in- quietudes y ha sido de mucha ayuda a los equipos de hacking ( red teams ) para exponer una serie de deficiencias en los procesos, políticas y procedimientos de las organizaciones que van de la mano con el desconocimiento de cómo fun- ciona la tecnología y que derivan en controles de seguridad insuficientes para hacer frente a los chicos malos . Reflexión Finalmente, quisiera concluir el presente artículo a modo de reflexión. De verdad, ¿necesitamos tener instalado PowerShell en los equipos para poder realizar nues- tro trabajo? Si la respuesta es no, ¿por qué no quitamos todo lo que no usa- mos o necesitamos y que puede poner en peligro a nuestros sistemas? hemos dado un acceso por VPN utili- zando como método de autenticación una clave privada que está alojada en el almacén de certificados de Windows– pierde su equipo portátil? Para comprender de mejor forma la magnitud de lo que podría pasar si al- guien ejecutara Mimikatz en ese equipo, es preciso asimilar cómo funciona la ca- ché de contraseñas en los sistemas de Windows. ¿Alguno de ustedes ha ini- ciado sesión en un equipo de la organi- zación sin tener el cable de red conec- tado? Independientemente de cuál sea su respuesta, el hecho es que, con o sin conexión a la red, el equipo aceptará su nombre de usuario y password . ¿Están pensando lo mismo que yo? Si Windows tiene acceso, digamos, a una copia protegida de mi usuario y contra- seña, ¿por qué no podría tenerla yo y usarla para otros fines no tan éticos? El mismo razonamiento se aplicaría para las jor aproximación tendríamos que com- binarlas con controles de seguridad ba- sados en comportamiento. Pero esa es una historia de la cual me ocuparé en otra ocasión. Mimikatz Hasta entonces, me centraré en anali- zar por qué el código malicioso reciente utiliza PowerShell para evolucionar sus métodos, evitar ser detectado y cómo ha sacado provecho de todas las clases que PowerShell incorpora para crear pie- zas de software verdaderamente com- plejas y difíciles de analizar. Para ello, to- maré como ejemplo Mimikatz, una he- rramienta que se ha puesto de moda entre los equipos de hacking y de la cual he visto varias implementaciones en PowerShell. Entre sus principales funcionalida- des, Mimikatz permite la extracción de usuarios y contraseñas tanto localmente como a nivel de dominio, así como la ex- portación de certificados que han sido marcados como no exportables o de los cuales se tiene su respectiva llave pri- vada. Pues bien… Imaginemos todo lo que podríamos hacer si tuviésemos ocasión de ejecutar esta herramienta en un con- trolador de dominio. Seguramente, la fiesta sería muy buena para los admi- nistradores… Pero digamos que somos más mesurados. ¿Qué pasaría si una per- sona de nuestra organización –a la que Si verdaderamente no necesitamos PowerShell, ¿por qué no quitamos todo lo que no usamos o necesitamos y que puede poner en peligro a nuestros sistemas? SUSCRIPCIÓN ANUAL A LA REVISTA (PAPEL) 30€/AÑO (CUATRIMESTRAL) CONTACTA CON NOSOTROS EN: [email protected] REVISTA DE SEGURIDAD INTEGRAL Nº 1 PRIMER CUATRIMESTRE 2016 COMPARTIENDO CONOCIMIENTO COLOMBIA PERÚ REPÚBLICA DOMINICANA COSTA RICA PANAMÁ PARAGUAY VENEZUELA NICARAGUA GUATEMALA BRASIL MÉXICO CHILE ARGENTINA ECUADOR URUGUAY PUERTO RICO HONDURAS EL SALVADOR BOLIVIA CUBA 26-28 ABRIL CIUDAD DE MEXICO PRESENTE EN LAS FERIAS Edita: Don Ramón de la Cruz, 68. 28001 Madrid. ESPAÑA. Tel . : +34 91 402 96 07. http: www.borrmar t .es. E-mai ls: consultas@borrmar t .es suscripciones@borrmar t .es. INFORMACIÓN SOBRE SEGURIDAD INTEGRAL (MÁS DE 35 AÑOS EN EL SECTOR DE LA SEGURIDAD)

RkJQdWJsaXNoZXIy ODM4MTc1