Nav
print $PAGE 2>/dev/null -rwxr-xr-- 1 ["uqbarun"] uqbar Nov 13 24 "/cursos/pentesting/pos-explotacion/index"

La etapa de Post-Explotación tiene como objetivo obtener información sensible y relevante para la seguridad desde una perspectiva local, así como información relevante para el negocio que, en la mayoría de los casos, requiere privilegios más altos que los de un usuario estándar. Esta etapa incluye los siguientes componentes:

  1. Pruebas de evasión: Durante esta fase, realizamos pruebas para evadir las defensas y medidas de seguridad del sistema, con el fin de evaluar su capacidad de detección y respuesta.

  2. Recopilación de información: En esta etapa, recopilamos información sobre el sistema comprometido, como nombres de empleados, datos de clientes y cualquier otro dato sensible que pueda ser relevante para nuestros objetivos.

  3. Pillaging: El pillaging se refiere a la recolección de información sensible en el sistema comprometido, como archivos, contraseñas, correos electrónicos, entre otros. Esta información recopilada nos permite obtener un mayor control sobre el sistema y realizar acciones posteriores, como la escalada de privilegios.

  4. Evaluación de vulnerabilidades: Durante esta fase, buscamos y analizamos las vulnerabilidades conocidas en el sistema comprometido. Esto nos permite identificar las debilidades del sistema y determinar cómo podemos aprovecharlas para lograr nuestros objetivos.

  5. Escalada de privilegios: La escalada de privilegios consiste en obtener niveles de acceso más altos en el sistema comprometido. Esto nos permite realizar acciones que normalmente están restringidas a usuarios con privilegios elevados, lo que amplía nuestras capacidades y nos acerca a nuestros objetivos.

  6. Persistencia: La persistencia implica establecer mecanismos para mantener el acceso al sistema comprometido a largo plazo, incluso después de reinicios o cambios en la configuración. Esto nos permite mantener nuestra presencia y control sobre el sistema de manera continua.

  7. Extracción de datos: Durante esta etapa, transferimos la información recopilada y los datos sensibles del sistema comprometido a ubicaciones externas. Esto puede incluir el envío de datos a servidores controlados por nosotros o la exfiltración de datos a través de diversos canales de comunicación.

Pruebas de evasión

Las pruebas de evasión son una parte crucial de las pruebas de penetración, ya que nos permiten evaluar la capacidad de detección y respuesta de las defensas de un sistema o red. Si bien el objetivo principal es pasar desapercibidos, también es importante que algunas de nuestras acciones sean detectadas para que el cliente pueda evaluar la eficacia de sus medidas de seguridad.

Existen diferentes categorías de pruebas de evasión, como las pruebas evasivas, las pruebas evasivas híbridas y las pruebas no evasivas. Estas categorías pueden combinarse según las necesidades y objetivos del cliente. En las pruebas evasivas, utilizamos técnicas y herramientas para eludir los controles de seguridad y evadir la detección. En las pruebas evasivas híbridas, nos enfocamos en componentes específicos y medidas de seguridad predefinidas para evaluar su resistencia a los ataques. Y en las pruebas no evasivas, realizamos pruebas más sutiles que no intentan evadir activamente las defensas.

Es importante recordar que, durante las pruebas de evasión, debemos comunicarnos con el cliente y obtener su aprobación antes de realizar acciones que podrían ser consideradas riesgosas o disruptivas para el sistema. También es fundamental documentar todas nuestras acciones y compartir los hallazgos con el cliente para que puedan fortalecer sus defensas y cerrar cualquier brecha de seguridad identificada.

En resumen, las pruebas de evasión nos permiten evaluar la capacidad de detección y respuesta de las defensas de un sistema o red. A través de diferentes enfoques y categorías de pruebas, podemos identificar “puntos ciegos” en las medidas de seguridad del cliente y ayudarlos a fortalecer su postura de seguridad.

Recopilación de información

Durante la etapa de recopilación de información, en el contexto de la post-explotación, nos encontramos en un nuevo entorno y necesitamos familiarizarnos nuevamente con el sistema y la red del objetivo. Esta vez, tenemos la ventaja de una perspectiva interna (local), lo que nos brinda más posibilidades y alternativas para acceder a información relevante.

En esta etapa, llevamos a cabo la búsqueda y recopilación exhaustiva de información. Además de obtener datos externos, como en la etapa de explotación, también enumeramos la red local y los servicios disponibles en el sistema, como impresoras, servidores de bases de datos y servicios de virtualización. Es común encontrar comparticiones destinadas al intercambio de archivos entre los empleados. Esta investigación exhaustiva de servicios y componentes de red se conoce como “pillaging” o saqueo.

Pillaging

El saqueo implica analizar las configuraciones de red, como interfaces, enrutamiento, DNS, ARP, servicios, VPN, subredes IP, comparticiones y tráfico de red. Al comprender el papel del sistema en la red corporativa, podemos identificar subdominios alternativos, interfaces de red adicionales, hosts con los que se comunica y si podemos aprovechar credenciales reutilizadas o claves SSH para ampliar nuestro acceso o establecer persistencia.

Durante esta etapa, también nos enfocamos en buscar datos sensibles, como contraseñas, que puedan estar presentes en comparticiones, máquinas locales, scripts, archivos de configuración, bóvedas de contraseñas, documentos y correos electrónicos.

El objetivo principal del saqueo es demostrar el impacto de una explotación exitosa y, si aún no hemos alcanzado el objetivo de la evaluación, encontrar datos adicionales, como contraseñas, que puedan utilizarse en etapas posteriores, como el movimiento lateral. Esta etapa nos proporciona una visión completa de la estructura de la red y nos ayuda a obtener información valiosa para avanzar en el proceso de evaluación de seguridad.

Persistencia

La etapa de persistencia tiene como objetivo mantener el acceso al host comprometido una vez que tenemos una visión general del sistema. Es fundamental para asegurarnos de que podamos acceder al sistema incluso si se interrumpe la conexión. Esta fase se realiza antes de la recopilación de información y el saqueo.

Durante esta etapa, es importante seguir enfoques personalizados, ya que cada sistema tiene una configuración única determinada por un administrador con sus propias preferencias y conocimientos. Se recomienda ser flexible y adaptarse a las circunstancias. Por ejemplo, si hemos utilizado un ataque de desbordamiento de búfer en un servicio que puede causar su falla, es crucial establecer la persistencia en el sistema lo más pronto posible para evitar repetir el ataque y potencialmente provocar una interrupción. Si perdemos la conexión, es posible que no podamos acceder al sistema de la misma forma.

La persistencia nos permite mantener el acceso continuo al host comprometido, lo que nos facilita realizar otras etapas del proceso de seguridad informática.

Evaluación de Vulnerabilidades

Si mantenemos el acceso y tenemos una comprensión sólida del sistema, podemos utilizar la información sobre sus servicios y otros datos almacenados para repetir la etapa de Evaluación de Vulnerabilidades, esta vez desde el interior del sistema. Analizamos la información y la priorizamos en función de su importancia. Nuestro objetivo principal es lograr la escalada de privilegios, si aún no lo hemos logrado.

Es crucial distinguir entre exploits que pueden dañar el sistema y ataques contra los servicios que no causan interrupciones. En esta etapa, evaluamos los componentes que ya hemos analizado en la primera Evaluación de Vulnerabilidades.

Escalada de Privilegios

La escalada de privilegios es un paso significativo y, en muchos casos, representa un momento crítico que nos brinda nuevas oportunidades. Obtener los máximos privilegios posibles en el sistema o dominio es a menudo crucial. Por lo tanto, nuestro objetivo es obtener los privilegios de root (en sistemas basados en Linux) o de administrador de dominio/administrador local/SYSTEM (en sistemas basados en Windows), ya que esto nos permitirá movernos por la red sin restricciones.

Es importante tener en cuenta que la escalada de privilegios no siempre ocurre localmente en el sistema. También podemos obtener credenciales almacenadas durante la etapa de recopilación de información de otros usuarios que tienen privilegios más altos. Utilizar estas credenciales para iniciar sesión como otro usuario también forma parte de la escalada de privilegios, ya que hemos elevado nuestros privilegios rápidamente utilizando el nuevo conjunto de credenciales.

Exfiltración de datos

Durante la etapa de exfiltración de datos, se busca transferir información personal y datos de clientes desde el sistema objetivo hacia nuestro propio sistema. Se deben tener en cuenta las regulaciones y marcos de cumplimiento relacionados con la seguridad de los datos, como el PCI para información de tarjetas de crédito y el HIPAA para información de salud del paciente. Antes de exfiltrar datos reales, se sugiere consultar con el cliente y el gerente, y en muchos casos, se pueden crear datos falsos para probar los mecanismos de protección sin comprometer datos sensibles reales.

Las empresas deben cumplir con regulaciones de seguridad de datos según el tipo de datos involucrados. Estas incluyen, pero no se limitan a:

  • Información de Cuentas de Tarjetas de Crédito: Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI, por sus siglas en inglés).
  • Información Electrónica de Salud del Paciente: Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA, por sus siglas en inglés).
  • Información Bancaria Privada de Consumidores: Ley de Modernización de los Servicios Financieros de Gramm-Leach-Bliley (GLBA, por sus siglas en inglés).
  • Información del Gobierno: Ley de Gestión de Seguridad de la Información Federal de 2002 (FISMA, por sus siglas en inglés).

Algunos marcos (frameworks) que las empresas pueden seguir incluyen:

  • (NIST) - Instituto Nacional de Estándares y Tecnología.
  • (CIS Controls) - Controles del Centro para la Seguridad en Internet.
  • (ISO) - Organización Internacional de Normalización.
  • (PCI-DSS) - Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago.
  • (GDPR) - Reglamento General de Protección de Datos.
  • (COBIT) - Objetivos de Control para la Información y Tecnologías Relacionadas.
  • (FedRAMP) - Programa de Gestión de Autorización y Riesgo Federal.
  • (ITAR) - Reglamentaciones Internacionales de Tráfico de Armas.
  • (AICPA) - Instituto Americano de Contadores Públicos Certificados.
  • (NERC CIP Standards) - Estándares de Protección de Infraestructura Crítica de NERC.

Si se descubren datos sensibles, se debe informar inmediatamente al cliente. Dependiendo de la gravedad de la situación, el cliente puede decidir pausar, finalizar o cambiar el enfoque de la prueba de penetración. La siguiente etapa es el movimiento lateral, donde se utilizan los datos obtenidos durante la explotación posterior como entrada para continuar el proceso de prueba de penetración.

¿Qué sigue?


4 Explotación << >> 6 Movimiento lateral

> Exit code: 1