#Webinar #CISObeat 06/12/2018 Puedes ver el video en nuestro canal de YouTube: https://www.youtube.com/watch?v=id-i-6FgJJc Ponente: José Antonio Gonzáles Jurado Security Analyst, BSidesPE 2018 Speaker Únete a la comunidad: https://tiny.cc/RegistroCISObeat

2. JOSE ANTONIO GONZALES JURADO
Egresado en Redes y Comunicaciones de Datos
Instituto: Grupo IDAT.
Especialidad: Se desempeña como Security Analyst y Pentester.
Experimentado desarrollador de escenarios de seguridad para
pruebas de concepto. Implementador de servicios de Networking
Telecomunicaciones.
Tiene experiencia en el Mercado de la Tecnologías de Seguridad,
Gestión y Análisis Múltiples amenazas que afectan al orden
Mundial.
Experiencia en Multi-Plataformas de Seguridad ya sean SIEM /
Firewall / Balanceadores / Anti-Virus / Wireless / Layer 2 & Layer 3

3. Agenda
• Introducción al Sistema de Detección de Intrusos SNORT.
• Arquitectura de un IDS.
• Escenarios de Monitoreo de Seguridad.
• Pruebas de Conceptos.
• Detección de Ataques por Backdoor > (Katana-Framework & Empire
Bypass AV)
• Detección de Ataques por SQLi > (Burp Suite & SQLiPy Scan &
SQLMapper)

4. ¿Que es Snort ?
• Snort es un sistema de prevención de intrusiones ( IPS ) de red
de código abierto capaz de realizar análisis de tráfico en tiempo
real y registro de paquetes en redes IP . Puede realizar análisis de
protocolo, búsqueda de contenido y comparación, y puede usarse
para detectar una variedad de ataques y sondas,
como desbordamientos de búfer , escaneos de puertos ocultos,
ataques CGI, sondas SMB, intentos de huellas dactilares del
sistema operativo y más.

5. Snort se puede configurar de tres
maneras:
oModo Sniffer: observará los paquetes de red y los presentará en la
consola.
o Modo de registrador de paquetes: registrará los paquetes en el disco.
o Modo de detección de intrusos: el programa monitoreará el tráfico de
la red y lo analizará contra un conjunto de reglas definido por el
usuario.

6. Estructura de un Sistema de Detección de
Intrusos
Un sistema IDS consiste en una serie de componentes discretos que se
comunican mediante el paso de mensajes. A grandes rasgos se pueden
identificar cuatro
componentes básicos:
o Generador de eventos (E-boxes)
o Motor de análisis (A-boxes)
o Unidades de almacenaje (D-boxes)
o Unidades de respuesta (R-boxes)

7. Diagrama de la arquitectura CIDF
Respuesta
Almacenamiento
Eventos
Análisis

8. Análisis Actual de la Empresas
o Las herramientas de seguridad con las que
cuentan no son suficientes debido a la
amplitud de la red y diversidad de
servicios.
o Cuando se produce un incidente de
seguridad, no se cuenta con información
suficiente para determinar cómo, cuándo, de
dónde y quién provocó dicho incidente.
o No se posee información clasificada de los
eventos detectados por los IDS´s.
o No existe un método formal utilizado para
detectar las vulnerabilidades que tienen los
equipos.

9. IMPLEMENTACION
Y ADMINISTRACION
DE UN NIDS

10. IDS Basado en Red
Monitorea los paquetes
que circulan por nuestra
red en busca de
elementos que denoten
un ataque contra alguno
de los sistemas ubicados
en ella; el IDS puede situarse en cualquiera de los hosts o en un elemento
que analice todo el trafico (como un HUB o un enrutador). Esté donde
esté, monitorizará diversas máquinas y no una sola: esta es la principal
diferencia con los sistemas de detección de intrusos basados en host.

11. IDS Basado en Máquina
Realizan su función
protegiendo un único
sistema; de una forma
similar a como actúa un
escudo antivirus
residente en el sistema
.
operativo, el IDS es un proceso que trabaja en background (o que
despierta periódicamente) buscando patrones que puedan denotar un
intento de intrusión o mala utilización y alertando o tomando las medidas
oportunas en caso de que uno de estos intentos sea detectado.

12. Escenario de monitoreo de Seguridad
• Sensor por Dentro del Firewall:

13. Escenario de monitoreo de Seguridad
• Sensor por Fuera del Firewall:

14. Escenario de monitoreo de Seguridad
• Sistemas Híbridos:

15. DETECCION DE
ATAQUES
BACKDOOR &
POWERSHELL &
BYPASS AV

16. DEMOSTRACION

18. Para la primera demostración que vamos a generar nuestra
carga útil, vamos a trabajar con la primera herramienta
llamada “Katana-Framework”.

19. Ahora comenzamos a realizar los cambios que por
default nos muestra la herramienta, y utilizaremos la
opción “set” para dichos cambios.

20. Ya generada nuestra primera carga útil, vamos
a ingresar al Metasploit y utilizaremos el
módulo de Metasploit llamado “Multi/Handler”.

21. Ahora tan solo tenemos que ingresar al servidor y
validar si el IDS llego a detectar algunas alertas que
se generaron desde la Maquina Atacante.

22. Ahora vamos a trabajar con PowerEmpire que tiene
muchas formas de ejecución que puedes elegir para
lanzar tu ataque.

23. Ya dentro de Empire, vamos generar nuestro
listener llamado “http2”, para eso usamos la opción
de “uselistener http”.

24. Ahora tendremos que asignarle un nombre a
nuestro listener http, en mi caso lo llamaré
“http2”.

25. Ahora validamos que ya se creo
exitosamente nuestro listener tipo http,
llamado “http2”.

26. Ahora procederemos a generar un launcher
powershell tipo http2 que vendría ser nuestro
listener creado.

27. Ahora en la parte final agregamos > | base64 –d,
para poder decodificar los códigos generados por
launcher.

28. ¡Listo! ya tenemos la decodificación
realizada.

29. Ajustar el Código a mi Empire.
Si quieres probarlo necesitarás modificar este código para incluir tus
variables, cambiar clave (key), servidor (server), destino
(target) y cookie.
Para obtener esta información desde Empire ejecuta el comando de
launcher (**powershell launcher **), usa **base64 -d** para decodificar
el script y verificar los valores.
Para compilar, puede usar csc.exe y hacer referencia a
System.Management.Automation.dll.
Ejemplo: guarde su código en PSEmpireStage1.cs y use el símbolo del
sistema del desarrollador.

30. PRUEBAS DE CONCEPTOS USANDO
KATANA-FRAMEWORK & EMPIRE
• Enlace Video 1: https://www.youtube.com/watch?v=N_ORzQtrJ14
• Enlace video 2: https://www.youtube.com/watch?v=Rb-oXxYo9jE

31. Detección de Ataques
por SQLi usando
BURPSUITE

32. Introducción a Burp Suite
Burp Suite es una herramienta
utilizada principalmente para las
auditorías de seguridad en
aplicaciones web, que permite
combinar pruebas tanto automáticas
como manuales y que dispone de un
gran número de funcionalidades.
Creada por la empresa PortSwigger,
dispone de una versión gratuita (Burp
Free) y una versión de pago (Burp
Professional).

33. Principales Funcionalidades
Target: permite fijar un objetivo y construir un SiteMap a partir de
él.
Proxy: un proxy entre navegador e Internet, que permite interceptar
las peticiones e inspeccionar el tráfico.
Spider: una araña que inspecciona las páginas web y recursos de la
aplicación de manera automatizada.
Scanner: Escaner avanzado para aplicaciones web, que permite
detectar diferentes tipos de vulnerabilidades tanto de forma pasiva
como activa.
Intruder: permite realizar automatizar procesos: fuzzing de la
aplicación, ataques de fuerza bruta o diccionario, ataques SQLi, XSS,

34. Principales Funcionalidades
Repeater: permite manipular las peticiones interceptadas,
modificando parámetros y cabeceras de las peticiones para
después replicarlas nuevamente.
Secuencer: permite analizar la aleatoriedad de los tokens de sesión.
Muy útil para obtener cookies y tokens CSRF por fuerza bruta.
Decoder: utilizado para codificar y decodificar parámetros, URLs,
hashes, etc.
Comparer: compara los datos de peticiones y respuestas.
Extender: para customización de plugins y realización de ataques
personalizados.

35. Tienda de BApp
• Tienda de BApp:
La tienda BApp contiene extensiones de Burp que han sido
escritas por los usuarios de Burp Suite para ampliar las
capacidades de Burp.
Puede instalar BApps directamente dentro de Burp, a través de la
función BApp Store en la herramienta Burp Extender. También
puede descargarlos desde aquí, para instalarlos sin conexión en
Burp.
Para nuestra demostración utilizaremos 2 Extensiones Principales
para los ataques de Injection de SQLi y Fuerza Bruta.

36. Extensiones Principales
• CO2: Esta extensión contiene varios módulos para mejorar las
capacidades de Burp.
• SQLiPy SQLMaper Integration: Esta extensión integra Burp Suite con
SQLMap.
Advertencia: tenga cuidado al escanear sitios que no sean de
confianza. El componente SQLMapper ha tenido fallas de inyección de
comandos en el pasado.

38. Ahora debemos de confirmar que la
escucha del Proxy Burp esta activa y
funcionando

39. Ingresamos a la aplicación Web bWAPP y escogemos el
bug llamado “SQL Injection (Login Form / User).

40. Para este prueba utilizaremos la condicional
(login/Password)…
…Pero antes de darle click en “Login”
vamos a activar la intercepción de
nuestro Servidor Proxy, dándole click
en “Intercept is on”.

41. Después le damos click en la opción “Forward”, para
que comience a capturar la sesión desde la aplicación
Web bWAPP.

42. De igual forma, enviamos la sesión
interceptada a las extensiones de SQLiPy Scan
& SQLMapper

43. Al enviar la sesión interceptada, automáticamente nos
enviará a las opciones de la extensión de SQLiPy,
generán-donos de manera automática el proceso de
Injection SQLi.

44. Ahora la extensión de SQLMapper:

45. PRUEBAS DE CONCEPTOS USANDO
BURP SUITE – SQLIPY & SQLMAPPER
• Enlace video 1: https://www.youtube.com/watch?v=h9UJm-
NH7ms
• Enlace video 2: https://www.youtube.com/watch?v=xYTOqzqLrDk
• Enlace video 3: https://www.youtube.com/watch?v=eWUA2t16o_s

46. /in/
/
@

47. Fuentes de
Información

48. Documentacion Snort /IDS/IPS
oEnlace de Referencia Snort:
https://www.snort.org/
o Archivos de reglas SNORT para enumerar los valores definidos de "classtype“:
https://github.com/imifos/python-workspace/blob/master/snort/list_classtypes.py
oAnotomía de una regla Snort:
https://snort-org-
site.s3.amazonaws.com/production/document_files/files/000/000/116/original/Sn
ort_rule_infographic.pdf?X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-
Credential=AKIAIXACIED2SPMSC7GA%2F20181206%2Fus-east-
1%2Fs3%2Faws4_request&X-Amz-Date=20181206T213109Z&X-Amz-
Expires=172800&X-Amz-SignedHeaders=host&X-Amz-
Signature=1f4515732607404cbf981f13db5629f544ab851e1eb74cc6b621ceb90d71
39ac

49. Documentacion Snort /IDS/IPS
oReglas de Detección de Ataques por Brute-Force & Cracking Passwords:
alert tcp $EXTERNAL_NET any -> $HOME_NET 3306
(msg:"Authentication Alerts Attack by Brute-Force"; flags:S;
threshold:type threshold, track by_src, count 5, seconds 120;
flowbits:set,mysql.brute.attempt; classtype:attempt-dos; sid:2001219;
rev:8;)
alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"Detect Brute-
Force MYSQL Attack"; flags:S; threshold:type threshold, track by_src,
count 5, seconds 120; flowbits:set,mysql.brute.attempt; classtype:misc-
attack; sid:2001220; rev:8;)

50. Documentacion Snort /IDS/IPS
oRegla de Detección de Ataques por Backdoor:
alert tcp $EXTERNAL_NET any -> $HOME_NET any
(msg:"BACKDOOR Katana-Framework Connection
Established"; classtype:misc-activity; sid:115; rev:9;)

51. Documentación Burp Suite (Plugins /
SQLiPy & SQLMapper
oEnlace de Referencia de Extensiones Bapp Store:
https://portswigger.net/bappstore
oEnlace de Referencia del Plugin SQLiPy:
https://github.com/codewatchorg/sqlipy
oEnlace de Referencia del Plugin Active ++ Scan:
https://github.com/portswigger/active-scan-plus-plus

52. Documentación de Herramientas de
Penetración
oEnlace de Referencia de Katana-Framework:
https://github.com/PowerScript/KatanaFramework
https://powerscript.github.io/KatanaFramework/
oEnlace de Referencia de Empire:
https://github.com/EmpireProject/Empire/releases