El documento habla sobre el Purple Team, que es el resultado de la dinámica entre el Red Team (equipo de ataque) y el Blue Team (equipo de defensa) a través del aprendizaje de experiencias de ataque y defensa. El objetivo del Purple Team es lograr una ciberdefensa proactiva y efectiva mediante pruebas de penetración, gestión de vulnerabilidades, y aprendizaje conjunto entre los equipos de ataque y defensa.

1. Purple Team, producto de la dinámica del
aprendizaje entre el Red Team y el Blue Team
Por: Rafael Huamán Medina
Nickname: R4Y0H4CK

2. Descargo de Responsabilidad
El material digital de esta presentación y las POC expuestas, tienen
como propósito proveer únicamente información. No se debe aplicar
este material y los conocimientos adquiridos sin consentimiento
explícito del propietario o Director de la entidad a auditar, sólo
mediante un contrato de prestación de servicios de Pentesting, de
acuerdo a ley. Los participantes asumen la responsabilidad completa en
la aplicación o experimentación de las POC presentadas. El autor y
Bsides quedan exceptuados de cualquier reclamo directo o indirecto
respecto a daños que puedan causar por la aplicación de este material
y/o conocimientos expuestos.
La información aquí expuesta representa la opinión y perspectivas
propias del autor respecto a la materia y no representan ninguna
posición oficial de alguna organización asociada.

3. Whoami
Rafael Huamán Medina
Autodidacta
Ingeniero de Sistemas e Informática
Especialista en Seguridad Ofensiva y Defensiva
Experiencia + de 12 horas al día
Nickname: R4Y0H4CK
“El conocimiento te hace libre y te prepara para no perder
frente a los Ciberdelincuentes”.

4. Hackers vs. Cibercriminales
El Hacker es una persona apasionada por la investigación,
comprometido con el aprendizaje para mejorar sus habilidades y
conocimientos, rompe paradigmas para mejorar una tecnología o
sistema, el hacking es un estilo de vida.
El ciberdelincuente es la persona que accede sin autorización a una
red, crackea un sistema o a una aplicación web para realizar actos
ilícitos como modificaciones, robo de base de datos, inyección de
malware y otros; motivados por diferentes razones, como fines de
lucro, por protesta o por desafío.
to crack = romper

5. Las amenazas
• Ataques a Redes Wireless.
• Malware para móviles.
• Azotes de phishing.
• Ataques de ingeniería social.
• Ransomware.
• Cryptomineria, botnets y proxys
• Persistencia con Bootkits.
• Espionaje cibernético.
• Ataques de intrusión física.
• Sabotaje.

7. Purple Team
Es el producto de la dinámica producida entre las acciones realizadas por
el Red Team y el Blue Team, esto mediante el aprendizaje de las
experiencias de ataque y defensa, influyendo la comunicación entre ambos
equipos.
El objetivo:
Ciberdefensa proactiva
y efectiva.
Contraataque.

8. Beneficios del Purple Team
• Aprendizaje y consolidación de Ciberdefensa al 99%.
• Aplicación de pruebas de penetración lógica y física.
• Gestión correcta de las vulnerabilidades lógicas y humanas.
• Evitar el costo del tiempo de inactividad de la red a causa de
una intrusión.
• Cumplir con los requisitos reglamentarios y evitar multas.
• Preservar la imagen corporativa y la fidelidad del cliente.
• Justificar inversiones de Ciberseguridad.

11. IOCs
Los indicadores de compromiso (IoC) es la evidencia de que se ha
producido un ciberataque, como los rastros de actividad en el
sistema y en los archivos de registro
• Tráfico de red saliente inusual
• Irregularidades Geográficas
• Anomalías con cuentas de usuario privilegiadas
• Un aumento sustancial en el volumen de lectura de la base de
datos

12. Threat Hunting
• Threat Hunting = proactivo
• Es un componente esencial de cualquier estrategia de
defensa.
• Los cazadores de amenazas asumen que los adversarios
ya están en el sistema e inician una investigación para
encontrar un comportamiento inusual que pueda indicar
la presencia de actividad maliciosa.

13. Hipotesis – Identificar- Investigar
Nmap scan report for gnu01.egnsa.ml (170.10.8.55)
• PORT STATE SERVICE VERSION
• 80/tcp open http Microsoft IIS httpd 8.5
• 135/tcp open msrpc Microsoft Windows RPC
• 139/tcp open netbios-ssn Microsoft Windows netbios-ssn
• 443/tcp open ssl/http Microsoft IIS httpd 8.5
• 445/tcp open microsoft-ds Microsoft Windows Server 2008 R2
• 2701/tcp open cmrcservice Microsoft Configuration Manager Remote Control service
• 4118/tcp open ssl/netscript?
• 5985/tcp open http Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
• 8007/tcp open tcpwrapped
• 47001/tcp open http Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
• 56301/tcp open unknown
• 65219/tcp open unknown

14. Cyber Threat Management (CTM)
Es un programa de gestión avanzado que permite la identificación temprana
de amenazas, conciencia situacional basada en datos, toma de decisiones
precisas y acciones oportunas de mitigación de amenazas.
Incluye:
• Recopilación de inteligencia manual, automatizada y análisis de amenazas.
• Una metodología integral para el monitoreo en tiempo real que incluye
técnicas avanzadas como el modelado conductual.
• Uso de análisis avanzados para optimizar la inteligencia, generar
inteligencia de seguridad y proporcionar conciencia situacional
• Tecnología y personas calificadas que aprovechan la conciencia situacional
para permitir decisiones rápidas y acciones automáticas o manuales.

15. Red Team

16. Red Team reporta 3 veces en un mes…

17. Parcha tu sistema y sus servicios!

18. • Information Gathering
• Wireless Hacking
• Enumeración – evasión de Firewall
• Ataque de Diccionario a SSH en GNU/Linux
• Ataque con Responder para obtener credenciales en Windows 2008 R2
• Descarga del archivo confidencial
• Validación de credenciales para email.
• Decodificando para descubrir el password
• Develando el mensaje ininteligible.
Laboratorio de Red Team

19. Information Gathering

20. Wireless Hacking

21. Enumeración con Evasión de Firewall

22. Ataque de diccionario a Servidor GNU/Linux

23. Ataque a servidores Windows con Responder

24. Crackeo de hash con Hashcat

25. Decodificando el Password

26. Develando el mensaje

27. Blue Team

28. Go Blue Team – Modelo de diamante

30. Análisis y respuesta
APT

31. Descartar Backdoors y APT

32. Reverse con Meterpreter

33. Threat Hunting automatizado - Oriana

34. Purple Team
 Threat Hunting
 Contraataque
 Entrenamientos en conjunto
 Capacitaciones a usuarios

37. GRACIAS