sábado, 31 de diciembre de 2022

Fin de Año 2022

En Seguridad Jabalí no despedíamos el año desde el 2019, y es que han sido unos años extraños, durante este tiempo han sucedido muchas cosas, a nivel profesional y personal, proyectos que se han cumplido, otros que no funcionaron como se esperaba y muchos nuevos proyectos e ilusiones para este año que llega.

Pero sobre todo ha sido una época de aprendizaje, quizás en los tiempos duros es cuando mas reflexionamos, paramos de correr por un momento y nos detenemos a pensar.

En mi caso personal, me he detenido a pensar, a plantearme muchas decisiones, a escoger como quiero que sea mi vida, y después de todo este periodo, no quiero hablar hoy de proyectos profesionales, de metas o aficiones, solo quiero desearos lo mejor para estas fiestas, que disfrutéis de vuestros seres queridos, amigos y familia, y que os aferréis a esos momentos compartidos,.....tiempo habrá después para todo lo demás.

 


¡Que este 2023 sea vuestro mejor Año!!


Seguridad a lo Jabalí para Todos!!

sábado, 24 de diciembre de 2022

WinObj

WinObj es una utilidad gráfica que permite visualizar de forma jerárquica el manejador de objetos de Windows (Windows’ Object Manager), cada tipo de objeto pertenece a un determinado recurso, memoria, registro, semáforo, enlace simbólico, etc. La herramienta ofrece la posibilidad de copiar el nombre de un objeto, el nombre completo o el enlace simbólico, si es que lo tiene, también dispone de opciones de búsqueda en el menú Find o con las teclas Ctrl+S o Ctrl+F, que corresponden con la opción de búsqueda y búsqueda rápida respectivamente.


WinObj no dispone de versión mediante línea de comandos, se puede ejecutar en modo 32 o 64 bits, y como usuario sin privilegios o como administrador. El siguiente comando permite ejecutar WinObj como system, esto permite ver objetos que no están disponibles, ni siquiera, ejecutando la utilidad con privilegios de administrador.

./psexec64 -sid C:\SysinternalsSuite\Winobj64.exe


Una de las utilidades de WinObj es la búsqueda de mutantes o mutex en el sistema, un mecanismo que ayuda a que solo se ejecute una única instancia de un programa, algunos tipos de malware utilizan esta técnica para evitar la ejecución de más de una instancia o incluso para prevenir el acceso de otros programas maliciosos.


La estructura de cada objeto tendrá un nombre para identificar dicho elemento y un Security Descriptor, que se puede revisar en las propiedades de cada objeto, todos estos elementos están catalogados en la ruta \Sessions\BaseNamedObjects

Otras ubicaciones interesantes en la jerarquía de WinObj son:
\Sessions\Nro\AppContainerNamedObjects\SID
\Sessions\0\DosDevices\LUID
\GLOBAL??
\KnownDLLs
\KnownDLLs32

Seguridad a lo Jabalí para Todos!!

viernes, 23 de diciembre de 2022

AccessEnum

La Suite de Sysinternals es un conjunto de herramientas conocido por todo el mundo, pero casi siempre se habla de Process Explorer, Process Monitor, PsTools, etc. Hoy en www.seguridadjabali.com os hablamos de AccessEnum, una utilidad muy interesante.

AccessEnum realiza un escaneado de los permisos del sistema de archivos o el registro, esta búsqueda puede ser en todo el sistema o configurar una parte específica del sistema de archivos o una determinada rama del registro. Es importante conocer como realiza la utilidad esta recopilación de datos, por defecto, muestra los directorios que tienen permisos diferentes al directorio padre y los archivos con permisos menos estrictos que el directorio que los aloja. Además, los archivos de sistema y cuentas de servicio no se incluyen en esta búsqueda. Como se muestra en la siguiente imagen, todas estas opciones de escaneado se configuran en el menú Options.

En el menú de ayuda, la opción Contents explica las condiciones de búsqueda y comparación en detalle y explica la forma en la que realiza el escaneado. Una vez realizada la búsqueda se puede ordenar de manera ascendente o descendente en cada una de las columnas pulsando sobre la cabecera de la propia columna varias veces, también se puede ver las propiedades de un elemento, excluir de la pantalla ese elemento o abrir la ubicación (registro o archivo) con la opción de Explore, todas estas opciones están en un menú haciendo click con el botón derecho sobre cualquier elemento de la búsqueda.

Una de las opciones mas interesantes de esta herramienta es la posibilidad de hacer una determinada captura, para almacenar en un archivo.txt y utilizar ese archivo para realizar una comparación con un escaneo posterior.

En la imagen anterior se realiza una comparación con el estado de una carpeta, llamada confidencial, respecto a una captura del estado de los permisos de ese mismo elemento en un momento anterior en el tiempo. AccessEnum permite de esta manera, realizar una captura del estado de los permisos del sistema de archivos o el registro, o una parte especifica de estos, que puede servir como línea base para comparar si ha habido modificaciones de esos elementos posteriormente.

Seguridad a lo Jabalí para Todos!!

viernes, 18 de noviembre de 2022

PsKill Vs TaskKill El Assassin de Procesos

Matar un proceso es una tarea bien conocida en el mundo de la informática, por diferentes motivos, casi todos los profesionales o apasionados de la tecnología han tenido que eliminar un proceso.

Existen múltiples herramientas que permiten suprimir la actividad de uno o varios procesos, en Windows el propio Administrador de Tareas, Process Explorer y otras tools de la suite de Sysinternals permiten realizar esta tarea desde el entorno gráfico, pero en algunas ocasiones es necesario eliminar procesos desde la consola o línea de comandos y una de las utilidades mas conocidas es PsKill de PsTools, un software de la suite de SysInternals para trabajar desde una shell.

Quizás no sea la mejor opción para matar procesos, y si te digo, que hay un killer mejor para esa tarea y ademas esta integrado dentro del sistema operativo Windows, el Assassin de los Procesos es TaskKill.

 

PsKill es una utilidad fantástica, pero esta escrita hace mucho tiempo y en las últimas versiones de Windows existen procesos de sistema que están protegidos, las limitaciones por el control de cuentas de usuario, ademas de las limitaciones asociadas a la ejecución en un dispositivo remoto, aunque hay trucos, como utilizar PsExec con la opción -s para ejecutar como System, esta utilidad esta muy limitada. Las opciones disponibles son:

PS C:\pstools> ./PsKill -?

Usage: pskill [-t] [\\computer [-u username [-p password]]] <process ID | name>
     -t    Kill the process and its descendants.
     -u    Specifies optional user name for login to
           remote computer.
     -p    Specifies optional password for user name. If you omit this
           you will be prompted to enter a hidden password.
     -nobanner Do not display the startup banner and copyright message.


En el otro lado del ring tenemos un programa que esta integrado con el propio sistema operativo, disponible desde cmd o Windows PowerShell y con muchas mas opciones, el Assassin de Procesos por derecho: TaskKill. Y sus opciones son:

PS C:\> TaskKill /?

TASKKILL [/S sistema] [/U usuario [/P [contraseña]]]]
         { [/FI filtro] [/PID IdProceso | /IM NombreImagen] } [/T] [/F]

Descripción:
    Esta herramienta se usa para terminar tareas mediante el Id.
    de proceso (PID) o nombre de imagen.

Lista de parámetros:
  /S    sistema            Especifica el sistema remoto al que conectarse.

  /U    [dominio\]usuario  Especifica el contexto de usuario en el que
                           el comando debe ejecutarse.

  /P    [contraseña]       Especifica la contraseña para el contexto de
                           usuario dado. Pide entrada si se omite.

  /FI   filter             Aplica un filtro para seleccionar un conjunto de
                           tareas. Permite el uso de "*". ej. imagename eq
                           acme*

  /PID  processid          Especifica el PID del proceso que debe terminarse.
                           Use TaskList para obtener el PID.

  /IM   nombre de imagen   Especifica el nombre de imagen del proceso que
                           se va a terminar. Puede usarse el comodín '*'
                           para especificar todas las tareas o nombres de
                           imagen.

  /T                       Termina el proceso especificado y todos los
                           procesos secundarios iniciados por él.

  /F                       Especifica terminar forzosamente el proceso.

  /?                       Muestra este mensaje de ayuda.

Filtro(s):
    Nombre filtro     Operadores válidos         Valores válidos
    ------------              ------------------             -------------------------
    STATUS                 eq, ne                           RUNNING |
                                                                       NOT RESPONDING | UNKNOWN
    IMAGENAME       eq, ne                           Nombre de imagen.
    PID                       eq, ne, gt, lt, ge, le       Valor de PID.
    SESSION              eq, ne, gt, lt, ge, le       Número de sesión
    CPUTIME            eq, ne, gt, lt, ge, le        Tiempo válido en el formato
                                                                      hh:mm:ss.
                                                                      hh - horas,
                                                                      mm - minutos, ss - segundos
    MEMUSAGE        eq, ne, gt, lt, ge, le       Uso de memoria en KB.
    USERNAME         eq, ne                          Nombre de usuario en formato
                                                                     [dominio\]usuario.
    MODULES           eq, ne                          Nombre de DLL
    SERVICES            eq, ne                          Nombre de servicio.
    WINDOWTITLE   eq, ne                          Título de ventana.
 
  NOTA
  ----
  1) El comodín '*' para el modificador /IM se acepta solo cuando se aplica
     un filtro.
  2) Los procesos remotos se terminarán siempre forzosamente (/F).
  3) Los filtros "WINDOWTITLE" y "STATUS" no se considerarán cuando se
     especifique un equipo remoto.

Ejemplos:
    TASKKILL /IM notepad.exe
    TASKKILL /PID 1230 /PID 1241 /PID 1253
    TASKKILL /F /IM cmd.exe /T
    TASKKILL /F /FI "PID ge 1000" /FI "WINDOWTITLE ne untitle*"
    TASKKILL /F /FI "USERNAME eq NT AUTHORITY\SYSTEM" /IM notepad.exe
    TASKKILL /S sistema /U dominio\usuario /FI "USERNAME ne NT*" /IM *

 

La diferencia de opciones disponibles es evidente, sobre todo destaca la cantidad de filtros disponibles para TaskKill, lo que permite que la utilidad sea mucho mas versátil a la hora de eliminar uno o varios procesos.

Seguridad a lo Jabalí para Todos!!

lunes, 24 de octubre de 2022

Master en Hardening de Sistemas Windows

Hace un año el equipo de Hack by Security me propuso colaborar con ellos para diseñar y preparar varias formaciones sobre seguridad con tecnologías de Microsoft. El resultado de este proyecto es el Master en Hardening de Sistemas Windows, que permite conocer en profundidad las características y servicios del sistema operativo Windows y configurar la seguridad de estos elementos en un entorno profesional.

En realidad, este máster se compone de dos cursos individuales, Máxima seguridad en Windows, orientado a los aspectos de seguridad del sistema operativo Windows y Hardening de Servidores, diseñado para mostrar los aspectos de seguridad en los entornos y servicios empresariales.
 


En estos cursos proporcionamos una perspectiva, completa y actualizada de la seguridad en entornos de Microsoft, con infinidad de ejemplos prácticos y demostraciones de la configuración de entornos profesionales e infraestructuras complejas donde se aplican las más modernas técnicas de seguridad de Windows y Windows Server.
 
El índice de títulos de la formación es:
  • Seguridad física
  • Seguridad del Sistema Operativo
  • Seguridad del Software
  • Seguridad del Navegador
  • Seguridad de los Datos
  • Gestión de la seguridad informática
  • Monitorizar el sistema
  • Estructura de un dominio
  • Objetos de Directiva de Grupo GPOs
  • Gestión de Identidades
  • Características para la protección de identidades
  • Proteger la Ejecución de código
  • Roles y Servicios de seguridad
Master en Hardening de Sistemas Windows es una formación online que permite aprender a tu ritmo, ver las demostraciones una y otra vez para seguir las prácticas y aprender igual que en un entorno real, amplia tus conocimientos sobre seguridad y tenologias de Microsoft y mejora tu perfil profesional con estos cursos.

 
Seguridad a lo Jabalí para Todos!!

sábado, 8 de octubre de 2022

Jailhouse HBSCON 2022

El viernes de la próxima semana habrá un evento muy especial en Segovia, para mi es un privilegio participar en estas charlas, que como os podéis imaginar serán de Hacking y Seguridad Informática.

Esta va a ser una conferencia diferente, con unos ponentes de lujo: Pablo González, Andrés Naranjo y Rafael García, profesionales con muchas tablas a los que admiro mucho, pero ademas, va ser en la Cárcel de Segovia y por si fuera poco tendremos un Escape Room, ¡Ya veremos si salimos todos o alguno se queda cumpliendo condena hasta la CON de 2023!!!

 

Hay un aforo muy limitado, así que reserva tu plaza, porque es necesario registro:

Jailhouse HBSCON Viernes 14 de Octubre
https://www.hackbysecurity.com/eventos-formacion/evento-carcel-de-segovia
https://escaperoom.hbscon.com/


¡¡¡Nos vemos el Viernes 14 en Segovia!!!

Espero que no falte nadie, porque voy a pasar lista...

Seguridad a lo Jabalí para Todos!!

martes, 20 de septiembre de 2022

AsturCON 2022 La conferencia de Seguridad y Hacking en Asturias

Este fin de semana la cita imprescindible para hablar de seguridad informática y hacking es AsturCON en Oviedo en el Principado de Asturias, por fin un grupo de profesionales y apasionados por el hacking y la seguridad informática se ha puesto manos a la obra para organizar una conferencia en Asturias.

La Organización para la Investigación en Ciberseguridad Ofensiva (ORICIO.org) es una asociación sin ánimo de lucro formada en su mayoría por especialistas en Ciberseguridad de las Tecnologías de la Información y la Comunicación. Promovemos la concienciación y formación en materia de Ciberseguridad, así como el contacto entre instituciones académicas, su alumnado, el mundo empresarial y el institucional.

El evento empezara el Jueves 22 con un HackAndBeers en Rocket Rock Club C/Oscura, 27 Oviedo.

El Viernes 23 y Sábado 24 los eventos estarán distribuidos entre la Escuela de Ingeniería Informática y el Auditorio Príncipe Felipe, muy cerquita uno del otro.

Un excelente grupo de ponentes, más de 20, nos hablaran de seguridad y hacking en la industria, la salud y otras disciplinas, entre estos profesionales hay algunos viejos amigos de Seguridad Jabalí como Juan Partearroyo, Aarón Flecha o Joaquín Molina por aka @kinomakino, así que, por supuesto que estaremos en AsturCON, ademas el equipo de Hack by Security estará colaborando con materiales de 0xWord y MyPublicInbox ¡Nos vemos!!

Info en:

https://asturcon.tech/

https://twitter.com/AsturCONtech

¡Note lo puedes perder!!

Seguridad a lo Jabalí para Todos!!

martes, 26 de julio de 2022

Master en Ciberseguridad y Seguridad de la Información MCSI de la UCLM

Está abierta la matrícula para el Master en Ciberseguridad y Seguridad de la Información MCSI de Universidad de Castilla-La Mancha UCLM, disponible en https://mcsi.uclm.es

Una de las primeras titulaciones oficiales de Seguridad Informática, primero como título propio y posteriormente como Master Oficial, en total 8 ediciones participando como profesor y ayudando a preparar a los nuevos profesionales de uno de los sectores con más demanda de profesionales cualificados.

En la imagen puedes ver el temario del Master https://mcsi.uclm.es/temario :

La matrícula incluye:

  • Título de Master emitido por la UCLM, superadas todas las asignaturas.
  • Certificación Ethical Hacking CEH o Computer Hacking Forensic Investigator CHFI o Certified Network Defender CND (a elección del alumno), todas ellas de EC-Council, si se supera el examen de certificación.
  • Certificación CCNA Security, si se aprueba la prueba de certificación.
  • 5 libros de la editorial 0xword.
  • Material Hardware: Para la asignatura Seguridad en IoT y Hardware Hacking.
  • Curso online de orientación profesional en ciberseguridad y certificaciones.
  • Feria de empresas.
  • Tasas de expedición del título y el envío de éste al domicilio una vez emitido.

Un excelente equipo de profesionales forman el grupo de profesores que impartirán este Master, si estas interesado en realizar esta formación, no esperes más...
¡Te esperamos!!

Universidad de Castilla-La Mancha UCLM
Master en Ciberseguridad y Seguridad de la Información MCSI

 

martes, 5 de julio de 2022

Sixth Microsoft MVP

Todos los años Julio es un mes especial para todos los galardonados con los premios de Microsoft MVP, este reconocimiento se renueva anualmente y es en el mes de Julio cuando se notifica si se concede o se renueva el premio, por lo que es un día muy emocionante y en mi caso después de seis premios me siento igual de ilusionado que la primera vez...

En Julio todos estamos pendientes, cada año, del correo electrónico que anuncia la renovación del Microsoft MVP, una alegria y un momento muy especial...

¡Muchas felicidades a Tod@s los premiados!!

Seguridad a lo Jabalí para Todos!!

jueves, 31 de marzo de 2022

Microsoft Labs ISO Windows Server

En las formaciones es habitual utilizar laboratorios con máquinas virtuales para realizar las demostraciones técnicas de configuraciones y el funcionamiento de caracteristicas y servicios. Microsoft proporciona versiones completamente funcionales de sus productos, para aprender a utilizar sus sistemas operativos: Windows o Windows Server, por ejemplo:

https://www.microsoft.com/en-us/evalcenter/evaluate-windows-server-2022
https://www.microsoft.com/en-us/evalcenter/evaluate-windows-11-enterprise

La ISO de Windows Server permite utilizar el sistema operativo durante un periodo de 180 días, lo que permite realizar varias configuraciones y conocer el ssitema en profundidad.

Es posible extender el tiempo de validez de las licencias de estas ISOS mediante el comando: slmgr -rearm como se aprecia en la siguiente imagen. 
Microsoft proporciona otros entornos donde estaran disponibles sus productos, como Microsoft 365, Azure, ademas de una plataforma de formación gratuita, en estos cursos se habilita la parte práctica con laboratorios interactivos para aprender a utilizar diversas tecnologías de Microsoft.

https://docs.microsoft.com/es-es/learn/browse

Uno de los aspectos más interesantes de estos cursos, son sus laboratorios de Microsoft Azure, que generan espacios virtualizados para realizar las prácticas, sin la necesidad de utilizar el propio equipo o una suscripcion personal de Azure.

Una excelente forma de aprender a configurar los recursos de sistemas operativos o servicios en la nube de Microsoft, de una forma totalmente gratuita.

Seguridad a lo Jabalí para Todos!!

viernes, 18 de marzo de 2022

Microsoft Server Message Block SMB

¿Qué es SMB?
SMB es el protocolo de intercambio de archivos que utilizan los sistemas operativos cliente y servidor de Windows
Cada nueva versión tiene características adicionales:

  • SMB 3.0 Beneficios en rendimiento.
  • SMB 3.0.2:
    • Servidor de archivos escalable
    • Posibilidad de deshabilitar SMB ver.1.x
  • SMB 3.1.1:
    • Opciones de Pre-autenticación
    • Cifrado SMB
    • Mejoras en opciones de Cluster

 

Características de SMB 3.0 en Windows Server 2012:

  • SMB Transparent Failover  
  • SMB Scale Out  
  • SMB Multichannel  
  • SMB Direct
  • SMB Encryption.
  • VSS for SMB file shares  
  • SMB Directory Leasing
  • Windows PowerShell commands for managing SMB

Características de SMB 3.1.1 en Windows Server 2016:

  • Preauthentication integrity
  • SMB Encryption improvements
  • Cluster Dialect Fencing
  • The removal of the RequireSecureNegotiate setting
  • The x.y.z notation for dialects with a nonzero revision number

 Nuevas caracteristicas de seguridad en Server 2019 y siguientes:

https://docs.microsoft.com/en-us/windows-server/storage/file-server/smb-security

Uso de PowerShell para habilitar el cifrado SMB:

Para un archivo compartido existente:

Set-SmbShare –Name <sharename> -EncryptData $ true

Para cifrar todo el uso compartido en un servidor de archivos:

Set-SmbServerConfiguration –EncryptData $ true

Para crear un nuevo recurso compartido de archivos SMB y habilitar el cifrado SMB simultáneamente:

New-SmbShare –Name <sharename> -Path <pathname> –EncryptData $ true

Deshabilitar la compatibilidad con SMB 1.x utilizando Windows PowerShell:
Para Windows 7, Server 2008 R2, Windows Vista y Windows Server 2008:

Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB1 -Type DWORD -Value 0 –Force


Para Windows 8 , Windows Server 2012 o versiones posteriores:

Set-SmbServerConfiguration –EnableSMB1Protocol $ false


Para desinstalar SMB 1.x de Windows 8.1 y versiones posteriores:

Remove-WindowsFeature FS-SMB1

En el siguiente video se muestra la configuracion del protocolo SMB y sus configuraciones de seguridad...


Seguridad a lo Jabalí para Todos!!

Archivo del blog

Consultor e Instructor de Sistemas y Seguridad Informática en Asturias