Thermostats Gone Wild Gaining Domain Admim from an Unsecured HVAC System

y cómo podemos vulnerarlos o aprovecharnos de configuraciones mal implementadas. Para esto tenemos aquí a David. Salud. Un aplauso, por favor. Y bueno, pues bienvenido. Bueno, bueno, bueno. Pues, ¿cómo están el día de hoy? Buenas tardes. [Música] Escalo. Me llamo David David Ramírez. Normalmente me conocen como Dávalo. Este y bueno, les voy a platicar un poquito. Esto como tal es un walhr que tuve durante un penestar un poquito el contexto del pentest, qué fue lo que se encontró y un poquito de los hallazgos que pues justamente fueron directos en este pentest, ¿no? Primero, ¿quién soy yo? No soy este, efectivamente, soy ese. Este soy David Ramírez acá Dábalo. Soy graduado de la carrera de seguridad informática de

redes en Ariteso. Soy de Guadalajara. Llevo más de 7 años ya trabajando en ciberseguridad. Actualmente me especializo como TRLAB Consultant en tester en la empresa de Bertium. Actualmente cuento con certificaciones como el SWA, que es la contraparte de losporganizador de HDL. Así que bueno, ahora sí que si lo conocen, espero que sí. Si no, se los voy a presentar también. Pero bueno, vamos iniciando un poquito contexto. ¿Qué fue? Básicamente este se autorizó a realizar un pentest a un centro médico de cuidados crónicos. fue un penestno como externo. Ahora sí que, ¿cómo? Básicamente el penest se realizó simulando un acceso inicial a la red mediante un dispositivo en sitio que nosotros le llamamos NUC. No se entregó más información.

Básicamente esos eran como los iniciales en los cuales teníamos pues básicamente este la misión de poder encontrar vulnerabilidades. Y digo ya desde el inicio se nos dijo que era un centro médico, por lo cual pues bueno, ya teníamos como ese índice de que iba a ser algo delicado. Fase de reconocimiento parte uno. Yo normalmente en mis fases de reconocimiento durante un pente testo estas fases principales. Primeramente hago un análisis de vulnerabilidades. Este análisis de vulnerabilidades normalmente es como una herramienta ya de análisis de vulnerabilidades como lo puede ser Nesus, como lo puede ser OpenB, inclusive Nucle. Este análisis lo que me da es un layout de landant, básicamente me enseña, me explica directamente qué es lo que está este

directamente en la red, me da IPs, me da puertos, me da ya básicamente un reconocimiento interno de lo que hay. Toda esta información que recopila los salarios y vulnerabilidades, yo la proceso en otros sistemas que justamente son después de hacer el análisis. Básicamente lo primero que hago es un análisis de vulnerabilidades para ver directamente qué es lo que yo tengo que pues ahora sí que concentrarme, ¿no? Mi fase número dos o mi proceso número dos esport scanning. Ese es el proceso pues ahora sí que básico que creo que todos conocemos aquí, el básico NMAP, este inclusive herramienta como mascan y me ayuda como a revisar este IPs más ahora sí que en bulk, más en procesos pues

grandes. Es justamente es una herramienta que pues también me ayuda mucho como a irme este ahora sí que eliminando cosas que no son necesarias agregar y Roscam que es también una contraparta de Map que salió recientemente pero está escrita en Rost. Básicamente esto la verdad que está muy muy padre porque es una herramienta nueva y la verdad muy rápida que sustituye una parte a la herramienta de Map, pero pues bueno, esa ahora sí que es contra otra parte. La parte número tres o mi fase número tres es de screenshoting. Esta es como mi fase preferida que justamente es la parte de tomar capturas de pantalla en servicios web. ¿Por qué? Normalmente, y esto es algo que siempre

he visto en muchos este Pentes que he tenido, que normalmente lo obviamente pues ya cuando empiezas a tener una red, una red empresarial, una red industrial, dejas cosas en los puertos web que son accesos de administración, accesos de consola, accesos de plataforma, accesos de supervisores, etcétera, etcétera, que solamente se acceden en puerto 80443. El hacer el screenshoting o utilizar estas herramientas para sacar actúas de pantalla lo que hace es enfocarme o darme un enfoque a qué es a lo que yo voy a ir a atacar. ¿Por qué? Porque normalmente digo, esto se ve y es algo muy común en la parte web, este, que la parte de de las administraciones web no está vigilado. No está vigilado, no está

bien implementado o puede ser que sea de las cosas que implementaron desde el principio, pero se les llegó a olvidar. Entonces esta parte es como la más importante para mí porque también me da un índice de qué estoy enfrentando. Si hay muchas capturas de pantalla significa que tienen muchos servicios web, tienen muchos supervisores, que tienen muchas consuelas de administración o tienen ya este ciertos servicios que me dan como un indicio de, okay, tienen ya desarrollo interno, tienen servicios que pues puedo yo atacar lo web y sobre eso ya irme dando cuenta de qué puedo o cuál es el camino que me está llevando el PTES. El número cuatro es fingerprinting. Fingerprinting básicamente lo que me da

es ya investigar un poquito más acerca de los servicios que yo tengo internamente. Esto ya manejamos un poco de Google Darking, Shodan o Sensis. No, esto simplemente es como para investigar y esto es más enfocado en la parte externa, ¿no? Como fue un puente interno o externo, este estos servicios lo que hace es básicamente da una información también de lo que tienen por fuera, ¿no? Que normalmente muchas de las cosas que tienen por fuera son cosas que están manejándose internamente pero hacen un work forwarding, ¿no? Yo basado en esto, justamente hice un screenshoting y empecé con vulnerabilidades en este centro médico. Empecé revisando qué es lo que había internamente, qué es lo que tenía mis alrededores, qué era donde

estaba conectada ya la computadora, que es el acceso inicial, este, qué es lo que yo tenía alrededor. Y justamente después del análisis de vulnerabilidades, yo lo corrí en la herramienta Goitness. Goitness lo que hace es justamente lo que pueden ver aquí en pantalla, que es tomar capturas de pantalla a todas las IPs o todos los servicios, servidores en las cuales tenga un puerto HTTPG, puerto 80, puerto 443, puerto 8080, 8081. Con que tenga una bandera http o https, lo que hace esta herramienta es mandarme una captura de pantalla y me la da en un panel de control, como lo pueden ver aquí. Obviamente aquí pues me se treja todo. Yo durante este pente test ya

normalmente pues bueno, conforme vas avanzando ya vas detectando qué es basura y qué no es basura. En este caso, pues empecé a revisar que obviamente las primeras pues eran mensajes de error por la API, por el sistema de de request, por el tipo de request y justamente en muchas ocasiones me entrega información valiosa. Por ejemplo, aquí tengo un control que veo desde aquí, desde la captura de pantalla, que es un login. Acá hab error, acá ve hab otro login, acá ve una pantalla que falta de abrir y sobre eso ya sé cuáles yo voy reservando para poder ir atacando más enfocadas a esas. En este pentex efectivamente lo que hice fue tomar estas dos capuras que dije,

"Okay, vamos a hacer es información valiosa, son servicios ya de plan de inicio se me da un nombre, ¿no? Alertón y en el otro era un tema de Cisco. Yo normalmente a partir de esto empiezo a catalogar todos en mis notas y decir, "Va, ya tengo un inicio de sesión, ya tengo un login, tengo el nombre de la aplicación y inicio la parte de ahora sí que empiezo un poco a pensar qué es lo que puedo hacer, qué es lo que puedo este imaginar o que puedo ahora sí que sacar de esta información. Y empiezo un poco con la fase de reconocimiento parte dos. Esta fase de reconocimiento es básicamente la fase ya de investigación

propia. Esta fase ya es donde tú empiezas a con la información que tienes a base de las capturas de pantalla, tú ya empiezas a revisar pues a qué me estoy enfrentando, ¿no? Como lo vieron en la captura de pantalla tenía dos sistemas en las cuales tenía login y tenía el nombre de esos sistemas. Primeramente necesito saber qué es, qué es alertón, qué es Cisco, este, qué es lo que hace el sistema, cómo funciona. Básicamente saber toda la información de ese sistema para ver a qué me estoy enfrentando. Si obviamente ya tengo un puerto 443 o un puerto 80, significa que tengo que agarrar ciertas administraciones o cierto hay un acceso para hacer ver configuraciones o para

ver algún tipo de información en el sistema, ¿no? Entonces lo que hago pues ya es empezar a ampliar herramientas como lo puede ser Google, como lo puede ser Wiki o como lo puede ser Chat KPT. un simple, ¿qué es esta herramienta? me da una idea de a qué me estoy enfrentando. Después de eso, yo al saber pues bueno, el nombre de la herramienta, ya empiezo a ver el tema de documentación, validaciones, puertos de administración o contraseñas por default que puedan tener esos sistemas, ¿no? Y por último, pues buscar exploits. Obviamente estos sistemas pues son sistemas que no solamente se utilizan este directamente en un solo sitio, sino son sistemas que ya están aplicados con más empresas o varios ahora sí que roles

o dentro de la misma empresa, este, que ya son conocidos, este dentro de ese mismo pues básic hábito, ¿no? Y es justamente aquí donde empiezo a investigar un poquito de Alertón, la primer captura de pantalla que tomé. Veo que Alertón es una herramienta de ahora sí que controles acondicionados inteligentes, que no solamente son aires eh aeros acondicionados inteligentes, sino también lo que hace es automatizar procesos en hospitales. Esto básicamente lo que hace es de obviamente yéndote a OT, que es pues obviamente el tema industrial físico, tratar de automatizarlo haciéndolo IoT, tratarlo de conectar. lo que no se pueda conectar o lo que no venga conectado por default, esta herramienta lo que hace es conectarlo al internet para que tú

puedas tener controles, para que tú ya puedas manejar todo de manera más sencilla, ¿no? Obviamente y dentro de la vida de ciberseguridad, esto lo que hace pues es generar no solamente vulnerabilidades, sino también facilitar la vida a los administradores de estos sistemas. Obviamente me puse a investigar un poquito de esto, cómo se configura, qué es lo que se encuentra, qué es lo que hay. Me di cuenta que el fabricante es Horywell, que es una empresa pues mundialmente conocida por hacer controles automatizados, controles air acondicionados, controles ahora sí que industriales. Entonces, lo que hice fue investigar un poquito más acerca de esta herramienta, ¿no? Curiosamente, y esto es algo que también, por ejemplo, veo en mi plataforma de análisis de

vulnerabilidades, esta plataforma ya me hace un spray, un spray de contraseñas fáciles, admin admin, las contraseñas ahora sí que ya son más comunes, ¿no? Obviamente no hace algo extensivo, pero hace las más sencillas. Yo durante la investigación o durante el proceso de investigación me encontré esta pequeña wiki. Esta wiki me decía, pues bueno, básicamente al parecer las personas que manejan HBAG, que es son ahora sí que todo el proceso de aire acondicionados, tienen su propia wiki. Dentro de esta wiki se manejan pues logins de contraseñas de fou, temas ya más informativos enfocados al aplicativo, ¿no? y me cont esta página en la cual me explica que el user de default es local administrator y la

contraseña es pas. Dije, okay, es una probabilidad pues grande, no creo que vaya a pasar en este pentest complicado, pero vale la pena tachar eso de la lista revisando que no tenga contraseñas de fa. ¿Ustedes qué creen que pasó? Efectivamente, puse a revisar y esta página tenía las contraseñas de fautista instista. Aquí es donde yo ya tengo acceso al sistema de alertón mediante las contraseñas de administrador, porque como vieron el usuario es local administrator. Obviamente todo está bleado con la información que tiene que ver porque esto fue sacado de de un de un pentes, pero justamente se me da este login. Obviamente pues yo veo que es un login viejo, veo que es un login pues

ahora sí que tiene su cosa, pero lo que me empieza a interesar o lo que me empieza ahora sí que bueno, en su momento no lo vi. Debes decir honesto, en su momento no vi la peligrosidad que era tener este acceso hasta que tuve la junta con el cliente para entregarle resultados fue que ellos me explicaron que este sistema de aires acondicionados no solamente es tu aire acondicionado de tu oficina, son los aires acondicionados de los quirófanos, de los centros de donde guardan las vacunas y no solamente manejaban los aires acondicionados, sino también eran los controles de oxígeno de cada una de las habitaciones que ellos tenían pacientes. Obviamente cuando me dijeron esto yo dije, "Uh, estuve

jugando mucho. ¿Y por qué no me dijeron esto? Inicio este obviamente mi pentes no quería que terminara en alguna persona, ahora sí que afectado. Pero también fue que me puse a pensar, ¿qué hubiera pasado que un atacante hubiera obtenido este acceso? Ya aquí estamos empezando a manejar temas que no solamente son paré tu acceso, ahora sí que te se te van a caer tus sistemas, no te voy a dar tu información, si no tus pacientes no van a poder obtener oxígeno, tus centros quirúrgicos no vas a poder hacer operaciones porque necesitan mantenerse ciertas temperaturas. O sea, ya eran temas que yo inclusive me preocupé porque sí estuve jugando mucho, obviamente no en las configuraciones, pero siento que

podía escalar con esto, pero bueno, ahora sí que en parte fue un me sorprendí mucho, obviamente de los resultados, pero fue parte de lo que se fue de lo que ayudó un Pentes, ¿no? Un Pentes ayuda justamente a reparar estas vulnerabilidades antes de que los malhechores o antes de que los atacantes lo puedan encontrar. Obviamente aquí pues obviamente me asusté, si dije, "Wow, esto se ve peligroso, se ve complicado, este, no quiero meterme en problemas, no quiero que me el FBI me esté buscando por que acabé con la vida de alguien por estar jugando al hacker. Entonces, pues bueno, yo lo que hice es básicamente pues ya empecé a ver, okay, yo en mi mente de

Pentex es qué significa que te este acceso. Básicamente lo centré en cuatro cosas. Número uno, podía ver las configuraciones, ¿no? Apagar ventilaciones en áreas críticas. Número dos, a cambiar puntos de control. Como tenía los controles de local admin, pues yo podía ahora sí que cualquier configuración la podía modificar a mi gusto, ¿no? Yo veía que inclusive se puede ver, bueno, no se pueda ver tanto en la pantalla, pero aquí tenía los controles de los ventiladores, aquí en este lado tenía las temperaturas de cada una de las salas y estas eran los códigos que tenían en cada una de las salas. Estos eran los controles de oxígeno. Entonces yo obviamente desde aquí pues yo en mi mente pensaba de que

no no va a hacer nada que se refleje, pero sí podía hacer cambios de puntos de control, alterar temperaturas, quirófano, cortar flujo de oxígeno, etcétera, etcétera. Dentro de la misma plataforma tenían también un control SMTP. Para quien no sepa, SMTP es básicamente el proceso de enviar correos, este, con alertas del propio sistema. Normalmente muchos sistemas conectados a IoT lo que hacen es mandarte alertas de, oye, esto está pagado, esto no está funcionando correctamente. Y lo hacen mediante correo. Esto justamente pues es algo para automatizar también la vida de los administradores de poder tener pues directamente lo que ellos este pues ahora sí que están buscando pues es facilitarse la vida. Entonces tenían ese tipo de lentes y el número cuatro tenía

accesos a lo y credenciales porque obviamente bueno, yo ya sabía que tenían la contraseña de Fou, esta misma contraseña de F. pues probablemente si la tienen en un sistema la tendían en manos. Entonces, yo podía reutilizar esas contraseñas para ver si en alguna otra cuenta podía tener acceso. Hay que recordar que en este pente el objetivo es poder obtener control completo del dominio. Hasta ahorita en este momento, yo no tenía control del dominio. Yo solamente tenía control de este sistema que a pesar de que ya se mostró cetricidad y ya se le detectó o bueno, ya se le explicó este la criticidad que esto conlleva dentro del mismo sistema, yo todavía no tenía acceso al dominio.

Yo todavía seguía solamente con este acceso. ¿Ustedes cuáles creen que de estos cuatro puntos fue la manera en la que yo pude acceder a? ¿Qué le suena? Puede ser configuraciones, reutilización de contraseñas, o puntos de control. Pues ahora sí que, como dicen por ahí, la respuesta nos va a sorprender porque ahora sí que la manera en la que yo puedo tener acceso al dominio fue por un sencillo problema de vulnerabilidad en la misma aplicación. Esta aplicación, como les dije, maneja SMTP. S MTP está hecho para mandar alertas de este sistema a los correos de los administradores. Justamente yo vi este menú, esto es lo que se venía, ahora sí que se tenía configurado este dentro de este mismo menú. Y lo que yo

pude ver es justamente pues bueno, veía las configuraciones, veía que estaba asignado a una cuenta Office 365, puerto 587, que es el puerto común de SMTP. veía que venía una cuenta, venía una contraseña y pues ahora sí que para hacer pruebas del correo, ¿no? Obviamente aquí mi cabeza empezó a dar vueltas, empecé a decir, "Okay, en este necesito crackear eh la base de datos donde se almacena, si viene cifrado, si viene si viene buscada, etcétera, etcétera." No dije, tiene que tener una configuración de bases de datos, tiene que tener dónde estoy guardando estas contraseñas. ¿Cuál fue mi sorpresa? Indagando un poquito más en la página, me di cuenta que si yo le daba clic derecho, inspeccionar, al parecer los

desarrolladores no pensaron que alguien podía hacer algo malo. Básicamente en el input me venía type password, name txt password y en el value me venía el valor de la contraseña, todo guardado en el frontend. El value, pues obviamente era el de la cuenta que se estaba utilizando para correas. Entonces, como tal, no eran los puntitos que normalmente se ve este en la cuenta, no eran estos puntitos, sino directamente estaba guardada estáticamente en el front y yo nada más podía darle clic derecho, inspeccionar y pues básicamente ver la contraseña en texto plano, ¿no? Y muchas veces, y esto es algo también que entra dentro del pensamiento del pen testing, te complicas mucho la vida pensando en

soluciones complicadas, cuando en realidad la solución es tan sencilla como clic derecho y inspeccionar y el baño viene en contra del texto plano. Amo a los desarmadores que cada día me dan más trabajo porque sin ellos me quedaría de verdad con mucha hambre. Entonces, pues bueno, ¿qué tenemos aquí y hasta dónde? Pues básicamente, ¿cuál es el resumen que tenemos actualmente? Pues bueno, obviamente mi reacción fue esta. What the fuck? Honeywell alertón. Esto no es un sistema que está utilizado solamente en un centro, sino en varios centros, pues ahora sí que de automatización. Entonces, pues bueno, básicamente ya estamos adentro, ya tenía una cuenta. Como lo pudieron ver en las configuraciones, esta era una cuenta de

correo, era una cuenta pues Office 365. Yo en mi cabeza dije, 375, vamos haciendo un bloging. Primero me votó porque venía desde IP Mexicana, obviamente esto es, bueno, el vente se hizo una empresa americana, pero me votó porque dice, "Fuchi, México." Este, yo justamente ya lo que hice fue conectarme BPN, conectarme de Estados Unidos y yo sorpresa, me dio acceso. No tenían autenticador de dos factores, no tenían ninguna configuración que protegía el acceso más que con la contraseña. ¿Y cuál es mi sorpresa? ¿Ustedes vieron el nombre que venía a la cuenta? La cuenta tenía nombre Scan Mgr. Obviamente pues el hombre ya me da como cierto cierto hit de lo que me estoy enfrentando y sí era su cuenta de

escaneos que tenían también configurada en la impresora. ¿Qué podía ver yo en este correo? Pues básicamente las recetas médicas que les daban a cada uno de los pacientes con la información personal de los pacientes, números de seguro social, ubicación, domicilio, teléfono, familiares que contacto y obviamente pues todas las medicinas que se les estaban pues ahora sí que resaltando, ¿no? Imagino que este amigo pues el violá le va muy bien. Me imagino que es algo por hacer, lo sepamos solamente por el nombre, pero xy este justamente pues bueno, yo ya tenía un acceso a sus correos. Dije, "Okay, esto ya es efectivamente como le hacen por atrás, este ya es obviamente ya entré dentro del dominio, pero de correos

normalmente, y esto es algo también que ya muchas empresas están empezando a adoptar que hacen un dominio híbrido. ¿Qué significa esto? que conecta su Office 365 con su ACTI directory local. ¿Cuál fue mi sorpresa? Y me seguía llevando sorpresa tras sorpresa de este PT, que no solamente era su cuenta de correo, sino también su cuenta de dominio interro. Adicionalmente con esto, yo empecé a correr eh comandos con la herramienta Net Exec para hacer pues ahora sí que verificar que esta cuenta tuviera acceso al dominio interno. ¿Cuál fue mi sorpresa? Pues que sí me traigo información. Básicamente con esto yo ya estaba empezando detectar un camino por el cual pues podía seguir para poder obtener acceso control de toda la empresa, ¿no?

Yo ya tenía control de su ahora sí que ubicaciones físicas, ya tenía control de sus correos, de lo que enviaban, información privada, clientes, pacientes, ¿qué más faltab? No, pues obviamente el dominio interno, ¿no? El objetivo principal del PTEX. Obviamente con este comando yo lo que hice pues nada más que me diera información de este usuario de dominio. Tristemente este usuario no era domain admin todavía no tenía control completo del dominio, tenía control solamente de este usuario. Y pues bueno, ¿qué es lo que a partir de aquí pues puedo hacer? Básicamente tengo cuatro caminos que digo, obviamente en cada pente es cada penest propia metodología, tiene su propio, ahora sí que manera en la que él puede atacar

esto, pero este es, por ejemplo, mi metodología interna. Esta es mi metodología personal. Yo tengo cuatro caminos. A partir del primero, puedo hacer roasting, que es justamente enumerar SPNs y obtener hashes para luego intentar crackarlos con hashc, ¿no? Esto es complicado, no es muy común obtener pues ahora sí que éxito con esta este con este método. ¿Por qué? Porque normalmente las contraseñas que tú tienes con Kerver Roast son contraseñas difíciles. Cber Roasting lo que hace es atacar cuentas de servicio que obviamente configurar internamente el día en que configure una contraseña, yo puedo obtener el hash de esa contraseña. Obviamente es el hash. Necesito crackearla en hashcat, necesito hacerlo un ataque de fuerza bruta, como se le

dice coloquialmente, para ver si alguna de las contraseñas pues es fácil, ¿no? Esto es muy complicado de poder pues ahora sí que tener éxito, pero sí es una de las posibilidades que se entran dentro de no. Justamente aquí está abajito el comando, es un get usern con el domain user. Estoy utilizando el user y la contraseña y pues ahora sí que el domain control. El segundo es certified, que ahora sí que esto se basa en la numeración de templates, que son justamente vulnerabilidades que de hecho, si fueron a la plática de Active Directory que estuvo aquí abajo en el track 1, estuvo explicando un poquito de lo que es ABCS, que son las últimas vulnerabilidades que han salido en

Active Directory, que si les soy muy honesto, y de hecho tengo otra plática enfocado mucho enas porque es una técnica que a mí me gusta mucho personalmente, es la manera más sencilla de poder lograr en menos de 15 minutos. ¿Por qué? Porque todo ya está dentro del propio sistema Active Directory, viene por default y en muchos sistemas o en muchos Active Directories este viene por default. Ya estoy viendo a varios administradores de sistemas aquí regresando a su active directo y para ahorita para revisar si ya has activado porque sí, efectivamente, esa es una de las durantidades más comunes que he visto en los PTS. Casi siempre este es el camino directo a obtener ¿por qué?

Porque básicamente tú solamente corres un comando, te regresa un hash. Ese hash ya lo puedes utilizar para autenticarte. Igual hay varios procesos porque empiezas a utilizar este vulnerabilidades como el ESS8, ESS4, 1 2 3 este y 7 si no me equivoco, pero el S8 es la más común que es para las webs, pero bueno, no estamos enfocándonos en eso. La tercera es lot herramienta que acá abajo vieron más a detalle, pero básicamente lo que hace es enfocarnos o darnos en grafos, en gráfica, cuáles son los caminos que tú puedes obtener para poder obtener control completo del dominio, para poder ser dominado. Y por último, el password spraying. Obviamente ya una vez dentro del dominio, yo ya

puedo volcar todos los usuarios que se encuentran dentro del dominio y empezar a hacer ataques de contraseña para ver si alguno de los usuarios tiene contraseñas sencillas de adivinar, como lo puede ser Verano 2024. Le sorprendería la ver la cantidad de veces que he visto Verano 204 como contraseña interna. Por favor, no sean de esos. Tampoco diciembre 2024 o mi perrito y mi año de nacimiento, por favor. o por lo menos tengan autenticación de dos factores activado, ¿no? Yo ya tenía cuatro de mis opciones. Mi opción principal o la opción que normalmente siempre hago después de generar o poder obtener acceso al dominio es correrhound. Blockund me genera, ahora sí que lo único que necesito es tener un usuario válido

dentro del dominio y me genera, me saca toda la información de grupos, usuarios, computadoras, la organización, reglas, certificados, absolutamente todo. Para esto hay que utilizar Sharphound, que es básicamente el colector de información de Bloodhound. Tú corres Sharphound con las cuentas de dominio, básicamente es él es el que colecta la información, te genera un punto zip y ese punto zorres en ahora sí que la herramienta de Bloodhound, que es básicamente el gráfico. Obviamente lo que hice en este Pentex fue con la cuenta que ya obtuve o tener pues ahora sí que ya imaginarme o ya no imaginarme, sino ya ver en físico en visual cuáles eran los controles que tenía, los permisos que tenía, básicamente el control que tenía

internamente, ¿no? Y básicamente me dio una pues ahora sí que es un camino, es literalmente el camino más sencillo para poder obtener control completo del dominio o obtener ojo, Bloodhound es una herramienta que siempre siempre se utiliza muy ruidosa dentro de la red que normalmente en en Red Teams es muy raro de utilizar, ¿no? En red teams tú empiezas a hacer queries directos a no utilizas Bloodhound porque es muy ruidoso ¿no? mis compañeros del SO me lo podrán confirmar, pero básicamente las alarmas saltan en el dominio interno siempre. Como este fue un pentes, no fue un red team, el cliente quería saber qué vulnerabilidades tenía, tenía permiso de correr blood, entonces no le importaba el fraajal que hiciera, básicamente

quería obtener cuáles eran las configuraciones malas que tenía en el dominio. Básicamente me dio esto Bloodhound. Blog me dijo, "Okay, tú tienes el usuario Scan MGR, que es justamente el que vemos hasta acá, que está en el grupo GP remove local Minaxis." Desde ahí empecé a decir un grupo que dice remove algo o el típico borrar esto después de implementación, ¿no? Dije, este pentes me sigue sacando risas conforme va avanzando, ¿no? Pues básicamente lo que me explica y lo que justamente este grupo es es que yo tenía local adminadoras en las cuales dentro de esas computadoras dos domain admins, el señor madera, le vamos a decir Wood y el señor local account, tenían una sesión dentro

de la computadora. ¿Por qué es esto peligroso? porque es esto pues ahora sí que genera problemas en el dominio interno. Hay un ataque que ahorita lo vamos a ver más adelante que es un ataque de tumpeo de hashes. Dumpeo, sí, dumpeo de hashes, que lo que hace es tú cuando te logueas dentro de AP Directory con una cuenta, obviamente esa computadora tiene que tener pues ahora sí que el registro el dominio para que tú puedas iniciar sesión. No sé si les ha tocado, pero cuando inician sesión en una computadora en la cual normalmente no iniciaba sesión, les dice preparando tu sesión, preparando tus archivos, preparando configuraciones. Te da como esa línea de carga que te dice,

"Dame chance, te estoy preparando todo el tuyo, ¿no?" Active Directory lo que hace es guardar un hash en esa computadora de manera local en una tabla que se llama LS table, que es justamente la tabla de la red. Creo que hay dos tablas, una SAM table y una LSA table. La SAM es para cuentas locales, la LI es para cuentas de red, en las cuales justamente lo que hace es pues bueno, voy a guardar tu registro. ¿Para qué? Para que si te vuelves a iniciar sesión ya no te esté dando la carga de, oye, necesitas configurar, necesito dejar esto aquí justamente. ¿Y cuál es el peligro de tener esto o cuentas con privilegios altos en un dominio? Pues

básicamente que tú si ya tienes local admin o algún tipo de administrador en esa computadora, básicamente tú puedes domar esa tabla. y obtener un hash. Y ese hash por el maravilloso mundo de Microsoft y Active Directory, tú puedes hacer una track que se llama PAS de hash. Usas ese hash de esa computadora y básicamente suplantas la información de ese usuario para aldearte a todo lo que ese usuario puede hacer. Entonces, básicamente lo que hice yo fue hacer un dumpeo de LS table con la herramienta Neatex. me dumplió justo aquí las que pues todo lo que es como yo tenía local admin en la computadora, pues ya podía hacer lo que hiciera en esa computadora. Lo malo fue que había una cuenta del

domain admin en esa computadora entonces yo básicamente pues ya tenía el hash del señor maneja. Entonces pues bueno, yo dije va, este es el proceso común que se utiliza para poder tener Day. ¿Cuál es el siguiente proceso? Dompear la entdis, hacer un secrets d. ¿Qué contiene el entis? Esto ya se hace directamente en el domain controller, en la máquina o en el servidor que se genera como domain controller. ¿Qué podía hacer yo? Pues yo básicamente tengo que dompear lo que viene en esa tabla, en el ETDIS, porque ahí vienen todos los hashes o contraseñas queita vamos a ver un bonus de todos los usuarios del dominio. Básicamente ahí tengo control completo del dominio, tengo control completo de

cada uno de los usuarios del dominio haciendo este toping. ¿Cuáles son los requisitos? Pues básicamente ser dominado. Digo, ahorita vamos a ver más en específico cuál es. Oh, sorpresa. Yo quería hacer un secret stop, pero no me dejaba. Dije, "Okay, lo más probable es que tengan algún antivirus, algún DDR, alguna protección que me esté bloqueando, porque esto, como lo dije, esto ya es hacer ruido dentro del dominio. Ya no estoy diciendo silencioso, ya quiero que me estén viendo." Obviamente, pues ya aquí dije, "Chí, voy a tener que hacer algún bypass, voy a tener que hacer alguna cosa, ¿no?". Entonces, aquí mi mentalidad cambió. ¿Cuáles son nuestras opciones? Básicamente aquí se limitó a cuatro. Y aquí situaciones como estas

son las que hacen la mentalidad de un penestre, porque obviamente como ustedes pueden ver pues es fácil encontrar este tipo de modalidades, pero es difícil buscarlas, es difícil encontrarte la situación en la que ah porque yo hice análisis vulnerabilidades, me salió screenshoting, encontré la wiki donde vendía la contraseña de Fou, metí la wiki y a partir de ella tuve acceso. No es fácil llegar a esa conclusión. O sea, son vulnerabilidades que sí suenan sencillas, pero no es fácil llegar a ellas porque hay un proceso detrás que justamente con la experiencia te vas haciendo o te vas forjando directamente. Aquí yo ya tuve cuatro opciones de las cuales podía yo aplicar. Intentar alternativas de recolección. Esto ya

empieza pues a utilizar herramientas de evasión, ofuscar este ver la manera de pues ahora sí que hacer un bypass al EDR, que en este caso era Windows Defender, hacer persistencia y movimiento lateral silencioso, hacer el uso de herramientas ST C2 o Bicol, que ya es empezar a utilizar temas más de red team, más enfocados ahora sí que en dejar pues algún beacon, algún punto de acceso y moverme lateralmente o volver otra vez como un paso atrás para moverme lateralmente algún otra cuenta que sí tenga suficiente perros o hacer una recopilación de información desde el Active Directory, regresarme a Bloodhound y revisar cuáles otros permisos tengo yo que me pueden servir para pues ahora sí que hacer un bypass.

Justamente eso fue lo que hice. Me regresé a Bloodhound y dije, "Va, vamos a ver cuáles son los permisos que tiene el señor Madera." El señor Madera tiene más permisos que yo de tiempo en este planeta. Y básicamente, ¿cuál es el peligro o cuál es el peligro de estos permisos? pues yo podía, como ya tenía control de su cuenta, yo podía ver qué permisos este yo tenía sobre esta misma cuenta, ¿no? Uno de esos permisos es justamente que yo tenía reboot desktop en el domain controller. Dije, "Va, vamos a ver a qué me estoy enfrentando, ¿no? A qué DR, a qué super antivirus me estoy enfrentando." Pues básicamente me estaba enfrentando a un Defender. Dije, "Okay,

es un Defender, vamos a intentar algo sencillo. ¿Qué pasa si yo lo apago?" Oh, sorpresa, lo podía pagar. Básicamente no tenía ninguna ninguna contraseña de desinstalación, contraseña de desactivación, no estaba managest, no tenía absolutamente nada para poder pues ahora sí que generar una protección. Entonces yo simplemente podía pagarlo y sorpresa ya hacia el doping. Esta es una pues ahora sí que es un proceso de dompeo de L ya directamente desde el mismo Windows. El requisito es tener pues ahora sí que que no tenga credencial wireless protection que yo ya sea domain admin y básicamente es hacer este proceso task manager details. Buscas el proceso de elsas.exex, Excel, clic derecho y generas un punto de MP y

básicamente lo desencriptas o básicamente lo ves en visualmente en Pippats y básicamente eso fue lo que hice. S admin pipicats y con eso pude también tener control completo del secles dom y dompear cada una de las hashes que venían del otro dominio. ¿Cuál fue mi sorpresa? Y este es un bonus que había otra vulnerabilidad en el dominio en la cual la tabla de LI no venía encriptada. como normalmente viene. ¿Cuál es el problema con esto? Que yo podía generar esto, una lista con todas las contraseñas en texto plano de cada uno de los usuarios. Y me gustó este ejemplo porque este usuario fue seguro Goku Kakarot, este contraseña segura, sí, una seña muy segura, pero pues obviamente

cuando tienes este nivel de acceso pues ya. Entonces, pues básicamente esto fue el proceso de como de un login o un dashboard de Aceback pude poder pude tener control completo de una empresa desde su lado pues ahora sí que físico hasta su lado de active director. Muchas gracias. Yo soy la

Pues un aplauso, chicos. Qué interesante. Bueno, es momento de abrir eh nuestra sesión de preguntas y respuestas. Recuerden levantar la mano y yo voy a darles el micrófono.

A ver, de este lado. Este, muchas gracias por la plática. Estuvo increíble, ¿eh? Ah, no es una Este, eh, hubo un caso muy sonado hace 12 años, el ataque de target de Hbad, que también fue un fue un supply chain attack. Este, se me hace muy alarmante 2 años después siguen pasando ese tipo de incidentes. Tú como P tester, ¿cuál es tu recomendación para ese tipo de pues partners o contratistas para evitar ese tipo de ataques en un futuro? Mira, si si es muy complicado tener un control, obviamente tú dependes de un ahora sí que de un contratista o un proveedor de este servicio que obviamente pues tú confías en él, tú crees que lo va a configurar de manera

segura, de manera correcta, entonces no hay como tal una protección que te pueda hacer, digo, si tú te fijaste no había configuraciones de seguridad más que cambiar la contraseña de ese dog para yo poder obtener control y obviamente pues ya la plataforma que ya es alert podía haber la contraseña de la cuenta en texto plano es muy complicado. Básicamente tú tienes que hacer un hardening de tu dominio y empezar a limitar accesos que puedan tener este tipo de cuentas o usar cuentas para que solamente utilicen el servicio, por ejemplo, de mandar correos y nada más. no pueden tener control a la bandeja de entrada, no pueden tener control al botón interno, o sea, no pueden tener

control de absolutamente nada. O ya sería este ahora sí que bueno, a platicar con tu proveedor de de ciberseguridad y tener pues ahora sí que herramientas de NDR, herramientas de monitoreo, tener un SOC detrás de ti, que es justamente la única manera en la que puedes empezar a detectar que hay alguien malicioso en tu retiro. Ya hacía las cosas, ya hacía eso, pero oficial. S otra pregunta. ¿Quién tiene más preguntas? Desece la manita. Creo que ya adelante. Okay. Hola, ¿qué tal? Muchas gracias por la plática. Eh, solamente tengo unas preguntas. Por ejemplo, generalmente las metodologías de pruebas de penetración se dividen en cuatro o cinco fases dependiendo del autor y van desde el reconocimiento pasivo, activo, eh, explotación manual,

porque en tu caso, en la primera fase, comenzas con neos o herramientas que pueden generar mucho tráfico y alertamientos a un solo. Justamente como básicamente para el contexto de esto era hacer un pentes. Normalmente los PTEs interno externo, el cliente ya sabe que se va a hacer un Pentes, no estamos probando como tal su proveedor de SOC, no estamos probando sus protecciones, sino solamente quiere ver qué vulnerabilidades hay internas que le pueden afectar a un futuro. Entonces justamente como yo no quería y normalmente esto se hace en muchas pentes, no te preocupas mucho en servidoroso porque el cliente lo pide quiere un pentés. Si el cliente, por ejemplo, me hubiera pedido un red team, hubiera tenido que estar haciendo

escaneos individuales, hubiera tenido que estar haciendo la mínima cantidad de redes, cambiarme de host para que no me detecte la cantidad de ahora sí que gigas dentro de su fallo estuve haendo internamente, etcétera, etcétera. Pero como fue un PS interno, básicamente yo tenía ahora sí que la quote de qué podía hacer yo internamente en su no importaba que mandara alertas, eso era lo que buscaba el también probar qué es lo que está detectando. O sea, él básicamente me dio permiso de lo que quieras. Gracias.

¿Quién más lado? [Música]

Bueno, pues creo que son todas. Agradecemos mucho a David. Un aplauso, por favor.

Y un anuncio extraoficial, chicos. Allí abajo en la cafetería va a haber café gratis, eh, por si quieren ir a echar su cafecito y regresar, ¿vale? Una cosa, una cosa extra, este, como también mi compañero anterior regaló un batch, pues yo también soy organizador de Hedel, voy a regalar otro batch. Este, ¿cómo lo voy a regalar? ¿Quién fue el primero que preguntó? Ah, tú no. ¿Quién fue el segundo que preguntó? ¿Dónde está la sudera rosa? Sudera Rosa, pues hacer tu segunda pregunta. Te toca un lápiz. ¿Te puedes acercar aquí con el chavo que está levantando la mano en este momento? Él el de blanco. Ese ese. Ahorita te lo damos. Muchas gracias a todos. [Aplausos]