We trust in security

Blog

We trust in security - Blog
José Miguel Colmena
Pentesting, reversing y ejercicios de Red Team en la RootedCON 2019

Los pasados 28, 29 y 30 de marzo, el equipo técnico de Ackcent estuvo presente en la X edición de la conferencia RootedCON 2019, que tuvo lugar en Madrid. Durante esos días disfrutamos aprendiendo con las distintas ponencias, en las que grandes speakers como David Meléndez, Alfonso Muñoz, Sheila Ayelén Berta o Carlos García ilustraron tendencias, metodologías y nuevos vectores para ataques, así como diversas investigaciones.

Entres las distintas ponencias a las que asistimos podemos destacar las siguientes:

- Fuzzing and Reversing your Car: Are you sure? En esta ponencia, Amador Aparicio de la Fuente" dio continuidad a su ponencia, presentada en el congreso Navaja Negra Conference, en la que mediante fuzzing consiguió enviar órdenes a través del CAN BUS de un coche, obteniendo mediante ingeniería inversa, el software de una central electrónica de un coche (ECU) e inferir las tramas a inyectar en el bus de datos.

- Pentesting Active Directory Forests. Continuando con su ponencia presentada el año pasado en esta misma “CON”, Carlos García amplió el espectro de pentest en entornos de directorio activo a aquellos en los que no solo se dispone de un árbol de directorio, sino que nos encontramos ante distintos forest con diferentes relaciones de confianza entre ellos, estableciendo una aproximación a una metodología para la realización de un test de intrusión sobre estos entornos.

- Beam me up, Scotty!. En esta ponencia, se presentó una herramienta para permitir la transmisión de shellcodes en metadatos, impartida por Manuel García Cárdenas y Álvaro Villaverde. En un entorno de test de intrusión dónde no es posible obtener distintos binarios para la realización del pentest debido a elementos de seguridad perimetral como proxies, antimalware o firewalls, o bien a bloqueos en cuanto a la instalación de dispositivos de almacenamiento extraíbles, se plantea el problema de cómo obtener dichas herramientas para la realización de diversos ataques. Basándose en la idea de que el proxy probablemente no haga bloqueo de imágenes transmitidas mediante HTTP/HTTPS, es posible incrustar dichas herramientas en una o varias imágenes (fragmentando el código) para poder obtener dichas piezas de software malicioso de manera silenciosa.

- Reviving Homograph attacks using (deep learning) steroids. Aquí, Alfonso Muñoz presentó una herramienta fruto de su estudio en materia de ataques homográficos donde, empleando caracteres Unicode es posible establecer un conjunto de caracteres “confusables” (caracteres que son visualmente idénticos, o muy similares a otros, cuya codificación difiere) para establecer entornos en los cuales es posible confundir a los sistemas mediante dicha codificación, como puede ser a la hora de establecer nombres de dominios o sistemas de copia de documentos oficiales como proyectos de fin de carrera, masters o tesis doctorales.

- The Art of Persistence: "Mr. Windows… I don’t wanna go. En esta ponencia, Sheila Ayelén saca partido a diferentes mecanismos de persistencia que, si bien son conocidos, apenas son explotados por malware de uso real, como puede ser el secuestro de objetos “Com”, Shell extensions, etc… Sin duda, técnicas muy interesantes a la hora de lograr persistencia en ejercicios de Red Team tanto por lo sigiloso de su realización como por la forma de obtenerlo, ya que muchos de los elementos antimalware de los endpoints no evalúan o verifican la existencia de las claves de registro maliciosas empleadas en dichas técnicas.

Sin duda el nivel, tanto de los ponentes como de sus ponencias, ha estado a la altura de lo esperado, dejando el listón muy alto para el año que viene y poniendo de nuevo las ganas de volver a un nivel muy elevado.

¡El año que viene seguro que en Ackcent repetiremos la experiencia!