Cuando estás en un Departamento de Administración de Sistemas o en un equipo IT siempre tienes el problema de cómo gestionar las credenciales de todos los servicios de los que necesitas echar mano cada día. El número de equipos a los que te conectas, el volumen de credenciales que usas - muchas veces incluso compartidas entre un equipo técnico - y con la cantidad de herramientas distintas con que lo haces es tan grande que al final necesitas guardar las configuraciones con los distintos perfiles de conexión. Algo que te permita, una vez abierta la herramienta de administración correspondiente abrir una sesión con solo hacer clic sobre el perfil adecuado. Lo que sí que te tiene que preocupar en ese entorno es, ¿cómo se protegen los almacenes de tus perfiles de conexión?
Figura 1: Cifra el almacén de credenciales de tus herramientas... o se lo pondrás fácil a tu adversario |
Cuando un grupo atacante está tratando de hacer un APT contra una organización, lo más probable es que busque el punto de entrada más sencillo. Para eso, como ya hemos visto en muchos casos, el Phishing Dirigido o Spear Phishing es lo más sencillo. Conseguir engañar a una persona para robarle una credencial interna o lograr ejecutar un programa con los permisos de usuario en el sistema es lo más rápido para entrar en la red del objetivo.
Conseguir credenciales para pivotar en la red
Una vez que se está allí hay que conseguir hacer la elevación de privilegios dentro la máquina o conseguir credenciales de otros sistemas y para ello hay muchas formas de sacarlas. Una de las estrategias más cómodas es la directamente buscarlas en el equipo, como ya os publiqué en el artículo de "Buscando passwords en servidores". En ese artículo se podría ver cómo con hacer búsquedas en entre los ficheros locales y en el registro del sistema utilizando sencillos comandos del propio equipo se puede llegar a obtener un buen volumen de identidades. Muchas de ellas permitirán elevar privilegios dentro del sistema o conectarse a otros equipos.
Figura 2: Credenciales de perfiles de conexión en Filezilla en texto claro |
Algunos casos que ya hemos visto en el pasado han sido las credenciales RDP o Citrix que necesitan un proceso de cracking pero permiten la conexión o los ficheros de configuración de las herramientas como iSSH o el Filezilla que las guardan en claro dentro de los archivos de configuración si no se usa una clave maestra.
Figura 3: Descifrador para las passwords cifradas en ficheros de conexión RDP |
Las credenciales de WinSCP
Este también es el caso de WinSCP, una popular herramienta de Windows que permite conectarse a servidores FTP o SFTP, y que utiliza un archivo de configuración WinSCP.ini para almacenar todas las contraseñas de los perfiles de conexión. Estos ficheros de configuración se pueden localizar incluso en Internet por medio de un sencillo dork como éste, que me mandó mi amigo rootkit, un enamorado del hacking con buscadores.
La gracia de estos ficheros de configuración es que la credencial viene almacenada con un cifrado reversible, pero a diferencia de lo que sucede en Citrix o RDP, estas passwords no utilizan un algoritmo basado en el sistema operativo, lo que permite a cualquiera que acceda a un fichero WinSCP.ini con passwords puede llegar a extraer todas las credenciales. Para localiza un fichero con credenciales en Internet basta con añadir la palabra Password al dork y listo.
Figura 5: Ficheros WinSCP.ini con passwords |
Crackear las credenciales de un fichero de configuración de WinSCP
Cuando vi el fichero por primera vez supuse que el proceso de cracking tal vez sería costoso, pero nada de eso. Una vez está descargado se puede utilizar la herramienta WinSCPPwd con él y conseguir en texto claro todas las conexiones que están almacenadas en este fichero de configuración, como en este ejemplo que he hecho yo.
Figura 6: passwords descifradas y conexiones de red almacenadas |
La solución, como parte de una estrategia de defensa en profundidad frente a APTs en la organización, además de poner todas las medidas posibles, debe incluir que cualquier almacén de credenciales y conexiones esté correctamente cifrado con una contraseña maestra robusta, certificados digitales o que las conexiones que se usen siempre tengan identidades protegidas por un 2FA para evitar su utilización descontrolada.
Saludos Malignos!
Qué opinas de LastPass o de KeePass?
ResponderEliminarY de 1password. Como profesional de la seguridad usas alguna de estad opciones?
ResponderEliminarUn saludo
Chema, no te habras dejado una ip sin tapar en la ultima foto?
ResponderEliminarLa linea que pone:
root@172.20.14.128 dsmbtc123
¿A qué versión de WinSCP se refiere esta entrada? Yo uso la 4.2.9 y no hay ni un sólo WinSCP.ini... en todo el disco.
ResponderEliminar